数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法学数据挖掘如何帮助入侵检测和预防系统?
入侵可以被定义为任何威胁网络资源(例如,用户帐户、文件系统、系统内核等)的完整性、机密性或可用性的服务集合。
入侵检测系统和入侵预防系统都监控网络流量和系统性能以查找恶意活动。前者生成报告,而后者位于网络内联,能够主动避免/阻止已识别的入侵。
入侵预防系统的优势在于能够识别恶意活动、记录相关数据、尝试阻止/停止活动并记录活动。数据挖掘方法可以通过以下几种方式支持入侵检测和预防系统,以提高其性能:
用于入侵检测的新型数据挖掘算法 - 数据挖掘算法可用于基于特征的检测和基于异常的检测。在基于特征的检测中,训练数据被标记为“正常”或“入侵”。
可以导出分类器来识别已知的入侵。这方面的研究涉及分类算法、关联规则挖掘和成本敏感建模的应用。
基于异常的检测构建正常行为模型,并自动识别与正常行为的重要偏差。几种方法包括聚类、异常值分析和分类算法以及统计方法的应用。这些技术应高效、可扩展,并能够处理大容量、高维度和异构的网络数据。
关联、相关性和判别模式分析有助于选择和构建判别分类器 - 关联、相关性和判别模式挖掘可用于发现定义网络数据的系统属性之间的关系。此类数据可以帮助了解如何选择用于入侵检测的有用属性。从聚合记录中改变的新属性也可能会有所帮助,包括与特定模式匹配的流量的汇总计数。
流数据的分析 - 由于入侵和恶意攻击的瞬态和动态特性,在数据流环境中实施入侵检测非常重要。此外,一个事件本身可能是正常的,但如果将其视为一系列事件中的一个元素,则会被认为是恶意的。
因此,研究通常遇到的事件序列、发现顺序模式和识别异常值至关重要。用于发现演变集群和在数据流中构建动态分类模型的多种数据挖掘方法对于实时入侵检测也至关重要。
分布式数据挖掘 - 入侵可能来自多个位置,并针对多个不同的目标。分布式数据挖掘方法可用于探索来自多个网络位置的网络数据,以识别这些分布式攻击。
可视化和查询工具 - 应提供可视化工具来检查检测到的某些异常模式。此类工具可能包含用于查看关联、判别模式、集群和异常值的特性。入侵检测系统还必须具有图形用户界面,使安全分析人员能够提出关于网络数据或入侵检测结果的查询。
818 次浏览
