数据挖掘技术在网络入侵检测系统中的应用
开篇:润墨网以专业的文秘视角,为您筛选了一篇数据挖掘技术在网络入侵检测系统中的应用范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:随着网络入侵检测系统的逐步扩展,其应用也逐步扩大,但从反馈的数据来看,现有的入侵检测系统一般存在着数据过载、误报、漏报和自适应差等诸多问题。本文提出一种基于数据挖掘的网络入侵检测系统模型,有效地改变了这种问题,自动化程度得到了提高,检测准备效率与自适应能力也大大地加强了。
关键词:网络入侵;检测系统;数据挖掘;运用研究
数据挖掘技术在计算机数据库领域广泛受关注和运用,使得它迅速发展起来。数据挖掘是手指从数据库中自动提取潜在的、有用的一种新技术,其主要用来寻找数据与数据之前的内在关联,从而做出合理与恰当的归纳推理,由此而做出提取数据的预测判断。
一、入侵检测模型的内涵
随着数据挖掘技术的推广、深入,这一技术也因其独特特点而运用入侵检测系统领域,形成入侵检测模型。这一理论内涵是:根据数据之间的关联而自动提取感兴趣的,隐含的、事先未知的潜在信息为我所用,而提取的信息又具有概念、规则、模式、规律等外在的形式,而通过这些已知的关联知识来检测异常入侵和已知入侵,达到审计数据的目的,它的英文名称为Wenke Lee和Salvatore J.Stolfo。与传统入侵检测系统相比,数据挖掘技术引入到检测系统后,改革了以往只靠手工编写特征库。有时,当新的入侵发生时,系统必须迅速人工来添加特征库条目来达到实现检测系统的升级,面对新的入侵,旧的入侵检测系统无能为力,只有挖掘技术才能即时解决这一难题。具体地讲,数据挖掘技术的引入解决了传统入侵检测系统的只能依赖手工编写特征库的问题而变为机器自动来检测选择修改特征库,迅速增长了,效率也提高了,能快速地发现入侵行为,而迅速地做出反馈。
二、入侵检测系统在数据挖掘中的步骤程序
关联分析方法是入侵检测数据挖掘的重点方式,它通过发现网络连接记录各属性之间存在的内在关系,从网络原始数据里有效地进行分析,分析出正常行为与非正常行为,然后在此基础上生成入侵规则。可见关联分析方法是入侵检测数据挖掘的关键所在,与之相关联的还是聚类分析数据挖掘算法,也可以分析得到正常行为与非正常行为,这样两者结合主要用于非正常的入侵检测。
具体地来分析入侵检测系统在数据挖掘中的步骤:第一步是使用关联分析方法与聚类分析数据挖掘算法,从原始网络数据里通过对数据采集预处理得到连接记录,然后收集训练数据,得到正常行为的模式,用于非正常入侵检测。第二步是再第一步里得到的正常行为模式对训练数据进行数据过滤,得到较为纯净的训练数据。第三步是再通过分类算法对训练数据进行规则挖掘,这样分析区别出正常行为与非正常行为,在此基础上生成了基于误用检测的规则,同时继续使用分析数据挖掘对入侵数据集进行挖掘,提取入侵模式,构造入侵数据特征检测模型,并不断根据新获得的数据更新这一模型,以用于误用检测。
三、入侵检测系统体系管理决策中心功能
管理决策中心功能是由四个部分构成:控制台、控制台管理、数据库管理、数据库。另外数据分析与控制单元是其辅助部分,其各部分的作用如下。
控制台:处于管理决策中心的核心部位。其主要作用是既可以接收各模块发来的信息,又可以通过控制台管理模块向其它的部分发出指令,控制台管理向他发出请求,它根据请求再向控制台管理做出响应,这是一个交互式过程。
控制台管理:这个管理决策中心的一个桥梁,它连接着控制台与其它模块,接受向控制台发来的请求信息,再传递给控制台,同时也向控制单元和下级数据库发出一样的请求指令,控制单元控制这些请求,接收从数据库管理模块传递来的数据指令,经分析处理后再传递给控制台。
数据库管理:这是控制台访问数据库的接口中心,数据库中的一切数据都是由此模块来管理控制传递完成的。它先接受其它模块中心发来的请求指令,经过中心部分的分析,解析,再生成标准的SQL语句,再此基础上再传递给数据库驱动模块,由它来完成与具体数据库平台中要做的一系列操纵功能,其驱动模块是由标准的ODBE语言构成。
数据库:这是一个存储中心,它主要存储分析来自主机各部分传递来的入侵信息指令。这此指令中有入侵警报、网络数据包、网络入侵数据等信息。数据库对这些数据进行简单的冗余处理,由此再传递给上面的数据库管理模块来存储,但对网络数据包,此模块运用统计分析与神经网络等方式来处理它,最后把处理的结果提交给控制单元来响应。
控制单元:这是管理决策中心功能的辅助部分,它主要是用来辅助管理决策中心四模块的控制与管理工作,对来自控制台管理的各种信息进行解析,然后把解析所得的数据指令再传递给其它功能模块。
把数据挖掘技术运用到入侵检测系统之中,发挥了多方面的功能,近年来,数据挖掘技术在计算机数据库领域广泛受关注和运用,使得它迅速发展起来,这方面的研究也越来越多。本文主要分析了一种数据挖掘的分布式入侵检测系统,该系统的核心内容是主机和管理决策中心。它不仅为我们提供了理论依据,为入侵检测奠定了可信赖的理论基础,而且在实际工程建设中具有广泛的应用价值和现实意义。
【参考文献】
[1]王杰,李冬梅.数据挖掘在网络入侵检测系统中的应用.微计算机信息.2006,4-3:73-75.
[2]刘涛,薛质.基于数据挖掘的大规模分布式入侵检测系统的设计.信息安全与保密.2005,(13),5:20一25.
[3]杨武,云晓春.入侵检测系统中高效模式匹配算法的研究.计算机工程.2005,(30),13:92一94.