睢丹 黃永燦

摘 要：隨著電子技術(shù)的越來越普及，惡意軟件在網(wǎng)上傳播態(tài)勢，互聯(lián)網(wǎng)數(shù)據(jù)入侵事件頻發(fā)，種類和手段多樣化，為最大限度對用戶電腦及互聯(lián)運(yùn)行環(huán)境保護(hù)，提出一種改進(jìn)網(wǎng)絡(luò)入侵信號監(jiān)控系統(tǒng)，該系統(tǒng)基于遺傳聚類的網(wǎng)絡(luò)入侵檢測檢測算法即NIDBGC算法。由Leader聚類和遺傳優(yōu)化兩個(gè)部分組成。通過Leader聚類階段對入侵?jǐn)?shù)據(jù)進(jìn)行初步分類，以降低網(wǎng)絡(luò)入侵信號檢測難度，通過遺傳優(yōu)化算法利用編碼與解碼來實(shí)現(xiàn)網(wǎng)絡(luò)空間與解之間的映射，用交叉變異和選擇對檢測數(shù)據(jù)種群進(jìn)行優(yōu)化。實(shí)現(xiàn)對網(wǎng)絡(luò)入侵的檢測。仿真實(shí)驗(yàn)表明，改進(jìn)網(wǎng)絡(luò)入侵檢測系統(tǒng)比傳統(tǒng)方法平均檢測大于50%，誤檢率約為1.5%，充分表明算法的有效性。

關(guān)鍵詞：改進(jìn) 網(wǎng)絡(luò)入侵 檢測

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2016）01（b）-0066-02

隨著科學(xué)技術(shù)的發(fā)展，人們對網(wǎng)絡(luò)的依賴性越來越強(qiáng)，隨之而來的網(wǎng)絡(luò)入侵手段也越來越多，并且入侵信號的偽裝很難被檢測系統(tǒng)發(fā)現(xiàn)。網(wǎng)絡(luò)入侵一般是通過寫好惡意代碼對互聯(lián)網(wǎng)內(nèi)計(jì)算機(jī)交互數(shù)據(jù)進(jìn)行入侵，得到計(jì)算機(jī)內(nèi)的個(gè)人隱私或商業(yè)機(jī)密。

提出一種改進(jìn)網(wǎng)絡(luò)入侵信號監(jiān)控系統(tǒng)，該系統(tǒng)基于遺傳聚類的網(wǎng)絡(luò)入侵檢測檢測算法即NIDBGC算法。它由Leader聚類和遺傳優(yōu)化兩個(gè)部分組成，通過Leader聚類階段對入侵?jǐn)?shù)據(jù)進(jìn)行初步分類，以降低網(wǎng)絡(luò)入侵信號檢測難度，通過遺傳優(yōu)化算法利用編碼與解碼來實(shí)現(xiàn)網(wǎng)絡(luò)空間與解之間的映射，用交叉變異和選擇對檢測數(shù)據(jù)種群進(jìn)行優(yōu)化。實(shí)現(xiàn)對網(wǎng)絡(luò)入侵的檢測。仿真實(shí)驗(yàn)表明，改進(jìn)網(wǎng)絡(luò)入侵檢測系統(tǒng)比傳統(tǒng)方法平均檢測大于50%，誤檢率約為1.5%，充分表明算法的有效性。

1 網(wǎng)絡(luò)入侵聚類分析檢測方法

在網(wǎng)絡(luò)數(shù)據(jù)交互時(shí)行聚類分析，主要是根據(jù)入侵的相似度對所要檢測的入侵?jǐn)?shù)據(jù)進(jìn)行劃分，將同類別的入侵?jǐn)?shù)據(jù)盡量歸集到一聚類中，主要分為層次型和劃分型兩種入侵?jǐn)?shù)據(jù)劃分方法。

1.1 層次型入侵?jǐn)?shù)據(jù)劃分方法

在互聯(lián)網(wǎng)絡(luò)中對入侵?jǐn)?shù)據(jù)進(jìn)行層次分解，根據(jù)入侵?jǐn)?shù)據(jù)的層次又可將數(shù)據(jù)分為凝聚類和分裂類。

凝聚類是將每一個(gè)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)都作為一個(gè)單獨(dú)的類型，然后通過查找相似對象進(jìn)行逐一合并，直到將所有相似數(shù)據(jù)聚類完成，形成一個(gè)有效簇時(shí)停止條件。

分裂類是將所有網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)都看作一個(gè)數(shù)據(jù)集合，通過迭代對入侵?jǐn)?shù)據(jù)在高速超高帶寬網(wǎng)絡(luò)中進(jìn)行篩選，入侵?jǐn)?shù)據(jù)集合分裂成多個(gè)次小集合，直到相似度較高的數(shù)據(jù)被分到一個(gè)集合中，滿足條件后停止迭代。

1.2 劃分型入侵?jǐn)?shù)據(jù)劃分方法

劃分型入侵?jǐn)?shù)據(jù)劃分方法是指在高速超高帶寬網(wǎng)絡(luò)中將入侵?jǐn)?shù)據(jù)數(shù)量設(shè)定為，通過將入侵?jǐn)?shù)據(jù)構(gòu)建個(gè)集合進(jìn)行劃分，每一類的入侵?jǐn)?shù)據(jù)劃分到一個(gè)集合聚類中，并且滿足條件。數(shù)學(xué)描述為：數(shù)據(jù)在高速超高帶寬網(wǎng)絡(luò)中，以聚類算法相似原則對個(gè)入侵?jǐn)?shù)據(jù)進(jìn)行劃分，入侵?jǐn)?shù)據(jù)劃分為個(gè)集合。令表示入侵?jǐn)?shù)據(jù)集合，個(gè)入侵?jǐn)?shù)據(jù)聚類集合美好組成，由網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)聚類表示為，，其中，且，在進(jìn)行入侵?jǐn)?shù)據(jù)劃分中滿足計(jì)算條件。對一類聚類的入侵?jǐn)?shù)據(jù)集合評判準(zhǔn)則為，在網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)盡可能相似的情況下判定為同一聚類集合，在網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)不相似的情況下判定為非同一聚類集合。

假設(shè)為入侵?jǐn)?shù)據(jù)與聚類集合的關(guān)聯(lián)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)矩陣，表示在網(wǎng)絡(luò)中聚類為中心，表示在網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)中與數(shù)據(jù)集合聚類中心的相似程度。

2 NIDBGC入侵檢測算法實(shí)現(xiàn)

根據(jù)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)類型，在進(jìn)行NIBGC計(jì)算方法時(shí)，通常由兩個(gè)階段組成。

第一個(gè)階段為leader型對入侵?jǐn)?shù)據(jù)階段，此階段是根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的相似性，對相似程度較高的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)進(jìn)行聚類集合，完成對入侵?jǐn)?shù)據(jù)初始聚類分析。第二階段為入侵?jǐn)?shù)據(jù)遺傳化階段。此階段對第一階段的入侵?jǐn)?shù)據(jù)集合進(jìn)行組合，對各聚類信息進(jìn)行標(biāo)識，確定數(shù)據(jù)為入侵?jǐn)?shù)據(jù)還是正常數(shù)據(jù)。

NIDBGC網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測算法是Leader聚類在線初始聚類，通過下一階段的計(jì)算來盡可能減少運(yùn)算程度，壓縮數(shù)據(jù)空間，增強(qiáng)算法適應(yīng)性。

2.1 Leader聚類階段

Leader聚類階段，初始的相似入侵?jǐn)?shù)據(jù)聚類步驟如下。

步驟1：設(shè)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)為空，。

步驟2：設(shè)定網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)為，，其中為入侵?jǐn)?shù)據(jù)數(shù)量，當(dāng)時(shí)，c1=c1fc1，其中fc1為入侵?jǐn)?shù)據(jù)初始聚類c1的一個(gè)leader，將此點(diǎn)設(shè)置為入侵?jǐn)?shù)據(jù)集合中心點(diǎn)，轉(zhuǎn)到步驟4，否則計(jì)算fc1與c1的相似程度，當(dāng)為當(dāng)前入侵?jǐn)?shù)據(jù)檢測集合數(shù)量，fc1為c1中心點(diǎn)。

步驟3：當(dāng)時(shí)，d（fc1，Ij）或其中d0為檢測入侵?jǐn)?shù)據(jù)預(yù)設(shè)聚類相似程度。

步驟4：如，則此計(jì)算方法結(jié)束。否則直到轉(zhuǎn)到步驟2。

2.2 正規(guī)化處理s

2.3 遺傳優(yōu)化階段

在網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)完成leader聚類階段后，可以得到集合，其中決定各集合之間相似程度系數(shù)，在此階段算法中作用十分重要，直接影響網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測結(jié)果。在NIDBGC算法中，設(shè)置=2.3可以確保在檢測過程中聚類有較好的集合效果。

在網(wǎng)絡(luò)中引入遺傳算法進(jìn)行入侵?jǐn)?shù)據(jù)檢測是自適應(yīng)全局優(yōu)化概率算法。是利用編碼與解碼來實(shí)現(xiàn)高速超高帶寬網(wǎng)絡(luò)空間與解之間的映射，通過交叉變異和選擇對檢測數(shù)據(jù)種群進(jìn)行優(yōu)化。遺傳主要由初始化和進(jìn)化兩部分組成，主要包含以下幾個(gè)階段。

（1）染色體表達(dá)。在leader階段，網(wǎng)絡(luò)中的入侵?jǐn)?shù)據(jù)已經(jīng)基本保證初始聚類的實(shí)現(xiàn)，采用中心聚類來參與下一步進(jìn)化有利于縮小檢測空間，降低計(jì)算復(fù)雜程度。

以二進(jìn)制編碼為例，設(shè)定初始檢測入侵?jǐn)?shù)據(jù)集合為c1，產(chǎn)生進(jìn)行種群數(shù)量以代表入侵?jǐn)?shù)據(jù)分布。如果集合被選中，則進(jìn)化種群為1，否則為0。根據(jù)NIDBGC算法，在第一階段的初始聚類中，包含的集合種類最多，此時(shí)，設(shè)置聚類參數(shù)為1，考慮到合并優(yōu)化問題，則進(jìn)一步降低了計(jì)算復(fù)雜程度。

（2）選擇操作。遺傳算法，是適者生存，優(yōu)勝劣汰的進(jìn)化方式。在高速超高帶寬網(wǎng)絡(luò)中引入NIDBGC算法，按一定規(guī)則將檢測入侵?jǐn)?shù)據(jù)進(jìn)行歸類，參與進(jìn)化，將其他聚類標(biāo)識為入侵?jǐn)?shù)據(jù)。

表示網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)聚類初始平均距離，入侵?jǐn)?shù)據(jù)數(shù)量為。

在網(wǎng)絡(luò)中提出退火選擇運(yùn)算，是基于該算法局部和脫離局部算法的能力，增強(qiáng)遺傳算法的優(yōu)化性能。

2.4 遺傳優(yōu)化算法實(shí)現(xiàn)

在網(wǎng)絡(luò)中實(shí)現(xiàn)遺傳優(yōu)化檢測入侵?jǐn)?shù)據(jù)步驟如下：

程序初始，代入初始系數(shù)，變異率及交叉率，提出退火因子及初始溫度。進(jìn)行評價(jià)和選擇。進(jìn)行交叉操作、變異操作，終止條件判斷。輸出結(jié)果。

3 結(jié)語

提出一種改進(jìn)網(wǎng)絡(luò)入侵信號監(jiān)控系統(tǒng)，該系統(tǒng)基于遺傳聚類的網(wǎng)絡(luò)入侵檢測檢測算法即NIDBGC算法。由Leader聚類和遺傳優(yōu)化兩個(gè)部分組成。通過Leader聚類階段對入侵?jǐn)?shù)據(jù)進(jìn)行初步分類，以降低網(wǎng)絡(luò)入侵信號檢測難度，通過遺傳優(yōu)化算法利用編碼與解碼來實(shí)現(xiàn)網(wǎng)絡(luò)空間與解之間的映射，用交叉變異和選擇對檢測數(shù)據(jù)種群進(jìn)行優(yōu)化。實(shí)現(xiàn)對網(wǎng)絡(luò)入侵的檢測。仿真實(shí)驗(yàn)表明，改進(jìn)網(wǎng)絡(luò)入侵檢測系統(tǒng)比傳統(tǒng)方法平均檢測大于50%，誤檢率約為1.5%，充分表明算法的有效性。

參考文獻(xiàn)

[1] Cinclair C，Pierce L，Matzner S.An application of machine learning to network intrusion detection[C]//In Proceedings of the15th Annual Computer Security Applications Conference IEEEComputer Society Press.2003.

[2] Ghosh AK，Schwartzbard A.A study in using neural network for anomaly and misuse detection[C]//In：Proceeddings of the 8th USENIX Security Symposium.USA.USENIX Association.1999.

[3] 潘伊麗，馬君顯.濫用入侵檢測技術(shù)分析[J].公安大學(xué)學(xué)報(bào)，2002，30（4）：29-33.