吉林省白城供电公司 吉林省白城市 137000
摘要:随着计算机技术的飞速发展,网络的资源共享程度进一步加强,在资源共享的过程中,网络安全问题备受重视,传统的入侵检测系统面对海量的信息数据,不能及时有效的分析处理这些数据,而数据挖掘技术的运用正好能够满足入侵检测系统的要求,合理的分析数据,有效处理数据。
关键词:数据挖掘;入侵检测系统;应用;研究
引言:网络技术的发展对于人们的生产生活影响意义重大,数据挖掘技术则是其中较为关键的技术之一。随着网络技术的发展,各类的病毒入侵也引起了人们的注意。其中有硬件问题引起的入侵现象,也有软件问题引起的入侵现象。数据挖掘技术的诞生对于计算机入侵现象的改善,有着重要的意义。
一、数据挖掘技术与入侵检测分析
数据挖掘是从大量的、不完全的、有噪声的、模糊的、随机的数据集中识别有效的、新颖的、潜在有用的,以及最终可理解的模式的过程。它是一门涉及面很广的交叉学科,包括机器学习、数理统计、神经网络、数据库、模式识别、粗糙集、模糊数学等相关技术。由于它是一门受到来自各种不同领域的研究者关注的交叉性学科,因此导致了很多不同的术语名称。其中,最常用的术语是“知识发现”和“数据挖掘”。相对来讲,数据挖掘主要流行于统计界、数据分析、数据库和管理信息系统界;而知识发现则主要流行于人工智能和机器学习界。
入侵检测是一种试图通过观察行为、安全日志或审计资料来检测发现针对计算机或网络入侵的技术,这种检测通过手工或专家系统软件对日志或其他网络信息进行分析来完成。而更广义的说法是:识别企图侵入系统非法获得访问权限行为的过程,它通过对计算机系统或计算机网络中的若干关键点收集信息并对其进行分析,从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象。作为一种积极主动地安全防护技术,入侵检测提供了对内部攻击、外部攻击和误操作的实时防护,在网络系统受到危害之前拦截和对入侵做出响应。强大的入侵检测软件的出现极大的方便了网络的管理,其实时报警为网络安全增加了又一道保障。
计算机网络中每天都会产生海量的网络数据,主机也会产生大量的系统数据和日志信息。能否从如此丰富的历史数据中找到我们所感兴趣的信息,这是最为关键的一点,也是最为困难的一点。数据挖掘正是一种可以从包含大量冗余信息的数据里快速提取出尽可能多的有用信息的数据分析工具。因此研究者从数据的角度找到了数据挖掘和入侵检测的交汇点,将二者结合起来,并在实践中证明了将数据挖掘应用于入侵检测的可行性。目前,将数据挖掘应用于入侵检测已经成为一个研究热点。在这个研究领域,影响比较大的主要是Columbia University的WenkeLee研究组和Portnoy,后继的研究者大多沿袭了WenkeLee和Portnoy的研究路线,并在此基础上作了相应改进或者采用数据挖掘与其他智能技术相结合的方法。
二、数据挖掘在入侵检测中运用的可行性
数据挖掘通常应用于市场行销、金融投资、生产制造等领域,但在入侵检测设计领域中运用数据挖掘技术对网络业务进行分析也具有明显优势。
其可行性主要表现在以下几个方面:首先,网络中检测的数据种类繁多,监测到的数据量量非常大,具有稳定的数据来源,非常适合进行数据挖掘。其次,网络中侦听到的数据按其所具有的不同属性是可以进行分类的,同时,不同的数据之间的确存有某种相关性,如一个连接往往伴随另一个连接发生。因此,运用数据挖掘技术对审计数据进行挖掘能够得到有价值的信息。再次,从各种渠道所获得的审计数据经过加工处理之后适合运用数据挖掘中的联系分析方法。现在国内外己有一些研究机构利用数据挖掘和神经网络技术进行入侵检测,针对一些入侵行为获得了较为理想的结果。美国哥伦比亚大学的WenkyLcc在他的论文中详细论述了将一种数据挖掘框架用于构建入侵检测规则和模型的方案,得到了一些实验数据和仿真结果,进而在理论上和实验上证明了将数据挖掘技术应用于入侵检测的可行性。无论是异常检测还是滥用检测,都可利用数据挖掘技术提高检测的精度。
三、数据挖掘技术在计算机入侵检测中的应用手段
数据挖掘技术在计算机入侵检测中的应用较多,通常情况下杀毒软件的核心技术即为此类技术。一般情况下数据挖掘技术在计算机入侵检测中的应用手段分类三类,一类为关联性检测,另一类为触发性检测,最后一类为异常行为检测。针对此类应用技术,笔者进行简要的分析。
1.关联性检测。计算机在发生异常现象时,计算机系统根据其入侵原理和入侵数据,其所表现出来的异常情况也有所差异。一般情况下,数据挖掘技术在进行计算机入侵检测时其会根据数据库,逐次逐层进行入侵检测。数据库中囊括了大多数已解决的入侵数据信息,并针对相关的数据变异具有一定的拓展性。数据挖掘技术在运行之后会对整体计算机系统进行扫描,在扫描的过程中对比数据库信息,并对异常关联性数据进行标注和提示,最后根据用户选择数据挖掘技术进行异常数据的变换和处理。
2.触发性检测。数据挖掘技术中的触发性检测手段,属于二级程序或次级手段。一般入侵程度较浅的入侵现象,经过关联性检测即可发现问题。一旦关联性检测未检测出结果,数据挖掘技术中的触发性检测技术开始运行。在运行的过程中,触发性检测手段对计算机缓存设备以及系统存储的新文件,进行触发性的操作。在此过程中触发入侵数据,并针对其数据进行标注和隔离。
3.异常行为检测。计算机整体是一个大型复杂的操作管理系统,系统管理针对计算机发生的每一字节操作都会进行记录。并针对数据操作的时间、容量、位置进行准确的标注。数据挖掘技术在计算机入侵现象的检测中,可以看作是对整体计算机操作的监控和检测。数据挖掘技术通过对计算机的操作记录检测,发现其中的异常点。并针对异常数据进行数据变换,完成对计算机入侵检测的整个过程,并恢复整体计算机系统的正常操作。
结束语:随着互联网技术的快速发展,网络中所蕴含的数据量也急剧地增加。数据的丰富对于网络技术的发展,起到了推进性的作用。人们在日常生活中关于网络数据的应用,也大幅度地提高。计算机作为网络数据处理的载体,其安全性也引起了人们的关注。
参考文献
[1]王红霞基于数据挖掘技术的入侵检测系统研究[J].河南财政税务高等专科学校学报,2013,27,(3),93-96。
[2]张枝令计算机网络入侵检测中的数据挖掘[J].长春工业大学学报(自然科学版),2014,(6),683-687。