基于蚁群聚类算法的数据挖掘技术在网络入侵检测中的应用

李松涛

摘要：随着时代的进步和社会经济的发展，电子计算机技术发展迅速，被广泛应用于各个领域内。计算机网络可以实现资源共享，可以提高工作效率，但是也出现了严重的网络安全问题，经常会受到一些攻击和非法的访问；针对这种情况，就需要采用入侵检测系统，进行主动安全防护。该文简要分析了基于蚁群聚类算法的数据挖掘技术在网络入侵检测中的应用，希望可以提供一些有价值的参考意见。

关键词：网络安全；蚁群算法；入侵检测

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）04-0707-02

随着网络技术的飞速发展和应用，网络安全问题随之出现，经常会出现非法访问以及攻击等问题；网络安全问题会对人们的正常生活和工作产生影响，甚至对于国家安全也会造成威胁，因此，需要引起人们足够的重视。入侵检测技术目前受到了越来越多人的重视，它可以进行主动的检测和防御，对网络和系统中存在的入侵和攻击进行实时检测和识别，并且采取一一系列的措施进行挖掘。数据挖掘技术可以将海量审计数据中的那些异常行为特征数据进行发现，这样就可以降低人工分析以及编码的工作量，因此在入侵检测中可以有效的应用数据挖掘技术。

1 入侵检测概述

入侵指的是对计算机系统或资源的完整性、机密性等进行威胁的行为；入侵检测指的是检测行为，对这些异常非法的入侵行为进行检测，对计算机网络或者系统中相关关键词信息进行收集，分析和研究这些信息，找出网络或者系统是否遭到攻击或者某些行为违反了安全策略。

入侵检测系统包括了入侵检测的软件和硬件，有效补充了系统中的防火墙，可以对网络攻击进行预防，这样系统管理员的安全决策能力就得到了大大的提高，促使系统安全得到了保证。入侵检测系统在监测网络数据时，是不需要对网络传输性能产生影响的，并且还具有其他的实时保护能力，比如应对内外部攻击等等。通常情况下，入侵检测系统包括这些组件：

1）数据源：数据源指的是入侵检测系统所等待处理的原始网络传输数据，包括诸多的组成部分，比如原始网络数据包、应用程序审计日志、系统校验数据等等，之后的操作都是基于这些对象上进行的。

2）传感器：传感器主要是对数据源中的相关原始数据进行收集。不同算法的入侵检测系统具有不同的收集数据方式。

3）分析器：分析器主要是对传感器收集到的数据进行分析和处理，结合处理结果，来采取一系列的措施来应对异常情况；入侵检测系统的核心部件是分析器，它会对入侵检测系统的检测性能和处理异常的能力产生直接影响。

4）行为：数据源的表征实例用行为来表示，主要是对某个数据的行为方式进行表征；行为数据包括了所有的数据，涵盖了正常的用户操作行为，不仅是正常的偶然行为，也可能是恶意的非法攻击。

2 聚类分析技术在网络入侵检测中的应用

在入侵检测中应用聚类算法，需要评估聚类算法的相关性能，比如聚类的簇的标准、时间的复杂度等；主要的聚类方法可以分为两个步骤，一个步骤是构建模型，另一个步骤就是模型评估。在入侵检测中应用聚类分析技术，主要从这些步骤来完成：

一是收集原始数据：在入侵检测前，需要收集待分析的网络数据，利用抓包工具将网络传输过程中的数据包给收集过来，但是在聚类分析时，是不能够采用原始的网络数据，那么就需要用连接记录来替代网络数据，每一个连接数据都包括了诸多的属性内容，比如连接起始时间、目的IP地址、源IP地址以及TCP标志等等。为了将检测效率进行提高，还可以将统计信息加入到记录中，这些统计信息包括的是连接数，与当前连接有着相同的服务类型。

二是数据的标准化：从数据包收集过来的数据具有的单位和维度都是存在差异的，那么就需要标准化处理这些数据，以此来消除对数据的影响，标准化的公式是这样的：

三是数据的初始化聚类：数据包经过标准化操作之后，得到的数据集就可以进行聚类分析，然后结合初始数据的具体情况来对聚类算法进行选择，实现初始化聚类分析的目的。

四是蚁群优化聚类分析初始化聚类结果：本提出了蚁群优化聚类算法来在此区分同一类型的簇，聚类中心为每一个特征向量，分析和处理这些聚类中心，然后最大限度的分离网络数据的合法行为和非法行为。

五是实时入侵检测：结合蚁群优化聚类分析初始化聚类结果来入侵检测当前数据，结合检测的结果，来采取一系列措施，如果入侵行为被检测到，那么系统就可以采取相应的保护措施，比如将防火墙开启下来，将网络断开，或者是向管理员通知等等。一般的做法就是标记聚类结果中的距离小于某个具体的阀值的类，向报警器中送入这些异常数据，报警结合连接的提示信息来采取一系列的反应措施。

3 蚁群算法概述

蚂蚁系统是由某个意大利学者提出来的，它的提出基础是蚂蚁在寻找食物的过程中，总是从蚂蚁巢穴和食物源之间的最短路径出发的；在网络入侵检测中成功应用蚁群算法，可以更好的发现最优解。具体来讲，可以从这些方面来理解：

一是蚁群系统的抽象模型：我们假设n个城市的集合用C={C1，C2.C3..Cn}来表示，C中两两相连的集合用L来表示，G=（C，L）表示一个图，两个城市之间的距离是已知的，那么一群算法就是从这个图中将长度最短的路径给找出来。为了对蚁群系统的模型进行合理构建，需要设置一些变量，分别是蚂蚁的数量、两城市之间的距离、本次迭代中边上的信息素的增量等。在蚁群系统中，有一些约束是需要遵循的，比如蚁群经过一个边，就会将一定量的信息素留在此边上，蚂蚁在确定下一个访问的城市时，会结合转移概率函数来确定；完成了一次循环之后，对于刚才已经访问过的城市，是不允许蚂蚁再次访问的，由蚂蚁对象的禁忌表来控制本约束，蚂蚁经过的所有城市都在本禁忌表中储存，也就是说蚂蚁下次不能再对这个城市进行访问。

二是蚁群系统的算法表示：首先是初始化步骤，将计时器、迭代次数计算器以及信息素增量等都设为0，在初始阶段，禁忌表是空的，在n个节点上随机放置m只蚂蚁，设置禁忌表索引为1，；重复n-1直到禁忌表满了为止。最后一个步骤就是对目前得到的最短路径进行记录，将所有禁忌表清空。

4 结束语

通过上文的叙述分析我们可以得知，电子计算机技术在给人们的生活和工作带来极大便利的同时，也带来了严重的网络安全问题，会经常遭受到非法访问和攻击，影响到资源和系统的安全性。针对这种情况，就需要采取一系列的安全防护措施，其中非常重要的一种就是数据挖掘技术，将蚁群聚类算法应用到数据挖掘技术中，具有一系列的优点；在未来一段时期内，还需要相关的工作人员不断的努力。

参考文献：

[1] 陈军，徐蕾.用一种改进的蚁群聚类算法进行网络入侵检测[J].沈阳航空工业学院学报，2010，2（1）：123-125.

[2] 苗京，黄红星，程卫生.基于蚁群模糊聚类算法的图像边缘检测[J].武汉大学学报，2005，2（5）：98-99.

[3] 张建华，江贺，张宪超.蚁群聚类算法综述[J].计算机工程与应用，2006，2（16）：43-46.

[4] 谢慧，吴小平，张志刚.基于蚁群聚类的入侵检测技术研究[J].计算机应用研究，2010，2（8）：98-99.

[5] 胡昊.基于蚁群聚类算法的数据挖掘技术在网络入侵检测中的应用[J].江苏科技大学，2012，2（1）：54-57.