數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用與研究

唐志

摘要：在網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的背景下，網(wǎng)絡(luò)入侵檢測技術(shù)也相應(yīng)的在不斷的更新當中。顯然，就當前的形勢來看，傳統(tǒng)的入侵檢測技術(shù)已經(jīng)無法有效的檢測出新型的未知入侵行為。因此我們必須對入侵檢測技術(shù)進行科學有效的創(chuàng)新。本文重點對數(shù)據(jù)挖掘技術(shù)在入侵檢測中的常用算法進行了系統(tǒng)的分析，并提出了其應(yīng)用于其中的優(yōu)勢所在。

關(guān)鍵詞：數(shù)據(jù)挖掘;入侵檢測;技術(shù)

1 數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中應(yīng)用的優(yōu)勢

對于基于知識的傳統(tǒng)入侵檢測系統(tǒng)而言，首先必須讓安全領(lǐng)域的相關(guān)專家把系統(tǒng)弱電與攻擊的行為進行分類，然而再根據(jù)檢測的類型進行統(tǒng)計方法的選擇，最后再進行人工的代碼輸入，從而建立起檢測模式與規(guī)則。但是，在復雜的網(wǎng)絡(luò)系統(tǒng)下，隨著時間與空間的變遷，安全領(lǐng)域?qū)＜业闹R必定會逐漸的顯露出諸多不足，而這對于入侵檢測模型檢測有效性的提高顯然是不利的。而就安全領(lǐng)域?qū)＜叶裕湟话闱闆r下都是對已知的系統(tǒng)弱點、攻擊行為特征進行研究與分析，這樣的模式顯然讓檢測模型不能夠及時的適應(yīng)系統(tǒng)未來將面臨的各種未知因素，同時安全系統(tǒng)的升級周期較長、費用極高。另外，安全領(lǐng)域?qū)＜业囊?guī)則以及相應(yīng)的統(tǒng)計方法都必須由硬件、軟件的平臺來進行支撐，這極大的阻礙了新環(huán)境下對系統(tǒng)的制定與重用，同時當我們要對新的檢測功能模塊進行嵌入的時候，將顯得非常的困難。顯然，這不利于入侵檢測模型可擴展性的提高。反觀數(shù)據(jù)挖掘技術(shù)，其能夠?qū)嫶蟮娜罩緦徲嫈?shù)據(jù)進行良好的處理，并且在提取入侵模式的過程中更加的快速。數(shù)據(jù)挖掘技術(shù)是以數(shù)據(jù)為中心的，它將入侵檢測當作是一個完整的數(shù)據(jù)分析過程。而將數(shù)據(jù)挖掘技術(shù)應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)的處理則是核心的技術(shù)，其能夠?qū)⒂脩舻男袨槟Ｊ椒謩e提煉成“正常情況下”、“入侵情況下”，然而再將所生成的模式庫與入侵檢測系統(tǒng)所采集的數(shù)據(jù)進行匹配，從而從中發(fā)現(xiàn)存在于其中的網(wǎng)絡(luò)入侵行為。

2 數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測中的常用算法

2.1 關(guān)聯(lián)分析法

所謂關(guān)聯(lián)規(guī)則分析，即是利用關(guān)聯(lián)規(guī)則的方法來進行數(shù)據(jù)的挖掘。

將隱藏在數(shù)據(jù)之間的相互關(guān)系充分的挖掘出來，是關(guān)聯(lián)分析的根本目的。其是通過量化的數(shù)字來對一個物品對另一個物品的影響程度進行準確的描述。關(guān)聯(lián)規(guī)則在應(yīng)用于入侵檢測系統(tǒng)中時，具體的過程是：首先，進行特征的抽取以及數(shù)據(jù)的預(yù)處理，將網(wǎng)絡(luò)數(shù)據(jù)、審計數(shù)據(jù)整理到相應(yīng)數(shù)據(jù)庫的表格當中。在這些表格中，每列都需要將系統(tǒng)的特征體現(xiàn)出來，而每一行則需要將數(shù)據(jù)的記錄體現(xiàn)出來。其次，進行關(guān)聯(lián)規(guī)則下的挖掘分析。研究表明，在用戶的行為與程序的執(zhí)行之間存在著一種頻繁的一伏時（比如說一些用戶的越權(quán)操作，一般都是程序?qū)μ囟夸洝⑽募拇鄹模Ｔ俅危M行入侵檢測。將那些最近產(chǎn)生的關(guān)聯(lián)規(guī)則添加到相應(yīng)的關(guān)聯(lián)規(guī)則庫當中，然而，通過檢驗用戶行為是否匹配關(guān)聯(lián)規(guī)則庫當中的規(guī)則來正確的判斷是否存在入侵行為。就目前的情況來看，“AprioriTid”與“Apropri”算法是目前使用的關(guān)聯(lián)分析算法中最為常見的。

2.2 聚類分析法

將數(shù)據(jù)的集合通過科學的手段劃分為若干個類別，這即是聚類的過程。通過聚類的過程，每一個被分為同一個類別的數(shù)據(jù)對象必須具備較高的相似度，而不同類別的數(shù)據(jù)對象則要保持差異。最大程度的實現(xiàn)類別中數(shù)據(jù)對象的高相似度，不同類別數(shù)據(jù)對象的高差異化，是聚類分析的基本指導思想。作為數(shù)據(jù)挖掘中的一種重要技術(shù)，聚類分析法能夠有效的將沒有標識的數(shù)據(jù)對象進行自動的劃分，從而將這些數(shù)據(jù)對象劃分為不同的類別。這種方法顯然有助于挖掘任務(wù)的展開（尤其是在數(shù)據(jù)信息缺少領(lǐng)域知識的情況下）。

2.3 分類分析法

對于分類模型的挖掘而言，分類算法中輸入數(shù)據(jù)（訓練數(shù)據(jù)集）

的提供是首要的前提，要集中每一條訓練數(shù)據(jù)的記錄，并具有類型標識。同時，對于實際數(shù)據(jù)集中的數(shù)據(jù)記錄與要求訓練數(shù)據(jù)集中的數(shù)據(jù)記錄而言，兩者之間始終應(yīng)該保持著相同的數(shù)據(jù)項。然而，以此來精確的對每一種類型標識進行分類規(guī)則描述。當前，如決策樹模型、線性回歸模型、神經(jīng)網(wǎng)絡(luò)模型、基本規(guī)則模型等分類分析模型已經(jīng)在社會中得到了廣泛的實際應(yīng)用。那么，數(shù)據(jù)分類分析法主要具有兩個過程：首先是選擇出一個有效的訓練數(shù)據(jù)集，并且我們要知道每一個訓練樣本的類標號（比如在“IDS”當中，我們可以根據(jù)黑客入侵的危害程度來賦值為如正常、強入侵、弱入侵、一般入侵）。其次，通過對屬性描述的訓練數(shù)據(jù)庫訓練樣本的分析來有效的建立起一個模型。

由于我們已經(jīng)提前的對每一個訓練樣本的類標號進行了掌握，因此這個過程是具有指導性的。而對于模型而言，我們能夠利用那些不明確的數(shù)據(jù)值或多種空缺的數(shù)據(jù)值，一旦我們預(yù)測的值是數(shù)值數(shù)據(jù)的時候，我們往往稱之為“預(yù)測”。

3 結(jié)語

總之，數(shù)據(jù)挖掘技術(shù)的應(yīng)用，能夠有效的解決傳統(tǒng)入侵檢測系統(tǒng)中存在的諸多問題，不但讓相應(yīng)的入侵檢測系統(tǒng)更加的高效與靈活，其擴展性也將得到實質(zhì)性的提升。

參考文獻

[1]模糊數(shù)據(jù)挖掘和遺傳算法的網(wǎng)絡(luò)入侵檢測方法[J].呂峰，葉東海，楊宏，賈婧鎣.電子技術(shù)與軟件工程.2017（04）

[2]計算機網(wǎng)絡(luò)入侵檢測中的數(shù)據(jù)挖掘[J].張枝令.長春工業(yè)大學學報（自然科學版）.2014（06）

[3]網(wǎng)絡(luò)入侵檢測中的數(shù)據(jù)挖掘技術(shù)探討[J].郭軍華.科技廣場.2005（02）

[4]數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用研究[J].徐敏，蔣偉梁.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2016（06）

[5]數(shù)據(jù)挖掘技術(shù)在計算機網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].劉健.計算機光盤軟件與應(yīng)用.2013（02）

[6]數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用探討[J].王照環(huán)，楊曉蕓，韓釧.硅谷.2010（11）.