淺談數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測(cè)中的分析論文

　　隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展， 網(wǎng)絡(luò)已經(jīng)成為人們生活和工作中不可缺少的一部分， 人們對(duì)于網(wǎng)絡(luò)的依賴度越來(lái)越高。由于網(wǎng)絡(luò)共享性的特點(diǎn)， 使得網(wǎng)絡(luò)給人們帶來(lái)巨大經(jīng)濟(jì)效益和便利的同時(shí)， 也給人們的財(cái)產(chǎn)和個(gè)人隱私帶來(lái)了安全隱患。據(jù)統(tǒng)計(jì)， 超過(guò)90%的企業(yè)網(wǎng)被入侵過(guò)， 隨著網(wǎng)絡(luò)與經(jīng)濟(jì)的相結(jié)合， 不法分子已經(jīng)由早期的技術(shù)炫耀向利益驅(qū)動(dòng)轉(zhuǎn)變， 這使得關(guān)系企業(yè)命脈的網(wǎng)絡(luò)受到更多的攻擊。當(dāng)前保護(hù)網(wǎng)絡(luò)安全主要采用的技術(shù)手段有： 數(shù)據(jù)加密、防火墻、認(rèn)證、數(shù)字簽名、安全協(xié)議及入侵檢測(cè)等， 其中防火墻是當(dāng)前應(yīng)用最廣泛的技術(shù)， 但防火墻在應(yīng)對(duì)開放端口攻擊、未設(shè)置策略攻擊及內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊時(shí)， 存在著嚴(yán)重的不足。入侵檢測(cè)可以將來(lái)自內(nèi)部和外部的攻擊進(jìn)行檢測(cè)分析， 成為網(wǎng)絡(luò)安全的重要組成部分。

　　1 數(shù)據(jù)挖掘

　　1.1 概述

　　數(shù)據(jù)挖掘是20 世紀(jì)90 年代為了從大量的數(shù)據(jù)中獲取有效的、具有潛力的信息而興起的數(shù)據(jù)庫(kù)技術(shù)， 經(jīng)過(guò)20 多年的發(fā)展， 已經(jīng)成為數(shù)據(jù)庫(kù)技術(shù)的一個(gè)重要分支。數(shù)據(jù)挖掘是一門綜合性非常強(qiáng)的學(xué)科， 集合了數(shù)據(jù)庫(kù)、機(jī)器學(xué)習(xí)、人工智能、統(tǒng)計(jì)學(xué)等多個(gè)學(xué)科， 在未來(lái)的發(fā)展中具有廣闊的應(yīng)用前景。數(shù)據(jù)挖掘是從大量雜亂的數(shù)據(jù)中提取有用信息的過(guò)程，也就是所謂的知識(shí)發(fā)現(xiàn)。

　　數(shù)據(jù)挖掘主要有3 個(gè)過(guò)程(數(shù)據(jù)準(zhǔn)備、數(shù)據(jù)挖掘、結(jié)果表達(dá)和解釋)， 其中數(shù)據(jù)準(zhǔn)備有數(shù)據(jù)集成、數(shù)據(jù)選擇和預(yù)處理3 個(gè)步驟， 數(shù)據(jù)集成是將不同的數(shù)據(jù)源中數(shù)據(jù)以某種特定的形式組成在一起， 數(shù)據(jù)選擇是對(duì)集成后的數(shù)據(jù)提取相關(guān)的任務(wù)數(shù)據(jù)， 形成目標(biāo)數(shù)據(jù)， 預(yù)處理則將目標(biāo)數(shù)據(jù)轉(zhuǎn)變?yōu)檫m合數(shù)據(jù)挖掘的數(shù)據(jù)形式; 數(shù)據(jù)挖掘是利用智能的方法提取相關(guān)的'數(shù)據(jù); 結(jié)果表達(dá)和解釋是以何種方式將知識(shí)結(jié)果以用戶可接受模式進(jìn)行展示。

　　1.2 數(shù)據(jù)挖掘的數(shù)據(jù)模式

　　數(shù)據(jù)挖掘可以根據(jù)不同的需求采用以下幾種數(shù)據(jù)模式進(jìn)行數(shù)據(jù)的查找：

　　(1) 數(shù)據(jù)區(qū)分： 將當(dāng)前的數(shù)據(jù)對(duì)象與用戶所定義的對(duì)象進(jìn)行特征比對(duì)， 找出符合條件的數(shù)據(jù)， 排隊(duì)無(wú)關(guān)的數(shù)據(jù)。

　　(2) 分類： 對(duì)已進(jìn)行標(biāo)記的數(shù)據(jù)進(jìn)行分類， 用于區(qū)分不同的數(shù)據(jù)類型。

　　(3) 數(shù)據(jù)特征化： 將滿足某一特征的數(shù)據(jù)集合在一起。

　　(4) 聚類分析： 對(duì)數(shù)據(jù)進(jìn)行分類， 它要求聚合在一起的數(shù)據(jù)類中的數(shù)據(jù)相似度盡可能的大， 而類與類之間的數(shù)據(jù)相似度盡可能的小。

　　(5) 頻繁模式： 根據(jù)數(shù)據(jù)在模式中出現(xiàn)的次數(shù)進(jìn)行分類。

　　(6) 演變分析： 數(shù)據(jù)隨著時(shí)間的變化而呈現(xiàn)出一定的規(guī)則進(jìn)行分類。

　　(7) 預(yù)測(cè)： 根據(jù)需求建立一種連續(xù)的函數(shù)模型， 對(duì)未知的數(shù)據(jù)進(jìn)行預(yù)測(cè)分析。

　　2 入侵檢測(cè)

　　2.1 入侵檢測(cè)的分類

　　入侵檢測(cè)是通過(guò)對(duì)主機(jī)的日志或網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行分析，當(dāng)查出異常情況時(shí)及時(shí)發(fā)出報(bào)警， 從而達(dá)到系統(tǒng)避免攻擊的效果。

　　入侵檢測(cè)的一般過(guò)程是首先搜集來(lái)自網(wǎng)絡(luò)及用戶的信息;其次對(duì)信息進(jìn)行篩選和分析; 最后是處理信息， 得出是否阻止入侵的結(jié)果。當(dāng)前入侵檢測(cè)根據(jù)數(shù)據(jù)來(lái)源的不同分為基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)兩種。

　　(1) 基于主機(jī)的入侵檢測(cè)系統(tǒng)

　　該模式主要以網(wǎng)絡(luò)、主機(jī)和系統(tǒng)的日志作為數(shù)據(jù)來(lái)源， 該檢測(cè)系統(tǒng)的優(yōu)點(diǎn)是： 可以在加密的通信環(huán)境下運(yùn)行， 由于是對(duì)主機(jī)的日志系統(tǒng)進(jìn)行分析， 熟悉本地的加密和訪問(wèn)控制機(jī)制，較易地檢測(cè)出應(yīng)用層的攻擊， 對(duì)文件系統(tǒng)進(jìn)行全面的分析和檢測(cè)。但是也存在不足， 其主要表現(xiàn)在： 對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)認(rèn)知不足， 對(duì)于攻擊的實(shí)時(shí)性上反應(yīng)不足， 由于對(duì)系統(tǒng)日志進(jìn)行分析檢測(cè)， 當(dāng)檢測(cè)出異常時(shí)， 可能就已經(jīng)受到攻擊了， 另外該檢測(cè)主要針對(duì)應(yīng)用層， 對(duì)于低層協(xié)議的攻擊無(wú)法檢測(cè)。

　　(2) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

　　該模式主要以網(wǎng)絡(luò)的數(shù)據(jù)流作為數(shù)據(jù)來(lái)源， 其優(yōu)點(diǎn)主要表現(xiàn)在： 成本較低， 可以對(duì)整個(gè)局域網(wǎng)進(jìn)行檢測(cè); 實(shí)時(shí)性好，一經(jīng)發(fā)現(xiàn)數(shù)據(jù)流的數(shù)據(jù)出現(xiàn)異常， 就及時(shí)進(jìn)行報(bào)警處理; 安全性能好， 可以對(duì)來(lái)自外網(wǎng)的數(shù)據(jù)流進(jìn)行分析， 使受攻擊的系數(shù)降低。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的不足之處主要表現(xiàn)在： 當(dāng)網(wǎng)速快于系統(tǒng)的反應(yīng)， 數(shù)據(jù)包可能會(huì)丟失， 限制了網(wǎng)速; 對(duì)高層的應(yīng)用層檢測(cè)能力不足， 無(wú)法通過(guò)數(shù)據(jù)流對(duì)應(yīng)用層進(jìn)行分析; 對(duì)加密的攻擊性數(shù)據(jù)流無(wú)法準(zhǔn)確檢測(cè)出來(lái)。

　　2.2 入侵檢測(cè)分析方法

　　(1) 基于異常檢測(cè)的入侵檢測(cè)系統(tǒng)

　　該方法的優(yōu)點(diǎn)是無(wú)需考慮攻擊類型和更新檢測(cè)特征庫(kù)，就能夠?qū)⑽粗�的攻擊給檢測(cè)出來(lái)。而缺點(diǎn)是前期數(shù)據(jù)的收集和學(xué)習(xí)過(guò)程必須完整且安全， 另外該方法的誤報(bào)率比較高，很容易將正常的數(shù)據(jù)流當(dāng)作攻擊而發(fā)生報(bào)警。

　　(2) 基于誤用檢測(cè)的入侵檢測(cè)系統(tǒng)

　　該方法的優(yōu)點(diǎn)是報(bào)警的準(zhǔn)確率比較高， 只要發(fā)現(xiàn)入侵行為或事件與特征庫(kù)中的某一異�，F(xiàn)象相匹配就直接報(bào)警。

　　3 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

　　對(duì)于入侵的數(shù)據(jù)來(lái)說(shuō)， 都是未經(jīng)處理和標(biāo)記的原始數(shù)據(jù)，而且數(shù)據(jù)量比較大， 因此采用數(shù)據(jù)挖掘的方法對(duì)待檢測(cè)的數(shù)據(jù)進(jìn)行分析， 可以提高入侵檢測(cè)系統(tǒng)的效率。

　　3.1 系統(tǒng)架構(gòu)

　　整個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)由嗅探器、數(shù)據(jù)預(yù)處理、事件數(shù)據(jù)庫(kù)、誤用檢測(cè)、數(shù)據(jù)挖掘、規(guī)則庫(kù)、異常處理和響應(yīng)單元等組成。事件數(shù)據(jù)庫(kù)是整個(gè)系統(tǒng)的核心， 其系統(tǒng)結(jié)構(gòu)如圖3所示：

　　3.2 系統(tǒng)模塊實(shí)現(xiàn)

　　(1) 數(shù)據(jù)挖掘模塊

　　在系統(tǒng)中， 對(duì)數(shù)據(jù)流和日志進(jìn)行分析， 主要依賴于數(shù)據(jù)挖掘算法， 不僅提高系統(tǒng)的工作效率， 而且提高了入侵檢測(cè)的準(zhǔn)確性。其核心代碼如下：

　　int no=1,temp=0;

　　C[1][0].item[0]=0; if(D[0].item[0]! =0)

　　{

　　C[1][1].item[1]=D[1].item[1];

　　}

　　for(i=1;i<=D[0].item[0];i++) //for1

　　{

　　for(j=1;j<=D[i].item[0];j++) //for2

　　{

　　temp=1;

　　for(k=1;k<=no;k++) //for3

　　{

　　if(C[1][k].item[1]==D[i].item[j])

　　{

　　C[1][k].item[0]++;

　　temp=0;

　　}}

　　if(temp)

　　{

　　C[1][++no].item[1]=D[i].item[j];

　　C[1][no].item[0]=1;

　　}

　　(2) 響應(yīng)單元

　　當(dāng)系統(tǒng)收到異常， 響應(yīng)單元會(huì)根據(jù)情況向管理人員發(fā)出警報(bào)， 系統(tǒng)首先會(huì)根據(jù)情況的嚴(yán)重狀況作出第一反應(yīng)， 如果情況緊急， 系統(tǒng)會(huì)第一時(shí)間自動(dòng)切斷網(wǎng)絡(luò)， 關(guān)閉正在運(yùn)行的可執(zhí)行程序。如果情況不緊急， 則管理人員進(jìn)行手工操作，是否繼續(xù)執(zhí)行。

　　4 結(jié)語(yǔ)

　　針對(duì)數(shù)據(jù)挖掘?qū)�網(wǎng)絡(luò)入侵檢測(cè)進(jìn)行研究， 分析了數(shù)據(jù)挖掘和入侵檢測(cè)的基本原理， 并在此基礎(chǔ)上設(shè)計(jì)出網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。由于篇幅所限， 對(duì)于數(shù)據(jù)挖掘的一些具體算法并沒(méi)有給出詳細(xì)的描述， 整個(gè)入侵檢測(cè)系統(tǒng)是一個(gè)復(fù)雜的工程，針對(duì)不同的環(huán)境有不同的要求， 希望同仁共同努力， 設(shè)計(jì)和實(shí)現(xiàn)適合自身的系統(tǒng)。

【淺談數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測(cè)中的分析論文】相關(guān)文章：

移動(dòng)通信網(wǎng)絡(luò)優(yōu)化中數(shù)據(jù)挖掘技術(shù)分析論文01-23

淺談網(wǎng)絡(luò)教學(xué)平臺(tái)下的數(shù)據(jù)挖掘技術(shù)論文10-27

大數(shù)據(jù)崛起與數(shù)據(jù)挖掘分析論文11-28

淺談數(shù)據(jù)挖掘07-27

基于數(shù)據(jù)挖掘的社交網(wǎng)絡(luò)分析與研究論文01-23

網(wǎng)絡(luò)游戲的數(shù)據(jù)挖掘與數(shù)據(jù)分析01-15

網(wǎng)絡(luò)營(yíng)銷中數(shù)據(jù)挖掘技術(shù)的應(yīng)用論文03-23

數(shù)據(jù)挖掘論文09-24

聘：數(shù)據(jù)分析 數(shù)據(jù)挖掘01-15