基于入侵檢測的數(shù)據(jù)流挖掘和識別技術(shù)應(yīng)用

吳塍勤

摘要：隨著我國計(jì)算機(jī)技術(shù)以及信息技術(shù)的快速發(fā)展，人們在運(yùn)用網(wǎng)絡(luò)帶來的優(yōu)勢的同時，也受到信息安全問題的侵?jǐn)_。尤其是現(xiàn)在人們對于自身信息安全的關(guān)注，以及近期有關(guān)信息安全問題導(dǎo)致商業(yè)經(jīng)濟(jì)上的事故頻繁發(fā)生，信息安全變得尤為重要。

關(guān)鍵詞：計(jì)算機(jī)；入侵檢測；數(shù)據(jù)流挖掘

中圖分類號：TB

文獻(xiàn)標(biāo)識碼：A

doi：10.19311/j.cnki.1672.3198.2016.28.101

1 我國的入侵檢測系統(tǒng)面臨的挑戰(zhàn)及亟待解決的問題

近年來，我國的網(wǎng)絡(luò)安全受到各行各業(yè)人士的普遍關(guān)注。許多相關(guān)學(xué)者致力于維護(hù)網(wǎng)絡(luò)安全的研究當(dāng)中，導(dǎo)致我國網(wǎng)絡(luò)安全技術(shù)得到普遍提升。但是有關(guān)網(wǎng)絡(luò)攻擊的情況還是不斷出現(xiàn)。其中有一個很重要的原因就是，網(wǎng)絡(luò)攻擊也在以同樣的速度，甚至更快的速度向前發(fā)展。對實(shí)際情況進(jìn)行分析，主要包括以下幾個方面：攻擊攻擊向自動化的方向發(fā)展。前些年，我國出現(xiàn)的主要網(wǎng)絡(luò)攻擊都是通過手工的方式進(jìn)行的，但是通過近幾年的發(fā)展，自動化攻擊幾乎成了網(wǎng)絡(luò)攻擊的新常態(tài)。通過分析，入侵檢測技術(shù)面臨的挑戰(zhàn)主要包括以下幾個方面。

1.1 如何提升入侵檢測技術(shù)的檢測速度

在網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展和多元化變化之下，網(wǎng)絡(luò)的發(fā)展已經(jīng)漸漸超出了摩爾定律的規(guī)律。尤其是在網(wǎng)絡(luò)帶寬的快速增長條件下，入侵檢測技術(shù)的發(fā)展已經(jīng)無法滿足新時期網(wǎng)絡(luò)發(fā)展的要求。如果檢測技術(shù)漸漸跟不上網(wǎng)絡(luò)數(shù)據(jù)傳輸速度的要求，就會導(dǎo)致其中的數(shù)據(jù)包的遺漏。

1.2 如何提高入侵檢測系統(tǒng)的準(zhǔn)確性

通過對新的入侵檢測手段的運(yùn)用進(jìn)行分析發(fā)現(xiàn)，誤用檢測系統(tǒng)的特征庫不能及時得到更新是導(dǎo)致信息漏報(bào)的主要原因。在異常的檢測系統(tǒng)當(dāng)中，如何快速分辨哪些行為屬于異常的，是一個急需解決的問題。從目前的入侵檢測技術(shù)系統(tǒng)來看，很多情況下無法判斷該組可疑的數(shù)據(jù)是由于錯誤操作行為導(dǎo)致的，還是由于入侵攻擊導(dǎo)致的。

1.3 如何提升入侵檢測系統(tǒng)的安全性能

入侵檢測系統(tǒng)也是黑客常常要攻擊的對象。由于新時期，黑客技能的增長，對入侵檢測系統(tǒng)的安全性提出了新的要求。在以前，黑客想要入侵計(jì)算機(jī)網(wǎng)絡(luò)，都要講防火墻作為最主要的攻擊對象。隨著入侵檢測系統(tǒng)對計(jì)算機(jī)網(wǎng)絡(luò)信息保護(hù)機(jī)能的增強(qiáng)，其也漸漸成為黑客進(jìn)行攻擊的重要目標(biāo)。因此，對提升入侵檢測系統(tǒng)安全性能提供了較大的挑戰(zhàn)。

1.4 如何提高入侵檢測系統(tǒng)的自主學(xué)習(xí)能力

我國傳統(tǒng)的入侵檢測規(guī)則，主要依賴的是手工進(jìn)行添加。手工與自動化相比必然存在較大的劣勢，不僅更新速度較慢，實(shí)時性能也較差。往往是當(dāng)不安全狀況發(fā)生之后，才開始采取相應(yīng)的措施進(jìn)行補(bǔ)救。

2 基于數(shù)據(jù)流SFCM挖掘的入侵檢測系統(tǒng)模型

2.1 數(shù)據(jù)流采集模塊

數(shù)據(jù)采集模塊的主要任務(wù)就是無損捕獲網(wǎng)絡(luò)報(bào)文。而且，還要進(jìn)行一些較為簡單的報(bào)文檢測，對一些錯誤的報(bào)文進(jìn)行排查。在之前進(jìn)行數(shù)據(jù)采集時，其網(wǎng)絡(luò)上的數(shù)據(jù)流是網(wǎng)絡(luò)正常使用時一段時間的數(shù)據(jù)流，即使沒有受到任何的攻擊，也有可能存在一定的干擾噪聲。由于這些數(shù)據(jù)能作為訓(xùn)練數(shù)據(jù)，數(shù)據(jù)采集模塊的主要任務(wù)就是進(jìn)行網(wǎng)絡(luò)報(bào)文的無損捕獲，與此同時，還需要去完成一些簡單斷為正常模型提供就有效的數(shù)據(jù)。

2.2 數(shù)據(jù)流整理模塊

該模塊主要負(fù)責(zé)的就是訓(xùn)練數(shù)據(jù)整理、數(shù)據(jù)除去噪音等工作，數(shù)據(jù)流的整理模塊在進(jìn)行數(shù)據(jù)采集的過程中，信息在沒有入侵攻擊的信息侵入時，都是一些常用的系統(tǒng)處理操作。數(shù)據(jù)的采集主要的任務(wù)就是對報(bào)文進(jìn)行無損捕獲，對于采集到的數(shù)據(jù)能不能成為訓(xùn)練數(shù)據(jù)，那就要取決于所采集到時段的數(shù)據(jù)質(zhì)量。

2.3 SFCM算法模塊

聚類分析是當(dāng)前我國運(yùn)用的十分重要的數(shù)據(jù)挖掘技術(shù)，在實(shí)際運(yùn)用當(dāng)中發(fā)揮了十分重要的作用。聚類分析首先將數(shù)據(jù)集中的數(shù)據(jù)對象根據(jù)性質(zhì)進(jìn)行分組，這樣每個組內(nèi)部數(shù)據(jù)大致類似。但是各組之間，數(shù)據(jù)的相似性卻較低。然后運(yùn)用SFCM算法從各組中計(jì)算出與網(wǎng)絡(luò)安全相關(guān)的系統(tǒng)特征屬性。然后按照提取出的屬性，設(shè)計(jì)出導(dǎo)致出現(xiàn)安全事件的分類模型。從而大大降低了由于人為因素導(dǎo)致的在入侵模式分析時的失誤，達(dá)到對安全事件進(jìn)行識別的自動化程度。

3 結(jié)語

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，人們在享受網(wǎng)絡(luò)帶來的利益之后，更加擔(dān)心的是網(wǎng)絡(luò)使用的安全性。入侵檢測是一種具有高度積極性質(zhì)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，數(shù)據(jù)挖掘流失一種能夠有效地對高維的、動態(tài)變化的大量流式數(shù)據(jù)進(jìn)行挖掘的方法。將入侵檢測與數(shù)據(jù)挖掘與識別相結(jié)合，一定能夠?yàn)槲覈木W(wǎng)絡(luò)安全打造一個堅(jiān)固的防護(hù)網(wǎng)。

參考文獻(xiàn)

[1]毛伊敏，楊路明，陳志剛等.基于數(shù)據(jù)流挖掘技術(shù)的入侵檢測模型與算法[J].中南大學(xué)學(xué)報(bào)（自然科學(xué)版），2011，（09）.

[2]張凈，孫志揮，宋余慶等.基于信息論的高維海量數(shù)據(jù)離群點(diǎn)挖掘[J].計(jì)算機(jī)科學(xué)，2011，（07）.

[3]高崢，陳蜀宇，李國勇.混合入侵檢測系統(tǒng)的研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，（06）.