網(wǎng)絡(luò)數(shù)據(jù)庫入侵檢測系統(tǒng)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡(luò)數(shù)據(jù)庫入侵檢測系統(tǒng)范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：近年來，互聯(lián)網(wǎng)的廣泛使用讓人們的工作和生活節(jié)奏和效率都有所提高，也促進(jìn)了信息的互通互動(dòng)、共享。但是大批量的計(jì)算機(jī)紛紛涌入互聯(lián)網(wǎng)中，導(dǎo)致在龐大的體系中每一臺(tái)計(jì)算機(jī)都可能被作為互聯(lián)網(wǎng)的攻擊對象。目前，互聯(lián)網(wǎng)安全正面臨嚴(yán)峻挑戰(zhàn)，比如黑客侵入，病毒傳播以及網(wǎng)上信息披露等，為了能夠保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)已經(jīng)研發(fā)了多種安全技術(shù)產(chǎn)品，包括入侵檢測系統(tǒng)、防火墻、身份認(rèn)證等。除此之外，還需要對網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)監(jiān)控。該文通過數(shù)據(jù)挖掘技術(shù)在互聯(lián)網(wǎng)入侵檢測中的應(yīng)用，并提出基于混合檢測模型，能夠幫助實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)化工作。

關(guān)鍵詞：數(shù)據(jù)挖掘；網(wǎng)絡(luò)；數(shù)據(jù)庫；入侵；檢測；系統(tǒng)

1入侵檢測系統(tǒng)相關(guān)技術(shù)

入侵是指外界對計(jì)算機(jī)，互聯(lián)網(wǎng)，信息系統(tǒng)的破壞性，使其完整性，安全性受到外部活動(dòng)侵入，而如今，檢測是指特殊部門能夠利用多種方法識(shí)別不法行為，通過收集內(nèi)外部的活動(dòng)數(shù)據(jù)和識(shí)別活動(dòng)行為，來對計(jì)算機(jī)的整個(gè)活動(dòng)進(jìn)行分析，識(shí)別異常行為。入侵檢測系統(tǒng)是能夠利用數(shù)據(jù)分析識(shí)別計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)異常行為，針對所識(shí)別出來的異?；顒?dòng)數(shù)據(jù)進(jìn)行檢測，包括內(nèi)外部一些用戶的行為數(shù)據(jù)解析，利用這種入侵檢測系統(tǒng)能夠?qū)崟r(shí)監(jiān)測到網(wǎng)絡(luò)運(yùn)行系統(tǒng)的用戶行為，并針對這些異常行為采取有效措施，極大程度控制異常狀況。首先，在異常檢測模式過程中需要利用基線模板技術(shù)。檢測基線樣板是對指在一定的監(jiān)控范圍內(nèi)，可以自定義系統(tǒng)參數(shù)，而系統(tǒng)也會(huì)根據(jù)實(shí)際流量進(jìn)行參數(shù)調(diào)整，比如警示閾值，檢測統(tǒng)計(jì)方式，檢測基線被用于測量或者評定某些特征流量是否為異常流量。數(shù)據(jù)挖掘技術(shù)是二十世紀(jì)八十年代逐步發(fā)展起來的，由于數(shù)據(jù)庫的容量逐漸增加，尤其是復(fù)制倉庫技術(shù)外表數(shù)據(jù)源的應(yīng)用如何能夠讓客戶有效。快速利用信息數(shù)據(jù)挖掘技術(shù)應(yīng)用而生。數(shù)據(jù)挖掘是指通過在大量的數(shù)據(jù)庫信息中進(jìn)行挖掘，提取并將這些提取信息表示為模式，模型，規(guī)律，概念等，以被客戶所需。除此之外，還要Flow數(shù)據(jù)流技術(shù)。數(shù)據(jù)流是指一些指定的來源和節(jié)點(diǎn)之間能夠通過單方向流動(dòng)的，由一系列數(shù)據(jù)包所構(gòu)成的信息傳輸單位，所包含的內(nèi)容非常精確，能夠直接反映節(jié)點(diǎn)之間的信息。

2檢測系統(tǒng)的需求分析

入侵檢測系統(tǒng)的設(shè)計(jì)主要是為了能夠有效提高檢測時(shí)效性，從而能夠降低誤報(bào)率，優(yōu)化檢測模型系統(tǒng)，并通過實(shí)驗(yàn)來驗(yàn)證。首先，在異常檢測方面主要面臨三個(gè)問題：誤報(bào)率高，實(shí)時(shí)性弱，檢測能力弱。為了有效改善這些問題，相關(guān)研究機(jī)構(gòu)側(cè)重于通過統(tǒng)計(jì)學(xué)的方法，專家系統(tǒng)來對一些計(jì)算機(jī)異常行為活動(dòng)，構(gòu)建了入侵檢測系統(tǒng)；其次，優(yōu)化入侵檢測模型。數(shù)據(jù)挖掘是基于大數(shù)據(jù)情況下而產(chǎn)生的一種應(yīng)用技術(shù)，入侵檢測實(shí)質(zhì)上是對系統(tǒng)內(nèi)外部進(jìn)行識(shí)別，一旦發(fā)現(xiàn)異?；顒?dòng)，將這種活動(dòng)會(huì)傳遞給檢測器，屬于數(shù)據(jù)分析的過程，因此在入侵檢測系統(tǒng)研究過程中可以充分利用數(shù)據(jù)挖掘技術(shù)；最后，通過實(shí)驗(yàn)對設(shè)計(jì)原型系統(tǒng)進(jìn)行驗(yàn)證，從而減少基于數(shù)據(jù)挖掘的入侵檢測模型的誤報(bào)率，而在入侵檢測系統(tǒng)中應(yīng)用數(shù)據(jù)挖掘技術(shù)能夠?qū)崿F(xiàn)綜合檢測，并通過實(shí)驗(yàn)來證明方法和假設(shè)的合理性。從入侵檢測系統(tǒng)的功能需求方面來看，入侵檢測能夠收集Ip數(shù)據(jù)流，用戶日志，包括源數(shù)據(jù)端口，目的Ip地址，源端口號，字節(jié)計(jì)數(shù)等信息。在采集重要信息數(shù)據(jù)過程中利用了基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制，從而能夠?qū)崿F(xiàn)數(shù)據(jù)采集工作，并能夠提高信息采集效率，滿足網(wǎng)絡(luò)監(jiān)測的要求。其次，入侵檢測數(shù)據(jù)挖掘算法實(shí)現(xiàn)需求，一般過去的入侵檢測技術(shù)是利用了統(tǒng)計(jì)學(xué)，專家系統(tǒng)等方法，出現(xiàn)不同量級的檢測產(chǎn)品，而且不同的檢測系統(tǒng)產(chǎn)品也存在較大差異，網(wǎng)絡(luò)入侵檢測系統(tǒng)主要是為了掃描網(wǎng)絡(luò)數(shù)據(jù)，監(jiān)視內(nèi)部網(wǎng)段，實(shí)現(xiàn)對IDs監(jiān)控的調(diào)整，便于發(fā)現(xiàn)惡意攻擊的行為，但是，傳統(tǒng)的入侵檢測系統(tǒng)需要相關(guān)人員通過經(jīng)驗(yàn)來判斷，存在一定程度的誤判情況。

3入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

進(jìn)行入侵檢測原型系統(tǒng)設(shè)計(jì)時(shí)要遵循一定的原則，系統(tǒng)的設(shè)計(jì)技術(shù)要規(guī)范，遵循標(biāo)準(zhǔn)接口規(guī)范，入侵檢測系統(tǒng)在設(shè)計(jì)過程中要遵循相關(guān)行業(yè)技術(shù)規(guī)范要求，便于系統(tǒng)采集網(wǎng)絡(luò)用戶數(shù)據(jù)，入侵檢測原型系統(tǒng)能夠從一定程度來滿足拓展性和可操作性；其次，要考慮安全性問題，在設(shè)計(jì)入侵檢測系統(tǒng)中，要保證用戶數(shù)據(jù)不會(huì)被盜用，保證網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的一致性，在發(fā)生故障時(shí)，可以采用故障自查和緊急報(bào)警的形式來提醒工作人員采取應(yīng)對措施，保證用戶數(shù)據(jù)不會(huì)丟失和損壞。除此之外，入侵檢測系統(tǒng)需要還具備較高的識(shí)別準(zhǔn)確性，有效減少誤報(bào)率，軟件在應(yīng)用上也需要設(shè)計(jì)靈活的結(jié)構(gòu)，可以基于混合算法繼續(xù)模型設(shè)計(jì)，從而提高入侵檢測的準(zhǔn)確性。在進(jìn)行入侵檢查系統(tǒng)設(shè)計(jì)過程中，首先需要預(yù)處理系統(tǒng)的日志數(shù)據(jù)，比如可以通過建立決策樹模型或利用關(guān)聯(lián)規(guī)則聯(lián)合的模型基于關(guān)聯(lián)規(guī)則集合形成決策樹，通過保存好的參數(shù)檢測系統(tǒng)風(fēng)險(xiǎn)。從入侵檢測系統(tǒng)的功能模塊上來看，基于數(shù)據(jù)挖掘的系統(tǒng)需要按照不同的功能實(shí)現(xiàn)設(shè)計(jì)需求，可以劃分為四個(gè)主體功能模塊分別是：數(shù)據(jù)預(yù)處理，數(shù)據(jù)挖掘算法模型功能，檢測模塊以及基礎(chǔ)管理模塊。其中數(shù)據(jù)預(yù)處理包括兩個(gè)數(shù)據(jù)采集標(biāo)準(zhǔn)化功能，可以用于將互聯(lián)網(wǎng)日志數(shù)據(jù)的提取，并對所提取的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化轉(zhuǎn)化，能夠?yàn)橹蠼⒛Ｐ吞峁┍匾臄?shù)據(jù)格式，而數(shù)據(jù)挖掘檢測模塊是有兩種離線和在線檢測的方法，可以幫助用戶對檢測結(jié)果進(jìn)行及時(shí)處理，一旦發(fā)現(xiàn)入侵行為時(shí)，系統(tǒng)會(huì)向管理員及時(shí)發(fā)出警報(bào)信息，系統(tǒng)基礎(chǔ)管理模塊主要是用于用戶的權(quán)限管理，登錄管理，數(shù)據(jù)管理等功能。從入侵檢測系統(tǒng)的體系結(jié)構(gòu)上來看，可以分為三個(gè)級別用戶層，業(yè)務(wù)層和數(shù)據(jù)層，不同的功能層具有不同的功能類別。首先，用戶層主要是提供入侵檢測系統(tǒng)的界面兒業(yè)務(wù)層是該系統(tǒng)的核心，是實(shí)現(xiàn)系統(tǒng)核心業(yè)務(wù)邏輯以及實(shí)現(xiàn)入侵檢測模型算法的基本功能，數(shù)據(jù)層是對檢測到的信息進(jìn)行儲(chǔ)存，查詢，處理等。此外，基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)硬件平臺(tái)終端是基,1024M內(nèi)存，AMD64，以及500G的硬盤配置，而這種檢測系統(tǒng)目前可以對網(wǎng)絡(luò)客戶以及相關(guān)設(shè)備這兩種市場群體實(shí)行檢測。

4小結(jié)

本文通過深入分析入侵檢測技術(shù)數(shù)據(jù)挖掘技術(shù)，同時(shí)闡述了該技術(shù)的特點(diǎn)，提出基于該技術(shù)由關(guān)聯(lián)規(guī)則和決策樹實(shí)現(xiàn)基于混合模型的入侵檢測模型，并從系統(tǒng)設(shè)計(jì)，功能設(shè)計(jì)實(shí)現(xiàn)方面分別闡述，有助于提高網(wǎng)絡(luò)入侵的檢測的準(zhǔn)確性，降低誤報(bào)率，為之后網(wǎng)絡(luò)進(jìn)行入侵檢測系統(tǒng)優(yōu)化提供參考。

參考文獻(xiàn)：

[1]王魯華,楊宇波,趙陽.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測方法[J].信息安全研究,2017,3(9):810-816.

[2]周立軍,張杰,呂海燕.基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵檢測技術(shù)研究[J].現(xiàn)代電子技術(shù),2016,39(6):10-13.

[3]王倩.基于數(shù)據(jù)挖掘的入侵檢測技術(shù)的研究與實(shí)現(xiàn)[D].北京郵電大學(xué),2017

作者：王利 單位：私立華聯(lián)學(xué)院