一种基于聚类分析入侵检测模型.docVIP

一种基于聚类分析的入侵检测模型 　　摘 要：针对传统的入侵检测技术在大容量网络数据时存在检测性能不足的缺点，研究了一种基于聚类分析算法的新型入侵检测模型，通过聚类分析算法对多维数据进行分析，当不满足聚类要求时，归并邻近数据再次聚类。最后，设计了与K-means算法的对比仿真实验，实验结果表明，基于聚类分析的模型能够有效检测出异常序列，能够抵抗异常攻击。 　　关键词：入侵检测；聚类分析；网络安全 　　中图分类号：TP393.08 文献标识码：A 　　Abstract：Since conventional intrusion detection systems cant meet high demands of the network security，a new intrusion detection method based on clustering algorithm for intrusion detection system is designed in order to cluster analysis high dimensional data，and merge data nearly if cluster condition is not qualified.After stimulate experiment compared with K-means algorithm，the result shows this detection model can detect abnormal attack effectively. 　　Keywords：intrusion detection；cluster analysis；network security 　　1 引言（Introduction） 　　随着计算机与现代通信技术的高速发展，互联网已经成为人们生活中不可或缺的部分，以及随着3G、4G通信技术的发展，移动互联网在近几年呈现爆炸式增长。由于互联网的快速性、便利性和及时性，各大企业以及政府单位也纷纷成立其官方网站，从事相关的电子政务、电子商务以及网上办事系统等工作[1]。 　　然而，也正是由于互联网的开放性导致了其非常容易受到攻击，并造成重大损失。由于互联网的开发性和及时性，一些敏感文件，尤其那些具有商业价值或和数据安全紧密相关的数据，非常容易被误操作泄露在网络上，进而造成大规模数据外泄。即便是没有外泄，有价值的敏感数据也经常被黑客团体进行入侵攻击。近年来，网络黑客的入侵攻击事件，呈现出急剧增加的趋势。不仅企业和政府网站被攻击次数增多，针对中小企业和个人的网络攻击也呈现出增加势头。根据世界著名计算机安全厂商迈克菲《安全悖论》报告分析，超过83%的企业表示担心或非常担心自己的企业成为恶意攻击的目标。实际上，51%的企业已经遭受过各种攻击，他们当中的16%要耗费超过一周的时间，相应网络系统才可以恢复正常运营。其中，数据的丢失是安全攻击所造成的最严重后果[2]。目前，网络安全已经成为研究的热点也是各界瞩目的焦点。 　　一般情况下，企业采用防火墙作为其网络安全的第一道防线，但是随着网络攻击手段的逐渐成熟与多样化，尤其近几年发展尤为迅速，传统的防火墙机制已经无法保障大多数企业网络环境的安全。因为防火墙系统是被动的、静态的网络攻击和防御体系，而移动通信和互联网技术发展日新月异，相应的新的服务和协议也不断地出现，传统防火墙已经不能很好对其进行很好的动态扩展，而且防火墙技术也无法检查传输层以上的数据内容，所以许多网络攻击程序可以轻易地越过企业或者单位设置的防火墙，实施攻击行为。 　　2 入侵检测模型（Intrusion detection system） 　　2.1 入侵检测原理 　　入侵检测技术是指从计算机网络的不同环节中收集数据并对其分析和处理，找出其中是否存在恶意入侵的企图或者违背安全策略的行为，这个安全策略可以是事先根据特定网络环境设定好的。它可以针对计算机网络系统的运行情况依照安全策略进行监控，确保网络系统中的资源不被恶意攻击。 　　入侵检测系统的工作流程一般包括三大步骤[3]：（1）信息收集，从系统的不同网络环节中收集数据、用户连接的行为以及连接状态等信息，为下一步做准备。（2）信息分析，利用第一步收集到的信息，由设计好的算法进行分析和提取出存在的入侵特征。（3）根据第二步的分析结果，判断是否存在相应的入侵行为，记录日志并发出警告，网络系统管理人员可以做出相应的处理。 　　2.2 典型的检测模型 　　入侵检测系统有多种检测模型，目前常用主要有以下几种：统计方法、模式匹配、神经网络、数据挖掘、协议分析和免疫系统等[4，5]。 　　模式匹配的检测方法是通过将入侵的行为转化为计算机可