学术咨询服务正当时学报期刊咨询网是专业的学术咨询服务平台!
发布时间:2020-12-30 14:58所属平台:学报论文发表咨询网浏览: 次
摘要:随着信息技术的快速发展,以及网络本身具有的开放性、交互性、共享性等特点,使得网络在进行数据快速传播的同时,容易受到系统外部或内部的干扰,造成网络漏洞迭出留下安全隐患,影响数据的可靠传输.传统的入侵检测系统程序通常手工编写,工作量大且本身存在
摘要:随着信息技术的快速发展,以及网络本身具有的开放性、交互性、共享性等特点,使得网络在进行数据快速传播的同时,容易受到系统外部或内部的干扰,造成网络漏洞迭出留下安全隐患,影响数据的可靠传输.传统的入侵检测系统程序通常手工编写,工作量大且本身存在一定的局限性,检测方法有限且对规则库以外的攻击很难及时有效的发现,检测系统本身也可能成为攻击的对象.针对这一情况,设计了一种新的基于数据挖掘的网络入侵检测系统,通过对已知入侵数据进行检测分析利用关联规则,构建检测系统规则库使得系统能够自主学习、自我完善,具有较好的扩展性,提高自动化程度的同时,完成入侵检测.通过实验验证与结果分析,该系统具有一定的自适应能力,可以有效对外界入侵进行检测.
关键词:数据挖掘;入侵检测;关联规则
随着互联网规模的快速发展,网络已成为人们生活不可或缺的一部分,网络安全也面临着各种各样的挑战[1].黑客对计算机网络的非法入侵、病毒的攻击都给网络和信息系统带来了巨大的挑战,针对这些情况,人们对网络系统进行了各种保护.常见的网络安全措施有数字签名技术、生物识别技术、内容过滤技术、网络隔离技术等,这些防御措施虽然在一定程度上使得网络免受外界的干扰,保证信息快速及时有效传输,但也存在误报、漏报率过高等缺陷,难以真实有效地对攻击进行检测,且只能对已有数据库的数据进行检测,随着攻击的增多,数据库越来越大,导致检测效率低下,同时带来系统的臃肿[2].基于数据挖掘的网络入侵检测,通过对大量的数据进行挖掘得到隐含的、未知的潜在有用信息,精准得到入侵数据之间的关联特性,避免手工分析带来的巨大工作量和人为因素的干扰,减轻运行和维护成本[3].
计算机论文范例:计算机网络安全与防范
1入侵检测
1.1入侵检测技术及分类
20世纪80年代入侵检测技术(IDS)作为一种积极主动的防御技术被提出,通过收集计算机中的关键信息进行分析,进而得出网络中是否有违反安全策略和被攻击行为的发生[4].入侵行为分为内部入侵和外部入侵,内部入侵主要指合法用户的越权行为,外部入侵则指黑客或者非法用户的侵入,入侵行为会对网络数据的完整性、有效性和私密性带来威胁,针对不同的入侵行为检测技术侧重点不一样[5].入侵检测的分类,依据不同的对象结果不同,异常检测和误用检测是根据检测技术不同划分的;基于网络和基于主机则是依据数据来源不同进行划分的;按照检测时间则可以划分为实时和非实时[6].入侵检测系统模型有统一模型和Snort模型,主要由事件产生器和事件发生器以及响应单元和数据库构成,模型如图1所示.
1.2入侵检测的过程分析
面对入侵行为,网络系统的检测主要由4个步骤组成:①数据收集阶段,通过外置传感器或不同的代理主机来搜索系统的初始信息,主要包括用户的行为和状态以及网络的基础数据;②数据处理阶段,针对收集到的不同类型数据,将其进行加工,变换为计算机识别的统一格式,提高检测的时效性;③数据分析,对收集来的信息进行初步的分析,通过与已知数据库进行模式匹配或者利用概率论进行统计分析,将得到的不确定危险数据传输给控制模块;④系统响应,通过与规则库进行匹配,采取相应的应对措施,如重新配置路由器、隔离入侵者IP、修改文件属性等[7].
2数据挖掘在入侵检测中的应用
2.1数据挖掘技术
数据挖掘是在大量模糊的、有噪声的无规则数据中,发掘潜在的、有关联性的模式或规则.数据挖掘的实现主要由3个过程构成:①数据的准备阶段,包括数据目标选取发现操作对象、不同类型数据的预处理和噪声消除、数据的降维变换等;②数据挖掘,根据不同的数据挖掘模型,确定与之匹配的挖掘算法,从大量不完整、无规则的数据中发现潜在有关联性的数据,以便对结果进行预测;③数据的表示和评估,对数据挖掘得到的信息进行关联规则、分类、聚类分析,从而得到挖掘数据的价值,进而以一种简单的易于理解的形式表现出来,实现数据的可视化[8].
2.2面向入侵检测的数据挖掘算法面向入侵检测的数据挖掘算法是入侵检测系统中最重要的一环,不同的数据挖掘算法针对不同的模型有不同的优缺点,统计分析、特征分析、变化和偏差分析、聚类是数据挖掘的经常使用的分析方法,而关联规则则是数据挖掘算法的重点,代表数据相互之间的关系[9].
3基于数据挖掘的入侵检测系统设计
3.1入侵检测系统总体设计
为了实现对网络数据的及时有效分析,本文将入侵检测系统总体设计的核心定义为挖掘数据之间的关联规则、数据间的序列规则以及根据规则定义的分类识别[10].由于不同系统模型对应不同的数据挖掘算法,因此首先需要找到一种合适的入侵检测系统,Snort检测模型作为轻量级的开源入侵检测系统,可以有效应对大部分网络攻击,但是Snort检测模型效率不高、存在误报漏报现象、无法实时进行动态检测,因此需要对Snort检测模型改进.总体设计思想为:
(1)在传统Snort检测模型上增加正常行为模块,有针对性的对网络行为进行规则关联分析和聚类分析,根据这些规则过滤掉大部分已知行为信息,进而得到异常数据;(2)通过增加规则匹配模块,对异常数据进行匹配,在减少误报漏报的同时,提升系统的检测效果;(3)增加规则动态生成模块,使新系统具有动态扩充机制,及时有效地对规则库进行更新迭代,提升规则库的完备性.
3.2入侵检测系统实现
基于数据挖掘的网络入侵检测,通过对大量的已知数据进行挖掘和分析,找出攻击特征作为检测依据.首先需要进行数据采集,数据采集的完整性、准确性是系统实现的关键.本文采用具有典型代表性的KDDCUP99数据集,该数据集信息丰富,包含未经训练的网络数据作为测试集以及有标识的训练集,模拟真实网络攻击环境.训练集包含有完整的基础信息:DOS代表具有攻击特征的数据、Normal代表正常行为数据、U2R代表内部低层用户的越层访问、R2L代表外部程序的不正常来访、Probing代表系统本身具有的探测和监视活动.由于采集的原始数据含有噪声、冗余信息等,不能直接进行数据挖掘,因此需要对数据进行标准化处理,标准化处理后的数据采用Apriori决策树算法得到关联规则,进而实现数据挖掘.算法实现流程为:
(1)对采集到的数据进行标准化处理,寻找发现决策树项集;(2)循环处理,得出训练集的决策树k项集合;(3)对每个待测目标数据进行阅历,得出目标数据的决策树项集支持频度;(4)通过计算网络数据包与决策树正常选项集的支持频度来确定是异常数据还是正常数据,进而实现网络入侵检测.
4小结
网络的飞速发展一方面丰富了人们的生活,同时也带来了许多网络安全问题.网络入侵检测系统作为网络防护的重要一环起着非常重要的作用,但随着网络规模的扩大以及网络攻击的多样化,传统的入侵检测系统已不能很好地适应环境.文章首先分析了入侵检测的分类及模型,以及常用的数据挖掘算法,将数据挖掘与入侵检测结合起来,并通过Apriori决策树得到关联规则,进行数据挖掘,最终实现检测系统的设计与实现,并与其他系统在准确率和检测时间上进行比较,得出本系统的应用价值.同时,在面对入侵行为的多样化以及多元化时,应用层侵检和自适应侵检是未来入侵检测技术的主要发展方向.
参考文献:
[1]刘海燕,张钰,毕建权.基于分布式及协同式网络入侵检测技术综述[J].计算机工程与应用,2018,54(8):1-6,20.
[2]刘万军,秦济韬,曲海成.基于改进单类支持向量机的工业控制网络入侵检测方法[J].计算机应用,2018,38(5):1360-1365,1371.
作者:古险峰
转载请注明来源。原文地址:http://www.xuebaoqk.com/xblw/6078.html
《一种基于数据挖掘的网络入侵检测系统设计与实现》