導(dǎo)語：計(jì)算機(jī)網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇算法研究一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：為解決傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇算法存在選擇準(zhǔn)確性差，工作效率低的問題，本文提出研究基于點(diǎn)群聚類的計(jì)算機(jī)網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇算法。該算法首先進(jìn)行入侵節(jié)點(diǎn)數(shù)據(jù)收集，對(duì)獲取到的數(shù)據(jù)進(jìn)行清洗、歸約、轉(zhuǎn)換等處理。利用點(diǎn)群聚類中的K-means算法識(shí)別入侵節(jié)點(diǎn)，實(shí)現(xiàn)了計(jì)算機(jī)網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇。仿真結(jié)果表明：通過本文算法對(duì)計(jì)算機(jī)網(wǎng)絡(luò)入侵節(jié)點(diǎn)進(jìn)行選擇的綜合性能TotalScore值較高，用時(shí)較短，證明本算法能在更短的時(shí)間內(nèi)實(shí)現(xiàn)網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇，更利于預(yù)防非法節(jié)點(diǎn)入侵，保護(hù)網(wǎng)絡(luò)安全。

關(guān)鍵詞：點(diǎn)群聚類；計(jì)算機(jī)網(wǎng)絡(luò)；入侵節(jié)點(diǎn)；選擇算法

在當(dāng)今信息化時(shí)代，人們對(duì)信息的獲取需求越來越大，多數(shù)領(lǐng)域需要借助計(jì)算機(jī)信息網(wǎng)絡(luò)通信技術(shù)進(jìn)行數(shù)據(jù)挖掘、傳輸、交互等。在這樣的背景下，信息傳輸方式也隨之發(fā)生重大改變，從最初的單根導(dǎo)線、雙絞線、同軸電纜等發(fā)展到了現(xiàn)在的光纖激光網(wǎng)絡(luò)[1]。光纖網(wǎng)絡(luò)具有自組網(wǎng)和廣分布等特點(diǎn)，導(dǎo)致光纖網(wǎng)絡(luò)節(jié)點(diǎn)被入侵的發(fā)生率逐年上漲。光纖網(wǎng)絡(luò)節(jié)點(diǎn)入侵不僅造成通信中斷，還會(huì)造成信息泄露，給社會(huì)各方面造成嚴(yán)重影響。在這種背景下，對(duì)計(jì)算機(jī)光纖網(wǎng)絡(luò)入侵節(jié)點(diǎn)進(jìn)行選擇具有重要的現(xiàn)實(shí)意義[2]。目前，對(duì)光纖網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇的研究很多，相關(guān)研究人員提出了許多選擇算法。文獻(xiàn)[3]提出H-C4.5-NB網(wǎng)絡(luò)節(jié)點(diǎn)入侵檢測(cè)方法。該方法通過計(jì)算網(wǎng)絡(luò)入侵節(jié)點(diǎn)出現(xiàn)的概率，進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)類別的劃分，并由C4.5和NB概率加權(quán)和的形式給出最終的決策結(jié)果。該方法有效提高了對(duì)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的分析，但該方法對(duì)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的處理不完善。文獻(xiàn)[4]提出基于模糊關(guān)聯(lián)規(guī)則挖掘的網(wǎng)絡(luò)入侵檢測(cè)算法。該方法通過收集網(wǎng)絡(luò)數(shù)據(jù)，分析網(wǎng)絡(luò)入侵行為特征，采用模糊關(guān)聯(lián)規(guī)則算法對(duì)入侵?jǐn)?shù)據(jù)挖掘等，完成了網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的檢測(cè)。但該方法對(duì)入侵?jǐn)?shù)據(jù)檢測(cè)的效率未過多考慮。針對(duì)上述方法存在的問題，文中將點(diǎn)群聚類算法應(yīng)用其中，提出基于點(diǎn)群聚類的計(jì)算機(jī)網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇算法。該算法是通過比較樣本中各節(jié)點(diǎn)數(shù)據(jù)之間的性質(zhì)，將性質(zhì)相近數(shù)據(jù)進(jìn)行聚類等，實(shí)現(xiàn)異常節(jié)點(diǎn)辨別。實(shí)驗(yàn)結(jié)果表明：文中基于點(diǎn)群聚類的計(jì)算機(jī)網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇算法在入侵節(jié)點(diǎn)選擇上效率更高。

1網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇算法研究

防火墻等傳統(tǒng)靜態(tài)防御很難應(yīng)對(duì)層出不窮的入侵，本文設(shè)計(jì)入侵檢測(cè)算法模型。其中，事件產(chǎn)生器用于獲取入侵節(jié)點(diǎn)數(shù)據(jù)，主要包括網(wǎng)絡(luò)數(shù)據(jù)包、系統(tǒng)日志、用戶活動(dòng)行為數(shù)據(jù)等；事件處理器對(duì)收集到的原數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理；事件分析器對(duì)這些數(shù)據(jù)進(jìn)行分析，找出其中存在入侵特征的數(shù)據(jù)；響應(yīng)單元根據(jù)結(jié)果選擇相應(yīng)的處理措施，如告警或通知、終止進(jìn)程、切斷連接等；事件數(shù)據(jù)庫(kù)負(fù)責(zé)儲(chǔ)存數(shù)據(jù)，包括收集到的原始數(shù)據(jù)、處理后的數(shù)據(jù)等[6]。文中基于點(diǎn)群聚類的計(jì)算機(jī)網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇算法，基本流程如圖1所示。1.1入侵節(jié)點(diǎn)數(shù)據(jù)獲取。入侵節(jié)點(diǎn)選擇的第一步是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中選擇若干個(gè)節(jié)點(diǎn)數(shù)據(jù)信息，有效獲取數(shù)據(jù)。由于原始數(shù)據(jù)信息無法支撐結(jié)果識(shí)別，通過分析原始網(wǎng)絡(luò)數(shù)據(jù)信息的不一致性，確認(rèn)入侵?jǐn)?shù)據(jù)的特征類型[7]。按照數(shù)據(jù)不同類型特征，入侵節(jié)點(diǎn)數(shù)據(jù)收集方法選擇基于系統(tǒng)日志的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集。1）基于系統(tǒng)日志的數(shù)據(jù)收集在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中，用戶活動(dòng)情況和行為數(shù)據(jù)都會(huì)被記錄，將用戶數(shù)據(jù)通過日志的形式記錄在計(jì)算機(jī)系統(tǒng)中，因此通過系統(tǒng)日志進(jìn)行數(shù)據(jù)收集[8]。2）基于網(wǎng)絡(luò)的數(shù)據(jù)包采集用戶數(shù)據(jù)節(jié)點(diǎn)存在于計(jì)算機(jī)網(wǎng)絡(luò)傳輸數(shù)據(jù)包中，這些數(shù)據(jù)包中可能包含入侵者傳輸?shù)牟《镜任ｋU(xiǎn)信息，因此需要對(duì)數(shù)據(jù)包進(jìn)行截取[9]。本文數(shù)據(jù)包截取方法不影響數(shù)據(jù)包中數(shù)據(jù)的傳輸，對(duì)其僅起到探視作用[10]。當(dāng)數(shù)據(jù)包中含有異常數(shù)據(jù)信息時(shí)，會(huì)立即被發(fā)現(xiàn)，此時(shí)才會(huì)進(jìn)行異常數(shù)據(jù)的截取。1.2入侵節(jié)點(diǎn)數(shù)據(jù)處理。獲取的入侵節(jié)點(diǎn)數(shù)據(jù)不能直接用于入侵識(shí)別中，需要進(jìn)行清洗、歸約、轉(zhuǎn)換等，之后導(dǎo)入到事件數(shù)據(jù)庫(kù)當(dāng)中。1）數(shù)據(jù)清洗獲取的入侵節(jié)點(diǎn)數(shù)據(jù)中可能存在不一致性、重復(fù)、不完整、錯(cuò)誤、違反業(yè)務(wù)規(guī)則等問題，為保證數(shù)據(jù)質(zhì)量，將存在問題的數(shù)據(jù)信息進(jìn)行清理[11]。清洗方法如表1所示。2020年第17期2）數(shù)據(jù)歸約數(shù)據(jù)樣本數(shù)量過大，會(huì)增加計(jì)算量，降低分析準(zhǔn)確性，需要進(jìn)行歸約[12]，在盡可能保持?jǐn)?shù)據(jù)原貌的基礎(chǔ)上，盡量縮減數(shù)據(jù)規(guī)模。本文主要通過主成分分析方法進(jìn)行數(shù)據(jù)歸約，首先將數(shù)據(jù)標(biāo)準(zhǔn)化處理，消除量綱；然后判斷KMO值是否可以進(jìn)行主成分分析處理；再計(jì)算相關(guān)系數(shù)矩陣、特征值、相應(yīng)的貢獻(xiàn)率、累計(jì)貢獻(xiàn)率以及載荷矩陣；最后給出主成分表達(dá)式，得出主成分。3）數(shù)據(jù)轉(zhuǎn)換不同的數(shù)據(jù)有不同的表示形式，為了能夠適用于查詢和分析，需要將其轉(zhuǎn)換為另一種表現(xiàn)形式[13]。本文數(shù)據(jù)轉(zhuǎn)換的方式是先將數(shù)據(jù)進(jìn)行平滑處理，去除數(shù)據(jù)中存在的噪聲，合并處理之后的數(shù)據(jù)，之后對(duì)數(shù)據(jù)泛化處理，構(gòu)建數(shù)據(jù)特征屬性。1.3入侵節(jié)點(diǎn)識(shí)別基于上述步驟，利用點(diǎn)群聚類算法進(jìn)行入侵節(jié)點(diǎn)識(shí)別，實(shí)現(xiàn)入侵節(jié)點(diǎn)選擇。點(diǎn)群聚類是隸屬于數(shù)據(jù)挖掘領(lǐng)域的分支，其以相似性為基礎(chǔ)，通過計(jì)算樣本數(shù)據(jù)與特征屬性值之間相似性程度，判斷樣本所屬類別[14]，基本工作流程如圖2所示。在點(diǎn)群聚類分析當(dāng)中，分析數(shù)據(jù)相似度度量是關(guān)鍵。相似度度量通過計(jì)算維空間中的距離實(shí)現(xiàn)[15]，距離越小相似性越高，反之，則越低。文中相似性度量的計(jì)算方法通過求取Minkowski距離實(shí)現(xiàn)。設(shè)m為樣本空間的維數(shù)，對(duì)于任意樣本對(duì)象N=[N]1,N2,...,Nm與Q=[Q]1,Q2,...,Qm之間的距離為：L(N),Q=æèçöø∑÷i=1mN||i-Qij1j(j＞0)（1）當(dāng)j=1時(shí)，曼哈頓距離為：L1(N,Q)=∑i=1mN||i-Qi（2）當(dāng)j=2時(shí)，歐氏距離為：L2(N,Q)=∑i=1mN||i-Qi2（3）當(dāng)j=∞時(shí)，切比雪夫距離為：L3(N,Q)=max1≤i≤mN||i-Qi（4）劃分類型、層次分解類型以及基于密度類型等都屬于點(diǎn)群聚類劃分類型，本文選擇劃分類型中K-means算法進(jìn)行入侵節(jié)點(diǎn)識(shí)別。通過分析存在入侵節(jié)點(diǎn)的數(shù)據(jù)集，選取k個(gè)數(shù)據(jù)為最開始的入侵節(jié)點(diǎn)數(shù)據(jù)樣本，之后通過計(jì)算初始聚類數(shù)據(jù)之間的相似性，根據(jù)相似性數(shù)據(jù)特征對(duì)其相鄰的類進(jìn)行歸類處理，計(jì)算出歸類后的聚類均值，更新聚類中心。重復(fù)上述步驟，直到滿足收斂條件為止[16]。由于每次聚類結(jié)果存在差異，并且選擇的聚類中心點(diǎn)存在隨機(jī)性，易導(dǎo)致聚類過程中對(duì)全局?jǐn)?shù)據(jù)未進(jìn)行調(diào)整和優(yōu)化，獲取的初始聚類中心點(diǎn)易導(dǎo)致處理后的數(shù)據(jù)不穩(wěn)定，存在其他入侵?jǐn)?shù)據(jù)等。為此，本文在K-means算法的基礎(chǔ)上進(jìn)行改進(jìn)，具體流程如圖3所示。

2算法性能測(cè)試分析

文中以基于點(diǎn)群聚類的計(jì)算機(jī)網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇算法為實(shí)驗(yàn)項(xiàng)，與文獻(xiàn)[3]算法、文獻(xiàn)[4]算法和文獻(xiàn)[5]算法進(jìn)行實(shí)驗(yàn)對(duì)比。2.1測(cè)試環(huán)境。模擬SNORT的部署方式，搭建小型局域網(wǎng)作為本章仿真實(shí)驗(yàn)的測(cè)試環(huán)境，如圖4所示。2.2實(shí)驗(yàn)數(shù)據(jù)。實(shí)驗(yàn)數(shù)據(jù)為KDDCUP99網(wǎng)絡(luò)數(shù)據(jù)集，是哥倫比亞大學(xué)實(shí)驗(yàn)室從1998年MITLL的IDS數(shù)據(jù)集中整理得到，是最具權(quán)威性的網(wǎng)絡(luò)安全審計(jì)數(shù)據(jù)集。具體數(shù)據(jù)如表2所示。2.3測(cè)試指標(biāo)。本文實(shí)驗(yàn)測(cè)試以TotalScore的最終結(jié)果為指標(biāo)，通過式（7）進(jìn)行計(jì)算：TotalScore=TPR∙(1-FPR)TPR+(1-FPR)-T1100-T21000000（5）式中，TPR為檢測(cè)率；FPR為誤檢率；T1為算法測(cè)試時(shí)間；T2為算法訓(xùn)練時(shí)間。2.4測(cè)試結(jié)果實(shí)驗(yàn)結(jié)果如表。3所示。從表3中可以看出，利用本文算法進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇，最終得到測(cè)試指標(biāo)TotalScore值為2.36，本文算法的誤檢率為4.36%，而文獻(xiàn)[3]、文獻(xiàn)[4]以及文獻(xiàn)[5]入侵節(jié)點(diǎn)選擇算法得到的TotalScore值分別為1.52、1.36和1.45，誤檢率為12.45%、15.21%和11.20%。3種算法的TotalScore值低于本文算法，誤檢率高于本文算法，證明本文算法能夠?qū)W(wǎng)絡(luò)入侵節(jié)點(diǎn)數(shù)據(jù)進(jìn)行準(zhǔn)確分析。

3結(jié)束語

面對(duì)嚴(yán)峻的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)安全問題成為當(dāng)今關(guān)注的焦點(diǎn)。當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)入侵節(jié)點(diǎn)選擇算法無法對(duì)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)進(jìn)行有效分析和處理。本文提出基于點(diǎn)群聚類的選擇算法，該算法有效截取網(wǎng)絡(luò)節(jié)點(diǎn)異常數(shù)據(jù)等，解決了傳統(tǒng)算法無法準(zhǔn)確分析異常網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)的問題。該算法性能較好，具有一定的可行性。

作者:于府平 單位:煙臺(tái)汽車工程職業(yè)學(xué)院