基于数据挖掘的信息管理风险预警系统研究.docx

该【基于数据挖掘的信息管理风险预警系统研究 】是由【科技星球】上传分享，文档一共【15】页，该文档可以免费在线阅读，需要了解更多关于【基于数据挖掘的信息管理风险预警系统研究 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。基于数据挖掘的信息管理风险预警系统研究
 
 
李颖
(海军青岛特勤疗养中心 经济管理科,山东 青岛 266071)
0 引言
最初人们使用防火墙、信息审计等保证信息管理系统的安全，但是它们存在许多不足，如只能被动对一些非法入侵，攻击行为进行防范，而信息管理风险预警技术是一种主动的防范方式，可以对信息管理系统将来的风险进行评估，根据评估结果对信息管理风险进行预警，成为信息管理系统安全的主要保障措施[1]。在实际应用中，存在许多类型的信息管理风险预警系统，它们均存在一些不足，如难以对风险进行准确评估，信息管理风险预警的错误率高等，无法保证信息的安全。
为了提高信息管理风险预警效果，设计了一个基于数据挖掘的信息管理风险预警系统，并通过仿真实验对信息管理风险预警系统的有效性和可行性进行了具体测试。
1 数据挖掘的信息管理风险预警系统
信息管理风险预警系统总体结构
信息管理风险预警系统采用分布式结构[2-3]，主要包括检测域、预警代理、区域预警中心，区域预警中心能够对报警信息进行融合，预警代理包含在检测域中，同一个检测域中可以包含多个预警代理，以此来实现数据包获取以及预处理等检测分析。信息管理风险预警系统的总体结构如图1所示。
从图1可以看出，每个检测域中都包含了蜜罐宿主机、蜜罐网关、日志服务器等多个网段，其外观均为2U标准尺寸，当检测域确定之后，其中的主机IP地址也会随之确定，实现检测域与IP地址的绑定[4-5]。检测域中的蜜罐宿主机能够虚拟安装业务系统，通过安装主机行为监控模块，实现威胁入侵行为的监控。蜜罐网关能够隔离主动防御系统与实际信息网络系统，将进入蜜罐宿主机的威胁入侵行为控制在蜜罐宿主机中。日志服务器的主要功能是收集各类原始流量数据包和网络、主机日志，将得到的样本文件进行关联分析，结合离线分析技术实现系统的数据分析需求。
图1 信息管理风险预警系统总体结构
设计信息管理风险预警系统
数据采集
在预警代理模块中，需要对数据进行处理和分析，其中能够判断风险类型的叫做预警规则库。规则库主要包括入侵特征库和正常模式库，入侵特征库是根据经过研究的攻击类型的特点，利用模式匹配来分辨攻击类型。这两种规则库都需要通过获取网络数据包不断地更新[6-8]。为了获取到网络数据包，在Windows平台下选择WinPcap库完成数据采集，WinPcap的结构如图2所示。
图2 WinPcap结构图
正常模式库中包括正常行为特征，主要用来进行异常检测。特征规则的结构主要包括两部分，一部分包括规则操作、协议、IP地址等，这一部分被称作规则
头部；另一部分主要包括预警信息的需要监测模式的信息，被称为规则选项[9-10]。建立的规则库内容与结构如图3所示。
图3 规则库结构
上述过程中，出现了屏蔽弧和屏蔽孤点的操作，需要统一对屏蔽行为的流程进行规范。在屏蔽过程中，确定发生了某个攻击行为，如果该行为所对应的顶点被屏蔽，那么需要取消该顶点、该行为指向其所有后继行为所对应的弧与对应顶点的屏蔽，求解出新的攻击支撑树。使用支撑树对使用行为进行预测，相关流程如图4所示。
图4 行为预测流程图
图4的流程图GP集合为：在进行行为预测时，某一行为的后续行为并不唯一时，将后续可能的行为划分成的集合称为GP集合。在网络使用行为预测过程中，在进行攻击行为权值自适应的同时，也进行了非攻击行为的权值自适应操作，并利用自适应模块进行维护和更新。
对于已知的攻击进行检测，根据上图对于误用检测的效果比较好，但是对于未知、规则库中不存在的新型攻击来说，需要先误用检测后再进行异常监测，这样的效果比较好。
攻击行为预测
为实现风险程度的有效辨识，采用误用检测与异常检测共同作业的方法，误用检测通过入侵规则库，将其中的特征数据与用户行为数据进行对比匹配，当匹配成功后做出相应的指示。在得到目前的使用行为后，需要对下一步的行为进行预测，对于完整网络来说，查询和预测耗时较多，为降低预测难度，引入支撑树的概念。为创造支撑树，需要结合实际情况和需求，设置权重阈值，访问后继行为表并判断是否所有后继行为表遍历完毕，如果遍历完毕那么直接去判断行为带权有向图中的孤点情况[11-12]；如果没有遍历完毕，需要辨别后继行为表中的权重是否低于阈值，如果低于阈值需要屏蔽该弧，如果在阈值内，返回到访问后继行为表重新判断遍历情况，再继续判断是否存在孤点，如果有直接屏蔽后能够求出攻击支撑树。
信息管理风险评估
(1)
对判断矩阵进行调整，直到得到满足一致性要求的判断矩阵。模糊综合评价模型具有3个基本要素：因素集合U={U1,U2,…,Um}、评价集合V={V1,V2,…,Vn}和单因素评价矩阵R，其中影响因素的数量不确定，暂且记作Ui(i=1,2,…,m)，影响因素相对应的权重系数能够反映出各因素在综合评价中具有的重要程度，可以表示为ai(i=1,2,…,m)，对所有的影响因素进行分级划分，构成了综合模糊评价模型，单因素评价矩阵R和一级模糊综合评价模型如式(2)、式(3)。
(2)
(3)
(4)
数据挖掘的预警机制
对于已经完成采集的数据，网络中的数据包会按照时间顺序依次排列，为了实现预警系统对于攻击行为的分析，需要从大量的数据中挖掘出其中的关联相关关系或因果结构，这种数据挖掘的方法称为关联规则。数据挖掘的过程繁琐，但是具体的步骤比较清晰，主要包括3步：准备数据、挖掘信息、总结测评。在数据的准备阶段使用的数据大部分是在数据库中经过很长时间的存储，失去
了时效性，对于用户来说意义不大，因此在数据挖掘前要提前准备好需要进行挖掘的数据的大概信息。在挖掘过程中，应用到的数据挖掘技术为关联性分析。
假设不同项目的集合表示为I={i1,i2,i3,…,im}，那么该集合中共有m个不同项目，在交易数据库D中的每一个交易或事务都是上式中的一组项目的集合，那么对于I中的项目集也存在于某个交易或事务中，那么说明这个交易或事务支持该项目集，说明在这之间存在关联规则。将这种数据挖掘方法应用到风险预警机制中，具体如图5所示。
图5 基于数据挖掘的风险预警机制