基于数据挖掘网络安全审计技术探究.doc

基于数据挖掘网络安全审计技术探究摘要：将网络安全审计视为一种数据分析的过程，以网络环境中大量的安全责任日志数据为分析对象，综合运用数据挖掘中的预处理、关联、序列、分类、聚类等技术，提出了网络安全审计系统的基本架构，重点对适用于审计数据挖据的相关算法进行了应用分析 关键词：安全审计；数据挖据；日志分析 中图分类号：TP393 文献标识码：A 文章编号：1009-3044(2011)35-0000-0c Research of the Network Security Audit System Based on Data Mining (Department of Information and Electronic, Hangzhou polytechnic, Hangzhou 311400, China) Abstract: In this paper, network security audit was studied as a data analysis process, logs in the network environment is the important data source, some main data mining techniques was considered such as Preprocess, Association, Sequential, Classification, Clustering, a basic structure of network security audit system was proposed and the algorithms for audit data mining was discussed. Key words: security audit; data mining; log analysis 随着信息化建设的飞速发展，金融机构、政府部门、公安国防等含有大量敏感数据的机构对信息系统的依赖性越来越高，除了采用身份认证和授权管理技术对非法用户和非法操作进行屏蔽外，对这些数据的合法操作同样有可能导致安全事故的发生，比如泄密、恶意删除、操作失误等。为此，基于操作日志的风险预警和责任认定体系的研究正成为信息安全领域的一个研究热点。据IDC统计，2007-2011年，国内风险管理解决方案市场以22.4%的复合增长率快速增长 现有的责任认定主要通过安全审计来实现。安全审计除了能够监控来自网络内部和外部的用户活动，对与安全相关活动的信息进行识别、记录、存储和分析，并对突发事件进行报警和响应之外，还能通过对系统事件的记录，为事后处理提供重要依据，为网络犯罪行为及泄密行为提供取证基础。同时，通过对安全事件的不断收集与积累并且加以分析，能有选择性和针对性地对其中的对象进行审计跟踪，即事后分析及追查取证，以保证系统的安全 在TCSEC和CC等安全认证体系中，网络安全审计的功能都被放在首要位置。网络安全审计不但能够监视和控制来自外部的入侵，还能够监视来自内部人员的违规和破坏行动，它是评判一个系统是否真正安全的重要尺度，是一个安全的网络必须支持的功能特性[1] 本文以安全审计领域中的数据挖掘应用为研究视角，以操作日志为数据对象，给出了基于多源日志数据挖据的网络安全审计系统的基本架构，并对研究过程中的几个关键技术点进行了分析 1 系统架构 目前安全审计系统中普遍采用的特征检测的方法是由安全专家预先定义出一系列特征模式来识别异常操作。这种方法的问题是模式库得不到及时的更新，这样在安全审计的过程中系统不能自适应地识别出新型异常，使误报警和漏报警问题不断发生。此外，一方面随着网络应用的普及，网络数据流量急剧增加，另一方面有些审计记录本身包含了大量的无关信息，于是，数据过载与检测速度过慢的问题也不无出现 数据挖掘本身是一项通用的知识发现技术，其目的是要从海量数据中提取出我们所感兴趣的数据信息(知识)。这恰好与当前网络安全审计的现实相吻合。目前，操作系统的日益复杂化和网络数据流量的急剧膨胀，导致了安全审计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息，人们希望能够对其进行更高抽象层次的分析，以便更好地利用这些数据。将数据挖掘技术应用于对审计数据的分析可以从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息，抽象出有利于进行判断和比较的特征模型。根据这些特征间量模型和行为描述模型，可以由计算机利用相应的算法判断出当前网络行为的性质 基于数据挖据的网络安全审计系统的基本架构如下图1所示 图1 系统架构 系统由ETL、数据仓库、元数据引擎、OLAP引擎、专家知识库、数据挖掘模型、应用接口等部分