王利
摘要:近年来,互联网的广泛使用让人们的工作和生活节奏和效率都有所提高,也促进了信息的互通互动、共享。但是大批量的计算机纷纷涌入互联网中,导致在庞大的体系中每一台计算机都可能被作为互联网的攻击对象。目前,互联网安全正面临严峻挑战,比如黑客侵入,病毒传播以及网上信息披露等,为了能够保护计算机网络系统已经研发了多种安全技术产品,包括入侵检测系统、防火墙、身份认证等。除此之外,还需要对网络安全进行实时监控。该文通过数据挖掘技术在互联网入侵检测中的应用,并提出基于混合检测模型,能够帮助实现网络入侵检测系统的优化工作。
关键词:数据挖掘;网络;数据库;入侵;检测;系统
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)36-0007-02
随着互联网的高速发展,在社会各个领域中的应用广泛,且入网人数和网络信息量也逐渐增加,大大促进了信息的流通和共享,也提高了人们的日常工作效率。然而,由于互联网络具有个性化,开放性的特点,而使得每一台计算机都有可能成为网络攻击对象。近年来,多起互联网事件频频发生,比如黑客攻击,网络诈骗等,尤其是近年来,政府越来越注重信息化的改革,在深化改革的同时也凸显了一些涉及国家安全和财产安全系列问题,能够从一定程度使社会造成不可挽回的经济损失。针对互联网所出现的安全问题,相关部门需要加大对网络信息技术产品开发以及软件应用开发,形成了一系列的互联网信息安全产品,包括入侵检测系统,防火墙系统等。目前,国内外已经开展了对互联网检测技术及系统应用方面的研究,但是如何提高入侵检测的准确性,提高漏包率是有关部门的研究目标,这对于我国开展入侵检测技术的相关研究是十分重要的。
1 入侵检测系统相关技术
入侵是指外界对计算机,互联网,信息系统的破坏性,使其完整性,安全性受到外部活动侵入,而如今,检测是指特殊部门能够利用多种方法识别不法行为,通过收集内外部的活动数据和识别活动行为,来对计算机的整个活动进行分析,识别异常行为。入侵检测系统是能够利用数据分析识别计算机网络系统异常行为,针对所识别出来的异常活动数据进行检测,包括内外部一些用户的行为数据解析,利用这种入侵检测系统能够实时监测到网络运行系统的用户行为,并针对这些异常行为采取有效措施,极大程度控制异常状况。
首先,在异常检测模式过程中需要利用基线模板技术。检测基线样板是对指在一定的监控范围内,可以自定义系统参数,而系统也会根据实际流量进行参数调整,比如警示阈值,检测统计方式,检测基线被用于测量或者评定某些特征流量是否为异常流量。数据挖掘技术是二十世纪八十年代逐步发展起来的,由于数据库的容量逐渐增加,尤其是复制仓库技术外表数据源的应用如何能够让客户有效。快速利用信息数据挖掘技术应用而生。数据挖掘是指通过在大量的数据库信息中进行挖掘,提取并将这些提取信息表示为模式,模型,规律,概念等,以被客户所需。除此之外,还要Flow数据流技术。数据流是指一些指定的来源和节点之间能够通过单方向流动的,由一系列数据包所构成的信息传输单位,所包含的内容非常精确,能够直接反映节点之间的信息。
2 检测系统的需求分析
入侵检测系统的设计主要是为了能够有效提高检测时效性,从而能够降低误报率,优化检测模型系统,并通过实验来验证。首先,在异常检测方面主要面临三个问题:误报率高,实时性弱,检测能力弱。为了有效改善这些问题,相关研究机构侧重于通过统计学的方法,专家系统来对一些计算机异常行为活动,构建了入侵检测系统;其次,优化入侵检测模型。数据挖掘是基于大数据情况下而产生的一种应用技术,入侵检测实质上是对系统内外部进行识别,一旦发现异常活动,将这种活动会传递给检测器,属于数据分析的过程,因此在入侵检测系统研究过程中可以充分利用数据挖掘技术;最后,通过实验对设计原型系统进行验证,从而减少基于数据挖掘的入侵检测模型的误报率,而在入侵检测系统中应用数据挖掘技术能够实现综合检测,并通过实验来证明方法和假设的合理性。
從入侵检测系统的功能需求方面来看,入侵检测能够收集Ip数据流,用户日志,包括源数据端口,目的Ip地址,源端口号,字节计数等信息。在采集重要信息数据过程中利用了基于网络设备提供的Netflow机制,从而能够实现数据采集工作,并能够提高信息采集效率,满足网络监测的要求。其次,入侵检测数据挖掘算法实现需求,一般过去的入侵检测技术是利用了统计学,专家系统等方法,出现不同量级的检测产品,而且不同的检测系统产品也存在较大差异,网络入侵检测系统主要是为了扫描网络数据,监视内部网段,实现对IDs监控的调整,便于发现恶意攻击的行为,但是,传统的入侵检测系统需要相关人员通过经验来判断,存在一定程度的误判情况。
3 入侵检测系统的设计与实现
进行入侵检测原型系统设计时要遵循一定的原则,系统的设计技术要规范,遵循标准接口规范,入侵检测系统在设计过程中要遵循相关行业技术规范要求,便于系统采集网络用户数据,入侵检测原型系统能够从一定程度来满足拓展性和可操作性;其次,要考虑安全性问题,在设计入侵检测系统中,要保证用户数据不会被盗用,保证网络系统数据的一致性,在发生故障时,可以采用故障自查和紧急报警的形式来提醒工作人员采取应对措施,保证用户数据不会丢失和损坏。除此之外,入侵检测系统需要还具备较高的识别准确性,有效减少误报率,软件在应用上也需要设计灵活的结构,可以基于混合算法继续模型设计,从而提高入侵检测的准确性。
在进行入侵检查系统设计过程中,首先需要预处理系统的日志数据,比如可以通过建立决策树模型或利用关联规则联合的模型基于关联规则集合形成决策树,通过保存好的参数检测系统风险。从入侵检测系统的功能模块上来看,基于数据挖掘的系统需要按照不同的功能实现设计需求,可以划分为四个主体功能模块分别是:数据预处理,数据挖掘算法模型功能,检测模块以及基础管理模块。其中数据预处理包括两个数据采集标准化功能,可以用于将互联网日志数据的提取,并对所提取的数据进行标准化转化,能够为之后建立模型提供必要的数据格式,而数据挖掘检测模块是有两种离线和在线检测的方法,可以帮助用户对检测结果进行及时处理,一旦发现入侵行为时,系统会向管理员及时发出警报信息,系统基础管理模块主要是用于用户的权限管理,登录管理,数据管理等功能。从入侵检测系统的体系结构上来看,可以分为三个级别用户层,业务层和数据层,不同的功能层具有不同的功能类别。首先,用户层主要是提供入侵检测系统的界面儿业务层是该系统的核心,是实现系统核心业务逻辑以及实现入侵检测模型算法的基本功能,数据层是对检测到的信息进行储存,查询,处理等。此外,基于数据挖掘的入侵检测系统硬件平台终端是基,1024M内存,AMD64,以及500G的硬盘配置,而这种检测系统目前可以对网络客户以及相关设备这两种市场群体实行检测。
4 小结
本文通过深入分析入侵检测技术数据挖掘技术,同时阐述了该技术的特点,提出基于该技术由关联规则和决策树实现基于混合模型的入侵检测模型,并从系统设计,功能设计实现方面分别阐述,有助于提高网络入侵的检测的准确性,降低误报率,为之后网络进行入侵检测系统优化提供参考。
参考文献:
[1] 王鲁华, 杨宇波, 赵阳. 基于数据挖掘的网络入侵检测方法[J]. 信息安全研究, 2017,3(9):810-816.
[2] 周立军, 张杰, 吕海燕. 基于数据挖掘技术的网络入侵检测技术研究[J]. 现代电子技术, 2016,39(6):10-13.
[3] 王倩. 基于数据挖掘的入侵检测技术的研究与实现[D]. 北京邮电大学, 2017.
[通联编辑:代影]