基于改進K-means算法的網絡攻擊入侵檢測方法設計①

吳 瑕, 狄宏林, 周 勇

(東莞開放大學, 廣東 東莞 523000)

0 引 言

互聯網技術的飛速發展使得我國的網民數量不斷上升,網民數量的不斷增加使得爆發式的網絡數據也隨之而來。如何對這些數據進行檢測分類從而確保計算機網絡的安全性是當前網絡安全領域研究的重點[1-2]。為了防御異常數據的入侵行為,保護計算機在安全環境下進行運轉,入侵檢測技術被提出[3]。當前所使用的入侵檢測系統能夠實時進行數據監控,并對異常數據進行識別阻攔。然而,網絡數據的爆發式增長使得傳統的計算機防御技術和當前的數據處理技術已不再能保障計算機網絡運行的安全[4]。傳統的K-means算法(K-means clustering algorithm,K-means)K-means在進行聚類結果分析時容易陷入局部最優解,研究試圖對其進行優化,并將優化后的算法用于網絡攻擊入侵檢測當中,試圖提高計算機的安全性能。

1 改進K-means算法在網絡攻擊入侵檢測中的應用與研究

1.1 網絡攻擊入侵檢測系統模型構建

網絡入侵檢測技術是一種主動的、基于狀態的、實時的網絡安全技術,它在檢測計算機系統和網絡中存在的各種安全問題時,采取積極的、主動的方式,并在可能受到攻擊時立即作出響應,以防止計算機和網絡信息被非法獲取、破壞和濫用[5]。入侵檢測技術作為一種動態防御系統,它能夠動態地識別各種攻擊行為并做出響應,及時地阻止或降低其影響。若數據存在攻擊等非法行為,入侵檢測技術能夠進行數據攔截從而保障計算機安全。

圖1 入侵檢測模型運行流程圖

圖1所示為入侵檢測模型的運行流程圖。由圖1可知,將收集到的網絡數據進行預處理和分析之后判斷其是否存在危險入侵,若不存在危險入侵,則對其數據行為特征進行提取,若存在危險入侵,則需要在知識數據庫中進行標記并對其進行處理。知識數據庫中會保存一些常見的危險入侵特征和異常行為特征,通過比對能夠判斷輸入的網絡數據是否存在異?；顒?。除此之外,知識數據庫中還存儲了系統的運行日志,管理員可以通過運行日志更好地了解計算機的運行狀況并對其進行定期維護,提高計算機的防御性能。當前使用較為廣泛的兩種檢測系統是異常入侵檢測系統和誤用入侵檢測系統。計算機技術的發展使得入侵檢測系統不斷得到了完善,但網絡數據大規模式的增長還是增加了系統的檢測難度。傳統的機器學習算法只能對數據進行二次分類,不能深入地挖掘數據中的信息,而且還存在著訓練周期較長、檢測準確率較低等問題。在這一背景下,研究提出了一種改進的K- means聚類算法,該算法可以實現自動匹配數據、自動更新知識庫和自動日志審計等功能。

1.2 改進峰值密度的K-means算法研究

K-means算法是一種基于分類器的分類器,它可以隨機地選擇數據樣本作為質量中心,然后通過計算其它樣本與質量中心的距離,從而達到對樣本進行分類。K-means算法一般使用歐氏距離來對兩個樣本之間的相似度進行衡量,其數學表達式如式(1)所示。

(1)

假設數據集有n個m維度的樣本,那么任意兩個樣本X和Y之間的距離表達式記作D(X,Y)。其中,i∈1,2,…,m。

(2)

式(2)為K-means算法中質心ui的迭代計算公式。Ci表示第i個劃分簇。|Ci|表示第i個劃分簇中所包含的樣本個數。

(3)

式(3)為誤差平方和標準函數SSE的數學表達式。通過誤差平方和標準函數的值能夠判斷算法迭代是否結束。當誤差平方和小于設定誤差時則終止算法。k表示將樣本劃分為k類;Xi,j表示第i簇中的第j個樣本;d(Xi,j,ui)表示樣本到質心的距離。

(4)

盡管K-means聚類分析算法有著操作簡單、穩定性高、分析效果好等特點,但在不同的場景中使用時仍然具有一定的局限性,例如:對所劃分的樣本類別k值具有較強的依賴性,在同一數據集中不同的k值具有不同的分類結果;算法受中心點影響較大;算法具有較高的隨機性因此難以收斂至最優解狀態。針對上述問題,研究試圖改進算法數據集中的樣本密度,并利用密度最大原則進行中心點的挑選,最終提出改進峰值密度的K-means算法以此來提高傳統K-means算法的穩定性,并加快其收斂速度。

圖2 改進峰值密度的K-means算法流程圖

圖2所示為改進峰值密度的K-means算法流程圖。整個算法的輸入包括原始數據集D、半價參數q、聚類個數k和誤差參數e,輸出結果為劃分好的聚類結果。首先設定好r并計算樣本密度,將密度最大的樣本記作xi,樣本對應的密度值記作p(xi)。將xi放進集合x中并在數據集中刪除其半徑范圍內的其他樣本值,對數據集中所有的樣本均執行該操作直到得到初始聚類中心集合x。選取密度最大的樣本作為第一個聚類中心,然后將距離最遠的第二個樣本作為第二個聚類中心,以此類推選取剩下的初始中心。接著使用上述距離公式計算樣本和中心之間的距離,并根據距離最小原則劃分樣本。然后對劃分后的數據集中每一個分類簇采用式(2)計算新質心。最后根據收斂判定公式判定輸出結果是否小于誤差參數e,若成立則終止算法。

2 改進K-means算法在網絡攻擊入侵檢測中的應用結果分析

為了證明研究提出的算法模型的有效性,選用KDD Cup99和CIC-IDS2017兩種入侵數據集作為此次實驗的數據對象,對數據進行預處理和歸一化操作。采用64位的Windows 10作為實驗所需的計算機系統,采用AMD Ryzen 7 4800H with Radeon Graphics作為顯卡配置,硬盤采用2.0T規格,內存為32GB,最終在MATLAB上搭建實驗環境,并對比K-means算法和改進峰值密度的K-means算法用于網絡攻擊入侵檢測模型中的性能。

圖3 兩種算法的樣本檢測率情況

圖3(a)為K-means算法和改進算法在數據集KDD Cup99中的檢測率變化情況。隨機抽取數據集中的數據進行檢測,K-means算法的檢測率在82%～83%之間,改進算法的檢測率在96%～99%之間。圖3(b)為兩種算法在數據集CIC-IDS2017中的檢測率變化情況。K-means算法的檢測率在83%～86%之間,改進算法的檢測率在94%～98%之間。由此可見,改進算法在兩種入侵數據集中擁有更好的數據檢測表現。

圖4 兩種算法的樣本分類準確率情況

圖5 兩種算法的誤報率情況

在圖4(a)中,兩種算法在數據集KDD Cup99中的分類準確率最大值分別為93.2%和99.5%。在圖4(b)中,兩種算法在數據集CIC-IDS2017中的分類準確率最大值分別為91.7%和98.6%。由此可見,改進算法在不同數據集中的分類準確率均遠大于傳統K-means算法,分類效果更好。

圖5(a)所示為K-means算法和改進峰值密度的K-means算法在數據集KDD Cup99中的樣本誤報率情況。隨著樣本數量的改變,K-means算法的誤報率在3.0%～4.5%之間,并且誤報率上下浮動較大,而改進算法的誤報率在0.1%～0.5%之間,不僅整體的誤報率值較小并且浮動范圍也遠小于傳統K-means算法。圖5(b)所示為K-means算法和改進峰值密度的K-means算法在數據集CIC-IDS2017中的樣本誤報率變化情況。隨著樣本數量的改變,K-means算法的誤報率在5%～7%之間浮動,改進算法的誤報率則是在0.1%～0.8%之間浮動。由此可見,改進算法的誤報率更低,因此更具備實用性。

圖6 兩種算法的檢測時間曲線圖

圖6所示為兩種算法所花費的樣本檢測時間曲線圖。圖6(a)所示為K-means算法和改進峰值密度的K-means算法在數據集KDD Cup99中的樣本檢測時間曲線圖變化情況。隨著樣本數量的不斷增加,兩種算法的檢測時間均有所上升。其中,當樣本數量為10的時候,K-means算法的檢測時間為7.9s,改進算法的檢測時間為5.6s。當樣本數量增加到50的時候,K-means算法的檢測時間為20.7s,改進算法的檢測時間為7.2s。圖6(b)所示為K-means算法和改進峰值密度的K-means算法在數據集CIC-IDS2017中的樣本檢測時間曲線圖變化情況。當樣本數量為10的時候,K-means算法和改進算法的檢測時間分別16.8s和6.3s。當樣本數量增加到50的時候,K-means算法和改進算法的檢測時間分別23.6s和8.5s。

3 結 語

研究對傳統的聚類分析方法進行了改進,提出了一種基于峰值密度的改進K-means算法并將其運用到網絡入侵檢測模型當中。實驗結果表明,在兩種入侵數據集中,改進算法均擁有更好的性能表現。傳統算法的檢測率在82%～86%之間,誤報率在3%～7%之間,準確率最大值為93.2%。當樣本數量為50時,傳統K-means的檢測時間高達23.6s。相反,改進算法檢測率在94%～99%之間,誤報率在0.1%～0.8%之間,準確率最大值為99.5%,檢測所花費的時間在10s以內。因此,將此次研究所改進的K-means算法應用到網絡入侵檢測模型中能夠擁有較好的入侵數據檢測性能,進一步保護計算機抵御外界數據的入侵,保證網絡安全。