基于数据挖掘的自适应网络安全审计系统的研究与实现论文

SCI论文（www.lunwensci.com）:
 
　　摘要：随着计算机技术、网络技术的迅速发展,人们对互联网的依赖程度与日俱增,但同时带来的问题也持续增多,如电脑病毒、数据篡改、数据删除和添加、信息泄露和盗用等。随着网络数据量的迅速增长和网络结构的日趋复杂,如何全面、准确、高速地分析审计数据成为当前的一个重要课题。针对这种情况,本文设计了一种基于数据挖掘技术的网络安全审计系统。

　　关键词：数据挖掘；自适应网络；安全审计

　　Research and Implementation of Adaptive Network Security Audit System Based on Data Mining

　　ZOU Zhibo

　　(North China Institute of Computer System Engineering,Beijing 100083)

　　【Abstract】：With the rapid development of computer technology and network technology,people rely on the Internet more and more,but at the same time,the problems are also increasing,such as computer viruses,data tampering,data deletion and addition,information leakage and theft.With the rapid growth of network data volume and the increasingly complex network structure,how to analyze audit data comprehensively,accurately and at high speed has become an important topic at present.In view of this situation,this paper designs a network security audit system based on data mining technology.

　　【Key words】：data mining;adaptive network;security audit

　　0引言

　　随着互联网的迅速发展,在网络安全审计中,最常用的就是“专家预定义”和“数理统计”,这两种方法都存在着漏报、误报、无法发现新的异常。如何全面、准确、快速地对审计数据进行准确、快速的分析,是当前网络安全审计技术发展的一个重要趋势。为了应对日益增多的安全威胁,目前已有许多安全防范手段,如入侵检测、防火墙、病毒防护、安全扫描、加密等。目前,许多企业和事业单位都采取了防火墙、入侵检测、安全扫描、监控等多种安全策略,有效地防止了来自外界的入侵。然而,在网络内部的终端管理方面,却有许多的不足之处,人们常常把重点放在如何摧毁网络的外部入侵和攻击上,而忽视了内部的网络安全。但是,随着计算机、互联网的不断发展,企业的日常工作已经与互联网密不可分了,而且对内部网的依赖性也在不断增加,这也导致了内部网的安全性问题。

　　1数据挖掘技术

　　1.1数据挖掘的基本概念

　　数据库技术自产生之日起便得到了飞速的发展,而数据库技术、数据库管理系统的应用也日益普及,使得数据的存储量不断增加。大量的数据背后,隐藏着很多重要的信息,大家都希望能够对其进行更深入的研究,从而更好的发挥其作用。由于缺少挖掘隐藏在数据后面的知识,造成了“数据大爆发、知识匮乏”的状况。此外,目前大部分企业的内部网络资料状况都比较零散,使用者作业所产生的资料通常储存在一个没有统一的设计与管理的异构环境中,难以整合查询及存取,而且许多历史资料离线,无法集中储存[1]。这就要求使用数据挖掘技术。数据挖掘就是从海量的数据中,找出有效的、新颖的、具有潜在应用价值的、能被理解的高级处理流程。用最简单的话来说,数据挖掘就是在数据中找到一些无法用眼睛看到的规律或者不正常的东西,然后按照最基础的归纳方法对数据进行整理、分析,从中抽取有用的信息和知识。

　　1.2数据挖掘的实现过程

　　数据挖掘的具体实施流程如下：(1)数据抽取：从数据库中抽取相关数据,而数据挖掘则是从数据中抽取出知识,在这个过程中,必须使用一定的数据库运算来进行数据的加工；(2)数据预处理：重新处理所选的资料,以检验资料的完整性和—致性,并对噪音资料进行处理,剔除多余资料,弥补缺失资料；(3)数据选取：将与分析对象无关或相关性极低的属性从预处理后的数据集合中进行提取；(4)资料转换：把资料转换为一种适当的资料,例如资料汇总；(5)数据挖掘：针对实际应用需求,选取适当的数据挖掘算法和模型参数,构建数据挖掘模型,将数据中需要的信息抽取成特定的形式。例如,决策树、关联规则集合等(6)解释和评估：向使用者展示已发掘出的知识,并对其结构进行说明。包含了知识的一致性检验、模型验证、其他有趣的知识。

　　例如：资料格式资料库或资料储存伺服器：资料经过整理、整合、选取、转换后储存至资料库或资料库伺服器,用以使用者要求提供资料。数据挖掘引擎：数据挖掘是数据挖掘的核心[2],它包括一系列的功能模块,利用智能的方式进行数据抽取。关联规则挖掘、分类分析、预测、聚类分析、孤立点挖掘等。知识基础：一种对搜寻或评估模式的兴趣。模式评价与知识表达：并非所有被发掘的模式都是有趣的,因此,可以通过设定特定的模式感兴趣的指标,来确定和表达真正有趣的模式[3]。在挖掘出有趣的模型之后,利用视觉和知识表达技术,将挖掘的知识传授给用户。

　　3用于网络安全审计的数据挖掘方法

　　在数据挖掘中,如何选取合适的数据,以及相应的数据挖掘技术,都要依赖于数据挖掘的特定对象,其中一个就是网络安全审计[4]。利用数据挖掘技术,可以通过统计、分类、聚类、关联、序列分析、群集分析等手段,深入分析和分析网络日志中的海量数据,从而发现其本质和内在的关联,从而成为更直接、更有用的信息。

　　3.1分类算法

　　把一组资料按预定的类别进行映射。这种方法的输出结果可以用规则集合或者决策树来表达。在进行安全审核时,可以对“正常”和“非正常”的用户或应用进行审核,并利用分类算法生成规则集,用以判断新审计数据是否正常或不正常。分类分析是一种基于监督的机器学习算法。

　　3.2关联分析算法

　　关联规则挖掘是在海量的数据中,寻找具有重要意义的项目集合。关联规则能够从大量的日志资料中,找出反映使用者特定动作的频繁情况,从而明确地反应使用者的行为方式[5]。通过使用关联规则算法,可以发现合法使用者的正常历史行为,并将其与正常的历史行为进行对比,从而得出其可能的异常行为。关联分析是一种广泛应用于购物栏分析和物品数据分析的方法,其中应用最多的有Apriori、AprioriTid、FP-Growth等。

　　3.3序列规则算法

　　顺序规则类似于关联规则,其目标也是挖掘数据间的关系。顺序规则算法是为了获得时间窗内的数据库记录间的关联。这种方法能够在一定程度上找到某些具有一定规则的审计资料序列。

　　3.4聚类分析算法

　　聚类分析是把数据对象分成若干类或群集,其原则是：同一类(集群)内的各对象的相似性越高,而在不同类别(集群)中的目标差异越大。传统的网络安全审计方法是通过对网络资源的访问和访问顺序的分析,发现用户之间的类似的浏览方式,并对其进行安全鉴别。常见的聚类分析方法有CLARANS、BIRCH等[6]。

　　3.5孤立点分析

　　资料库中可以包括与资料通常的行为或模式不同的资料物件。大多数的数据挖掘算法都把这些隔离的点看作是噪音。但在某些应用中,例如欺骗探测,孤立点事件的产生具有特别的效果。总之,通过大量的试验与验证,证明了利用数据挖掘技术进行网络安全审计是切实可行的。

　　4系统各模块需要的实现效果

　　4.1事件审计

　　即时稽核：即时稽核所收集的资料,若使用者的作业所生成的纪录事件与稽核资料库中的对应规则相符,则会依据规则库的风险程度与互动方式作出回应,并将该事件行为纪录至稽核资料库,并以电子邮件的方式将之传送至管理员信箱。在此基础上,以多个事件及时间合理性为基础,判定使用者的账号和存取时间是不是在规定的时间内；历史审计：历史审计是从审计结果数据库中抽取审计数据,主要是利用数理统计的方法(从上一次系统关闭到现在为止的全部系统安全记录),整理、归纳、合并、分析等多种方式,对审计数据进行全面的审核。

　　4.2规则管理与维护

　　此功能可以增加、删除和更新审核规则,使规则修改后可以直接应用于审计系统。该系统整合了一些被认定为高风险的作业行为,并对其特征进行分析归纳,形成了审核准则。本章着重于用户的存取审核、帐号管理审核、帐号登录审核。在应用过程中,用户可以将所发现的问题生成规则加入到规则库中,使得审计规则数据能够实时地增加和实时生效[7]。在实际应用中,一些规则会随着时间的流逝和管理员的高效工作而失效,而另一些则会影响到系统的安全性。这两种规则都需要我们定期地进行更新和维护,并尽可能地清除那些已经被淘汰的。

　　4.3审计结果查询

　　审计结果：通过对审计结果的查询,为系统中出现的问题提供了有力的参考。按照不同的方法,给出特定的要求,进行查询。存储和打印将查询的结果作为文档存储,并按需要由打印机输出。

　　4.4审计报告

　　稽核报表：此功能可将稽核资料与稽核成果资料整合,进而对有关作业行为及系统之安全性进行分析。就是收集审核的数据,分析出系统的问题,以及解决问题的方法。

　　5研究展望

　　文章在此基础上,结合工程的实际工作,对与安全审计有关的技术进行了深入的探讨,并设计与实现了一套网络安全审计系统。着重于利用关联规则挖掘技术进行网络安全审计,找到了两者之间的连接点：利用关联规则挖掘技术构建规则库。

　　在网络安全审计中引入了关联规则挖掘技术,通过关联规则挖掘算法对主机和计算机网络中的信息进行自动高效分析,从而建立了高效的网络安全审计模型。该方法既能对新的异常进行检测,又能对规则进行及时的更新,增强了系统的可扩展性和实时性[8]。对关联规则算法进行了研究,并对其进行了改进,使得其运算速度和规则的正确性得到了改善。

　　针对目前的网络安全审计规则和审计模式,在进行网络安全审计时,存在着较低的精确率、特征规则适应性差、效率低等问题。经试验证明,与常规审计相比,本系统具有明显的优越性,且具有良好的应用前景。

　　由于网络安全审计技术的复杂性,以及系统的开发与实施比较复杂,加之作者的工作能力和精力都受到限制,本文所研究和实施的体系中必然有许多缺陷。在今后的工作中,本研究还可以在下列几个方面进行进一步的探讨和完善：(1)针对异质环境下,不同的系统平台,如何实现统一的审核；(2)在每个数据项目的最小支撑度和总体目标数据库改变的情况下,如何根据有向图来实现更新策略；(3)数据挖掘还有一个问题,那就是数据挖掘并不是一次就能完成的,而是要不断的进行新的挖掘,这就需要不断的进行挖掘,而挖掘的结果和过程中的一些有用的信息,也是一个很好的方法；(4)本论文仅对数据挖掘技术中的关联规则挖掘进行了深入的探讨,并对其在日志规约和精化方面的应用进行了深入的探讨。

　　6结语

　　针对当前的网络安全问题,提出了一种基于数据挖掘的网络安全审计方法,并对其进行了深入的分析,探讨本系统能够从大量的日志数据中抽取安全特性,构建正常/非正常模式的知识库,再利用知识库对新生成的日志进行异常识别,从而识别出网络的不寻常行为并作出相应的反应。

　　参考文献

　　[1]郭鸿雁.基于数据挖掘的自适应网络安全审计系统的研究与实现[D].济南:山东师范大学,2011.

　　[2]辛义忠.基于数据挖掘的网络安全审计技术的研究与实现[D].沈阳:沈阳工业大学,2004.

　　[3]杨仁华.关联规则学习与反馈技术及其在网络安全审计系统中的应用研究[D].济南:山东师范大学,2010.

　　[4]任建平.基于数据挖掘的实时入侵检测系统的研究[D].杭州:浙江大学,2006.

　　[5]郭鸿雁,尉永青,吕桃霞.基于关联规则挖掘的网络安全审计技术研究[J].山东科学,2010,23(5):33-36.

　　[6]佟强,周园春,阎保平.关联规则挖掘算法[J].微电子学与计算机,2005,22(6):68-72.

　　[7]蔡之华,吕维先,颜雪松.基于关联图的关联规则挖掘算法研究[J].小型微型计算机系统,2002,23(4):450-452.

　　[8]吕桃霞.基于Agent技术的网络安全审计模型研究与实现[D].济南:山东师范大学,2011.
 
关注SCI论文创作发表，寻求SCI论文修改润色、SCI论文代发表等服务支撑，请锁定SCI论文网！
 

文章出自SCI论文网转载请注明出处：https://www.lunwensci.com/jisuanjilunwen/50861.html