數據挖掘技術在網絡安全中的應用

關德君+吳紅英

摘 要 隨著計算機網絡技術的不斷發展，眾多企事業單位、政府部門將其核心業務向互聯網轉移，網絡安全作為一個無法回避的問題呈現在人們面前。網絡用戶一般采用防火墻作為安全的第一道防線。信息的獲取、使用和控制的競爭愈演愈烈，網絡安全問題變得日益重要，信息安全成為維護國家安全和社會穩定的一個焦點。如何辨別防御與攻擊和增強網絡安全已成為技術管理人員研究的問題。入侵檢測已成為網絡安全領域的熱點課題。異常檢測和誤用檢測是入侵檢測的主要分析方法。

關鍵詞 網絡安全；入侵檢測；數據挖掘

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）05-0081-01

隨著網絡規模的迅速擴大和互聯網用戶的迅速增加，網絡安全問題變得更加嚴重和復雜。因此我們要滿足信息安全縱深防御體系概念的需求。縱深防御的意思是指利用盡可能多的安全機制，使這些機制相互補充。隨著網絡技術的日益成熟，縱深防御系統模型越來越受到歡迎。然而，這種攻擊技術的數量與日俱增，在縱深防御的有效性和效率上受到限制。為了解決這一問題，我們采用數據挖掘技術。

1 數據挖掘技術概述

數據挖掘是從大型數據庫或數據倉庫中對知識的提取，但這些知識是隱含的，先前未知的，不正常的和有用的信息或模式，是數據庫研究的一個新領域，是非常有價值的。數據挖掘的目標是幫助用戶搜索數據之間的關系，并發現被忽略元素，而這些信息可能對預測趨勢和決策有用。

傳統的信息安全技術，專注于系統本身的加固和防護上。然而，在面對出現的攻擊，信息系統保護的重點從傳統的靜態保護，到動態保護層出不窮，在同一時間內全面采用保護措施（如防火墻，身份認證，加密等手段），檢測工具（如漏洞評估，入侵檢測系統）的安全性認識和評價系統狀態，將系統調整到“安全”和“風險最低”的狀態。該系統改造從靜態到動態的保護，提供了基礎的快速響應和恢復系統。

數據挖掘系統的其他應用還有：

在零售業方面：數據挖掘用于顧客購貨籃的分析可以協助貨架布置，促銷活動時間，促銷商品組合以及了解滯銷和暢銷商品狀況等商業活動。在產品質量保證方面：數據挖掘協助管理大數量變量之間的相互作用，并能自動發現出某些不正常的數據分布。在遠程通訊方面：基于數據挖掘的分析協助組織策略變更以適應外部世界的變化，確定市場變化模式以指導銷售計劃。

2 網絡入侵檢測的原理

入侵檢測是網絡防火墻的邏輯補充，擴展了系統管理員的安全管理能力，提供了安全審計、監控、攻擊識別和響應。通過捕獲和分析網絡包來探測攻擊。網絡入侵檢測可以在網段或者交換機上進行監聽，來檢測對連接在網段上的多個主機有影響的網絡通訊，從而保護那些主機。

入侵檢測系統主要執行功能：監控、分析用戶和系統活動、審計系統配置和脆弱性、評估關鍵系統和數據文件的完整性、識別活動模式以及反應已知攻擊、統計分析異常活動模式、操作系統審計跟蹤管理，識別違反策略的用戶活動。

3 數據挖掘技術在深度架構的應用程序防御

在利用數據挖掘技術的GPS安全信息管理時，聯合防御系統的建設基于數據挖掘。在這里，安全通信，收集實時LPS的是負責網絡日志和日志信息的數據挖掘的全球定位系統。數據挖掘分為在線檢測和離線學習階段。在離線學習中，將在日志中發出LPS收集到的GPS，并加入到訓練樣本集；運行數據挖掘工具，通過離線數據挖掘的規則集；駕駛機器學習算法調整規則集的參數；有效的分類規則集。

綜上所述，建立三個步驟的分類：數據預處理，記錄格式，數據調度的數據格式；運行挖掘工具，通過訓練樣本集設置規則的研究，以使規則轉換為可執行的形式。縱深防御體系結構在上面，通過GPS的分布式入侵檢測，讓每個IDS和脂多糖管理層管理。GPS數據挖掘美防御模塊被用在由LPS的事件收集的數據挖掘分析，一旦攻擊被檢測到時，GPS會根據LPS（ IDS）的這種攻擊來迅速調整策略，以防止資源的這種攻擊。

4 數據挖掘技術在入侵檢測

在入侵檢測系統，通過對歷史數據的分析，利用數據挖掘技術可以吸引用戶的行為特征有用，總結入侵的法律，從而建立一個更完整的規則庫的入侵檢測。該過程分為如下步驟。

1）數據采集，基于數據從網絡到網絡的檢測系統。

2）數據預處理，提取精度直接影響到用戶的特點和在的素質的訓練數據推導出的規則。

3）數據挖掘，從用戶行為特征和規則提取前處理后的數據，合并更新規則和規則庫建立起規則庫。

數據挖掘基于網絡異常檢測和誤用檢測模型，并形成綜合利用的入侵檢測模型。網絡入侵檢測模型的優點是：通過結合誤用檢測和異常檢測，分析數據，并減少了很多。

在這個模型中首先發送從網絡上的數據包獲得的數據預處理器，該處理器將獲得從網絡數據分組處理網絡數據，然后使用關聯規則找到代表規則，進入關聯規則集，那么關聯從支持和兩個值的置信規則是使用聚類規則聚類優化。在集群完成后，我們就可以得到閉合的值，這將是通常的數據的一部分刪除的規定。該系統的另一個特征是用于對重復檢測同一數據的下一站，使用數據倉庫更新進一步提高異常檢測和誤用檢測器，即，根據檢測異常檢測來更新異常檢測的結果，來進行檢測，如果判斷結果是正常的行為，那么，更新異常，如果測得的是探測器，其行為是攻擊行為，然后更新濫用檢測器記錄的行為，從而使下一次做重復檢測。

5 結束語

數據挖掘是有效的工具，也是智能信息處理的理論，是建模和優化復雜對象的重要組成部分。本文介紹了數據挖掘技術在深度網絡安全系統模型中的應用，分析了模型的結構特點。數據挖掘技術的應用建立在深入的網絡安全系統防御時可以提高系統的效率，適合于系統的特點和要求。

參考文獻

[1]王新，劉建輝.基于數據挖掘的入侵檢測系統研究[J].計算機與數字工程，2005（11）.

[2]李德新.基于數據挖掘的網絡日志分析[J].電腦知識與技術，2011（25）.

[3]饒鮮，李斌，楊紹全.基于核中心距比值法的入侵檢測[J].計算機工程，2006（18）.

[4]鄭毅.基于機器學習的IDS研究[J].現代電子技術，2006（21）.

[5]李斯.數據挖掘技術在入侵檢測系統中的應用[J].科技資訊，2009（27）.

[6]劉小明，熊濤.基于數據挖掘的入侵檢測技術研究綜述[J].現代計算機（專業版），2010（04）.

[7]谷雨，趙佳樞，張天軍，徐宗本.基于免疫多樣性的分布式入侵檢測算法[J].西安交通大學學報，2006（10）.

作者簡介

關德君（1980-），男，滿族，遼寧遼陽人，講師，碩士。endprint