高彩霞

摘要：信息化時(shí)代下網(wǎng)絡(luò)已經(jīng)全面覆蓋人們的日常生活、工作各個(gè)方面，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展極大地促進(jìn)我國各個(gè)行業(yè)的發(fā)展，網(wǎng)絡(luò)辦公已經(jīng)成為企業(yè)工作的常態(tài)，但也由于網(wǎng)絡(luò)技術(shù)的發(fā)展各種網(wǎng)絡(luò)病毒與黑客攻擊、入侵技術(shù)也隨之增長(zhǎng)，對(duì)網(wǎng)絡(luò)環(huán)境的安全危害性較大，優(yōu)化網(wǎng)絡(luò)安全的防御工作，是當(dāng)下網(wǎng)絡(luò)技術(shù)發(fā)展的新方向。筆者以基于k-means算法的網(wǎng)絡(luò)數(shù)據(jù)庫入侵檢測(cè)技術(shù)為目標(biāo)，從現(xiàn)階段入侵檢查技術(shù)與傳統(tǒng)聚類算法存在的問題入手，通過實(shí)驗(yàn)反映改進(jìn)進(jìn)K-means算法，旨在為現(xiàn)階段網(wǎng)絡(luò)入侵提供新的研究反向與視角。

關(guān)鍵詞：k-means算法;網(wǎng)絡(luò)數(shù)據(jù)庫;入侵檢測(cè)技術(shù)

中圖分類號(hào)：TP393? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? 文章編號(hào)：1009-3044（2019）01-0034-02

1 入侵檢測(cè)技術(shù)現(xiàn)狀與數(shù)據(jù)挖掘

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展既為人們生活帶來了便利，也出現(xiàn)了安全問題，目前入侵檢測(cè)與預(yù)防基本都是依靠防火墻技術(shù)，但日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境，對(duì)入侵檢測(cè)技術(shù)的要求更高。不僅要實(shí)施監(jiān)視網(wǎng)絡(luò)流量，還要依據(jù)網(wǎng)絡(luò)數(shù)據(jù)傳輸節(jié)點(diǎn)對(duì)懷疑數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)對(duì)比，及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞以及網(wǎng)絡(luò)攻擊行為。還要承擔(dān)起阻斷危險(xiǎn)來源節(jié)點(diǎn)，保護(hù)自身網(wǎng)絡(luò)安全的職責(zé)，提高網(wǎng)絡(luò)安全等級(jí)。就近年來電網(wǎng)企業(yè)所遭受的公網(wǎng)IP與內(nèi)網(wǎng)IP惡意攻擊來看，只依靠各個(gè)城域網(wǎng)與廣域網(wǎng)之間的防火墻與IPS等安全設(shè)備，無法全面檢測(cè)信息網(wǎng)絡(luò)技術(shù)的中的異常行為，反應(yīng)速度，也達(dá)不到防護(hù)要求。因此近年來，k-means算法、BP神經(jīng)網(wǎng)等逐漸應(yīng)用到入侵檢測(cè)中，在數(shù)據(jù)流量包的基礎(chǔ)上甄別各種攻擊行為和危險(xiǎn)語句段，避免網(wǎng)絡(luò)信息運(yùn)行泄露問題。保障信息網(wǎng)絡(luò)的安全運(yùn)行。數(shù)據(jù)挖掘，是從數(shù)據(jù)庫中知識(shí)挖掘，提取出大量的未知且具有用戶期望價(jià)值的信息，現(xiàn)階段數(shù)據(jù)挖掘也成為如今檢測(cè)技術(shù)之一，通過數(shù)據(jù)挖掘結(jié)果調(diào)整策略，減低風(fēng)險(xiǎn)，提高決策的正確率。傳統(tǒng)入侵檢測(cè)系統(tǒng)中植入數(shù)據(jù)挖掘技術(shù)，是利用數(shù)據(jù)挖掘算法，在網(wǎng)絡(luò)海量數(shù)據(jù)中，過濾掉多數(shù)正常數(shù)據(jù)模式，針對(duì)異常要入侵模式構(gòu)建入侵檢測(cè)模型，以提高檢測(cè)效率，優(yōu)化檢測(cè)效果，減少誤檢率[1]。

2 基于K-means 算法的檢測(cè)入侵系統(tǒng)結(jié)構(gòu)

基于k-means算法的檢測(cè)入侵系統(tǒng)，是新時(shí)代網(wǎng)絡(luò)環(huán)境下安全防御提出了的新型網(wǎng)絡(luò)安全保護(hù)技術(shù)，從網(wǎng)絡(luò)系統(tǒng)中運(yùn)行數(shù)據(jù)，監(jiān)控和與保障安全性如入手，依據(jù)k-means算法的聚類算法、迭代算法，更加有效提取網(wǎng)絡(luò)信息，深入到統(tǒng)計(jì)學(xué)、電子計(jì)算以及數(shù)據(jù)庫信息整合等多個(gè)領(lǐng)域，對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行策略，構(gòu)建網(wǎng)絡(luò)正常狀態(tài)下的模，一旦用戶超出了預(yù)設(shè)的模型，就被定位網(wǎng)絡(luò)入侵，以此提高網(wǎng)絡(luò)入侵檢測(cè)的效果，設(shè)置好正常狀態(tài)的行為模式以及預(yù)設(shè)模式，基于K-means 算法構(gòu)建網(wǎng)絡(luò)異常檢測(cè)模型，在大數(shù)據(jù)環(huán)境下以提高數(shù)據(jù)選取的準(zhǔn)確性和誤報(bào)率，縮短數(shù)據(jù)選擇時(shí)間。主要的K-means 算法的檢測(cè)入侵系統(tǒng)構(gòu)建框架圖1：

k-means算法主要應(yīng)用于數(shù)據(jù)審計(jì)中，利用模式識(shí)別方法分析數(shù)據(jù)庫，構(gòu)建模式系統(tǒng)圖，在海量網(wǎng)絡(luò)數(shù)據(jù)中辨認(rèn)出有效的出具，提取出特征碼，并按照類型標(biāo)準(zhǔn)進(jìn)行分類。聚類算法在應(yīng)用中，將數(shù)據(jù)輸出轉(zhuǎn)變?yōu)槿舾蓚€(gè)聚類，計(jì)算各個(gè)數(shù)據(jù)之間的差異，用d（i，j）= |x i1 -x j1 | 2 +|x i2 -x j2 | 2 +...+|x ip -x jp | 的算法公式，計(jì)算數(shù)據(jù)間的距離。然后再假設(shè)數(shù)據(jù)集變量為i，j，具有P個(gè)屬性賦權(quán)值，用d（i，j）= w 1 |x i1 -x j1 | 2 +w 2 |x i2 -x j2 | 2 +...+w p |x ip -x jp | ，計(jì)算出數(shù)據(jù)差異距離[2]。

從基于K-means 算法的檢測(cè)入侵系統(tǒng)的發(fā)生器、分析器、響應(yīng)元件及事件信息數(shù)據(jù)庫為主，對(duì)入侵網(wǎng)絡(luò)中的數(shù)據(jù)庫進(jìn)行檢測(cè)，通過檢測(cè)途徑獲取確切的信息，對(duì)用戶的一系列活動(dòng)進(jìn)行監(jiān)控，從而獲取系統(tǒng)運(yùn)行結(jié)構(gòu)與網(wǎng)絡(luò)數(shù)據(jù)庫中的弱點(diǎn)進(jìn)行識(shí)別與反饋，更便于入侵信息檢測(cè)，解決網(wǎng)絡(luò)運(yùn)行中的異常問題，保障網(wǎng)絡(luò)系統(tǒng)的安全性運(yùn)行和信息完整性、準(zhǔn)確性。所以 K-means算法在應(yīng)用中，要明確其基本思想，以便于切實(shí)監(jiān)控各種違反系統(tǒng)的行為，實(shí)現(xiàn)控制與株洲西，對(duì)網(wǎng)絡(luò)段中發(fā)生的入侵實(shí)現(xiàn)盡早控制。 K-means算法的本質(zhì)是采用包含n個(gè)數(shù)據(jù)的數(shù)據(jù)集和產(chǎn)生類聚的個(gè)數(shù)，把n個(gè)數(shù)據(jù)化分成K個(gè)子集，針對(duì)不同的類聚之間的數(shù)據(jù)進(jìn)行計(jì)算，劃分出同類聚類以及不同類聚，每個(gè)聚類以中心值的形式進(jìn)行表述，通過計(jì)算聚類的所有數(shù)據(jù)平均值，獲取中心值。

3 基于K-means 算法的檢測(cè)入侵系統(tǒng)的構(gòu)建

基于K-means 算法的檢測(cè)入侵系統(tǒng)的結(jié)構(gòu)，在設(shè)計(jì)中采用了結(jié)構(gòu)體系，是以三段式的入侵信息數(shù)據(jù)具體計(jì)算數(shù)據(jù)，依據(jù)統(tǒng)計(jì)學(xué)的信息保存庫以及網(wǎng)絡(luò)探尋信息搜索器、網(wǎng)絡(luò)入侵信息分析數(shù)據(jù)庫的控制器件構(gòu)成，利用入侵信息，在網(wǎng)絡(luò)檢測(cè)系統(tǒng)中，依托于加密傳輸協(xié)議實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)傳輸，將數(shù)值運(yùn)輸?shù)娇傁到y(tǒng)的信息庫后，再利用數(shù)據(jù)審計(jì)與K-means 算法，對(duì)整個(gè)系統(tǒng)進(jìn)行檢測(cè)，從而實(shí)現(xiàn)整個(gè)檢測(cè)系統(tǒng)。數(shù)據(jù)信息特征碼提取，不能直接在海量數(shù)據(jù)中審計(jì)，要構(gòu)建網(wǎng)絡(luò)數(shù)值抓取庫，依托于數(shù)據(jù)挖掘與 Snort 網(wǎng)絡(luò)特征，用正常模式下新的數(shù)據(jù)進(jìn)行比對(duì)，過濾掉正常數(shù)據(jù)，將異常數(shù)據(jù)通過Snort 網(wǎng)絡(luò)數(shù)值抓取庫的 Libpcap設(shè)置的網(wǎng)絡(luò)數(shù)值，提取出特征碼。數(shù)值抓取庫的設(shè)置如下，先創(chuàng)建好Snort 網(wǎng)絡(luò)數(shù)值抓取庫以及數(shù)值保存庫，然后對(duì)結(jié)構(gòu)查詢信息的校本類文件類型進(jìn)行核查，設(shè)置好table后，再對(duì)snort 中的 conf 文件進(jìn)行編輯，實(shí)現(xiàn)Plu-gin 中數(shù)據(jù)值的全面導(dǎo)出到保存庫中，具體操作代碼如下：#/usr/local/bin/mysqladmin-u root-p create snort

#/usr/local/bin/mysql admin-u

Root-p create snort archive

#/usr/local/bin/mysql-u

Root-D snort-p

#/usr/local/bin/mysql –u root -D snort_archive -p

utput database： alert， mysql， user=root password=abc123 db?name=snort host=localhost

構(gòu)建好Snort 網(wǎng)絡(luò)數(shù)值抓取庫后，緊接著就要設(shè)置好web服務(wù)器的Apache。Apache設(shè)置一共有三步，一是擴(kuò)展Apache的代碼，通過代碼設(shè)置，拓展mod_ssl代碼，二設(shè)置好分析控制臺(tái)的ACID的三個(gè)功能組間，將Adodb 數(shù)據(jù)庫、ACID軟件包、PHP圖表類依次設(shè)置好，，三編輯ACID的配置文件，給Acid_conf.php賦予一定的變量。使用分析控制臺(tái)程序ACID作為K-means 算法的使用器，對(duì)入侵事件和數(shù)據(jù)進(jìn)行統(tǒng)計(jì)與分析，并將數(shù)據(jù)拓展到相關(guān)的數(shù)據(jù)庫中，利用nmap工具對(duì)系統(tǒng)進(jìn)行X-scan的掃描，將提取的特征碼注入相關(guān)的入侵事件中[3]。

最后進(jìn)行實(shí)驗(yàn)數(shù)據(jù)檢測(cè)，筆者是采用 KDD Cpu99 網(wǎng)絡(luò)攻擊數(shù)據(jù)集，針對(duì)檢測(cè)系統(tǒng)的運(yùn)行對(duì)數(shù)據(jù)進(jìn)行整理和分析，以MAT-LAB 軟件的計(jì)算與仿真結(jié)果，分析利用 K-means 算法構(gòu)建檢測(cè)系統(tǒng)的檢測(cè)率和誤報(bào)率的影響因素。針對(duì)實(shí)驗(yàn)數(shù)據(jù)分析可知，適當(dāng)聚類半徑越大，誤報(bào)率就越高，只有當(dāng)閾值為5時(shí)，K-means 算法的檢測(cè)率與誤報(bào)率受聚類中心數(shù)量的影響，此時(shí)在四種不同類型攻擊下，基于K-means 算法的檢測(cè)入侵系統(tǒng)檢測(cè)率較高。當(dāng)聚類半徑越大時(shí)，誤報(bào)率就越大;由圖 4 可得，當(dāng)取閾值半徑為 5 時(shí)，改的K-means 算法在檢測(cè)率和誤報(bào)率受到聚類中心數(shù)量的影響;由表1可得，當(dāng)閾值半徑為 5，在四種不同的攻擊類型下，針對(duì)不同的攻擊類型，改進(jìn)的 K-means 在檢測(cè)率和誤檢率上是有區(qū)別的[4-5]。

4 結(jié)束語

基于k-means算法改進(jìn)現(xiàn)有的網(wǎng)絡(luò)數(shù)據(jù)庫入侵檢測(cè)技術(shù)，是利用k-means的聚類算法、迭代算法，針對(duì)現(xiàn)階段數(shù)據(jù)庫入侵方式與入侵渠道，提出優(yōu)化算法，以解決云改進(jìn)傳統(tǒng)聚類算法在伸縮性與數(shù)據(jù)定期更新中存在的問題，提高信息安全的防御效果，構(gòu)建高效、科學(xué)、精準(zhǔn)的數(shù)據(jù)入侵檢測(cè)平臺(tái)，優(yōu)化網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。

參考文獻(xiàn)：

[1] 劉華春， 候向?qū)帲?楊忠. 基于改進(jìn)K均值算法的入侵檢測(cè)系統(tǒng)設(shè)計(jì)[J]. 計(jì)算機(jī)技術(shù)與發(fā)展， 2016， 26（1）： 101-105.

[2] 吳彥博. 基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)關(guān)鍵技術(shù)的分析[J]. 職大學(xué)報(bào)， 2016（2）： 101-103.

[3] 鳳祥云. 基于K-Means聚類算法入侵檢測(cè)系統(tǒng)研究[J]. 電腦知識(shí)與技術(shù)， 2016， 12（16）： 49-51.

[4] 孫章才， 車勇波， 姚莉， 等. 基于改進(jìn)K-means算法在電網(wǎng)企業(yè)網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J]. 信息通信， 2016（9）： 12-13.

[5] 陳培毅. 基于K-means算法檢測(cè)網(wǎng)絡(luò)安全可行性研究[J]. 自動(dòng)化與儀器儀表， 2017（8）： 102-103， 106.