改进的K-means网络入侵检测算法

程晓旭 于海涛 李梓

随着网络技术的发展，网络入侵越来越多，网络安全问题已经成为全球性的重要问题。面对日益突出的网络安全问题，如何有效及时地发现网络入侵行为，保证网络系统和网络资源的安全显得尤为重要。

网络入侵检测技术主要分为异常检测和误用检测。目前，对于误用检测的研究很多，成熟的工程产品也很多，例如ＩＤＳ就是一个开源的入侵检测系统。误用检测主要是由网络安全专家对已知的入侵行为进行分析，再用手工方法建立相应的入侵检测规则和检测模式来构造入侵检测系统，对网络数据进行预处理后，使之适合于检测规则的匹配。预处理后的网络连接数据与入侵检测系统中规则库中的数据进行匹配，一旦匹配成功，说明有入侵行为的发生，可以采取相应的处理措施。误用检测的主要缺点是只能检测到已知的入侵行为，不能检测到未知的入侵行为。而异常检测则是建立正常的网络数据模型和可以接受的数据特征，异常的网络入侵行为在与正常模式或正常特征匹配时，差异很大，从而可以发现异常网络入侵行为。对于异常检测算法的研究主要是应用数据挖掘和机器学习的理论，其中，把聚类算法应用到入侵检测中的研究较多?眼１?演。