數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用*

潘大勝

(百色學(xué)院，廣西 百色 533000)

由于要對(duì)不同用戶進(jìn)行訪問的控制，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有對(duì)權(quán)限的管理．系統(tǒng)中的權(quán)限管理包括三個(gè)子功能，即對(duì)模塊的管理，給相應(yīng)的角色進(jìn)行定義并且給該角色進(jìn)行權(quán)限的分配，除此之外，系統(tǒng)還應(yīng)該能夠?qū)ο到y(tǒng)中的用戶進(jìn)行帳號(hào)的注冊(cè)以及分配、角色以及權(quán)限的分配的功能［1］．日志記錄與存儲(chǔ)方面，用戶對(duì)攻擊目標(biāo)的操作和系統(tǒng)對(duì)攻擊目標(biāo)的隔離的記錄都通過本功能完成．這個(gè)功能在實(shí)際使用過程中，主要用于攻擊目標(biāo)的事后處理．?dāng)?shù)據(jù)存儲(chǔ)功能則是將日志分析結(jié)果數(shù)據(jù)、隔離操作記錄等數(shù)據(jù)存入數(shù)據(jù)庫，由于系統(tǒng)的數(shù)據(jù)量較大，沒有使用復(fù)雜的數(shù)據(jù)持久化組件，而是單獨(dú)實(shí)現(xiàn)數(shù)據(jù)庫連接池的功能，輕量簡(jiǎn)便［2］．

1 計(jì)算機(jī)網(wǎng)絡(luò)入侵的原理

圖1 計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)網(wǎng)圖

計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)思想，網(wǎng)絡(luò)接入解決方案應(yīng)當(dāng)是一個(gè)以IP為核心網(wǎng)絡(luò)技術(shù)的寬帶綜合接入解決方案，能夠向校園用戶提供集高速數(shù)據(jù)業(yè)務(wù)和話音業(yè)務(wù)于一體的多業(yè)務(wù)綜合接入服務(wù)，綜合接入網(wǎng)的建成能夠?yàn)閺V大師生提供形式更加豐富的遠(yuǎn)程教育、實(shí)時(shí)授課等寬帶業(yè)務(wù)．計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)需要考慮以下幾個(gè)要素．(1)整體方案具備高性價(jià)比，貼近用戶現(xiàn)有應(yīng)用．(2)網(wǎng)絡(luò)可持續(xù)運(yùn)營(yíng)，能夠方便地控制、管理和發(fā)展用戶．(3)設(shè)備可靠，性能先進(jìn)、易維護(hù)管理．(4)網(wǎng)絡(luò)安全可靠．(5)易于與計(jì)算機(jī)網(wǎng)絡(luò)中其他設(shè)備集成使用，便于資源整合，形成復(fù)用平臺(tái);具有良好的擴(kuò)充和升級(jí)能力．計(jì)算機(jī)網(wǎng)絡(luò)解決方案思路如下．(1)深入進(jìn)行需求調(diào)查．在網(wǎng)絡(luò)和更高的應(yīng)用層面貼近用戶需要，滿足用戶需求．(2)按需定制的全面解決方案．(3)具備高性價(jià)比、高度投資保護(hù)的特性，有效降低用戶的管理維護(hù)成本．典型的企業(yè)內(nèi)網(wǎng)結(jié)構(gòu)如圖1所示［3］．

接入層的攻擊主機(jī)，通過構(gòu)造非法ARP報(bào)文，對(duì)來自本網(wǎng)段的網(wǎng)關(guān)ARP查詢進(jìn)行回應(yīng)．直接導(dǎo)致其他接入層主機(jī)的ARP表中出現(xiàn)不正確的IP地址MAC地址的對(duì)應(yīng)關(guān)系．偽裝網(wǎng)關(guān)攻擊方式如圖2所示［4］．

圖2 偽裝網(wǎng)關(guān)攻擊方式

3 數(shù)據(jù)挖掘技術(shù)和方法

數(shù)據(jù)挖掘充分利用了這些學(xué)科的結(jié)果，但是研究目標(biāo)和重點(diǎn)又不同于這些單一研究領(lǐng)域．?dāng)?shù)據(jù)挖掘方法能從巨大的真實(shí)數(shù)據(jù)庫中提取感興趣的和以前不知道的知識(shí)，從而成為一個(gè)在理論和應(yīng)用中重要而實(shí)用的研究領(lǐng)域．但是，數(shù)據(jù)挖掘并不等同于任何一個(gè)上述提及的學(xué)科．例如，統(tǒng)計(jì)學(xué)在數(shù)據(jù)挖掘中應(yīng)用廣泛，但是在一些方面并不解決問題．統(tǒng)計(jì)學(xué)的方法限制在數(shù)學(xué)范圍內(nèi)，無法表示集合之間的關(guān)系，如集合的包含關(guān)系［5］．在關(guān)系數(shù)據(jù)庫中，屬性值只能使用精確數(shù)據(jù)，不能使用不確定或不精確的數(shù)據(jù)．?dāng)?shù)據(jù)庫對(duì)于數(shù)據(jù)挖掘來說，只是一個(gè)訓(xùn)練集，相對(duì)于數(shù)據(jù)庫在DBMS系統(tǒng)中的角色差多了，機(jī)器學(xué)習(xí)的算法也很多，但是要在數(shù)據(jù)挖掘中應(yīng)用，必須要解決實(shí)用性問題，即在大量的數(shù)據(jù)中進(jìn)行有效的學(xué)習(xí)．?dāng)?shù)據(jù)挖掘主要解決以下問題：(1)數(shù)據(jù)挖掘不僅要挖掘二維數(shù)據(jù)表數(shù)據(jù)，還要挖掘文本數(shù)據(jù)、多媒體數(shù)據(jù)和萬維網(wǎng)數(shù)據(jù)．(2)挖掘算法現(xiàn)在數(shù)據(jù)挖掘已經(jīng)發(fā)展了眾多的建模和學(xué)習(xí)方法，從中選擇合適的算法更多是來自經(jīng)驗(yàn)．(3)使用背景知識(shí)無疑會(huì)幫助在數(shù)據(jù)挖掘中建模的準(zhǔn)確度．(4)可視化－使用可視化的方法進(jìn)行數(shù)據(jù)挖掘非常重要和有用．?dāng)?shù)據(jù)挖掘一般被定義為“使用自動(dòng)的方法從大量數(shù)據(jù)中提取隱含的、以前未知的、隱藏的、潛在有用的知識(shí)或高層信息”．這里術(shù)語“數(shù)據(jù)”是指事實(shí)或原子信息的集合，如數(shù)據(jù)庫中的記錄．“知識(shí)”是指描述數(shù)據(jù)集合整體特性的更高層次的概念，如預(yù)測(cè)屬性值的規(guī)則、屬性之間的依賴關(guān)系等．有時(shí)“數(shù)據(jù)”“知識(shí)”“信息”并沒有嚴(yán)格加以區(qū)分．Fork結(jié)點(diǎn)的行為是創(chuàng)建子Token，并且將子Token指向從Fork出發(fā)的leavingTransition的下一個(gè)結(jié)點(diǎn)．Join結(jié)點(diǎn)的行為是判斷是否所有的兄弟Token已經(jīng)全部到達(dá)本結(jié)點(diǎn)，若已經(jīng)全部到達(dá)本結(jié)點(diǎn)，就把這些兄弟Token的父Token直接轉(zhuǎn)向Join結(jié)點(diǎn)的下一個(gè)結(jié)點(diǎn)．Decision結(jié)點(diǎn)的行為就是判斷其表達(dá)式的真假，根據(jù)表達(dá)式的計(jì)算結(jié)果，確定下一個(gè)結(jié)點(diǎn)的流向．TaskNode結(jié)點(diǎn)的行為是根據(jù)任務(wù)結(jié)點(diǎn)里關(guān)于任務(wù)分配的定義來建立任務(wù)與人員的具體分配．

4 數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用

利用JPDL定義好的流程交給JBOSS PROCESS ENGINE中的DEFINITION LOADER．其中由JPDL定義的流程就是一個(gè)XML文件，由DEFINITION LOADER將這個(gè)XML文件讀進(jìn)來，即將定義的規(guī)則讀進(jìn)來．此后，用戶就能夠利用在JBOSS PROCESS ENGINE中定義好的流程來執(zhí)行流程．此外，在jBPM流程引擎中還有諸如狀態(tài)管理、日志管理能功能，在用戶層面來看，有流程監(jiān)控功能，這些功能分別對(duì)應(yīng)STATE MANAGER、LOG MANAGER以及PROCESS MONITOR．以上就是JBOSS jBPM工作流引擎的組成．流程實(shí)例中的signal()方法相當(dāng)于一個(gè)快捷方法，在這個(gè)方法里，首先會(huì)進(jìn)行諸如流程實(shí)例狀態(tài)是否會(huì)結(jié)束這樣之類的判斷，然后會(huì)將這個(gè)調(diào)用請(qǐng)求轉(zhuǎn)交給與之相對(duì)應(yīng)的 root-Token對(duì)象，然后會(huì)調(diào)用 rootToken中的 signal()方法．很顯然的是，Token中的signal()方法是與某個(gè)結(jié)點(diǎn)相關(guān)聯(lián)的．引用的改變即引用由當(dāng)前結(jié)點(diǎn)指向下一個(gè)結(jié)點(diǎn)，在 JBOSS jBPM中，它將這一職責(zé)進(jìn)行了分離，所有的調(diào)度職責(zé)并不是在Token的內(nèi)部來完成的，會(huì)把這些工作轉(zhuǎn)交給不同的對(duì)象，jBPM將當(dāng)前結(jié)點(diǎn)稱之為from結(jié)點(diǎn)，為了完成引用的改變，當(dāng)然是要找了當(dāng)前from結(jié)點(diǎn)的下一個(gè)結(jié)點(diǎn)，jBPM不是在rootToken里面進(jìn)行查找，而是將這一職責(zé)轉(zhuǎn)交給 from結(jié)點(diǎn)，在from結(jié)點(diǎn)中來進(jìn)行查找，因?yàn)樵?from這個(gè)結(jié)點(diǎn)當(dāng)中，存在很多l(xiāng)eavingTransition這樣的線．

＇調(diào)用存儲(chǔ)過程，對(duì)所選擇的課程根據(jù)學(xué)號(hào)、教學(xué)班級(jí)碼以及操作碼進(jìn)行選課操作!

由于ARP欺騙攻擊、DHCP欺騙攻擊、廣播風(fēng)暴三種攻擊方式是接入層導(dǎo)致用戶大面積斷網(wǎng)的最主要問題，能夠?qū)@三種攻擊進(jìn)行有效防護(hù)，明顯改善用戶用網(wǎng)體驗(yàn)．本系統(tǒng)專門針對(duì)接入層三種攻擊行為提出相應(yīng)解決方案．通過與接入層網(wǎng)絡(luò)設(shè)備進(jìn)行交互，通過分析交換機(jī)運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)三種攻擊行為并進(jìn)行相應(yīng)處理．操作日志記錄進(jìn)數(shù)據(jù)庫以便進(jìn)行事后處理與操作審計(jì)．

［1］羅躍國(guó)．基于數(shù)據(jù)挖掘入侵檢測(cè)模型的設(shè)計(jì)［J］．西安文理學(xué)院學(xué)報(bào)(自然科學(xué)版)，2010，(3)：112～113．

［2］朱海霞．?dāng)?shù)據(jù)挖掘在入侵檢測(cè)中的應(yīng)用［J］．科技資訊，2009，(5)：89 ～90．

［3］李劍．入侵檢測(cè)技術(shù)［M］．北京：高等教育出版社，2008．6：132 ～135．

［4］直敏．?dāng)?shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的應(yīng)用［J］．科技資訊，2010，(10)：142 ～143．

［5］杜波，趙廣．?dāng)?shù)據(jù)挖掘在入侵檢測(cè)系統(tǒng)的應(yīng)用［J］．科技信息，2009，(12)：160 ～162．