[发明专利]利用拐点半径实现动态自适应聚类的网络入侵检测方法

说明书

本发明的利用拐点半径实现动态自适应聚类的网络入侵检测方法，其特征在于，包括如下步骤：对多维数据记录进行降维操作；对降维后的数据记录的特征向量进行标准化变化；将标准化后的数据记录视作一个节点，应用欧几里得算法计算节点间的距离以表示节点间的关联度，依据节点间的关联度进行初始聚类，将初始聚类中所有簇的中心作为抽象节点，重复聚类过程，完成最终聚类；判断各个簇中的节点是否正常，若簇中正常节点的比例大于异常节点的比例，则将此簇的所有节点划为正常类；否则将此簇的所有节点划为异常类。本发明方法可以实现网络行为数据的自动聚类以及优化，其在检测率与稳定性方面具有明显优势。

技术领域

本发明属于网络安全技术领域，涉及利用拐点半径实现动态自适应聚类的网络入侵检测方法。

背景技术

互联网技术的飞速发展深刻影响着人类的生产生活方式，上网活动已经成为人类日常生活的重要组成部分。然而，这种全球性的网络高度普及也引发了一系列的安全问题。计算机网络协议的开放性与灵活性使得信息系统更容易受到入侵者的攻击，由此需要针对计算机网络进行持续监控和保护。用户身份验证、数据加密与防火墙便是用于保护计算机安全的传统技术。后来出现的入侵检测系统(Intrusion Detection Systems，IDS)则使用了特定的分析技术来检测攻击、识别攻击源并向网络管理员发出警报。对于异常检测，入侵检测系统往往使用行为模式来指示恶意活动，通过分析过去的活动以识别观察到的行为是否正常。早期的入侵检测系统主要使用特征码技术检测满足其特征码数据库标识的所有攻击，具有一定的滞后性，并且漏报率较高。基于行为建模是新出现的检测方法之一，需要综合利用数据挖掘、统计分析以及人工智能等多种技术。

事实上，客户机针对Web服务器的访问具有时间随意性，也因此自然而然地产生大量流量。每个网络连接都可抽象可视化为一组属性，网络传输数据以此种方式记录下来，并作为数据基础用来研究和分类正常及异常传输。对于NSL-KDD数据集，该数据集是其前身KDD'99数据集的改进版本，其中包含有完整的KDD数据集基本记录，但信息维数更多，网络连接描述更为细致，并且删除了其中原有的冗余记录以便使分类更为精确。

众多学者借助NSL-KDD数据集开展了针对网络入侵检测更为深入广泛地研究。例如，L.Dhanabal等分析了NSL-KDD各维度信息的具体含义，论述各种分类算法在网络流量异常检测中的有效性，并归纳总结出常用网络协议栈中的可用协议与入侵者异常网络攻击之间的关系；Wei-Chao Lin等则提出了CANN(Cluster Center And Nearest Neighbor)算法^[3]，基于一维距离的特征测量，利用K-最近邻(kNN，k-NearestNeighbor)分类算法实现入侵检测。然而，现有研究大部分都属于监督类型的检测算法，对于没有类别标记以及数据识别特征不明显的网络访问连接，无法准确训练入侵检测模型，从而造成检测准确度不高。

发明内容

本发明的目的是提供利用拐点半径实现动态自适应聚类的网络入侵检测方法，可以实现网络行为数据的自动聚类以及优化，其在检测率与稳定性方面具有明显优势。

本发明的利用拐点半径实现动态自适应聚类的网络入侵检测方法，包括如下步骤：

步骤1：对网络连接的多维数据记录进行降维操作；

步骤2：对降维后的数据记录的特征向量进行标准化变化；

步骤3：将标准化后的数据记录视作一个节点，应用欧几里得算法计算节点间的距离以表示节点间的关联度，依据节点间的关联度进行初始聚类，将初始聚类中所有簇的中心作为抽象节点，重复聚类过程，完成最终聚类；

步骤4：判断各个簇中的节点是否正常，若簇中正常节点的比例大于异常节点的比例，则将此簇的所有节点划为正常类；否则将此簇的所有节点划为异常类。

在本发明的利用拐点半径实现动态自适应聚类的网络入侵检测方法中，所述步骤1具体为：