K-means聚类算法在网络安全检测中的应用研究.pdf

信息与电脑2023年第10 期Information&ComputerK-means 聚类算法在网络安全检测中的应用研究信息安全与管理杨军1刘洋1杨玉奇（1.天津三六零鸿腾科技有限公司，天津30 0 39 2；2.北京奇虎科技有限公司，北京100000)摘要：随着互联网等技术的快速发展，信息技术大大提升了人们生活学习的便捷性，但同时勒索病毒等攻击行为也给互联网应用带来巨大的安全挑战。大部分技术发展依托于网络安全的支持，因此网络安全直接影响社会发展的信息安全问题。随着入侵方式多样化，人们对网络安全检查系统提出了更高的要求。传统网络安全防御技术采用被动模式，在攻击威胁爆发后才能启动杀毒工具，已经不能满足人们的需求。文章研究阐述K-means聚类算法原理，论述聚类算法在网络安全检测中的应用，建立网络异常检测模型以提高集中选取数据的准确性，然后通过仿真实验，验证改进算法检测的准确性。关键词：K-means聚类算法；网络安全检测；应用研究中图分类号：TP309.2Research on the Application of K-means Clustering Algorithm in Network文献标识码：A文章编号：10 0 3-9 7 6 7（2 0 2 3）10-2 0 9-0 3Security DetectionYANG Jun,LIU Yang,YANG Yuqi?(1.Tianjin 360 Hongteng Technology Co.,Ltd.,Tianjin 300392,China;2.Beijing Qihu Technology Co.,Ltd.,Beijing 100000,China)Abstract:With the rapid development of technologies such as the Internet,information technology has effectivelyimproved the convenience of peoples lives and learning.At the same time,attacks such as ransomviruses have brought greatsecurity challenges to internet applications.Most technological development relies on the support of network security,whichdirectly affects the information security issues of social development.With the diversification of intrusion methods,higherrequirements are put forward for network security inspection systems.Traditional network security defense technologies adoptpassive mode,and antivirus tools can only be activated after the outbreak of attack threats.The article studies and elaborates onthe principle of K-means clustering algorithm,discusses the application of clustering algorithm in network security detection,establishes a network anomaly detection model to improve the accuracy of centralized data selection,and then verifies theaccuracy of improved algorithm detection through simulation experiments.Keywords:K-means clustering algorithm;network security detection;application research0引言随着计算机技术的迅速发展，网络应用成为推动社会发展的重要动力。网络安全直接关系到社会发展的安全问题，因此人们对网络安全性要求不断提高。只有不断提高网络安全技术，才能使网络技术更好地服务于社会发展。网络安全包括软硬件及系统中数据保护等，收稿日期：2 0 2 3-0 4-0 2作者简介：杨军（19 9 0 一），男，河南光山人，本科，工程师。研究方向：网络空间安全、人工智能、安全攻防。要求计算机网络能够保持可靠连续运行。入侵检测技术是继防火墙等传统保护措施的新安全保障技术，随着计算机系统的复杂化，人们对入侵检测系统（IntrusionDetection Systems，I D S）提出了更高的要求。如何有效防范各类安全威胁是新时代对网络安全提出的新要求，而实现这个需求，需要依赖大数据技术快速有效地209信息与电脑信息安全与管理Information&Computer2023年第10 期响应海量样本。K-means是基于划分的聚类算法，应用K-means建立网络异常检测模型可降低检测误报率。1网络安全检测技术21世纪，网络技术广泛应用于社会经济文化等各领域。由于网络固有的开放性，使得网络安全问题日益突出。目前，网络安全领域采用的加密技术等防护方法为静态防御技术，但是网络安全是动态综合立体的工程。随着人侵技术的发展，被动安全防御体系已经不能满足当前网络安全状况的需要，而入侵检测技术就是积极主动的安全防护技术。入侵检测流程，如图1所示。数据源安全策略信息采集信息预处理一信息分析一结果处理图1入侵检测流程图网络安全人侵检测是高实时性的技术，计算机网络安全是具有抵御拒绝服务能力，很多人侵者利用网络发起攻击，可以强制要求用户访问前确认验证身份。开发简单安全的计算机系统可以解决传统安全管理方式的不足。由于入侵检测技术可以抵御入侵攻击，IDS在安全领域的地位不断提高 2 。IDS 是在发现可疑传输时发出警报的网络安全设备，具有扩展系统管理员的安全管理能力。人侵是破坏系统可用性的行为，而网络安全人侵检测是利用系统采集重要节点信息，辅助计算机抵御网络侵犯，保护数据安全基本架构完好的行为。人侵检测过程分为信息采集分析与告警阶段。其中，人侵检测的核心步骤是信息分析，主要方法包括异常与误用检测技术。2K-means 聚类算法随着网络防御技术攻击行为复杂多样，网络入侵逐渐演变为分布模式。当前人侵检测存在系统主动防御能力不足、IDS结构问题等。数据挖掘可以从大量数据中找出所需知识规律，将数据挖掘引人人侵检测可以对大量安全数据应用算法建立检测系统。聚类就是将数据按照不同规则分为若干组类的过程，广泛应用于图像处理等领域。聚类分析是将给定数据对象集合根据不同相似度分为不同簇。聚类划分规则特殊性使得存在多种聚类方法，算法的选取需要根据数据的类型与应用目的决定。聚类分析在数据挖掘中占有重要地位 3。常见的聚类算法，如图2 所示。K-means算法思想是针对分析数据集输入用户预期分类数k，计算聚类中心到其他数据对象的距离，对新类重新计算聚类中心，算法聚类收敛针对分析数据对象调整结束。K-means算法是以平均值为初始聚类中心的基于划分聚类方法，是无监督的聚类人侵检测技术。K-means算法假设主体活动中人侵行为相对正常主题活动少，存在明显的差异。假设记录主体活动的数据集，根据数据到k中心的距离划分簇，取消之前k个初始聚类中心的标记，得到k个标记的聚类中心，簇中选择出新的中心值，反复进行划分和计算中心值操作到数据收敛。K-means算法对初始值敏感，容易陷人局部最优等缺点，但适合用于大规模数据检测。基于次分的聚类算法基于密度的聚类算法聚类算法告警3K-means聚类算法在网络安全检测中的应用网络安全检测技术IDS是对网络传输即时监视采取主动反应措施的网络安全设备，可以提高信息安全基础结构的完整性 。IDS 检测原理是首先从计算机网络系统的关键点收集信息，其次编码已知攻击特征，最后通过匹配模型判断系统是否受到攻击。由IDS检测原理可知，IDS缺少适用性和扩展性。将聚类分析应用于网络安全检测是实现IDS智能化的重要手段。K-means聚类算法容易受到噪声的影响，研究提出改进算法消除孤立点的影响，通过仿真实验证明改进算法可以降低漏报率。K-means算法是解决聚类问题的经典算法，传统算法需要预先给定K值 5。人侵检测存在一些缺陷，需建立入侵检测模型发现新类型攻击形式。网络安全入侵数据检测应用改进K-means聚类算法可以解决传统模型存在的缺陷。检测入侵时，系统要求聚类算法具有处理不同类型数据的能力，且对输人数据顺序不敏感。系统检测对象来自标准化处理后的网络日志数据。决策报警阶段系统对聚类结果数据配单，如果数据具有攻击性，那么进人报警系统。网络日志文件标准化同时将记录数据存放到历史数据库中，从记录数据中挖掘出正常行为规则存人规则库，新攻击类型出现调整时检测系统具有适应性。改进的K-means 算法根据数据对象属性在聚类中的作用，通过初始聚类中心选取规则，合理确定K-means算法的聚类初始中心，保证获得初始中心点为高质量。基于网络的聚类算法基于划分的聚类算法图2 常见的聚类算法210信息与电脑2023年第10 期Information&Computer为解决入侵检测问题，删除孤立点数据，从而减少对K-means 算法的影响 0 。K-means 算法对球状分布数据具有较好效果，但容易受到孤立点的影响。而改进后的K-means算法假设有数据集D，选择密度最大点作为首个Canopy中心点，选择到最大距离为第二个Canopy中心点，利用最小最大原则迭代计算至/N，选择前K个Canopy中心点带人优化后K-means算法聚类输出中心点。人侵检测系统分为训练和检测部分，基于聚类分析的人侵检测系统模型包括网络数据收集、聚类分析与新数据检测分析等模块 7 。实验环境为Intel Pentium 3GHz，选用WindowsXP系统平台。人侵检测算法采用检测率聚类数目/个1015202530404结语网络入侵检测是网络安全领域的核心技术，而基于数据挖掘的入侵检测是当前网络入侵检测研究的热门方向。人侵检测系统中使用数据挖掘算法是IDS研究中的新趋势，聚类分析可根据用户行为特征生成安全事件分类模型。文章首先研究介绍网络安全检测技术，其次阐述聚类分析算法原理，最后提出改进的K-means入侵检测算法，从而有效提升入侵检测的综合性能。1戴昀.基于大数据的K-means聚类算法的网络安全监测应用研究 .信息记录材料,2 0 2 3,2 4(4):140-142.2王喆.基于K-means聚类算法的章程文本数据信息安全与管理和误检率指标进行评价。DR大表示人侵检测系统检测灵敏。接近有攻击数据40 万条在KDDCup1999训练数据集中占总数据的8 0%。人侵记录数量过大表现形式误认为正常数据，需要选择人侵数据量适合的数据进行实验。实验中聚类数K变化自由度较大，需要通过实验估计，进行改进算法和传统算法性能比较进行评价。混合人侵数据集检测结果如表1所示，研究记录针对三维数组进行数据分析，主要对参数考察区别攻击与异常行为，算法用VC+编程实现，采用原始K-means算法迭代8 次，程序将记录分类，根据攻击特征判断行为，改进K-means聚类算法适合处理人侵检测问题。表1混合入侵数据集检测结果检测率/%传统 K-means改进 K-means19.223.633.440.343.162.352.374.255.276.856.577.43李峻屹.基于大数据的K-m