數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用與研究

唐志

摘要：在網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的背景下，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)也相應(yīng)的在不斷的更新當(dāng)中。顯然，就當(dāng)前的形勢(shì)來(lái)看，傳統(tǒng)的入侵檢測(cè)技術(shù)已經(jīng)無(wú)法有效的檢測(cè)出新型的未知入侵行為。因此我們必須對(duì)入侵檢測(cè)技術(shù)進(jìn)行科學(xué)有效的創(chuàng)新。本文重點(diǎn)對(duì)數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)中的常用算法進(jìn)行了系統(tǒng)的分析，并提出了其應(yīng)用于其中的優(yōu)勢(shì)所在。

關(guān)鍵詞：數(shù)據(jù)挖掘;入侵檢測(cè);技術(shù)

1 數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)系統(tǒng)中應(yīng)用的優(yōu)勢(shì)

對(duì)于基于知識(shí)的傳統(tǒng)入侵檢測(cè)系統(tǒng)而言，首先必須讓安全領(lǐng)域的相關(guān)專(zhuān)家把系統(tǒng)弱電與攻擊的行為進(jìn)行分類(lèi)，然而再根據(jù)檢測(cè)的類(lèi)型進(jìn)行統(tǒng)計(jì)方法的選擇，最后再進(jìn)行人工的代碼輸入，從而建立起檢測(cè)模式與規(guī)則。但是，在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)下，隨著時(shí)間與空間的變遷，安全領(lǐng)域?qū)＜业闹R(shí)必定會(huì)逐漸的顯露出諸多不足，而這對(duì)于入侵檢測(cè)模型檢測(cè)有效性的提高顯然是不利的。而就安全領(lǐng)域?qū)＜叶裕湟话闱闆r下都是對(duì)已知的系統(tǒng)弱點(diǎn)、攻擊行為特征進(jìn)行研究與分析，這樣的模式顯然讓檢測(cè)模型不能夠及時(shí)的適應(yīng)系統(tǒng)未來(lái)將面臨的各種未知因素，同時(shí)安全系統(tǒng)的升級(jí)周期較長(zhǎng)、費(fèi)用極高。另外，安全領(lǐng)域?qū)＜业囊?guī)則以及相應(yīng)的統(tǒng)計(jì)方法都必須由硬件、軟件的平臺(tái)來(lái)進(jìn)行支撐，這極大的阻礙了新環(huán)境下對(duì)系統(tǒng)的制定與重用，同時(shí)當(dāng)我們要對(duì)新的檢測(cè)功能模塊進(jìn)行嵌入的時(shí)候，將顯得非常的困難。顯然，這不利于入侵檢測(cè)模型可擴(kuò)展性的提高。反觀數(shù)據(jù)挖掘技術(shù)，其能夠?qū)嫶蟮娜罩緦徲?jì)數(shù)據(jù)進(jìn)行良好的處理，并且在提取入侵模式的過(guò)程中更加的快速。數(shù)據(jù)挖掘技術(shù)是以數(shù)據(jù)為中心的，它將入侵檢測(cè)當(dāng)作是一個(gè)完整的數(shù)據(jù)分析過(guò)程。而將數(shù)據(jù)挖掘技術(shù)應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)的處理則是核心的技術(shù)，其能夠?qū)⒂脩舻男袨槟Ｊ椒謩e提煉成“正常情況下”、“入侵情況下”，然而再將所生成的模式庫(kù)與入侵檢測(cè)系統(tǒng)所采集的數(shù)據(jù)進(jìn)行匹配，從而從中發(fā)現(xiàn)存在于其中的網(wǎng)絡(luò)入侵行為。

2 數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)中的常用算法

2.1 關(guān)聯(lián)分析法

所謂關(guān)聯(lián)規(guī)則分析，即是利用關(guān)聯(lián)規(guī)則的方法來(lái)進(jìn)行數(shù)據(jù)的挖掘。

將隱藏在數(shù)據(jù)之間的相互關(guān)系充分的挖掘出來(lái)，是關(guān)聯(lián)分析的根本目的。其是通過(guò)量化的數(shù)字來(lái)對(duì)一個(gè)物品對(duì)另一個(gè)物品的影響程度進(jìn)行準(zhǔn)確的描述。關(guān)聯(lián)規(guī)則在應(yīng)用于入侵檢測(cè)系統(tǒng)中時(shí)，具體的過(guò)程是：首先，進(jìn)行特征的抽取以及數(shù)據(jù)的預(yù)處理，將網(wǎng)絡(luò)數(shù)據(jù)、審計(jì)數(shù)據(jù)整理到相應(yīng)數(shù)據(jù)庫(kù)的表格當(dāng)中。在這些表格中，每列都需要將系統(tǒng)的特征體現(xiàn)出來(lái)，而每一行則需要將數(shù)據(jù)的記錄體現(xiàn)出來(lái)。其次，進(jìn)行關(guān)聯(lián)規(guī)則下的挖掘分析。研究表明，在用戶的行為與程序的執(zhí)行之間存在著一種頻繁的一伏時(shí)（比如說(shuō)一些用戶的越權(quán)操作，一般都是程序?qū)μ囟夸洝⑽募拇鄹模?。再次，進(jìn)行入侵檢測(cè)。將那些最近產(chǎn)生的關(guān)聯(lián)規(guī)則添加到相應(yīng)的關(guān)聯(lián)規(guī)則庫(kù)當(dāng)中，然而，通過(guò)檢驗(yàn)用戶行為是否匹配關(guān)聯(lián)規(guī)則庫(kù)當(dāng)中的規(guī)則來(lái)正確的判斷是否存在入侵行為。就目前的情況來(lái)看，“AprioriTid”與“Apropri”算法是目前使用的關(guān)聯(lián)分析算法中最為常見(jiàn)的。

2.2 聚類(lèi)分析法

將數(shù)據(jù)的集合通過(guò)科學(xué)的手段劃分為若干個(gè)類(lèi)別，這即是聚類(lèi)的過(guò)程。通過(guò)聚類(lèi)的過(guò)程，每一個(gè)被分為同一個(gè)類(lèi)別的數(shù)據(jù)對(duì)象必須具備較高的相似度，而不同類(lèi)別的數(shù)據(jù)對(duì)象則要保持差異。最大程度的實(shí)現(xiàn)類(lèi)別中數(shù)據(jù)對(duì)象的高相似度，不同類(lèi)別數(shù)據(jù)對(duì)象的高差異化，是聚類(lèi)分析的基本指導(dǎo)思想。作為數(shù)據(jù)挖掘中的一種重要技術(shù)，聚類(lèi)分析法能夠有效的將沒(méi)有標(biāo)識(shí)的數(shù)據(jù)對(duì)象進(jìn)行自動(dòng)的劃分，從而將這些數(shù)據(jù)對(duì)象劃分為不同的類(lèi)別。這種方法顯然有助于挖掘任務(wù)的展開(kāi)（尤其是在數(shù)據(jù)信息缺少領(lǐng)域知識(shí)的情況下）。

2.3 分類(lèi)分析法

對(duì)于分類(lèi)模型的挖掘而言，分類(lèi)算法中輸入數(shù)據(jù)（訓(xùn)練數(shù)據(jù)集）

的提供是首要的前提，要集中每一條訓(xùn)練數(shù)據(jù)的記錄，并具有類(lèi)型標(biāo)識(shí)。同時(shí)，對(duì)于實(shí)際數(shù)據(jù)集中的數(shù)據(jù)記錄與要求訓(xùn)練數(shù)據(jù)集中的數(shù)據(jù)記錄而言，兩者之間始終應(yīng)該保持著相同的數(shù)據(jù)項(xiàng)。然而，以此來(lái)精確的對(duì)每一種類(lèi)型標(biāo)識(shí)進(jìn)行分類(lèi)規(guī)則描述。當(dāng)前，如決策樹(shù)模型、線性回歸模型、神經(jīng)網(wǎng)絡(luò)模型、基本規(guī)則模型等分類(lèi)分析模型已經(jīng)在社會(huì)中得到了廣泛的實(shí)際應(yīng)用。那么，數(shù)據(jù)分類(lèi)分析法主要具有兩個(gè)過(guò)程：首先是選擇出一個(gè)有效的訓(xùn)練數(shù)據(jù)集，并且我們要知道每一個(gè)訓(xùn)練樣本的類(lèi)標(biāo)號(hào)（比如在“IDS”當(dāng)中，我們可以根據(jù)黑客入侵的危害程度來(lái)賦值為如正常、強(qiáng)入侵、弱入侵、一般入侵）。其次，通過(guò)對(duì)屬性描述的訓(xùn)練數(shù)據(jù)庫(kù)訓(xùn)練樣本的分析來(lái)有效的建立起一個(gè)模型。

由于我們已經(jīng)提前的對(duì)每一個(gè)訓(xùn)練樣本的類(lèi)標(biāo)號(hào)進(jìn)行了掌握，因此這個(gè)過(guò)程是具有指導(dǎo)性的。而對(duì)于模型而言，我們能夠利用那些不明確的數(shù)據(jù)值或多種空缺的數(shù)據(jù)值，一旦我們預(yù)測(cè)的值是數(shù)值數(shù)據(jù)的時(shí)候，我們往往稱(chēng)之為“預(yù)測(cè)”。

3 結(jié)語(yǔ)

總之，數(shù)據(jù)挖掘技術(shù)的應(yīng)用，能夠有效的解決傳統(tǒng)入侵檢測(cè)系統(tǒng)中存在的諸多問(wèn)題，不但讓相應(yīng)的入侵檢測(cè)系統(tǒng)更加的高效與靈活，其擴(kuò)展性也將得到實(shí)質(zhì)性的提升。

參考文獻(xiàn)

[1]模糊數(shù)據(jù)挖掘和遺傳算法的網(wǎng)絡(luò)入侵檢測(cè)方法[J].呂峰，葉東海，楊宏，賈婧鎣.電子技術(shù)與軟件工程.2017（04）

[2]計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中的數(shù)據(jù)挖掘[J].張枝令.長(zhǎng)春工業(yè)大學(xué)學(xué)報(bào)（自然科學(xué)版）.2014（06）

[3]網(wǎng)絡(luò)入侵檢測(cè)中的數(shù)據(jù)挖掘技術(shù)探討[J].郭軍華.科技廣場(chǎng).2005（02）

[4]數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用研究[J].徐敏，蔣偉梁.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2016（06）

[5]數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J].劉健.計(jì)算機(jī)光盤(pán)軟件與應(yīng)用.2013（02）

[6]數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用探討[J].王照環(huán)，楊曉蕓，韓釧.硅谷.2010（11）.