湖北工業(yè)大學(xué) 謝繼韜

基于k-means聚類算法的入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)

湖北工業(yè)大學(xué) 謝繼韜

本文通過(guò)將模式識(shí)別中的K近鄰算法和K-均值算法融合在一起，將其運(yùn)用到入侵檢測(cè)領(lǐng)域中，使它能夠適應(yīng)入侵檢測(cè)的需要，通過(guò)實(shí)驗(yàn)分析表明，在運(yùn)用結(jié)合之后的算法后，系統(tǒng)不僅能夠保證實(shí)時(shí)性，并且具有了一定的未知入侵檢測(cè)能力。

聚類算法；入侵檢測(cè)；研究

伴隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的遍及和迅猛發(fā)展，無(wú)數(shù)的網(wǎng)絡(luò)用戶正面臨著日趨嚴(yán)重的安全問(wèn)題，計(jì)算機(jī)安全和網(wǎng)絡(luò)安全，現(xiàn)在最大的威脅就是網(wǎng)絡(luò)攻擊和入侵，作為當(dāng)今比較多的安全防護(hù)技術(shù)中的主動(dòng)防御方式的入侵檢測(cè)技術(shù)，已經(jīng)成為了當(dāng)今網(wǎng)絡(luò)安全研究的一個(gè)非常重要的研究課題。模式識(shí)別同樣也是計(jì)算機(jī)領(lǐng)域中研究的一個(gè)比較熱的課題，模式識(shí)別在樣本數(shù)據(jù)的聚類和分類方面已經(jīng)取得了比較良好的效果，聚類算法和分類算法具有很多優(yōu)點(diǎn)，比如成熟度高、速度快等。

隨著Internet高速發(fā)展，個(gè)人、企業(yè)以及政府部門越來(lái)越多地依靠網(wǎng)絡(luò)來(lái)傳輸信息，正由于網(wǎng)絡(luò)的開放性和共享性，使它容易被外界攻擊和破壞，信息安全的保密性受到嚴(yán)重影響。網(wǎng)絡(luò)安全問(wèn)題已成為世界各國(guó)政府，企業(yè)和廣大互聯(lián)網(wǎng)用戶最關(guān)心的一個(gè)問(wèn)題[1]-[4]。

IDS（入侵檢測(cè)），通俗地說(shuō)，也就是對(duì)入侵行為的發(fā)現(xiàn)，它通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中有一些關(guān)鍵點(diǎn)收集信息和分析來(lái)自網(wǎng)絡(luò)或系統(tǒng)是否有違反安全策略和攻擊的跡象。入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（入侵檢測(cè)系統(tǒng)IDS）。從其他安全產(chǎn)品不同，需要更智能的入侵檢測(cè)系統(tǒng)，它必須是能夠獲得的數(shù)據(jù)進(jìn)行分析，和有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)可以大大簡(jiǎn)化管理員的工作，以確保網(wǎng)絡(luò)的安全運(yùn)行。

IDS（入侵檢測(cè)系統(tǒng)）技術(shù)被定義為：識(shí)別惡意意圖和行為的計(jì)算機(jī)或網(wǎng)絡(luò)資源的過(guò)程中，作出回應(yīng)。IDS是一個(gè)獨(dú)立的系統(tǒng)來(lái)完成上述功能。IDS可以檢測(cè)系統(tǒng)的入侵企圖或行為（入侵）技術(shù)授權(quán)的對(duì)象（人或程序），同時(shí)監(jiān)控授權(quán)的系統(tǒng)資源（濫用）的非法營(yíng)運(yùn)的對(duì)象。

入侵分析的任務(wù)是要提取的巨大數(shù)據(jù)來(lái)發(fā)現(xiàn)入侵的痕跡。入侵分析過(guò)程將需要提取檢測(cè)規(guī)則進(jìn)行了比較，發(fā)現(xiàn)入侵事件和入侵。一方面盡可能地提取數(shù)據(jù)，以便獲得足夠的證據(jù)證明入侵；另一方面，由于千變?nèi)f化的入侵，并導(dǎo)致日益復(fù)雜的規(guī)則，以確定入侵，入侵檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)入侵分析，以確保效率，并滿足實(shí)時(shí)要求，必須權(quán)衡系統(tǒng)的性能測(cè)試設(shè)計(jì)和分析戰(zhàn)略的能力，并有可能犧牲一部分，以確保可靠的檢測(cè)技術(shù)，運(yùn)行穩(wěn)定，響應(yīng)速度快。

分析策略是入侵分析的核心，系統(tǒng)的檢測(cè)技術(shù)能力，在很大程度上取決于分析策略。通常被定義為完全獨(dú)立的檢測(cè)技術(shù)規(guī)則的實(shí)施、分析、策略。定義基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的規(guī)則，通常使用的消息模式匹配序列，檢測(cè)技術(shù)將聽消息模式匹配序列比較結(jié)果進(jìn)行比較，以確定是否有非正常的網(wǎng)絡(luò)行為。因此，入侵檢測(cè)技術(shù)不能主要是看過(guò)程可以映射到基于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的序列模式匹配的入侵或它的主要特點(diǎn)。一些入侵地圖，如ARP欺騙是容易的，但一些入侵是困難的地圖，如病毒是從互聯(lián)網(wǎng)上下載。一些入侵，即使在理論上可以被映射，但實(shí)施是不可行的，例如，一些網(wǎng)絡(luò)行為需要通過(guò)非常復(fù)雜的步驟或更長(zhǎng)的過(guò)程中，以證明其入侵特點(diǎn)，這樣的行為是由于非常大的模式匹配的序列，需要大量的數(shù)據(jù)包匹配，所以實(shí)際上是不可行的。然而，由于多層協(xié)議分析的需要，或有一些入侵行為，是在強(qiáng)烈的背景下，需要消耗大量的處理能力，檢測(cè)技術(shù)，因此在實(shí)現(xiàn)有很大的困難。

模式識(shí)別是一個(gè)基本的人類的智慧，在日常生活中，經(jīng)常在“模式識(shí)別”。在20世紀(jì)40年代和50年代出現(xiàn)的計(jì)算機(jī)，人工智能的興起，在20世紀(jì)60年代初的快速發(fā)展，并成為一門新的學(xué)科。

而“模式識(shí)別”則是在某些一定量度或觀測(cè)基礎(chǔ)上把待識(shí)模式劃分到各自的模式類中去。什么是模式和模式識(shí)別？從廣義上講，有事情可以觀察到的時(shí)間和空間，如果它可以區(qū)分它們是否相同或相似的，可以稱之為模式，狹隘的，模式是通過(guò)觀察特定個(gè)人的事情，與時(shí)間和空間分布的信息；格局屬于類或相同的類模型一般稱為模式類（或簡(jiǎn)稱為類）。模式識(shí)別是被認(rèn)模式被分為一定的措施或觀察的基礎(chǔ)上，總稱模式類。

[1]王艷華，馬志強(qiáng).藏露入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究.信息技術(shù)，2009，6：41-44.

[2]夏煜，郎榮玲，戴冠中入侵檢測(cè)系統(tǒng)的智能檢測(cè)技術(shù)研究綜述.計(jì)算機(jī)工程與應(yīng)用，2001，24：32-34.

[3]壬強(qiáng).計(jì)算機(jī)安全入侵檢測(cè)方案的實(shí)現(xiàn).計(jì)算機(jī)與信息技術(shù)，2007，14：288，320.

[4]張志剛，吳建設(shè).入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用.黃石理工學(xué)院學(xué)報(bào)，2008.24(5)：l3-15.

2017-09-10）