亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于數(shù)據(jù)挖掘的混合型入侵檢測(cè)研究

        2021-08-08 08:02:12李俊濤
        廣東通信技術(shù) 2021年7期
        關(guān)鍵詞:數(shù)據(jù)挖掘規(guī)則特征

        [李俊濤]

        1 引言

        隨著互聯(lián)網(wǎng)的快速發(fā)展,人們可以利用互聯(lián)網(wǎng)獲得更多的資源,并實(shí)現(xiàn)相互之間的資源共享。為此互聯(lián)網(wǎng)中的任何終端都可能成為不法分子的攻擊對(duì)象,例如個(gè)人信息的泄露、病毒的傳播、合法信息篡改等。面對(duì)如此嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題,保護(hù)網(wǎng)絡(luò)安全以及完善網(wǎng)絡(luò)安全的防御機(jī)制刻不容緩。傳統(tǒng)的保護(hù)策略有:訪問(wèn)認(rèn)證、漏洞掃描、SSL 加密、數(shù)據(jù)驗(yàn)證等。這些都是被動(dòng)防御策略,不能主動(dòng)去發(fā)現(xiàn)入侵,對(duì)網(wǎng)絡(luò)安全的保護(hù)遠(yuǎn)遠(yuǎn)不足。而入侵檢測(cè)系統(tǒng)能夠做到主動(dòng)防御,對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行主動(dòng)檢測(cè),具備完善的安全保護(hù)策略,可以為系統(tǒng)數(shù)據(jù)提供實(shí)時(shí)有效的安全保障[1]。

        2 入侵檢測(cè)系統(tǒng)

        入侵檢測(cè)顧名思義就是對(duì)外部入侵行為的尋找與追蹤,是對(duì)計(jì)算機(jī)信息的識(shí)別與驗(yàn)證[2]。在網(wǎng)絡(luò)安全防御機(jī)制中,入侵檢測(cè)系統(tǒng)對(duì)整個(gè)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)控,為網(wǎng)絡(luò)環(huán)境提供保障。多數(shù)入侵檢測(cè)系統(tǒng)存在三方面的問(wèn)題:一是缺乏適用性,網(wǎng)絡(luò)的發(fā)展瞬息萬(wàn)變,目前現(xiàn)有檢測(cè)規(guī)則的更新速度,遠(yuǎn)遠(yuǎn)趕不上新型網(wǎng)絡(luò)攻擊出現(xiàn)的速度,因此編制完整的規(guī)則庫(kù)幾乎不可能實(shí)現(xiàn);二是缺乏時(shí)效性,目前互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)等各種網(wǎng)絡(luò)交叉運(yùn)行,網(wǎng)絡(luò)環(huán)境異常復(fù)雜,攻擊的手段和方式也不斷進(jìn)步,僅憑現(xiàn)有經(jīng)驗(yàn)編制的規(guī)則難以全面覆蓋;三是缺乏可移植性,目前大多的規(guī)則包都是在特定的網(wǎng)絡(luò)環(huán)境下編制的,改變網(wǎng)絡(luò)運(yùn)行環(huán)境后,就難免出現(xiàn)各種問(wèn)題。

        2.1 入侵檢測(cè)的分類(lèi)

        根據(jù)系統(tǒng)部署實(shí)施的方式可分為:基于主機(jī)型(HIDS)和基于網(wǎng)絡(luò)型(NIDS)[3]。

        HIDS 主要用于監(jiān)測(cè)主機(jī)的系統(tǒng)和事件,通過(guò)對(duì)主機(jī)系統(tǒng)上的審計(jì)記錄、日志文件等數(shù)據(jù)進(jìn)行查看和分析,識(shí)別入侵者的入侵行為,并啟動(dòng)相應(yīng)程序來(lái)處理入侵行為,向管理員報(bào)警。檢測(cè)系統(tǒng)的響應(yīng)速度,與定期對(duì)檢測(cè)數(shù)據(jù)進(jìn)行校驗(yàn)的頻率有直接的關(guān)系。HIDS 有以下幾方面的優(yōu)點(diǎn):一是識(shí)別攻擊行為明晰,在目標(biāo)主機(jī)遭受入侵時(shí),系統(tǒng)數(shù)據(jù)會(huì)有明顯變化,檢測(cè)系統(tǒng)可以快速明確識(shí)別攻擊行為;二是檢測(cè)范圍明確,針對(duì)主機(jī)系統(tǒng)中的數(shù)據(jù)如:系統(tǒng)日志、安全審計(jì)等文件來(lái)驗(yàn)證攻擊行為的發(fā)生;三是配置靈活,在具體的實(shí)際應(yīng)用要求下,每臺(tái)主機(jī)上的檢測(cè)系統(tǒng)都可以按照自身要求進(jìn)行配置;四是對(duì)網(wǎng)絡(luò)環(huán)境不敏感,數(shù)據(jù)的傳輸一般情況下都需要加密處理,HIDS 只對(duì)主機(jī)狀態(tài)和系統(tǒng)文件進(jìn)行檢測(cè),不受交換環(huán)境和網(wǎng)絡(luò)流量的影響。盡管HIDS 具有眾多優(yōu)點(diǎn),但也有不足之處:一方面兼容性弱,挑剔運(yùn)行環(huán)境,在很多平臺(tái)下無(wú)法正常有效運(yùn)行。另一方面占用部署主機(jī)的資源,對(duì)主機(jī)系統(tǒng)本身的性能會(huì)產(chǎn)生影響。

        NIDS 一般部署在網(wǎng)絡(luò)鏈路中的入口,實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)入侵行為的有效檢測(cè)。在混雜的網(wǎng)絡(luò)模式下,通過(guò)抓取關(guān)鍵入口的數(shù)據(jù),采集分析網(wǎng)絡(luò)中的通訊業(yè)務(wù),辨別入侵行為。相比HIDS 優(yōu)點(diǎn)如下:一是檢測(cè)速度快,NIDS 只需對(duì)流入主機(jī)的網(wǎng)絡(luò)流量數(shù)據(jù)包進(jìn)行排查,不需要排查主機(jī)的所有文件,檢測(cè)時(shí)間非常短;二是覆蓋范圍廣,一個(gè)局域網(wǎng)中只需部署一臺(tái)NIDS,就可以對(duì)多個(gè)主機(jī)起到保護(hù)作用;三是適用性強(qiáng),NIDS 是基于網(wǎng)絡(luò)的,有自己特定的硬件設(shè)備,因此不受網(wǎng)絡(luò)中其他主機(jī)操作系統(tǒng)及硬件設(shè)備的影響。相比之下NIDS 也有許多不足例如:檢測(cè)區(qū)域僅限于局域網(wǎng)、檢測(cè)結(jié)果存在較大誤差、無(wú)法定位對(duì)外來(lái)入侵行為。

        通過(guò)以上對(duì)比,我們將入侵檢測(cè)系統(tǒng)的功能歸納如下:

        (1)可以對(duì)漏洞攻擊行為和用戶(hù)非法行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)。

        (2)可以對(duì)入侵行為進(jìn)行檢測(cè)和報(bào)警,并對(duì)受保護(hù)系統(tǒng)的異常事件進(jìn)行統(tǒng)計(jì)和分析。

        (3)可以對(duì)受保護(hù)文件的完整性進(jìn)行審計(jì)和評(píng)估。

        2.2 入侵檢測(cè)的技術(shù)

        根據(jù)匹配數(shù)據(jù)規(guī)則特征庫(kù)的類(lèi)型可分為:誤用檢測(cè)和異常檢測(cè)技術(shù)[4]。

        誤用檢測(cè)技術(shù),在檢測(cè)系統(tǒng)運(yùn)行時(shí),通過(guò)已知的攻擊特征庫(kù),來(lái)和待檢行為進(jìn)行匹配,這種技術(shù)稱(chēng)作誤用檢測(cè)。檢測(cè)時(shí)先制定出非法行為的規(guī)則特征庫(kù),將采集分析好的行為數(shù)據(jù)和該庫(kù)進(jìn)行匹配,匹配則判定入侵,不匹配則判定正常。其主要的技術(shù)手段包括:表達(dá)式模式、語(yǔ)言分析和專(zhuān)家判斷等。誤用檢測(cè)技術(shù)在面對(duì)已知的入侵行為表現(xiàn)的較好,但面對(duì)未知的攻擊則表現(xiàn)出低效,易錯(cuò)。

        異常檢測(cè)技術(shù),首先檢測(cè)前制定出用戶(hù)或系統(tǒng)正常行為的規(guī)則特征庫(kù),將被檢測(cè)數(shù)據(jù)和該庫(kù)進(jìn)行比較,并設(shè)立一個(gè)合適的閾值。如果偏高,則認(rèn)定該行為偏離正常行為視為入侵。如果偏低,則認(rèn)定該行為吻合正常行為模式,視為正常。其主要的技術(shù)手段有:神經(jīng)網(wǎng)絡(luò)、規(guī)則檢測(cè)等。異常入侵檢測(cè)系統(tǒng)中如何正確建立合適的檢測(cè)規(guī)則庫(kù)是核心所在[5]。為了確保異常檢測(cè)系統(tǒng)的有效運(yùn)行,其檢測(cè)規(guī)則特征庫(kù)需要被不斷的修正和更新,判斷的閾值也需不斷的更改,只有這樣異常檢測(cè)系統(tǒng)的識(shí)別度和靈敏度才會(huì)不斷地提高。

        通過(guò)以上兩種檢測(cè)技術(shù)的分析,我們得到它們的共同點(diǎn),都需要通過(guò)已知數(shù)據(jù)類(lèi)型,來(lái)構(gòu)建檢測(cè)規(guī)則庫(kù),不同點(diǎn)在于誤用檢測(cè)技術(shù)提取攻擊數(shù)據(jù),而異常檢測(cè)技術(shù)提取正常行為數(shù)據(jù)。從效能來(lái)看,誤用檢測(cè)技術(shù)是參照已知的攻擊特征庫(kù),所以漏報(bào)率高,誤報(bào)率低。而異常檢測(cè)技術(shù)則是參照正常的行為特征庫(kù),所以漏報(bào)率和誤報(bào)率都高。

        2.3 混合型入侵檢測(cè)模型

        參考上文的介紹和分析,本文提出了一種新的混合型檢測(cè)的模型,這種模型融合了兩種技術(shù)優(yōu)點(diǎn),最大限度地發(fā)揮了各自的特長(zhǎng),模型如圖1 所示。

        圖1 混合型入侵檢測(cè)模型

        檢測(cè)流程為:首先數(shù)據(jù)獲取部分,采集并分析原始數(shù)據(jù),將數(shù)據(jù)加工和處理成能夠被混合系統(tǒng)識(shí)別的數(shù)據(jù)集。其次誤用檢測(cè)部分,根據(jù)已知的攻擊規(guī)則特征庫(kù),對(duì)數(shù)據(jù)集進(jìn)行模式匹配,如匹配則作出響應(yīng)動(dòng)作。再將剩下的和未檢出的數(shù)據(jù)集,流轉(zhuǎn)到異常檢測(cè)部分。最后由異常檢測(cè)部分,根據(jù)已知正常行為規(guī)則特征庫(kù),對(duì)流轉(zhuǎn)來(lái)的數(shù)據(jù)集進(jìn)行模式匹配,將匹配不成功的數(shù)據(jù)類(lèi)型記錄到檢測(cè)系統(tǒng)中,并進(jìn)行專(zhuān)家判斷。如果屬于攻擊數(shù)據(jù),則將該特征更新到誤用檢測(cè)規(guī)則特征庫(kù)中,如果屬于正常數(shù)據(jù),則將該特征更新到異常檢測(cè)規(guī)則特征庫(kù)中,以便下一次的檢測(cè)。

        混合型模式的優(yōu)點(diǎn)在于,可以更多地檢測(cè)出攻擊類(lèi)型,無(wú)論是已知的還為未知的,大大提高了檢測(cè)效果。在精確度方面,它比誤用檢測(cè)低,比異常檢測(cè)高。在誤報(bào)率方面,混合型檢測(cè)有效地降低了單一異常檢測(cè)的誤報(bào)率。

        3 數(shù)據(jù)挖掘

        3.1 數(shù)據(jù)挖掘技術(shù)

        數(shù)據(jù)挖掘是在大量模糊的、有噪聲的、無(wú)規(guī)則的數(shù)據(jù)中,發(fā)掘潛在的、有關(guān)聯(lián)性的模式或規(guī)則。數(shù)據(jù)挖掘的實(shí)現(xiàn)主要由3 個(gè)階段構(gòu)成:第一階段數(shù)據(jù)的籌備,包括數(shù)據(jù)目標(biāo)獲取數(shù)據(jù)對(duì)象、不同類(lèi)型數(shù)據(jù)的預(yù)處理和噪聲消除、數(shù)據(jù)的降維變換等;第二階段數(shù)據(jù)挖掘,根據(jù)不同的數(shù)據(jù)挖掘模型,確定與之匹配的挖掘算法,從大量不完整、無(wú)規(guī)則的數(shù)據(jù)中發(fā)現(xiàn)潛在有關(guān)聯(lián)性的數(shù)據(jù),以便對(duì)結(jié)果進(jìn)行預(yù)測(cè);第三階段數(shù)據(jù)的表示和評(píng)估,對(duì)數(shù)據(jù)挖掘得到的信息進(jìn)行關(guān)聯(lián)規(guī)則、分揀分類(lèi)、聚類(lèi)分析后得到挖掘數(shù)據(jù)的價(jià)值,再以明析的形式表現(xiàn)出來(lái),實(shí)現(xiàn)數(shù)據(jù)的可視化。

        3.2 基于入侵檢測(cè)的Apriori 算法

        面向入侵檢測(cè)的數(shù)據(jù)挖掘算法是入該系統(tǒng)中最重要的一環(huán),不同的數(shù)據(jù)挖掘算法針對(duì)不同的模型有不同的優(yōu)缺點(diǎn)。統(tǒng)計(jì)分析、特征分析、變化和偏差分析、聚類(lèi)是數(shù)據(jù)挖掘的經(jīng)常使用的分析方法,而關(guān)聯(lián)規(guī)則是數(shù)據(jù)挖掘算法的重點(diǎn),代表數(shù)據(jù)相互之間的關(guān)系。關(guān)聯(lián)規(guī)則的Apriori算法基本思路為:找出頻繁性滿(mǎn)足支持度閾值的所有數(shù)據(jù),并建立數(shù)據(jù)集,然后由該數(shù)據(jù)集生成支持度和置信度都不小于最少支持度和最小置信度的強(qiáng)關(guān)聯(lián)規(guī)則[6],算法過(guò)程如下:首先假設(shè)有一個(gè)由若干個(gè)不同項(xiàng)組成的頻繁項(xiàng)集的數(shù)據(jù)集K={K1,K2,…,KL},其次掃描整個(gè)數(shù)據(jù)D,獲得候選項(xiàng)集的所有1 項(xiàng)集作為算法輸入的初始值,并計(jì)算候選項(xiàng)集L-1 的支持度,忽略支持度小于最小支持度的候選項(xiàng)集,得到項(xiàng)集KL。如果得該項(xiàng)集只有一項(xiàng)或者為空,則輸出L-1 個(gè)項(xiàng)集的K={K1,K2,…,KL-1}。反之則生成候選L+1 項(xiàng)集,并重復(fù)上述過(guò)程。

        4 基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)設(shè)計(jì)

        4.1 設(shè)計(jì)思路

        本文總體設(shè)計(jì)的核心為數(shù)據(jù)挖掘之間的關(guān)聯(lián)規(guī)則,實(shí)現(xiàn)對(duì)數(shù)據(jù)及時(shí)有效地分析。以前文提出的混合型入侵檢測(cè)模型為例,將其進(jìn)行改進(jìn),改進(jìn)后的系統(tǒng)如圖2 所示。

        圖2 基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)

        總體設(shè)計(jì)思路如下:

        (1)在混合型檢測(cè)系統(tǒng)里增加合法的行為模塊,通過(guò)關(guān)聯(lián)分析和聚類(lèi)分析,將正常的網(wǎng)絡(luò)行為排除在外,得到異常數(shù)據(jù)。

        (2)增添相應(yīng)的規(guī)則匹配模塊,對(duì)異常數(shù)據(jù)進(jìn)行匹配,減少系統(tǒng)的誤報(bào)漏報(bào),提升檢測(cè)成效。

        (3)增添動(dòng)態(tài)規(guī)則生成模塊,及時(shí)有效的對(duì)現(xiàn)有規(guī)則庫(kù)進(jìn)行迭代更新,提升規(guī)則庫(kù)的完備性。

        4.2 系統(tǒng)實(shí)現(xiàn)

        為了通過(guò)對(duì)大量已知網(wǎng)絡(luò)行為數(shù)據(jù)的數(shù)據(jù)挖掘和分析,找出其攻擊特征來(lái)作為本文入侵系統(tǒng)的檢測(cè)依據(jù)。我們采用了NSL-KDD 數(shù)據(jù)集,該數(shù)據(jù)集信息充足,包含多種未經(jīng)訓(xùn)練的數(shù)據(jù)作為測(cè)試集,模擬真實(shí)的網(wǎng)絡(luò)攻擊環(huán)境[7]。為了能夠準(zhǔn)確識(shí)別出各種攻擊類(lèi)型,首先要對(duì)采集到的原始數(shù)據(jù)進(jìn)行去噪音、去沉余等處理。然后將原始數(shù)據(jù)轉(zhuǎn)換成入侵測(cè)試系統(tǒng)可識(shí)別的標(biāo)準(zhǔn)數(shù)據(jù)。最后將標(biāo)準(zhǔn)化處理后的數(shù)據(jù)采用Apriori 決策樹(shù)算法得到關(guān)聯(lián)規(guī)則,進(jìn)而實(shí)現(xiàn)數(shù)據(jù)挖掘。其算法流程為:

        (1)對(duì)采集到的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理,找尋出決策樹(shù)項(xiàng)集;

        (2)往復(fù)循環(huán)處理,歸納出訓(xùn)練集的決策樹(shù)K項(xiàng)集合;

        (3)對(duì)每個(gè)待測(cè)數(shù)據(jù)進(jìn)行遍歷,得出目標(biāo)數(shù)據(jù)的決策樹(shù)項(xiàng)支持頻度;

        (4)通過(guò)計(jì)算網(wǎng)絡(luò)數(shù)據(jù)包與決策樹(shù)正常選項(xiàng)集的支持頻度來(lái)確定是異常數(shù)據(jù)還是正常數(shù)據(jù),進(jìn)而實(shí)現(xiàn)入侵檢測(cè)。

        4.3 仿真實(shí)驗(yàn)

        本文實(shí)驗(yàn)驗(yàn)證采用軟件環(huán)境windows7 操作系統(tǒng),軟件開(kāi)發(fā)語(yǔ)言為VC++6.0,實(shí)驗(yàn)數(shù)據(jù)為NSL-KDD 數(shù)據(jù)集。通過(guò)對(duì)不同檢測(cè)方法入侵檢測(cè)系統(tǒng)的檢測(cè)率,誤報(bào)率及檢測(cè)時(shí)間進(jìn)行驗(yàn)證,來(lái)評(píng)價(jià)系統(tǒng)的有效性,實(shí)驗(yàn)數(shù)據(jù)比較見(jiàn)表1。

        表1 不同檢測(cè)方法的檢測(cè)性能比較

        由表1 可知,采用同一個(gè)測(cè)試樣本,本文設(shè)計(jì)的檢測(cè)系統(tǒng)具有較高的準(zhǔn)確率,同時(shí)誤報(bào)率、漏報(bào)率也低于其他測(cè)試系統(tǒng),具有一定的優(yōu)勢(shì)。同時(shí)為了驗(yàn)證系統(tǒng)的時(shí)效性,要對(duì)不同方法在檢測(cè)時(shí)間上進(jìn)行對(duì)比,以驗(yàn)證系統(tǒng)檢測(cè)效率,具體效果見(jiàn)表2。

        表2 相同檢測(cè)樣本的檢測(cè)性能比較

        由表2 可知,本文的檢測(cè)系統(tǒng)在保證準(zhǔn)確率的同時(shí),檢測(cè)時(shí)間也大大減少,具有一定的理論價(jià)值和應(yīng)用價(jià)值。

        5 結(jié)語(yǔ)

        本文首先介紹了入侵檢測(cè)系統(tǒng)概念,詳細(xì)對(duì)比了它的分類(lèi)和應(yīng)用技術(shù),并提出了一種新的混合檢測(cè)模型。在此基礎(chǔ)上,介紹了常用的數(shù)據(jù)挖掘算法,并將數(shù)據(jù)挖掘算法與混合檢測(cè)模型結(jié)合起來(lái),通過(guò)Apriori算法得到關(guān)聯(lián)規(guī)則,進(jìn)行數(shù)據(jù)挖掘,構(gòu)建了基于數(shù)據(jù)挖掘的混合型入侵檢測(cè)系統(tǒng)。最后為了驗(yàn)證該系統(tǒng),通過(guò)實(shí)驗(yàn)室數(shù)據(jù)對(duì)比,表明本系統(tǒng)和其他單一系統(tǒng)相比,無(wú)論是檢測(cè)效果,還是檢測(cè)時(shí)間上都有一定的優(yōu)勢(shì),對(duì)今后構(gòu)建多元化、多樣化的入侵檢測(cè)系統(tǒng)有一定的借鑒意義。

        猜你喜歡
        數(shù)據(jù)挖掘規(guī)則特征
        撐竿跳規(guī)則的制定
        數(shù)獨(dú)的規(guī)則和演變
        探討人工智能與數(shù)據(jù)挖掘發(fā)展趨勢(shì)
        如何表達(dá)“特征”
        不忠誠(chéng)的四個(gè)特征
        讓規(guī)則不規(guī)則
        Coco薇(2017年11期)2018-01-03 20:59:57
        抓住特征巧觀察
        基于并行計(jì)算的大數(shù)據(jù)挖掘在電網(wǎng)中的應(yīng)用
        電力與能源(2017年6期)2017-05-14 06:19:37
        TPP反腐敗規(guī)則對(duì)我國(guó)的啟示
        一種基于Hadoop的大數(shù)據(jù)挖掘云服務(wù)及應(yīng)用
        好日子在线观看视频大全免费动漫| 免费高清日本一区二区| 久久精品国产亚洲av四区| 国产女人精品视频国产灰线| 久久久久人妻一区精品色欧美| 国产精品深田咏美一区二区| 国产强伦姧在线观看| aa日韩免费精品视频一| 亚洲 日本 欧美 中文幕| 亚洲欧美激情在线一区| 久久精品亚洲牛牛影视| 青青草一级视频在线观看| 久久久麻豆精亚洲av麻花| 无码人妻丰满熟妇区五十路| 亚洲乱码日产精品bd在线观看 | 日本精品一区二区高清| 亚洲国产另类精品| 久久久久久中文字幕有精品| 国产精品亚洲av一区二区三区| 欧美日本精品一区二区三区| 日韩插啊免费视频在线观看| 欧美日韩国产另类在线观看| 日韩av在线手机免费观看| 成人午夜福利视频| 亚洲av无码av在线播放| 日韩丝袜人妻中文字幕| 日本一二三区在线观看视频| 又爽又黄又无遮挡网站动态图| 免费国产一级特黄aa大片在线| 成人全部免费的a毛片在线看| 日本一卡二卡3卡四卡免费观影2022| 午夜福利电影| 国产颜射视频在线播放| 日韩中文字幕在线观看一区| 国产成人aaaaa级毛片| 亚洲嫩模高清在线视频| 日本韩国亚洲三级在线| 永久黄网站免费视频性色| 纯肉无遮挡H肉动漫在线观看国产| 国产白浆一区二区三区佳柔| 亚洲性久久久影院|