网络攻击检测技术探讨范文

1数据流聚类算法检测模型

数据流聚类攻击检测以描述数据统计信息的CF特征矢量集合作为输入，可以对不同时间段内代表服务器集群网络连接记录的数据流CF特征矢量集进行聚类分析，实现对网络连接数据的分类。为了对特定时间窗口的CF特征矢量集合进行计算，以反映相应时间段内网络数据的实际情况，需要进行CF减法操作。定义1（CF减法）设服务器集群网络攻击检测模型中的聚类特征矢量CF1=(S1,D1,n1,t1)与CF2=(S2,D2,n2,t2)分别描述了从起始时刻开始至t1与t2时刻得到的两个子簇C1与C2的信息，且t1<t2，C1⊆C2，则当对(t1,t2]时间窗口内的服务器集群网络数据进行计算时，对于两个子簇的CF特征矢量。聚类特征矢量的减法操作是针对服务器集群网络攻击检测中数据到达的选择时间窗口而言的，可以实现对给定时刻之前某一特定时间窗口的网络数据情况进行分析，而不用考虑以前的历史数据，这样更能准确反映当前集群网络的通信量状况，检测对服务器集群网络或系统的异常行为。

在服务器集群网络数据的聚类分析中，输入的数据对象是描述各子簇统计信息的CF特征矢量，是对多个数据点集合的描述。简单的以子簇中数据点的平均值作为簇中心，应用现有的距离函数进行计算，并不能获得精确的距离度量。同时，考虑到在服务器集群网络攻击检测中，攻击行为多表现为孤立点，选择对孤立点具有更好的kMedoids算法的修改版本具有更好的效果。kMedoids聚类算法的基本策略是通过任意为每个聚类找到一个代表对象，其他对象根据最小距离原则迭代加入到各相应的聚类中。在攻击检测算法中，采用了一种利用所有数据点信息的簇间距离计算方法，直接针对子簇内所有的数据点进行计算，充分利用了现有的CF特征矢量信息。

2期望克隆率的引入

传统的数据流聚类网络攻击检测算法始终没有解决数据流聚类问题中的对初始值敏感、易陷入局部最优、效率低、聚类能力不强等缺陷。针对这些问题，引入期望克隆率到数据流聚类攻击检测算法，并采用衰减函数和时刻权重来反映原始数据与当前流入数据在整个服务器集群网络数据流中的地位。

2.1期望克隆率的表达式计算抗体克隆的数目与其所受到的激励水平成正比，受激励越大的抗体，其克隆数目越多，受激励越小的抗体克隆的数目越少。为了保持抗体的多样性，抗体的期望克隆率与时刻权重BD(i,j)成反比。抗体期望克隆率E(xi)可表示为。

2.2抗体克隆通过抗体克隆和超变异机制来产生适当的抗体，从而使服务器集群网络中的抗体结构可以反映遇到的抗原特征。当抗体所收到来自抗原的刺激达到一定程度时，免疫系统被激活，系统开始对抗体进行克隆增殖。设C(i,j)为受抗原Xi激励所生成的抗体Yj的克隆数目。

3实验结果及分析

采用本文算法的服务器集群网络攻击检测系统对KDDCUP1999训练，产生自体集，然后进行网络攻击测试，检测系统的检测正确率和误报率分别如图2和图3所示。从图2和图3可以看出，说明本文研究算法应用到服务器集群网络攻击检测系统中具有自适应、动态调节功能，能够有效的保证集群网络的安全。采用神经网络、支持向量机等进行对比实验。各系统的平均攻击检测正确率如图4所示。从图4结果可知，本文方法提高了服务器集群网络攻击检测结果的正确率。

4结论

本文利用基于期望克隆率的免疫原理自我保护机制，引入衰减函数和时刻权重，建立了一种服务器集群网络攻击检测系统。仿真实验结果表明，本文方法提高了服务器集群网络攻击检测的正确率。

作者：蒋华 单位：广西财经学院 现代教育技术部