湖北工业大学 谢继韬

基于k-means聚类算法的入侵检测系统的研究与实现

湖北工业大学 谢继韬

本文通过将模式识别中的K近邻算法和K-均值算法融合在一起，将其运用到入侵检测领域中，使它能够适应入侵检测的需要，通过实验分析表明，在运用结合之后的算法后，系统不仅能够保证实时性，并且具有了一定的未知入侵检测能力。

聚类算法；入侵检测；研究

伴随着网络和计算机技术的遍及和迅猛发展，无数的网络用户正面临着日趋严重的安全问题，计算机安全和网络安全，现在最大的威胁就是网络攻击和入侵，作为当今比较多的安全防护技术中的主动防御方式的入侵检测技术，已经成为了当今网络安全研究的一个非常重要的研究课题。模式识别同样也是计算机领域中研究的一个比较热的课题，模式识别在样本数据的聚类和分类方面已经取得了比较良好的效果，聚类算法和分类算法具有很多优点，比如成熟度高、速度快等。

随着Internet高速发展，个人、企业以及政府部门越来越多地依靠网络来传输信息，正由于网络的开放性和共享性，使它容易被外界攻击和破坏，信息安全的保密性受到严重影响。网络安全问题已成为世界各国政府，企业和广大互联网用户最关心的一个问题[1]-[4]。

IDS（入侵检测），通俗地说，也就是对入侵行为的发现，它通过计算机网络或计算机系统中有一些关键点收集信息和分析来自网络或系统是否有违反安全策略和攻击的迹象。入侵检测的软件与硬件的组合便是入侵检测系统（入侵检测系统IDS）。从其他安全产品不同，需要更智能的入侵检测系统，它必须是能够获得的数据进行分析，和有用的结果。一个合格的入侵检测系统可以大大简化管理员的工作，以确保网络的安全运行。

IDS（入侵检测系统）技术被定义为：识别恶意意图和行为的计算机或网络资源的过程中，作出回应。IDS是一个独立的系统来完成上述功能。IDS可以检测系统的入侵企图或行为（入侵）技术授权的对象（人或程序），同时监控授权的系统资源（滥用）的非法营运的对象。

入侵分析的任务是要提取的巨大数据来发现入侵的痕迹。入侵分析过程将需要提取检测规则进行了比较，发现入侵事件和入侵。一方面尽可能地提取数据，以便获得足够的证据证明入侵；另一方面，由于千变万化的入侵，并导致日益复杂的规则，以确定入侵，入侵检测技术的入侵检测系统入侵分析，以确保效率，并满足实时要求，必须权衡系统的性能测试设计和分析战略的能力，并有可能牺牲一部分，以确保可靠的检测技术，运行稳定，响应速度快。

分析策略是入侵分析的核心，系统的检测技术能力，在很大程度上取决于分析策略。通常被定义为完全独立的检测技术规则的实施、分析、策略。定义基于网络的入侵检测系统的规则，通常使用的消息模式匹配序列，检测技术将听消息模式匹配序列比较结果进行比较，以确定是否有非正常的网络行为。因此，入侵检测技术不能主要是看过程可以映射到基于对网络数据包的序列模式匹配的入侵或它的主要特点。一些入侵地图，如ARP欺骗是容易的，但一些入侵是困难的地图，如病毒是从互联网上下载。一些入侵，即使在理论上可以被映射，但实施是不可行的，例如，一些网络行为需要通过非常复杂的步骤或更长的过程中，以证明其入侵特点，这样的行为是由于非常大的模式匹配的序列，需要大量的数据包匹配，所以实际上是不可行的。然而，由于多层协议分析的需要，或有一些入侵行为，是在强烈的背景下，需要消耗大量的处理能力，检测技术，因此在实现有很大的困难。

模式识别是一个基本的人类的智慧，在日常生活中，经常在“模式识别”。在20世纪40年代和50年代出现的计算机，人工智能的兴起，在20世纪60年代初的快速发展，并成为一门新的学科。

而“模式识别”则是在某些一定量度或观测基础上把待识模式划分到各自的模式类中去。什么是模式和模式识别？从广义上讲，有事情可以观察到的时间和空间，如果它可以区分它们是否相同或相似的，可以称之为模式，狭隘的，模式是通过观察特定个人的事情，与时间和空间分布的信息；格局属于类或相同的类模型一般称为模式类（或简称为类）。模式识别是被认模式被分为一定的措施或观察的基础上，总称模式类。

[1]王艳华，马志强.藏露入侵检测技术在网络安全中的应用与研究.信息技术，2009，6：41-44.

[2]夏煜，郎荣玲，戴冠中入侵检测系统的智能检测技术研究综述.计算机工程与应用，2001，24：32-34.

[3]壬强.计算机安全入侵检测方案的实现.计算机与信息技术，2007，14：288，320.

[4]张志刚，吴建设.入侵检测技术在网络安全中的应用.黄石理工学院学报，2008.24(5)：l3-15.

2017-09-10）