基于聚类的异常入侵检测技术的中期报告

基于聚类的异常入侵检测技术的中期报告一、前言随着互联网的普及与应用，网络安全问题越来越受到人们的重视。作为互联网的入口和出口，网络系统的安全性显得尤为重要。然而，网络入侵和攻击已经成为网络安全领域中不可避免的问题。为此，本文从聚类的角度出发，探讨了一种基于聚类的异常入侵检测技术，旨在提高网络安全的防范能力。二、背景介绍入侵指的是利用计算机网络对他人计算机资源进行非法访问和利用、甚至是破坏、篡改或窃取他人机密信息等行为。入侵可能来自外部来源，也可能来自内部攻击。为了最大限度地减少入侵事件带来的损失，入侵检测技术已经成为了网络安全的重要组成部分。目前，入侵检测技术主要分为两类：基于签名的入侵检测和基于行为的入侵检测。基于签名的检测方式是依据已知的攻击signatures进行检测，缺点在于不能检测未知的攻击。基于行为的检测方式则是依据系统的行为模式进行检测，能够检测出未知的攻击。聚类是一种常见的基于行为的检测方法，它通过比对系统的正常行为模式和异常行为模式，检测出网络入侵事件。三、基于聚类的异常入侵检测技术基于聚类的异常入侵检测技术主要包括以下步骤：1.数据采集：从网络系统中采集行为数据，包括网络流量、系统日志等。2.特征提取：将采集到的行为数据进行特征提取，比如提取数据包大小、协议类型、端口等特征。3.聚类分析：将特征向量进行聚类分析，得到系统的正常行为模式。4.异常检测：对系统的行为进行实时监测，当出现不符合正常行为模式的行为时，即判定为入侵行为。具体地说，基于聚类的检测方法通常采用k-means聚类算法，通过计算相似性矩阵、确定聚类数和初始化聚类中心等步骤，求解出聚类中心和簇划分，从而得到系统的正常行为模式。当系统发生异常行为时，对其行为进行特征提取，并计算其与正常行为模式的距离，当距离超过一定阈值时，即判定为入侵行为。四、中期进展在本项目的前期工作中，我们完成了数据采集和特征提取的相关工作，利用KDD99数据集进行了实验。具体地说，我们选取了1%的数据作为实验数据，对特征进行了筛选和归一化处理，并提取了数据包数量、源IP、目标IP、源端口等特征，最终得到一个125973*41的数据集。在基于聚类的异常入侵检测方面，我们主要进行了以下工作：1.确定聚类数目聚类数目的选择对异常检测的效果影响很大，因此我们进行了多次实验，采用轮廓系数方法、手肘法等指标确定了最优的聚类数目，实验结果表明，当聚类数目为10时，能够得到最优的检测效果。2.初始聚类中心选择初始聚类中心的选择影响聚类的结果。为了增加聚类的稳定性，我们采用了k-means++算法进行初始聚类中心的选择。3.异常入侵检测我们针对KDD99数据集进行了异常入侵检测实验，并对比了传统的k-means聚类算法和基于PCA的聚类算法，实验结果表明，基于聚类的异常入侵检测方法具有较好的检测效果和较低的误判率。同时，我们也发现，在数据量较大的情况下，该方法的运行时间较长，因此优化算法效率是后续工作的重点。五、结论与展望本文介绍了基于聚类的异常入侵检测技术，并进行了KDD99数据集的实验。实验结果表明，该方法能够有效地检测网络入侵行为。但其