技術(shù)領(lǐng)域

本發(fā)明涉及入侵檢測(cè)網(wǎng)絡(luò)安全領(lǐng)域，特別涉及一種基于改進(jìn)的K-Means聚類算法的網(wǎng)絡(luò)異常檢測(cè)方法。

背景技術(shù)

入侵檢測(cè)指的是從計(jì)算機(jī)網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)收集信息，并且分析這些信息，查看網(wǎng)絡(luò)中是否存在違反安全策略的行為。入侵檢測(cè)可以說(shuō)是防火墻的合理補(bǔ)充和延伸；如果說(shuō)防火墻是第一道安全閘門，入侵檢測(cè)可以說(shuō)是第二道安全閘門。入侵檢測(cè)在不影響網(wǎng)絡(luò)性能的前提下，實(shí)時(shí)、動(dòng)態(tài)地保護(hù)來(lái)自內(nèi)部和外部的各種攻擊，同時(shí)有效地彌補(bǔ)了防火墻所能達(dá)到的防護(hù)極限。

傳統(tǒng)的入侵檢測(cè)技術(shù)是應(yīng)用規(guī)則集方法的技術(shù)，用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略的行為，這說(shuō)明只有匹配了預(yù)先定義的規(guī)則，才能檢測(cè)出流量是否異常。這種做法最大的局限性在于無(wú)法檢測(cè)出規(guī)則集之外的異常類型，若網(wǎng)絡(luò)中出現(xiàn)了新型攻擊類型，傳統(tǒng)的規(guī)則匹配方法將不可行。此外，規(guī)則集的制定也將耗費(fèi)網(wǎng)絡(luò)監(jiān)控人員大量的時(shí)間與精力，并且需要不時(shí)地更新規(guī)則集。

針對(duì)傳統(tǒng)入侵檢測(cè)技術(shù)的局限性，人們將機(jī)器學(xué)習(xí)應(yīng)用到入侵檢測(cè)上，可以有效地解決人工繁瑣的操作過(guò)程，降低誤檢率，并且具有實(shí)時(shí)性的特點(diǎn)。由于實(shí)時(shí)抓取的流量沒(méi)有標(biāo)記為正常或是異常類型，在缺乏足夠的先驗(yàn)知識(shí)情況下，一般選擇采用無(wú)監(jiān)督學(xué)習(xí)的K-Means聚類算法。K-Means聚類算法將正常類型聚為一類，其他異常類型各自形成簇，與匹配異常規(guī)則集不同的是，這樣只需要找出不屬于正常類的樣本即是異常的，這樣可以有效地檢測(cè)出新的異常類型。此外針對(duì)誤入正常類的異常樣本，還使用概率閾值規(guī)則來(lái)檢測(cè)出來(lái)，降低了漏檢率，提高準(zhǔn)確性。

發(fā)明內(nèi)容

本發(fā)明為克服上述現(xiàn)有技術(shù)所述的至少一種缺陷，提出了一種基于K-Means聚類算法的網(wǎng)絡(luò)異常檢測(cè)方法，此方法應(yīng)用三個(gè)異常檢測(cè)判決條件，比K-Means聚類之后僅以最近鄰規(guī)則來(lái)判別異常樣本的方法來(lái)說(shuō)，具有更高的準(zhǔn)確率，有效地降低了誤檢率。

為達(dá)到上述目的，本發(fā)明的技術(shù)方案具體為：

一種基于改進(jìn)的K-Means聚類算法的網(wǎng)絡(luò)異常檢測(cè)方法，包括：

步驟1，讀取數(shù)據(jù)及預(yù)處理：讀取訓(xùn)練數(shù)據(jù)，對(duì)訓(xùn)練數(shù)據(jù)進(jìn)行歸一化預(yù)處理，隨機(jī)選取K個(gè)聚心C₁,C₂,…,C_K；

步驟2，計(jì)算歐氏距離：分別計(jì)算第i個(gè)訓(xùn)練樣本與K個(gè)聚心之間的距離d_i1(X_i,C₁)，d_i2(X_i,C₂)，…，d_iK(X_i,C_K)；從中找出距離最小值所對(duì)應(yīng)的聚心，并將該訓(xùn)練樣本劃分到該聚心所對(duì)應(yīng)的簇中；

步驟3，收斂聚心：重新計(jì)算聚心，并且與之前的聚心進(jìn)行比較，若聚心改變，則重復(fù)步驟2，直到聚心保持不變；

步驟4，異常簇的判定：應(yīng)用少數(shù)服從多數(shù)原則，判定K個(gè)簇W_j各自屬于正常類型還是異常類型，至此模型建立完畢；

步驟5，檢測(cè)測(cè)試樣本：輸入一個(gè)測(cè)試樣本到步驟4所建立的模型中，并按順序應(yīng)用最近鄰規(guī)則、邊界規(guī)則和閾值規(guī)則三個(gè)決策條件來(lái)判斷測(cè)試樣本屬于異常樣本還是正常樣本。

優(yōu)選的，所述步驟1的過(guò)程具體為：

將訓(xùn)練數(shù)據(jù)讀取進(jìn)來(lái)，進(jìn)行歸一化操作，首先計(jì)算每個(gè)特征的均值為：

上式中，z_nf表示第n個(gè)訓(xùn)練樣本的f特征的值，n表示訓(xùn)練樣本個(gè)數(shù)，接著計(jì)算平均絕對(duì)偏差為：

最后進(jìn)行標(biāo)準(zhǔn)化計(jì)算為：

上式中，x_if表示第i個(gè)訓(xùn)練樣本的f特征的歸一化之后的值，將n個(gè)訓(xùn)練樣本的每個(gè)特征都進(jìn)行歸一化之后，得到新的樣本點(diǎn)，接著從中隨機(jī)選取K個(gè)樣本點(diǎn)作為初始聚心C_j，j＝1,2,…,K。

優(yōu)選的，所述步驟2的計(jì)算歐氏距離的過(guò)程為：分別計(jì)算n個(gè)樣本與每個(gè)聚心之間的歐氏距離為：