数据挖掘技术在网络安全中的应用

摘 要 随着计算机网络技术的不断发展，众多企事业单位、政府部门将其核心业务向互联网转移，网络安全作为一个无法回避的问题呈现在人们面前。网络用户一般采用防火墙作为安全的第一道防线。信息的获取、使用和控制的竞争愈演愈烈，网络安全问题变得日益重要，信息安全成为维护国家安全和社会稳定的一个焦点。如何辨别防御与攻击和增强网络安全已成为技术管理人员研究的问题。入侵检测已成为网络安全领域的热点课题。异常检测和误用检测是入侵检测的主要分析方法。

关键词 网络安全；入侵检测；数据挖掘

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）05-0081-01

随着网络规模的迅速扩大和互联网用户的迅速增加，网络安全问题变得更加严重和复杂。因此我们要满足信息安全纵深防御体系概念的需求。纵深防御的意思是指利用尽可能多的安全机制，使这些机制相互补充。随着网络技术的日益成熟，纵深防御系统模型越来越受到欢迎。然而，这种攻击技术的数量与日俱增，在纵深防御的有效性和效率上受到限制。为了解决这一问题，我们采用数据挖掘技术。

1 数据挖掘技术概述

数据挖掘是从大型数据库或数据仓库中对知识的提取，但这些知识是隐含的，先前未知的，不正常的和有用的信息或模式，是数据库研究的一个新领域，是非常有价值的。数据挖掘的目标是帮助用户搜索数据之间的关系，并发现被忽略元素，而这些信息可能对预测趋势和决策有用。

传统的信息安全技术，专注于系统本身的加固和防护上。然而，在面对出现的攻击，信息系统保护的重点从传统的静态保护，到动态保护层出不穷，在同一时间内全面采用保护措施（如防火墙，身份认证，加密等手段），检测工具（如漏洞评估，入侵检测系统）的安全性认识和评价系统状态，将系统调整到“安全”和“风险最低”的状态。该系统改造从静态到动态的保护，提供了基础的快速响应和恢复系统。

数据挖掘系统的其他应用还有：

在零售业方面：数据挖掘用于顾客购货篮的分析可以协助货架布置，促销活动时间，促销商品组合以及了解滞销和畅销商品状况等商业活动。在产品质量保证方面：数据挖掘协助管理大数量变量之间的相互作用，并能自动发现出某些不正常的数据分布。在远程通讯方面：基于数据挖掘的分析协助组织策略变更以适应外部世界的变化，确定市场变化模式以指导销售计划。

2 网络入侵检测的原理

入侵检测是网络防火墙的逻辑补充，扩展了系统管理员的安全管理能力，提供了安全审计、监控、攻击识别和响应。通过捕获和分析网络包来探测攻击。网络入侵检测可以在网段或者交换机上进行监听，来检测对连接在网段上的多个主机有影响的网络通讯，从而保护那些主机。

入侵检测系统主要执行功能：监控、分析用户和系统活动、审计系统配置和脆弱性、评估关键系统和数据文件的完整性、识别活动模式以及反应已知攻击、统计分析异常活动模式、操作系统审计跟踪管理，识别违反策略的用户活动。

3 数据挖掘技术在深度架构的应用程序防御

在利用数据挖掘技术的GPS安全信息管理时，联合防御系统的建设基于数据挖掘。在这里，安全通信，收集实时LPS的是负责网络日志和日志信息的数据挖掘的全球定位系统。数据挖掘分为在线检测和离线学习阶段。在离线学习中，将在日志中发出LPS收集到的GPS，并加入到训练样本集；运行数据挖掘工具，通过离线数据挖掘的规则集；驾驶机器学习算法调整规则集的参数；有效的分类规则集。

综上所述，建立三个步骤的分类：数据预处理，记录格式，数据调度的数据格式；运行挖掘工具，通过训练样本集设置规则的研究，以使规则转换为可执行的形式。纵深防御体系结构在上面，通过GPS的分布式入侵检测，让每个IDS和脂多糖管理层管理。GPS数据挖掘美防御模块被用在由LPS的事件收集的数据挖掘分析，一旦攻击被检测到时，GPS会根据LPS（ IDS）的这种攻击来迅速调整策略，以防止资源的这种攻击。

4 数据挖掘技术在入侵检测

在入侵检测系统，通过对历史数据的分析，利用数据挖掘技术可以吸引用户的行为特征有用，总结入侵的法律，从而建立一个更完整的规则库的入侵检测。该过程分为如下步骤。

1）数据采集，基于数据从网络到网络的检测系统。

2）数据预处理，提取精度直接影响到用户的特点和在的素质的训练数据推导出的规则。

3）数据挖掘，从用户行为特征和规则提取前处理后的数据，合并更新规则和规则库建立起规则库。

数据挖掘基于网络异常检测和误用检测模型，并形成综合利用的入侵检测模型。网络入侵检测模型的优点是：通过结合误用检测和异常检测，分析数据，并减少了很多。

在这个模型中首先发送从网络上的数据包获得的数据预处理器，该处理器将获得从网络数据分组处理网络数据，然后使用关联规则找到代表规则，进入关联规则集，那么关联从支持和两个值的置信规则是使用聚类规则聚类优化。在集群完成后，我们就可以得到闭合的值，这将是通常的数据的一部分删除的规定。该系统的另一个特征是用于对重复检测同一数据的下一站，使用数据仓库更新进一步提高异常检测和误用检测器，即，根据检测异常检测来更新异常检测的结果，来进行检测，如果判断结果是正常的行为，那么，更新异常，如果测得的是探测器，其行为是攻击行为，然后更新滥用检测器记录的行为，从而使下一次做重复检测。

5 结束语

数据挖掘是有效的工具，也是智能信息处理的理论，是建模和优化复杂对象的重要组成部分。本文介绍了数据挖掘技术在深度网络安全系统模型中的应用，分析了模型的结构特点。数据挖掘技术的应用建立在深入的网络安全系统防御时可以提高系统的效率，适合于系统的特点和要求。

参考文献

[1]王新，刘建辉.基于数据挖掘的入侵检测系统研究[J].计算机与数字工程，2005（11）.

[2]李德新.基于数据挖掘的网络日志分析[J].电脑知识与技术，2011（25）.

[3]饶鲜，李斌，杨绍全.基于核中心距比值法的入侵检测[J].计算机工程，2006（18）.

[4]郑毅.基于机器学习的IDS研究[J].现代电子技术，2006（21）.

[5]李斯.数据挖掘技术在入侵检测系统中的应用[J].科技资讯，2009（27）.

[6]刘小明，熊涛.基于数据挖掘的入侵检测技术研究综述[J].现代计算机（专业版），2010（04）.

[7]谷雨，赵佳枢，张天军，徐宗本.基于免疫多样性的分布式入侵检测算法[J].西安交通大学学报，2006（10）.

作者简介

关德君（1980-），男，满族，辽宁辽阳人，讲师，硕士。