淺談數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測(cè)中的分析論文
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展, 網(wǎng)絡(luò)已經(jīng)成為人們生活和工作中不可缺少的一部分, 人們對(duì)于網(wǎng)絡(luò)的依賴度越來(lái)越高。由于網(wǎng)絡(luò)共享性的特點(diǎn), 使得網(wǎng)絡(luò)給人們帶來(lái)巨大經(jīng)濟(jì)效益和便利的同時(shí), 也給人們的財(cái)產(chǎn)和個(gè)人隱私帶來(lái)了安全隱患。據(jù)統(tǒng)計(jì), 超過(guò)90%的企業(yè)網(wǎng)被入侵過(guò), 隨著網(wǎng)絡(luò)與經(jīng)濟(jì)的相結(jié)合, 不法分子已經(jīng)由早期的技術(shù)炫耀向利益驅(qū)動(dòng)轉(zhuǎn)變, 這使得關(guān)系企業(yè)命脈的網(wǎng)絡(luò)受到更多的攻擊。當(dāng)前保護(hù)網(wǎng)絡(luò)安全主要采用的技術(shù)手段有: 數(shù)據(jù)加密、防火墻、認(rèn)證、數(shù)字簽名、安全協(xié)議及入侵檢測(cè)等, 其中防火墻是當(dāng)前應(yīng)用最廣泛的技術(shù), 但防火墻在應(yīng)對(duì)開放端口攻擊、未設(shè)置策略攻擊及內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊時(shí), 存在著嚴(yán)重的不足。入侵檢測(cè)可以將來(lái)自內(nèi)部和外部的攻擊進(jìn)行檢測(cè)分析, 成為網(wǎng)絡(luò)安全的重要組成部分。
1 數(shù)據(jù)挖掘
1.1 概述
數(shù)據(jù)挖掘是20 世紀(jì)90 年代為了從大量的數(shù)據(jù)中獲取有效的、具有潛力的信息而興起的數(shù)據(jù)庫(kù)技術(shù), 經(jīng)過(guò)20 多年的發(fā)展, 已經(jīng)成為數(shù)據(jù)庫(kù)技術(shù)的一個(gè)重要分支。數(shù)據(jù)挖掘是一門綜合性非常強(qiáng)的學(xué)科, 集合了數(shù)據(jù)庫(kù)、機(jī)器學(xué)習(xí)、人工智能、統(tǒng)計(jì)學(xué)等多個(gè)學(xué)科, 在未來(lái)的發(fā)展中具有廣闊的應(yīng)用前景。數(shù)據(jù)挖掘是從大量雜亂的數(shù)據(jù)中提取有用信息的過(guò)程,也就是所謂的知識(shí)發(fā)現(xiàn)。
數(shù)據(jù)挖掘主要有3 個(gè)過(guò)程(數(shù)據(jù)準(zhǔn)備、數(shù)據(jù)挖掘、結(jié)果表達(dá)和解釋), 其中數(shù)據(jù)準(zhǔn)備有數(shù)據(jù)集成、數(shù)據(jù)選擇和預(yù)處理3 個(gè)步驟, 數(shù)據(jù)集成是將不同的數(shù)據(jù)源中數(shù)據(jù)以某種特定的形式組成在一起, 數(shù)據(jù)選擇是對(duì)集成后的數(shù)據(jù)提取相關(guān)的任務(wù)數(shù)據(jù), 形成目標(biāo)數(shù)據(jù), 預(yù)處理則將目標(biāo)數(shù)據(jù)轉(zhuǎn)變?yōu)檫m合數(shù)據(jù)挖掘的數(shù)據(jù)形式; 數(shù)據(jù)挖掘是利用智能的方法提取相關(guān)的'數(shù)據(jù); 結(jié)果表達(dá)和解釋是以何種方式將知識(shí)結(jié)果以用戶可接受模式進(jìn)行展示。
1.2 數(shù)據(jù)挖掘的數(shù)據(jù)模式
數(shù)據(jù)挖掘可以根據(jù)不同的需求采用以下幾種數(shù)據(jù)模式進(jìn)行數(shù)據(jù)的查找:
(1) 數(shù)據(jù)區(qū)分: 將當(dāng)前的數(shù)據(jù)對(duì)象與用戶所定義的對(duì)象進(jìn)行特征比對(duì), 找出符合條件的數(shù)據(jù), 排隊(duì)無(wú)關(guān)的數(shù)據(jù)。
(2) 分類: 對(duì)已進(jìn)行標(biāo)記的數(shù)據(jù)進(jìn)行分類, 用于區(qū)分不同的數(shù)據(jù)類型。
(3) 數(shù)據(jù)特征化: 將滿足某一特征的數(shù)據(jù)集合在一起。
(4) 聚類分析: 對(duì)數(shù)據(jù)進(jìn)行分類, 它要求聚合在一起的數(shù)據(jù)類中的數(shù)據(jù)相似度盡可能的大, 而類與類之間的數(shù)據(jù)相似度盡可能的小。
(5) 頻繁模式: 根據(jù)數(shù)據(jù)在模式中出現(xiàn)的次數(shù)進(jìn)行分類。
(6) 演變分析: 數(shù)據(jù)隨著時(shí)間的變化而呈現(xiàn)出一定的規(guī)則進(jìn)行分類。
(7) 預(yù)測(cè): 根據(jù)需求建立一種連續(xù)的函數(shù)模型, 對(duì)未知的數(shù)據(jù)進(jìn)行預(yù)測(cè)分析。
2 入侵檢測(cè)
2.1 入侵檢測(cè)的分類
入侵檢測(cè)是通過(guò)對(duì)主機(jī)的日志或網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行分析,當(dāng)查出異常情況時(shí)及時(shí)發(fā)出報(bào)警, 從而達(dá)到系統(tǒng)避免攻擊的效果。
入侵檢測(cè)的一般過(guò)程是首先搜集來(lái)自網(wǎng)絡(luò)及用戶的信息;其次對(duì)信息進(jìn)行篩選和分析; 最后是處理信息, 得出是否阻止入侵的結(jié)果。當(dāng)前入侵檢測(cè)根據(jù)數(shù)據(jù)來(lái)源的不同分為基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)兩種。
(1) 基于主機(jī)的入侵檢測(cè)系統(tǒng)
該模式主要以網(wǎng)絡(luò)、主機(jī)和系統(tǒng)的日志作為數(shù)據(jù)來(lái)源, 該檢測(cè)系統(tǒng)的優(yōu)點(diǎn)是: 可以在加密的通信環(huán)境下運(yùn)行, 由于是對(duì)主機(jī)的日志系統(tǒng)進(jìn)行分析, 熟悉本地的加密和訪問(wèn)控制機(jī)制,較易地檢測(cè)出應(yīng)用層的攻擊, 對(duì)文件系統(tǒng)進(jìn)行全面的分析和檢測(cè)。但是也存在不足, 其主要表現(xiàn)在: 對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)認(rèn)知不足, 對(duì)于攻擊的實(shí)時(shí)性上反應(yīng)不足, 由于對(duì)系統(tǒng)日志進(jìn)行分析檢測(cè), 當(dāng)檢測(cè)出異常時(shí), 可能就已經(jīng)受到攻擊了, 另外該檢測(cè)主要針對(duì)應(yīng)用層, 對(duì)于低層協(xié)議的攻擊無(wú)法檢測(cè)。
(2) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)
該模式主要以網(wǎng)絡(luò)的數(shù)據(jù)流作為數(shù)據(jù)來(lái)源, 其優(yōu)點(diǎn)主要表現(xiàn)在: 成本較低, 可以對(duì)整個(gè)局域網(wǎng)進(jìn)行檢測(cè); 實(shí)時(shí)性好,一經(jīng)發(fā)現(xiàn)數(shù)據(jù)流的數(shù)據(jù)出現(xiàn)異常, 就及時(shí)進(jìn)行報(bào)警處理; 安全性能好, 可以對(duì)來(lái)自外網(wǎng)的數(shù)據(jù)流進(jìn)行分析, 使受攻擊的系數(shù)降低。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的不足之處主要表現(xiàn)在: 當(dāng)網(wǎng)速快于系統(tǒng)的反應(yīng), 數(shù)據(jù)包可能會(huì)丟失, 限制了網(wǎng)速; 對(duì)高層的應(yīng)用層檢測(cè)能力不足, 無(wú)法通過(guò)數(shù)據(jù)流對(duì)應(yīng)用層進(jìn)行分析; 對(duì)加密的攻擊性數(shù)據(jù)流無(wú)法準(zhǔn)確檢測(cè)出來(lái)。
2.2 入侵檢測(cè)分析方法
(1) 基于異常檢測(cè)的入侵檢測(cè)系統(tǒng)
該方法的優(yōu)點(diǎn)是無(wú)需考慮攻擊類型和更新檢測(cè)特征庫(kù),就能夠?qū)⑽粗墓艚o檢測(cè)出來(lái)。而缺點(diǎn)是前期數(shù)據(jù)的收集和學(xué)習(xí)過(guò)程必須完整且安全, 另外該方法的誤報(bào)率比較高,很容易將正常的數(shù)據(jù)流當(dāng)作攻擊而發(fā)生報(bào)警。
(2) 基于誤用檢測(cè)的入侵檢測(cè)系統(tǒng)
該方法的優(yōu)點(diǎn)是報(bào)警的準(zhǔn)確率比較高, 只要發(fā)現(xiàn)入侵行為或事件與特征庫(kù)中的某一異,F(xiàn)象相匹配就直接報(bào)警。
3 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
對(duì)于入侵的數(shù)據(jù)來(lái)說(shuō), 都是未經(jīng)處理和標(biāo)記的原始數(shù)據(jù),而且數(shù)據(jù)量比較大, 因此采用數(shù)據(jù)挖掘的方法對(duì)待檢測(cè)的數(shù)據(jù)進(jìn)行分析, 可以提高入侵檢測(cè)系統(tǒng)的效率。
3.1 系統(tǒng)架構(gòu)
整個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)由嗅探器、數(shù)據(jù)預(yù)處理、事件數(shù)據(jù)庫(kù)、誤用檢測(cè)、數(shù)據(jù)挖掘、規(guī)則庫(kù)、異常處理和響應(yīng)單元等組成。事件數(shù)據(jù)庫(kù)是整個(gè)系統(tǒng)的核心, 其系統(tǒng)結(jié)構(gòu)如圖3所示:
3.2 系統(tǒng)模塊實(shí)現(xiàn)
(1) 數(shù)據(jù)挖掘模塊
在系統(tǒng)中, 對(duì)數(shù)據(jù)流和日志進(jìn)行分析, 主要依賴于數(shù)據(jù)挖掘算法, 不僅提高系統(tǒng)的工作效率, 而且提高了入侵檢測(cè)的準(zhǔn)確性。其核心代碼如下:
int no=1,temp=0;
C[1][0].item[0]=0; if(D[0].item[0]! =0)
{
C[1][1].item[1]=D[1].item[1];
}
for(i=1;i<=D[0].item[0];i++) //for1
{
for(j=1;j<=D[i].item[0];j++) //for2
{
temp=1;
for(k=1;k<=no;k++) //for3
{
if(C[1][k].item[1]==D[i].item[j])
{
C[1][k].item[0]++;
temp=0;
}}
if(temp)
{
C[1][++no].item[1]=D[i].item[j];
C[1][no].item[0]=1;
}
(2) 響應(yīng)單元
當(dāng)系統(tǒng)收到異常, 響應(yīng)單元會(huì)根據(jù)情況向管理人員發(fā)出警報(bào), 系統(tǒng)首先會(huì)根據(jù)情況的嚴(yán)重狀況作出第一反應(yīng), 如果情況緊急, 系統(tǒng)會(huì)第一時(shí)間自動(dòng)切斷網(wǎng)絡(luò), 關(guān)閉正在運(yùn)行的可執(zhí)行程序。如果情況不緊急, 則管理人員進(jìn)行手工操作,是否繼續(xù)執(zhí)行。
4 結(jié)語(yǔ)
針對(duì)數(shù)據(jù)挖掘?qū)W(wǎng)絡(luò)入侵檢測(cè)進(jìn)行研究, 分析了數(shù)據(jù)挖掘和入侵檢測(cè)的基本原理, 并在此基礎(chǔ)上設(shè)計(jì)出網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。由于篇幅所限, 對(duì)于數(shù)據(jù)挖掘的一些具體算法并沒(méi)有給出詳細(xì)的描述, 整個(gè)入侵檢測(cè)系統(tǒng)是一個(gè)復(fù)雜的工程,針對(duì)不同的環(huán)境有不同的要求, 希望同仁共同努力, 設(shè)計(jì)和實(shí)現(xiàn)適合自身的系統(tǒng)。
【淺談數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測(cè)中的分析論文】相關(guān)文章:
移動(dòng)通信網(wǎng)絡(luò)優(yōu)化中數(shù)據(jù)挖掘技術(shù)分析論文01-23
淺談網(wǎng)絡(luò)教學(xué)平臺(tái)下的數(shù)據(jù)挖掘技術(shù)論文10-27
大數(shù)據(jù)崛起與數(shù)據(jù)挖掘分析論文11-28
淺談數(shù)據(jù)挖掘07-27
基于數(shù)據(jù)挖掘的社交網(wǎng)絡(luò)分析與研究論文01-23
網(wǎng)絡(luò)游戲的數(shù)據(jù)挖掘與數(shù)據(jù)分析01-15
網(wǎng)絡(luò)營(yíng)銷中數(shù)據(jù)挖掘技術(shù)的應(yīng)用論文03-23
數(shù)據(jù)挖掘論文09-24