《数据挖掘技术在入侵检测中的实际应用》由会员分享,可在线阅读,更多相关《数据挖掘技术在入侵检测中的实际应用(9页珍藏版)》请在金锄头文库上搜索。
1、中国人民公安大学学 生: 吴长有学 号:专 业:网络安全与执法导 师:中国人民公安大学网络安全保卫学院二0三年四月论文声明本人郑重声明:1、此毕业论文是本人在指导教师指导下独立进行研究取得的成果。除了特 别加以标注和致谢的地方外,本文不包含其他人或其它机构已经发表或撰写过的 研究成果。对本文研究做出重要贡献的个人与集体均已在文中作了明确标明。本 人完全意识到本声明的法律结果由本人承担。矚慫润厲钐瘗睞枥庑赖。2、本人完全了解学校、学院有关保留、使用学位论文的规定,同意学校与 学院保留并向国家有关部门或机构送交此论文的复印件和电子版,允许此文被查 阅和借阅。本人授权中国人民公安大学网络安全保卫学院
2、可以将此文的全部或部 分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和 汇编本文。聞創沟燴鐺險爱氇谴净。3、若中国人民公安大学网络安全保卫学院发现本文有抄袭,一切后果均由 本人承担,与指导老师无关。作者签名:吴长有日期:二0三年四月摘要随着互联网的蓬勃发展,越来越多的人使用网络,计算机网络在 为人们提供便利、带来效益的同时,也使人类面临着信息安全的巨大 挑战。在现代信息化发展的形式下,要求一个安全的网络系统不仅要 有防御手段,而是既要有防火墙等防御的手段,还要有能对网络的安 全进行实时监控,攻击与反攻击的网络入侵检测系统。当今网络安全 现状是各种黑客事件、网络犯罪、病毒一
3、直处于不断升级的阶段,大 型门户网站、政府网站、企业网站,还有个体网民都成了这些违法犯 罪份子入侵的对象,入侵种类之繁多、手段之丰富简直令人防不胜防, 网络安全保卫刻不容缓。于是入侵检测系统应运而生。随着网络入侵 检测技术的发展,使人们已着眼于将数据挖掘技术应用于入侵检测技 术的发中,如果能够完善的将数据挖掘技术应用到网络入侵检测中, 根据入侵检测系统的具体特点,应用数据挖掘的基本原理,将它们优 化的结合起来,这样将会大提高入侵检测系统的性能。本文将对把数 据挖掘技术运用到网络入侵检测技术中的现状和未来发展趋势进行 论述。残骛楼諍锩瀨濟溆塹籟。关键字:信息安全 网络防火墙 数据挖掘 入侵检测
4、现状 发展趋势1, 数据挖掘概况随着信息技术的迅速发展,数据库的规模不断扩大,从而产生了大量的数据。 为了给决策者提供一个统一的全局视角,人们在许多领域建立了大量数据仓库, 然而这些大量的数据往往使人们无法辨别隐藏在其中的能对决策提供支持的信 息,而传统的查询、报表工具无法满足挖掘这些信息的需求。因此,需要一种新 的数据分析技术处理大量数据,并从中抽取有价值的潜在知识,数据挖掘(DataMining)技术由此应运而生,数据挖掘技术也正是伴随着数据仓库技术的发展 而逐步发展完善起来的。酽锕极額閉镇桧猪訣锥。数据挖掘是一个以数据库、人工智能、数理统计、可视化四大支柱技术为基 础的网络信息技术。我们
5、知道,描述或说明一个算法设计分为三个部分:输入、 输出和处理过程。数据挖掘算法的输入是数据库,算法的输出是要发现的知识或 模式,算法的处理过程则为设计具体的搜索方法。从算法的输入、输出和处理过 程三个方面看,可以确定数据挖掘主要涉及三个方面:挖掘对象、挖掘任务、挖 掘方法。挖掘对象包括若干种数据库或数据源,例如关系数据库、文本数据库、 面向对象数据库、历史数据库、多媒体数据库、空间数据库、时态数据库、以及 万维网(WEB)等。挖掘方法可以粗分为:机器学习方法、统计方法、神经网络 方法和数据库方法。机器学习可细分为:遗传算法、集成学习、纠错输出编码、 聚类分析等。统计方法可细分为:回归分析、判别
6、分析等。神经网络方法可细分 为:前向神经网络、自组织神经网络等。彈贸摄尔霁毙攬砖卤庑。数据挖掘是指从大量数据集合中自动抽取隐藏在数据中的那些有用信息的 非平凡过程,这些信息的表现形式为:规则、概念、规律及模式等。它可以帮助 决策者分析历史数据及当前数据,并从中发现隐藏的关系和模式,进而预测事物 未来可能发生的动向。数据挖掘的过程也叫知识发现的过程,它是一门涉及面很 广的交叉性新兴学科。数据挖掘是一种新的信息处理技术,其主要特点是对数据 库中的大量数据进行抽取、转换、分析和其他模型化处理,并从中提取辅助决策 的关键性数据。数据挖掘是知识发现(KDD)过程中的一个特定步骤,它用专门 算法从数据中抽
7、取模式(patterns),它并不是用规范的数据库查询语言(如SQL) 进行查询,而是对查询的内容进行模式的总结和内在规律的搜索。我们都知道传 统的查询和报表处理只是得到事件发生的结果,并没有深入研究发生的原因和事 物发展的规律,而数据挖掘则主要了解发生的原因并总结出规律,并且以一定的 置信度对未来进行预测,用来为决策者行为决策提供有利的支持。 謀荞抟箧飆鐸怼类数据挖掘的方法有很多,应用到入侵检测领域主要有关联分析,序列模式分 析,分类分析和聚类分析四种。关联分析即用关联规则进行数据挖掘,以关联规 则是发现交易数据库中不同项之间的联系,这些规则找出行为模式,并进行分类。 在网络安全系统中,可以
8、用关联分析来找出入侵者的各种入侵行为之间的相关 性。序列模式分析也是为了挖掘数据之间的联系,但序列模式分析的侧重点在于 分析数据间的前后序列关系。分类分析是指对数据库数据进行分类,分成不同类 型的数据,然后为每个类别做出准确的描述或建立分析模型或挖掘出分类规则, 然后用这个分类规则对其它数据库中的记录进行分类处理。聚类分析与分类分 析,不是把数据库数据分类成若干类,而是不知道数据要分为多少类,把数据分 成几个类别的集合。厦礴恳蹒骈時盡继價骚。2,我国网络信息安全现状随着网络的快速发展,我国网民数量激增。在 1998年之前我国互联网络上 网用户尚不足 55万,如今中国早已经超越美国,成为全球上网
9、人口最多的国家, 根据中国互联网络信息中心(CNNIC)于2013年1月所发布的数据显示,2012年 中国网络普及率达到42.1%,所有的网络人口数来到5.64亿,整年度新增了5090 万人。网络已经成为人们生活离不开的重要工具,经济、文化和社会活动都强烈 地依赖于网络,网络已成为社会重要的基础设施。然而,当前网络与信息安全的 现状却不容乐观。 茕桢广鳓鯡选块网羈泪。2009年3月25日,中国互联网络信息中心(CNNIC)发布了2008年中国 网民信息网络安全状况研究报告。据调查显示,截至2 0 0 8年底,我国互联网普 及率为22.6%,超过21.9%的全球平均水平。网民人数近3亿,总带宽6
10、25G,IP 地址1.8亿个,手机上网用户1.17亿。不可避免的,网络安全问题也就更加迅 猛。这几年随着信息化基础建设的推进,网络安全管理已经成为关系社会稳定的 重要因素,特别是随着 3G 时代的到来,网络安全管理的重要性将更加突出。报 告显示,超过七成的网民愿意使用免费的网络安全软件,而近八成的网民对于在 网上提供个人信息安全有着不同程度的担忧,网络信息安全已经成为影响网民上 网行为的重要因素。同时,调查显示,96.1%的网民个人计算机中装有信息安全 软件,其中 70.5%的网民选择使用单一品牌的安全套装软件产品,即至少包含杀 毒、防火墙两项功能的安全软件产品。28%的网民使用过在线查毒服务
11、,其中近 1/3的用户还使用了在线杀毒服务。上述数据充分说明了我国网民对网络信息安 全的高度重视。值得注意的是,按照2008年底国内现有网民数量统计,目前尚 未安装安全软件的网民数量超过1000万,这一数据反映出大量上网人群的信息 安全存在隐患。调研结果表明,74%的网民表示愿意使用免费杀毒软件,这说明 免费杀毒软件对于绝大多数网民具有较大的吸引力。报告数据显示,当前国内有 近一亿网民使用过网上银行专业版,占我国网民总数的33.4%。随着我国互联网 的发展,网民对互联网的使用已经从单纯的娱乐转向购物、求职、商业等多个方 面,对网络信息安全的需求也就日益提高。鹅娅尽損鹌惨歷茏鴛賴。3,入侵检测技
12、术入侵是指任何试图危害资源的完整性、保密性、可靠性的活动集合。对这些 入侵行为的甄别就是入侵检测,入侵检测系统就是用于完成上述入侵检测任务的 计算机软件和硬件系统。入侵检测系统中的用户行为主要表现为数据形式,入侵 检测是检测和识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的 非法黑客攻击,或者违反安全策略事件的过程。它从计算机系统或者网络环境中 采集数据、分析数据,发现可疑攻击行为或者异常行为事件,并采取一定的响应 措施拦截或攻击行为,降低可能的损失。在入侵检测系统中,系统将用户的当前 操作所产生的数据同用户的历史操作数据根据一定的算法进行检测,从而判断用 户的当前操作是否属于入侵行
13、为,系统根据检测结果采取相应的措施。 籟丛妈羥为入侵检测按照入侵数据来源可分为电脑主机入侵检测和网络入侵检测。基于 主机的入侵检测通常从主机的审计记录和日志文件中检测以获得所需的主要数 据源,并辅以主机上的其他信息(如文件系统属性、进程状态等)。在此基础上 完成检测黑客攻击行为的任务,可以非常准确地检测出发生在主机高层的复杂攻 击行为。基于网络的入侵检测是通过监听网络中的数据包来获取必要的数据来 源,并通过协议分析、特征匹配、统计分析等手段发现当前发生的黑客攻击行为, 能够实时监控网络的数据流量,发现潜在的攻击行为,迅速作出响应。混合分布 式入侵检测系统能够同时分析来自主机系统审记日志和网络数
14、据流的入侵检测 系统。預頌圣鉉儐歲龈讶骅籴。一种基于数据挖掘的入侵检测自适应系统模型基于数据挖掘的入侵检测系统的系统结构系统的目的就是为了实现一个部署和操作简单,并且具有数据挖掘功能的自适应IDS .这个系统主要由控制台、数据挖掘引擎、入侵检测代理(IDSagent)和规则转换4部分组成,如下图数据挖掘 引擎自适应系统模型此系统工作原理和流程首先控制台向入侵检测代理发送控制信息,代理则对控制信息进行响应,并 向控制台返回相应信息,同时代理也会把检测结果(如报警信息,异常信息等) 反馈给控制台,控制台则会发收到的反馈信息存入数据库中。同时控制台也对数 据挖掘引擎进行控制,它可以随时启动和终止数据挖掘引擎,一旦数据挖掘引擎 被启动,它就会对控制台端数据库中存放的网络数据包进行挖掘并发现数据的相 应规则,然后再由转换器通过规则转换程序把算法规则转化为入侵检测规则,最 后再通过中心控制台把最后产生的数据规则分发到各个入侵检测检测代理。入侵 检测代理利用数据挖掘服务器提供的算法和特征检测引擎串行检测异常攻击,把 异常数据被存入数据库。坛摶乡囂忏蒌鍥铃氈淚。
