论文部分内容阅读
摘 要:在对入侵系统进行检测时候,可以先对数据进行分析和挖掘,等到了解具体情况之后,再对入侵网络设立一个原型系统。该系统结合了异常检测和误用检测,将两种方法融合成一种,并且按照流量分流网络数据,用分流过后得到的统计数据对分类器进行不同类型的建立,而且对数值进行重新定义。根据相关的试验可以得出结论,这种系统可以较好的对已知数据进行精确识别,而且还能够对未知入侵进行高效的识别。
关键词:入侵检测系统;数据挖掘;网络安全
中图分类号:TP393.08 文献标识码:A 文章编号:1006-8937(2013)14-0082-01
入侵检测这个说法是在1980年被提出来的,到如今已经有三十多年的历史了。在这种技术的发展历程之中,被各种学者融入了其他的领域,其中有一个便是数据挖掘。此技术的发展有着它独特的优势,它能够让正常数据与入侵数据被自动获取,半自动化的对入侵模式进行检测,但它也有着不足,由于该技术尚未完善,很多地方不能够被很好的控制,所以并不一定能达到理想的效果。总的来说,它大概有以下几个方面的缺点。第一,依赖数据的程度太大,又没有将自己的本身特点结合起来,所以不能对该技术进行更好的挖掘指导。第二,半自动化虽然被实现,但是方法太过单一,只能识别老旧的数据入侵模式,对新的仍无能为力,根本无法杜绝误认入侵的情况。
也正是由于这两个原因,在入侵检测中数据挖掘还不能够被很好的利用,检测率也十分的低下,根本不能满足发展的真正需求。本文就以电力信息网络为基础,对入侵检测中的数据挖掘做出简要的分析。
1 数据挖掘在电力信息网之中的应用方法
①决策规矩以及决策树。这两种方法是我们通常会用来解决实际问题的研究方法。作为分类器真正所代表的意义,函数的作用是用来区分概念或者数据的,它能够辨别出之前未曾接触过的对象,并对它做出分析。决策树上有不同的算法,某一些也被很好的应用在了实际问题上,我们应该对此进行发扬。
②聚类分析。这种方法主要是利用聚合来进行工作,它能够很多的无意义的模式加以整合使之存在一定的意义。
2 相关系统的设计
2.1 描述相关的模型系统
设计系统的目的,是为了能够在对数据进行挖掘的基础之上,得到一种检测方法。这种检测方法能够将异常行为和正常行为加以区分,从而对入侵加以有效的识别。这种系统我们最为理想的效果是能够对各种未知数据进行有效的检测。
对系统进行模型设计要基于已知的数据,要先对相关的网络进行有关的分析,并且根据一定的标准分开对IP进行群设立。这是为了能够对相关的分流数据进行有效的指导,分流之后的数据又会有新的分类方法,然后才建立符合他们本身的模式库。
建立一个相对比较完善的模型,应该将异常和正常两种检测方式加以结合。除此之外,我们还应该将异常行为和正常行为都用一定的模式区分出来,并且与检测方式相结合,对是否正常进行判断。通过相似度的比较,我们会对数据得出结论,然后我们应该将所得结果加以存档,并交给管理员,让他对信息进行判别以及贴标。等到数据再次更新之后,数据库便有了新的数据识别能力。
2.2 设计相关的模型系统
电力信息网是很多混合技术的结合,我们在对它进行系统模型的建立的时候,应该对各个方面进行注意,辅助设计最终得以完成。一个模型系统,大概会存在六个比较重要的功能板块。
①辅助决策。这个模块依赖于网络术语,要对网络系统进行一定分析,并按照相关要求对IP群进行建立,以便于更好的指导数据。
②数据采集。这个模块是用来对各种数据进行采集的,将镜像端口放在交换机之上,通过主机才完成对数据的采集,并过滤出需要的数据,收集在数据库当中。
③预处理数据。对采集到的数据,我们要进行剖析检查工作,提取对系统有帮助的信息并加以处理,在完成格式转换、信息统计之后,将其放入数据库之内,以便测试系统能够方便对其进行处理。
④生成分类器。将对系统有帮助的信息数据导入分类器之中,根据一定的计算方法对其进行计算,经过相关决策,将其放入规矩库。通常分类器的数据来源分为两个方面,一个是已经被预处理过的数据,一个是相关人员加进去的不可识别数据。
⑤检测引擎。这个版块的主要作用是用来对相关数据进行审核,如果根据系统检测方法检测出来的结果是异常,那么这就属于入侵行为,如果通过系统检测得出来的结论是正常的,那么我们可以对它不做过多理会。如果系统对数据无法识别,或者说可信度过低,那么这部分的数据应该进行二次处理。在相关人员对其进行处理之后,将其重新放进数据库中,成为新的判别资料。
⑥控制台。控制台是作为一个中间平台而存在的,它的作用是让系统和管理人员进行交互。这个模板几乎对每个部分都有接触,包括对新的数据进行引进、对检测引擎进行检测、对管理规则进行更新、对相关信息进行接收、对系统日志进行查看。
3 试验步骤以及试验结果
3.1 数据准备
这个系统主要是依赖于电力信息的环境而进行工作的。试验的数据都是来源于电力信息系统的,电力系统作为一个巨大的网络系统,拥有着巨大的数据库。在试验中我们只需要选择其中的一部分作为来源就可以测试出我们想要得到的结果。
电力信息网的数据信息来源比较稳定,能够为相关实验提供比较正常的数据资源。但在现实生活中,入侵的数据其实是非常少的,即使曾经发生过入侵,工作人员也很难判定这些数据是否会对系统产生什么威胁。
在正常情况下,我们将电力信息作为数据收集的对象,在一段时间内,对数据进行定时的采集。在对采集数据进行了分析整理之后,我们可以从里面选取一部分作为代表进行相关的试验,其中应该包括一定的正常数据和一定的入侵数据。在试验进行过后,我们假设并没有发生任何入侵行为。
3.2 测试相关的系统性能
选择一部分的数据进行分析,设立分类器,剩下的数据用来对系统进行相关测试。
①检测已经知道的入侵类型。这个实验设计出来,是为了对系统检测能力进行测验的。在检测中,我们假设某种数据都被认成另外一种数据,我们就可以得出结论,这种数据会降低系统检测的准备性,然后在对此进行深度分析。
②检测未知类型。系统的识别率,指的是它发现不确定数据的能力,并不是判定数据的能力。
③系统更新能力。这个实验的最终目的是为了检测出系统是否真的对新数据对识别能力。
4 结 语
通过这些实验,我们可以对文中所列举的方法进行论证。作为一个检测入侵的测试系统,应该具有整体性与科学性,工作人员必须要能保证其系统能够对网络进行全局把控,对任何入侵的行为都能够及时的发现,对任何一个部分都要有能掌控的能力。在目前的相关系统来说,虽然比起刚开始,各方面已经有了长足的进步,但是仍旧不可否认还存在着大量的问题,我们应该在这方面进行整体的研究,对问题的解决方案进行讨论,将检测系统做到更好。
参考文献:
[1] 刘犇,毛燕琴,沈苏彬.一种基于数据挖掘技术的入侵检测方法的设计[J].计算机技术与发展,2011,(8):241-245.
[2] 周戈,范琴.基于数据挖掘的网络入侵检测系统[J].信息与电脑(理论版),2011,(8):148-149.
[3] 章金熔,刘峰,赵志宏,等.数据挖掘方法在网络入侵检测中的应用[J].计算机工程与设计,2009,(24):5561-5566.
[4] 代治国.基于数据挖掘的网络入侵检测方法的研究[J].科技资讯,2010,(7):26.
关键词:入侵检测系统;数据挖掘;网络安全
中图分类号:TP393.08 文献标识码:A 文章编号:1006-8937(2013)14-0082-01
入侵检测这个说法是在1980年被提出来的,到如今已经有三十多年的历史了。在这种技术的发展历程之中,被各种学者融入了其他的领域,其中有一个便是数据挖掘。此技术的发展有着它独特的优势,它能够让正常数据与入侵数据被自动获取,半自动化的对入侵模式进行检测,但它也有着不足,由于该技术尚未完善,很多地方不能够被很好的控制,所以并不一定能达到理想的效果。总的来说,它大概有以下几个方面的缺点。第一,依赖数据的程度太大,又没有将自己的本身特点结合起来,所以不能对该技术进行更好的挖掘指导。第二,半自动化虽然被实现,但是方法太过单一,只能识别老旧的数据入侵模式,对新的仍无能为力,根本无法杜绝误认入侵的情况。
也正是由于这两个原因,在入侵检测中数据挖掘还不能够被很好的利用,检测率也十分的低下,根本不能满足发展的真正需求。本文就以电力信息网络为基础,对入侵检测中的数据挖掘做出简要的分析。
1 数据挖掘在电力信息网之中的应用方法
①决策规矩以及决策树。这两种方法是我们通常会用来解决实际问题的研究方法。作为分类器真正所代表的意义,函数的作用是用来区分概念或者数据的,它能够辨别出之前未曾接触过的对象,并对它做出分析。决策树上有不同的算法,某一些也被很好的应用在了实际问题上,我们应该对此进行发扬。
②聚类分析。这种方法主要是利用聚合来进行工作,它能够很多的无意义的模式加以整合使之存在一定的意义。
2 相关系统的设计
2.1 描述相关的模型系统
设计系统的目的,是为了能够在对数据进行挖掘的基础之上,得到一种检测方法。这种检测方法能够将异常行为和正常行为加以区分,从而对入侵加以有效的识别。这种系统我们最为理想的效果是能够对各种未知数据进行有效的检测。
对系统进行模型设计要基于已知的数据,要先对相关的网络进行有关的分析,并且根据一定的标准分开对IP进行群设立。这是为了能够对相关的分流数据进行有效的指导,分流之后的数据又会有新的分类方法,然后才建立符合他们本身的模式库。
建立一个相对比较完善的模型,应该将异常和正常两种检测方式加以结合。除此之外,我们还应该将异常行为和正常行为都用一定的模式区分出来,并且与检测方式相结合,对是否正常进行判断。通过相似度的比较,我们会对数据得出结论,然后我们应该将所得结果加以存档,并交给管理员,让他对信息进行判别以及贴标。等到数据再次更新之后,数据库便有了新的数据识别能力。
2.2 设计相关的模型系统
电力信息网是很多混合技术的结合,我们在对它进行系统模型的建立的时候,应该对各个方面进行注意,辅助设计最终得以完成。一个模型系统,大概会存在六个比较重要的功能板块。
①辅助决策。这个模块依赖于网络术语,要对网络系统进行一定分析,并按照相关要求对IP群进行建立,以便于更好的指导数据。
②数据采集。这个模块是用来对各种数据进行采集的,将镜像端口放在交换机之上,通过主机才完成对数据的采集,并过滤出需要的数据,收集在数据库当中。
③预处理数据。对采集到的数据,我们要进行剖析检查工作,提取对系统有帮助的信息并加以处理,在完成格式转换、信息统计之后,将其放入数据库之内,以便测试系统能够方便对其进行处理。
④生成分类器。将对系统有帮助的信息数据导入分类器之中,根据一定的计算方法对其进行计算,经过相关决策,将其放入规矩库。通常分类器的数据来源分为两个方面,一个是已经被预处理过的数据,一个是相关人员加进去的不可识别数据。
⑤检测引擎。这个版块的主要作用是用来对相关数据进行审核,如果根据系统检测方法检测出来的结果是异常,那么这就属于入侵行为,如果通过系统检测得出来的结论是正常的,那么我们可以对它不做过多理会。如果系统对数据无法识别,或者说可信度过低,那么这部分的数据应该进行二次处理。在相关人员对其进行处理之后,将其重新放进数据库中,成为新的判别资料。
⑥控制台。控制台是作为一个中间平台而存在的,它的作用是让系统和管理人员进行交互。这个模板几乎对每个部分都有接触,包括对新的数据进行引进、对检测引擎进行检测、对管理规则进行更新、对相关信息进行接收、对系统日志进行查看。
3 试验步骤以及试验结果
3.1 数据准备
这个系统主要是依赖于电力信息的环境而进行工作的。试验的数据都是来源于电力信息系统的,电力系统作为一个巨大的网络系统,拥有着巨大的数据库。在试验中我们只需要选择其中的一部分作为来源就可以测试出我们想要得到的结果。
电力信息网的数据信息来源比较稳定,能够为相关实验提供比较正常的数据资源。但在现实生活中,入侵的数据其实是非常少的,即使曾经发生过入侵,工作人员也很难判定这些数据是否会对系统产生什么威胁。
在正常情况下,我们将电力信息作为数据收集的对象,在一段时间内,对数据进行定时的采集。在对采集数据进行了分析整理之后,我们可以从里面选取一部分作为代表进行相关的试验,其中应该包括一定的正常数据和一定的入侵数据。在试验进行过后,我们假设并没有发生任何入侵行为。
3.2 测试相关的系统性能
选择一部分的数据进行分析,设立分类器,剩下的数据用来对系统进行相关测试。
①检测已经知道的入侵类型。这个实验设计出来,是为了对系统检测能力进行测验的。在检测中,我们假设某种数据都被认成另外一种数据,我们就可以得出结论,这种数据会降低系统检测的准备性,然后在对此进行深度分析。
②检测未知类型。系统的识别率,指的是它发现不确定数据的能力,并不是判定数据的能力。
③系统更新能力。这个实验的最终目的是为了检测出系统是否真的对新数据对识别能力。
4 结 语
通过这些实验,我们可以对文中所列举的方法进行论证。作为一个检测入侵的测试系统,应该具有整体性与科学性,工作人员必须要能保证其系统能够对网络进行全局把控,对任何入侵的行为都能够及时的发现,对任何一个部分都要有能掌控的能力。在目前的相关系统来说,虽然比起刚开始,各方面已经有了长足的进步,但是仍旧不可否认还存在着大量的问题,我们应该在这方面进行整体的研究,对问题的解决方案进行讨论,将检测系统做到更好。
参考文献:
[1] 刘犇,毛燕琴,沈苏彬.一种基于数据挖掘技术的入侵检测方法的设计[J].计算机技术与发展,2011,(8):241-245.
[2] 周戈,范琴.基于数据挖掘的网络入侵检测系统[J].信息与电脑(理论版),2011,(8):148-149.
[3] 章金熔,刘峰,赵志宏,等.数据挖掘方法在网络入侵检测中的应用[J].计算机工程与设计,2009,(24):5561-5566.
[4] 代治国.基于数据挖掘的网络入侵检测方法的研究[J].科技资讯,2010,(7):26.