高彩霞

摘要：信息化時代下網(wǎng)絡已經(jīng)全面覆蓋人們的日常生活、工作各個方面，網(wǎng)絡技術(shù)的不斷發(fā)展極大地促進我國各個行業(yè)的發(fā)展，網(wǎng)絡辦公已經(jīng)成為企業(yè)工作的常態(tài)，但也由于網(wǎng)絡技術(shù)的發(fā)展各種網(wǎng)絡病毒與黑客攻擊、入侵技術(shù)也隨之增長，對網(wǎng)絡環(huán)境的安全危害性較大，優(yōu)化網(wǎng)絡安全的防御工作，是當下網(wǎng)絡技術(shù)發(fā)展的新方向。筆者以基于k-means算法的網(wǎng)絡數(shù)據(jù)庫入侵檢測技術(shù)為目標，從現(xiàn)階段入侵檢查技術(shù)與傳統(tǒng)聚類算法存在的問題入手，通過實驗反映改進進K-means算法，旨在為現(xiàn)階段網(wǎng)絡入侵提供新的研究反向與視角。

關(guān)鍵詞：k-means算法;網(wǎng)絡數(shù)據(jù)庫;入侵檢測技術(shù)

中圖分類號：TP393? ? ? 文獻標識碼：A? ? ? 文章編號：1009-3044（2019）01-0034-02

1 入侵檢測技術(shù)現(xiàn)狀與數(shù)據(jù)挖掘

網(wǎng)絡技術(shù)的飛速發(fā)展既為人們生活帶來了便利，也出現(xiàn)了安全問題，目前入侵檢測與預防基本都是依靠防火墻技術(shù)，但日趨復雜的網(wǎng)絡環(huán)境，對入侵檢測技術(shù)的要求更高。不僅要實施監(jiān)視網(wǎng)絡流量，還要依據(jù)網(wǎng)絡數(shù)據(jù)傳輸節(jié)點對懷疑數(shù)據(jù)進行標準對比，及時發(fā)現(xiàn)系統(tǒng)漏洞以及網(wǎng)絡攻擊行為。還要承擔起阻斷危險來源節(jié)點，保護自身網(wǎng)絡安全的職責，提高網(wǎng)絡安全等級。就近年來電網(wǎng)企業(yè)所遭受的公網(wǎng)IP與內(nèi)網(wǎng)IP惡意攻擊來看，只依靠各個城域網(wǎng)與廣域網(wǎng)之間的防火墻與IPS等安全設備，無法全面檢測信息網(wǎng)絡技術(shù)的中的異常行為，反應速度，也達不到防護要求。因此近年來，k-means算法、BP神經(jīng)網(wǎng)等逐漸應用到入侵檢測中，在數(shù)據(jù)流量包的基礎上甄別各種攻擊行為和危險語句段，避免網(wǎng)絡信息運行泄露問題。保障信息網(wǎng)絡的安全運行。數(shù)據(jù)挖掘，是從數(shù)據(jù)庫中知識挖掘，提取出大量的未知且具有用戶期望價值的信息，現(xiàn)階段數(shù)據(jù)挖掘也成為如今檢測技術(shù)之一，通過數(shù)據(jù)挖掘結(jié)果調(diào)整策略，減低風險，提高決策的正確率。傳統(tǒng)入侵檢測系統(tǒng)中植入數(shù)據(jù)挖掘技術(shù)，是利用數(shù)據(jù)挖掘算法，在網(wǎng)絡海量數(shù)據(jù)中，過濾掉多數(shù)正常數(shù)據(jù)模式，針對異常要入侵模式構(gòu)建入侵檢測模型，以提高檢測效率，優(yōu)化檢測效果，減少誤檢率[1]。

2 基于K-means 算法的檢測入侵系統(tǒng)結(jié)構(gòu)

基于k-means算法的檢測入侵系統(tǒng)，是新時代網(wǎng)絡環(huán)境下安全防御提出了的新型網(wǎng)絡安全保護技術(shù)，從網(wǎng)絡系統(tǒng)中運行數(shù)據(jù)，監(jiān)控和與保障安全性如入手，依據(jù)k-means算法的聚類算法、迭代算法，更加有效提取網(wǎng)絡信息，深入到統(tǒng)計學、電子計算以及數(shù)據(jù)庫信息整合等多個領(lǐng)域，對網(wǎng)絡運行狀態(tài)進行策略，構(gòu)建網(wǎng)絡正常狀態(tài)下的模，一旦用戶超出了預設的模型，就被定位網(wǎng)絡入侵，以此提高網(wǎng)絡入侵檢測的效果，設置好正常狀態(tài)的行為模式以及預設模式，基于K-means 算法構(gòu)建網(wǎng)絡異常檢測模型，在大數(shù)據(jù)環(huán)境下以提高數(shù)據(jù)選取的準確性和誤報率，縮短數(shù)據(jù)選擇時間。主要的K-means 算法的檢測入侵系統(tǒng)構(gòu)建框架圖1：

k-means算法主要應用于數(shù)據(jù)審計中，利用模式識別方法分析數(shù)據(jù)庫，構(gòu)建模式系統(tǒng)圖，在海量網(wǎng)絡數(shù)據(jù)中辨認出有效的出具，提取出特征碼，并按照類型標準進行分類。聚類算法在應用中，將數(shù)據(jù)輸出轉(zhuǎn)變?yōu)槿舾蓚€聚類，計算各個數(shù)據(jù)之間的差異，用d（i，j）= |x i1 -x j1 | 2 +|x i2 -x j2 | 2 +...+|x ip -x jp | 的算法公式，計算數(shù)據(jù)間的距離。然后再假設數(shù)據(jù)集變量為i，j，具有P個屬性賦權(quán)值，用d（i，j）= w 1 |x i1 -x j1 | 2 +w 2 |x i2 -x j2 | 2 +...+w p |x ip -x jp | ，計算出數(shù)據(jù)差異距離[2]。

從基于K-means 算法的檢測入侵系統(tǒng)的發(fā)生器、分析器、響應元件及事件信息數(shù)據(jù)庫為主，對入侵網(wǎng)絡中的數(shù)據(jù)庫進行檢測，通過檢測途徑獲取確切的信息，對用戶的一系列活動進行監(jiān)控，從而獲取系統(tǒng)運行結(jié)構(gòu)與網(wǎng)絡數(shù)據(jù)庫中的弱點進行識別與反饋，更便于入侵信息檢測，解決網(wǎng)絡運行中的異常問題，保障網(wǎng)絡系統(tǒng)的安全性運行和信息完整性、準確性。所以 K-means算法在應用中，要明確其基本思想，以便于切實監(jiān)控各種違反系統(tǒng)的行為，實現(xiàn)控制與株洲西，對網(wǎng)絡段中發(fā)生的入侵實現(xiàn)盡早控制。 K-means算法的本質(zhì)是采用包含n個數(shù)據(jù)的數(shù)據(jù)集和產(chǎn)生類聚的個數(shù)，把n個數(shù)據(jù)化分成K個子集，針對不同的類聚之間的數(shù)據(jù)進行計算，劃分出同類聚類以及不同類聚，每個聚類以中心值的形式進行表述，通過計算聚類的所有數(shù)據(jù)平均值，獲取中心值。

3 基于K-means 算法的檢測入侵系統(tǒng)的構(gòu)建

基于K-means 算法的檢測入侵系統(tǒng)的結(jié)構(gòu)，在設計中采用了結(jié)構(gòu)體系，是以三段式的入侵信息數(shù)據(jù)具體計算數(shù)據(jù)，依據(jù)統(tǒng)計學的信息保存庫以及網(wǎng)絡探尋信息搜索器、網(wǎng)絡入侵信息分析數(shù)據(jù)庫的控制器件構(gòu)成，利用入侵信息，在網(wǎng)絡檢測系統(tǒng)中，依托于加密傳輸協(xié)議實現(xiàn)遠程數(shù)據(jù)傳輸，將數(shù)值運輸?shù)娇傁到y(tǒng)的信息庫后，再利用數(shù)據(jù)審計與K-means 算法，對整個系統(tǒng)進行檢測，從而實現(xiàn)整個檢測系統(tǒng)。數(shù)據(jù)信息特征碼提取，不能直接在海量數(shù)據(jù)中審計，要構(gòu)建網(wǎng)絡數(shù)值抓取庫，依托于數(shù)據(jù)挖掘與 Snort 網(wǎng)絡特征，用正常模式下新的數(shù)據(jù)進行比對，過濾掉正常數(shù)據(jù)，將異常數(shù)據(jù)通過Snort 網(wǎng)絡數(shù)值抓取庫的 Libpcap設置的網(wǎng)絡數(shù)值，提取出特征碼。數(shù)值抓取庫的設置如下，先創(chuàng)建好Snort 網(wǎng)絡數(shù)值抓取庫以及數(shù)值保存庫，然后對結(jié)構(gòu)查詢信息的校本類文件類型進行核查，設置好table后，再對snort 中的 conf 文件進行編輯，實現(xiàn)Plu-gin 中數(shù)據(jù)值的全面導出到保存庫中，具體操作代碼如下：#/usr/local/bin/mysqladmin-u root-p create snort

#/usr/local/bin/mysql admin-u

Root-p create snort archive

#/usr/local/bin/mysql-u

Root-D snort-p

#/usr/local/bin/mysql –u root -D snort_archive -p

utput database： alert， mysql， user=root password=abc123 db?name=snort host=localhost

構(gòu)建好Snort 網(wǎng)絡數(shù)值抓取庫后，緊接著就要設置好web服務器的Apache。Apache設置一共有三步，一是擴展Apache的代碼，通過代碼設置，拓展mod_ssl代碼，二設置好分析控制臺的ACID的三個功能組間，將Adodb 數(shù)據(jù)庫、ACID軟件包、PHP圖表類依次設置好，，三編輯ACID的配置文件，給Acid_conf.php賦予一定的變量。使用分析控制臺程序ACID作為K-means 算法的使用器，對入侵事件和數(shù)據(jù)進行統(tǒng)計與分析，并將數(shù)據(jù)拓展到相關(guān)的數(shù)據(jù)庫中，利用nmap工具對系統(tǒng)進行X-scan的掃描，將提取的特征碼注入相關(guān)的入侵事件中[3]。

最后進行實驗數(shù)據(jù)檢測，筆者是采用 KDD Cpu99 網(wǎng)絡攻擊數(shù)據(jù)集，針對檢測系統(tǒng)的運行對數(shù)據(jù)進行整理和分析，以MAT-LAB 軟件的計算與仿真結(jié)果，分析利用 K-means 算法構(gòu)建檢測系統(tǒng)的檢測率和誤報率的影響因素。針對實驗數(shù)據(jù)分析可知，適當聚類半徑越大，誤報率就越高，只有當閾值為5時，K-means 算法的檢測率與誤報率受聚類中心數(shù)量的影響，此時在四種不同類型攻擊下，基于K-means 算法的檢測入侵系統(tǒng)檢測率較高。當聚類半徑越大時，誤報率就越大;由圖 4 可得，當取閾值半徑為 5 時，改的K-means 算法在檢測率和誤報率受到聚類中心數(shù)量的影響;由表1可得，當閾值半徑為 5，在四種不同的攻擊類型下，針對不同的攻擊類型，改進的 K-means 在檢測率和誤檢率上是有區(qū)別的[4-5]。

4 結(jié)束語

基于k-means算法改進現(xiàn)有的網(wǎng)絡數(shù)據(jù)庫入侵檢測技術(shù)，是利用k-means的聚類算法、迭代算法，針對現(xiàn)階段數(shù)據(jù)庫入侵方式與入侵渠道，提出優(yōu)化算法，以解決云改進傳統(tǒng)聚類算法在伸縮性與數(shù)據(jù)定期更新中存在的問題，提高信息安全的防御效果，構(gòu)建高效、科學、精準的數(shù)據(jù)入侵檢測平臺，優(yōu)化網(wǎng)絡入侵檢測系統(tǒng)。

參考文獻：

[1] 劉華春， 候向?qū)帲?楊忠. 基于改進K均值算法的入侵檢測系統(tǒng)設計[J]. 計算機技術(shù)與發(fā)展， 2016， 26（1）： 101-105.

[2] 吳彥博. 基于數(shù)據(jù)挖掘的網(wǎng)絡入侵檢測關(guān)鍵技術(shù)的分析[J]. 職大學報， 2016（2）： 101-103.

[3] 鳳祥云. 基于K-Means聚類算法入侵檢測系統(tǒng)研究[J]. 電腦知識與技術(shù)， 2016， 12（16）： 49-51.

[4] 孫章才， 車勇波， 姚莉， 等. 基于改進K-means算法在電網(wǎng)企業(yè)網(wǎng)絡入侵檢測中的應用[J]. 信息通信， 2016（9）： 12-13.

[5] 陳培毅. 基于K-means算法檢測網(wǎng)絡安全可行性研究[J]. 自動化與儀器儀表， 2017（8）： 102-103， 106.