當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)廣泛應(yīng)用于各個(gè)領(lǐng)域，不可置疑給人們的生活、學(xué)習(xí)、工作帶來(lái)了便利，同時(shí)也對(duì)網(wǎng)絡(luò)安全提出了更高的要求。在現(xiàn)代信息化發(fā)展的形式下，要求一個(gè)安全的網(wǎng)絡(luò)系統(tǒng)不僅要有防御手段，而是既要有防火墻等防御的手段，還要有能對(duì)網(wǎng)絡(luò)的安全進(jìn)行實(shí)時(shí)監(jiān)控，攻擊與反攻擊的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。所以在這種情形下，入侵檢測(cè)系統(tǒng)應(yīng)運(yùn)而生。

1入侵檢測(cè)的必要性

    入侵檢測(cè)系統(tǒng)就是對(duì)已建設(shè)的信息系統(tǒng)，按一定的安全策略建立起相應(yīng)的安全輔助系統(tǒng)。就現(xiàn)在的系統(tǒng)安全狀況而言，系統(tǒng)正存在被攻擊的可能性，當(dāng)系統(tǒng)遭到攻擊時(shí)，只要盡可能地檢測(cè)到，甚至是實(shí)時(shí)地檢測(cè)到，就可以為入侵檢測(cè)提供有利信息。入侵檢測(cè)作為新一代的安全技術(shù)，它的作用在于:識(shí)別入侵者、識(shí)別入侵行為、檢測(cè)和監(jiān)視己成功的安全突破、為對(duì)抗入侵及時(shí)提供重要信息，阻止入侵的發(fā)生和事態(tài)的擴(kuò)大。面對(duì)網(wǎng)絡(luò)中存在著海量的數(shù)據(jù)，如何才能得到那些對(duì)于檢測(cè)入侵行為所有作用的數(shù)據(jù)呢?為此我們引出了采用數(shù)據(jù)挖掘方法來(lái)發(fā)現(xiàn)可能的新入侵的方法。

2網(wǎng)絡(luò)數(shù)據(jù)挖掘的相關(guān)知識(shí)

    數(shù)據(jù)挖掘是指從大型數(shù)據(jù)庫(kù)或數(shù)據(jù)倉(cāng)庫(kù)中提取人們感興趣的知識(shí)，但是這些知識(shí)是隱含的、事先未知的、異常的及潛在有用的信息或模式，是數(shù)據(jù)庫(kù)研究中的一個(gè)很有應(yīng)用價(jià)值的新領(lǐng)域。數(shù)據(jù)挖掘的目的是幫助使用者尋找數(shù)據(jù)間潛在的關(guān)聯(lián)，發(fā)現(xiàn)被忽略的要素，而這些信息對(duì)預(yù)測(cè)趨勢(shì)和決策行為也許是十分有用的。

    隨著網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的發(fā)展，使人們已著眼于將Web數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)技術(shù)的發(fā)中，如果能夠完善的將數(shù)據(jù)挖掘技術(shù)應(yīng)用到網(wǎng)絡(luò)入侵檢測(cè)中，根據(jù)入侵檢測(cè)系統(tǒng)的具體特點(diǎn)，應(yīng)用數(shù)據(jù)挖掘的基本原理，將它們優(yōu)化的結(jié)合起來(lái)，這樣將會(huì)大提高入侵檢測(cè)系統(tǒng)的性能。

3數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)中的應(yīng)用

    在入侵檢測(cè)系統(tǒng)中使用數(shù)據(jù)挖掘技術(shù)，通過(guò)分析有用的歷史數(shù)據(jù)可以提取出用戶的行為特征、總結(jié)入侵行為的規(guī)律，從而建立起比較完備的規(guī)則庫(kù)來(lái)進(jìn)行入侵檢測(cè)。該過(guò)程主要分為以下幾步:

    1)數(shù)據(jù)收集，基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)數(shù)據(jù)來(lái)源于網(wǎng)絡(luò)。

    2)數(shù)據(jù)預(yù)處理，在數(shù)據(jù)挖掘中訓(xùn)練數(shù)據(jù)的好壞直接影響到提取的用戶特征和推導(dǎo)出的規(guī)則的準(zhǔn)確性。

    3)數(shù)據(jù)挖掘，從預(yù)處理過(guò)的數(shù)據(jù)中提取用戶行為特征或規(guī)則等，再對(duì)所得的規(guī)則進(jìn)行歸并更新，建立起規(guī)則庫(kù)。

    以下為在對(duì)已有的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)的模型結(jié)構(gòu)圖進(jìn)行闡述的基礎(chǔ)上進(jìn)行一些優(yōu)化。

    3.1一種綜合了誤用檢測(cè)和異常檢測(cè)的模型

    韋必忠，王勇和張開(kāi)華在《數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用分析》一文中的改進(jìn)的綜合誤用檢測(cè)和異常檢測(cè)的模型，如圖1所示。

     圖1綜合誤用檢測(cè)和異常檢測(cè)的模型

    由圖2來(lái)看，它是綜合利用了異常檢測(cè)和誤用檢測(cè)模型而形成的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)模型。該網(wǎng)絡(luò)入侵檢測(cè)模型的優(yōu)點(diǎn)為:通過(guò)結(jié)合誤用檢測(cè)器和異常檢測(cè)器，的確將所要分析的數(shù)據(jù)量減少了很多。但該系統(tǒng)所存在的缺點(diǎn)為:當(dāng)異常檢測(cè)器檢測(cè)到新的入侵檢測(cè)后，只是更新了異常檢測(cè)器，而并沒(méi)有應(yīng)用有利條件去更新誤用檢測(cè)器。這無(wú)疑又在無(wú)形中增加了異常檢測(cè)器做一些重復(fù)且不必要的工作量。那么在該基礎(chǔ)上，當(dāng)檢測(cè)到新的入侵行為時(shí)，能否同時(shí)將異常檢測(cè)和誤用檢測(cè)同時(shí)進(jìn)行更新呢?結(jié)合以上系統(tǒng)所存在的不足，提出了以下改進(jìn)方法。

    3.2系統(tǒng)結(jié)構(gòu)的改進(jìn)

    在圖1的基礎(chǔ)上我們改進(jìn)了其綜合檢測(cè)模型，以形成一種更加有利的基于數(shù)據(jù)挖掘的入侵檢測(cè)模型。如圖2。

 圖2 改進(jìn)后的誤用檢測(cè)和異常檢測(cè) 

    圖2即在綜合誤用檢測(cè)器和異常檢測(cè)器的模型的基礎(chǔ)上進(jìn)行了優(yōu)化。在該模型中首先是將從網(wǎng)絡(luò)上獲取的網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送到數(shù)據(jù)預(yù)處理器，由它將從網(wǎng)絡(luò)上獲取的數(shù)據(jù)包進(jìn)行加工，然后使用關(guān)聯(lián)規(guī)則找出那些具有代表性的規(guī)則，放人關(guān)聯(lián)規(guī)則集，接著用聚類(lèi)規(guī)則將關(guān)聯(lián)規(guī)則所得的支持度和可信度這兩個(gè)值進(jìn)行聚類(lèi)優(yōu)化。在聚類(lèi)完后，我們可以根據(jù)規(guī)定的閉值而將一部分正常的數(shù)據(jù)刪除。在這一操作后，無(wú)疑又減少了所要分析的數(shù)據(jù)量。接著把剩下的數(shù)據(jù)發(fā)送到誤用檢測(cè)器進(jìn)行檢測(cè)，如果誤用檢測(cè)器也沒(méi)有檢測(cè)到攻擊，則將該類(lèi)數(shù)據(jù)發(fā)送到異常檢測(cè)器進(jìn)行檢測(cè)，與上例相同，該異常檢測(cè)器也相當(dāng)于一個(gè)過(guò)濾器的作用，利用這一步的操作將大量的正常數(shù)據(jù)過(guò)濾掉，數(shù)據(jù)量再一次隨之變少，便于了以后的挖掘。該系統(tǒng)的再一大特點(diǎn)就是為下一次不再對(duì)同一數(shù)據(jù)作重復(fù)檢測(cè)，利用了對(duì)數(shù)據(jù)倉(cāng)庫(kù)的更新來(lái)進(jìn)一步完善異常檢測(cè)器和誤用檢測(cè)器，即，根據(jù)異常檢測(cè)器的檢測(cè)結(jié)果來(lái)更新異常檢測(cè)器和誤用檢測(cè)器，如果該行為判斷結(jié)果是正常行為，則更新異常檢測(cè)器，如果測(cè)得該行為是屬于攻擊行為，那么就更新誤用檢測(cè)器來(lái)記錄該次的行為，以便下次做重復(fù)的檢測(cè)。例如，當(dāng)異常檢測(cè)器檢測(cè)到新的網(wǎng)絡(luò)入侵方法后.也就是說(shuō)當(dāng)異常檢測(cè)器測(cè)得新的入侵檢測(cè)后，通過(guò)數(shù)據(jù)倉(cāng)庫(kù)的更新可以達(dá)到既更新了異常檢測(cè)器，又更新了誤用檢測(cè)器。這使誤用檢測(cè)器和異常檢測(cè)器都減少了要分析的數(shù)據(jù)量，且提高了檢測(cè)的速度和效率。

    目前入侵檢測(cè)技術(shù)還不夠成熟和完善，如何能夠大幅度的提高網(wǎng)絡(luò)和主機(jī)對(duì)攻擊和錯(cuò)誤使用的抵抗力，從而使安全措施的實(shí)施更加有效，減少誤警率和漏警率，并使設(shè)置選項(xiàng)更加的靈活將是數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中研究的方向。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：淺析數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083947748.html