公務(wù)員期刊網(wǎng) 論文中心 正文

網(wǎng)絡(luò)數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡(luò)數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。

網(wǎng)絡(luò)數(shù)據(jù)庫入侵檢測(cè)系統(tǒng)

摘要:近年來,互聯(lián)網(wǎng)的廣泛使用讓人們的工作和生活節(jié)奏和效率都有所提高,也促進(jìn)了信息的互通互動(dòng)、共享。但是大批量的計(jì)算機(jī)紛紛涌入互聯(lián)網(wǎng)中,導(dǎo)致在龐大的體系中每一臺(tái)計(jì)算機(jī)都可能被作為互聯(lián)網(wǎng)的攻擊對(duì)象。目前,互聯(lián)網(wǎng)安全正面臨嚴(yán)峻挑戰(zhàn),比如黑客侵入,病毒傳播以及網(wǎng)上信息披露等,為了能夠保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)已經(jīng)研發(fā)了多種安全技術(shù)產(chǎn)品,包括入侵檢測(cè)系統(tǒng)、防火墻、身份認(rèn)證等。除此之外,還需要對(duì)網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)監(jiān)控。該文通過數(shù)據(jù)挖掘技術(shù)在互聯(lián)網(wǎng)入侵檢測(cè)中的應(yīng)用,并提出基于混合檢測(cè)模型,能夠幫助實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)化工作。

關(guān)鍵詞:數(shù)據(jù)挖掘;網(wǎng)絡(luò);數(shù)據(jù)庫;入侵;檢測(cè);系統(tǒng)

1入侵檢測(cè)系統(tǒng)相關(guān)技術(shù)

入侵是指外界對(duì)計(jì)算機(jī),互聯(lián)網(wǎng),信息系統(tǒng)的破壞性,使其完整性,安全性受到外部活動(dòng)侵入,而如今,檢測(cè)是指特殊部門能夠利用多種方法識(shí)別不法行為,通過收集內(nèi)外部的活動(dòng)數(shù)據(jù)和識(shí)別活動(dòng)行為,來對(duì)計(jì)算機(jī)的整個(gè)活動(dòng)進(jìn)行分析,識(shí)別異常行為。入侵檢測(cè)系統(tǒng)是能夠利用數(shù)據(jù)分析識(shí)別計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)異常行為,針對(duì)所識(shí)別出來的異?;顒?dòng)數(shù)據(jù)進(jìn)行檢測(cè),包括內(nèi)外部一些用戶的行為數(shù)據(jù)解析,利用這種入侵檢測(cè)系統(tǒng)能夠?qū)崟r(shí)監(jiān)測(cè)到網(wǎng)絡(luò)運(yùn)行系統(tǒng)的用戶行為,并針對(duì)這些異常行為采取有效措施,極大程度控制異常狀況。首先,在異常檢測(cè)模式過程中需要利用基線模板技術(shù)。檢測(cè)基線樣板是對(duì)指在一定的監(jiān)控范圍內(nèi),可以自定義系統(tǒng)參數(shù),而系統(tǒng)也會(huì)根據(jù)實(shí)際流量進(jìn)行參數(shù)調(diào)整,比如警示閾值,檢測(cè)統(tǒng)計(jì)方式,檢測(cè)基線被用于測(cè)量或者評(píng)定某些特征流量是否為異常流量。數(shù)據(jù)挖掘技術(shù)是二十世紀(jì)八十年代逐步發(fā)展起來的,由于數(shù)據(jù)庫的容量逐漸增加,尤其是復(fù)制倉庫技術(shù)外表數(shù)據(jù)源的應(yīng)用如何能夠讓客戶有效??焖倮眯畔?shù)據(jù)挖掘技術(shù)應(yīng)用而生。數(shù)據(jù)挖掘是指通過在大量的數(shù)據(jù)庫信息中進(jìn)行挖掘,提取并將這些提取信息表示為模式,模型,規(guī)律,概念等,以被客戶所需。除此之外,還要Flow數(shù)據(jù)流技術(shù)。數(shù)據(jù)流是指一些指定的來源和節(jié)點(diǎn)之間能夠通過單方向流動(dòng)的,由一系列數(shù)據(jù)包所構(gòu)成的信息傳輸單位,所包含的內(nèi)容非常精確,能夠直接反映節(jié)點(diǎn)之間的信息。

2檢測(cè)系統(tǒng)的需求分析

入侵檢測(cè)系統(tǒng)的設(shè)計(jì)主要是為了能夠有效提高檢測(cè)時(shí)效性,從而能夠降低誤報(bào)率,優(yōu)化檢測(cè)模型系統(tǒng),并通過實(shí)驗(yàn)來驗(yàn)證。首先,在異常檢測(cè)方面主要面臨三個(gè)問題:誤報(bào)率高,實(shí)時(shí)性弱,檢測(cè)能力弱。為了有效改善這些問題,相關(guān)研究機(jī)構(gòu)側(cè)重于通過統(tǒng)計(jì)學(xué)的方法,專家系統(tǒng)來對(duì)一些計(jì)算機(jī)異常行為活動(dòng),構(gòu)建了入侵檢測(cè)系統(tǒng);其次,優(yōu)化入侵檢測(cè)模型。數(shù)據(jù)挖掘是基于大數(shù)據(jù)情況下而產(chǎn)生的一種應(yīng)用技術(shù),入侵檢測(cè)實(shí)質(zhì)上是對(duì)系統(tǒng)內(nèi)外部進(jìn)行識(shí)別,一旦發(fā)現(xiàn)異?;顒?dòng),將這種活動(dòng)會(huì)傳遞給檢測(cè)器,屬于數(shù)據(jù)分析的過程,因此在入侵檢測(cè)系統(tǒng)研究過程中可以充分利用數(shù)據(jù)挖掘技術(shù);最后,通過實(shí)驗(yàn)對(duì)設(shè)計(jì)原型系統(tǒng)進(jìn)行驗(yàn)證,從而減少基于數(shù)據(jù)挖掘的入侵檢測(cè)模型的誤報(bào)率,而在入侵檢測(cè)系統(tǒng)中應(yīng)用數(shù)據(jù)挖掘技術(shù)能夠?qū)崿F(xiàn)綜合檢測(cè),并通過實(shí)驗(yàn)來證明方法和假設(shè)的合理性。從入侵檢測(cè)系統(tǒng)的功能需求方面來看,入侵檢測(cè)能夠收集Ip數(shù)據(jù)流,用戶日志,包括源數(shù)據(jù)端口,目的Ip地址,源端口號(hào),字節(jié)計(jì)數(shù)等信息。在采集重要信息數(shù)據(jù)過程中利用了基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制,從而能夠?qū)崿F(xiàn)數(shù)據(jù)采集工作,并能夠提高信息采集效率,滿足網(wǎng)絡(luò)監(jiān)測(cè)的要求。其次,入侵檢測(cè)數(shù)據(jù)挖掘算法實(shí)現(xiàn)需求,一般過去的入侵檢測(cè)技術(shù)是利用了統(tǒng)計(jì)學(xué),專家系統(tǒng)等方法,出現(xiàn)不同量級(jí)的檢測(cè)產(chǎn)品,而且不同的檢測(cè)系統(tǒng)產(chǎn)品也存在較大差異,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)主要是為了掃描網(wǎng)絡(luò)數(shù)據(jù),監(jiān)視內(nèi)部網(wǎng)段,實(shí)現(xiàn)對(duì)IDs監(jiān)控的調(diào)整,便于發(fā)現(xiàn)惡意攻擊的行為,但是,傳統(tǒng)的入侵檢測(cè)系統(tǒng)需要相關(guān)人員通過經(jīng)驗(yàn)來判斷,存在一定程度的誤判情況。

3入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

進(jìn)行入侵檢測(cè)原型系統(tǒng)設(shè)計(jì)時(shí)要遵循一定的原則,系統(tǒng)的設(shè)計(jì)技術(shù)要規(guī)范,遵循標(biāo)準(zhǔn)接口規(guī)范,入侵檢測(cè)系統(tǒng)在設(shè)計(jì)過程中要遵循相關(guān)行業(yè)技術(shù)規(guī)范要求,便于系統(tǒng)采集網(wǎng)絡(luò)用戶數(shù)據(jù),入侵檢測(cè)原型系統(tǒng)能夠從一定程度來滿足拓展性和可操作性;其次,要考慮安全性問題,在設(shè)計(jì)入侵檢測(cè)系統(tǒng)中,要保證用戶數(shù)據(jù)不會(huì)被盜用,保證網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的一致性,在發(fā)生故障時(shí),可以采用故障自查和緊急報(bào)警的形式來提醒工作人員采取應(yīng)對(duì)措施,保證用戶數(shù)據(jù)不會(huì)丟失和損壞。除此之外,入侵檢測(cè)系統(tǒng)需要還具備較高的識(shí)別準(zhǔn)確性,有效減少誤報(bào)率,軟件在應(yīng)用上也需要設(shè)計(jì)靈活的結(jié)構(gòu),可以基于混合算法繼續(xù)模型設(shè)計(jì),從而提高入侵檢測(cè)的準(zhǔn)確性。在進(jìn)行入侵檢查系統(tǒng)設(shè)計(jì)過程中,首先需要預(yù)處理系統(tǒng)的日志數(shù)據(jù),比如可以通過建立決策樹模型或利用關(guān)聯(lián)規(guī)則聯(lián)合的模型基于關(guān)聯(lián)規(guī)則集合形成決策樹,通過保存好的參數(shù)檢測(cè)系統(tǒng)風(fēng)險(xiǎn)。從入侵檢測(cè)系統(tǒng)的功能模塊上來看,基于數(shù)據(jù)挖掘的系統(tǒng)需要按照不同的功能實(shí)現(xiàn)設(shè)計(jì)需求,可以劃分為四個(gè)主體功能模塊分別是:數(shù)據(jù)預(yù)處理,數(shù)據(jù)挖掘算法模型功能,檢測(cè)模塊以及基礎(chǔ)管理模塊。其中數(shù)據(jù)預(yù)處理包括兩個(gè)數(shù)據(jù)采集標(biāo)準(zhǔn)化功能,可以用于將互聯(lián)網(wǎng)日志數(shù)據(jù)的提取,并對(duì)所提取的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化轉(zhuǎn)化,能夠?yàn)橹蠼⒛P吞峁┍匾臄?shù)據(jù)格式,而數(shù)據(jù)挖掘檢測(cè)模塊是有兩種離線和在線檢測(cè)的方法,可以幫助用戶對(duì)檢測(cè)結(jié)果進(jìn)行及時(shí)處理,一旦發(fā)現(xiàn)入侵行為時(shí),系統(tǒng)會(huì)向管理員及時(shí)發(fā)出警報(bào)信息,系統(tǒng)基礎(chǔ)管理模塊主要是用于用戶的權(quán)限管理,登錄管理,數(shù)據(jù)管理等功能。從入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)上來看,可以分為三個(gè)級(jí)別用戶層,業(yè)務(wù)層和數(shù)據(jù)層,不同的功能層具有不同的功能類別。首先,用戶層主要是提供入侵檢測(cè)系統(tǒng)的界面兒業(yè)務(wù)層是該系統(tǒng)的核心,是實(shí)現(xiàn)系統(tǒng)核心業(yè)務(wù)邏輯以及實(shí)現(xiàn)入侵檢測(cè)模型算法的基本功能,數(shù)據(jù)層是對(duì)檢測(cè)到的信息進(jìn)行儲(chǔ)存,查詢,處理等。此外,基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)硬件平臺(tái)終端是基,1024M內(nèi)存,AMD64,以及500G的硬盤配置,而這種檢測(cè)系統(tǒng)目前可以對(duì)網(wǎng)絡(luò)客戶以及相關(guān)設(shè)備這兩種市場(chǎng)群體實(shí)行檢測(cè)。

4小結(jié)

本文通過深入分析入侵檢測(cè)技術(shù)數(shù)據(jù)挖掘技術(shù),同時(shí)闡述了該技術(shù)的特點(diǎn),提出基于該技術(shù)由關(guān)聯(lián)規(guī)則和決策樹實(shí)現(xiàn)基于混合模型的入侵檢測(cè)模型,并從系統(tǒng)設(shè)計(jì),功能設(shè)計(jì)實(shí)現(xiàn)方面分別闡述,有助于提高網(wǎng)絡(luò)入侵的檢測(cè)的準(zhǔn)確性,降低誤報(bào)率,為之后網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)系統(tǒng)優(yōu)化提供參考。

參考文獻(xiàn):

[1]王魯華,楊宇波,趙陽.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)方法[J].信息安全研究,2017,3(9):810-816.

[2]周立軍,張杰,呂海燕.基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究[J].現(xiàn)代電子技術(shù),2016,39(6):10-13.

[3]王倩.基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)的研究與實(shí)現(xiàn)[D].北京郵電大學(xué),2017

作者:王利 單位:私立華聯(lián)學(xué)院