導(dǎo)語：計算機(jī)網(wǎng)絡(luò)入侵節(jié)點選擇算法研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：為解決傳統(tǒng)計算機(jī)網(wǎng)絡(luò)入侵節(jié)點選擇算法存在選擇準(zhǔn)確性差，工作效率低的問題，本文提出研究基于點群聚類的計算機(jī)網(wǎng)絡(luò)入侵節(jié)點選擇算法。該算法首先進(jìn)行入侵節(jié)點數(shù)據(jù)收集，對獲取到的數(shù)據(jù)進(jìn)行清洗、歸約、轉(zhuǎn)換等處理。利用點群聚類中的K-means算法識別入侵節(jié)點，實現(xiàn)了計算機(jī)網(wǎng)絡(luò)入侵節(jié)點選擇。仿真結(jié)果表明：通過本文算法對計算機(jī)網(wǎng)絡(luò)入侵節(jié)點進(jìn)行選擇的綜合性能TotalScore值較高，用時較短，證明本算法能在更短的時間內(nèi)實現(xiàn)網(wǎng)絡(luò)入侵節(jié)點選擇，更利于預(yù)防非法節(jié)點入侵，保護(hù)網(wǎng)絡(luò)安全。

關(guān)鍵詞：點群聚類；計算機(jī)網(wǎng)絡(luò)；入侵節(jié)點；選擇算法

在當(dāng)今信息化時代，人們對信息的獲取需求越來越大，多數(shù)領(lǐng)域需要借助計算機(jī)信息網(wǎng)絡(luò)通信技術(shù)進(jìn)行數(shù)據(jù)挖掘、傳輸、交互等。在這樣的背景下，信息傳輸方式也隨之發(fā)生重大改變，從最初的單根導(dǎo)線、雙絞線、同軸電纜等發(fā)展到了現(xiàn)在的光纖激光網(wǎng)絡(luò)[1]。光纖網(wǎng)絡(luò)具有自組網(wǎng)和廣分布等特點，導(dǎo)致光纖網(wǎng)絡(luò)節(jié)點被入侵的發(fā)生率逐年上漲。光纖網(wǎng)絡(luò)節(jié)點入侵不僅造成通信中斷，還會造成信息泄露，給社會各方面造成嚴(yán)重影響。在這種背景下，對計算機(jī)光纖網(wǎng)絡(luò)入侵節(jié)點進(jìn)行選擇具有重要的現(xiàn)實意義[2]。目前，對光纖網(wǎng)絡(luò)入侵節(jié)點選擇的研究很多，相關(guān)研究人員提出了許多選擇算法。文獻(xiàn)[3]提出H-C4.5-NB網(wǎng)絡(luò)節(jié)點入侵檢測方法。該方法通過計算網(wǎng)絡(luò)入侵節(jié)點出現(xiàn)的概率，進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)類別的劃分，并由C4.5和NB概率加權(quán)和的形式給出最終的決策結(jié)果。該方法有效提高了對網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的分析，但該方法對網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的處理不完善。文獻(xiàn)[4]提出基于模糊關(guān)聯(lián)規(guī)則挖掘的網(wǎng)絡(luò)入侵檢測算法。該方法通過收集網(wǎng)絡(luò)數(shù)據(jù)，分析網(wǎng)絡(luò)入侵行為特征，采用模糊關(guān)聯(lián)規(guī)則算法對入侵?jǐn)?shù)據(jù)挖掘等，完成了網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的檢測。但該方法對入侵?jǐn)?shù)據(jù)檢測的效率未過多考慮。針對上述方法存在的問題，文中將點群聚類算法應(yīng)用其中，提出基于點群聚類的計算機(jī)網(wǎng)絡(luò)入侵節(jié)點選擇算法。該算法是通過比較樣本中各節(jié)點數(shù)據(jù)之間的性質(zhì)，將性質(zhì)相近數(shù)據(jù)進(jìn)行聚類等，實現(xiàn)異常節(jié)點辨別。實驗結(jié)果表明：文中基于點群聚類的計算機(jī)網(wǎng)絡(luò)入侵節(jié)點選擇算法在入侵節(jié)點選擇上效率更高。

1網(wǎng)絡(luò)入侵節(jié)點選擇算法研究

防火墻等傳統(tǒng)靜態(tài)防御很難應(yīng)對層出不窮的入侵，本文設(shè)計入侵檢測算法模型。其中，事件產(chǎn)生器用于獲取入侵節(jié)點數(shù)據(jù)，主要包括網(wǎng)絡(luò)數(shù)據(jù)包、系統(tǒng)日志、用戶活動行為數(shù)據(jù)等；事件處理器對收集到的原數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理；事件分析器對這些數(shù)據(jù)進(jìn)行分析，找出其中存在入侵特征的數(shù)據(jù)；響應(yīng)單元根據(jù)結(jié)果選擇相應(yīng)的處理措施，如告警或通知、終止進(jìn)程、切斷連接等；事件數(shù)據(jù)庫負(fù)責(zé)儲存數(shù)據(jù)，包括收集到的原始數(shù)據(jù)、處理后的數(shù)據(jù)等[6]。文中基于點群聚類的計算機(jī)網(wǎng)絡(luò)入侵節(jié)點選擇算法，基本流程如圖1所示。1.1入侵節(jié)點數(shù)據(jù)獲取。入侵節(jié)點選擇的第一步是從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中選擇若干個節(jié)點數(shù)據(jù)信息，有效獲取數(shù)據(jù)。由于原始數(shù)據(jù)信息無法支撐結(jié)果識別，通過分析原始網(wǎng)絡(luò)數(shù)據(jù)信息的不一致性，確認(rèn)入侵?jǐn)?shù)據(jù)的特征類型[7]。按照數(shù)據(jù)不同類型特征，入侵節(jié)點數(shù)據(jù)收集方法選擇基于系統(tǒng)日志的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集。1）基于系統(tǒng)日志的數(shù)據(jù)收集在計算機(jī)網(wǎng)絡(luò)運行中，用戶活動情況和行為數(shù)據(jù)都會被記錄，將用戶數(shù)據(jù)通過日志的形式記錄在計算機(jī)系統(tǒng)中，因此通過系統(tǒng)日志進(jìn)行數(shù)據(jù)收集[8]。2）基于網(wǎng)絡(luò)的數(shù)據(jù)包采集用戶數(shù)據(jù)節(jié)點存在于計算機(jī)網(wǎng)絡(luò)傳輸數(shù)據(jù)包中，這些數(shù)據(jù)包中可能包含入侵者傳輸?shù)牟《镜任ｋU信息，因此需要對數(shù)據(jù)包進(jìn)行截取[9]。本文數(shù)據(jù)包截取方法不影響數(shù)據(jù)包中數(shù)據(jù)的傳輸，對其僅起到探視作用[10]。當(dāng)數(shù)據(jù)包中含有異常數(shù)據(jù)信息時，會立即被發(fā)現(xiàn)，此時才會進(jìn)行異常數(shù)據(jù)的截取。1.2入侵節(jié)點數(shù)據(jù)處理。獲取的入侵節(jié)點數(shù)據(jù)不能直接用于入侵識別中，需要進(jìn)行清洗、歸約、轉(zhuǎn)換等，之后導(dǎo)入到事件數(shù)據(jù)庫當(dāng)中。1）數(shù)據(jù)清洗獲取的入侵節(jié)點數(shù)據(jù)中可能存在不一致性、重復(fù)、不完整、錯誤、違反業(yè)務(wù)規(guī)則等問題，為保證數(shù)據(jù)質(zhì)量，將存在問題的數(shù)據(jù)信息進(jìn)行清理[11]。清洗方法如表1所示。2020年第17期2）數(shù)據(jù)歸約數(shù)據(jù)樣本數(shù)量過大，會增加計算量，降低分析準(zhǔn)確性，需要進(jìn)行歸約[12]，在盡可能保持?jǐn)?shù)據(jù)原貌的基礎(chǔ)上，盡量縮減數(shù)據(jù)規(guī)模。本文主要通過主成分分析方法進(jìn)行數(shù)據(jù)歸約，首先將數(shù)據(jù)標(biāo)準(zhǔn)化處理，消除量綱；然后判斷KMO值是否可以進(jìn)行主成分分析處理；再計算相關(guān)系數(shù)矩陣、特征值、相應(yīng)的貢獻(xiàn)率、累計貢獻(xiàn)率以及載荷矩陣；最后給出主成分表達(dá)式，得出主成分。3）數(shù)據(jù)轉(zhuǎn)換不同的數(shù)據(jù)有不同的表示形式，為了能夠適用于查詢和分析，需要將其轉(zhuǎn)換為另一種表現(xiàn)形式[13]。本文數(shù)據(jù)轉(zhuǎn)換的方式是先將數(shù)據(jù)進(jìn)行平滑處理，去除數(shù)據(jù)中存在的噪聲，合并處理之后的數(shù)據(jù)，之后對數(shù)據(jù)泛化處理，構(gòu)建數(shù)據(jù)特征屬性。1.3入侵節(jié)點識別基于上述步驟，利用點群聚類算法進(jìn)行入侵節(jié)點識別，實現(xiàn)入侵節(jié)點選擇。點群聚類是隸屬于數(shù)據(jù)挖掘領(lǐng)域的分支，其以相似性為基礎(chǔ)，通過計算樣本數(shù)據(jù)與特征屬性值之間相似性程度，判斷樣本所屬類別[14]，基本工作流程如圖2所示。在點群聚類分析當(dāng)中，分析數(shù)據(jù)相似度度量是關(guān)鍵。相似度度量通過計算維空間中的距離實現(xiàn)[15]，距離越小相似性越高，反之，則越低。文中相似性度量的計算方法通過求取Minkowski距離實現(xiàn)。設(shè)m為樣本空間的維數(shù)，對于任意樣本對象N=[N]1,N2,...,Nm與Q=[Q]1,Q2,...,Qm之間的距離為：L(N),Q=æèçöø∑÷i=1mN||i-Qij1j(j＞0)（1）當(dāng)j=1時，曼哈頓距離為：L1(N,Q)=∑i=1mN||i-Qi（2）當(dāng)j=2時，歐氏距離為：L2(N,Q)=∑i=1mN||i-Qi2（3）當(dāng)j=∞時，切比雪夫距離為：L3(N,Q)=max1≤i≤mN||i-Qi（4）劃分類型、層次分解類型以及基于密度類型等都屬于點群聚類劃分類型，本文選擇劃分類型中K-means算法進(jìn)行入侵節(jié)點識別。通過分析存在入侵節(jié)點的數(shù)據(jù)集，選取k個數(shù)據(jù)為最開始的入侵節(jié)點數(shù)據(jù)樣本，之后通過計算初始聚類數(shù)據(jù)之間的相似性，根據(jù)相似性數(shù)據(jù)特征對其相鄰的類進(jìn)行歸類處理，計算出歸類后的聚類均值，更新聚類中心。重復(fù)上述步驟，直到滿足收斂條件為止[16]。由于每次聚類結(jié)果存在差異，并且選擇的聚類中心點存在隨機(jī)性，易導(dǎo)致聚類過程中對全局?jǐn)?shù)據(jù)未進(jìn)行調(diào)整和優(yōu)化，獲取的初始聚類中心點易導(dǎo)致處理后的數(shù)據(jù)不穩(wěn)定，存在其他入侵?jǐn)?shù)據(jù)等。為此，本文在K-means算法的基礎(chǔ)上進(jìn)行改進(jìn)，具體流程如圖3所示。

2算法性能測試分析

文中以基于點群聚類的計算機(jī)網(wǎng)絡(luò)入侵節(jié)點選擇算法為實驗項，與文獻(xiàn)[3]算法、文獻(xiàn)[4]算法和文獻(xiàn)[5]算法進(jìn)行實驗對比。2.1測試環(huán)境。模擬SNORT的部署方式，搭建小型局域網(wǎng)作為本章仿真實驗的測試環(huán)境，如圖4所示。2.2實驗數(shù)據(jù)。實驗數(shù)據(jù)為KDDCUP99網(wǎng)絡(luò)數(shù)據(jù)集，是哥倫比亞大學(xué)實驗室從1998年MITLL的IDS數(shù)據(jù)集中整理得到，是最具權(quán)威性的網(wǎng)絡(luò)安全審計數(shù)據(jù)集。具體數(shù)據(jù)如表2所示。2.3測試指標(biāo)。本文實驗測試以TotalScore的最終結(jié)果為指標(biāo)，通過式（7）進(jìn)行計算：TotalScore=TPR∙(1-FPR)TPR+(1-FPR)-T1100-T21000000（5）式中，TPR為檢測率；FPR為誤檢率；T1為算法測試時間；T2為算法訓(xùn)練時間。2.4測試結(jié)果實驗結(jié)果如表。3所示。從表3中可以看出，利用本文算法進(jìn)行計算機(jī)網(wǎng)絡(luò)入侵節(jié)點選擇，最終得到測試指標(biāo)TotalScore值為2.36，本文算法的誤檢率為4.36%，而文獻(xiàn)[3]、文獻(xiàn)[4]以及文獻(xiàn)[5]入侵節(jié)點選擇算法得到的TotalScore值分別為1.52、1.36和1.45，誤檢率為12.45%、15.21%和11.20%。3種算法的TotalScore值低于本文算法，誤檢率高于本文算法，證明本文算法能夠?qū)W(wǎng)絡(luò)入侵節(jié)點數(shù)據(jù)進(jìn)行準(zhǔn)確分析。

3結(jié)束語

面對嚴(yán)峻的計算機(jī)網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)安全問題成為當(dāng)今關(guān)注的焦點。當(dāng)前計算機(jī)網(wǎng)絡(luò)入侵節(jié)點選擇算法無法對網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)進(jìn)行有效分析和處理。本文提出基于點群聚類的選擇算法，該算法有效截取網(wǎng)絡(luò)節(jié)點異常數(shù)據(jù)等，解決了傳統(tǒng)算法無法準(zhǔn)確分析異常網(wǎng)絡(luò)節(jié)點數(shù)據(jù)的問題。該算法性能較好，具有一定的可行性。

作者:于府平 單位:煙臺汽車工程職業(yè)學(xué)院