基于K—Means聚类算法入侵检测系统研究

凤祥云

摘要：网络安全是网络研究的热点，而随着对计算机系统弱点和入侵行为分析研究的深入，入侵检测系统在网络安全中发挥着越来越重要的作用，并成为处理网络安全问题的有效工具。提出的许多聚类算法及其变种在增量式聚类算法研究方面所做工作较少的问题。通过对K-Means聚类算法、迭代算法的改进，提出优化算法。很好地解决传统聚类算法在伸缩性、数据定期更新上所面临的问题。基于K-Means聚类算法入侵检测系统中重要的数据集常用的数据分析方法，搭建检测系统发现入侵行为。

关键词： 网络入侵检测；K-means算法；迭代最优算法；NIDS设计

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）16-0049-03

Abstract：The network security is becoming a hot area in network researches. With the comprehensive analysis of the vulnerability of the network and intrusion behaviors， the Intrusion Detection System （IDS） becomes more and more important in network security. IDS is an important supplement to the traditional network security technologies. When updates are collected and applied to the databases ，then，all patterns derived from the databases by K-means algorithms have to be updated as well. Due to the very large size of the databases，it is highly desirable to perform these updates incrementally. The commonly-used Tec logical means of data analysis and the development trend of the intrusion detection technology.Experimental results show that the algorithms proposed in this paper are efficient， and the anticipated results are realized.

Key words：network security；intrusion detection； iterative algorithm； K-means algorithms； research on NIDS

1概述

网络技术的飞速发展，产生了许多安全问题，仅仅依靠防火墙技术，已经远远不能满足当前复杂网络环境的需要，入侵检测技术的出现实现了时时监视网络流量[1]。通过网络数据传输节点对相关怀疑数据进行标注对比，并发现网络攻击行为和违反安全策略的事件。

基于K-Means聚类算法入侵检测系统串联到网络链路中[2，3]，通过接收网络数据流量包甄别攻击包发现危险语句段并进行标注，阻断危险来源节点保护自身网络安全。

2入侵检测系统

2.1 入侵检测系统结构

入侵检测系统分为4个组件：事件产生器、事件分析器、响应单元及事件数据库。将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息[4，5]。系统的框架如图1所示。

2.2 入侵检测任务

入侵检测系统能够监视用户系统的活动，分析系统构造和网络弱点。识别反馈已掌握的进攻模式，统计网络异常行为。检测系统重要数据文件完整性，审计跟踪操作系统行为，识别通告违反安全策略行为。基于网络的入侵检测系统。其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。

3 网络入侵检测中聚类算法应用

3.1 模式识别

采用模式识别方法[7]分析数据。建立模式系统如图2所示。通过分析辨认网络数据，提取特征码，依照class进行分类。

3.2 聚类算法

3.3 K-means算法的基本思想

K-means算法给一个包含n个数据的数据集和产生的聚类的个数，将n个数据划分成k个子集，每个子集代表一个聚类，同一个聚类中的数据之间距离较近，而不同聚类的数据间距离较远[9]。每个聚类由其中心值来表示，通过计算聚类中所有数据的平均值可以得到它的中心值。

4 检测系统设计

4.1 系统概述

网络入侵检测系统采用分布式体系结构，共分三层：入侵事件统计数据库、网络入侵嗅探器和网络分析控制器[10]。使用网络加密传输协议远程发送数据到控制台进行数据包探测，检验算法抓包效果。

4.2 Snort参数设置

采用Snort的网络抓包库Libpcap，设置Snort。

1）创建Snort入侵事件数据库和存档数据库。

2）分析控制台ACID包含三个功能组件：Adodb数据库、PHP图表类和ACID软件包。

3）编辑ACID的配置文件Acid_conf.php，给变量赋值。

4.4 系统运行设置

把系统设置在网络服务器的缓冲区，对内外网络数据流量进行检测。使用分析控制台程序ACID，网络入侵检测系统对入侵事件进行统计，并扩展相关项数据库，采用nmap工具， 使用X-scan对系统进行扫描，并生成提示记录标注入侵事件[11-13]。

图3所示检测出触发TCP协议等安全规则比例次数、端口号、目标主机等。使用分析检测控制台制图功能组件、分析控制台会按指定的时间段生成入侵事件的频率图，如图4所示

5 结论

在入侵行为方式、攻击类别分析的相应入侵检测方法上，按照模式识别与分类，基于特征和统计的检测规则，对改进聚类算法提出设计构想，设计了基于网络的入侵检测系统。得出以下结论：

1）在信息搜集、信号分析基础上，采用广泛使用的数据测试集KDD CUP数据包进行训练、分析，发现训练集中的攻击类型，使用K-means算法优化提高效率。

2）根据网络入侵的大规模端口扫描行为，采用三层分布式体系结构设计基于网络的入侵检测系统，对网络入侵行为进行安全检测。

参考文献：

[1] 蒋建春，冯登国.网络入侵检测技术原理与技术[M].北京：国防工业出版社，2001：1-32.

[2] 吴焱.入侵者检测技术[M].北京：电子工业出版社，2011：38-42.

[3] 张杰，戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信，2012（6）：28-32.

[4] 唐洪英，付国瑜.入侵检测的原理与方法[J].重庆工学院学报，2012（4）：71-73.

[5] Arbaugh W A. Windows of vulner ability：Acase study analysis[J].IEEE Comput， 2010： 16-48.

[6] 章夏芬，温涛.基于数据挖掘智能代理的入侵检测和相应[J].计算机工程，2013， 29（7）：157-186.

[7] Lee W，Stolfo S J. Data mining approaches for intrusion detection[C].Proceedings of the 1998 USENIX Security Symposium， 1998：45-60.

[8] 李镇江， 戴英侠. IDS入侵检测系统研究[J].计算机工程， 2011（4）：15-26.

[9] 邹柏贤. 一种网络异常实时检测方法[J].计算机学报， 2013（8）：124-153.

[10] Asaka M，Taguchi A，Goto S.The implementation of IDA：An intrusion detection agent system[C].Proc.of the 11th FIRST Conf.1999.Brisbane，2011：1083-1176.

[11] Chu Y. Researches on large-scale distributed intrusion detection[D].Beijing University of Posts and Telecommunications， 2015：65-72.

[12] 蒋嶷川，田盛丰. 数据挖掘技术在入侵检测系统中的应用[J].计算机工程， 2001（4）：75-93.

[13] Snapp R， Goan L，Brentano. DIDS（distributed intrusion detection system） Motivation， architecture， and an early prototype[C].Proc.of the14th National Computer Security Conf. ，Vo110. Washington，2015：167-176.