數(shù)據(jù)挖掘技術(shù)在計算機網(wǎng)絡(luò)入侵檢測中的應(yīng)用*

潘大勝

(百色學(xué)院，廣西 百色 533000)

由于要對不同用戶進行訪問的控制，計算機網(wǎng)絡(luò)應(yīng)該具有對權(quán)限的管理．系統(tǒng)中的權(quán)限管理包括三個子功能，即對模塊的管理，給相應(yīng)的角色進行定義并且給該角色進行權(quán)限的分配，除此之外，系統(tǒng)還應(yīng)該能夠?qū)ο到y(tǒng)中的用戶進行帳號的注冊以及分配、角色以及權(quán)限的分配的功能［1］．日志記錄與存儲方面，用戶對攻擊目標的操作和系統(tǒng)對攻擊目標的隔離的記錄都通過本功能完成．這個功能在實際使用過程中，主要用于攻擊目標的事后處理．數(shù)據(jù)存儲功能則是將日志分析結(jié)果數(shù)據(jù)、隔離操作記錄等數(shù)據(jù)存入數(shù)據(jù)庫，由于系統(tǒng)的數(shù)據(jù)量較大，沒有使用復(fù)雜的數(shù)據(jù)持久化組件，而是單獨實現(xiàn)數(shù)據(jù)庫連接池的功能，輕量簡便［2］．

1 計算機網(wǎng)絡(luò)入侵的原理

圖1 計算機網(wǎng)絡(luò)內(nèi)網(wǎng)圖

計算機網(wǎng)絡(luò)設(shè)計思想，網(wǎng)絡(luò)接入解決方案應(yīng)當是一個以IP為核心網(wǎng)絡(luò)技術(shù)的寬帶綜合接入解決方案，能夠向校園用戶提供集高速數(shù)據(jù)業(yè)務(wù)和話音業(yè)務(wù)于一體的多業(yè)務(wù)綜合接入服務(wù)，綜合接入網(wǎng)的建成能夠為廣大師生提供形式更加豐富的遠程教育、實時授課等寬帶業(yè)務(wù)．計算機網(wǎng)絡(luò)設(shè)計需要考慮以下幾個要素．(1)整體方案具備高性價比，貼近用戶現(xiàn)有應(yīng)用．(2)網(wǎng)絡(luò)可持續(xù)運營，能夠方便地控制、管理和發(fā)展用戶．(3)設(shè)備可靠，性能先進、易維護管理．(4)網(wǎng)絡(luò)安全可靠．(5)易于與計算機網(wǎng)絡(luò)中其他設(shè)備集成使用，便于資源整合，形成復(fù)用平臺;具有良好的擴充和升級能力．計算機網(wǎng)絡(luò)解決方案思路如下．(1)深入進行需求調(diào)查．在網(wǎng)絡(luò)和更高的應(yīng)用層面貼近用戶需要，滿足用戶需求．(2)按需定制的全面解決方案．(3)具備高性價比、高度投資保護的特性，有效降低用戶的管理維護成本．典型的企業(yè)內(nèi)網(wǎng)結(jié)構(gòu)如圖1所示［3］．

接入層的攻擊主機，通過構(gòu)造非法ARP報文，對來自本網(wǎng)段的網(wǎng)關(guān)ARP查詢進行回應(yīng)．直接導(dǎo)致其他接入層主機的ARP表中出現(xiàn)不正確的IP地址MAC地址的對應(yīng)關(guān)系．偽裝網(wǎng)關(guān)攻擊方式如圖2所示［4］．

圖2 偽裝網(wǎng)關(guān)攻擊方式

3 數(shù)據(jù)挖掘技術(shù)和方法

數(shù)據(jù)挖掘充分利用了這些學(xué)科的結(jié)果，但是研究目標和重點又不同于這些單一研究領(lǐng)域．數(shù)據(jù)挖掘方法能從巨大的真實數(shù)據(jù)庫中提取感興趣的和以前不知道的知識，從而成為一個在理論和應(yīng)用中重要而實用的研究領(lǐng)域．但是，數(shù)據(jù)挖掘并不等同于任何一個上述提及的學(xué)科．例如，統(tǒng)計學(xué)在數(shù)據(jù)挖掘中應(yīng)用廣泛，但是在一些方面并不解決問題．統(tǒng)計學(xué)的方法限制在數(shù)學(xué)范圍內(nèi)，無法表示集合之間的關(guān)系，如集合的包含關(guān)系［5］．在關(guān)系數(shù)據(jù)庫中，屬性值只能使用精確數(shù)據(jù)，不能使用不確定或不精確的數(shù)據(jù)．數(shù)據(jù)庫對于數(shù)據(jù)挖掘來說，只是一個訓(xùn)練集，相對于數(shù)據(jù)庫在DBMS系統(tǒng)中的角色差多了，機器學(xué)習的算法也很多，但是要在數(shù)據(jù)挖掘中應(yīng)用，必須要解決實用性問題，即在大量的數(shù)據(jù)中進行有效的學(xué)習．數(shù)據(jù)挖掘主要解決以下問題：(1)數(shù)據(jù)挖掘不僅要挖掘二維數(shù)據(jù)表數(shù)據(jù)，還要挖掘文本數(shù)據(jù)、多媒體數(shù)據(jù)和萬維網(wǎng)數(shù)據(jù)．(2)挖掘算法現(xiàn)在數(shù)據(jù)挖掘已經(jīng)發(fā)展了眾多的建模和學(xué)習方法，從中選擇合適的算法更多是來自經(jīng)驗．(3)使用背景知識無疑會幫助在數(shù)據(jù)挖掘中建模的準確度．(4)可視化－使用可視化的方法進行數(shù)據(jù)挖掘非常重要和有用．數(shù)據(jù)挖掘一般被定義為“使用自動的方法從大量數(shù)據(jù)中提取隱含的、以前未知的、隱藏的、潛在有用的知識或高層信息”．這里術(shù)語“數(shù)據(jù)”是指事實或原子信息的集合，如數(shù)據(jù)庫中的記錄．“知識”是指描述數(shù)據(jù)集合整體特性的更高層次的概念，如預(yù)測屬性值的規(guī)則、屬性之間的依賴關(guān)系等．有時“數(shù)據(jù)”“知識”“信息”并沒有嚴格加以區(qū)分．Fork結(jié)點的行為是創(chuàng)建子Token，并且將子Token指向從Fork出發(fā)的leavingTransition的下一個結(jié)點．Join結(jié)點的行為是判斷是否所有的兄弟Token已經(jīng)全部到達本結(jié)點，若已經(jīng)全部到達本結(jié)點，就把這些兄弟Token的父Token直接轉(zhuǎn)向Join結(jié)點的下一個結(jié)點．Decision結(jié)點的行為就是判斷其表達式的真假，根據(jù)表達式的計算結(jié)果，確定下一個結(jié)點的流向．TaskNode結(jié)點的行為是根據(jù)任務(wù)結(jié)點里關(guān)于任務(wù)分配的定義來建立任務(wù)與人員的具體分配．

4 數(shù)據(jù)挖掘技術(shù)在計算機網(wǎng)絡(luò)入侵檢測中的應(yīng)用

利用JPDL定義好的流程交給JBOSS PROCESS ENGINE中的DEFINITION LOADER．其中由JPDL定義的流程就是一個XML文件，由DEFINITION LOADER將這個XML文件讀進來，即將定義的規(guī)則讀進來．此后，用戶就能夠利用在JBOSS PROCESS ENGINE中定義好的流程來執(zhí)行流程．此外，在jBPM流程引擎中還有諸如狀態(tài)管理、日志管理能功能，在用戶層面來看，有流程監(jiān)控功能，這些功能分別對應(yīng)STATE MANAGER、LOG MANAGER以及PROCESS MONITOR．以上就是JBOSS jBPM工作流引擎的組成．流程實例中的signal()方法相當于一個快捷方法，在這個方法里，首先會進行諸如流程實例狀態(tài)是否會結(jié)束這樣之類的判斷，然后會將這個調(diào)用請求轉(zhuǎn)交給與之相對應(yīng)的 root-Token對象，然后會調(diào)用 rootToken中的 signal()方法．很顯然的是，Token中的signal()方法是與某個結(jié)點相關(guān)聯(lián)的．引用的改變即引用由當前結(jié)點指向下一個結(jié)點，在 JBOSS jBPM中，它將這一職責進行了分離，所有的調(diào)度職責并不是在Token的內(nèi)部來完成的，會把這些工作轉(zhuǎn)交給不同的對象，jBPM將當前結(jié)點稱之為from結(jié)點，為了完成引用的改變，當然是要找了當前from結(jié)點的下一個結(jié)點，jBPM不是在rootToken里面進行查找，而是將這一職責轉(zhuǎn)交給 from結(jié)點，在from結(jié)點中來進行查找，因為在 from這個結(jié)點當中，存在很多l(xiāng)eavingTransition這樣的線．

＇調(diào)用存儲過程，對所選擇的課程根據(jù)學(xué)號、教學(xué)班級碼以及操作碼進行選課操作!

由于ARP欺騙攻擊、DHCP欺騙攻擊、廣播風暴三種攻擊方式是接入層導(dǎo)致用戶大面積斷網(wǎng)的最主要問題，能夠?qū)@三種攻擊進行有效防護，明顯改善用戶用網(wǎng)體驗．本系統(tǒng)專門針對接入層三種攻擊行為提出相應(yīng)解決方案．通過與接入層網(wǎng)絡(luò)設(shè)備進行交互，通過分析交換機運行狀態(tài)，及時發(fā)現(xiàn)三種攻擊行為并進行相應(yīng)處理．操作日志記錄進數(shù)據(jù)庫以便進行事后處理與操作審計．

［1］羅躍國．基于數(shù)據(jù)挖掘入侵檢測模型的設(shè)計［J］．西安文理學(xué)院學(xué)報(自然科學(xué)版)，2010，(3)：112～113．

［2］朱海霞．數(shù)據(jù)挖掘在入侵檢測中的應(yīng)用［J］．科技資訊，2009，(5)：89 ～90．

［3］李劍．入侵檢測技術(shù)［M］．北京：高等教育出版社，2008．6：132 ～135．

［4］直敏．數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測系統(tǒng)中的應(yīng)用［J］．科技資訊，2010，(10)：142 ～143．

［5］杜波，趙廣．數(shù)據(jù)挖掘在入侵檢測系統(tǒng)的應(yīng)用［J］．科技信息，2009，(12)：160 ～162．