一种基于IDS接入数据挖掘与分析方法研究

来源:用户上传      作者:

　　[摘 要]通过将IDS的安全事件接入到系统中并对安全事件进行分析。对冗余的数据进行过滤，挖掘出准确有效的安全数据，并将有效的安全事件接入到一体化指标监控平台中，同时通过实现各类安全事件的分类展示、安全事件类型分析、事件频发地址分析、频发事件分析，帮助信息网安全管理人员快速掌握安全事件，评估信息网安全态势。
　　[关键词]数据治理；信息设备台帐；
　　中图分类号：TP607 文献标识码：A 文章编号：1009-914X（2018）12-0262-01
　　1背景
　　随着网络规模的迅猛增大，各种新的网络入侵也在迅速增加，以传统的依靠手工和经验的方式建立的入侵检测系统模型已难以满足现有入侵检测的要求，同时现有的IDS系统数据量庞大，难以从中找出有效的安全入侵事件，因此有必要开发从IDS系统获取安全事件并对数据进行挖掘和分析。实现各类安全事件的分类展示、安全事件类型分析、事件频发地址分析、频发事件分析，帮助信息网安全管理人员快速掌握安全事件，评估信息网安全态势。
　　2系统架构
　　如下图所示系统总体架构包含四个模块：数据采集、数据分析、安全事件展示、审计处理模块。
　　系统分为展示层、应用层、平台层、数据层和数据采集层。
　　展示层包括界面表示层和界面控制层，其中界面表示层负责业务数据收集、数据展示和客户端数据校验，采用功能强大的JQuery前端展现框架，构建操作简洁、直观、使用方便的操作界面。另外灵活运用采用ActiveX图形控件、3D图形控件、Office控件以及AJAX页面数据刷新技术，提供最佳数据展现和用户体验。提供实时曲线和历史分析曲线显示，提供强大的图形统计分析与报表相关功能，可根据模板在线生成各种报表，可实现对统计分析图形及数据的导出。界面控制层响应表示层的请求、调用业务逻辑组件、对象集的转换、生成界面显示内容、维护用户对话关系使用，界面控制层采用MVC框架技术实现。
　　应用层包括业务逻辑层和业务服务层。业务逻辑层执行逻辑计算、完成业务功能逻辑，提供安全事件分析、安全类型分析、事件频发地址分析以及频发事件分析管理等应用功能。
　　数据层包括数据持久层、数据处理服务层和数据接收服务接口，数据持久层采用使用O/Rmapping框架；数据库服务层采用MySql数据库存储持久化数据；数据交互服务的数据实时从数据采集层里面采集安全事件数据。
　　数据采集层通过接口获取IDS的安全事件数据。
　　3系统功能
　　如下图所示系统有安全类型展示管理、安全事件分析管理、安全类型分析管理、事件频发地址分析管理、频发事件分析管理和安全指标监控管理模块。
　　1、数据采集
　　安全数据采集。主要通过后台程序获取IDS的安全事件并将数据存储到数据库中，采集安全事件的安全包括安全事件的源地址、目的地址、事件名称、发生次数等。
　　2、数据分析
　　安全事件分析管理。主要以事件的安全级别、事件名称、事件发生次数来对安全事件进行统计与分析，以柱状图的形式展示事件发生次数分布情况。
　　安全类型分析管理。主要根据安全类型对安全事件进行分类，以安全类型、安全类型的发生次数进行统计和分析，同时以柱状图的形式展示安全类型发生次数的分布情况。
　　事件频发分析管理。通过后台程序分析安全事件发生次数较多的IP地址，以源IP地址和事件发生次数来进行统计和分析，并通过柱状图的形式展示事件频发的IP地址分布情况。
　　频发事件分析管理。后台程序分析安全事件发生次数较多的事件，以事件名称、目的IP地址和发生次数来进行统计和分析，并通过柱状图的形式展示安全事件频发分布情况。
　　3、数据展示
　　安全类型展示管理。根据不同的安全类型来展示安全事件，安全类型主要包括安全扫描、弱口令、木马后门、网络数据库攻击、蠕虫病毒、安全漏洞、网络设备攻击、可疑行为、欺骗劫持、间谍软件，选中单个安全类型时显示该安全类型的详细安全事件信息包括事件名稱、安全类型、源地址、目的地址、发生事件等
　　安全指标监控管理。在一体化的指标监控平台以气泡图的方式展示各个区域的安全类型的安全事件，并对重点需要关注的安全事件通过短信的方式发送给运维人员。
　　4、安全审计
　　安全审计处理。根据分析结果自动对终端或者主机采取断网处理，并且提示网络运维人员在防火墙上做相关的防护策略，确保安全事件不再发生。
　　4结语
　　在已有IDS系统的基础上，建设IDS接入数据挖掘与分析系统，全面对IDS的各类安全事件进行分析和展示管理。系统通过实现各类安全事件的分类展示、安全事件类型分析、事件频发地址分析、频发事件分析，建立标准的安全事件分析模型，并将安全事件的关键指标信息接入到一体化平台中，方便运维人员实时查看网络安全事件。系统通过将IDS的安全事件实时获取到数据库中，同时通过对安全事件进行分析得到事件频发的地址和频发事件的安全类型，帮助运维人员准确判断网络安全的隐患。系统将安全级别较高的安全事件接入到一体化指标监控平台中，并通过短信告警的方式通知运维人员。系统通过对安全事件的审计和处理提高安全防护水平，杜绝安全隐患。
　　参考文献
　　[1]安尼瓦尔·加马力，亚森·艾则孜，木尼拉·塔里甫.基于连接数据分析和OSELM分类器的网络入侵检测系统[J].计算机应用研究，2017，34（12）：3749-3752.
　　[2]王有金.数据挖掘在入侵检测系统中的应用研究[D].吉林大学，2017.
　　[3]牛建强，曹元大.基于数据挖掘的IDS日志数据分析处理[J].计算机应用研究，2003，20（9）：82-84.
　　作者简介
　　杨富民，男，1964.7，汉，陕西富平，本科，高级工程师，信息通信.
　　张健，男，1971.1，汉，江苏铜山，本科，工程师，计算机应用.
转载注明来源:https://www.xzbu.com/1/view-15325114.htm