信息管理风险预警系统研究.docx

《信息管理风险预警系统研究.docx》由会员分享，可在线阅读，更多相关《信息管理风险预警系统研究.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息管理风险预警系统研究摘要：信息管理风险预警是当前信息领域的研究热门，由于当前入侵行为的多样性，使得传统风险预警系统难以对风险进行准确评估，无法保证信息的安全，为了提高信息管理风险预警效果，提出了基于数据挖掘的信息管理风险预警系统。首先对当前信息管理风险预警研究进展进行分析，构建了信息管理风险预警系统的总体框架，然后对信息管理风险预警系统的关键技术进行了具体设计，最后进行了信息管理风险预警的仿真测试。结果表明，设计的信息管理风险预警精度高，能够有效保证信息安全性，具有一定的实际应用价值。关键词：数据挖掘；信息管理风险；关联规则最初人们使用防火墙、信息审计等保证信息管理系统的安全，但是它们存在

2、很多缺乏，如只能被动对一些非法入侵，攻击行为进行防备，而信息管理风险预警技术是一种主动的防备方式，能够对信息管理系统将来的风险进行评估，根据评估结果对信息管理风险进行预警，成为信息管理系统安全的主要保障措施。在实际应用中，存在很多类型的信息管理风险预警系统，它们均存在一些缺乏，如难以对风险进行准确评估，信息管理风险预警的错误率高等，无法保证信息的安全。为了提高信息管理风险预警效果，设计了一个基于数据挖掘的信息管理风险预警系统，并通过仿真实验对信息管理风险预警系统的有效性和可行性进行了详细测试。数据挖掘的信息管理风险预警系统信息管理风险预警系统总体构造信息管理风险预警系统采用分布式构造，主要包括

3、检测域、预警、区域预警中心，区域预警中心能够对报警信息进行融合，预警包含在检测域中，同一个检测域中能够包含多个预警，以此来实现数据包获取以及预处理等检测分析。信息管理风险预警系统的总体构造如图所示。从图能够看出，每个检测域中都包含了蜜罐宿主机、蜜罐网关、日志服务器等多个网段，其外观均为标准尺寸，当检测域确定之后，其中的主机地址也会随之确定，实现检测域与地址的绑定。检测域中的蜜罐宿主机能够虚拟安装业务系统，通过安装主机行为监控模块，实现威胁入侵行为的监控。蜜罐网关能够隔离主动防御系统与实际信息网络系统，将进入蜜罐宿主机的威胁入侵行为控制在蜜罐宿主机中。日志服务器的主要功能是收集各类原始流量数据包

4、和网络、主机日志，将得到的样本文件进行关联分析，结合离线分析技术实现系统的数据分析需求。设计信息管理风险预警系统数据采集在预警模块中，需要对数据进行处理和分析，其中能够判定风险类型的叫做预警规则库。规则库主要包括入侵特征库和正常形式库，入侵特征库是根据经过研究的攻击类型的特点，利用形式匹配来分辨攻击类型。这两种规则库都需要通过获取网络数据包不断地更新。为了获取到网络数据包，在平台下选择库完成数据采集，的构造如图所示。正常形式库中包括正常行为特征，主要用来进行异常检测。特征规则的构造主要包括两部分，一部分包括规则操作、协议、地址等，这一部分被称作规则头部；另一部分主要包括预警信息的需要监测形式的

5、信息，被称为规则选项。建立的规则库内容与构造如图所示。上述经过中，出现了屏蔽弧和屏蔽孤点的操作，需要统一对屏蔽行为的流程进行规范。在屏蔽经过中，确定发生了某个攻击行为，假如该行为所对应的顶点被屏蔽，那么需要取消该顶点、该行为指向其所有后继行为所对应的弧与对应顶点的屏蔽，求解出新的攻击支撑树。使用支撑树对使用行为进行预测。图的流程图集合为：在进行行为预测时，某一行为的后续行为并不唯一时，将后续可能的行为划分成的集合称为集合。在网络使用行为预测经过中，在进行攻击行为权值自适应的同时，也进行了非攻击行为的权值自适应操作，并利用自适应模块进行维护和更新。对于已知的攻击进行检测，根据上图对于误用检测的效

6、果比拟好，但是对于未知、规则库中不存在的新型攻击来讲，需要先误用检测后再进行异常监测，这样的效果比拟好。攻击行为预测为实现风险程度的有效辨识，采用误用检测与异常检测共同作业的方法，误用检测通过入侵规则库，将其中的特征数据与用户行为数据进行比照匹配，当匹配成功后做出相应的指示。在得到目前的使用行为后，需要对下一步的行为进行预测，对于完好网络来讲，查询和预测耗时较多，为降低预测难度，引入支撑树的概念。为创造支撑树，需要结合实际情况和需求，设置权重阈值，访问后继行为表并判定能否所有后继行为表遍历完毕，假如遍历完毕那么直接去判定行为带权有向图中的孤点情况；假如没有遍历完毕，需要辨别后继行为表中的权重能

7、否低于阈值，假如低于阈值需要屏蔽该弧，假如在阈值内，返回到访问后继行为表重新判定遍历情况，再继续判定能否存在孤点，假如有直接屏蔽后能够求出攻击支撑树。信息管理风险评估为实现预警信息的分类，需要对信息管理风险进行定性与定量分析。本文采用模糊综合评价方法，从管理和技术两方面进行考虑，将待评价的网络行为各个要素根据关联规则建立递进层次模型，构造出判别矩阵。数据挖掘的预警机制对于已经完成采集的数据，网络中的数据包会根据时间顺序依次排列，为了实现预警系统对于攻击行为的分析，需要从大量的数据中挖掘出其中的关联相关关系或因果构造，这种数据挖掘的方法称为关联规则。数据挖掘的经过繁琐，但是详细的步骤比拟明晰，主

8、要包括步：准备数据、挖掘信息、总结测评。在数据的准备阶段使用的数据大部分是在数据库中经过很长时间的存储，失去了时效性，对于用户来讲意义不大，因而在数据挖掘前要提早准备好需要进行挖掘的数据的大概信息。在挖掘经过中，应用到的数据挖掘技术为关联性分析。基于关联规则的预警机制能够反映预警时间和风险事件之间存在的相关关系，根据预警时间中的项值与关联项值进行风险预测。其中关联规则算法使用的是算法，从修剪频繁集和优化连接策略这两方面进行优化，提高挖掘效率。算法的输入值为交易数据库，其中最小支持度表示为，输出值为中频繁项集，那么，从中删除不可能得到的频繁项集的集合：，在得到频繁项集后，从中生成关联规则。至此完

9、成基于数据挖掘的信息管理风险预警系统的设计。系统测试搭建测试环境为验证本文系统的有效性，需要对系统进行测试。根据系统的实际应用情况搭建测试环境，需要的设备主要包括：预警服务器台，型号为和，的地址为，网络主机台，配备以太网口，地址为，交换机台，型号均为，终端主机台，配备以太网口，地址为，另外备网线若干，将上述设备搭建起来，使具有配置功能的预警服务器通过交换机与网络主机相连，监听功能的预警服务器通过交换机与客户终端主机相连接，最后将交换机、相连，共同组成系统测试环境。将该系统应用在某公司内部网络中，设置两个重要的检测点，在对应工作站中设计相应的检测中心。设计测试经过在上述的测试环境中，使用终端主机

10、从网络主机下载文件，登录网络攻击行为预警系统，并利用预警服务器对传输的数据进行采集，在测试经过中，人为设计网络安全攻击与非攻击性的通知，并使用行为分析系统，设置抓包时间，并连接系统的监听端口抓取指定时间段内的数据，分别使用本文设计的系统与传统的系统进行预警，并将预警结果进行统计分析。实验结果分析通过上述实验经过，对监控中心原始数据、区域预警中心报警数据的数量进行统计，结果如表所示。从表的测试结果能够看出，原有系统与本文系统对于信息管理风险都具有优秀的辨识性，但是原有的系统中无法区分出通知、预警和报警情况，仅能将这种情况全部断定为预警情况，本文的系统经过深度的数据挖掘处理后，能够划分出信息管理风

11、险的等级，具体地辨识出通知、预警和报警情况，讲明本文设计的系统具有一定的有效性。其它系统的性能比照为了测试本文的信息管理风险预警系统的优越性，选择传统的信息管理风险预警系统进行比照实验，其进行次仿真实验，统计它们的信息管理风险预警系统精度，结果如图所示。从图能够看出，相对于传统信息管理风险预警系统，本文系统的信息管理风险预警精度得到大幅度提升，降低了信息管理风险预警的错误率，能够保证信息管理系统中的信息安全。互联网的普及也使得网络攻击手段层出不穷，信息管理安全所面对的风险也越来越大。传统的信息管理预警系统由于缺少风险评估方面的设计，导致在预警经过中划分信息管理风险的等级，将一些攻击性小的通知类信息也识别为预警信息，在给用户造成困扰的同时，也导致了资源的浪费。因而，设计一种基于数据挖掘的信息管理风险预警系统。在硬件设计中，提出了信息管理风险预警系统的总体体系构造，软件设计中，着重对风险评估进行了研究。但是本文未研究预警系统中各模块之间的通信安全，在后续的研究经过中将会在该方面进行深度探析。作者:李颖单位:海军青岛特勤疗养中心经济管理科