文档介绍：数据挖掘技术及其在网络安全中的应用


该论文来源于网络，本站转载的论文均是优质论文，供学****和研究使用，文中立场与本网站无关，版权和著作权归小支持度和最小可信度。最小支持度是指一组对象关联在一起需要满足的最低联系程度。若低于最小支持度，则认为这组对象无关联。最小可信度的含义是一个关联规则的最低可靠程度。若低于最小可信度，则认为该关联规则不可信。因此，为使关联规则有意义，从源数据中挖掘出的关联规则必须既满足最小支持度又满足最小可信度。关联规则是数据挖掘中最活跃的研究方法之一。
　　 分类
　　分类可用于数据预测，即通过处理、分析历史数据，形成一个分类函数或分类模型，从而通过该模型来预测未来数据的趋势。数据分类一般分为以下两个步骤。首先是模型建立，即使用训练数据进行学****构造模型。然后便是使用该模型对未知数据进行分类，达到预测的目的。从机器学****的观点来看，由于每个训练数据的类标识都是预先定义的，因此分类属于有指导学****br/>　　分类模型（又称为分类器）的构造方法主要有三种。第一种是统计方法，它包括非参数方法、贝叶斯法等。第二种是机器学****方法，它包括规则归纳法、决策树法。第三种是神经网络方法，它主要是BP算法。
　　 聚类
　　聚类用于数据总结。聚类以相似性为依据，将数据对象划分为多个类别，使得同一类别中对象之间的差别尽可能小，而不同类别中对象之间的差别尽可能大。与分类学****不同，分类操作中类标识是特定的、已知的、预先定义的，而聚类操作中类的形成是未知的、由数据驱动的，因此聚类没有训练实例和预先定义的类标识，属于无指导学****以聚类分析算法的主要思路为依据，它可以分成五类比较有代表性的方法，即基于划分的聚类方法（如k-平均算法）、基于层次的聚类方法（如AGNES算法）、基于密度的聚类方法（如DBSCAN算法）、基于网格的聚类方法（如STING算法）、基于模型的聚类方法（如SOM算法）[2]。
　　3 数据挖掘在网络安全中的应用研究
　　 网络安全技术存在的缺陷
　　一方面，传统的网络安全技术扩展性差，往往只能发现模式规定的、已知的入侵行为，不能自动发现新的入侵行为，对于未知的入侵行为缺少防范，因此使得网络安全性降低，同时系统适应性差，检测和响应的速度慢。另一方面，记录入侵行为时需要通过人工或其他方法来记录和分类用户行为，工作量大且工作效率低。
　　 数据挖掘在网络安全中的具体应用
　　入侵检测技术是网络安全技术之一，它对于保障网络安全起着重要作用，能用于检测多种网络攻击，例如计算机病毒、网络映射、针对系统漏洞的攻击等。入侵检测是指在入侵已经开始但还未造成危害或更大危害前，及时检测入侵，以便尽快阻止入侵，把危害降低到最小。
　　入侵检测方法一般分为两种，其中较常用的是基于特征的入侵检测，另一种则是基于异常的入侵检测[3]，二者分别应用异常模型和正常模型。基于特征的入侵检测应用异常模型，该模型中存储所有已知攻击标志性特征，当发现用户当前操作行为与攻击特征相匹配时，则认为发生了入侵行为。由于该方法只能检测已知攻击，因此会漏报许多未知攻击，导致漏报率高。基于异常的入侵检测应用正常模型，该模型中存储用户的正常行为，当发现用户当前操作行为与正常模型不匹配时，则认为发生了入侵行为。由于该方法将不符合正常模型的用户行为均视为入侵行为，因此误报率高[4]。
　　为降低漏报率和误报率，在入侵检测系统中采用分类算法或关联规则方法。
　　利用分类算法时，首先进行数据抽取，从网络传输的数据包中取出可用于对传输层连接记錄分类的特征属性，作为分类依据，然后从包含特定攻击手段的训练数据中挖掘出对应的分类规则，从而实现对实际网络中的连接记录进行分类，预测该连接是否为入侵行为。
　　利用关联规则分析时，首先对用户操作行为的历史数据进行采集和预处理，然后挖掘出正常情况下用户所执行命令中的相关性，从而建立每个用户的历史行为模式，利用该模式对当前用户行为进行比较和判断，检测用户行为是否异常[5]。
　　4 结论
　　与传统网络安全技术相比，将数据挖掘技术应用于入侵检测的数据分析中后，便可有效利用网络环境中的安全事件数据，从而挖掘出隐藏在其中的安全信息，抽象出与安全相关的特征属性，利于判断并发现未知的入侵行为，有效提高检测效率及网络安全性。
　　参考文献：
　　[1] [J].图书情报工作，2015（S2）：142-147.
　　[2] 毛国君，[M]. ：清华大学出版社，2016：1-196.
　　[3] [