當前計算機網(wǎng)絡(luò)廣泛應(yīng)用于各個領(lǐng)域,不可置疑給人們的生活、學習、工作帶來了便利,同時也對網(wǎng)絡(luò)安全提出了更高的要求。在現(xiàn)代信息化發(fā)展的形式下,要求一個安全的網(wǎng)絡(luò)系統(tǒng)不僅要有防御手段,而是既要有防火墻等防御的手段,還要有能對網(wǎng)絡(luò)的安全進行實時監(jiān)控,攻擊與反攻擊的網(wǎng)絡(luò)入侵檢測系統(tǒng)。所以在這種情形下,入侵檢測系統(tǒng)應(yīng)運而生。
1入侵檢測的必要性
入侵檢測系統(tǒng)就是對已建設(shè)的信息系統(tǒng),按一定的安全策略建立起相應(yīng)的安全輔助系統(tǒng)。就現(xiàn)在的系統(tǒng)安全狀況而言,系統(tǒng)正存在被攻擊的可能性,當系統(tǒng)遭到攻擊時,只要盡可能地檢測到,甚至是實時地檢測到,就可以為入侵檢測提供有利信息。入侵檢測作為新一代的安全技術(shù),它的作用在于:識別入侵者、識別入侵行為、檢測和監(jiān)視己成功的安全突破、為對抗入侵及時提供重要信息,阻止入侵的發(fā)生和事態(tài)的擴大。面對網(wǎng)絡(luò)中存在著海量的數(shù)據(jù),如何才能得到那些對于檢測入侵行為所有作用的數(shù)據(jù)呢?為此我們引出了采用數(shù)據(jù)挖掘方法來發(fā)現(xiàn)可能的新入侵的方法。
2網(wǎng)絡(luò)數(shù)據(jù)挖掘的相關(guān)知識
數(shù)據(jù)挖掘是指從大型數(shù)據(jù)庫或數(shù)據(jù)倉庫中提取人們感興趣的知識,但是這些知識是隱含的、事先未知的、異常的及潛在有用的信息或模式,是數(shù)據(jù)庫研究中的一個很有應(yīng)用價值的新領(lǐng)域。數(shù)據(jù)挖掘的目的是幫助使用者尋找數(shù)據(jù)間潛在的關(guān)聯(lián),發(fā)現(xiàn)被忽略的要素,而這些信息對預測趨勢和決策行為也許是十分有用的。
隨著網(wǎng)絡(luò)入侵檢測技術(shù)的發(fā)展,使人們已著眼于將Web數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測技術(shù)的發(fā)中,如果能夠完善的將數(shù)據(jù)挖掘技術(shù)應(yīng)用到網(wǎng)絡(luò)入侵檢測中,根據(jù)入侵檢測系統(tǒng)的具體特點,應(yīng)用數(shù)據(jù)挖掘的基本原理,將它們優(yōu)化的結(jié)合起來,這樣將會大提高入侵檢測系統(tǒng)的性能。
3數(shù)據(jù)挖掘技術(shù)在入侵檢測中的應(yīng)用
在入侵檢測系統(tǒng)中使用數(shù)據(jù)挖掘技術(shù),通過分析有用的歷史數(shù)據(jù)可以提取出用戶的行為特征、總結(jié)入侵行為的規(guī)律,從而建立起比較完備的規(guī)則庫來進行入侵檢測。該過程主要分為以下幾步:
1)數(shù)據(jù)收集,基于網(wǎng)絡(luò)的檢測系統(tǒng)數(shù)據(jù)來源于網(wǎng)絡(luò)。
2)數(shù)據(jù)預處理,在數(shù)據(jù)挖掘中訓練數(shù)據(jù)的好壞直接影響到提取的用戶特征和推導出的規(guī)則的準確性。
3)數(shù)據(jù)挖掘,從預處理過的數(shù)據(jù)中提取用戶行為特征或規(guī)則等,再對所得的規(guī)則進行歸并更新,建立起規(guī)則庫。
以下為在對已有的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測的模型結(jié)構(gòu)圖進行闡述的基礎(chǔ)上進行一些優(yōu)化。
3.1一種綜合了誤用檢測和異常檢測的模型
韋必忠,王勇和張開華在《數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用分析》一文中的改進的綜合誤用檢測和異常檢測的模型,如圖1所示。
圖1綜合誤用檢測和異常檢測的模型
由圖2來看,它是綜合利用了異常檢測和誤用檢測模型而形成的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測模型。該網(wǎng)絡(luò)入侵檢測模型的優(yōu)點為:通過結(jié)合誤用檢測器和異常檢測器,的確將所要分析的數(shù)據(jù)量減少了很多。但該系統(tǒng)所存在的缺點為:當異常檢測器檢測到新的入侵檢測后,只是更新了異常檢測器,而并沒有應(yīng)用有利條件去更新誤用檢測器。這無疑又在無形中增加了異常檢測器做一些重復且不必要的工作量。那么在該基礎(chǔ)上,當檢測到新的入侵行為時,能否同時將異常檢測和誤用檢測同時進行更新呢?結(jié)合以上系統(tǒng)所存在的不足,提出了以下改進方法。
3.2系統(tǒng)結(jié)構(gòu)的改進
在圖1的基礎(chǔ)上我們改進了其綜合檢測模型,以形成一種更加有利的基于數(shù)據(jù)挖掘的入侵檢測模型。如圖2。
圖2 改進后的誤用檢測和異常檢測
圖2即在綜合誤用檢測器和異常檢測器的模型的基礎(chǔ)上進行了優(yōu)化。在該模型中首先是將從網(wǎng)絡(luò)上獲取的網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送到數(shù)據(jù)預處理器,由它將從網(wǎng)絡(luò)上獲取的數(shù)據(jù)包進行加工,然后使用關(guān)聯(lián)規(guī)則找出那些具有代表性的規(guī)則,放人關(guān)聯(lián)規(guī)則集,接著用聚類規(guī)則將關(guān)聯(lián)規(guī)則所得的支持度和可信度這兩個值進行聚類優(yōu)化。在聚類完后,我們可以根據(jù)規(guī)定的閉值而將一部分正常的數(shù)據(jù)刪除。在這一操作后,無疑又減少了所要分析的數(shù)據(jù)量。接著把剩下的數(shù)據(jù)發(fā)送到誤用檢測器進行檢測,如果誤用檢測器也沒有檢測到攻擊,則將該類數(shù)據(jù)發(fā)送到異常檢測器進行檢測,與上例相同,該異常檢測器也相當于一個過濾器的作用,利用這一步的操作將大量的正常數(shù)據(jù)過濾掉,數(shù)據(jù)量再一次隨之變少,便于了以后的挖掘。該系統(tǒng)的再一大特點就是為下一次不再對同一數(shù)據(jù)作重復檢測,利用了對數(shù)據(jù)倉庫的更新來進一步完善異常檢測器和誤用檢測器,即,根據(jù)異常檢測器的檢測結(jié)果來更新異常檢測器和誤用檢測器,如果該行為判斷結(jié)果是正常行為,則更新異常檢測器,如果測得該行為是屬于攻擊行為,那么就更新誤用檢測器來記錄該次的行為,以便下次做重復的檢測。例如,當異常檢測器檢測到新的網(wǎng)絡(luò)入侵方法后.也就是說當異常檢測器測得新的入侵檢測后,通過數(shù)據(jù)倉庫的更新可以達到既更新了異常檢測器,又更新了誤用檢測器。這使誤用檢測器和異常檢測器都減少了要分析的數(shù)據(jù)量,且提高了檢測的速度和效率。
目前入侵檢測技術(shù)還不夠成熟和完善,如何能夠大幅度的提高網(wǎng)絡(luò)和主機對攻擊和錯誤使用的抵抗力,從而使安全措施的實施更加有效,減少誤警率和漏警率,并使設(shè)置選項更加的靈活將是數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中研究的方向。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:淺析數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測中的應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083947748.html