论文部分内容阅读
摘要:当前我国网络技术高度发展,但随之而来的网络安全问题也是屡见不鲜。近年来针对网络安全问题比较常用的技術主要有:身份验证、防火墙技术、入侵检测技术等。其中入侵检测技术主要是对将要入侵、正在入侵、已经入侵的恶性程序识别的过程。入侵检测技术有效的强化了网络防御的能力,其能够协助系统应对网络恶意攻击,从而确保网络环境更加的安全。
关键词:数据挖掘技术;网络安全;入侵检测技术
1.基于数据挖掘的网络入侵检测解析
(1)基本思路
数据挖掘主要是从数据集中提取出较为隐蔽的,且对相关决策有利的数据过程。将数据挖掘技术应用于NIDS中,能够自行从庞大的网络数据中挖掘有效的新模式,从而节省了人工操作的时间和工作量。聚类分析算法在网络数据包中构建网络正常行为模型方面起到了关键作用;而关联分析算法可进行挖掘描述入侵行为模式的关联规则,并基于规则实施入侵检测。
(2)系统模型
按照以上的思路制定了基于数据挖掘的网络入侵检测系统模型。其中Snort主要构成有:数据包嗅探器、解码器、预处理器、滥用检测引擎、报警模块、规则库等模块,所以只要在此基础上增设异常检测引擎、聚类分析模块、关联分析器、异常日志即可成型。
2.网络入侵检测系统的实现和测试
(1)聚类分析
聚类分析主要是将数据集合中的对象进行类别的划分过程,促使归为同类的对象具备极高的相似度,而不在同一类别的对象之间有着很低的相似度,换而言之处于不同类的对象间存在较大的差别。在聚类分析模块中,主要应用K-Means算法对网络正常行为模型进行构建。其主要应用原理是:随机选取k个对象,每个对象初始化地呈现出一个类的平均值。针对每个对象,观察其与各个类中心的相似度,并将其纳入最接近的类别中,然后对每个类的平均值进行重新的计算。
(2)异常检测
对于异常检测引擎的检测流程主要有以下几个步骤:①首先对网络数据包实施合理的规范。②对网络数据包与主类链表中聚类的相似程度进行计算;③如果计算得出的相似度结果低于聚类半径R,就表示其为正常的网络数据包,而将其丢掉;如果得到的相似度结果高于聚类半径R,就表示其为异常的网络数据包,可将其发送给滥用检测引擎实施深入的检测。
3.网络入侵检测技术的测试过程
本次实验操作主要将Snort作为技术支持,基于数据挖掘技术对网络入侵检测系统进行设计。为了确保系统评估的有效性,开始进行以下模拟测试。
(1)测试环境
①硬件环境:CPU为AMD Ryzen7 1800X,内存为16GB。②软件环境:操作系统:Windows7,数据库系统:MySQL 4.1.16,Snort版本:基于2.4.3版本之上增设异常检测引擎与聚类分析模块,模拟网络攻击软件:BLADE IDS Infor-mer 1.0.467。其中BLADE IDS Informer主要由英国Bladetec公司研发的模拟攻击软件,其能够产生600种以上的攻击数据,主要用来对IDS进行检测的工具。
(2)测试方法
①首先在网络上随机收集23.8MB的数据包作为研究样本,通过计算获得各连续型属性值的平均值、平均绝对误差作为标准参数。②利用Snort对60分钟内上传的数据包进行记录,并将其储存在test.10g文件中。在此过程中可进行网页浏览、文件下载等应用操作。test.log文件记录的数据包主要进行网络正常行为模型的构建。③通过IDS Informer向系统主机传输七种攻击类型数据包,并将其储存在attack.log文件中。attack.log文件记录的攻击数据包将对系统构建的模型进行评估。最后通过对异常检测引擎的误检率进行计算,从而对模型建立的有效性进行评估。误检率通过以下计算得出:误检率=丢失的攻击数据包数目/攻击数据包总数。
4.网络入侵检测技术实验结果分析
(1)模型评估
本系统基于test.log之上构建的模型,其对attack.log实施检测时,误检率随聚类半径R的增大而升高,而随阈值θ的增大而变小。因聚类半径R升高会促使攻击数包与正常数包被纳入到同一聚类中,所以入侵检测的误检率会因此而不断地升高。此外,若出现一类新型的攻击数据包的数目超过阈值θ时,系统就会将其推断为正常类,可见阈值越小误检率就越高。
(2)检测速度
通过系统对test.log检测时,检测时间随阈值、聚类半径的变化进行分析。通过以上研究可知,网络入侵检测的时间会随着聚类半径R的增大而减小;随着阈值的升高而变多。由于聚类半径R变大后会降低聚类的数量,促使运算量大大下降,所以入侵检测的速度就会加快。另外当阈值升高后,系统还需要构建网络正常行为模型,因此还需要消耗大量的时间,导致网络入侵检测的速度降低。
规则挖掘
通过以上研究利用关联分析器对异常日志展开挖掘,其获得的支持度为80%,置信度为100%,最终生成了六条新的入侵检测规则。将这些规则集中到规则库后,然后再通过Snort对attack.log文件实施检测,最后在报警文件中寻找入侵的提示信息。通过对异常日志实施关联检测,系统便会自动形成新的入侵检测规则,将其纳入到规则库后便可检测到新的入侵行为。
结束语:
当前入侵检测技术在网络安全领域得到了广泛的应用,并在其中发挥了不可或缺的重要作用。而在数据挖掘技术基础上的入侵检测系统,能够在庞大得网络数据中挖掘出新的模式,极大的提升了检测的效率。本次研究的实验结果显示,系统可快速、有效的构建网络正常行为模型,促使入侵检测的速度得到了极大的改善。同时其关联分析器可针对异常日志检测出性的入侵模式,并自动生成入侵检测程序,为系统的防御能力奠定坚实的基础。
关键词:数据挖掘技术;网络安全;入侵检测技术
1.基于数据挖掘的网络入侵检测解析
(1)基本思路
数据挖掘主要是从数据集中提取出较为隐蔽的,且对相关决策有利的数据过程。将数据挖掘技术应用于NIDS中,能够自行从庞大的网络数据中挖掘有效的新模式,从而节省了人工操作的时间和工作量。聚类分析算法在网络数据包中构建网络正常行为模型方面起到了关键作用;而关联分析算法可进行挖掘描述入侵行为模式的关联规则,并基于规则实施入侵检测。
(2)系统模型
按照以上的思路制定了基于数据挖掘的网络入侵检测系统模型。其中Snort主要构成有:数据包嗅探器、解码器、预处理器、滥用检测引擎、报警模块、规则库等模块,所以只要在此基础上增设异常检测引擎、聚类分析模块、关联分析器、异常日志即可成型。
2.网络入侵检测系统的实现和测试
(1)聚类分析
聚类分析主要是将数据集合中的对象进行类别的划分过程,促使归为同类的对象具备极高的相似度,而不在同一类别的对象之间有着很低的相似度,换而言之处于不同类的对象间存在较大的差别。在聚类分析模块中,主要应用K-Means算法对网络正常行为模型进行构建。其主要应用原理是:随机选取k个对象,每个对象初始化地呈现出一个类的平均值。针对每个对象,观察其与各个类中心的相似度,并将其纳入最接近的类别中,然后对每个类的平均值进行重新的计算。
(2)异常检测
对于异常检测引擎的检测流程主要有以下几个步骤:①首先对网络数据包实施合理的规范。②对网络数据包与主类链表中聚类的相似程度进行计算;③如果计算得出的相似度结果低于聚类半径R,就表示其为正常的网络数据包,而将其丢掉;如果得到的相似度结果高于聚类半径R,就表示其为异常的网络数据包,可将其发送给滥用检测引擎实施深入的检测。
3.网络入侵检测技术的测试过程
本次实验操作主要将Snort作为技术支持,基于数据挖掘技术对网络入侵检测系统进行设计。为了确保系统评估的有效性,开始进行以下模拟测试。
(1)测试环境
①硬件环境:CPU为AMD Ryzen7 1800X,内存为16GB。②软件环境:操作系统:Windows7,数据库系统:MySQL 4.1.16,Snort版本:基于2.4.3版本之上增设异常检测引擎与聚类分析模块,模拟网络攻击软件:BLADE IDS Infor-mer 1.0.467。其中BLADE IDS Informer主要由英国Bladetec公司研发的模拟攻击软件,其能够产生600种以上的攻击数据,主要用来对IDS进行检测的工具。
(2)测试方法
①首先在网络上随机收集23.8MB的数据包作为研究样本,通过计算获得各连续型属性值的平均值、平均绝对误差作为标准参数。②利用Snort对60分钟内上传的数据包进行记录,并将其储存在test.10g文件中。在此过程中可进行网页浏览、文件下载等应用操作。test.log文件记录的数据包主要进行网络正常行为模型的构建。③通过IDS Informer向系统主机传输七种攻击类型数据包,并将其储存在attack.log文件中。attack.log文件记录的攻击数据包将对系统构建的模型进行评估。最后通过对异常检测引擎的误检率进行计算,从而对模型建立的有效性进行评估。误检率通过以下计算得出:误检率=丢失的攻击数据包数目/攻击数据包总数。
4.网络入侵检测技术实验结果分析
(1)模型评估
本系统基于test.log之上构建的模型,其对attack.log实施检测时,误检率随聚类半径R的增大而升高,而随阈值θ的增大而变小。因聚类半径R升高会促使攻击数包与正常数包被纳入到同一聚类中,所以入侵检测的误检率会因此而不断地升高。此外,若出现一类新型的攻击数据包的数目超过阈值θ时,系统就会将其推断为正常类,可见阈值越小误检率就越高。
(2)检测速度
通过系统对test.log检测时,检测时间随阈值、聚类半径的变化进行分析。通过以上研究可知,网络入侵检测的时间会随着聚类半径R的增大而减小;随着阈值的升高而变多。由于聚类半径R变大后会降低聚类的数量,促使运算量大大下降,所以入侵检测的速度就会加快。另外当阈值升高后,系统还需要构建网络正常行为模型,因此还需要消耗大量的时间,导致网络入侵检测的速度降低。
规则挖掘
通过以上研究利用关联分析器对异常日志展开挖掘,其获得的支持度为80%,置信度为100%,最终生成了六条新的入侵检测规则。将这些规则集中到规则库后,然后再通过Snort对attack.log文件实施检测,最后在报警文件中寻找入侵的提示信息。通过对异常日志实施关联检测,系统便会自动形成新的入侵检测规则,将其纳入到规则库后便可检测到新的入侵行为。
结束语:
当前入侵检测技术在网络安全领域得到了广泛的应用,并在其中发挥了不可或缺的重要作用。而在数据挖掘技术基础上的入侵检测系统,能够在庞大得网络数据中挖掘出新的模式,极大的提升了检测的效率。本次研究的实验结果显示,系统可快速、有效的构建网络正常行为模型,促使入侵检测的速度得到了极大的改善。同时其关联分析器可针对异常日志检测出性的入侵模式,并自动生成入侵检测程序,为系统的防御能力奠定坚实的基础。