數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

關(guān)德君+吳紅英

摘 要 隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，眾多企事業(yè)單位、政府部門將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移，網(wǎng)絡(luò)安全作為一個無法回避的問題呈現(xiàn)在人們面前。網(wǎng)絡(luò)用戶一般采用防火墻作為安全的第一道防線。信息的獲取、使用和控制的競爭愈演愈烈，網(wǎng)絡(luò)安全問題變得日益重要，信息安全成為維護(hù)國家安全和社會穩(wěn)定的一個焦點。如何辨別防御與攻擊和增強(qiáng)網(wǎng)絡(luò)安全已成為技術(shù)管理人員研究的問題。入侵檢測已成為網(wǎng)絡(luò)安全領(lǐng)域的熱點課題。異常檢測和誤用檢測是入侵檢測的主要分析方法。

關(guān)鍵詞 網(wǎng)絡(luò)安全；入侵檢測；數(shù)據(jù)挖掘

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2014）05-0081-01

隨著網(wǎng)絡(luò)規(guī)模的迅速擴(kuò)大和互聯(lián)網(wǎng)用戶的迅速增加，網(wǎng)絡(luò)安全問題變得更加嚴(yán)重和復(fù)雜。因此我們要滿足信息安全縱深防御體系概念的需求?？v深防御的意思是指利用盡可能多的安全機(jī)制，使這些機(jī)制相互補(bǔ)充。隨著網(wǎng)絡(luò)技術(shù)的日益成熟，縱深防御系統(tǒng)模型越來越受到歡迎。然而，這種攻擊技術(shù)的數(shù)量與日俱增，在縱深防御的有效性和效率上受到限制。為了解決這一問題，我們采用數(shù)據(jù)挖掘技術(shù)。

1 數(shù)據(jù)挖掘技術(shù)概述

數(shù)據(jù)挖掘是從大型數(shù)據(jù)庫或數(shù)據(jù)倉庫中對知識的提取，但這些知識是隱含的，先前未知的，不正常的和有用的信息或模式，是數(shù)據(jù)庫研究的一個新領(lǐng)域，是非常有價值的。數(shù)據(jù)挖掘的目標(biāo)是幫助用戶搜索數(shù)據(jù)之間的關(guān)系，并發(fā)現(xiàn)被忽略元素，而這些信息可能對預(yù)測趨勢和決策有用。

傳統(tǒng)的信息安全技術(shù)，專注于系統(tǒng)本身的加固和防護(hù)上。然而，在面對出現(xiàn)的攻擊，信息系統(tǒng)保護(hù)的重點從傳統(tǒng)的靜態(tài)保護(hù)，到動態(tài)保護(hù)層出不窮，在同一時間內(nèi)全面采用保護(hù)措施（如防火墻，身份認(rèn)證，加密等手段），檢測工具（如漏洞評估，入侵檢測系統(tǒng)）的安全性認(rèn)識和評價系統(tǒng)狀態(tài)，將系統(tǒng)調(diào)整到“安全”和“風(fēng)險最低”的狀態(tài)。該系統(tǒng)改造從靜態(tài)到動態(tài)的保護(hù)，提供了基礎(chǔ)的快速響應(yīng)和恢復(fù)系統(tǒng)。

數(shù)據(jù)挖掘系統(tǒng)的其他應(yīng)用還有：

在零售業(yè)方面：數(shù)據(jù)挖掘用于顧客購貨籃的分析可以協(xié)助貨架布置，促銷活動時間，促銷商品組合以及了解滯銷和暢銷商品狀況等商業(yè)活動。在產(chǎn)品質(zhì)量保證方面：數(shù)據(jù)挖掘協(xié)助管理大數(shù)量變量之間的相互作用，并能自動發(fā)現(xiàn)出某些不正常的數(shù)據(jù)分布。在遠(yuǎn)程通訊方面：基于數(shù)據(jù)挖掘的分析協(xié)助組織策略變更以適應(yīng)外部世界的變化，確定市場變化模式以指導(dǎo)銷售計劃。

2 網(wǎng)絡(luò)入侵檢測的原理

入侵檢測是網(wǎng)絡(luò)防火墻的邏輯補(bǔ)充，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提供了安全審計、監(jiān)控、攻擊識別和響應(yīng)。通過捕獲和分析網(wǎng)絡(luò)包來探測攻擊。網(wǎng)絡(luò)入侵檢測可以在網(wǎng)段或者交換機(jī)上進(jìn)行監(jiān)聽，來檢測對連接在網(wǎng)段上的多個主機(jī)有影響的網(wǎng)絡(luò)通訊，從而保護(hù)那些主機(jī)。

入侵檢測系統(tǒng)主要執(zhí)行功能：監(jiān)控、分析用戶和系統(tǒng)活動、審計系統(tǒng)配置和脆弱性、評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性、識別活動模式以及反應(yīng)已知攻擊、統(tǒng)計分析異?；顒幽Ｊ健⒉僮飨到y(tǒng)審計跟蹤管理，識別違反策略的用戶活動。

3 數(shù)據(jù)挖掘技術(shù)在深度架構(gòu)的應(yīng)用程序防御

在利用數(shù)據(jù)挖掘技術(shù)的GPS安全信息管理時，聯(lián)合防御系統(tǒng)的建設(shè)基于數(shù)據(jù)挖掘。在這里，安全通信，收集實時LPS的是負(fù)責(zé)網(wǎng)絡(luò)日志和日志信息的數(shù)據(jù)挖掘的全球定位系統(tǒng)。數(shù)據(jù)挖掘分為在線檢測和離線學(xué)習(xí)階段。在離線學(xué)習(xí)中，將在日志中發(fā)出LPS收集到的GPS，并加入到訓(xùn)練樣本集；運行數(shù)據(jù)挖掘工具，通過離線數(shù)據(jù)挖掘的規(guī)則集；駕駛機(jī)器學(xué)習(xí)算法調(diào)整規(guī)則集的參數(shù)；有效的分類規(guī)則集。

綜上所述，建立三個步驟的分類：數(shù)據(jù)預(yù)處理，記錄格式，數(shù)據(jù)調(diào)度的數(shù)據(jù)格式；運行挖掘工具，通過訓(xùn)練樣本集設(shè)置規(guī)則的研究，以使規(guī)則轉(zhuǎn)換為可執(zhí)行的形式?？v深防御體系結(jié)構(gòu)在上面，通過GPS的分布式入侵檢測，讓每個IDS和脂多糖管理層管理。GPS數(shù)據(jù)挖掘美防御模塊被用在由LPS的事件收集的數(shù)據(jù)挖掘分析，一旦攻擊被檢測到時，GPS會根據(jù)LPS（ IDS）的這種攻擊來迅速調(diào)整策略，以防止資源的這種攻擊。

4 數(shù)據(jù)挖掘技術(shù)在入侵檢測

在入侵檢測系統(tǒng)，通過對歷史數(shù)據(jù)的分析，利用數(shù)據(jù)挖掘技術(shù)可以吸引用戶的行為特征有用，總結(jié)入侵的法律，從而建立一個更完整的規(guī)則庫的入侵檢測。該過程分為如下步驟。

1）數(shù)據(jù)采集，基于數(shù)據(jù)從網(wǎng)絡(luò)到網(wǎng)絡(luò)的檢測系統(tǒng)。

2）數(shù)據(jù)預(yù)處理，提取精度直接影響到用戶的特點和在的素質(zhì)的訓(xùn)練數(shù)據(jù)推導(dǎo)出的規(guī)則。

3）數(shù)據(jù)挖掘，從用戶行為特征和規(guī)則提取前處理后的數(shù)據(jù)，合并更新規(guī)則和規(guī)則庫建立起規(guī)則庫。

數(shù)據(jù)挖掘基于網(wǎng)絡(luò)異常檢測和誤用檢測模型，并形成綜合利用的入侵檢測模型。網(wǎng)絡(luò)入侵檢測模型的優(yōu)點是：通過結(jié)合誤用檢測和異常檢測，分析數(shù)據(jù)，并減少了很多。

在這個模型中首先發(fā)送從網(wǎng)絡(luò)上的數(shù)據(jù)包獲得的數(shù)據(jù)預(yù)處理器，該處理器將獲得從網(wǎng)絡(luò)數(shù)據(jù)分組處理網(wǎng)絡(luò)數(shù)據(jù)，然后使用關(guān)聯(lián)規(guī)則找到代表規(guī)則，進(jìn)入關(guān)聯(lián)規(guī)則集，那么關(guān)聯(lián)從支持和兩個值的置信規(guī)則是使用聚類規(guī)則聚類優(yōu)化。在集群完成后，我們就可以得到閉合的值，這將是通常的數(shù)據(jù)的一部分刪除的規(guī)定。該系統(tǒng)的另一個特征是用于對重復(fù)檢測同一數(shù)據(jù)的下一站，使用數(shù)據(jù)倉庫更新進(jìn)一步提高異常檢測和誤用檢測器，即，根據(jù)檢測異常檢測來更新異常檢測的結(jié)果，來進(jìn)行檢測，如果判斷結(jié)果是正常的行為，那么，更新異常，如果測得的是探測器，其行為是攻擊行為，然后更新濫用檢測器記錄的行為，從而使下一次做重復(fù)檢測。

5 結(jié)束語

數(shù)據(jù)挖掘是有效的工具，也是智能信息處理的理論，是建模和優(yōu)化復(fù)雜對象的重要組成部分。本文介紹了數(shù)據(jù)挖掘技術(shù)在深度網(wǎng)絡(luò)安全系統(tǒng)模型中的應(yīng)用，分析了模型的結(jié)構(gòu)特點。數(shù)據(jù)挖掘技術(shù)的應(yīng)用建立在深入的網(wǎng)絡(luò)安全系統(tǒng)防御時可以提高系統(tǒng)的效率，適合于系統(tǒng)的特點和要求。

參考文獻(xiàn)

[1]王新，劉建輝.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)研究[J].計算機(jī)與數(shù)字工程，2005（11）.

[2]李德新.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)日志分析[J].電腦知識與技術(shù)，2011（25）.

[3]饒鮮，李斌，楊紹全.基于核中心距比值法的入侵檢測[J].計算機(jī)工程，2006（18）.

[4]鄭毅.基于機(jī)器學(xué)習(xí)的IDS研究[J].現(xiàn)代電子技術(shù)，2006（21）.

[5]李斯.數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用[J].科技資訊，2009（27）.

[6]劉小明，熊濤.基于數(shù)據(jù)挖掘的入侵檢測技術(shù)研究綜述[J].現(xiàn)代計算機(jī)（專業(yè)版），2010（04）.

[7]谷雨，趙佳樞，張?zhí)燔?，徐宗?基于免疫多樣性的分布式入侵檢測算法[J].西安交通大學(xué)學(xué)報，2006（10）.

作者簡介

關(guān)德君（1980-），男，滿族，遼寧遼陽人，講師，碩士。endprint