基于聚類分析的網(wǎng)絡(luò)異常流量入侵檢測(cè)方法

陳曉燕

濮陽(yáng)市公安局情報(bào)指揮中心 河南 濮陽(yáng) 457000

引言

網(wǎng)絡(luò)互動(dòng)已經(jīng)越來(lái)越成為人類生活中必不可少的部分。但在互聯(lián)網(wǎng)使人類生活越來(lái)越便捷的同時(shí)，我們也不可忽視它給我們帶來(lái)的風(fēng)險(xiǎn)，網(wǎng)絡(luò)異常流量入侵已經(jīng)成為嚴(yán)峻的挑戰(zhàn)。如何獲得更優(yōu)的網(wǎng)絡(luò)流量預(yù)測(cè)結(jié)果，以避免擁塞、保護(hù)網(wǎng)絡(luò)安全逐漸成為重要議題[1]。傳統(tǒng)的檢測(cè)方式簡(jiǎn)單地分為異常入侵檢測(cè)系統(tǒng)和誤用入侵檢測(cè)系統(tǒng)，面對(duì)不斷變化的入侵形勢(shì)時(shí)，難以檢測(cè)到不斷變化發(fā)展的攻擊類型，存在檢測(cè)效率低、擴(kuò)展性較差等問(wèn)題。

為了解決異常入侵檢測(cè)系統(tǒng)和誤用入侵檢測(cè)系統(tǒng)中存在的問(wèn)題，本文提出了基于聚類分析算法的網(wǎng)絡(luò)異常流量入侵檢測(cè)方法，以實(shí)現(xiàn)更加精準(zhǔn)地檢測(cè)網(wǎng)絡(luò)異常流量的目標(biāo)。

1 基于聚類分析的網(wǎng)絡(luò)異常流量入侵檢測(cè)方法

1.1 采集網(wǎng)絡(luò)流量數(shù)據(jù)樣本

網(wǎng)絡(luò)流量數(shù)據(jù)樣本的采集是檢測(cè)網(wǎng)絡(luò)異常流量入侵的基礎(chǔ)。本實(shí)驗(yàn)網(wǎng)絡(luò)數(shù)據(jù)樣本采集過(guò)程，是在TCP/IP模型下，對(duì)互聯(lián)網(wǎng)中的UDP和TCP報(bào)文進(jìn)行數(shù)據(jù)采集檢測(cè)。大概率情況下，采集過(guò)程為：主機(jī)網(wǎng)卡獲得報(bào)文→操作系統(tǒng)協(xié)議棧接收→操作系統(tǒng)協(xié)議棧進(jìn)行層層識(shí)別、丟棄、分析。最終獲得數(shù)據(jù)包，如圖1所示。

圖1 TCP/IP網(wǎng)絡(luò)架構(gòu)模型

但是按這種程序采集到的數(shù)據(jù)包對(duì)于流量分類來(lái)說(shuō)是不夠完善的，因?yàn)榱髁啃畔⒃趨f(xié)議棧進(jìn)行識(shí)別、丟棄、分析的過(guò)程中容易出現(xiàn)缺失。因此需要一種能夠捕獲初始數(shù)據(jù)包的工具。WinPcap很好地滿足了此要求。……