《谈入侵检测系统数据挖掘技术应用.docx》由会员分享,可在线阅读,更多相关《谈入侵检测系统数据挖掘技术应用.docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、谈入侵检测系统数据挖掘技术应用摘要:入侵检测是网络安全管理中的一项安全措施,能够有效发现和弥补网络安全漏洞和缺陷。但是随着网络流量的增加以及网络攻击形式的多样化发展,入侵检测系统的技术也不断完善,当前数据挖掘技术成为入侵检测系统的重要技术形式。笔者主要对入侵检测系统技术形式、数据挖掘技术的详细应用方式等进行详细分析和讨论,希望能够促进网络安全管理工作的进一步开展与优化。关键词:数据挖掘技术;入侵检测系统;网络安全管理信息时代下,计算机技术应用越来越广泛,计算机技术水平不断提升,同时计算机犯罪数量也不断上升,十分是随着网络的普及,网络入侵问题不断发生。为了保护计算机网络免于非法入侵,同时防止重要
2、情报和资料被盗窃或者网络瘫痪,导致严重的经济损失,危及国家和社会安全,必需要完善入侵检测系统,采取有效的防备措施,提升入侵检测技术水平。1入侵检测技术的定义及详细技术1.1入侵检测技术对于计算机入侵来讲,无论入侵能否成功,所有越权或者非受权情况对计算机系统资源的可靠性、完好性造成毁坏的行为都称为网络入侵。而对这些入侵行为的识别即入侵检测,完成入侵检测任务的软硬件系统称为入侵检测系统1。1.2入侵检测系统常用检测技术1.2.1滥用检测技术滥用检测技术是指针对特征情况的检测,根据当前的入侵和攻击特点建立入侵特征库,通过特征库对出现的攻击和入侵情况进行匹配,假如发现入侵行为与入侵特征库中的某种特征一
3、样,则讲明这是一种入侵行为。这种入侵识别的准确性高,报错率低,但是由于网络攻击行为比拟多,会导致入侵特征库不断扩大增大,而且这种检测技术只能检测已经发生过的入侵行为。1.2.2异常检测技术异常检测技术是以行为为基础的检测技术,该技术的应用同样需要建立一个特征库,根据系统的使用资源和行为等情况判定入侵行为。异常检测需要以统计方法为主,通过用户的活动轮廓以及系统的运行等对入侵活动进行探索。活动轮廓是一种由统计参数组成的模块,包括内存利用率、CPU、出错率、IP地址、网络连接源IP等。活动轮廓优势在于其本身与入侵检测系统无关,具有非常强的通用性,能够对一些没有出现过的入侵情况进行检测。但是各个用户行
4、为会经常发生变化,活动轮廓无法实现对系统用户的全面描绘,而且也存在其他的缺陷,比方检错率比拟高。其次因需要不停更新统计简表,假如入侵者发现检测器处于被监视的状态,会有目的、有计划地对检测系统进行训练,逐步使系统将入侵行为默以为是正常行为。入侵检测系统的研究主力在美国,当前已经开场得到广泛的应用,我国在入侵检测系统方面的研究相对较晚,与美国相比存在较大的差距。当前我国入侵检测系统主要有3个指标,分别为准确度、可扩展性以及可用性。数据挖掘技术以及神经网络开场逐步应用到入侵检测工作中,能够针对入侵行为做出准确的判定。美国专业研究人员将数据挖掘框架应用到入侵检测模型以及特征的方案监测中,并获得相应的实
5、验结果和数据,通过理论和实验研究确定数据挖掘技术应用的可行性。他们发现数据挖掘技术能够应用于滥用和异常检测中,可有效提升检测的准确性。2数据挖掘方法通过对数据挖掘方法在不同领域的应用,以及数据目的和类型等的不同,能够总结出多种数据挖掘方法。2.1分析数据挖掘方法数据挖掘技术中的分析方法包括回归分析、多元分析、描绘统计以及概率论等。2.2决策树数据挖掘方法决策树数据挖掘检测方式是指通过树枝的形式对数据以及其中的变量情况进行分析和预测,并建立相应的预测模型,结合目的变量效应等制定相应的规则,以信息论为基础,进行数据分析的方式。2.3相关规则数据挖掘方法相关规则数据挖掘方式是一种关联性比拟强的,简单
6、实用的分析规则,描绘的是事务中部分属性同时呈现出来的形式和规律,其主要采用“假如-则逻辑规则,实现对资料技术的细化形式。3入侵检测系统中数据挖掘技术的应用数据挖掘技术通过在大量数据中挖掘有效的知识内容,将其应用于入侵检测系统,通过大量数据的审计,生成一个准确的监测模型,可有效降低人为干扰性;而且挖掘经过本身存在通用性以及机械性,这使数据挖掘技术能够在多种计算环境中应用,使入侵检测系统应用更合理。而且数据挖掘技术有利于降低空间损耗的,提升系统数据挖掘效率。3.1数据挖掘体系构造在入侵检测系统中应用数据挖掘技术,主要优势是大数据能够从海量的网络数据中挖掘出准确、简洁的入侵行为。为了使入侵规则更合理
7、,系统必须从4个阶段对入侵规则进行挖掘,包括数据预处理、数据挖掘审计、数据特点分析以及数据分类。在数据挖掘体系构造设计中,首先是数据仓库的设计,数据仓库中的数据主要为安全服务器中的所有数据以及通过体征提取获得的特征。其次是数据挖掘,通过关联规则、分类以及序列形式等对数据进行挖掘,以及对特征提取获得的特征进行分析,了解这些特征间的关系,包括时间和空间关系。挖掘审计数据算法有下面几种形式。分类算法,这种算法通过对一个数据项的映射到预定义分类中,通过分类器输出,解决规则或者决策树的形式。入侵检测技术主要对审计数据中正常数据以及异常数据向用户以及程序送交,再通过分类算法对分类器进行学习,对这些正常以及
8、异常的审计数据进行预测和标记,但是必需要注意规则学习器相关问题2。关联性分析算法,以正常或异常使用轮廓为基础,通过对数据库记录间相关性的计算,制定相应的关联规则。序列分析算法,通过对序列模型的构建,对审计事件中同一时间出现的序列进行分析,通过这些经常事件形式的分析,促进入侵检测模型中时间统计方法的应用。通过这种行为形式的分析,有利于检测一段时间内各个主机和服务项目。这3种算法能够构成一个框架,这个框架能够由下面程序和规则组成:学习分类器、后分类程序,关联性分析的关联规则,序列分析经常事件,交互性屡次构建、评估模型环境。其主要目的是保证入侵检测的直观性、规则性,针对一些特殊情况还须专家的直接编辑
9、和监控。再次是规则库。系统挖掘的正常以及攻击形式都能够存放在入侵知识库中,将知识库中存在的已知形式与数据挖掘提取的数据包比照,以确定这个数据包是未知形式还是正常形式。然后是相应单元。在数据挖掘体系对监测结果响应的经过中,正常数据传输也需要继续监听,直到确定下一个数据包的安全性。假如检测确定为已知恶意攻击形式,针对入侵位置需要及时采取有效的预防对策。假如检测结果为未知形式,需要将异常行为直接交由管理员,由管理员判定该行为是正常行为还是入侵进行。最后是管理控制。假如在系统中检测到的数据包为未知形式,需要结合已知形式以及专家知识信息进行人工判定。若人工判定其为正常形式,需要对这个数据包与一般正常形式
10、进行比照,必要的情况下将这个数据包形式参加规则库中,或者对规则库中与这个数据包类似的形式进行更新。但是假如人工判定以为这个数据包为异常形式,需要及时采取有效的预防措施,并对这个数据包的异常情况和特点进行分析,提取数据包异常位置和特点,并结合这个数据包的特点创立异常形式,同时将这个异常形式信息输入数据库。3.2Sendmail数据分类通过入侵检测系统的数据的标记能够看成一个分类问题。将审计后的数据分为特殊攻击以及正常形式,然后根据分类结果得到一个记录集,将数据分类标记。同时通过分类算法计算详细模型,并将表现出来的明显特征作为一个概念。利用sendmail程序轨迹集,采取分类器进行学习和预测。在学
11、习分类方面,为了区分异常、正常系统模型,必需要建设训练数据集,对正常以及异常的序列情况进行区分。3.3数据挖掘研究瞻望当前,数据挖掘法在入侵检测系统中得到了广泛的应用,通过数据挖掘技术的应用,可有效减少人工操作以及经历操作的失误问题,改善原有入侵检测系统的弊端;通过数据挖掘中的序列形式、关联规则以及分类等计算方式进行入侵检测:误用检测不需要对手工编码以及漏洞进行分析,能够通过自动选择的方式进行异常检测,及时发现新的攻击形式,开拓入侵检测思路。检测方式不仅能够用于主机异常、网络误用等方面的检测,还能够用于网络异常、主机误用等方面的检测。由此可见,序列形式挖掘方式在入侵检测系统中的应用性非常强。相
12、对于模型匹配入侵监测方式来讲,数据挖掘法中序列形式优势更突出,由于攻击者的攻击与时间有关,部分攻击特点不能在单一报文中体现,必须对单位时间内报文内容和数量进行考察。同时序列形式算法的挖掘方法与时间具有一定的联络性,能够通过这些数据信息建立分类模型3。数据挖掘技术在入侵检测系统中的应用越来越广泛,通过数据挖掘技术的应用有利于降低训练数据集的难度,能够通过特征抽取的方式对入侵数据包进行主动防御,提升入侵检测系统的防御效率。但是由于流量数据、审计数据以及入侵检测都存在一定的不确定因素,需要针对不确定性进行描绘。本文以攻击度为划分标准,并指出划分理由,不仅有利于描绘检测中不确定性的划分,还有利于对入侵检测系统的比拟和整合。但是当前我国数据挖掘技术的详细应用还不够成熟,在网络流量序列表示中过于模糊,时序挖掘技术障碍多以及系统伸缩性差等都导致数据挖掘技术存在很多漏洞,在以后的研究中还需要结合数据挖掘技术的特点和缺乏,加强完善数据挖掘技术,提升入侵检测系统的防御性,保证网络信息安全,使数据挖掘技术应用更广泛。