网络入侵检测数据挖掘论文

1关于数据挖掘

事实上，数据挖掘的产生是有其必然性的。随着信息时代的到来，各种数据收集设备不断更新，相应的数据库技术也在不断地成熟，使得人们积累的信息量不断增加，为了提高效率，当务之急就是要从海量的数据中找出最有用的信息，这就催生了数据挖掘技术。

2网络入侵检测的重要性与必要性分析

网络入侵检测，就是对网络入侵行为的发觉。与其他安全技术相比而言，入侵检测技术并不是以建立安全和可靠的网络环境为主，而是以分析和处理对网络用户信息构成威胁的行为，进而进行非法控制来确保网络系统的安全。它的主要目的是对用户和系统进行检测与分析，找出系统中存在的漏洞与问题，一旦发现攻击或威胁就会自动及时地向管理人员报警，同时对各种非法活动或异常活动进行识别、统计与分析。

3数据挖掘在网络入侵检测中的应用分析

在使用数据挖掘技术对网络入侵行为进行检测的过程中，我们可以通过分析有用的数据或信息来提取用户的行为特征和入侵规律，进而建立起一个相对完善的规则库来进行入侵检测。该检测过程主要是数据收集——数据预处理——数据挖掘，以下是在对已有的基于数据挖掘的网络入侵检测的模型结构图进行阐述的基础上进行一些优化。

3.1综合了误用检测和异常检测的模型

为改进前综合误用检测和异常检测的模型。从图2可以看出，它是综合利用了误用检测和异常检测模型而形成的基于数据挖掘的网络入侵检测模型。其优点在于通过结合误用检测器和异常检测器，把所要分析的数据信息减少了很多，大大缩小了数据范围。其劣势在于当异常检测器检测到新的入侵检测后，仅仅更新了异常检测器，而没有去及时地更新误用检测器，这就无形中增加了工作量。对于这一不足之处，笔者提出了以下改进意见。

3.2改进后的误用检测和异常检测模型

笔者进行了一些改进，以形成一种更加有利的基于数据挖掘的入侵检测模型，基础上进行了一定的优化。一是把从网络中获取的网络数据包发送到数据预处理器中，由它进行加工处理，然后使用相应的关联规则找出其中具有代表性的规则，放入关联规则集中，接下来用聚类规则将关联规则所得的支持度和可信度进行聚类优化。此后，我们可根据规定的阈值而将一部分正常的数据删除出去，这就大大减少了所要分析的数据量。此时可以把剩下的那些数据发送到误用检测器中进行检测，如果误用检测器也没有检测到攻击行为，则把该类数据发送到异常检测器中再次进行检测，与上面的例子一样，这个异常检测器实际上也起到了一个过滤的作用，以此来把海量的正常数据过滤出去，相应地数据量就会再一次变少，这就方便了后期的挖掘。这一模型系统的一大特点就是为了避免重复检测，利用对数据仓库的更新来完善异常检测器和误用检测器。也就是说，根据异常检测器的检测结果来对异常检测器和误用检测器进行更新，若测得该行为是正常行为，那么就会更新异常检测器，若测得该行为是攻击行为，那么就更新误用检测器来记录该次的行为，从而方便下次进行重复的检测。

4结束语

无可厚非，当前我们的网络入侵检测技术还并不成熟，如何有效地提高网络对攻击和错误使用的抵抗力，使安全防护措施的实施更加有效，减少误警率和漏警率，是未来很长一段时间内数据挖掘技术在网络入侵检测中研究的重要方向。

作者:朱沙单位:无锡旅游商贸高等职业学校