数据挖掘技术在网络入侵检测中的应用与研究刘泽辰(中央财经大学信息学院 北京 1 0008 1 )【摘要】所谓的网络入侵检测技术是一种维护网络安全,防止黑客入侵网络的有效方法,在应用网络入侵检测技术 过程中,通过对入侵现象的识别,及时发现网络中的异常现象及时报警,在短时间内采取积极有效的措施对异常现象 进行解决,防止不法人员非法入侵。在网络入侵检测工作中,数据挖掘工作是其重要的组成部分,也是整个网络入侵检 测技术应用的基础。本文主要内容研究了数据挖掘技术在网络入侵检测中的应用与研究,希望能为我国网络安全事业的 发展有所启示.【关键词】数据挖掘技术;网络入侵检测;应用研究【中图分类号】TP309 【文献标识码】A 【文章编号】1009-5624 ( 2019 ) 08-0188-021引言在新时代的背景下,伴随着大数据时代的发展,现代 化信息技术水平在不断提高的同时,也面临着诸多网络安 全隐患,各类型网络安全事件层出不穷,例如黑客入侵、 网络攻击等,这些现象为我国网络环境带来了极大的安全 隐患,扰乱了我国网络环境中的秩序。网络入侵检测工作 的有效落实,能够从源头上直接清除网络安全隐患,数据 挖掘技术身为网络入侵检测中的重要环节,能够及时发现 网络中的异常数据,并且及时进行解决,为网络提供一个 良好的发展环境。中己经存在的、已经指代的系统漏洞进行特征描绘,采用 入侵检测系统进行检验。异常检测指代的是通过对网络用 户构建正常的特征模型,区别是否入侵。3当前我国网络安全存在的主要问题3.1网络协议的缺陷结合当前我国网络运行的实际情况来看,开放性与共 享性是网络运行的两大特点,这两大特点使得资源数据可 以以共享的方式将有效信息向大众开放,但是这一特点也 使用户的隐私安全成为问题,为不法分子带来便利,埋下 网络安全隐患。3.2系统的漏洞2数据挖掘技术与网络入侵检测技术的相关概述2.1数据挖掘技术所谓的数据挖掘技术指代的是在海量数据中,发现有 价值的数据信息或者数据模式,通过对这些数据的处理与 分析,最终为决策者提供强有力的数据支持。在此过程中 主要包含三个过程,分别为数据收集、评价说明以及数据 挖掘三个过程,通过这三个过程的进行,形成了整个数据 挖掘工作叭在开展数据挖掘工作时,常见的形式是利用智能模式 对相关数据信息进行提取。结合以往数据挖掘工作的开展 情况来看,常见的挖掘方法有遗传算法、决策树方法以及 人工神经网络。2. 2入侵检测技术在各个单位企业中,传统的网络安全威胁应对方法为 防火墙技术,通过制定诸多安全策略来隔离外界对内部网 络的危害,最终达到内部网络免受外部用户攻击的目的。 但是结合防火墙的使用情况来看,其中存在有诸多不足之 处。首先防火墙在应用过程中可以阻止以IP包头为基础 的攻击,并且可以将防火墙不信任的访问、地址及时切断, 但是却没有办法组织以数据为基础的攻击,并且对于内部 网络中的攻击以及错误操作没有办法进行组织。其次,黑 客在攻击网络的过程中,可以利用防火墙自身的漏洞,绕 过防火墙对网络进行攻击。最后,防火墙在应用过程中由 于一味的依赖自身规则,因此缺乏一定的灵活性。3. 3恶意攻击入侵检测技术是一种能够对网络中不安全现象及时识 别并且做出响应的一种技术。例如,网络中的恶意攻击、 恶意访问等不安全现象,该技术的应用对于整个网络系统 的保密性、完整性以及可用性有着十分重要的意义。入 侵检测技术作为网络运行过程中一种安全保障系统,自身 具备主动防御的功能,因此能够对网络信息资源进行充分 的保护。根据以往网络入侵检测系统的内容来看,主要包 含有三个模块,分别为响应处理模块、简要数据分析模块、 数据收集模块。在数据收集模块中,收集到的数据也具有 一定的代表性,因为数据收集模块是在几个网络反映关键 点之中进行数据收集工作的。想要检验出网络是否存在入 侵痕迹,那么需要从特殊文件信息、网络数据包等环节进 行查看⑵。所谓的恶意攻击指代的是黑客对网络带来的破坏与威 胁,通常情况下,黑客在攻击相关目标时主要分为五个步 骤,首先隐藏自身的IP、随后再进行踩点扫描,当攻击 成功之后便会获取相关权限,然后便会种植后门,最终隐 身退出。黑客在攻击目标时主要分为两种形式,分别为主 动攻击模式与被动攻击模式,主动攻击模式主要是通过各 种手段对目标进行破坏,使其不再完整有效,被动式的攻 击模式主要指代的是窃取网络机密信息。在实际入侵检测技术的过程中,主要会涉及到两种方 法,分别为异常检测与误用检测。误用检测指代的对网络
4入侵检测系统模型的设计4. 1数据挖据对于入侵检测系统的优势4. 1. 1适应性强传统的入侵检测系统是某种规则库,针对性较强,当 发现网络中存在有入侵行为时,在一定范围内进行检测, 应用的范围十分有限,一旦系统中出现了新的攻击,与原 来攻击距离跨度较大时,该系统便不能有效做出跟踪检测
188信息记录材料2019年8月第2 0卷第8期[^录:媒齐身互联]等相关反应,入侵检测效果也会不尽人意。但是在入侵检 测系统中应用数据挖掘技术时,并非仅仅只针对网络中特 定的信号进行检测,因此也不存在出现新的信号要重新进 行检测的问题,由此可见,数据挖据技术在入侵检测系统 中的应用适应性较强。4.1. 2低误报警率况。除此之外,还可以利用检测软件对企业中的计算机设 备以及网络的运行状态进行分析,以便能够及时发现异常 情况及时解决,为企业网络安全运行提供保障。5. 3 Snort入侵检测系统使用数据挖掘结合当前我国网络系统的运行情况来看,在执行系统操 作时比较依赖信号匹配,因此经常会出现报警情况远远大于 网络系统的实际入侵对象,因此入侵检测系统经常会出现误 报现象。而数据挖掘技术的应用,可以使得入侵系统对网络 正常行为产生的信号信息进行设置与分析,通过数据挖据技 术将相关攻击数据去除,避免后期出现大量的误报现象。4.1. 3漏报率较低在传统入侵检测系统中,对于全新的攻击方式或者做 过改动的攻击方式无法进行有效识别,因此,当网路受到 此类型攻击时,传统的入侵检测系统不能及时有效的做出 反应。而在入侵检测系统中应用数据挖据技术后,便能够 有效克服这一问题,及时发现网络中的攻击行为进行报警 处理,有效降低系统中的漏报现象⑷。4. 2创建新型的入侵检测模型在网络运行过程中,入侵检测系统中最不可缺少的功 能便是数据挖掘功能,一旦发现网络运行过程中出现入侵 行为,那么系统要对此现象及时处理,因此要求入侵检测 系统需要具备良好的实时性,以便能够及时检测出系统中 的入侵行为并做出相关反应。例如防御响应或者报警响应, 以便能够在最短时间内让管理人员明确相关情况,在进行 人工防御。此外,入侵检测系统还要对相关规则库进行及 时更新,将新的入侵行为不断加入到系统的规则库中,以 便异常行为再次发生时系统能够及时做出反应,避免系统 中出现漏洞。5. 4 DBSCAN 算法DBSCAN算法在应用过程中的中心思想便是在不包括
在网络运行过程中,大部分网络数据都是正常运行的 数据,异常数据在其中仅仅占据极少的一部分,因此,系 统如果可以将正常的数据信息进行过滤,通过聚类分析的 方式将网络中的正常数据进行准确过滤。在入侵检测模型 中,处理新入侵行为的检测系统图1如下所示。给定对象0的基础上,在给定对象E邻域EPS中,总数据 点的个数不能低于设定值Minptso除了上述应用之外, DBSAN算法还经常被应用于文本数据处理工作中,这对于 Minpts以及EPS的参数设置都起到了关键性的作用。对 于网络中的入侵现象进行检测时,可以根据聚类算法中的
DBSCAN算法进行划分,对不同的入侵行为进行分类,对
每种类型采取措施攻克。5. 5 K-Means 算法所谓的K-Means算法就是利用聚类算法对防入侵检测 系统进行研究。聚类分析指代的就是将某一整体数据全部 进行划分,划分成不同的部分,随后对数据进行分组,根 据数据自身的特征,按照数据自身的相似性进行定义。釆 用该算法能够对网络中的同类入侵行为进行划分,提取数 据相似度较高的对象,该算法的主要特点在于在不能提前 获知的情况下将数据进行集合归纳,在检测系统中利用聚 类算法开展数据挖掘处理工作。6结语结合目前我国安全网络体系的发展情况来看,入侵检测 系统已经成为网络体系中一个十分关键的组件,也是网络系 统运行过程中,防御信息安全的重要策略。想要在入侵检测 活动中应用数据挖掘技术,对网络中海量的信息进行筛选, 提高网络入侵检测系统的检测速度,那么就要结合网络入 侵检测工作的开展情况,利用数据挖掘技术合理设置入侵检 测系统的模型,对算法进行合理选择,以便减少系统的漏报 情况、错报情况,此外,还能够从网络海量信息中不断发现 性的规则模式,有效维护网络系统的运行安全。图1新型入侵检测模型5数据挖掘技术在网络入侵检测中的应用5.1利用数据挖掘技术创建入侵检测模型在入侵检测工作中使用数据挖掘技术后,与传统的入侵 检测模型相比来看,数据挖掘技术能够使人们在海量的数据 中涉及到人们从未涉及到的规律与知识,随后进行快速分析 的过程,最终利用数据挖掘技术创建出入侵检测模型。5. 2基于数据挖掘技术的网络入侵检测系统的模块构成【掺考文献][I] 王鲁华,杨宇波,赵阳.基于数据挖掘的网络入侵检测方法根据网络入侵检测系统的构成来看,系统模块主要包 含了三部分,分别为预检测模块、行为分析模块以及特征 提取模块。例如,在企业单位运行过程中,可以通过应用 检测系统来对企业员工的上网记录进行实时监测,控制企 业内部的上网安全,确保企业资料安全,以免出现外泄情
[J] .信息安全研究,2017, 3(9):810-816.⑵林国庆.数据挖掘算法在入侵检测系统中的应用研究[J]. 电脑知识与技术,2017, 13(8): 49-51.⑶赵婉形.入侵检测技术在网络安全中的具体运用[J].信息 与电脑(理论版),2017(4):192-193.189
因篇幅问题不能全部显示,请点此查看更多更全内容