计算机网络入侵节点选择算法研究

摘要：为解决传统计算机网络入侵节点选择算法存在选择准确性差，工作效率低的问题，本文提出研究基于点群聚类的计算机网络入侵节点选择算法。该算法首先进行入侵节点数据收集，对获取到的数据进行清洗、归约、转换等处理。利用点群聚类中的K-means算法识别入侵节点，实现了计算机网络入侵节点选择。仿真结果表明：通过本文算法对计算机网络入侵节点进行选择的综合性能TotalScore值较高，用时较短，证明本算法能在更短的时间内实现网络入侵节点选择，更利于预防非法节点入侵，保护网络安全。

关键词：点群聚类；计算机网络；入侵节点；选择算法

在当今信息化时代，人们对信息的获取需求越来越大，多数领域需要借助计算机信息网络通信技术进行数据挖掘、传输、交互等。在这样的背景下，信息传输方式也随之发生重大改变，从最初的单根导线、双绞线、同轴电缆等发展到了现在的光纤激光网络[1]。光纤网络具有自组网和广分布等特点，导致光纤网络节点被入侵的发生率逐年上涨。光纤网络节点入侵不仅造成通信中断，还会造成信息泄露，给社会各方面造成严重影响。在这种背景下，对计算机光纤网络入侵节点进行选择具有重要的现实意义[2]。目前，对光纤网络入侵节点选择的研究很多，相关研究人员提出了许多选择算法。文献[3]提出H-C4.5-NB网络节点入侵检测方法。该方法通过计算网络入侵节点出现的概率，进行网络数据类别的划分，并由C4.5和NB概率加权和的形式给出最终的决策结果。该方法有效提高了对网络入侵数据的分析，但该方法对网络入侵数据的处理不完善。文献[4]提出基于模糊关联规则挖掘的网络入侵检测算法。该方法通过收集网络数据，分析网络入侵行为特征，采用模糊关联规则算法对入侵数据挖掘等，完成了网络入侵数据的检测。但该方法对入侵数据检测的效率未过多考虑。针对上述方法存在的问题，文中将点群聚类算法应用其中，提出基于点群聚类的计算机网络入侵节点选择算法。该算法是通过比较样本中各节点数据之间的性质，将性质相近数据进行聚类等，实现异常节点辨别。实验结果表明：文中基于点群聚类的计算机网络入侵节点选择算法在入侵节点选择上效率更高。

1网络入侵节点选择算法研究

防火墙等传统静态防御很难应对层出不穷的入侵，本文设计入侵检测算法模型。其中，事件产生器用于获取入侵节点数据，主要包括网络数据包、系统日志、用户活动行为数据等；事件处理器对收集到的原数据进行标准化处理；事件分析器对这些数据进行分析，找出其中存在入侵特征的数据；响应单元根据结果选择相应的处理措施，如告警或通知、终止进程、切断连接等；事件数据库负责储存数据，包括收集到的原始数据、处理后的数据等[6]。文中基于点群聚类的计算机网络入侵节点选择算法，基本流程如图1所示。1.1入侵节点数据获取。入侵节点选择的第一步是从计算机网络系统中选择若干个节点数据信息，有效获取数据。由于原始数据信息无法支撑结果识别，通过分析原始网络数据信息的不一致性，确认入侵数据的特征类型[7]。按照数据不同类型特征，入侵节点数据收集方法选择基于系统日志的数据收集和基于网络的数据收集。1）基于系统日志的数据收集在计算机网络运行中，用户活动情况和行为数据都会被记录，将用户数据通过日志的形式记录在计算机系统中，因此通过系统日志进行数据收集[8]。2）基于网络的数据包采集用户数据节点存在于计算机网络传输数据包中，这些数据包中可能包含入侵者传输的病毒等危险信息，因此需要对数据包进行截取[9]。本文数据包截取方法不影响数据包中数据的传输，对其仅起到探视作用[10]。当数据包中含有异常数据信息时，会立即被发现，此时才会进行异常数据的截取。1.2入侵节点数据处理。获取的入侵节点数据不能直接用于入侵识别中，需要进行清洗、归约、转换等，之后导入到事件数据库当中。1）数据清洗获取的入侵节点数据中可能存在不一致性、重复、不完整、错误、违反业务规则等问题，为保证数据质量，将存在问题的数据信息进行清理[11]。清洗方法如表1所示。2020年第17期2）数据归约数据样本数量过大，会增加计算量，降低分析准确性，需要进行归约[12]，在尽可能保持数据原貌的基础上，尽量缩减数据规模。本文主要通过主成分分析方法进行数据归约，首先将数据标准化处理，消除量纲；然后判断KMO值是否可以进行主成分分析处理；再计算相关系数矩阵、特征值、相应的贡献率、累计贡献率以及载荷矩阵；最后给出主成分表达式，得出主成分。3）数据转换不同的数据有不同的表示形式，为了能够适用于查询和分析，需要将其转换为另一种表现形式[13]。本文数据转换的方式是先将数据进行平滑处理，去除数据中存在的噪声，合并处理之后的数据，之后对数据泛化处理，构建数据特征属性。1.3入侵节点识别基于上述步骤，利用点群聚类算法进行入侵节点识别，实现入侵节点选择。点群聚类是隶属于数据挖掘领域的分支，其以相似性为基础，通过计算样本数据与特征属性值之间相似性程度，判断样本所属类别[14]，基本工作流程如图2所示。在点群聚类分析当中，分析数据相似度度量是关键。相似度度量通过计算维空间中的距离实现[15]，距离越小相似性越高，反之，则越低。文中相似性度量的计算方法通过求取Minkowski距离实现。设m为样本空间的维数，对于任意样本对象N=[N]1,N2,...,Nm与Q=[Q]1,Q2,...,Qm之间的距离为：L(N),Q=æèçöø∑÷i=1mN||i-Qij1j(j＞0)（1）当j=1时，曼哈顿距离为：L1(N,Q)=∑i=1mN||i-Qi（2）当j=2时，欧氏距离为：L2(N,Q)=∑i=1mN||i-Qi2（3）当j=∞时，切比雪夫距离为：L3(N,Q)=max1≤i≤mN||i-Qi（4）划分类型、层次分解类型以及基于密度类型等都属于点群聚类划分类型，本文选择划分类型中K-means算法进行入侵节点识别。通过分析存在入侵节点的数据集，选取k个数据为最开始的入侵节点数据样本，之后通过计算初始聚类数据之间的相似性，根据相似性数据特征对其相邻的类进行归类处理，计算出归类后的聚类均值，更新聚类中心。重复上述步骤，直到满足收敛条件为止[16]。由于每次聚类结果存在差异，并且选择的聚类中心点存在随机性，易导致聚类过程中对全局数据未进行调整和优化，获取的初始聚类中心点易导致处理后的数据不稳定，存在其他入侵数据等。为此，本文在K-means算法的基础上进行改进，具体流程如图3所示。

2算法性能测试分析

文中以基于点群聚类的计算机网络入侵节点选择算法为实验项，与文献[3]算法、文献[4]算法和文献[5]算法进行实验对比。2.1测试环境。模拟SNORT的部署方式，搭建小型局域网作为本章仿真实验的测试环境，如图4所示。2.2实验数据。实验数据为KDDCUP99网络数据集，是哥伦比亚大学实验室从1998年MITLL的IDS数据集中整理得到，是最具权威性的网络安全审计数据集。具体数据如表2所示。2.3测试指标。本文实验测试以TotalScore的最终结果为指标，通过式（7）进行计算：TotalScore=TPR∙(1-FPR)TPR+(1-FPR)-T1100-T21000000（5）式中，TPR为检测率；FPR为误检率；T1为算法测试时间；T2为算法训练时间。2.4测试结果实验结果如表。3所示。从表3中可以看出，利用本文算法进行计算机网络入侵节点选择，最终得到测试指标TotalScore值为2.36，本文算法的误检率为4.36%，而文献[3]、文献[4]以及文献[5]入侵节点选择算法得到的TotalScore值分别为1.52、1.36和1.45，误检率为12.45%、15.21%和11.20%。3种算法的TotalScore值低于本文算法，误检率高于本文算法，证明本文算法能够对网络入侵节点数据进行准确分析。

3结束语

面对严峻的计算机网络环境，网络安全问题成为当今关注的焦点。当前计算机网络入侵节点选择算法无法对网络入侵数据进行有效分析和处理。本文提出基于点群聚类的选择算法，该算法有效截取网络节点异常数据等，解决了传统算法无法准确分析异常网络节点数据的问题。该算法性能较好，具有一定的可行性。

作者:于府平 单位:烟台汽车工程职业学院