淺談數據挖掘在網絡入侵檢測中的分析論文

　　隨著網絡技術的不斷發展， 網絡已經成為人們生活和工作中不可缺少的一部分， 人們對于網絡的依賴度越來越高。由于網絡共享性的特點， 使得網絡給人們帶來巨大經濟效益和便利的同時， 也給人們的財產和個人隱私帶來了安全隱患。據統計， 超過90%的企業網被入侵過， 隨著網絡與經濟的相結合， 不法分子已經由早期的技術炫耀向利益驅動轉變， 這使得關系企業命脈的網絡受到更多的攻擊。當前保護網絡安全主要采用的技術手段有： 數據加密、防火墻、認證、數字簽名、安全協議及入侵檢測等， 其中防火墻是當前應用最廣泛的技術， 但防火墻在應對開放端口攻擊、未設置策略攻擊及內部發起的網絡攻擊時， 存在著嚴重的不足。入侵檢測可以將來自內部和外部的攻擊進行檢測分析， 成為網絡安全的重要組成部分。

　　1 數據挖掘

　　1.1 概述

　　數據挖掘是20 世紀90 年代為了從大量的數據中獲取有效的、具有潛力的信息而興起的數據庫技術， 經過20 多年的發展， 已經成為數據庫技術的一個重要分支。數據挖掘是一門綜合性非常強的學科， 集合了數據庫、機器學習、人工智能、統計學等多個學科， 在未來的發展中具有廣闊的應用前景。數據挖掘是從大量雜亂的數據中提取有用信息的過程，也就是所謂的知識發現。

　　數據挖掘主要有3 個過程(數據準備、數據挖掘、結果表達和解釋)， 其中數據準備有數據集成、數據選擇和預處理3 個步驟， 數據集成是將不同的數據源中數據以某種特定的形式組成在一起， 數據選擇是對集成后的數據提取相關的任務數據， 形成目標數據， 預處理則將目標數據轉變為適合數據挖掘的數據形式; 數據挖掘是利用智能的方法提取相關的數據; 結果表達和解釋是以何種方式將知識結果以用戶可接受模式進行展示。

　　1.2 數據挖掘的數據模式

　　數據挖掘可以根據不同的需求采用以下幾種數據模式進行數據的查找：

　　(1) 數據區分： 將當前的數據對象與用戶所定義的對象進行特征比對， 找出符合條件的數據， 排隊無關的數據。

　　(2) 分類： 對已進行標記的數據進行分類， 用于區分不同的數據類型。

　　(3) 數據特征化： 將滿足某一特征的數據集合在一起。

　　(4) 聚類分析： 對數據進行分類， 它要求聚合在一起的數據類中的數據相似度盡可能的大， 而類與類之間的數據相似度盡可能的小。

　　(5) 頻繁模式： 根據數據在模式中出現的次數進行分類。

　　(6) 演變分析： 數據隨著時間的變化而呈現出一定的規則進行分類。

　　(7) 預測： 根據需求建立一種連續的函數模型， 對未知的數據進行預測分析。

　　2 入侵檢測

　　2.1 入侵檢測的分類

　　入侵檢測是通過對主機的日志或網絡的數據流進行分析，當查出異常情況時及時發出報警， 從而達到系統避免攻擊的效果。

　　入侵檢測的一般過程是首先搜集來自網絡及用戶的信息;其次對信息進行篩選和分析; 最后是處理信息， 得出是否阻止入侵的結果。當前入侵檢測根據數據來源的不同分為基于主機的入侵檢測系統和基于網絡的入侵檢測系統兩種。

　　(1) 基于主機的入侵檢測系統

　　該模式主要以網絡、主機和系統的日志作為數據來源， 該檢測系統的優點是： 可以在加密的通信環境下運行， 由于是對主機的日志系統進行分析， 熟悉本地的加密和訪問控制機制，較易地檢測出應用層的攻擊， 對文件系統進行全面的分析和檢測。但是也存在不足， 其主要表現在： 對于網絡的拓撲結構認知不足， 對于攻擊的實時性上反應不足， 由于對系統日志進行分析檢測， 當檢測出異常時， 可能就已經受到攻擊了， 另外該檢測主要針對應用層， 對于低層協議的攻擊無法檢測。

　　(2) 基于網絡的入侵檢測系統

　　該模式主要以網絡的數據流作為數據來源， 其優點主要表現在： 成本較低， 可以對整個局域網進行檢測; 實時性好，一經發現數據流的數據出現異常， 就及時進行報警處理; 安全性能好， 可以對來自外網的數據流進行分析， 使受攻擊的系數降低。網絡入侵檢測系統的不足之處主要表現在： 當網速快于系統的反應， 數據包可能會丟失， 限制了網速; 對高層的應用層檢測能力不足， 無法通過數據流對應用層進行分析; 對加密的攻擊性數據流無法準確檢測出來。

　　2.2 入侵檢測分析方法

　　(1) 基于異常檢測的入侵檢測系統

　　該方法的優點是無需考慮攻擊類型和更新檢測特征庫，就能夠將未知的攻擊給檢測出來。而缺點是前期數據的收集和學習過程必須完整且安全， 另外該方法的誤報率比較高，很容易將正常的數據流當作攻擊而發生報警。

　　(2) 基于誤用檢測的入侵檢測系統

　　該方法的優點是報警的準確率比較高， 只要發現入侵行為或事件與特征庫中的某一異常現象相匹配就直接報警。

　　3 網絡入侵檢測系統

　　對于入侵的數據來說， 都是未經處理和標記的原始數據，而且數據量比較大， 因此采用數據挖掘的方法對待檢測的數據進行分析， 可以提高入侵檢測系統的效率。

　　3.1 系統架構

　　整個網絡入侵檢測系統由嗅探器、數據預處理、事件數據庫、誤用檢測、數據挖掘、規則庫、異常處理和響應單元等組成。事件數據庫是整個系統的核心， 其系統結構如圖3所示：

　　3.2 系統模塊實現

　　(1) 數據挖掘模塊

　　在系統中， 對數據流和日志進行分析， 主要依賴于數據挖掘算法， 不僅提高系統的工作效率， 而且提高了入侵檢測的準確性。其核心代碼如下：

　　int no=1,temp=0;

　　C[1][0].item[0]=0; if(D[0].item[0]! =0)

　　{

　　C[1][1].item[1]=D[1].item[1];

　　}

　　for(i=1;i<=D[0].item[0];i++) //for1

　　{

　　for(j=1;j<=D[i].item[0];j++) //for2

　　{

　　temp=1;

　　for(k=1;k<=no;k++) //for3

　　{

　　if(C[1][k].item[1]==D[i].item[j])

　　{

　　C[1][k].item[0]++;

　　temp=0;

　　}}

　　if(temp)

　　{

　　C[1][++no].item[1]=D[i].item[j];

　　C[1][no].item[0]=1;

　　}

　　(2) 響應單元

　　當系統收到異常， 響應單元會根據情況向管理人員發出警報， 系統首先會根據情況的嚴重狀況作出第一反應， 如果情況緊急， 系統會第一時間自動切斷網絡， 關閉正在運行的可執行程序。如果情況不緊急， 則管理人員進行手工操作，是否繼續執行。

　　4 結語

　　針對數據挖掘對網絡入侵檢測進行研究， 分析了數據挖掘和入侵檢測的基本原理， 并在此基礎上設計出網絡入侵檢測系統。由于篇幅所限， 對于數據挖掘的一些具體算法并沒有給出詳細的描述， 整個入侵檢測系統是一個復雜的工程，針對不同的環境有不同的要求， 希望同仁共同努力， 設計和實現適合自身的系統。

【淺談數據挖掘在網絡入侵檢測中的分析論文】相關文章：

移動通信網絡優化中數據挖掘技術分析論文05-02

大數據崛起與數據挖掘分析論文10-31

基于數據挖掘的社交網絡分析與研究論文05-02

淺談數據挖掘05-02

數據挖掘論文04-29

數據挖掘技術在移動通信網絡優化中的運用論文05-02

消防滅火救援中數據挖掘的應用論文05-02

軟件工程數據挖掘進展分析論文04-27

數據挖掘分析報告模板09-23

淺談水質檢測數據的合理性分析04-26