网络入侵的聚类算法研究与实现.PDFVIP

2004年3月 重庆大学学报 Mar．2004 第27卷第3期 Journal of Chongqing University Vo1．27 No．3 文章编号：1000—582X(2004)03—0046—03 网络入侵的聚类算法研究与实现 叶 芳，吴 中福，刘勇国 (重庆大学计算机学院，重庆 400030) 摘 要：入侵检测中对知入侵的检测主要由异常检测完成，传统的异常检测方法需要构造一个正常 行为特征轮廓的参考模型，但建立该特征轮廓和确定异常性报警的门限值都比较困难，而且建立该特征 轮廓使系统开销大。据此本文提出一种针对入侵检测的聚类算法和一种数据处理方法。该算法通过动 态更新聚类中心和类内最大距离实现，收敛速度快，再结合对数据的预处理使聚类效果更好。实验结果 表明，此算法用于以未知入侵检测为代表的特殊模式检测方面是可行和有效的。 关键词：入侵；网络入侵检测；聚类 中图法分类号-TP393．08；TP301．6 文献标识码：A 随着互联网络的飞速发展，网络信息安全正13益得 序行为是可见的；2)正常行为与人侵行为本质上是可 到人们的关注，人侵检测则成为安全专家积极研究的重 区分的。在一般网络环境中，正常行为是主流，而人侵 要课题。Heady0 将人侵定义为“任何企图破坏资源完 表现为个别现象，正常实例的规模远大于人侵行为数 整性、保密性和可用性的行为”。其检测方法主要分为 目。由此算法要针对一般网络环境下正常实例规模远 误用检测和异常检测两类，它们各有自己的优势，在不 大于人侵实例的情形，于是人侵检测的又一个重要假 同的安全策略中有不同的应用。但由于人侵类型的13 设前提是检测数据模式空间中绝大部分模式属于正常 益复杂，新的人侵行为层出不穷，使未知人侵的检测显 行为，由这个重要特征可考虑将检测数据集分为由正 得尤为重要，而误用检测不能对未知人侵进行模式匹 常行为特征的聚类团与各种非正常行为的模式或小聚 配，因此未知人侵检测主要由异常检测来完成。 类团两个类组成，即只需将正常行为模式划分到一个 目前的异常检测主要是通过构造一个关于系统正 聚类集中，而对各种类型人侵行为模式不作进一步聚 常行为的参考模型(有关用户、系统关键程序等的特征 类分析，这样建立一个正常行为模式的聚类团，把正常 轮廓 )，然后检查系统的运行情况，若与给定的参考模 行为模式与人侵行为模式尽量分离．从这种思想出发， 型存在较大的偏差，则认为系统受到了人侵攻击，如 提出了一种针对人侵检测的聚类算法。 ISA—IDS系统 采用了统计模型，在样本集中对每一 1．2 聚类原理 个特征进行统计后找出一个中心值，再选择一个偏离门 希望经过聚类算法把大部分属于同一类的模式区 限，只要发生的事件超过这个门限，就被认为是人侵。 分出来．首先，把所有检测数据都看作是正常行为模式 这种方法设计简单，但检测率不高，适用于具有简单分 (即所有模式属于同一类)，计算初始类心，通过给定 布的集合。于是有研究人员利用机器学习思想，通过已 的参数确定类内最大距离后，调整各模式的类别，判断 标识网络数据训练学习算法来检测人侵行为 。但 各模式是否属于正常行为模式类，把不属于该类的模 这种方法必须有学习过程，而学习过程给系统带来很大 式划分出去，再重新计算类心和类内最大距离，继续判 开销，耗时也较多。据此，笔者提出了一种聚类算法和 断和调整模式类别，最终找到大部分模式所属的类，实 相应的数据预处理方法用于人侵检测．通过实验，表明 现正常行