李松濤

摘要：隨著時(shí)代的進(jìn)步和社會(huì)經(jīng)濟(jì)的發(fā)展，電子計(jì)算機(jī)技術(shù)發(fā)展迅速，被廣泛應(yīng)用于各個(gè)領(lǐng)域內(nèi)。計(jì)算機(jī)網(wǎng)絡(luò)可以實(shí)現(xiàn)資源共享，可以提高工作效率，但是也出現(xiàn)了嚴(yán)重的網(wǎng)絡(luò)安全問題，經(jīng)常會(huì)受到一些攻擊和非法的訪問；針對(duì)這種情況，就需要采用入侵檢測(cè)系統(tǒng)，進(jìn)行主動(dòng)安全防護(hù)。該文簡要分析了基于蟻群聚類算法的數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用，希望可以提供一些有價(jià)值的參考意見。

關(guān)鍵詞：網(wǎng)絡(luò)安全；蟻群算法；入侵檢測(cè)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）04-0707-02

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和應(yīng)用，網(wǎng)絡(luò)安全問題隨之出現(xiàn)，經(jīng)常會(huì)出現(xiàn)非法訪問以及攻擊等問題；網(wǎng)絡(luò)安全問題會(huì)對(duì)人們的正常生活和工作產(chǎn)生影響，甚至對(duì)于國家安全也會(huì)造成威脅，因此，需要引起人們足夠的重視。入侵檢測(cè)技術(shù)目前受到了越來越多人的重視，它可以進(jìn)行主動(dòng)的檢測(cè)和防御，對(duì)網(wǎng)絡(luò)和系統(tǒng)中存在的入侵和攻擊進(jìn)行實(shí)時(shí)檢測(cè)和識(shí)別，并且采取一一系列的措施進(jìn)行挖掘。數(shù)據(jù)挖掘技術(shù)可以將海量審計(jì)數(shù)據(jù)中的那些異常行為特征數(shù)據(jù)進(jìn)行發(fā)現(xiàn)，這樣就可以降低人工分析以及編碼的工作量，因此在入侵檢測(cè)中可以有效的應(yīng)用數(shù)據(jù)挖掘技術(shù)。

1 入侵檢測(cè)概述

入侵指的是對(duì)計(jì)算機(jī)系統(tǒng)或資源的完整性、機(jī)密性等進(jìn)行威脅的行為；入侵檢測(cè)指的是檢測(cè)行為，對(duì)這些異常非法的入侵行為進(jìn)行檢測(cè)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或者系統(tǒng)中相關(guān)關(guān)鍵詞信息進(jìn)行收集，分析和研究這些信息，找出網(wǎng)絡(luò)或者系統(tǒng)是否遭到攻擊或者某些行為違反了安全策略。

入侵檢測(cè)系統(tǒng)包括了入侵檢測(cè)的軟件和硬件，有效補(bǔ)充了系統(tǒng)中的防火墻，可以對(duì)網(wǎng)絡(luò)攻擊進(jìn)行預(yù)防，這樣系統(tǒng)管理員的安全決策能力就得到了大大的提高，促使系統(tǒng)安全得到了保證。入侵檢測(cè)系統(tǒng)在監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)時(shí)，是不需要對(duì)網(wǎng)絡(luò)傳輸性能產(chǎn)生影響的，并且還具有其他的實(shí)時(shí)保護(hù)能力，比如應(yīng)對(duì)內(nèi)外部攻擊等等。通常情況下，入侵檢測(cè)系統(tǒng)包括這些組件：

1）數(shù)據(jù)源：數(shù)據(jù)源指的是入侵檢測(cè)系統(tǒng)所等待處理的原始網(wǎng)絡(luò)傳輸數(shù)據(jù)，包括諸多的組成部分，比如原始網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序?qū)徲?jì)日志、系統(tǒng)校驗(yàn)數(shù)據(jù)等等，之后的操作都是基于這些對(duì)象上進(jìn)行的。

2）傳感器：傳感器主要是對(duì)數(shù)據(jù)源中的相關(guān)原始數(shù)據(jù)進(jìn)行收集。不同算法的入侵檢測(cè)系統(tǒng)具有不同的收集數(shù)據(jù)方式。

3）分析器：分析器主要是對(duì)傳感器收集到的數(shù)據(jù)進(jìn)行分析和處理，結(jié)合處理結(jié)果，來采取一系列的措施來應(yīng)對(duì)異常情況；入侵檢測(cè)系統(tǒng)的核心部件是分析器，它會(huì)對(duì)入侵檢測(cè)系統(tǒng)的檢測(cè)性能和處理異常的能力產(chǎn)生直接影響。

4）行為：數(shù)據(jù)源的表征實(shí)例用行為來表示，主要是對(duì)某個(gè)數(shù)據(jù)的行為方式進(jìn)行表征；行為數(shù)據(jù)包括了所有的數(shù)據(jù)，涵蓋了正常的用戶操作行為，不僅是正常的偶然行為，也可能是惡意的非法攻擊。

2 聚類分析技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用

在入侵檢測(cè)中應(yīng)用聚類算法，需要評(píng)估聚類算法的相關(guān)性能，比如聚類的簇的標(biāo)準(zhǔn)、時(shí)間的復(fù)雜度等；主要的聚類方法可以分為兩個(gè)步驟，一個(gè)步驟是構(gòu)建模型，另一個(gè)步驟就是模型評(píng)估。在入侵檢測(cè)中應(yīng)用聚類分析技術(shù)，主要從這些步驟來完成：

一是收集原始數(shù)據(jù)：在入侵檢測(cè)前，需要收集待分析的網(wǎng)絡(luò)數(shù)據(jù)，利用抓包工具將網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)包給收集過來，但是在聚類分析時(shí)，是不能夠采用原始的網(wǎng)絡(luò)數(shù)據(jù)，那么就需要用連接記錄來替代網(wǎng)絡(luò)數(shù)據(jù)，每一個(gè)連接數(shù)據(jù)都包括了諸多的屬性內(nèi)容，比如連接起始時(shí)間、目的IP地址、源IP地址以及TCP標(biāo)志等等。為了將檢測(cè)效率進(jìn)行提高，還可以將統(tǒng)計(jì)信息加入到記錄中，這些統(tǒng)計(jì)信息包括的是連接數(shù)，與當(dāng)前連接有著相同的服務(wù)類型。

二是數(shù)據(jù)的標(biāo)準(zhǔn)化：從數(shù)據(jù)包收集過來的數(shù)據(jù)具有的單位和維度都是存在差異的，那么就需要標(biāo)準(zhǔn)化處理這些數(shù)據(jù)，以此來消除對(duì)數(shù)據(jù)的影響，標(biāo)準(zhǔn)化的公式是這樣的：

三是數(shù)據(jù)的初始化聚類：數(shù)據(jù)包經(jīng)過標(biāo)準(zhǔn)化操作之后，得到的數(shù)據(jù)集就可以進(jìn)行聚類分析，然后結(jié)合初始數(shù)據(jù)的具體情況來對(duì)聚類算法進(jìn)行選擇，實(shí)現(xiàn)初始化聚類分析的目的。

四是蟻群優(yōu)化聚類分析初始化聚類結(jié)果：本提出了蟻群優(yōu)化聚類算法來在此區(qū)分同一類型的簇，聚類中心為每一個(gè)特征向量，分析和處理這些聚類中心，然后最大限度的分離網(wǎng)絡(luò)數(shù)據(jù)的合法行為和非法行為。

五是實(shí)時(shí)入侵檢測(cè)：結(jié)合蟻群優(yōu)化聚類分析初始化聚類結(jié)果來入侵檢測(cè)當(dāng)前數(shù)據(jù)，結(jié)合檢測(cè)的結(jié)果，來采取一系列措施，如果入侵行為被檢測(cè)到，那么系統(tǒng)就可以采取相應(yīng)的保護(hù)措施，比如將防火墻開啟下來，將網(wǎng)絡(luò)斷開，或者是向管理員通知等等。一般的做法就是標(biāo)記聚類結(jié)果中的距離小于某個(gè)具體的閥值的類，向報(bào)警器中送入這些異常數(shù)據(jù)，報(bào)警結(jié)合連接的提示信息來采取一系列的反應(yīng)措施。

3 蟻群算法概述

螞蟻系統(tǒng)是由某個(gè)意大利學(xué)者提出來的，它的提出基礎(chǔ)是螞蟻在尋找食物的過程中，總是從螞蟻巢穴和食物源之間的最短路徑出發(fā)的；在網(wǎng)絡(luò)入侵檢測(cè)中成功應(yīng)用蟻群算法，可以更好的發(fā)現(xiàn)最優(yōu)解。具體來講，可以從這些方面來理解：

一是蟻群系統(tǒng)的抽象模型：我們假設(shè)n個(gè)城市的集合用C={C1，C2.C3..Cn}來表示，C中兩兩相連的集合用L來表示，G=（C，L）表示一個(gè)圖，兩個(gè)城市之間的距離是已知的，那么一群算法就是從這個(gè)圖中將長度最短的路徑給找出來。為了對(duì)蟻群系統(tǒng)的模型進(jìn)行合理構(gòu)建，需要設(shè)置一些變量，分別是螞蟻的數(shù)量、兩城市之間的距離、本次迭代中邊上的信息素的增量等。在蟻群系統(tǒng)中，有一些約束是需要遵循的，比如蟻群經(jīng)過一個(gè)邊，就會(huì)將一定量的信息素留在此邊上，螞蟻在確定下一個(gè)訪問的城市時(shí)，會(huì)結(jié)合轉(zhuǎn)移概率函數(shù)來確定；完成了一次循環(huán)之后，對(duì)于剛才已經(jīng)訪問過的城市，是不允許螞蟻再次訪問的，由螞蟻對(duì)象的禁忌表來控制本約束，螞蟻經(jīng)過的所有城市都在本禁忌表中儲(chǔ)存，也就是說螞蟻下次不能再對(duì)這個(gè)城市進(jìn)行訪問。

二是蟻群系統(tǒng)的算法表示：首先是初始化步驟，將計(jì)時(shí)器、迭代次數(shù)計(jì)算器以及信息素增量等都設(shè)為0，在初始階段，禁忌表是空的，在n個(gè)節(jié)點(diǎn)上隨機(jī)放置m只螞蟻，設(shè)置禁忌表索引為1，；重復(fù)n-1直到禁忌表滿了為止。最后一個(gè)步驟就是對(duì)目前得到的最短路徑進(jìn)行記錄，將所有禁忌表清空。

4 結(jié)束語

通過上文的敘述分析我們可以得知，電子計(jì)算機(jī)技術(shù)在給人們的生活和工作帶來極大便利的同時(shí)，也帶來了嚴(yán)重的網(wǎng)絡(luò)安全問題，會(huì)經(jīng)常遭受到非法訪問和攻擊，影響到資源和系統(tǒng)的安全性。針對(duì)這種情況，就需要采取一系列的安全防護(hù)措施，其中非常重要的一種就是數(shù)據(jù)挖掘技術(shù)，將蟻群聚類算法應(yīng)用到數(shù)據(jù)挖掘技術(shù)中，具有一系列的優(yōu)點(diǎn)；在未來一段時(shí)期內(nèi)，還需要相關(guān)的工作人員不斷的努力。

參考文獻(xiàn)：

[1] 陳軍，徐蕾.用一種改進(jìn)的蟻群聚類算法進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)[J].沈陽航空工業(yè)學(xué)院學(xué)報(bào)，2010，2（1）：123-125.

[2] 苗京，黃紅星，程衛(wèi)生.基于蟻群模糊聚類算法的圖像邊緣檢測(cè)[J].武漢大學(xué)學(xué)報(bào)，2005，2（5）：98-99.

[3] 張建華，江賀，張憲超.蟻群聚類算法綜述[J].計(jì)算機(jī)工程與應(yīng)用，2006，2（16）：43-46.

[4] 謝慧，吳小平，張志剛.基于蟻群聚類的入侵檢測(cè)技術(shù)研究[J].計(jì)算機(jī)應(yīng)用研究，2010，2（8）：98-99.

[5] 胡昊.基于蟻群聚類算法的數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J].江蘇科技大學(xué)，2012，2（1）：54-57.