李松濤

摘要：隨著時代的進(jìn)步和社會經(jīng)濟(jì)的發(fā)展，電子計算機(jī)技術(shù)發(fā)展迅速，被廣泛應(yīng)用于各個領(lǐng)域內(nèi)。計算機(jī)網(wǎng)絡(luò)可以實現(xiàn)資源共享，可以提高工作效率，但是也出現(xiàn)了嚴(yán)重的網(wǎng)絡(luò)安全問題，經(jīng)常會受到一些攻擊和非法的訪問；針對這種情況，就需要采用入侵檢測系統(tǒng)，進(jìn)行主動安全防護(hù)。該文簡要分析了基于蟻群聚類算法的數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用，希望可以提供一些有價值的參考意見。

關(guān)鍵詞：網(wǎng)絡(luò)安全；蟻群算法；入侵檢測

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）04-0707-02

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和應(yīng)用，網(wǎng)絡(luò)安全問題隨之出現(xiàn)，經(jīng)常會出現(xiàn)非法訪問以及攻擊等問題；網(wǎng)絡(luò)安全問題會對人們的正常生活和工作產(chǎn)生影響，甚至對于國家安全也會造成威脅，因此，需要引起人們足夠的重視。入侵檢測技術(shù)目前受到了越來越多人的重視，它可以進(jìn)行主動的檢測和防御，對網(wǎng)絡(luò)和系統(tǒng)中存在的入侵和攻擊進(jìn)行實時檢測和識別，并且采取一一系列的措施進(jìn)行挖掘。數(shù)據(jù)挖掘技術(shù)可以將海量審計數(shù)據(jù)中的那些異常行為特征數(shù)據(jù)進(jìn)行發(fā)現(xiàn)，這樣就可以降低人工分析以及編碼的工作量，因此在入侵檢測中可以有效的應(yīng)用數(shù)據(jù)挖掘技術(shù)。

1 入侵檢測概述

入侵指的是對計算機(jī)系統(tǒng)或資源的完整性、機(jī)密性等進(jìn)行威脅的行為；入侵檢測指的是檢測行為，對這些異常非法的入侵行為進(jìn)行檢測，對計算機(jī)網(wǎng)絡(luò)或者系統(tǒng)中相關(guān)關(guān)鍵詞信息進(jìn)行收集，分析和研究這些信息，找出網(wǎng)絡(luò)或者系統(tǒng)是否遭到攻擊或者某些行為違反了安全策略。

入侵檢測系統(tǒng)包括了入侵檢測的軟件和硬件，有效補(bǔ)充了系統(tǒng)中的防火墻，可以對網(wǎng)絡(luò)攻擊進(jìn)行預(yù)防，這樣系統(tǒng)管理員的安全決策能力就得到了大大的提高，促使系統(tǒng)安全得到了保證。入侵檢測系統(tǒng)在監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)時，是不需要對網(wǎng)絡(luò)傳輸性能產(chǎn)生影響的，并且還具有其他的實時保護(hù)能力，比如應(yīng)對內(nèi)外部攻擊等等。通常情況下，入侵檢測系統(tǒng)包括這些組件：

1）數(shù)據(jù)源：數(shù)據(jù)源指的是入侵檢測系統(tǒng)所等待處理的原始網(wǎng)絡(luò)傳輸數(shù)據(jù)，包括諸多的組成部分，比如原始網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序?qū)徲嬋罩?、系統(tǒng)校驗數(shù)據(jù)等等，之后的操作都是基于這些對象上進(jìn)行的。

2）傳感器：傳感器主要是對數(shù)據(jù)源中的相關(guān)原始數(shù)據(jù)進(jìn)行收集。不同算法的入侵檢測系統(tǒng)具有不同的收集數(shù)據(jù)方式。

3）分析器：分析器主要是對傳感器收集到的數(shù)據(jù)進(jìn)行分析和處理，結(jié)合處理結(jié)果，來采取一系列的措施來應(yīng)對異常情況；入侵檢測系統(tǒng)的核心部件是分析器，它會對入侵檢測系統(tǒng)的檢測性能和處理異常的能力產(chǎn)生直接影響。

4）行為：數(shù)據(jù)源的表征實例用行為來表示，主要是對某個數(shù)據(jù)的行為方式進(jìn)行表征；行為數(shù)據(jù)包括了所有的數(shù)據(jù)，涵蓋了正常的用戶操作行為，不僅是正常的偶然行為，也可能是惡意的非法攻擊。

2 聚類分析技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用

在入侵檢測中應(yīng)用聚類算法，需要評估聚類算法的相關(guān)性能，比如聚類的簇的標(biāo)準(zhǔn)、時間的復(fù)雜度等；主要的聚類方法可以分為兩個步驟，一個步驟是構(gòu)建模型，另一個步驟就是模型評估。在入侵檢測中應(yīng)用聚類分析技術(shù)，主要從這些步驟來完成：

一是收集原始數(shù)據(jù)：在入侵檢測前，需要收集待分析的網(wǎng)絡(luò)數(shù)據(jù)，利用抓包工具將網(wǎng)絡(luò)傳輸過程中的數(shù)據(jù)包給收集過來，但是在聚類分析時，是不能夠采用原始的網(wǎng)絡(luò)數(shù)據(jù)，那么就需要用連接記錄來替代網(wǎng)絡(luò)數(shù)據(jù)，每一個連接數(shù)據(jù)都包括了諸多的屬性內(nèi)容，比如連接起始時間、目的IP地址、源IP地址以及TCP標(biāo)志等等。為了將檢測效率進(jìn)行提高，還可以將統(tǒng)計信息加入到記錄中，這些統(tǒng)計信息包括的是連接數(shù)，與當(dāng)前連接有著相同的服務(wù)類型。

二是數(shù)據(jù)的標(biāo)準(zhǔn)化：從數(shù)據(jù)包收集過來的數(shù)據(jù)具有的單位和維度都是存在差異的，那么就需要標(biāo)準(zhǔn)化處理這些數(shù)據(jù)，以此來消除對數(shù)據(jù)的影響，標(biāo)準(zhǔn)化的公式是這樣的：

三是數(shù)據(jù)的初始化聚類：數(shù)據(jù)包經(jīng)過標(biāo)準(zhǔn)化操作之后，得到的數(shù)據(jù)集就可以進(jìn)行聚類分析，然后結(jié)合初始數(shù)據(jù)的具體情況來對聚類算法進(jìn)行選擇，實現(xiàn)初始化聚類分析的目的。

四是蟻群優(yōu)化聚類分析初始化聚類結(jié)果：本提出了蟻群優(yōu)化聚類算法來在此區(qū)分同一類型的簇，聚類中心為每一個特征向量，分析和處理這些聚類中心，然后最大限度的分離網(wǎng)絡(luò)數(shù)據(jù)的合法行為和非法行為。

五是實時入侵檢測：結(jié)合蟻群優(yōu)化聚類分析初始化聚類結(jié)果來入侵檢測當(dāng)前數(shù)據(jù)，結(jié)合檢測的結(jié)果，來采取一系列措施，如果入侵行為被檢測到，那么系統(tǒng)就可以采取相應(yīng)的保護(hù)措施，比如將防火墻開啟下來，將網(wǎng)絡(luò)斷開，或者是向管理員通知等等。一般的做法就是標(biāo)記聚類結(jié)果中的距離小于某個具體的閥值的類，向報警器中送入這些異常數(shù)據(jù)，報警結(jié)合連接的提示信息來采取一系列的反應(yīng)措施。

3 蟻群算法概述

螞蟻系統(tǒng)是由某個意大利學(xué)者提出來的，它的提出基礎(chǔ)是螞蟻在尋找食物的過程中，總是從螞蟻巢穴和食物源之間的最短路徑出發(fā)的；在網(wǎng)絡(luò)入侵檢測中成功應(yīng)用蟻群算法，可以更好的發(fā)現(xiàn)最優(yōu)解。具體來講，可以從這些方面來理解：

一是蟻群系統(tǒng)的抽象模型：我們假設(shè)n個城市的集合用C={C1，C2.C3..Cn}來表示，C中兩兩相連的集合用L來表示，G=（C，L）表示一個圖，兩個城市之間的距離是已知的，那么一群算法就是從這個圖中將長度最短的路徑給找出來。為了對蟻群系統(tǒng)的模型進(jìn)行合理構(gòu)建，需要設(shè)置一些變量，分別是螞蟻的數(shù)量、兩城市之間的距離、本次迭代中邊上的信息素的增量等。在蟻群系統(tǒng)中，有一些約束是需要遵循的，比如蟻群經(jīng)過一個邊，就會將一定量的信息素留在此邊上，螞蟻在確定下一個訪問的城市時，會結(jié)合轉(zhuǎn)移概率函數(shù)來確定；完成了一次循環(huán)之后，對于剛才已經(jīng)訪問過的城市，是不允許螞蟻再次訪問的，由螞蟻對象的禁忌表來控制本約束，螞蟻經(jīng)過的所有城市都在本禁忌表中儲存，也就是說螞蟻下次不能再對這個城市進(jìn)行訪問。

二是蟻群系統(tǒng)的算法表示：首先是初始化步驟，將計時器、迭代次數(shù)計算器以及信息素增量等都設(shè)為0，在初始階段，禁忌表是空的，在n個節(jié)點上隨機(jī)放置m只螞蟻，設(shè)置禁忌表索引為1，；重復(fù)n-1直到禁忌表滿了為止。最后一個步驟就是對目前得到的最短路徑進(jìn)行記錄，將所有禁忌表清空。

4 結(jié)束語

通過上文的敘述分析我們可以得知，電子計算機(jī)技術(shù)在給人們的生活和工作帶來極大便利的同時，也帶來了嚴(yán)重的網(wǎng)絡(luò)安全問題，會經(jīng)常遭受到非法訪問和攻擊，影響到資源和系統(tǒng)的安全性。針對這種情況，就需要采取一系列的安全防護(hù)措施，其中非常重要的一種就是數(shù)據(jù)挖掘技術(shù)，將蟻群聚類算法應(yīng)用到數(shù)據(jù)挖掘技術(shù)中，具有一系列的優(yōu)點；在未來一段時期內(nèi)，還需要相關(guān)的工作人員不斷的努力。

參考文獻(xiàn)：

[1] 陳軍，徐蕾.用一種改進(jìn)的蟻群聚類算法進(jìn)行網(wǎng)絡(luò)入侵檢測[J].沈陽航空工業(yè)學(xué)院學(xué)報，2010，2（1）：123-125.

[2] 苗京，黃紅星，程衛(wèi)生.基于蟻群模糊聚類算法的圖像邊緣檢測[J].武漢大學(xué)學(xué)報，2005，2（5）：98-99.

[3] 張建華，江賀，張憲超.蟻群聚類算法綜述[J].計算機(jī)工程與應(yīng)用，2006，2（16）：43-46.

[4] 謝慧，吳小平，張志剛.基于蟻群聚類的入侵檢測技術(shù)研究[J].計算機(jī)應(yīng)用研究，2010，2（8）：98-99.

[5] 胡昊.基于蟻群聚類算法的數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].江蘇科技大學(xué)，2012，2（1）：54-57.