信息管理风险预警系统研究范文

摘要：信息管理风险预警是当前信息领域的研究热点，由于当前入侵行为的多样性，使得传统风险预警系统难以对风险进行准确评估，无法保证信息的安全，为了提高信息管理风险预警效果，提出了基于数据挖掘的信息管理风险预警系统。首先对当前信息管理风险预警研究进展进行分析，构建了信息管理风险预警系统的总体框架，然后对信息管理风险预警系统的关键技术进行了详细设计，最后进行了信息管理风险预警的仿真测试。结果表明，设计的信息管理风险预警精度高，能够有效保证信息安全性，具有一定的实际应用价值。

关键词：数据挖掘；信息管理风险；关联规则

0引言

最初人们使用防火墙、信息审计等保证信息管理系统的安全，但是它们存在许多不足，如只能被动对一些非法入侵，攻击行为进行防范，而信息管理风险预警技术是一种主动的防范方式，可以对信息管理系统将来的风险进行评估，根据评估结果对信息管理风险进行预警，成为信息管理系统安全的主要保障措施［1］。在实际应用中，存在许多类型的信息管理风险预警系统，它们均存在一些不足，如难以对风险进行准确评估，信息管理风险预警的错误率高等，无法保证信息的安全。为了提高信息管理风险预警效果，设计了一个基于数据挖掘的信息管理风险预警系统，并通过仿真实验对信息管理风险预警系统的有效性和可行性进行了具体测试。

1数据挖掘的信息管理风险预警系统

1．1信息管理风险预警系统总体结构

信息管理风险预警系统采用分布式结构［2－3］，主要包括检测域、预警、区域预警中心，区域预警中心能够对报警信息进行融合，预警包含在检测域中，同一个检测域中可以包含多个预警，以此来实现数据包获取以及预处理等检测分析。信息管理风险预警系统的总体结构如图1所示。从图1可以看出，每个检测域中都包含了蜜罐宿主机、蜜罐网关、日志服务器等多个网段，其外观均为2U标准尺寸，当检测域确定之后，其中的主机IP地址也会随之确定，实现检测域与IP地址的绑定［4－5］。检测域中的蜜罐宿主机能够虚拟安装业务系统，通过安装主机行为监控模块，实现威胁入侵行为的监控。蜜罐网关能够隔离主动防御系统与实际信息网络系统，将进入蜜罐宿主机的威胁入侵行为控制在蜜罐宿主机中。日志服务器的主要功能是收集各类原始流量数据包和网络、主机日志，将得到的样本文件进行关联分析，结合离线分析技术实现系统的数据分析需求。

1．2设计信息管理风险预警系统

1．2．1数据采集

在预警模块中，需要对数据进行处理和分析，其中能够判断风险类型的叫做预警规则库。规则库主要包括入侵特征库和正常模式库，入侵特征库是根据经过研究的攻击类型的特点，利用模式匹配来分辨攻击类型。这两种规则库都需要通过获取网络数据包不断地更新［6－8］。为了获取到网络数据包，在Windows平台下选择WinPcap库完成数据采集，WinPcap的结构如图2所示。正常模式库中包括正常行为特征，主要用来进行异常检测。特征规则的结构主要包括两部分，一部分包括规则操作、协议、IP地址等，这一部分被称作规则头部；另一部分主要包括预警信息的需要监测模式的信息，被称为规则选项［9－10］。建立的规则库内容与结构如图3所示。上述过程中，出现了屏蔽弧和屏蔽孤点的操作，需要统一对屏蔽行为的流程进行规范。在屏蔽过程中，确定发生了某个攻击行为，如果该行为所对应的顶点被屏蔽，那么需要取消该顶点、该行为指向其所有后继行为所对应的弧与对应顶点的屏蔽，求解出新的攻击支撑树。使用支撑树对使用行为进行预测。图4的流程图GP集合为：在进行行为预测时，某一行为的后续行为并不唯一时，将后续可能的行为划分成的集合称为GP集合。在网络使用行为预测过程中，在进行攻击行为权值自适应的同时，也进行了非攻击行为的权值自适应操作，并利用自适应模块进行维护和更新。对于已知的攻击进行检测，根据上图对于误用检测的效果比较好，但是对于未知、规则库中不存在的新型攻击来说，需要先误用检测后再进行异常监测，这样的效果比较好。

1．2．2攻击行为预测

为实现风险程度的有效辨识，采用误用检测与异常检测共同作业的方法，误用检测通过入侵规则库，将其中的特征数据与用户行为数据进行对比匹配，当匹配成功后做出相应的指示。在得到目前的使用行为后，需要对下一步的行为进行预测，对于完整网络来说，查询和预测耗时较多，为降低预测难度，引入支撑树的概念。为创造支撑树，需要结合实际情况和需求，设置权重阈值，访问后继行为表并判断是否所有后继行为表遍历完毕，如果遍历完毕那么直接去判断行为带权有向图中的孤点情况［11－12］；如果没有遍历完毕，需要辨别后继行为表中的权重是否低于阈值，如果低于阈值需要屏蔽该弧，如果在阈值内，返回到访问后继行为表重新判断遍历情况，再继续判断是否存在孤点，如果有直接屏蔽后能够求出攻击支撑树。

1．2．3信息管理风险评估

为实现预警信息的分类，需要对信息管理风险进行定性与定量分析。本文采用模糊综合评价方法，从管理和技术两方面进行考虑，将待评价的网络行为各个要素按照关联规则建立递进层次模型，构造出判别矩阵。

1．2．4数据挖掘的预警机制

对于已经完成采集的数据，网络中的数据包会按照时间顺序依次排列，为了实现预警系统对于攻击行为的分析，需要从大量的数据中挖掘出其中的关联相关关系或因果结构，这种数据挖掘的方法称为关联规则。数据挖掘的过程繁琐，但是具体的步骤比较清晰，主要包括3步：准备数据、挖掘信息、总结测评。在数据的准备阶段使用的数据大部分是在数据库中经过很长时间的存储，失去了时效性，对于用户来说意义不大，因此在数据挖掘前要提前准备好需要进行挖掘的数据的大概信息。在挖掘过程中，应用到的数据挖掘技术为关联性分析。基于关联规则的预警机制能够反映预警时间和风险事件之间存在的相关关系，根据预警时间中的项值与关联项值进行风险预测。其中关联规则算法使用的是NewApriori算法，从修剪频繁集和优化连接策略这两方面进行优化，提高挖掘效率。NewApriori算法的输入值为交易数据库D，其中最小支持度表示为min＿sup，输出值为D中频繁项集M，那么M1＝find＿frequent＿1＿itensets（D），从Mk－1中删除不可能得到的频繁项集的集合：Mk＝delete（Mk－1），在得到频繁项集后，从中生成关联规则。至此完成基于数据挖掘的信息管理风险预警系统的设计。

2系统测试

2．1搭建测试环境

为验证本文系统的有效性，需要对系统进行测试。根据系统的实际应用情况搭建测试环境，需要的设备主要包括：预警服务器2台，型号为FXP0和FXP1，FXP1的IP地址为192．168．0．1，网络主机1台，配备以太网口，IP地址为192．168．11．10，交换机2台，型号均为SF1009，终端主机2台，配备以太网口，IP地址为192．168．11．36，另外备网线若干，将上述设备搭建起来，使具有配置功能的预警服务器FXP0通过交换机1与网络主机相连，监听功能的预警服务器通过交换机2与客户终端主机相连接，最后将交换机1、2相连，共同组成系统测试环境。将该系统应用在某公司内部网络中，设置两个重要的检测点，在对应工作站中设计相应的检测中心。

2．2设计测试过程

在上述的测试环境中，使用终端主机从网络主机下载文件，登录网络攻击行为预警系统，并利用预警服务器对传输的数据进行采集，在测试过程中，人为设计网络安全攻击与非攻击性的通知，并使用行为分析系统，设置抓包时间，并连接系统的监听端口抓取指定时间段内的数据，分别使用本文设计的系统与传统的系统进行预警，并将预警结果进行统计分析。

2．3实验结果分析

通过上述实验过程，对监控中心原始数据、区域预警中心报警数据的数量进行统计，结果如表1所示。从表1的测试结果可以看出，原有系统与本文系统对于信息管理风险都具有优秀的辨识性，但是原有的系统中无法区分出通知、预警和报警情况，仅能将这3种情况全部判定为预警情况，本文的系统经过深度的数据挖掘处理后，能够划分出信息管理风险的等级，详细地辨识出通知、预警和报警情况，说明本文设计的系统具有一定的有效性。

2．4其它系统的性能对比

为了测试本文的信息管理风险预警系统的优越性，选择传统的信息管理风险预警系统进行对比实验，其进行5次仿真实验，统计它们的信息管理风险预警系统精度，结果如图6所示。从图6可以看出，相对于传统信息管理风险预警系统，本文系统的信息管理风险预警精度得到大幅度提升，降低了信息管理风险预警的错误率，可以保证信息管理系统中的信息安全。

3总结

互联网的普及也使得网络攻击手段层出不穷，信息管理安全所面对的风险也越来越大。传统的信息管理预警系统由于缺少风险评估方面的设计，导致在预警过程中划分信息管理风险的等级，将一些攻击性小的通知类信息也识别为预警信息，在给用户造成困扰的同时，也导致了资源的浪费。因此，设计一种基于数据挖掘的信息管理风险预警系统。在硬件设计中，提出了信息管理风险预警系统的总体体系结构，软件设计中，着重对风险评估进行了研究。但是本文未研究预警系统中各模块之间的通信安全，在后续的研究过程中将会在该方面进行深度探析。

作者:李颖 单位:海军青岛特勤疗养中心经济管理科