数据挖掘技术在计算机网络入侵检测中的应用*
2012-07-31潘大胜
潘大胜
(百色学院,广西 百色 533000)
由于要对不同用户进行访问的控制,计算机网络应该具有对权限的管理.系统中的权限管理包括三个子功能,即对模块的管理,给相应的角色进行定义并且给该角色进行权限的分配,除此之外,系统还应该能够对系统中的用户进行帐号的注册以及分配、角色以及权限的分配的功能[1].日志记录与存储方面,用户对攻击目标的操作和系统对攻击目标的隔离的记录都通过本功能完成.这个功能在实际使用过程中,主要用于攻击目标的事后处理.数据存储功能则是将日志分析结果数据、隔离操作记录等数据存入数据库,由于系统的数据量较大,没有使用复杂的数据持久化组件,而是单独实现数据库连接池的功能,轻量简便[2].
1 计算机网络入侵的原理
图1 计算机网络内网图
计算机网络设计思想,网络接入解决方案应当是一个以IP为核心网络技术的宽带综合接入解决方案,能够向校园用户提供集高速数据业务和话音业务于一体的多业务综合接入服务,综合接入网的建成能够为广大师生提供形式更加丰富的远程教育、实时授课等宽带业务.计算机网络设计需要考虑以下几个要素.(1)整体方案具备高性价比,贴近用户现有应用.(2)网络可持续运营,能够方便地控制、管理和发展用户.(3)设备可靠,性能先进、易维护管理.(4)网络安全可靠.(5)易于与计算机网络中其他设备集成使用,便于资源整合,形成复用平台;具有良好的扩充和升级能力.计算机网络解决方案思路如下.(1)深入进行需求调查.在网络和更高的应用层面贴近用户需要,满足用户需求.(2)按需定制的全面解决方案.(3)具备高性价比、高度投资保护的特性,有效降低用户的管理维护成本.典型的企业内网结构如图1所示[3].
接入层的攻击主机,通过构造非法ARP报文,对来自本网段的网关ARP查询进行回应.直接导致其他接入层主机的ARP表中出现不正确的IP地址MAC地址的对应关系.伪装网关攻击方式如图2所示[4].
图2 伪装网关攻击方式
3 数据挖掘技术和方法
数据挖掘充分利用了这些学科的结果,但是研究目标和重点又不同于这些单一研究领域.数据挖掘方法能从巨大的真实数据库中提取感兴趣的和以前不知道的知识,从而成为一个在理论和应用中重要而实用的研究领域.但是,数据挖掘并不等同于任何一个上述提及的学科.例如,统计学在数据挖掘中应用广泛,但是在一些方面并不解决问题.统计学的方法限制在数学范围内,无法表示集合之间的关系,如集合的包含关系[5].在关系数据库中,属性值只能使用精确数据,不能使用不确定或不精确的数据.数据库对于数据挖掘来说,只是一个训练集,相对于数据库在DBMS系统中的角色差多了,机器学习的算法也很多,但是要在数据挖掘中应用,必须要解决实用性问题,即在大量的数据中进行有效的学习.数据挖掘主要解决以下问题:(1)数据挖掘不仅要挖掘二维数据表数据,还要挖掘文本数据、多媒体数据和万维网数据.(2)挖掘算法现在数据挖掘已经发展了众多的建模和学习方法,从中选择合适的算法更多是来自经验.(3)使用背景知识无疑会帮助在数据挖掘中建模的准确度.(4)可视化-使用可视化的方法进行数据挖掘非常重要和有用.数据挖掘一般被定义为“使用自动的方法从大量数据中提取隐含的、以前未知的、隐藏的、潜在有用的知识或高层信息”.这里术语“数据”是指事实或原子信息的集合,如数据库中的记录.“知识”是指描述数据集合整体特性的更高层次的概念,如预测属性值的规则、属性之间的依赖关系等.有时“数据”“知识”“信息”并没有严格加以区分.Fork结点的行为是创建子Token,并且将子Token指向从Fork出发的leavingTransition的下一个结点.Join结点的行为是判断是否所有的兄弟Token已经全部到达本结点,若已经全部到达本结点,就把这些兄弟Token的父Token直接转向Join结点的下一个结点.Decision结点的行为就是判断其表达式的真假,根据表达式的计算结果,确定下一个结点的流向.TaskNode结点的行为是根据任务结点里关于任务分配的定义来建立任务与人员的具体分配.
4 数据挖掘技术在计算机网络入侵检测中的应用
利用JPDL定义好的流程交给JBOSS PROCESS ENGINE中的DEFINITION LOADER.其中由JPDL定义的流程就是一个XML文件,由DEFINITION LOADER将这个XML文件读进来,即将定义的规则读进来.此后,用户就能够利用在JBOSS PROCESS ENGINE中定义好的流程来执行流程.此外,在jBPM流程引擎中还有诸如状态管理、日志管理能功能,在用户层面来看,有流程监控功能,这些功能分别对应STATE MANAGER、LOG MANAGER以及PROCESS MONITOR.以上就是JBOSS jBPM工作流引擎的组成.流程实例中的signal()方法相当于一个快捷方法,在这个方法里,首先会进行诸如流程实例状态是否会结束这样之类的判断,然后会将这个调用请求转交给与之相对应的 root-Token对象,然后会调用 rootToken中的 signal()方法.很显然的是,Token中的signal()方法是与某个结点相关联的.引用的改变即引用由当前结点指向下一个结点,在 JBOSS jBPM中,它将这一职责进行了分离,所有的调度职责并不是在Token的内部来完成的,会把这些工作转交给不同的对象,jBPM将当前结点称之为from结点,为了完成引用的改变,当然是要找了当前from结点的下一个结点,jBPM不是在rootToken里面进行查找,而是将这一职责转交给 from结点,在from结点中来进行查找,因为在 from这个结点当中,存在很多leavingTransition这样的线.
'调用存储过程,对所选择的课程根据学号、教学班级码以及操作码进行选课操作!
由于ARP欺骗攻击、DHCP欺骗攻击、广播风暴三种攻击方式是接入层导致用户大面积断网的最主要问题,能够对这三种攻击进行有效防护,明显改善用户用网体验.本系统专门针对接入层三种攻击行为提出相应解决方案.通过与接入层网络设备进行交互,通过分析交换机运行状态,及时发现三种攻击行为并进行相应处理.操作日志记录进数据库以便进行事后处理与操作审计.
[1]罗跃国.基于数据挖掘入侵检测模型的设计[J].西安文理学院学报(自然科学版),2010,(3):112~113.
[2]朱海霞.数据挖掘在入侵检测中的应用[J].科技资讯,2009,(5):89 ~90.
[3]李剑.入侵检测技术[M].北京:高等教育出版社,2008.6:132 ~135.
[4]直敏.数据挖掘技术在网络入侵检测系统中的应用[J].科技资讯,2010,(10):142 ~143.
[5]杜波,赵广.数据挖掘在入侵检测系统的应用[J].科技信息,2009,(12):160 ~162.