宋伟奇
【摘 要】以数据挖掘的相关知识为切入点,系统地阐述数据挖掘技术在校园网入侵检测中的应用途径,旨在促进校园网互联网入侵检测技术水平的进一步提高。
【关键词】数据挖掘 校园网 入侵检测 互联网络
【中图分类号】G 【文献标识码】A
【文章编号】0450-9889(2016)03C-0184-02
随着网络技术的不断普及,学校网络安全问题也日益凸显出来,面对这种现象,我们应当采取多种手段,多管齐下,实现互联网络的有效防护。在互联网络的众多防护措施当中,入侵检测是一种动态的防护策略,一定程度上弥补了静态防护措施的不足,但是这种防护措施也有其自身的弊端。现阶段,我们已经很难从大量的信息中找寻有用的信息,为了有效解决上述问题,笔者认为可以将数据挖掘技术与入侵检测系统有机地结合起来。
所谓数据挖掘技术,是指在大量的数据量当中,寻求自己所需要的数据的过程。数据挖掘的对象非常广泛,可以是数据、文件,还可以是Web资源等,也就是说,无论什么样的数据结合,我们都可以通过数据挖掘技术进行数据搜索。除此之外,还应当着重注意的是,数据挖掘技术是一个螺旋式上升的过程,而不是一个直线型的过程。
网络规划与设计如果符合网络发展的需求,能够满足网络结构的管理要求,就能够进一步降低网络运行成本,提高网络管理员的工作效率。网络管理员在良好的网络管理系统的帮助下,能够获得一个非常清晰的网络拓扑结构,从而将网络运行过程中的状态数据逐步转化为一些非常简单的图形提示,并将网络中的问题及时反馈给相应的工作者。这种高度的协同性主要体现在以下两个方面,一是企业内部各种信息系统的相互协同;二是企业内部信息系统与外部信息系统的有效协同。对于分布式网络管理结构来说,计算机病毒、黑客、信息垃圾、存储设备故障的出现,给其合理的运行带来了安全隐患,这就需要分布式网络管理结构进一步提高自身的安全防范机制的建设,要求企业采取多种有效措施,进一步提高信息资源集成过程中信息资源的安全。
通过构造非法ARP报文,接入层的攻击主机回应来自本网段的网关ARP查询,从而导致其他接入层主机的ARP表中出现IP地址与MAC地址难以对应的问题,其他主机错误地以为攻击主机就是网关,这样,海量的数据就会直接发送给攻击主机。在这种情况下,往往会产生以下结果:一是真正的网关与攻击主机并不相同,导致大量的数据无法出网,其他主机无法正常工作。二是攻击主机可以解封其他主机发来的信息,导致信息泄漏,给计算机使用者带来损失。
一般入侵检测系统主要两类。一是入侵检测系统中的异常检测。该种检测行为是对检测与可接受行为之间存在的偏差进行检测。异常检测也存在一定的弊端,就是其检测出来的异常行为中难以涵盖所有入侵,不仅如此,入侵检测系统中所检测数来的异常行为中还包括一些非入侵的异常行为。该类模型能够有效避免漏报现象的发生,但是其经常会出现误报的现象。二是入侵检测系统中的误用检测。对已知不可接受行为之间的匹配程度进行检测是该类检测的主要目标,其能够有效地避免误报现象的发生,但是会经常发生漏报的现象。该类检测还有一个不可忽视的缺点,对于未知的攻击难以实现科学有效的检测。在具体的应用过程中,应当着重注意特征库的实时更新。
以模型匹配为手段的入侵检测技术存在的问题主要包括以下几个方面:
(一)准确性不高。以往,我们以专家知识的手工编码来逐步得到有关规则的数据库、知识库和统计方法。在这种方法的引导下,相关学者一直致力于如何解决检测手动编码规则和模式以及选择异常检测统计量等问题。现如今,在越来越复杂的网络环境下,我们以往获得的专家经验数据会经常出现不完整和不准确的问题,这就在一定程度上导致现阶段入侵检测系统准确性不高。
(二)适应能力差。专家所分析和了解的攻击大多数为已知的攻击行为和那些已经存在的系统缺陷,对于那些不能检测的未知攻击则难以实现有效的预测,主要原因在于,想要实现位置预测,就必须加大学习和研究力度,而未知的攻击行为和系统缺陷具有不确定性,这就直接造成了适应能力差的问题。
(三)可扩展性不强。由于受到来自社会环境的影响,专家规则与统计量可能难以化解攻击行为,在这种情况下,我们很难在其中添加一个新的检测模块。
除此之外,绝大多数入侵检测系统都只能处理某一种特定的审计数据源,且库文件的更新费用则较多。不仅如此,近年来计算机操作系统日益复杂,网络数据流迅速增加。攻击方式发生了翻天覆地的变化,相应的IDS还难以更新,缺乏必要的整体性,这就导致检测专家难以在编码的过程中覆盖所有的计算机攻击特征。
首先,检测存储篡改。数据库的存储篡改对于数据库中的数据来说,是一种恶意修改和降低质量的行为,存储篡改的主要目的是通过使数据库中存在的信息错误化或是降低数据库的信息,达到妨碍对手行为的目的。从本质上来说,存储篡改就是一种内部滥用行为,通过检测物这种抽象机制,我们能够对存储篡改行为进行有效的检测。如果用户发现被检测物的状态不正常,则表示检测物可能经过了存储篡改,这种方式有利于防止和检测企图绕过数据库管理系统的数据入侵行为,极大地提高了数据库的安全性。
其次,独立于应用语义对数据库事务或用户进行检测的方式在众多数据库检测场合中是难以充分识别用户的异常行为的,如果部分管理员难以在正常的情况下突然提高自己的每月工资,但是,在建立独立于应用语义上的检测方法下,就可以实现上述变更,且不会发现异常,由此可见,这种异常检测只能以数据库的应用语义为基础。
最后,数据库具有自己独特的SQL语言查询和事务处理机制,在数据库入侵检测中对用户使用SQL语句的模式进行检测是其非常重要的内容之一。指印是一种入侵检测方法,它主要以SQL语句为基础。指印还是一种从合法事务SQL语句,经过不断的推导而得出来的一种正则表达式。如果我们发现指印所代表的用户行为与指印集相矛盾的话,我们就可以得出这样的结论,即用户的事务语句可能出现异常行为。指印技术在互联网上的数据库入侵检测的应用范围非常广泛,以SQL语句注入为例,因为我们通常可以通过使用数据库来实现对数据库的查询,然而,这些应用则只能够通过固定的几种查询格式来实现,也就是说不允许用户自构查询,这就在一定程度上降低了用户的误警率。
所谓数据挖掘,就是在浩如烟海的数据量中找寻我们所需要的数据信息,并在此基础上将信息间存在的模型、规则以及它们之间存在关系充分地展现出来。通常情况下,数据挖掘任务主要分为两个方面:一是数据描述,二是数据预测。前者主要是对数据的一般特征进行描述,后者主要的作用是在一般特征描述的基础上对数据推理进行预测,也就是说,人们可以通过数据挖掘技术,更深入地了解数据信息,该技术能够将数据所潜在的使用价值呈现在人们的眼前。从本质上来说,数据挖掘技术与知识发现技术有一定的相似之处,该技术的应用目的是为了从大量的数据当中寻求对自己有用的数据,根据这些数据特征对数据的安全性特征进行客观的分析,从而达到保护互联网安全的目的。通常情况下,以数据挖掘技术为基础的入侵检测需要经过一个流程,从数据采集开始一直到数据监测结果得出。将数据挖掘技术融入入侵检测系统中,以历史数据为依据,对用户进行全面的分析,并在此基础上逐步总结出不安全数据的入侵规律,这样我们就逐步建立起了入侵检测规则库。一般我们可以将数据挖掘技术分为关联分析、序列模式分析、分类分析、聚类分析四类。将数据挖掘技术应用到入侵检测系统当中并不是突发奇想,而是在经过长时间的研究与实践的基础上逐步得出来,其实从本质上来说入侵检测系统与数据挖掘技术它们在功能上是相近的,都是为了保障网络安全,正因如此,我们在将数据挖掘技术应用到入侵检测系统的时候,应当将数据挖掘技术的四种类型有机地结合在一起,充分发挥各自的优势,实现数据挖掘技术的和谐统一。
将数据挖掘技术同入侵检测系统有机地结合在一起,能够实现入侵检测技术水平的进一步提高,有效地弥补以往入侵检测技术的缺点。具体来说,具有以下几方面的优势:
第一,数据挖掘完整地体现了数据分析的过程。通常情况下,数据挖掘技术的流程主要包括数据准备—数据预处理—模型的建立—结果处理等。该过程也不是一成不变的,它是不断变化的,也正是由于过程的变化性才能够得到一个更好的模型。
第二,数据挖掘极大地提高了工作效率,以数据挖掘技术为基础的关联规则、序列模式、分类算法应用到数据入侵检测过程中,有利于进一步提高入侵检测技术水平,提高工作效率,切实保障互联网络的安全性。
第三,数据挖掘的部分算法对于入侵检测系统来说非常重要,我们常见的算法包括决策树、关联规则等。数据挖掘技术在入侵监测系统中的应用也极大地提高了入侵监测系统处理数据的效率,避免在数据筛选过程中出现的主观忽视和隐藏信息的问题。
第四,数据挖掘技术的应用也在一定程度上拓展了数据安全防护的思路,打破了检测方法的局限性。不仅如此,将数据挖掘技术同入侵检测系统有机结合在一起,既能够拓展数据安全防护思路,还能够逐步形成关联规则或是建立一个分类模型。
在未来,数据挖掘入侵检测技术可能向分布式入侵检测技术和高级智能检测技术的方向发展。前者不仅能检测网络入侵攻击行为,还能够对分布式攻击进行检测,并及时地提取入侵攻击的区局信息。它的出现,改变和丰富了传统入侵技术。后者就是根据不同的检测机理或方式实现对计算机网络安全性的检测,该种技术是以免疫机理、数据挖掘、智能体和遗传算法等检测方法为基础逐步发展而来的。可以说,数据挖掘技术在入侵检测中的应用并不是一成不变的,它是不断发展和创新的。因此,相关研究者必须做到加大研究力度,进一步扩大数据挖掘技术在入侵检测系统中的应用。
【参考文献】
[1]李玲娟.数据挖掘技术在入侵检测系统中的应用研究[D].苏州大学,2008
[2]姜英.模糊数据挖掘技术在入侵检测系统中的应用[D].曲阜师范大学,2006
[3]郭春.基于数据挖掘的网络入侵检测关键技术研究[D].北京邮电大学,2014
(责编 卢 雯)