论文部分内容阅读
【摘 要】入侵检测技术是网络信息安全中的一种主动防御技术,随着网络的日益复杂化,网络数据信息急剧膨胀,如何从大量的冗余信息中提取到具有价值的入侵模式是入侵检测的关键,而单纯的使用传统的统计方法和数据检索机制远远不能满足实际应用的需求。本文将数据挖掘技术与入侵检测技术相融合,以期提高入侵检测技术的准确性和检测效率。
【关键词】数据挖掘 入侵检测 关联规则
一、入侵检测技术概述
入侵行为是在不经授权的情况下,私自进入系统的行为,其入侵行为具有一定的目的性,用来窃取机密数据信息。入侵检测是对非法的入侵行为进行检测,若发现有入侵的行为,就对其进行收集、监视、分析、处理从而进一步形成行为模式,将收集到的数据信息与入侵模式进行对比,从而判断该行为是否属于入侵行为。入侵检测系统(IDS)就是在入侵行为进行攻击前进行检测,并在系统受到危害之前对入侵行为进行处理,从而对计算机系统进行保护。入侵检测技术主要分为异常检测和误用检测。
二、数据挖掘概述
数据挖掘是根据既定的目标,从大量的、不确定的、随机的、模糊的数据信息中,挖掘出潜在有价值的信息的过程。数据挖掘融合了统计学、人工智能、模糊识别、专家系统等多个学科的技术知识来对大规模的数据进行处理的方法和手段。利用数据挖掘技术可以发现并分析有价值的知识,并为相关的决策服务。
三、以数据挖掘为基础的入侵检测技术
根据数据挖掘技术与入侵检测技术各自的特点,将数据挖掘技术应用与入侵检测技术中,从而更快速、更准确的提取潜在有价值的信息,并对检测行为进行判断。利用数据挖掘算法获取的入侵行为模式的特点是准确性和适应性。
(一)基于关联规则的入侵检测技术
关联规则数据挖掘算法能够从大量数据信息中发现数据之间的联系(关联模式),根据数据之间的联系来对行为进行追踪判断。关联规则是以系统日志为基础进行的,经常用到的算法是Apriori算法。由于该算法中没有考虑日志的具体结构和有关入侵的知识,因此产生了大量的无效规则。为了解决该问题,提出使用主属性和参考属性进行约束的规则,而每条规则中都必须包括主属性,以便更好的降低算法的时间复杂度和空间复杂度。
基于关联规则的入侵检测技术可以将日志记录从逻辑上进行划分,将不同的IP地址对于的记录进行分配,实行并行计算,并生成频集,从而选出有效的规则集。基于关联规则的入侵检测技术能够得到误用检测数据规则库和异常检测规则库,从而对网络中的入侵活动进行检测。
(二)基于分类分析的入侵检测技术
分类分析是通过对实例数据进行分析,对数据项的特征属性进行提取,从而建立个分类函数,该函数可以将数据集中的数据进行映射,并进行分类,同时将其进行标记。为了完成基于分类的入侵检测技术,不用有一个样本数据库作为支持,在该样本数据库中,每个元素都与数据库中的元素有同样的属性集。分类分析中常用的算法是Pipper算法,通过该算法形成结构化的数据模型,对正常行为分布和异常行为分布进行区分,从而对入侵检测过程中的行为进行分类。
(三)基于聚类分析的入侵检测技术
聚类分析是将未知的模型进行分类,如果特征向量之间的距离在误差允许的范围内,则将其划分为同一类型。基于聚类分析的入侵检测技术从做出假设作为出发点,即入侵行为和正常行为中的不同之处和入侵行为的数目远远小于正常行为的数目作为条件,从而对数据集划分为正常行为和异常行为来进行入侵检测行为的区分。常见的聚类算法包括遗传聚类、模糊聚类、自组织映射神经网络聚类等。基于聚类分析的入侵检测技术是对数据实例进行转换,利用单链接的聚类方法,通过标识和分类来对入侵行为进行分析判断,该方法对未知攻击的检测有明显作用,而对拒绝服务攻击检测和恶意攻击没有作用。
(四)基于频繁序列的入侵检测技术
網络攻击与时间变量具有很大的联系,基于此原因,对序列模式进行分析是以关联规则分析为基础,以攻击行为时间作为检测的对象进行分析。频繁序列算法是从单一的事件流序列中找出相应的行为模式,这与关联规则算法有类似的地方,任何一个频繁条目集的子集也属于频繁条目集,因此首先对长度为2的频繁序列进行查找,随后的查找长度以此递增,从而找出正常事件行为和入侵行为各自的序列关系,并找出入侵行为的时间序列特点。基于频繁序列的入侵检测行为总是与其他种类的入侵检测行为一起使用,从而更好的特取出入侵检测的相关模式,为入侵检测提供技术支持。
四、结语
以数据挖掘为基础的入侵检测技术提出后得到了迅速的发展,然而对于实际使用仍然有很大的难度,目前还没有形成完整的理论体系,因此,对基于数据挖掘的入侵检测技术的研究仍然需要不断的努力,从而保证数据挖掘入侵检测的准确性、高效性和实时性,为网络的安全提供保障。
参考文献:
[1]刘小明,熊涛. 基于数据挖掘的入侵检测技术研究综述[J].现代计算机:研究与开发.2010(04):78-80.
[2]覃晓,元昌安,龙珑. 基于数据挖掘的入侵检测技术[J].计算机安全:学生 技术.2011(11):16-18.
[3]汪莉. 浅谈基于数据挖掘的入侵检测技术的研究[J].科技视界:IT论坛.2012(13):164-165.
【关键词】数据挖掘 入侵检测 关联规则
一、入侵检测技术概述
入侵行为是在不经授权的情况下,私自进入系统的行为,其入侵行为具有一定的目的性,用来窃取机密数据信息。入侵检测是对非法的入侵行为进行检测,若发现有入侵的行为,就对其进行收集、监视、分析、处理从而进一步形成行为模式,将收集到的数据信息与入侵模式进行对比,从而判断该行为是否属于入侵行为。入侵检测系统(IDS)就是在入侵行为进行攻击前进行检测,并在系统受到危害之前对入侵行为进行处理,从而对计算机系统进行保护。入侵检测技术主要分为异常检测和误用检测。
二、数据挖掘概述
数据挖掘是根据既定的目标,从大量的、不确定的、随机的、模糊的数据信息中,挖掘出潜在有价值的信息的过程。数据挖掘融合了统计学、人工智能、模糊识别、专家系统等多个学科的技术知识来对大规模的数据进行处理的方法和手段。利用数据挖掘技术可以发现并分析有价值的知识,并为相关的决策服务。
三、以数据挖掘为基础的入侵检测技术
根据数据挖掘技术与入侵检测技术各自的特点,将数据挖掘技术应用与入侵检测技术中,从而更快速、更准确的提取潜在有价值的信息,并对检测行为进行判断。利用数据挖掘算法获取的入侵行为模式的特点是准确性和适应性。
(一)基于关联规则的入侵检测技术
关联规则数据挖掘算法能够从大量数据信息中发现数据之间的联系(关联模式),根据数据之间的联系来对行为进行追踪判断。关联规则是以系统日志为基础进行的,经常用到的算法是Apriori算法。由于该算法中没有考虑日志的具体结构和有关入侵的知识,因此产生了大量的无效规则。为了解决该问题,提出使用主属性和参考属性进行约束的规则,而每条规则中都必须包括主属性,以便更好的降低算法的时间复杂度和空间复杂度。
基于关联规则的入侵检测技术可以将日志记录从逻辑上进行划分,将不同的IP地址对于的记录进行分配,实行并行计算,并生成频集,从而选出有效的规则集。基于关联规则的入侵检测技术能够得到误用检测数据规则库和异常检测规则库,从而对网络中的入侵活动进行检测。
(二)基于分类分析的入侵检测技术
分类分析是通过对实例数据进行分析,对数据项的特征属性进行提取,从而建立个分类函数,该函数可以将数据集中的数据进行映射,并进行分类,同时将其进行标记。为了完成基于分类的入侵检测技术,不用有一个样本数据库作为支持,在该样本数据库中,每个元素都与数据库中的元素有同样的属性集。分类分析中常用的算法是Pipper算法,通过该算法形成结构化的数据模型,对正常行为分布和异常行为分布进行区分,从而对入侵检测过程中的行为进行分类。
(三)基于聚类分析的入侵检测技术
聚类分析是将未知的模型进行分类,如果特征向量之间的距离在误差允许的范围内,则将其划分为同一类型。基于聚类分析的入侵检测技术从做出假设作为出发点,即入侵行为和正常行为中的不同之处和入侵行为的数目远远小于正常行为的数目作为条件,从而对数据集划分为正常行为和异常行为来进行入侵检测行为的区分。常见的聚类算法包括遗传聚类、模糊聚类、自组织映射神经网络聚类等。基于聚类分析的入侵检测技术是对数据实例进行转换,利用单链接的聚类方法,通过标识和分类来对入侵行为进行分析判断,该方法对未知攻击的检测有明显作用,而对拒绝服务攻击检测和恶意攻击没有作用。
(四)基于频繁序列的入侵检测技术
網络攻击与时间变量具有很大的联系,基于此原因,对序列模式进行分析是以关联规则分析为基础,以攻击行为时间作为检测的对象进行分析。频繁序列算法是从单一的事件流序列中找出相应的行为模式,这与关联规则算法有类似的地方,任何一个频繁条目集的子集也属于频繁条目集,因此首先对长度为2的频繁序列进行查找,随后的查找长度以此递增,从而找出正常事件行为和入侵行为各自的序列关系,并找出入侵行为的时间序列特点。基于频繁序列的入侵检测行为总是与其他种类的入侵检测行为一起使用,从而更好的特取出入侵检测的相关模式,为入侵检测提供技术支持。
四、结语
以数据挖掘为基础的入侵检测技术提出后得到了迅速的发展,然而对于实际使用仍然有很大的难度,目前还没有形成完整的理论体系,因此,对基于数据挖掘的入侵检测技术的研究仍然需要不断的努力,从而保证数据挖掘入侵检测的准确性、高效性和实时性,为网络的安全提供保障。
参考文献:
[1]刘小明,熊涛. 基于数据挖掘的入侵检测技术研究综述[J].现代计算机:研究与开发.2010(04):78-80.
[2]覃晓,元昌安,龙珑. 基于数据挖掘的入侵检测技术[J].计算机安全:学生 技术.2011(11):16-18.
[3]汪莉. 浅谈基于数据挖掘的入侵检测技术的研究[J].科技视界:IT论坛.2012(13):164-165.