📜  用于入侵检测和预防的数据挖掘

📅  最后修改于: 2022-05-13 01:57:02.382000             🧑  作者: Mango

用于入侵检测和预防的数据挖掘

我们的计算机系统和数据的安全一直处于风险之中。 Internet 的广泛发展以及用于入侵和攻击网络的工具和技巧的日益普及,促使入侵检测和预防成为网络系统的关键组成部分。

入侵

入侵者未经授权的访问涉及窃取有价值的资源并滥用这些资源,例如蠕虫和病毒。有入侵防御技术,例如用户身份验证和共享加密信息,这些技术还不足以运行,因为系统日益复杂,所以我们需要一层安全控制。

入侵者

它是一个试图通过系统或网络获得未经授权访问的实体。此外,该系统中存在的数据将随着该网络环境的不平衡而被破坏。

入侵者主要有两种类型

  • 伪装者(外部入侵者)——无权使用网络或系统
  • Misfeasor (Inside Intruder) – 授权访问有限的应用程序

入侵侦测系统

入侵检测系统是一种设备或应用程序,可检测异常指示并监控流量并将其结果报告给管理员,但无法采取措施防止异常活动。该系统保护数据和信息系统的机密性、完整性和可用性免受互联网攻击。我们看到网络是动态扩展的,风险的可能性也在增加,恶意入侵的机会也在增加。

入侵检测系统主要检测到的攻击类型:

  • 扫描攻击
  • 拒绝服务 (DOS) 攻击
  • 渗透攻击

图2 IDS架构

入侵防御系统

它基本上是入侵检测系统的扩展,可以保护系统免受可疑活动、病毒和威胁的侵害,一旦发现任何不受欢迎的活动,IPS 也会对这些活动采取行动,例如关闭接入点和阻止防火墙。

大多数入侵检测和预防系统使用基于签名的检测或基于异常的检测。                    

1. 基于签名——基于签名的系统使用一些已知攻击的签名库,如果签名与模式匹配,则系统检测到入侵会通过阻止 IP 地址或停用用户帐户访问应用程序来进行预防。该系统基本上是一个基于模式的系统,用于监控网络上的数据包,并将数据包与现有攻击的签名数据库或攻击模式列表进行比较,如果签名与模式匹配,则系统检测入侵并发出警报给管理员。例如抗病毒。

优势

  • 仅值得检测已知攻击。

坏处

  • 无法识别新的或未知的攻击。
  • 定期更新新攻击

2. 基于异常——基于异常的系统等待任何异常活动。如果检测到活动,系统会立即阻止进入目标主机。该系统遵循基线模式,首先我们使用合适的基线训练系统,并将活动与该基线进行比较,如果有人越过该基线将被视为可疑活动,并向管理员触发警报。

优势

  • 检测未知攻击的能力。

坏处

  • 更高的复杂性,有时难以检测和误报的机会。

众所周知,数据挖掘是通过将统计学家人工智能技术与数据库管理相结合,从庞大的数据集中提取模式的系统。在入侵检测 (ID) 和入侵防御设备 (IPS) 中,我们回顾了一些可能用于入侵检测系统(IDS) 和入侵防御设备 (IPS) 的数据挖掘的内容。

数据挖掘如何帮助入侵检测和预防

现代网络技术需要高级别的安全控制,以确保用户和客户端之间的信息安全和可信通信。入侵检测系统是在传统技术失效后对系统进行保护。数据挖掘是从大量数据中提取适当的特征。并且,它支持各种学习算法,即有监督和无监督。入侵检测基本上是一个以数据为中心的过程,因此在数据挖掘算法的帮助下,IDS 还将从过去的入侵中学习,并从经验中提高性能,同时发现异常活动。它有助于探索数据库的大量增加,并通过改进细分仅收集有效信息,并帮助组织实时计划和节省时间。它具有各种应用,例如检测异常行为、检测欺诈和滥用、恐怖活动以及通过测谎来调查犯罪。下面列出了可以使用数据挖掘技术进行入侵检测的领域。

  • 使用数据挖掘算法开发新的IDS模型: IDS模型的数据挖掘算法具有更高的效率和更低的误报率。数据挖掘算法可用于基于签名和基于异常的检测。在基于签名检测中,训练 信息分类为“正常”或“入侵”。然后可以派生一个分类器来发现 承认入侵。对此进行研究 地方包括澄清算法、关联规则挖掘和成本敏感建模软件。基于异常的完全检测建立正常的模型 行为自动检测与其的巨大偏差。方法包括聚类软件、异常值分析、算法和统计方法。使用策略必须高效和可扩展的,并且能够 处理 社区 过多体积、维度和异质性的信息。
  •  流数据分析:流数据分析是指以连续的方式分析数据,但由于计算复杂、处理时间长,数据挖掘主要用于静态数据而不是流式数据。由于入侵和恶意攻击的动态性,它更 内部执行入侵检测至关重要 记录 环境。此外,一个事件 普通自己 考虑到恶意,如果视为的一部分 一系列活动这样,远了 对于查看经常一起遇到的活动序列、定位序列模式和挑选异常值至关重要。其他用于定位演化集群和构建动态类的数据挖掘策略 记录的模型也是 对实时入侵检测至关重要。
  • 分布式数据挖掘:用于分析随机分布在各种数据库中的随机数据,因此数据的集成处理变得困难。入侵可能是 众多发起 与众不同 地点重点 许多独特的目的地。分布式数据挖掘策略 用于调查 社区 来自众多的数据 网络 检测的地方 那些 分布式攻击。
  • 可视化工具:这些工具用于以图形的形式表示数据,帮助用户直观地理解数据。这些工具还用于查看检测到的任何异常模式。此类工具 可能 包含 查看关联、判别模式、集群和异常值的能力。入侵检测结构 必须 实际上有一个图形用户界面允许 安全分析师提出有关网络的查询 数据或入侵检测结果。