基于数据挖掘及数据分析的局域网用户网络访问行为审计系统.pdfVIP

织、检索效率 表 1算法效率比较 3．2．1多核并行计算方式 同步处理采集 、分析 箕 法 8 l0 15 20． 25 为 了防止丢包现象 ，提高数据处理能力 ．采用高效的多核 KMP 93．348 lO1．74l 92．229 94．641 88．621 并行计算方式。把数据包处理过程细化成三个任务 ：数据包抓 BM 29．681 25．470 22．635 19．654 l5．838 SUNDAY 26．324 21．438 19324 17．870 13．887 取任务、数据包过滤任务、数据包解析存储任务。任务细化后 ， 分别在不同的内核上并行运行 。有效利用现有计算机资源．同 掘 ，建立分析模型。用已建立的分析模 型对采集的网络访 问数 时运行三项工作 ，提高了分析处理能力。下面是每个任务的详 据进行分析监测，同时根据新 的知识 点对已有模 型进行修正 细 处理过程 ： 数据挖掘 实现 了用其他方 法不可能实现 的方 法来发现信 息 ． (1)数据 包抓取任务 信息 内容更为全面，分析模型使得所得数据误差小、所得结果 更为精确 利用 winpcap进行 网络数 据 包的捕 获。首先是获取 需要 利用数据挖掘 的方法从审计数据或者数据流中提取知识 监听的网络适配器列表 ，然后打开网络适配器 ，进行监 听。把 点，提取的信息用模式形式表现。实时采集的网络访问行为信 源源不断发过来的数据包存储到 队列中。 (2)数据 包过滤任务 息用 已建立的模 式分析模 型进行分析处理 。检测 用户非法访 确定监测范围，比如 目的地址是服务器等 ．可以实现排 问行为。 本 系统数据挖掘采用的是聚类分析技术 ．根据 网络访问 除，从 队列中删除，进一步优化性能。 (3)数据包解析、存储任务 特性把所有数据进行归类划分。传统的聚类分析是用数学方 对队列 中的数据进行逐个协议分析 ，原始数据包主要有 法研 究和处理所给对象的分类 ，它是一种硬划分 。把每个待辨 识的对象严格地划分到某个类中，具有非此即彼 的性质 。而实 “目的 IP地址 ”、“源 IP地址”、“净载数据”三部分组成 。首先 际上用户网络访 问行为并没有严格的属性，他们在性态和类属 对原始数据进行还原 ，然后分类处理。属 于WEB邮件信 息，则 上存在 中介性 ，适合进行软划分 。为 了解决这种软划分 ，本系统 提取 出收件人、发件人、邮件标题等信息存储到数据库 中；属 采用的是 Bezdek提 出模糊c均值 (FCM)聚类算法。当同一个 于网页访 问行为 ，则提取 出网页地址等信 息存储到数据库 中。 3．2．2快速 的大字符 串匹配算法 样本属于不同的类别的时候 ，再根据隶属值来区分其差异。 数据还原后 ，需要对还原后信息进行关键字匹配．检索是 以聚类结果作为分类模型 ．对未知数据进行分类 ，对所有 否存在敏感信息 ，确保 内网信 息安全。本系统采用速度快、简