[基于数据挖掘的网络安全系统]数据挖掘 十大算法

　　摘要:数据挖掘技术在网络安全领域的应用已成为一个研究热点，分析了聚类算法，并将其应用到网络安全系统中，测试结果表明,该系统加快了网络入侵检测速度,提高了入侵检测的正确率,有效的降低入侵漏报率。
　　关键词：网络安全；数据挖掘；入侵检测；聚类技术
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)17-4087-03
　　Research of Data Mining-based Network Security System
　　ZHEN Yan-jun
　　(School of Computer and Information Science, Hubei Engineering University, Xiaogan 432100, China)
　　Abstract: Data mining for web intelligence becomes an important research thrust in Web security technology，The paper mainly discusses a clustering algorithm and its application of the Network security system，The test results show that the Network security system can increase the network intrusion detection rate, improve the intrusion detection accuracy, and reduce the invasion fail rate effectively.
　　Key words: network security; data mining; intrusion detection; clustering algorithm
　　随着越来越普及的计算机网络应用和日益频繁网上商务活动,计算机网络的安全问题变得越来越严峻，各种网络攻击事件不断发生,且近几年上升趋势明显，这些网络攻击给国家和社会造成了巨大的损失，通常使用防火墙技术和入侵检测技术作为防御攻击的第一二道防线,但传统的防火墙及入侵检测系统存在有效性不足、适应性不强和可扩展性不足等问题,通常在新入侵类型前无能为力，作为第三代防线的网络安全审计系统应运而生，它记录系统内发生的所有安全事件，并作出实时分析及提供事后查证数据，然而网络数据流量非常大，通过网络安全审计系统后，会产生大量的日志数据和审计数据，如何在海量的日志和审计数据中挖掘出对安全有用的信息成为网络安全系统设计的关键，数据挖掘技术能够从海量的网络数据中挖掘出与系统安全相关的信息特征，并根据知识库对这些网络数据进行判断，确定这些数据的正常或异常情况，确保了系统安全；测试结果表明,该系统加快了网络入侵检测速度,提高了入侵检测的正确率,有效的降低入侵漏报率。
　　1数据挖掘算法
　　数据挖掘的算法主要包括聚类分析算法，序列分析，关联分析及分类与预测算法，其中聚类分析是将数据集中的对象划分成若干个相似类的过程，聚类与分类很相似，都是先将数据进行分组，可是两者有区别，聚类中的组不是预先定义好的，而是根据实际的数据的特征，然后按照数据的相似性来分组定义的，通过聚类算法使得同一个类的对象具有较高的相似度，而不同类的对象之间相似度较低。
　　1.1聚类数据进行预处理
　　使用聚类算法前，必须对聚类数据进行预处理,使得各聚类尽可能紧凑，聚类之间尽可能分开，设聚类数据为：
　　接着，使用距离函数公式（Manhattan距离、Euelidean距离, Manhattan距离）计算距离。
　　1.2聚类算法分析
　　算法流程为：首先对聚类数据进行预处理，将矩阵X中的各个特征值正规化在0～1范围内，接着，选取聚类中心及隶属度，对目标函数进行迭代，在迭代过程中，通过更新聚类中心及隶属度，直到迭代得到最够小，此时，得到了聚类中心和隶属度矩阵。
　　过聚类数据预处理后，将矩阵X中的各个特征值正规化在0～1范围内，目标函数为：
　　2网络安全系统设计
　　2.1网络应用中常见的问题
　　1）领导无法得知网络的利用情况，做相关决策时没有数据资料；
　　2）各种应用抢占有限的网络带宽，影响视频会议，网上学习等正常应用；
　　3）无法对网络异常进行诊断和病毒源进行定位，导致网络的长时间瘫痪；
　　4）上网行为得不到管理和控制，用户可以进入不良信息网站或玩网络游戏；
　　5）使用BT等P2P软件，严重影响网络的速度，对正常的工作带来不便；
　　6）无节制利用即时通讯软件聊天交友，不能集中精力于工作、学习；
　　7）不加管理访问和下载，带来了不可预知的病毒使得网络都处于高危状态。
　　2.2功能需求分析
　　1）具有流量审计功能，系统可以生成上网流量的当日、历史分析图表，可以实现灵活查询；
　　2）在进行视频会议期间，严格控制其他占用大带宽的行为发生；
　　3）具有对网络异常进行诊断和病毒源进行准确定位功能，对病毒源将进行无条件封堵；
　　4）具有灵活的上网控制功能，系统能够实现对监控内IP地址内的计算机进行上网限制，可以实现对网络的策略控制管理，对用户访问的网站进行监控，限制用户进入不良信息网站，同时，根据需要灵活控制用户玩网络游戏（如：QQ游戏、联众游戏、中国游戏在线等）；
　　5）限制严重影响网络的应用软件的使用，比如P2P软件，需要分时段分权限进行速度控制；
　　6）限制使用即时通讯软件（如MSN、ICQ、QQ）聊天交友，对聊天内容进行监控，防止工作时间聊天现象的出现；
　　7）对下载内容进行监控，防止下载不健康内容及下载正常文件携带来不可预知的病毒，实时拦截任何访问不良站点的网络行为，并返回警告页面给用户端。
　　2.3网络安全系统设计
　　根据上述的功能需求分析，设计出基于数据挖掘的网络安全系统流程图如图1所示：
　　3测试结果分析
　　为了对数据挖掘算法进行有效的评价，采用了检测率及误报率作为评价指标，相关定义如下：正常行为被误报为入侵
　　误报率，检测率越高，误报率越低，这说明所提出的数据挖掘算法检测性能越好。表1为检测结果。
　　从表1可以看到，平均检测率为89.24%，平均误报率0.77%，且检测率及误报率比较稳定，没有出现大波动，说明提出的数据挖掘算法在网络安全中具有较高的检测率及较低的误报率，验证了本算法在网络安全系统中应用的有效性及正确性。
　　4结束语
　　网络安全问题随着互联网的广泛应用而愈显突出，网络安全监控技术通过分析网络数据对当前的网络安全状况进行判断，保障网络信息安全方面，但由于网络数据流量非常大，如何在海量的日志和审计数据中挖掘出对安全有用的信息成为网络安全系统设计的关键，作为一种新兴的知识发现技术的数据挖能够从海量的网络数据中挖掘出与系统安全相关的信息特征，对解决网络安全问题具有非常大的优势，将数据挖掘技术应用到网络安全中具有十分重要的现实意义。
　　参考文献：
　　[1]林冬茂.数据挖掘技术在垃圾邮件检测中的应用[J].计算机仿真,2012(2).
　　[2]郑艳君.数据挖掘技术在网络安全中的应用[J].计算机仿真,2011(12) .
　　[3]王风磊.改进的聚类算法在入侵检测中的应用[J].电脑知识与技术,2011(27) .
　　[4]李德新.基于数据挖掘的网络日志分析[J].电脑知识与技术,2011(25) .
　　[5]付海辰.基于数据挖掘技术的聚类分析算法在异常入侵检测中的应用[J].软件导刊,2011(5).