- 相關(guān)推薦
淺談數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測中的分析論文
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展, 網(wǎng)絡(luò)已經(jīng)成為人們生活和工作中不可缺少的一部分, 人們對于網(wǎng)絡(luò)的依賴度越來越高。由于網(wǎng)絡(luò)共享性的特點, 使得網(wǎng)絡(luò)給人們帶來巨大經(jīng)濟效益和便利的同時, 也給人們的財產(chǎn)和個人隱私帶來了安全隱患。據(jù)統(tǒng)計, 超過90%的企業(yè)網(wǎng)被入侵過, 隨著網(wǎng)絡(luò)與經(jīng)濟的相結(jié)合, 不法分子已經(jīng)由早期的技術(shù)炫耀向利益驅(qū)動轉(zhuǎn)變, 這使得關(guān)系企業(yè)命脈的網(wǎng)絡(luò)受到更多的攻擊。當(dāng)前保護網(wǎng)絡(luò)安全主要采用的技術(shù)手段有: 數(shù)據(jù)加密、防火墻、認證、數(shù)字簽名、安全協(xié)議及入侵檢測等, 其中防火墻是當(dāng)前應(yīng)用最廣泛的技術(shù), 但防火墻在應(yīng)對開放端口攻擊、未設(shè)置策略攻擊及內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊時, 存在著嚴重的不足。入侵檢測可以將來自內(nèi)部和外部的攻擊進行檢測分析, 成為網(wǎng)絡(luò)安全的重要組成部分。
1 數(shù)據(jù)挖掘
1.1 概述
數(shù)據(jù)挖掘是20 世紀90 年代為了從大量的數(shù)據(jù)中獲取有效的、具有潛力的信息而興起的數(shù)據(jù)庫技術(shù), 經(jīng)過20 多年的發(fā)展, 已經(jīng)成為數(shù)據(jù)庫技術(shù)的一個重要分支。數(shù)據(jù)挖掘是一門綜合性非常強的學(xué)科, 集合了數(shù)據(jù)庫、機器學(xué)習(xí)、人工智能、統(tǒng)計學(xué)等多個學(xué)科, 在未來的發(fā)展中具有廣闊的應(yīng)用前景。數(shù)據(jù)挖掘是從大量雜亂的數(shù)據(jù)中提取有用信息的過程,也就是所謂的知識發(fā)現(xiàn)。
數(shù)據(jù)挖掘主要有3 個過程(數(shù)據(jù)準備、數(shù)據(jù)挖掘、結(jié)果表達和解釋), 其中數(shù)據(jù)準備有數(shù)據(jù)集成、數(shù)據(jù)選擇和預(yù)處理3 個步驟, 數(shù)據(jù)集成是將不同的數(shù)據(jù)源中數(shù)據(jù)以某種特定的形式組成在一起, 數(shù)據(jù)選擇是對集成后的數(shù)據(jù)提取相關(guān)的任務(wù)數(shù)據(jù), 形成目標數(shù)據(jù), 預(yù)處理則將目標數(shù)據(jù)轉(zhuǎn)變?yōu)檫m合數(shù)據(jù)挖掘的數(shù)據(jù)形式; 數(shù)據(jù)挖掘是利用智能的方法提取相關(guān)的數(shù)據(jù); 結(jié)果表達和解釋是以何種方式將知識結(jié)果以用戶可接受模式進行展示。
1.2 數(shù)據(jù)挖掘的數(shù)據(jù)模式
數(shù)據(jù)挖掘可以根據(jù)不同的需求采用以下幾種數(shù)據(jù)模式進行數(shù)據(jù)的查找:
(1) 數(shù)據(jù)區(qū)分: 將當(dāng)前的數(shù)據(jù)對象與用戶所定義的對象進行特征比對, 找出符合條件的數(shù)據(jù), 排隊無關(guān)的數(shù)據(jù)。
(2) 分類: 對已進行標記的數(shù)據(jù)進行分類, 用于區(qū)分不同的數(shù)據(jù)類型。
(3) 數(shù)據(jù)特征化: 將滿足某一特征的數(shù)據(jù)集合在一起。
(4) 聚類分析: 對數(shù)據(jù)進行分類, 它要求聚合在一起的數(shù)據(jù)類中的數(shù)據(jù)相似度盡可能的大, 而類與類之間的數(shù)據(jù)相似度盡可能的小。
(5) 頻繁模式: 根據(jù)數(shù)據(jù)在模式中出現(xiàn)的次數(shù)進行分類。
(6) 演變分析: 數(shù)據(jù)隨著時間的變化而呈現(xiàn)出一定的規(guī)則進行分類。
(7) 預(yù)測: 根據(jù)需求建立一種連續(xù)的函數(shù)模型, 對未知的數(shù)據(jù)進行預(yù)測分析。
2 入侵檢測
2.1 入侵檢測的分類
入侵檢測是通過對主機的日志或網(wǎng)絡(luò)的數(shù)據(jù)流進行分析,當(dāng)查出異常情況時及時發(fā)出報警, 從而達到系統(tǒng)避免攻擊的效果。
入侵檢測的一般過程是首先搜集來自網(wǎng)絡(luò)及用戶的信息;其次對信息進行篩選和分析; 最后是處理信息, 得出是否阻止入侵的結(jié)果。當(dāng)前入侵檢測根據(jù)數(shù)據(jù)來源的不同分為基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)兩種。
(1) 基于主機的入侵檢測系統(tǒng)
該模式主要以網(wǎng)絡(luò)、主機和系統(tǒng)的日志作為數(shù)據(jù)來源, 該檢測系統(tǒng)的優(yōu)點是: 可以在加密的通信環(huán)境下運行, 由于是對主機的日志系統(tǒng)進行分析, 熟悉本地的加密和訪問控制機制,較易地檢測出應(yīng)用層的攻擊, 對文件系統(tǒng)進行全面的分析和檢測。但是也存在不足, 其主要表現(xiàn)在: 對于網(wǎng)絡(luò)的拓撲結(jié)構(gòu)認知不足, 對于攻擊的實時性上反應(yīng)不足, 由于對系統(tǒng)日志進行分析檢測, 當(dāng)檢測出異常時, 可能就已經(jīng)受到攻擊了, 另外該檢測主要針對應(yīng)用層, 對于低層協(xié)議的攻擊無法檢測。
(2) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)
該模式主要以網(wǎng)絡(luò)的數(shù)據(jù)流作為數(shù)據(jù)來源, 其優(yōu)點主要表現(xiàn)在: 成本較低, 可以對整個局域網(wǎng)進行檢測; 實時性好,一經(jīng)發(fā)現(xiàn)數(shù)據(jù)流的數(shù)據(jù)出現(xiàn)異常, 就及時進行報警處理; 安全性能好, 可以對來自外網(wǎng)的數(shù)據(jù)流進行分析, 使受攻擊的系數(shù)降低。網(wǎng)絡(luò)入侵檢測系統(tǒng)的不足之處主要表現(xiàn)在: 當(dāng)網(wǎng)速快于系統(tǒng)的反應(yīng), 數(shù)據(jù)包可能會丟失, 限制了網(wǎng)速; 對高層的應(yīng)用層檢測能力不足, 無法通過數(shù)據(jù)流對應(yīng)用層進行分析; 對加密的攻擊性數(shù)據(jù)流無法準確檢測出來。
2.2 入侵檢測分析方法
(1) 基于異常檢測的入侵檢測系統(tǒng)
該方法的優(yōu)點是無需考慮攻擊類型和更新檢測特征庫,就能夠?qū)⑽粗墓艚o檢測出來。而缺點是前期數(shù)據(jù)的收集和學(xué)習(xí)過程必須完整且安全, 另外該方法的誤報率比較高,很容易將正常的數(shù)據(jù)流當(dāng)作攻擊而發(fā)生報警。
(2) 基于誤用檢測的入侵檢測系統(tǒng)
該方法的優(yōu)點是報警的準確率比較高, 只要發(fā)現(xiàn)入侵行為或事件與特征庫中的某一異,F(xiàn)象相匹配就直接報警。
3 網(wǎng)絡(luò)入侵檢測系統(tǒng)
對于入侵的數(shù)據(jù)來說, 都是未經(jīng)處理和標記的原始數(shù)據(jù),而且數(shù)據(jù)量比較大, 因此采用數(shù)據(jù)挖掘的方法對待檢測的數(shù)據(jù)進行分析, 可以提高入侵檢測系統(tǒng)的效率。
3.1 系統(tǒng)架構(gòu)
整個網(wǎng)絡(luò)入侵檢測系統(tǒng)由嗅探器、數(shù)據(jù)預(yù)處理、事件數(shù)據(jù)庫、誤用檢測、數(shù)據(jù)挖掘、規(guī)則庫、異常處理和響應(yīng)單元等組成。事件數(shù)據(jù)庫是整個系統(tǒng)的核心, 其系統(tǒng)結(jié)構(gòu)如圖3所示:
3.2 系統(tǒng)模塊實現(xiàn)
(1) 數(shù)據(jù)挖掘模塊
在系統(tǒng)中, 對數(shù)據(jù)流和日志進行分析, 主要依賴于數(shù)據(jù)挖掘算法, 不僅提高系統(tǒng)的工作效率, 而且提高了入侵檢測的準確性。其核心代碼如下:
int no=1,temp=0;
C[1][0].item[0]=0; if(D[0].item[0]! =0)
{
C[1][1].item[1]=D[1].item[1];
}
for(i=1;i<=D[0].item[0];i++) //for1
{
for(j=1;j<=D[i].item[0];j++) //for2
{
temp=1;
for(k=1;k<=no;k++) //for3
{
if(C[1][k].item[1]==D[i].item[j])
{
C[1][k].item[0]++;
temp=0;
}}
if(temp)
{
C[1][++no].item[1]=D[i].item[j];
C[1][no].item[0]=1;
}
(2) 響應(yīng)單元
當(dāng)系統(tǒng)收到異常, 響應(yīng)單元會根據(jù)情況向管理人員發(fā)出警報, 系統(tǒng)首先會根據(jù)情況的嚴重狀況作出第一反應(yīng), 如果情況緊急, 系統(tǒng)會第一時間自動切斷網(wǎng)絡(luò), 關(guān)閉正在運行的可執(zhí)行程序。如果情況不緊急, 則管理人員進行手工操作,是否繼續(xù)執(zhí)行。
4 結(jié)語
針對數(shù)據(jù)挖掘?qū)W(wǎng)絡(luò)入侵檢測進行研究, 分析了數(shù)據(jù)挖掘和入侵檢測的基本原理, 并在此基礎(chǔ)上設(shè)計出網(wǎng)絡(luò)入侵檢測系統(tǒng)。由于篇幅所限, 對于數(shù)據(jù)挖掘的一些具體算法并沒有給出詳細的描述, 整個入侵檢測系統(tǒng)是一個復(fù)雜的工程,針對不同的環(huán)境有不同的要求, 希望同仁共同努力, 設(shè)計和實現(xiàn)適合自身的系統(tǒng)。
【淺談數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測中的分析論文】相關(guān)文章:
移動通信網(wǎng)絡(luò)優(yōu)化中數(shù)據(jù)挖掘技術(shù)分析論文05-02
大數(shù)據(jù)崛起與數(shù)據(jù)挖掘分析論文10-31
基于數(shù)據(jù)挖掘的社交網(wǎng)絡(luò)分析與研究論文05-02
淺談數(shù)據(jù)挖掘05-02
數(shù)據(jù)挖掘論文04-29
數(shù)據(jù)挖掘技術(shù)在移動通信網(wǎng)絡(luò)優(yōu)化中的運用論文05-02
消防滅火救援中數(shù)據(jù)挖掘的應(yīng)用論文05-02
數(shù)據(jù)挖掘分析報告模板09-23