漏洞庫(kù)數(shù)據(jù)挖掘論文

1、漏洞庫(kù)數(shù)據(jù)挖掘論文 1基礎(chǔ)概念介紹 1.1數(shù)據(jù)挖掘 數(shù)據(jù)挖掘(DM)融合了多個(gè)領(lǐng)域的理論和技術(shù)，如人工智能、數(shù)據(jù)庫(kù)、模式識(shí)別、統(tǒng)計(jì)學(xué)等技術(shù)。數(shù)據(jù)挖掘常與數(shù)據(jù)庫(kù)中的“知識(shí)發(fā)現(xiàn)”(KDD，KnowledgeDiscoveryinDatabase)進(jìn)行比較，對(duì)于兩者之間的關(guān)系，學(xué)術(shù)界有很多不同見解。數(shù)據(jù)挖掘?qū)儆谡麄€(gè)知識(shí)挖掘過(guò)程的一個(gè)核心步驟。 1.2信息安全漏洞 漏洞(Vulnerability)，又稱為缺陷。對(duì)信息安全漏洞的定義最早是在1982年，由美國(guó)著名計(jì)算機(jī)安全專家D.Denning提出，D.Longley等人從風(fēng)險(xiǎn)管理的角度分三個(gè)方面描述漏洞的含義，M.Bishop等人采用狀態(tài)空間描述法定

2、義漏洞，權(quán)威機(jī)構(gòu)如美國(guó)NIST在信息安全關(guān)鍵術(shù)語(yǔ)詞匯表以及國(guó)際標(biāo)準(zhǔn)化組織發(fā)布的ISO/IECIT安全術(shù)語(yǔ)詞匯表中也對(duì)漏洞進(jìn)行定義。世界上比較較知名的漏洞數(shù)據(jù)庫(kù)包括美國(guó)國(guó)家漏洞庫(kù)NVD(NationalVulnerabilityDatabase)、丹麥的Secunia漏洞信息庫(kù)等，我國(guó)在2009年也建成了中國(guó)國(guó)家信息安全漏洞庫(kù)CNNVD。本文選取Secu-nia漏洞庫(kù)的漏洞數(shù)據(jù)作為樣本進(jìn)行數(shù)據(jù)挖掘。 2數(shù)據(jù)挖掘算法 2.1數(shù)據(jù)挖掘任務(wù) 數(shù)據(jù)挖掘任務(wù)主要是發(fā)現(xiàn)在數(shù)據(jù)中隱藏的潛在價(jià)值。數(shù)據(jù)挖掘模式主要分為兩種:描述型和預(yù)測(cè)型。描述模式是對(duì)歷史數(shù)據(jù)中包含的事實(shí)進(jìn)行規(guī)范描述，從而呈現(xiàn)出數(shù)據(jù)的一般特性;預(yù)

3、測(cè)模式通常以時(shí)間作為參考標(biāo)準(zhǔn)，通過(guò)數(shù)據(jù)的歷史值預(yù)測(cè)可能的未來(lái)值。依照不同的模式特征，細(xì)分六類模式:預(yù)測(cè)模式、關(guān)聯(lián)模式、序列模式、分類模式、回歸模式以及聚類模式。本文主要針對(duì)關(guān)聯(lián)模式進(jìn)行深入探討。 2.2關(guān)聯(lián)規(guī)則分析及算法 關(guān)聯(lián)規(guī)則算法是指相關(guān)性統(tǒng)計(jì)分析，基于分析離散事件之間的相關(guān)性統(tǒng)計(jì)而建立關(guān)聯(lián)規(guī)則，關(guān)聯(lián)規(guī)則算法是定量分析，所以必須將樣本中的數(shù)據(jù)進(jìn)行離散化操作，此算法是基于大量數(shù)據(jù)樣本的優(yōu)化算法。 (1)關(guān)聯(lián)算法中的幾個(gè)基本概念 關(guān)聯(lián)規(guī)則算法包含4個(gè)基本概念項(xiàng)集。項(xiàng)集是一組項(xiàng)的集合，每個(gè)項(xiàng)都包含一個(gè)屬性，例如，項(xiàng)集A，B。項(xiàng)集的大小是指向集中含有項(xiàng)的數(shù)量。頻繁項(xiàng)集為樣本中出現(xiàn)頻率高的項(xiàng)集。支持

4、度。支持度用來(lái)衡量項(xiàng)集出現(xiàn)的頻率。項(xiàng)集A，B的支持度定義為同時(shí)包含項(xiàng)A和項(xiàng)B的項(xiàng)集的總數(shù)。 (2)Apriori關(guān)聯(lián)算法 Apriori算法將發(fā)現(xiàn)關(guān)聯(lián)規(guī)則的過(guò)程分為兩個(gè)階段:首先通過(guò)迭代，檢索出數(shù)據(jù)集中所有的頻繁項(xiàng)集，即支持度不低于最小支持度的項(xiàng)集;第二階段利用頻繁項(xiàng)集構(gòu)造滿足最小信任度的規(guī)則。 3運(yùn)用關(guān)聯(lián)規(guī)則算法挖掘Secunia漏洞數(shù)據(jù)庫(kù) Secunia漏洞庫(kù)覆蓋范圍包含程序和系統(tǒng)中的各種漏洞。該數(shù)據(jù)庫(kù)持續(xù)更新體現(xiàn)最新的漏洞信息。Secunia漏洞公告主要包括:漏洞名稱、Secunia公告號(hào)、日期、漏洞等級(jí)、漏洞來(lái)源、影響范圍、操作系統(tǒng)版本等。以Secunia漏洞庫(kù)中的信息為樣本，構(gòu)建關(guān)聯(lián)

5、挖掘規(guī)則，反映出漏洞信息在不同系統(tǒng)中的關(guān)聯(lián)性。 3.1構(gòu)建關(guān)聯(lián)規(guī)則 (1)挖掘任務(wù) 通過(guò)歷史漏洞信息，挖掘分析不同軟件出現(xiàn)同類型漏洞的概率。 (2)挖掘結(jié)構(gòu) 結(jié)合挖掘任務(wù)，數(shù)據(jù)挖掘關(guān)聯(lián)表為事例表結(jié)合嵌套表的方式。建立漏洞表Vulnerabilities，此表為事例表，漏洞id作為主鍵。嵌套表為Softwares表，記錄軟件名和軟件版本類型，軟件id作為兩張表進(jìn)行關(guān)聯(lián)的外鍵。 3.2關(guān)聯(lián)規(guī)則挖掘結(jié)果 通過(guò)采集的Secunia庫(kù)的數(shù)據(jù)作為樣本，應(yīng)用Apriori算法模型。依據(jù)最低支持度(Min_S)和最低置信度(Min_P)的閾值，形成相應(yīng)的規(guī)則集。通過(guò)調(diào)整Min_S和最低Min_P的值，得到如表

6、1所示的值。通過(guò)上述例子可以看出，當(dāng)關(guān)聯(lián)規(guī)則的置信度越高、重要度越高，則該條關(guān)聯(lián)規(guī)則的價(jià)值越高，根據(jù)具體情況，可以設(shè)置最低置信度和最小重要度作為該條規(guī)則是否有價(jià)值的標(biāo)準(zhǔn)，即(Confidence(AB)min，Importance(AB)min)，根據(jù)對(duì)置信度和重要的綜合考慮，可以得出價(jià)值更高的關(guān)聯(lián)規(guī)則，從而對(duì)信息安全事件有更好的預(yù)警分析。 4結(jié)語(yǔ) 本文主要研究了基于Secunia漏洞庫(kù)的關(guān)聯(lián)規(guī)則挖掘算法。介紹了數(shù)據(jù)挖掘的相關(guān)概念、關(guān)聯(lián)規(guī)則相關(guān)算法、Secunia漏洞庫(kù)的基本信息。以Secu-nia漏洞庫(kù)的數(shù)據(jù)為樣本進(jìn)行關(guān)聯(lián)規(guī)則挖掘，分析了漏洞與軟件關(guān)系的關(guān)聯(lián)規(guī)則，建立了不同軟件中出現(xiàn)相關(guān)漏洞的聯(lián)系。如今，世界各國(guó)都在建立信息安全漏洞庫(kù)并發(fā)布信息安全漏洞信息，將漏洞信息與數(shù)據(jù)挖掘結(jié)合，可以對(duì)信息