淺談數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測中的分析論文

　　隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展， 網(wǎng)絡(luò)已經(jīng)成為人們生活和工作中不可缺少的一部分， 人們對于網(wǎng)絡(luò)的依賴度越來越高。由于網(wǎng)絡(luò)共享性的特點， 使得網(wǎng)絡(luò)給人們帶來巨大經(jīng)濟效益和便利的同時， 也給人們的財產(chǎn)和個人隱私帶來了安全隱患。據(jù)統(tǒng)計， 超過90%的企業(yè)網(wǎng)被入侵過， 隨著網(wǎng)絡(luò)與經(jīng)濟的相結(jié)合， 不法分子已經(jīng)由早期的技術(shù)炫耀向利益驅(qū)動轉(zhuǎn)變， 這使得關(guān)系企業(yè)命脈的網(wǎng)絡(luò)受到更多的攻擊。當前保護網(wǎng)絡(luò)安全主要采用的技術(shù)手段有： 數(shù)據(jù)加密、防火墻、認證、數(shù)字簽名、安全協(xié)議及入侵檢測等， 其中防火墻是當前應(yīng)用最廣泛的技術(shù)， 但防火墻在應(yīng)對開放端口攻擊、未設(shè)置策略攻擊及內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊時， 存在著嚴重的不足。入侵檢測可以將來自內(nèi)部和外部的攻擊進行檢測分析， 成為網(wǎng)絡(luò)安全的重要組成部分。

　　1 數(shù)據(jù)挖掘

　　1.1 概述

　　數(shù)據(jù)挖掘是20 世紀90 年代為了從大量的數(shù)據(jù)中獲取有效的、具有潛力的信息而興起的數(shù)據(jù)庫技術(shù)， 經(jīng)過20 多年的發(fā)展， 已經(jīng)成為數(shù)據(jù)庫技術(shù)的一個重要分支。數(shù)據(jù)挖掘是一門綜合性非常強的學科， 集合了數(shù)據(jù)庫、機器學習、人工智能、統(tǒng)計學等多個學科， 在未來的發(fā)展中具有廣闊的應(yīng)用前景。數(shù)據(jù)挖掘是從大量雜亂的數(shù)據(jù)中提取有用信息的過程，也就是所謂的知識發(fā)現(xiàn)。

　　數(shù)據(jù)挖掘主要有3 個過程(數(shù)據(jù)準備、數(shù)據(jù)挖掘、結(jié)果表達和解釋)， 其中數(shù)據(jù)準備有數(shù)據(jù)集成、數(shù)據(jù)選擇和預(yù)處理3 個步驟， 數(shù)據(jù)集成是將不同的數(shù)據(jù)源中數(shù)據(jù)以某種特定的形式組成在一起， 數(shù)據(jù)選擇是對集成后的數(shù)據(jù)提取相關(guān)的任務(wù)數(shù)據(jù)， 形成目標數(shù)據(jù)， 預(yù)處理則將目標數(shù)據(jù)轉(zhuǎn)變?yōu)檫m合數(shù)據(jù)挖掘的數(shù)據(jù)形式; 數(shù)據(jù)挖掘是利用智能的方法提取相關(guān)的數(shù)據(jù); 結(jié)果表達和解釋是以何種方式將知識結(jié)果以用戶可接受模式進行展示。

　　1.2 數(shù)據(jù)挖掘的數(shù)據(jù)模式

　　數(shù)據(jù)挖掘可以根據(jù)不同的需求采用以下幾種數(shù)據(jù)模式進行數(shù)據(jù)的查找：

　　(1) 數(shù)據(jù)區(qū)分： 將當前的數(shù)據(jù)對象與用戶所定義的對象進行特征比對， 找出符合條件的數(shù)據(jù)， 排隊無關(guān)的數(shù)據(jù)。

　　(2) 分類： 對已進行標記的數(shù)據(jù)進行分類， 用于區(qū)分不同的數(shù)據(jù)類型。

　　(3) 數(shù)據(jù)特征化： 將滿足某一特征的數(shù)據(jù)集合在一起。

　　(4) 聚類分析： 對數(shù)據(jù)進行分類， 它要求聚合在一起的數(shù)據(jù)類中的數(shù)據(jù)相似度盡可能的大， 而類與類之間的數(shù)據(jù)相似度盡可能的小。

　　(5) 頻繁模式： 根據(jù)數(shù)據(jù)在模式中出現(xiàn)的次數(shù)進行分類。

　　(6) 演變分析： 數(shù)據(jù)隨著時間的變化而呈現(xiàn)出一定的規(guī)則進行分類。

　　(7) 預(yù)測： 根據(jù)需求建立一種連續(xù)的函數(shù)模型， 對未知的數(shù)據(jù)進行預(yù)測分析。

　　2 入侵檢測

　　2.1 入侵檢測的分類

　　入侵檢測是通過對主機的日志或網(wǎng)絡(luò)的數(shù)據(jù)流進行分析，當查出異常情況時及時發(fā)出報警， 從而達到系統(tǒng)避免攻擊的效果。

　　入侵檢測的一般過程是首先搜集來自網(wǎng)絡(luò)及用戶的信息;其次對信息進行篩選和分析; 最后是處理信息， 得出是否阻止入侵的結(jié)果。當前入侵檢測根據(jù)數(shù)據(jù)來源的不同分為基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)兩種。

　　(1) 基于主機的入侵檢測系統(tǒng)

　　該模式主要以網(wǎng)絡(luò)、主機和系統(tǒng)的日志作為數(shù)據(jù)來源， 該檢測系統(tǒng)的優(yōu)點是： 可以在加密的通信環(huán)境下運行， 由于是對主機的日志系統(tǒng)進行分析， 熟悉本地的加密和訪問控制機制，較易地檢測出應(yīng)用層的攻擊， 對文件系統(tǒng)進行全面的分析和檢測。但是也存在不足， 其主要表現(xiàn)在： 對于網(wǎng)絡(luò)的拓撲結(jié)構(gòu)認知不足， 對于攻擊的實時性上反應(yīng)不足， 由于對系統(tǒng)日志進行分析檢測， 當檢測出異常時， 可能就已經(jīng)受到攻擊了， 另外該檢測主要針對應(yīng)用層， 對于低層協(xié)議的攻擊無法檢測。

　　(2) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

　　該模式主要以網(wǎng)絡(luò)的數(shù)據(jù)流作為數(shù)據(jù)來源， 其優(yōu)點主要表現(xiàn)在： 成本較低， 可以對整個局域網(wǎng)進行檢測; 實時性好，一經(jīng)發(fā)現(xiàn)數(shù)據(jù)流的數(shù)據(jù)出現(xiàn)異常， 就及時進行報警處理; 安全性能好， 可以對來自外網(wǎng)的數(shù)據(jù)流進行分析， 使受攻擊的系數(shù)降低。網(wǎng)絡(luò)入侵檢測系統(tǒng)的不足之處主要表現(xiàn)在： 當網(wǎng)速快于系統(tǒng)的反應(yīng)， 數(shù)據(jù)包可能會丟失， 限制了網(wǎng)速; 對高層的應(yīng)用層檢測能力不足， 無法通過數(shù)據(jù)流對應(yīng)用層進行分析; 對加密的攻擊性數(shù)據(jù)流無法準確檢測出來。

　　2.2 入侵檢測分析方法

　　(1) 基于異常檢測的入侵檢測系統(tǒng)

　　該方法的優(yōu)點是無需考慮攻擊類型和更新檢測特征庫，就能夠?qū)⑽粗�的攻擊給檢測出來。而缺點是前期數(shù)據(jù)的收集和學習過程必須完整且安全， 另外該方法的誤報率比較高，很容易將正常的數(shù)據(jù)流當作攻擊而發(fā)生報警。

　　(2) 基于誤用檢測的入侵檢測系統(tǒng)

　　該方法的優(yōu)點是報警的準確率比較高， 只要發(fā)現(xiàn)入侵行為或事件與特征庫中的某一異�，F(xiàn)象相匹配就直接報警。

　　3 網(wǎng)絡(luò)入侵檢測系統(tǒng)

　　對于入侵的數(shù)據(jù)來說， 都是未經(jīng)處理和標記的原始數(shù)據(jù)，而且數(shù)據(jù)量比較大， 因此采用數(shù)據(jù)挖掘的方法對待檢測的數(shù)據(jù)進行分析， 可以提高入侵檢測系統(tǒng)的效率。

　　3.1 系統(tǒng)架構(gòu)

　　整個網(wǎng)絡(luò)入侵檢測系統(tǒng)由嗅探器、數(shù)據(jù)預(yù)處理、事件數(shù)據(jù)庫、誤用檢測、數(shù)據(jù)挖掘、規(guī)則庫、異常處理和響應(yīng)單元等組成。事件數(shù)據(jù)庫是整個系統(tǒng)的核心， 其系統(tǒng)結(jié)構(gòu)如圖3所示：

　　3.2 系統(tǒng)模塊實現(xiàn)

　　(1) 數(shù)據(jù)挖掘模塊

　　在系統(tǒng)中， 對數(shù)據(jù)流和日志進行分析， 主要依賴于數(shù)據(jù)挖掘算法， 不僅提高系統(tǒng)的工作效率， 而且提高了入侵檢測的準確性。其核心代碼如下：

　　int no=1,temp=0;

　　C[1][0].item[0]=0; if(D[0].item[0]! =0)

　　{

　　C[1][1].item[1]=D[1].item[1];

　　}

　　for(i=1;i<=D[0].item[0];i++) //for1

　　{

　　for(j=1;j<=D[i].item[0];j++) //for2

　　{

　　temp=1;

　　for(k=1;k<=no;k++) //for3

　　{

　　if(C[1][k].item[1]==D[i].item[j])

　　{

　　C[1][k].item[0]++;

　　temp=0;

　　}}

　　if(temp)

　　{

　　C[1][++no].item[1]=D[i].item[j];

　　C[1][no].item[0]=1;

　　}

　　(2) 響應(yīng)單元

　　當系統(tǒng)收到異常， 響應(yīng)單元會根據(jù)情況向管理人員發(fā)出警報， 系統(tǒng)首先會根據(jù)情況的嚴重狀況作出第一反應(yīng)， 如果情況緊急， 系統(tǒng)會第一時間自動切斷網(wǎng)絡(luò)， 關(guān)閉正在運行的可執(zhí)行程序。如果情況不緊急， 則管理人員進行手工操作，是否繼續(xù)執(zhí)行。

　　4 結(jié)語

　　針對數(shù)據(jù)挖掘?qū)�網(wǎng)絡(luò)入侵檢測進行研究， 分析了數(shù)據(jù)挖掘和入侵檢測的基本原理， 并在此基礎(chǔ)上設(shè)計出網(wǎng)絡(luò)入侵檢測系統(tǒng)。由于篇幅所限， 對于數(shù)據(jù)挖掘的一些具體算法并沒有給出詳細的描述， 整個入侵檢測系統(tǒng)是一個復(fù)雜的工程，針對不同的環(huán)境有不同的要求， 希望同仁共同努力， 設(shè)計和實現(xiàn)適合自身的系統(tǒng)。

【淺談數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測中的分析論文】相關(guān)文章：

移動通信網(wǎng)絡(luò)優(yōu)化中數(shù)據(jù)挖掘技術(shù)分析論文05-02

大數(shù)據(jù)崛起與數(shù)據(jù)挖掘分析論文10-31

基于數(shù)據(jù)挖掘的社交網(wǎng)絡(luò)分析與研究論文05-02

淺談數(shù)據(jù)挖掘05-02

數(shù)據(jù)挖掘論文04-29

數(shù)據(jù)挖掘技術(shù)在移動通信網(wǎng)絡(luò)優(yōu)化中的運用論文05-02

消防滅火救援中數(shù)據(jù)挖掘的應(yīng)用論文05-02

軟件工程數(shù)據(jù)挖掘進展分析論文04-27

數(shù)據(jù)挖掘分析報告模板09-23

淺談水質(zhì)檢測數(shù)據(jù)的合理性分析04-26