陳曉燕

濮陽市公安局情報(bào)指揮中心 河南 濮陽 457000

引言

網(wǎng)絡(luò)互動(dòng)已經(jīng)越來越成為人類生活中必不可少的部分。但在互聯(lián)網(wǎng)使人類生活越來越便捷的同時(shí)，我們也不可忽視它給我們帶來的風(fēng)險(xiǎn)，網(wǎng)絡(luò)異常流量入侵已經(jīng)成為嚴(yán)峻的挑戰(zhàn)。如何獲得更優(yōu)的網(wǎng)絡(luò)流量預(yù)測(cè)結(jié)果，以避免擁塞、保護(hù)網(wǎng)絡(luò)安全逐漸成為重要議題[1]。傳統(tǒng)的檢測(cè)方式簡單地分為異常入侵檢測(cè)系統(tǒng)和誤用入侵檢測(cè)系統(tǒng)，面對(duì)不斷變化的入侵形勢(shì)時(shí)，難以檢測(cè)到不斷變化發(fā)展的攻擊類型，存在檢測(cè)效率低、擴(kuò)展性較差等問題。

為了解決異常入侵檢測(cè)系統(tǒng)和誤用入侵檢測(cè)系統(tǒng)中存在的問題，本文提出了基于聚類分析算法的網(wǎng)絡(luò)異常流量入侵檢測(cè)方法，以實(shí)現(xiàn)更加精準(zhǔn)地檢測(cè)網(wǎng)絡(luò)異常流量的目標(biāo)。

1 基于聚類分析的網(wǎng)絡(luò)異常流量入侵檢測(cè)方法

1.1 采集網(wǎng)絡(luò)流量數(shù)據(jù)樣本

網(wǎng)絡(luò)流量數(shù)據(jù)樣本的采集是檢測(cè)網(wǎng)絡(luò)異常流量入侵的基礎(chǔ)。本實(shí)驗(yàn)網(wǎng)絡(luò)數(shù)據(jù)樣本采集過程，是在TCP/IP模型下，對(duì)互聯(lián)網(wǎng)中的UDP和TCP報(bào)文進(jìn)行數(shù)據(jù)采集檢測(cè)。大概率情況下，采集過程為：主機(jī)網(wǎng)卡獲得報(bào)文→操作系統(tǒng)協(xié)議棧接收→操作系統(tǒng)協(xié)議棧進(jìn)行層層識(shí)別、丟棄、分析。最終獲得數(shù)據(jù)包，如圖1所示。

圖1 TCP/IP網(wǎng)絡(luò)架構(gòu)模型

但是按這種程序采集到的數(shù)據(jù)包對(duì)于流量分類來說是不夠完善的，因?yàn)榱髁啃畔⒃趨f(xié)議棧進(jìn)行識(shí)別、丟棄、分析的過程中容易出現(xiàn)缺失。因此需要一種能夠捕獲初始數(shù)據(jù)包的工具。WinPcap很好地滿足了此要求。

WinPcap的內(nèi)核模式驅(qū)動(dòng)包含了Netgroup Packet Filte，在常規(guī)操作系統(tǒng)下開放、便捷、面向大眾的網(wǎng)絡(luò)的系統(tǒng)[2]。同時(shí)，WinPcap可以使得Win32平臺(tái)下的程序在Unix平臺(tái)運(yùn)行。并且即便是非常復(fù)雜的函數(shù)，只要經(jīng)過WinPcap的簡單重新編譯，都可以在Win32平臺(tái)下運(yùn)行。并且面對(duì)網(wǎng)絡(luò)監(jiān)聽風(fēng)險(xiǎn)，WinPcap有獨(dú)特的函數(shù)調(diào)用方式。WinPcap的齊全功能，使它得到了廣泛的運(yùn)用。本文的網(wǎng)絡(luò)數(shù)據(jù)流量采集也是基于WinPcap的函數(shù)庫開展的。

1.2 分類網(wǎng)絡(luò)流量類型

上一節(jié)對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)樣本進(jìn)行采集之后，就要對(duì)網(wǎng)絡(luò)流量進(jìn)行分類。在對(duì)流量進(jìn)行分類時(shí)，通常運(yùn)用“流”來描述從源發(fā)送到目的地的一組分組，從更加細(xì)微的角度體現(xiàn)了流量狀態(tài)，這為異常檢測(cè)提供了便利。IP流是網(wǎng)絡(luò)中的一組分組或幀，在一個(gè)時(shí)間間隔內(nèi)可以在網(wǎng)中的某個(gè)點(diǎn)截獲。同屬一個(gè)流的數(shù)據(jù)包若干公共屬性相同。由此可以概述單播流 的定義：

定義1：一個(gè)IP流可以做如下定義：

其中，Proto是傳輸協(xié)議，Port1，2代表源和目標(biāo)傳輸端口；IP1，2則是IP源和目標(biāo)地址。具體可以通過圖2來說明。

圖2 TCP連接通信示例

根據(jù)傳輸原則，我們可以非常清晰地劃分一條流的開始和結(jié)束。由于一個(gè)TPC鏈接包含了從主機(jī)端到客戶端和從客戶端到主機(jī)端兩條不同方向的流。因此，只要搜索第一個(gè)數(shù)據(jù)包的標(biāo)志位，分析是SCB還是SCB+ACB，就可以對(duì)流進(jìn)行區(qū)分[3]。當(dāng)傳輸層協(xié)議并不為我們提供明確的起始信號(hào)和結(jié)束信號(hào)時(shí)，我們就要利用不同UDP流持續(xù)時(shí)間不同這一特點(diǎn)，人為地進(jìn)行劃分。

1.3 基于聚類分析計(jì)算相似度

聚類分析法側(cè)重于對(duì)變量之間相似性的研究，在將相似的變量歸為一類后，得到的結(jié)果是不同類的變量差異度大，同一類的變量差異度低。矩陣通常是表現(xiàn)聚類分析數(shù)據(jù)結(jié)構(gòu)的方式，常用的矩陣分為兩種，具體如下。

第一種是數(shù)據(jù)矩陣。在數(shù)據(jù)矩陣中，如果被分析的數(shù)據(jù)包含a個(gè)對(duì)象，而這a個(gè)對(duì)象有s個(gè)變量。那么數(shù)據(jù)矩陣就可以由以下矩陣表示?？梢詫⒁韵戮仃嚳醋魇菙?shù)據(jù)關(guān)系表的結(jié)構(gòu)。

第二種是相異度矩陣。相異度矩陣大多數(shù)情況下被用來表示不同對(duì)象的相似程度，n個(gè)對(duì)象的相似程度可以用一個(gè)矩陣n表示。用表示第g個(gè)對(duì)象和第l個(gè)對(duì)象之間的相似程度，如果對(duì)象g與l的相似度大，則的數(shù)值?。蝗绻麑?duì)象g與l的相似度小，則的數(shù)值大；如果對(duì)象g與l沒有差異，則相似度用半角矩陣的形式表示如下：

在聚類算法中，數(shù)據(jù)矩陣要轉(zhuǎn)化為相異度矩陣，比較常見的距離量化方法是馬氏(Mahalanobis)距離。馬氏距離表示如下：馬氏距離全面的考慮了數(shù)據(jù)之間的相似程度，并且其計(jì)算方式與數(shù)據(jù)的量綱無關(guān)，關(guān)注到了每一個(gè)微小的變量。

1.4 檢測(cè)入侵的網(wǎng)絡(luò)流量

入侵分析是網(wǎng)絡(luò)入侵檢測(cè)中最為核心的部分，其中算法的選擇直接決定了入侵檢測(cè)的結(jié)果。因此，本論文在基于聚類分析的基礎(chǔ)上，提出了基于Fuzzy ART算法的改進(jìn)K-means算法。

使用聚類分析計(jì)算相似度，將數(shù)據(jù)矩陣轉(zhuǎn)化為相似度矩陣，再用Fuzzy ART網(wǎng)絡(luò)進(jìn)行初聚類，由此可以得到符合數(shù)據(jù)特征分布的n個(gè)中心和聚類個(gè)數(shù)n。再將處理結(jié)果輸入K-means[4-5]。詳細(xì)處理過程為：輸入向量→初始化網(wǎng)絡(luò)→Fuzzy ART聚類→網(wǎng)絡(luò)收斂（不符合則再次進(jìn)行Fuzzy ART聚類）→獲得n及n個(gè)中心→K-means聚類→退出程序，輸出結(jié)果。改進(jìn)的FART K-means能獲得相對(duì)合理的n值和起始中心，且不必大量調(diào)整參數(shù)，算法的復(fù)雜程度為：

其中，q為Fuzzy ART訓(xùn)練集數(shù)據(jù)個(gè)數(shù)，l是聚類個(gè)數(shù)，b是數(shù)據(jù)維數(shù)。由此可見改進(jìn)的FART K-means保存了原始K-means簡單快速的優(yōu)點(diǎn)。一定程度上提高了聚類正確率。

2 應(yīng)用測(cè)試

2.1 實(shí)驗(yàn)準(zhǔn)備

為了驗(yàn)證改進(jìn)的FART K-means算法檢測(cè)網(wǎng)絡(luò)入侵的效果。將傳統(tǒng)的算法和的FART K-means算法在兩種入侵?jǐn)?shù)據(jù)集KDD CuP99h和 ne tattack上進(jìn)行對(duì)比實(shí)驗(yàn)。實(shí)驗(yàn)環(huán)境參數(shù)配置如下：CPU、主頻、內(nèi)存、硬盤、操作系統(tǒng)、編程工具的參數(shù)分別為：Inter Core15、2.66GHZ、 4GB 、Windows 8、MATLAB R2009a。

對(duì)KDD CuP99進(jìn)行數(shù)據(jù)分析，得出land等九種屬性取值是字符型的結(jié)果。再使用C++提取具有這九種屬性的全部值，再進(jìn)一步進(jìn)行編碼數(shù)值化。使用PCA對(duì)樣本進(jìn)行處理，把多維數(shù)據(jù)壓縮為少維數(shù)據(jù)。PCA的處理過程如圖3：

圖3 CPA過程表示

原始多維數(shù)據(jù)集A=(A1,A2,…,AN)p*N經(jīng)過主成分提取函數(shù)f(x)得到少維數(shù)據(jù)集A’=(A’1,A’2,…,A’N)q*N，PCA提取后的數(shù)據(jù)維數(shù)Q遠(yuǎn)少于P。運(yùn)用PCA分析KDD CuP99h，得到18維用于實(shí)驗(yàn)的數(shù)據(jù)，實(shí)現(xiàn)標(biāo)準(zhǔn)化及歸一化預(yù)處理。

2.2 實(shí)驗(yàn)結(jié)果

從中選擇了neptune、smurf、satan、portsweep、warezclient這五類最為常見的攻擊方式作為實(shí)驗(yàn)的優(yōu)先選擇。實(shí)驗(yàn)數(shù)據(jù)共采集4000條。一部分實(shí)驗(yàn)數(shù)據(jù)用于訓(xùn)練，剩余作為測(cè)試使用。在此次實(shí)驗(yàn)過程中，訓(xùn)練數(shù)據(jù)樣本共采集3000條，測(cè)試數(shù)據(jù)樣本700條，樣本分配情況如下表：

表1 樣本分布

用K-means、FART K-means算法對(duì)KDD CUP99數(shù)據(jù)集進(jìn)行聚類，實(shí)驗(yàn)結(jié)果如下表：

由表2可知，傳統(tǒng)的K-means 算法，平均檢測(cè)正確率為75.3%，而FART K-means的平均檢測(cè)正確率達(dá)到了87.9%。相比之下提升了12.6%。在此前提下，改進(jìn)后的K-means算法的平均運(yùn)行速度也比傳統(tǒng)的K-means算法提高了4.3s。綜合實(shí)驗(yàn)結(jié)果，驗(yàn)證了ART K-means聚類分析檢測(cè)，可以更高效的檢測(cè)網(wǎng)絡(luò)異常流量入侵。

表2 兩種K-means算法對(duì)數(shù)據(jù)集的聚類結(jié)果

3 結(jié)束語

本文對(duì)聚類分析算法在網(wǎng)絡(luò)異常流量入侵的應(yīng)用進(jìn)行了初步的研究。在闡明了流量的采集和分類之后，闡述了如何運(yùn)用聚類分析計(jì)算相似性，并且提出了FART K-means在網(wǎng)絡(luò)異常流量入侵情況下的應(yīng)用。實(shí)驗(yàn)證實(shí)了FART K-means算法相比于傳統(tǒng)算法更為高效和準(zhǔn)確。但與此同時(shí)，F(xiàn)ART K-means算法也不可避免地存在樣本數(shù)據(jù)不夠豐富的問題，實(shí)驗(yàn)結(jié)果容易出現(xiàn)誤差。今后可以加大樣本采集規(guī)模，進(jìn)行多次測(cè)試，將誤差控制在最小的范圍內(nèi)，為實(shí)驗(yàn)分析提供更為準(zhǔn)確的數(shù)據(jù)。