返回
数据挖掘技术在网络安全检测中应用价值

数据挖掘技术在网络安全检测中应用价值

ID:6089158

大小:28.00 KB

页数:6页

时间:2018-01-02

数据挖掘技术在网络安全检测中应用价值_第1页
数据挖掘技术在网络安全检测中应用价值_第2页
数据挖掘技术在网络安全检测中应用价值_第3页
数据挖掘技术在网络安全检测中应用价值_第4页
数据挖掘技术在网络安全检测中应用价值_第5页
资源描述:

《数据挖掘技术在网络安全检测中应用价值》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、数据挖掘技术在网络安全检测中应用价值  吴边(中南大学湖南长沙410012)【摘要】在网络运行中,经常出现由于恶意网络攻击行为、网络配置失误等引起的异常网络流量,这些偏离正常范围的异常流量会直接对整个网络服务质量造成影响,导致网络瘫痪,因此在网络运行时,进行安全检测并及时提供预警信息对保障网络安全正常运行十分重要。本文在介绍数据额挖掘技术的基础上,对利用挖掘领域中的隐马尔科夫模型建立基于异常检测的入侵检测系统进行了分析,并通过仿真实验验证了这一系统的可靠性,论述了数据挖掘技术在网络安全检测中的应用价值。【关键词】数据挖掘;网络安全检测;隐马尔科夫模型1引言

2、随着Internet的不断发展,网络与人们的日常生活工作关系更为密切,网络安全也成为人们越来关心的问题。而随着相关研究的不断深入,继防火墙之后的入侵检测系统成为常用的防护手段之一。入侵检测(Intrusion6Detection)是通过收集和分析网络行为、完全日志、审计数据等网络信息以及计算机系统中若干关键点的信息来检查网络或系统中是否存在不安全行为或被攻击的迹象,其安全防护得以实现的关键是从获取的信息中提取出有代表性的入侵模式,而随着操作系统的日益复杂化,网络流量的迅速增加,入侵检测的审计数据也急剧增加,面对着海量数据信息中存在的大量冗余信息,传统的数据

3、检索和统计分析的方法已经不能满足数据信息有效筛选和提取的要求。数据挖掘能够从大量的信息中提取出隐含在其中的具有潜在价值的信息和知识,应用在入侵检测中,能很好地解决这一问题。2数据挖掘技术数据挖掘(DM,DataMining),又称为数据采矿、资料探勘,它是数据库知识(KDD,KnowledgeDiscoverinDatabase)中的一个步骤,它能从数据库大量的的数据中,通过自动搜索、分析、归纳将其中隐含的、先前未知并有潜在价值的信息揭示出来,挖掘出数据中的潜在模式。数据挖掘有直接数据挖掘和间接数据挖掘两类,其主要是通过对数据的分类、估计、预测、相关性分组

4、或关联规则、聚类、描述和可视化,及复杂数据类型挖掘的方法,完成数据的挖掘。6数据挖掘在确定对象之后,通过对数据的选择、预处理和转换的准备工作,对经过转换的数据进行自动挖掘,并对结果进行评估和分析,最后将分析得到的知识同化集成到业务信息系统中。利用此技术来构建入侵检测模型,能很好地适应数据增大的趋势,提高入侵检测的精确性,同时基于机器学习的检测模型,对已知攻击模式变种或新型攻击有较好的适应性,另外,由于其存在不依赖于任何系统,同一数据挖掘工具能用于多个数据源,具有较强的可扩展性。数据挖掘是依靠数据挖掘算法创建数据挖掘模型来实现的,数据挖掘的算法多种多样,其中

5、马尔科夫模型及隐马尔科夫模型在数据挖掘领域的应用十分广泛。3数据挖掘技术在网络安全检测中的应用3.1网络异常检测目前入侵检测技术常用的有基于误用(Misused)的检测和基于异常(Anomaly)的检测两种。误用检测是建立能够描述每一种供给的特殊模式的样本,通过对样本进行训练来实现对网络安全的监测。误用检测的查准率高,能详细提供每一种攻击的类型和说明,在入侵检测系统中的应用较为广泛。但由于其需要依靠人为的预先设定报警规则才能实现检测,只能检测已知攻击,一旦攻击者改变特征模式,这种检测方法往往无法辨别出来,且要维护攻击模式库的成本较为昂贵。异常检测(Anom

6、alyDetection)是是通过建立流量的正常行为模型来判断网络是否出现异常,其基础是反常活动和计算机不正当使用之间的相关性,利用异常检测能够更好地解决误用检测中存在的问题。3.2基于隐马尔科夫的网络异常检测6隐马尔科夫模型(HMM,HiddenMarkovModel)是一种用参数表示用于描述随机过程的统计分析模型,是马尔科夫链的一种,其既具有一定状态数的隐马尔科夫链还具显示随机函数集,一个完整的HMM包含有隐含状态(N)、可观测状态(M)、初始状态概率矩阵(π)、隐含状态转移概率矩阵(A)和观测状态转移概率矩阵(B)五项元素,其能够利用收集的训练样本进

7、行自适应学习,在使用其对一个问题进行解释时,须解决评估、解码和学习三个基本问题。3.2.1入侵检测系统构建TCP(TransmissionControlProtocol,传输控制协议)数据包是网络入侵检测中使用的基本数据参数,TCP建立一个连接需要三次握手,而在描述这三次握手时,马尔科夫模型只能描述服务器(Server)与客户端(Client)的状态转移概率,而不能对其进行很好的抽象,HMM则增加了对观测值概率的描述,能更好地对TCP的执行过程进行描述,因而利用HMM以正常网络情况下TCP协议标志变化为样本参数建立的特征库体积更小,能更好地提高入侵检测系统

8、的实时性。6应用隐马尔科夫模型建立基于异常检测的入侵检测系统共包括

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。