睢丹 黄永灿

摘 要：随着电子技术的越来越普及，恶意软件在网上传播态势，互联网数据入侵事件频发，种类和手段多样化，为最大限度对用户电脑及互联运行环境保护，提出一种改进网络入侵信号监控系统，该系统基于遗传聚类的网络入侵检测检测算法即NIDBGC算法。由Leader聚类和遗传优化两个部分组成。通过Leader聚类阶段对入侵数据进行初步分类，以降低网络入侵信号检测难度，通过遗传优化算法利用编码与解码来实现网络空间与解之间的映射，用交叉变异和选择对检测数据种群进行优化。实现对网络入侵的检测。仿真实验表明，改进网络入侵检测系统比传统方法平均检测大于50%，误检率约为1.5%，充分表明算法的有效性。

关键词：改进 网络入侵 检测

中图分类号：TP393.08 文献标识码：A 文章编号：1674-098X（2016）01（b）-0066-02

随着科学技术的发展，人们对网络的依赖性越来越强，随之而来的网络入侵手段也越来越多，并且入侵信号的伪装很难被检测系统发现。网络入侵一般是通过写好恶意代码对互联网内计算机交互数据进行入侵，得到计算机内的个人隐私或商业机密。

提出一种改进网络入侵信号监控系统，该系统基于遗传聚类的网络入侵检测检测算法即NIDBGC算法。它由Leader聚类和遗传优化两个部分组成，通过Leader聚类阶段对入侵数据进行初步分类，以降低网络入侵信号检测难度，通过遗传优化算法利用编码与解码来实现网络空间与解之间的映射，用交叉变异和选择对检测数据种群进行优化。实现对网络入侵的检测。仿真实验表明，改进网络入侵检测系统比传统方法平均检测大于50%，误检率约为1.5%，充分表明算法的有效性。

1 网络入侵聚类分析检测方法

在网络数据交互时行聚类分析，主要是根据入侵的相似度对所要检测的入侵数据进行划分，将同类别的入侵数据尽量归集到一聚类中，主要分为层次型和划分型两种入侵数据划分方法。

1.1 层次型入侵数据划分方法

在互联网络中对入侵数据进行层次分解，根据入侵数据的层次又可将数据分为凝聚类和分裂类。

凝聚类是将每一个网络入侵数据都作为一个单独的类型，然后通过查找相似对象进行逐一合并，直到将所有相似数据聚类完成，形成一个有效簇时停止条件。

分裂类是将所有网络入侵数据都看作一个数据集合，通过迭代对入侵数据在高速超高带宽网络中进行筛选，入侵数据集合分裂成多个次小集合，直到相似度较高的数据被分到一个集合中，满足条件后停止迭代。

1.2 划分型入侵数据划分方法

划分型入侵数据划分方法是指在高速超高带宽网络中将入侵数据数量设定为，通过将入侵数据构建个集合进行划分，每一类的入侵数据划分到一个集合聚类中，并且满足条件。数学描述为：数据在高速超高带宽网络中，以聚类算法相似原则对个入侵数据进行划分，入侵数据划分为个集合。令表示入侵数据集合，个入侵数据聚类集合美好组成，由网络入侵数据聚类表示为，，其中，且，在进行入侵数据划分中满足计算条件。对一类聚类的入侵数据集合评判准则为，在网络入侵数据尽可能相似的情况下判定为同一聚类集合，在网络入侵数据不相似的情况下判定为非同一聚类集合。

假设为入侵数据与聚类集合的关联网络入侵数据矩阵，表示在网络中聚类为中心，表示在网络入侵数据中与数据集合聚类中心的相似程度。

2 NIDBGC入侵检测算法实现

根据网络入侵数据类型，在进行NIBGC计算方法时，通常由两个阶段组成。

第一个阶段为leader型对入侵数据阶段，此阶段是根据网络数据的相似性，对相似程度较高的网络入侵数据进行聚类集合，完成对入侵数据初始聚类分析。第二阶段为入侵数据遗传化阶段。此阶段对第一阶段的入侵数据集合进行组合，对各聚类信息进行标识，确定数据为入侵数据还是正常数据。

NIDBGC网络入侵数据检测算法是Leader聚类在线初始聚类，通过下一阶段的计算来尽可能减少运算程度，压缩数据空间，增强算法适应性。

2.1 Leader聚类阶段

Leader聚类阶段，初始的相似入侵数据聚类步骤如下。

步骤1：设网络入侵数据为空，。

步骤2：设定网络入侵数据为，，其中为入侵数据数量，当时，c1=c1fc1，其中fc1为入侵数据初始聚类c1的一个leader，将此点设置为入侵数据集合中心点，转到步骤4，否则计算fc1与c1的相似程度，当为当前入侵数据检测集合数量，fc1为c1中心点。

步骤3：当时，d（fc1，Ij）或其中d0为检测入侵数据预设聚类相似程度。

步骤4：如，则此计算方法结束。否则直到转到步骤2。

2.2 正规化处理s

2.3 遗传优化阶段

在网络入侵数据完成leader聚类阶段后，可以得到集合，其中决定各集合之间相似程度系数，在此阶段算法中作用十分重要，直接影响网络入侵数据检测结果。在NIDBGC算法中，设置=2.3可以确保在检测过程中聚类有较好的集合效果。

在网络中引入遗传算法进行入侵数据检测是自适应全局优化概率算法。是利用编码与解码来实现高速超高带宽网络空间与解之间的映射，通过交叉变异和选择对检测数据种群进行优化。遗传主要由初始化和进化两部分组成，主要包含以下几个阶段。

（1）染色体表达。在leader阶段，网络中的入侵数据已经基本保证初始聚类的实现，采用中心聚类来参与下一步进化有利于缩小检测空间，降低计算复杂程度。

以二进制编码为例，设定初始检测入侵数据集合为c1，产生进行种群数量以代表入侵数据分布。如果集合被选中，则进化种群为1，否则为0。根据NIDBGC算法，在第一阶段的初始聚类中，包含的集合种类最多，此时，设置聚类参数为1，考虑到合并优化问题，则进一步降低了计算复杂程度。

（2）选择操作。遗传算法，是适者生存，优胜劣汰的进化方式。在高速超高带宽网络中引入NIDBGC算法，按一定规则将检测入侵数据进行归类，参与进化，将其他聚类标识为入侵数据。

表示网络入侵数据聚类初始平均距离，入侵数据数量为。

在网络中提出退火选择运算，是基于该算法局部和脱离局部算法的能力，增强遗传算法的优化性能。

2.4 遗传优化算法实现

在网络中实现遗传优化检测入侵数据步骤如下：

程序初始，代入初始系数，变异率及交叉率，提出退火因子及初始温度。进行评价和选择。进行交叉操作、变异操作，终止条件判断。输出结果。

3 结语

提出一种改进网络入侵信号监控系统，该系统基于遗传聚类的网络入侵检测检测算法即NIDBGC算法。由Leader聚类和遗传优化两个部分组成。通过Leader聚类阶段对入侵数据进行初步分类，以降低网络入侵信号检测难度，通过遗传优化算法利用编码与解码来实现网络空间与解之间的映射，用交叉变异和选择对检测数据种群进行优化。实现对网络入侵的检测。仿真实验表明，改进网络入侵检测系统比传统方法平均检测大于50%，误检率约为1.5%，充分表明算法的有效性。

参考文献

[1] Cinclair C，Pierce L，Matzner S.An application of machine learning to network intrusion detection[C]//In Proceedings of the15th Annual Computer Security Applications Conference IEEEComputer Society Press.2003.

[2] Ghosh AK，Schwartzbard A.A study in using neural network for anomaly and misuse detection[C]//In：Proceeddings of the 8th USENIX Security Symposium.USA.USENIX Association.1999.

[3] 潘伊丽，马君显.滥用入侵检测技术分析[J].公安大学学报，2002，30（4）：29-33.