[发明专利]一种基于变邻域算法和模糊聚类的网络异常检测方法

说明书

本发明涉及一种基于变邻域算法和模糊聚类的网络异常检测方法，属于网络安全技术领域。本发明首先对收集到的正常网络数据流、主机系统日志等进行模糊聚类，生成正常数据流的模型，在聚类过程中利用变邻域搜索帮助模糊聚类算法跳出局部最优解，由于收集到的原始数据噪声和冗余过大因此利用曼哈顿距离减少噪声数据对聚类结果的影响，提高了正常数据流模型的正确性；接着利用该模型对待检测的网络数据进行判别，对判定为了异常的流量进行警报。本发明将变邻域算法和模糊聚类混合应用于网络异常检测，有利于充分发挥各自算法的优势，进一步提高优化效率并提供更好的结果。

技术领域

本发明涉及一种基于变邻域算法和模糊聚类的网络异常检测方法，属于网络安全领域。

背景技术

在网络安全日趋严峻的情况下，研究开发能够及时、准确对网络异常进行检测并能做出响应的网络安全防范技术，成为一个有效的解决网络安全问题的途径。异常检测也称基于行为的检测。它是建立在任何一种入侵检测行为都由偏离正常或所期望的系统和用户的活动而被检测出来。描述正常或合法活动的模型是从过去通过各种渠道收集到的大量历史活动资料的分析中得出的。异常检测的安全性高，但是要保证它具有较高的正确性却很困难。

发明内容

本发明提供了一种基于变邻域算法和模糊聚类的网络异常检测方法，可以高效快速检测到网络中存在的异常行为。

本发明采用的技术方案是：一种基于变邻域算法和模糊聚类的网络异常检测方法，包括如下步骤：

第一步：收集网络历史正常数据流，对数据进行初始化；所述的初始化包括字符型变量数值化，不同范围数据归一化以及利用主成分分析法及进行降维操作；

第二步：利用优化后的聚类算法对第一步的数据集进行分析，获得网络正常行为聚类模型；

第三步：输入当前待检测的数据集，利用第二步获得的网络正常行为模型对输入的未知网络流量进行分类，判定待检测数据是否为正常数据的方法为：计算当前数据与聚类中心的距离，如果待检测数据与所有聚类中心的距离均大于当前正常流量的阈值，则输出聚类结果判定为异常流量，并进行相应的响应。

具体地，第二步获得网络正常行为聚类模型的具体步骤如下：

第2.1步：初始化参数：数据集D，迭代次数t，聚类中心数c；

第2.2步：用值0-1之间的随机数初始化隶属度矩阵U，使其满足公式(1)

其中u_ij为第i个类的第j个元素的隶属度；

第2.3步：利用公式(2)计算C个聚类中心C_i,i＝1,…,c

其中C_i为第i类的聚类中心；u_ij为0-1之前的隶属度；n为元素的个数；m为模糊指数，通常设为2；x_j表示第j个数据；

第2.4步：利用公式(3)计算目标函数

J_i是i个聚类中心的目标函数值；第SAD_ij为第i个聚类中心到第j个数据点的曼哈顿距离，且是一个加权指数；