论文部分内容阅读
摘要:为解决对异常节点数据特征识别不充分导致的网络异常节点排查效果不好问题,本文研究基于聚类算法的网络异常节点排查方法。先定位网络节点异常集群,得到簇群集合,再获取异常节点数据特征,得到异常节点数据的特征向量。利用聚类算法排查异常节点,计算对应集群中心的距离。经实验仿真论证分析,本文方法排查网络异常节点的正确率较高,其误报数及漏报数均低于传统方法,本文方法具有一定有效性。
关键词:聚类算法;网络异常节点;异常节点排查;异常集群;数据特征;网络安全;
中图分类号:TP39文献标识码:A
0引言
随着网络的广泛普及与应用,科学技术的不断进步,导致窃取网络信息,攻击服务器、病毒传播等异常行为不断增加,严重威胁着互联网的安全[1]。由于网络中数据量较大,其网络节点的带宽,功率有限,因此容易受到恶意攻击,出现数据异常、恶意节点等情况,因此对于网络异常节点的排查是至关重要的。由于传统方法不能完全排查出网络节点中的恶意流量,本文基于聚类算法,实现对网络异常节点的排查,保障网络运行安全,定位网络攻击源。
1基于聚类算法的网络异常节点排查方法
1.1定位网络节点异常集群
排查网络异常节点首先要定位网络节点异常集群,通过分布式法,在测量时间窗口的最后将每个传感器节点的数据进行本地处理,利用节点的联通性将网络分成若干个连接的子网络,进行异常集群识别,异常集群完成后将数据传送至节点,节点根据收到的数据与节点中的数据结合得到总数据集合。将得到的总数据运行到数据集上得到簇群集合[2]。在异常数据的定位中,如果有新的数据落在簇的外部,则判断该数据为异常数据,定位异常集群。
1.2获取异常节点数据特征
在得到异常节点数据后,获取网络异常节点特征,所获取的特征向量包括异常节点的出入度、簇群中出入度为0的节点数等,区分待排查网络中节点的特征向量,区分正常节点与异常节点,通过节点的度来描述节点的异常情况,节点的出入度由节点出入口所发出和进入的对话量数量来衡量,源节点发出的对话流为源节点的出度,其发送到目的端口使用的数量为目的端的入度[3]。通过对异常集群的分析发现,单个异常节点无法显示对话流特征的意义,需为每个节点定义一个所属群体。
1.3聚類算法排查异常节点
通过聚类算法处理异常数据,排查异常节点。定义集群与其他集群的紧密度,综合正常集群信息,通过异常簇计算全局摘要信息,将数据通过节点传送至各个簇头,设定异常节点的阈值为,各簇头收到节点传输信息后,计算对应集群中心的距离,具体为:
式中为聚类到的距离,通过对应集群中心距离,为排查异常节点数据提供依据。
2实验论证分析
为模拟本文方法在实际网络异常节点排查的应用,并检验其测试效果,我们对测试机和训练集的同源性进行了调整,选取网络流的特征向量数据为训练集,特殊网络流的特征向量集为测试集对其进行检测。
经检测,当网络流1为训练集时,2-30s和4-30s的检测结果都在95%以上,正确率较高,漏报率整体上较低,当网络流3为训练集时,2-30s的测试效果与其他测试集相比较差,当网络流5为训练集时,测试结果与网络流3的结果有一定程度的相似,但总体效果较网络流3的情况好。对于整体上不同测试集的测试效果来看,正确率均在88%以上,具有良好的检测效果。为验证本文方法的可靠性,将本文方法与传统方法进行对比,利用10个流量特征属性,分析网络异常节点特征,对使用三种不同分类器所得到的测试结果进行对比,具体情况如表1所示。
由表2可知,本文方法在不同分类器的测试中,测试节点正确率较高,且总体测试水平较为稳定,传统方法在不同分类器的测试中在正确率上存在着一定的波动,且测试结果显示,传统方法的最高准确率为92.96%,本文方法的最高准确率99.82%,本文方法比传统方法高8.5%。同时,本文方法测定结果的误报数和漏报数均低于传统方法,可见本文方法对网络异常节点的排查效果较好,具有一定的优势。
3结束语
本文通过定位网络节点异常集群、获取异常节点数据特征、聚类算法排查异常节点实现对异常网络节点的排查,取得一定的研究成果。同时,由于时间和条件的限制,本文研究还存在着诸多不足,有待于在日后的研究中进一步深入探讨。如对网络异常节点的排查还只能涉及到排查的数量,不能将异常的类型进行进一步识别,在聚类参数的分析中也存在着一定的不足,需要在今后的研究中优化。
参考文献
[1]辛壮,万良,李均涛.改进的聚类算法在网络异常行为检测中的应用[J].计算机技术与发展,2019,29(03):111-116.
[2]翟建丽,王映丽.基于模糊聚类的网络异常流量检测算法研究[J].电子测量技术,2019,42(16):172-176.
[3]罗文华,许彩滇.基于改进MajorClust聚类的网络入侵行为检测[J].信息网络安全,2020,20(02):14-21.
作者简介:
窦磊(1989-),男(汉族),河南濮阳人,本科,助教,研究方向:信息管理
关键词:聚类算法;网络异常节点;异常节点排查;异常集群;数据特征;网络安全;
中图分类号:TP39文献标识码:A
0引言
随着网络的广泛普及与应用,科学技术的不断进步,导致窃取网络信息,攻击服务器、病毒传播等异常行为不断增加,严重威胁着互联网的安全[1]。由于网络中数据量较大,其网络节点的带宽,功率有限,因此容易受到恶意攻击,出现数据异常、恶意节点等情况,因此对于网络异常节点的排查是至关重要的。由于传统方法不能完全排查出网络节点中的恶意流量,本文基于聚类算法,实现对网络异常节点的排查,保障网络运行安全,定位网络攻击源。
1基于聚类算法的网络异常节点排查方法
1.1定位网络节点异常集群
排查网络异常节点首先要定位网络节点异常集群,通过分布式法,在测量时间窗口的最后将每个传感器节点的数据进行本地处理,利用节点的联通性将网络分成若干个连接的子网络,进行异常集群识别,异常集群完成后将数据传送至节点,节点根据收到的数据与节点中的数据结合得到总数据集合。将得到的总数据运行到数据集上得到簇群集合[2]。在异常数据的定位中,如果有新的数据落在簇的外部,则判断该数据为异常数据,定位异常集群。
1.2获取异常节点数据特征
在得到异常节点数据后,获取网络异常节点特征,所获取的特征向量包括异常节点的出入度、簇群中出入度为0的节点数等,区分待排查网络中节点的特征向量,区分正常节点与异常节点,通过节点的度来描述节点的异常情况,节点的出入度由节点出入口所发出和进入的对话量数量来衡量,源节点发出的对话流为源节点的出度,其发送到目的端口使用的数量为目的端的入度[3]。通过对异常集群的分析发现,单个异常节点无法显示对话流特征的意义,需为每个节点定义一个所属群体。
1.3聚類算法排查异常节点
通过聚类算法处理异常数据,排查异常节点。定义集群与其他集群的紧密度,综合正常集群信息,通过异常簇计算全局摘要信息,将数据通过节点传送至各个簇头,设定异常节点的阈值为,各簇头收到节点传输信息后,计算对应集群中心的距离,具体为:
式中为聚类到的距离,通过对应集群中心距离,为排查异常节点数据提供依据。
2实验论证分析
为模拟本文方法在实际网络异常节点排查的应用,并检验其测试效果,我们对测试机和训练集的同源性进行了调整,选取网络流的特征向量数据为训练集,特殊网络流的特征向量集为测试集对其进行检测。
经检测,当网络流1为训练集时,2-30s和4-30s的检测结果都在95%以上,正确率较高,漏报率整体上较低,当网络流3为训练集时,2-30s的测试效果与其他测试集相比较差,当网络流5为训练集时,测试结果与网络流3的结果有一定程度的相似,但总体效果较网络流3的情况好。对于整体上不同测试集的测试效果来看,正确率均在88%以上,具有良好的检测效果。为验证本文方法的可靠性,将本文方法与传统方法进行对比,利用10个流量特征属性,分析网络异常节点特征,对使用三种不同分类器所得到的测试结果进行对比,具体情况如表1所示。
由表2可知,本文方法在不同分类器的测试中,测试节点正确率较高,且总体测试水平较为稳定,传统方法在不同分类器的测试中在正确率上存在着一定的波动,且测试结果显示,传统方法的最高准确率为92.96%,本文方法的最高准确率99.82%,本文方法比传统方法高8.5%。同时,本文方法测定结果的误报数和漏报数均低于传统方法,可见本文方法对网络异常节点的排查效果较好,具有一定的优势。
3结束语
本文通过定位网络节点异常集群、获取异常节点数据特征、聚类算法排查异常节点实现对异常网络节点的排查,取得一定的研究成果。同时,由于时间和条件的限制,本文研究还存在着诸多不足,有待于在日后的研究中进一步深入探讨。如对网络异常节点的排查还只能涉及到排查的数量,不能将异常的类型进行进一步识别,在聚类参数的分析中也存在着一定的不足,需要在今后的研究中优化。
参考文献
[1]辛壮,万良,李均涛.改进的聚类算法在网络异常行为检测中的应用[J].计算机技术与发展,2019,29(03):111-116.
[2]翟建丽,王映丽.基于模糊聚类的网络异常流量检测算法研究[J].电子测量技术,2019,42(16):172-176.
[3]罗文华,许彩滇.基于改进MajorClust聚类的网络入侵行为检测[J].信息网络安全,2020,20(02):14-21.
作者简介:
窦磊(1989-),男(汉族),河南濮阳人,本科,助教,研究方向:信息管理