基于联合数据挖掘的网络异常检测系统的研究
基于高斯过程模型的异常检测算法
基于高斯过程模型的异常检测算法于冰洁;夏战国;王久龙【摘要】为检测数据中的异常信息,提出基于高斯过程模型的异常检测算法.高斯过程可以根据训练样本从先验分布转到后验分布,对核函数的超参数进行推理,预测输出具有清晰的概率解释.对基于高斯过程模型的异常检测算法进行定义和描述,用Server Computers(电脑服务器)数据进行仿真实验,结合高斯过程先验和回归理论,在实验中选取RBF作为核函数,利用目标类数据的特性构造特征向量集,在TE工业过程时序数据集上验证了该算法的适用性和有效性.【期刊名称】《计算机工程与设计》【年(卷),期】2016(037)004【总页数】8页(P914-920,953)【关键词】高斯过程;协方差函数;异常检测;先验;回归【作者】于冰洁;夏战国;王久龙【作者单位】中国矿业大学计算机科学与技术学院,江苏徐州221116;中国矿业大学计算机科学与技术学院,江苏徐州221116;中国矿业大学计算机科学与技术学院,江苏徐州221116【正文语种】中文【中图分类】TP181近年来,基于数据挖掘[1]的异常检测研究取得了一些进展,翁鹤等[2]提出了混沌RBF神经网络异常检测算法;左青云等[3]提出了一种基于SDN的在线流量异常检测方法;范晓诗等[4]研究了加权条件熵在异常检测中的应用。
本文研究的是基于高斯过程模型的异常检测算法。
针对高斯过程方法,Rasmussen C.E.和Christopher K.I.Williams教授从机器学习的核方法角度出发,针对回归以及分类两类问题做出了系统的理论阐述与数值实验分析。
高斯过程有着严格的统计学习理论基础,是传统的多变量高斯分布从向量到函数的自然扩展。
高斯过程方法对于高维非线性的小样本数据,具有非常强的适用性和泛化能力,在机器学习研究领域中得到了广泛的重视[5]。
高斯过程精炼的协方差函数结构能极大的降低函数数据分析中参数估计任务。
同时,高斯过程具有完全的贝叶斯公式化表示,能够准确计算出先验概率值,进而很好地提高了高斯过程模型的性能,同时能够对未知的数据样本进行预测分析,给出相应的均值和方差。
人工智能技术在网络安全中的应用案例
人工智能技术在网络安全中的应用案例随着互联网的快速发展和普及,网络安全问题日益突出。
传统的网络安全技术已经远远不能满足复杂多变的网络攻击,因此研发基于人工智能的网络安全技术已成为当今的热点。
本文将介绍几个人工智能在网络安全中的应用案例。
第一部分:基于人工智能的入侵检测系统入侵检测系统(Intrusion Detection System, IDS)是网络安全中的关键技术之一。
传统的IDS主要依靠事先编写的规则来判断网络是否遭受入侵,然而规则的编写工作繁琐且无法应对新型的攻击手法。
基于人工智能的IDS通过对网络流量数据进行数据挖掘,能够自动识别异常行为并作出响应。
例如,使用机器学习算法,IDS可以学习网络正常行为的模式并自动检测出网络中的异常行为,从而及时发现并阻止潜在的攻击。
第二部分:智能防火墙防火墙是网络安全的重要基础,传统防火墙主要通过规则匹配判断网络数据是否允许通过。
然而,规则的编写通常需要人工参与,而且无法应对新型的攻击手法。
基于人工智能的智能防火墙能够自动学习并识别网络流量中的异常行为,可以动态地调整防火墙的策略以提高对新型攻击的识别和阻断能力。
此外,智能防火墙还可以根据网络流量的变化调整策略,实现更精细化的安全防护。
第三部分:恶意代码检测恶意代码是网络安全的重要威胁之一,而传统的恶意代码检测主要依靠特征匹配的方法。
然而,新型的恶意代码往往能够改变自身的特征,从而能够绕过传统的检测方法。
基于人工智能的恶意代码检测利用机器学习算法,通过对大量的良性和恶意代码的样本进行训练,建立模型来判断网络中的文件是否为恶意代码。
这种方法能够有效提高恶意代码检测的准确率和覆盖率,提前发现潜在的安全威胁。
第四部分:网络异常行为检测网络异常行为往往是网络攻击的前兆,因此及早发现并阻止异常行为对于网络安全至关重要。
基于人工智能的网络异常行为检测利用数据挖掘和机器学习算法,对网络流量进行分析,可以自动识别异常流量和异常行为。
网络异常行为监测与分析
敏感数据泄露案例
要点一
总结词
敏感数据泄露案例是指在网络传输或存储过程中,敏感数 据被非法获取或泄露的网络异常行为。
要点二
详细描述
敏感数据泄露通常包括个人信息、企业机密、政府文件等 类型的数据。这些数据一旦被泄露,将对个人隐私、企业 声誉和公共安全造成严重威胁。例如,2018年的 “Equifax”数据泄露事件,就是一家全球知名的信用机构 遭到了黑客攻击,导致超过1.4亿消费者的个人信息被泄露 。
网络异常行为监测与分析
目 录
• 网络异常行为概述 • 网络异常行为监测技术 • 网络异常行为分析方法 • 网络异常行为案例研究 • 网络异常行为防范与应对措施
01
网络异常行为概述
定义与分类
定义
网络异常行为指的是在网络环境中发生的异常行为,这些行为可能对网络安全 、网络秩序或个人权益造成威胁或损害。
分类
网络异常行为可以根据不同的标准进行分类,如根据行为性质可分为恶意攻击 、不正当访问、传播违法信息等;根据行为主体可分为个人异常行为和组织异 常行为。
常见网络异常行为
恶意软件攻击
如病毒、蠕虫、木马等,这些恶意软 件会破坏系统、窃取信息、干扰用户 操作等。
不正当访问
传播违法信息
如传播色情、暴力、恐怖等违法信息 ,这些行为可能对用户造成心理和社 交伤害,同时也会对网络环境造成不 良影响。
发现数据项之间的关联规则和频繁项集。
分类与预测
利用已知的分类数据训练模型,进行分类或 预测。
专家系统方法
专家系统方法
利用专家知识和经验进行推理和判断 ,识别异常行为。
知识表示
将专家知识表示为规则、框架或语义 网络等形式。
推理机制
基于网络流量分析的网络异常行为发现系统设计与实现
基于网络流量分析的网络异常行为发现系统设计与实现网络异常行为的发现对于网络安全至关重要。
传统的网络安全防护方式往往只能应对已知攻击手段,而对于新型的网络异常行为,传统防护手段则显得力不从心。
基于网络流量分析的网络异常行为发现系统成为了一种比较有效的解决方案。
本文将介绍一个基于网络流量分析的网络异常行为发现系统的设计与实现。
一、系统设计1. 系统架构设计基于网络流量分析的网络异常行为发现系统的设计分为三个主要模块:数据采集模块、异常行为检测模块和警报通知模块。
数据采集模块负责收集网络数据流量,并将其传送给异常行为检测模块。
异常行为检测模块分析网络数据流量,通过比对已知的正常行为模式,来检测出异常行为。
警报通知模块则负责向网络管理员发送警报通知,及时提醒网络管理员关于网络异常行为。
2. 数据采集模块设计数据采集模块是整个系统的基础,它负责实时采集网络流量数据。
数据采集模块可以通过网络监听器、网络监控代理或抓包工具来实现数据的采集。
收集的数据可以包括网络包的源IP地址、目标IP地址、传输协议、端口号以及相关时间戳等信息。
3. 异常行为检测模块设计异常行为检测模块是整个系统的核心,它通过分析采集到的网络流量数据,检测出可能存在的异常行为。
异常行为检测模块通常使用机器学习算法、数据挖掘技术等方法来分析网络数据,提取出异常行为的特征。
在训练阶段,异常行为检测模块通过使用已知的正常行为数据集进行模型训练。
在实时监测阶段,该模块使用训练好的模型对新的网络数据流量进行检测。
若检测到异常行为,则触发警报通知。
4. 警报通知模块设计警报通知模块负责向网络管理员发送相关的警报通知,以便及时采取措施进行处理。
警报通知模块可以通过电子邮件、短信通知、手机应用程序等方式将警报信息发送给网络管理员。
二、系统实现1. 数据采集模块实现数据采集模块可以使用开源的网络抓包工具如Wireshark或tcpdump来实现。
通过设置过滤规则,只收集感兴趣的网络流量数据,同时根据实际需求设置数据采集的时间间隔。
以下是100个专业性强且不含其他符号的大学毕业设计中文标题
以下是100个专业性强且不含其他符号的大学毕业设计中文标题1. 基于深度学习的图像识别算法在智能驾驶系统中的应用研究2. 基于机器学习的股票价格预测模型设计与实现3. 基于深度强化学习的自动对弈围棋系统研究4. 基于人工智能的大数据分析与应用研究5. 基于虚拟现实技术的智能导览系统设计与实现6. 基于物联网技术的智慧农业系统设计与实施7. 基于区块链技术的供应链金融创新研究8. 基于生物特征识别的人脸解锁技术研究与应用9. 基于深度学习的医学图像分析与疾病诊断研究10. 基于云计算的网络安全防护系统设计与实现11. 基于信息检索技术的个性化推荐算法研究12. 基于模式识别的语音情感识别与分析研究13. 基于虚拟现实技术的室内导航系统设计与实施14. 基于智能算法的物流路径优化研究与应用15. 基于人工智能的智能家居系统设计与实现16. 基于深度学习的文本分类算法研究与应用17. 无线传感器网络中的能量优化算法设计与实现18. 基于多媒体技术的电子商务应用系统设计19. 机器人导航与路径规划算法研究与实现20. 基于图像处理的手势识别技术研究与应用21. 大规模数据挖掘与分析算法研究与优化22. 人工智能在智能交通管理中的应用研究23. 基于模糊逻辑的供应链风险评估与预测研究24. 基于机器学习的网络欺诈检测与预防研究25. 基于深度学习的自然语言处理算法优化26. 基于情感分析的社交媒体舆情监测与预测27. 基于人工智能的无人机智能控制系统设计28. 基于机器学习的推荐系统算法研究与优化29. 多传感器融合定位系统设计与实现30. 基于深度学习的视频内容分析与识别研究31. 基于图像处理的人体姿态识别与动作分析研究32. 基于人工智能的社交媒体用户行为分析研究33. 基于深度学习的智能语音识别技术研究与应用34. 基于机器学习的疾病风险预测模型设计35. 基于数据挖掘的社交媒体用户画像建模研究36. 基于深度学习的心电图分析与异常检测研究37. 基于人工智能的智能电网负荷预测模型研究38. 基于虚拟现实技术的交互式教学系统设计与实现39. 基于图像处理的目标跟踪与识别算法研究40. 基于机器学习的车牌识别技术研究与应用41. 基于人工智能的智慧医疗信息管理系统研究42. 基于深度学习的音频情感识别与分析研究43. 基于自然语言处理的用户评论情感分析研究44. 基于数据挖掘的网络用户行为预测模型设计45. 基于机器学习的文本自动摘要算法研究与应用46. 基于深度学习的行人检测与跟踪算法研究47. 基于人工智能的智慧城市交通管理系统研究48. 基于机器学习的文本情感分类算法研究与优化49. 基于物联网的环境监测与预警系统设计与实施50. 基于深度学习的人脸表情识别与分析研究51. 基于机器学习的网络异常检测与防护研究52. 基于人工智能的智能家居能源管理系统设计53. 基于深度学习的交通流量预测与优化研究54. 基于图像处理的虚拟试衣技术研究与应用55. 基于机器学习的网络推荐算法研究与优化56. 基于人工智能的智慧电力系统调度优化研究57. 基于深度学习的医学影像分割与重建研究58. 基于模式识别的人体行为识别与分析研究59. 基于物联网的智能车辆管理系统设计与实现60. 基于深度学习的自动驾驶车辆路径规划研究61. 基于机器学习的航空器故障诊断技术研究62. 基于人工智能的智能交通信号控制系统研究63. 基于深度学习的医学图像分类与识别研究64. 基于虚拟现实技术的房地产展示系统设计与实现65. 基于机器学习的电力设备状态评估与预测研究66. 基于人工智能的智慧校园安防系统设计与实施67. 基于深度学习的人机对话系统研究与应用68. 基于模块化设计的电动汽车电池管理系统研究69. 基于数据挖掘的医疗数据隐私保护研究与应用70. 基于深度学习的交通视频监控与事件检测研究71. 基于机器学习的客户流失预测与策略优化研究72. 基于人工智能的智慧零售系统设计与实现73. 基于深度学习的医疗图像超分辨率重建研究74. 基于虚拟现实技术的体育训练模拟系统设计75. 基于机器学习的电力负荷预测与优化研究76. 基于人工智能的智能音箱语音交互系统研究77. 基于深度学习的视频人脸识别与验证研究78. 基于模式识别的手写数字识别算法研究与应用79. 基于物联网的智能健康监护系统设计与实施80. 基于深度学习的舆情分析与事件预测研究81. 基于机器学习的商品销售预测与库存管理研究82. 基于人工智能的智慧园区安防管理系统设计83. 基于深度学习的电力设备故障诊断与预警研究84. 基于虚拟现实技术的博物馆展示系统设计与实现85. 基于机器学习的用户购买行为预测与推荐研究86. 基于人工智能的智能无人超市系统设计与实施87. 基于深度学习的医疗图像配准与重建研究88. 基于特征提取的人脸识别算法研究与应用89. 基于物联网的环境智能监测与控制系统设计90. 基于深度学习的抑郁症智能诊断与辅助研究91. 基于机器学习的违规行为检测与防范研究92. 基于人工智能的智慧餐饮系统设计与实现93. 基于深度学习的电网故障诊断与恢复研究94. 基于虚拟现实技术的建筑设计与可视化应用研究95. 基于机器学习的用户情感分类与分析研究96. 基于人工智能的智能安防监控系统设计与实施97. 基于深度学习的室内人员定位与追踪研究98. 基于模式识别的手势控制系统设计与实现99. 基于物联网的智能环境监测与控制系统设计100. 基于深度学习的肺部疾病诊断与分析研究。
一种基于聚类算法的网络异常检测方法研究
一种基于聚类算法的网络异常检测方法研究作者:赵明严宏举张明军安娜韩进喜来源:《计算机与网络》2020年第10期摘要:针对聚类算法普遍存在的数值震荡和计算量大以及传统异常检测中存在的分析准确率低和时效性差等问题,提出了一种改进的近邻传播聚类算法———IMAP的异常数据检测方法。
通过数据采集、数据预处理和聚类分析3个阶段实现异常数据的识别和定位,引入动态阻尼系数的聚类分析方法對标准化数据进行异常检测,为构造安全和稳定网络提供了参考。
实验结果表明,利用IMAP的异常检测方法能有效地提高异常检测的运行效率和算法的精确度,具有实际的应用价值和意义。
关键词:AP聚类;IMAP聚类;异常检测;聚类算法中图分类号:TP393文献标志码:A文章编号:1008-1739(2020)10-68-40引言近年来,随着互联网技术的发展,网络结构日益复杂,数据规模日益扩大,对网络的管理与监测越来越受到人们的重视。
物理拓扑上的网络动态级联故障将导致失效节点对周围节点产生级联失效效应[1-3]。
虚拟化技术的出现,虚拟节点与底层物理节点映射的动态性导致虚拟网络和底层物理网络的故障因果关系更加难以预测;网络运行稳定后,网络故障发生的频次低,导致异常数据收集少,进而难以覆盖异常的全部分布。
而当网络和信息系统迭代建设更新后,可能出现新的异常事件,但异常事件典型样本的缺乏将无法有效检测未知异常。
网络异常检测是指以网络流数据为输入,通过数据挖掘、统计分析和机器学习等方法,发现异常的网络数据分组和异常网络交互等信息[4-5],综合分析并借鉴上述异常检测方法的优缺点,提出一种基于改进的近邻传播(AP)聚类算法[6-10],用于进行网络异常数据检测,该AP聚类方法可以有效解决聚类算法普遍存在的数值震荡和计算量大等问题。
使用改进的AP聚类算法对网络异常进行检测,能有效提高检测效率,并能很好地适应通信网多样化的复杂数据。
1异常检测相关算法异常检测也被称为基于活动行为的入侵检测,是指能检测出区别于正常行为的所有的行为,如未知的攻击行为。
基于数据挖掘的IPv6异常检测研究
【 摘 要】 : 保障I P v 6 网络安全 已经成为 当前十分 紧迫的任务。针对传统基 于 I P v 4 协议 的入侵检 测 系统难 以适 应 I P v 6网络 高 带宽环 境 问题 , 借鉴 数 据挖 掘 方 法 , 构建 I P v 6网络 异 常检 测原 型 系统 , 支
持I P v 6 协议 , 自 动挖掘 网络行为模 式, 保证异常检测的 自 适应性。 实验结果表明 , 该原型系统基本适应
于特 征 的误用 检 测系 统难 以胜任 I P v 6网络环 境 , 无法 准确 、 及 时检 测 针对 I P v 6网 络 的攻 击 事件 , 检 测性 能 1 . 2难 以检 测未 知 的新型攻 击 目前基 于 特 征 的误 用 检 测 通 常根 据 攻 击 特 征 规
不高 [ 3 1 。因此 , 支持 I P v 6网络 的入 侵检 测 技术 研 究具 则库 进 行 入 侵 分 析 、 判决 , 而这 个 规 则 库 是通 过 收 集 有 十分 重 要 的理论 指 导意 义 和 实 际应 用 价 值 , 已经 列 已知 的 攻击 行 为 、 系 统脆 弱 性 信 息 而提 炼 形 成 , 这 对 入 国家“ 十二五 ” 规划 下 一代 互 联 网信 息 安全 专 项 中 于检 测 新型 的攻 击就 显得 无 能 为力 。因此 , 入 侵检 测 的一项 支持 重 点 , 成 为 当前 我 国信 息安 全 领域 研 究 的 亟 需引 入一 种通 用 的检测 技 术 思路 与 机制 , 及 时检 测
性。
统 的准 确性 和有 效性 。显然 , 降低 漏 报 和误 报 是 I P v 6
1 、 传 统入侵 检 测 的主要 问题
入 侵检 测是 继 防 火墙 之 后 的第 二道 安 全 防线 , 发 挥 着主 动 的 防御作 用 。然 而 , I P v 6网络 不 是对 传 统 网
基于大数据的网络异常检测与预警
基于大数据的网络异常检测与预警随着互联网的普及和发展,网络异常问题也变得越来越复杂和严重。
大数据技术的迅猛发展为网络异常检测与预警提供了新的解决方案。
本文将重点讨论基于大数据的网络异常检测与预警的原理、方法和应用。
一、概述网络异常检测与预警是指在网络运行过程中,通过收集、分析和处理大量的网络数据,及时发现和预测网络中的异常行为和问题,以保障网络的正常运行、安全性和稳定性。
传统的网络异常检测方法往往需要人工干预和固定的规则,难以适应复杂多变的网络环境。
而基于大数据的网络异常检测与预警可以自动化、实时化地识别异常,并对可能的风险提前预警,从而提高网络安全性和效率。
二、基于大数据的网络异常检测与预警原理1. 数据采集与处理:大数据的网络异常检测与预警首先要进行大规模数据的采集和处理。
这些数据包括网络流量数据、日志数据、用户行为数据等。
通过数据清洗、去除冗余和融合等技术,将海量的异构数据整合成可供分析使用的格式。
2. 特征提取与选择:在数据采集和处理之后,需要从原始数据中提取关键的特征信息。
常用的特征包括网络流量的大小、频率、时延等,也可以结合机器学习技术挖掘更复杂的特征。
特征选择则是根据重要性和相关性对提取的特征进行筛选,以减少维度和提高计算效率。
3. 异常检测与分类:在特征提取和选择之后,接下来是通过建立模型和算法对网络异常进行检测和分类。
常用的方法包括聚类分析、异常值检测、关联规则挖掘等。
这些方法可以从大数据中发现异常行为和异常模式,从而快速识别网络中潜在的异常情况。
4. 预警与响应:当检测到网络异常后,需要及时进行预警和响应。
预警可以通过短信、邮件、推送等方式向相关人员发送警报信息。
响应则包括及时处理异常问题、修复漏洞和完善网络安全机制等措施。
三、基于大数据的网络异常检测与预警方法1. 基于机器学习的方法:机器学习是大数据网络异常检测与预警中常用的方法之一。
通过训练模型,使机器能够从已有的数据中学习到异常模式和规律,并能够对新的数据进行预测和分类。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于联合数据挖掘的网络异常检测系统的研究摘要:网络攻击日趋隐蔽和复杂化,传统的检测方法具有很大的局限性。
该文提出将网络管理中故障管理和性能管理相结合,根据目前网络中可获得的丰富的数据进行联合挖掘,能够全面发现网络中存在的问题。
关键词:数据挖掘异常检测网络管理Research on Network Anomaly Detection System Based on Alliance Data MiningAbstract:The network attacks become more and more unnoticeable and complex,which can deceive the traditional detection methods.In this paper,a method focusing on how to alliance mining according to the diverse network data is discussed,combining fault management with performance management,which can discover problems in network thoroughly.Keywords:Data Mining Anomaly Detection Network Management随着目前网络环境越来越复杂,网络攻击形式越来越多样,如何维持网络性能的稳定成为网络管理的一个难题。
现实中引起网络异常的原因有很多,典型的有:网络设备故障、网络过载、恶意的拒绝服务和网络入侵等等。
如何发现这些异常一直是研究的热点问题。
然而网络异常的发现依赖于可获得的网络数据及其分析。
一般情况下,网络中可获得数据包括:网络设备的告警日志、网络设备的Trap消息、网络流量数据和基于简单网络管理协议(SNMP)获得的相关MIB的数据。
我们假设“网络异常能够在异常事件发生之前或发生时被一些相关的瞬时变化所刻画”,所以通过对这些数据的分析一般都能发现与异常相关的信息。
[1]在此之前已经有专家在这方面进行了一些有创造性的工作。
1997年Mika Klemettinen等人提出了“频繁情节(frequent episode)”的概念[2],在1999年提出了将频繁情节挖掘的方法应用于电信网的告警数据分析中,用来自动提取规则,并实现了一个“电信网告警序列分析器(TASA)”的电信网故障管理系统[3](见图1)。
在流量异常分析方面,目前在入侵检测系统中研究的较多。
主要包括基于行为(异常检测)和基于知识(误用检测)两类[4]。
基于知识的检测一般是在对已知攻击特点进行分析的基础上提出规则,然后根据这些规则进行检测,特点是速度慢,准确度高,但对于未知的攻击无能为力。
基于行为的检测一般是以统计的方法来分析某一网络的流量特点,建立相应的数学模型,然后根据定义的模型来预测异常。
这种方法的特点是速度快,对未知的攻击也能预测,但误报率较高。
告警日志的挖掘是网络管理的故障管理方面的内容,而流量异常分析则涉及性能管理方面的内容。
在实际中往往存在相关性,例如某些设备的故障会导致整个网络性能的下降,而某些流量引起的网络拥塞则极有可能会引起网络设备的故障。
并且在当前网络复杂性日趋增加的情况下,只有将各方面的数据结合起来,从不同的角度进行分析,才能取得更好的效果。
因此,我们将网络中的各种数据联合起来进行分析,用来更好的发现各种网络异常。
1 联合数据挖掘系统的设计1.1 数据挖掘简介数据挖掘是从大量的、有噪声的数据中提取出事先并不知道的信息的过程,这种信息往往是以模式、趋势和结构的形式呈现的[5]。
它包含多种技术如数据库管理、机器学习、统计、并行处理和可视化等。
它一般分为一下几个步骤:①数据清洗,清除噪声或不一致的数据;②数据集成,多种数据源可以组合在一起;③数据选择,从数据库中选择与分析任务相关的数据;④数据变换,转换成适合挖掘的形式;⑤数据挖掘,使用智能方法提取数据模式⑥模式评估,识别表示知识的模式;⑦知识表示,向用户呈现获取的知识。
通常根据不同的目的选择不同的分析方法。
数据挖掘中常用的分析方法有:关联分析、频繁情节分析、聚类分析、分类、回归等。
在我们的系统中用到了关联分析、频繁情节分析、分类和聚类分析的方法。
1.2 网络数据的获取获取正确类型的网络数据对于异常检测是必需的。
被检测的异常的类型依赖于可获取的网络数据。
目前获取网络数据的方法有如下几种:(1)网络设备的告警日志网络设备(如交换机、路由器、服务器等)在运行过程总都会产生大量的日志,这些日志中包含了用户的异常行为:例如对设备的非授权访问、路由器或交换机的某个端口链路异常、DHCP服务器分配地址失败等等。
对这些数据的分析对于发现R2L,U2R等攻击非常有效。
(2)基于简单网络管理协议获得的相关数据简单网络管理协议的MIB中提供了网络中被管设备的大量的信息。
例如MIB-II中的interface组中的信息提供了被管设备的端口的流量的详细统计情况[6],通过对交换机或路由器的这些统计信息的获取,可以知道具体端口的流量情况。
对这些数据的分析可以发现分布式拒绝服务(DDoS)攻击等以损耗带宽为目的的攻击。
但是这类数据只是提供统计以后的信息,对于转发的具体IP分组的信息不记录。
(3)IP分组捕获目前捕获IP分组的信息的方法有两种:一种是CISCO的Netflow[7]:Netflow是CISCO基于流测量的专有技术,其性能高,且能适应100?m带宽的需求,而且其独有的流归并的方法,使得统计更加简单,且效率更高。
目前已经广泛应用于网络性能检测和流量计费等领域。
然而它一般需要相应的路由器或交换机等硬件设备的支持。
另一种是利用Libpcap[8]库:Libpcap库是UNIX环境下通用的函数库,目前在Windows环境下也有相应的Winpcap库。
著名的sniffer 软件TCPDUMP和Ethereal就是分别以这两个库为基础开发的。
适合于在局域网中使用。
1.3 联合数据挖掘系统的架构综合上面提到的可获取的网络数据,并把网络管理中的故障管理和性能管理结合起来,我们提出了一个联合数据挖掘系统,如图2所示。
我们采取了类似于简单网络管理协议中的代理和管理者的结构。
代理向管理者提供测量的网络数据供挖掘系统进行分析,通过1.2节的分析,我们知道这些网络数据都是可以得到的。
挖掘系统负责对这些不同的数据进行分析,是整个系统的核心。
如图3所示。
在上图中,数据预处理包含了数据挖掘步骤中的数据清洗、数据集成。
关联挖掘、频繁情节挖掘和流量异常分析对应挖掘过程。
参数设定和规则修订是评估的过程,也是一个自我学习的过程。
2 系统实现2.1 告警日志和Trap消息的挖掘对于告警日志和Trap消息的分析属于网络管理中故障管理方面的内容。
目前的网络设备(如交换机、路由器和UNIX服务器等)的告警日志大都采用UNIX系统的日志格式,即syslog的格式。
这些日志不仅可以保存在本地,而且可以通过网络进行传输,供远程日志分析服务器进行分析。
例如对于如下一条CISCO路由器的告警日志:*Apr 29 15:54:49:%DHCPD-4-PING_CONFLICT:DHCP address conflict:server pinged 172.18.41.164.’其中“Apr 29 15:54:49”为告警产生时间,“DHCPD”表示引起告警的事件类型,“4”表示告警级别,数字越小表示越严重。
“DHCP address conflict:server pinged 172.18.41.164”表示日志的内容。
我们可以将其解析以后的各个属性存储在数据库中,对其属性间的关系做关联分析。
通过对数据库中这些告警日志的分析,我们可以发现设备频繁发生的告警事件类型,以及这些事件的严重程度。
例如如下的一条关联规则:“172.18.31.242 → LINK,3(90%,80%)”说明“172.18.31.242”这台设备发生“LINK”事件的关联度为90%,置信度为80%。
根据关联规则中对关联度和置信度的定义,这表明IP为“172.18.31.242”、事件类型为“LINK”的事件占总事件的90%,而“LINK”事件有占所有IP为“172.18.31.242”的事件的80%。
频繁情节的挖掘与关联规则挖掘的区别在于它考虑的是同一属性在不同时间出现的规律,而关联规则考虑的是不同属性之间的关系,没有考虑时间。
例如如下一条频繁规则:“如果link和link failure在5?s内发生,那么high fault rate的警告在60?s内发生的概率为70%”[2],通过这种形式的挖掘,我们可以发现周期事件,并且可以发现事件在时间上的相关性。
在实际种,这种规则往往比关联规则更有意义。
Trap消息是当设备状态发生改变自动触发的消息。
这里的Trap 消息指的是简单网络管理协议中的Trap消息。
在简单网络管理协议中定义了7中Trap消息类型:“coldStart”,“warmStart”,“linkDown”,“linkUp”,“authenticationFailure”,“egpNeighborLoss”,“enterpriseSpecific”。
其警告级别依次降低。
对于Trap消息的处理我们可以采取基于规则的形式,因为它的消息的类型只有7种。
例如当频繁发生“authenticationFailure”事件时,则可以判断为发生snmpget 攻击。
2.2 流量异常分析通过IP流的捕获和SNMP的MIB而获得的流量信息对于异常分析是一个很好的数据源。
基于行为的异常检测和基于规则的误用检测是入侵检测系统发现攻击的两种方法,我们将这两者结合起来。
对于已知的攻击,管理员可以通过对规则库的修订来知道异常分析模块来更加准确的工作。
另外对于未知的攻击,采用数据挖掘中的分类和聚类的方法来刻画正常流量和异常流量的区别。
2.2.1 通过SNMP 的MIB信息来捕捉异常SNMP的MIB中提供了丰富的统计信息,例如对于端口扫描,我们可以利用MIB中的下列数据项来发现异常:tcp组中的tcpAttcmptFails::该实体中发生的失败连接尝试的数量;udp组中的udpNoPorts:在目标端口没有应用程序而接收的UDP 报文的总数;现实中的端口扫描,如著名的nmap软件,往往都是对目标主机的每个端口进行尝试性连接。
那么这个过程中必然因为目标主机的某些端口没有打开而失败,从而造成上述两个变量的增加。
管理员可以通过在规则库中添加这些变量的监控范围来发现这种异常。