摘 要:随着我国信息技术不断快速的发展与进步,业界与用户越来越重视信息安全问题,所以导致原有的防火墙系统无法对网络信息技术安全进行保护,从而无法对入侵安全防护系统的作用进行充分的发挥。因此,文章主要对网络攻击导致流量异常的分类与特点进行分析,对基于数据挖掘的网络入侵安全防护系统进行研究与探讨,不仅能够确保为相关的工作人员提供有效的参考,也能够确保实现使用网络入侵安全防护系统。
关键词:数据挖掘;网络入侵;安全防护系统;信息安全
不断快速发展与进步的信息技术,促使网络对我国越来越多公司的核心业务进行承载,所以公司与用户对网络信息安全的问题越来越关注。虽然一般情况下,网络用户通过对防火墙系统进行使用,能够确保网络信息的安全,但是因为网络攻击者不断增加对网络信息的攻击技术与方式,所以使网络攻击者具有越来越多样化的攻击方法与工具,对网络信息安全造成一定的威胁,逐渐使大部分信息十分敏感的部门现有的防火墙系统已经无法对其信息安全的需求进行充分的满足。因此,人们越来越重视网络入侵的检测技术与设备,为确保能够在极其复杂的网络环境中,以及在安全需求较高的网络环境中,使其能够充分发挥所含有的关键作用与效果。
1 网络攻击导致流量异常的分类与特点
1.1 拒绝服务攻击
拒绝服务攻击属于网络攻击者利用各种办法导致目标机器停止提供服务的一种攻击,属于黑客经常使用的攻击手段之一。而且拒绝服务攻击这种攻击手段对网络安全能够造成极其严重的威胁,其主要模式为网络攻击者通过使用各种方法,对网络与服务器自身具有特别的弱点进行利用,使网络攻击者逐渐通过对大量的毫无意义的数据流量进行制造,从而使大量毫无意义的数据流量,能够不断对网络为正常使用者所提供的请求服务进行挤占与使用[1]。同时网络攻击者通过不断對不同的攻击措施进行使用,不间断地向攻击目标的机器对大量的非法的IP报文、ICMP数据报文等进行快速的传输,从而确保逐渐对主机的处理能力进行消耗。
1.2 扫描探测攻击
扫描探测攻击属于一种较为普遍的攻击行为,而且扫描是网络攻击者向目标主机发起进攻的一个常用手段,确保通过利用此手段对主机的相关信息进行获取,然后根据扫描结果对进一步攻击的策略进行制定。同时为确保预防网络攻击者对主机信息进行获取,然后发生一系列的监控扫描行为,可通过入侵检测系统(Intrusion Detection Systems,IDS)对此类事件进行有效的监控。例如在网络主机爆发蠕虫病毒时,相关的工作人员首先需要不断对大量网络的端口或者主机进行扫描,而且自动攻击与快速繁殖属于蠕虫病毒最大的特点,所以相关的工作人员需要不断对蠕虫病毒的攻击方式与攻击特点进行分析,确保通过对网络主机的SYN/ACK位与同步序列编号(Synchronize Sequence Numbers,SYN)位进行详细的查看,如果相关的工作人员发现网络的主机所含有的报文数量具有极其明显的差异,可以将其看成爆发蠕虫病毒的一个源头。
2 基于数据挖掘的网络入侵检测系统整体架构
2.1 信息采集模块
信息采集模块的主要功能为捕获网络上的信息数据,网络主要通过对系统的计算机网卡进行应用,将其作为向网络提供数据的主要来源。而且信息采集模块能够对所捕获的信息数据进行拷贝,确保将其制作成一份拷贝的文件,而且通过将其传输到在已经分配完成的缓冲区中,所以属于特意为系统中其他的模块进行访问时而准备的这份拷贝文件。同时在网络中配置与部署入侵检测系统时,为确保对数据信息进行直接的获取,因此,需要在入侵检测系统初步测试期间对此模块进行使用[2]。并且一旦将其正式投入运行系统时,模块将会对一定的效能进行失去,因此,能够充分对此模块的主要作用进行体现,主要作用为通过不断提取相应的数据信息,从而确保能够为后续的数据挖掘过程提供相关的数据资源。
2.2 信息整理模块与数据挖掘模块
信息整理模块的主要功能为处理相关的报文,而且能够确保向与其相对应的IP汇聚项,将处理完成之后的报文信息进行传递。同时相关的工作人员通过连接信息整理模块与数据库之间的关系,能够确保信息整理模块按照一定的周期,传输将经过汇聚的数据信息到数据库中,从而确保信息整理模块能够为入侵检测的下一步流程的处理过程,对相应的数据源进行提供[3]。同时,数据挖掘模块的主要任务为不断对神经网络系统的系统参数进行调试,而且在离线的情况下就能够完成这一步骤,能够确保不断对系统参数进行优化。其次,也能够确保通过从数据库中定时地对源IP汇聚信息进行提取,通过利用神经网络技术对其进行分析,确保对数据流中是否夹杂攻击的行为进行判别,因此,确保模块能够通过数据流中具有的攻击信息对相应的报告进行生成。
2.3 报警记录模块
报警模块的主要功能为网络在被攻击时,通过利用对话框形成相应的报警信号,能够确保及时提供相应的报警信息给网络系统管理工作人员。同时,能够确保随时通过系统的神经网络参数,对人工操作的方式进行使用,确保不断调整在线的分析,从而确保不断优化参数,使参数更加的准确。并且通过此模块提供相关的功能界面,能够确保网络安全管理工作人员对整个入侵检测系统进行实时的监控与配置[4]。因为相关的工作人员能够将这个入侵检测系统分为两大组成部分,一方面,在对数据库进行输入数据之前,模块属于对信息进行采集与整理,这部分的主要功能为对手机与网络上的实时数据进行汇聚,从而确保在数据库中进行传输信息,能够确保对信息数据进行进一步的挖掘与处理。另一方面,在数据库对信息数据进行处理之后的输出部分,则是属于不断分析汇聚的信息数据,相关的工作人员主要通过网络流量异常分析方法进行使用,确保不断对数据库中所提取的汇聚信息数据进行分析。
3 实现数据挖掘算法
本系统主要通过选择一个3层神经网络结构,在输入层中加入样本X,通过对NET进行使用,确保能够表示所有来自输入层的神经元Om的输入总合,而且其得到的输出结果为On。同时将Wmn作为系统权系数定义,通过不断采用sigm oid函数,确保能够将其作为激发函数作用的所有的神经元。
(fx)=1(/1-e-x)主要对sigmoid函数进行表示:
以下是具体的算法流程:
(1)确定权系数初始值。
(2)通过分析与计算所有样本,而且需要重复以下流程,确保能够直到系统收敛为止。
①因此,需要按照一定的前后顺序,计算各层单元On:
NETn=∑Om×Wmn
On=1/(1-e﹣NETn)
②得出输出层的δn:
δn=(y-On)×On×(1-On)
③而且需要按照从后向前的顺序,计算各层的δn值:
δn=On×(1-On)×∑δ1×Wnl
④对各个权值的修正量进行计算,并将其进行保存。
⊿Wmn(t)=a×⊿Wmn(t-1)+b×δn×Om
⑤最后,对权值进行修正:
Wmn(t+1)=Wmn(t)+⊿Wmn(t)
4 安全防護系统的应用模式
可以将安全防护系统划分为两大部分:数据挖掘模块与数据采集整理模块,而且相关的工作人员在一般的采取做法中,在入侵检测流程中,数据挖掘技术的作用与效果为,安全防护系统在对攻击行为特征属性进行确定之后,相关的工作人员主要将标准视为数据流的具体走向,将来自数据采集整理模块的攻击特征属性向数据挖掘模块输入,从而确保通过利用数据挖掘模块判别其是否存在具体的网络攻击行为。同时相关的工作人员也需要加强重视,虽然已经将数据挖掘技术引入网络的入侵检测系统中,能够确保不断增加其自身的效果。由于网络能够随时随地制造出大量的毫无意义的信息,为确保能够对此类干扰信息进行有效地降低,相关的工作人员必须确保通过对具有针对性的网络协议进行使用,才能够确保一定的约束与过滤其行为[5]。
5 结语
总而言之,因为网络需要对大量的应用与数据进行承载,从而导致需要具备大量的安全审计数据信息。所以通过提取与处理这些数据信息,而且能够确保通过对其所含有的网络入侵行为的特征量进行萃取,已经成为网络安全防范工作中极其重要的问题。同时因为网络入侵检测属于对安全审计信息进行处理与操作,不断对数据挖掘技术进行引入,确保在大量的数据中网络系统,不仅能够对潜在的知识信息进行快速的判断与提取,也能够对其是否存在具体的网络攻击行为进行判别。所以需要不断对基于数据挖掘的网络入侵安全保护系统进行研究与探讨,从而确保充分地发挥网络入侵安全防护系统的效能。
[参考文献]
[1]李玉东,史健芳.基于数据挖掘的网络入侵检测系统研究[J].中国石油和化工,2014(11):253-256.
[2]邢雪霞.基于数据挖掘的网络入侵检测系统的研究[D].成都:成都理工大学,2014.
[3]林辉.基于数据挖掘的入侵检测技术研究[J].民营科技,2016(3):92.
[4]林传慧,吴伟明.基于数据挖掘的高速网络入侵检测系统的研究[J].数字技术与应用,2014(9):193.
[5]袁腾飞.基于数据挖掘的入侵检测系统研究[D].成都:电子科技大学,2014.