数据挖掘在入侵检测中的应用

2007-10-30　网友评论 0 条　点击进入论坛

　　1 引言

　　随着计算机网络的重要性越来越大。网络入侵者所采用的攻击技术与手段也在不断的发展变化。网络安全已成为计算机领域的重要研究课题之一。各种网络入侵事件也促进了网络安全技术的发展，目前实现网络安全采取的主要技术手段有防火墙、身份认证系统等，大多属于静态安全技术，对防止系统非法入侵起到了一定的作用，但从安全管理角度来说，仅有防御是不够的，还应采用动态策略。入侵检测(Intrusion Detection)技术就是一种动态策略，它以探测与控制技术为本质，能够对网络安全实施实时监控、攻击与反攻击等动态保护。是网络安全中重要的部分，因此对人侵检测技术的研究具有很强的现实性和紧迫性。

　　2 入侵检测系统

　　入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测(Misuse Detetion)或异常检测(Anomaly Detection) 的方式，发现非授权的或恶意的系统及网络行为，为防范人侵行为提供有效的手段。主要采用以下几种检测机制:

　　2.1模式匹配

　　模式匹配就是将收集到的信息与已知的网络入侵进行比较，来发现违背安全策略的入侵行为。只需收集相关的数据集合就能进行判断，能减少系统占用，且技术相当成熟，检测准确率和效率也相当高。但是，该技术需要不断进行升级以对付新的攻击手法。

　　2.2异常检测

　　异常检测首先给系统对象创建一个统计描述，包括统计正常使用时的测量属性。测最属性的平均值被用来与网络、系统的行为进行比较，当观察值在正常值范围之外时，系统就会判断有入侵发生。其优点是可以检测到未知入侵和复杂的入侵，但是误报、漏报率高。

　　2.3协议分析

　　协议分析是在传统模式匹配基础之上发展起来的一种新的技术。它充分利用了网络协议的高度有序性，并结合高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在。大大减少计算量，即使在高负载的高速网络上，也能逐个分析所有的数据包。

　　3 数据挖掘技术

　　数据挖掘 (Data Mining)是从大量的、不完全的、有噪声的、模糊的、随机的数据中提取隐含在其中的、们事先不知道的、但又是潜在有用的信息和知识的过程。引入数据挖掘技术，应用于人浸检测系统中，完成从大量数据中自动提取出模型的过程。在建立攻击检测系统过程中消除人为因素和特定因素，为其开发一套能从各种审计数据中产生攻击检测模型的自动工具。应用关联分析和序列模式分析等算法，发现特征之间的关联和与时序有关的联系，从而完成用户数据收集与特征选择过程。

　　4 数据挖掘技术在入侵检测中的应用

　　4.1关联规则挖掘

　　关联规则是数据挖掘中最为广泛应用的技术之一，也是最早用于人侵检测的技术。最早运用这种技术是作为一种工具去产生关于网络流的报告。

　　发现关联规则问题就是发现所有支持度和可信度均超过规定闭值的关联规则，这个发现过程夯为两步:第一步识别所有的频繁项目集即所有支持度不低于用户规定的最小支持度闹值的项目集;第气步是从第一步得到的频繁集中构造可信度不低于用户规定的最小可信度闹值的规则。应用在网络流量分析上我们将一次连接看作是一个事务T，将采集到的很多连接记录组成事务数据库D，每个事务T由duration，service，src_host，dst_host，dst_bytes，flag共7项组成，事务的唯一标识符为time，其中service为服务(或目的的端口)，src_host为源主机，dst_host为目的主机，dst_host为源主机发出的数据包大小，flag为标记。

　　4.2聚类分析

　　聚类分析是识别数据对象的内在规则，将对象分组以构成相似对象类，并导出数据分布规律。分类与聚类的区别在于分类是将分类规则应用于数据对象;而聚类是发现隐含于混杂数据对象的分类规则。Portnoy提出基于聚类分析的人侵检测算法，无监督异常检测算法，通过对未标识数据进行训练检测入侵。算法设计基于两个假设:第一正常行为记录数目远大于入侵行为记录数日。第二入浸行为本质上与正常行为不同。

　　5基于数据挖掘的入侵检测的优缺点分析

　　5.1自适应性好

　　传统入浸检测系统规则库的建立需要一个专家小组根据现有的攻击去发现它的特征并继而开发出它的检测工具，然而当一种攻击是复杂的或者是跨越很长一段时间的话，系统很难快速跟踪人侵技术的发展。而且针对每一种新的攻击去更换系统的代价是很大的。由干应用数据挖掘技术的异常检测不墓于信号匹配模式，它并不就每一个特别的信号进行检测，所以就不存在这个问题，表现出一定程度的实时性。

　　5.2误警率低

　　现有的系统过度依赖于单纯的信号匹配，它发出的警报可能远远多于实际的情况，在某种正常的工作中如果包含这种信号的话，就必然产生误警。采用数据挖掘的系统可以从等报发生的序列发现某种规律从而滤出那些正常的行为产生的信号。数据挖掘方法还可以有效地剔除重复的攻击数据，因而具有较低的误警率。

　　5.3减轻数据过载

　　对于传统的入侵检测系统，另外一个需要考虑的问题是我们需要多少数据才能准确地发现一个攻击。现在网络上的数据流量越来越大，如果一个大型网络需要一个入侵检测系统的话，它的网络流量及每天产生的各种网络记录是非常庞大的。应用数据挖掘技术可以很好地解决这个问题，现有的数据挖掘算法通过发掘数据之间的关系，可以为我们的分析提供各个不同侧面的数据特征。特别是我们可以将以前的结果和最新的数据加以综合，这样可以大大减少不必要的数据。

　　经过深入分析发现，尽管基干数据挖掘的入侵检测模型在检测性能和通用性方面具有优势，但在采用此类系统时仍然存在一定困难检测效率:由于是对大量历史数据处理，检测模型在学习和评价阶段的计算成本高，实时性实施困难。使用性能:系统需要大量的训练数据，而且比传统系统更加复杂。

　　6 结语

　　入侵检测系统作为防火墙之后的第二道防线，越来越受到人们的重视，技术也在不断的发展与成熟。然而，由干网络技术的发展、黑客水平的提高，入侵监测系统正面临着严峻的考验。建立人侵检测系统是一个大型的、复杂的工程，本文提出的基于数据挖掘的人侵检测系统也还很不完善，需要进一步改进。

今日推荐

• ·信息化 SOA架构中间件发展趋势调查分析
• ·中间件是促进我国软件产业发展的突破口
• ·中国电信业2011年整体IT支出将达461亿元
• ·中间件突出重围 逐渐成为企业应用趋势
• ·安全措施大升级 补丁管理走向自动化

• ·局域网ARP攻击免疫
• ·曙光推出基于龙芯的防火墙产品[组图]
• ·ACL的基本原理、功能与局限性
• ·基于MAC的访问控制列表详解
• ·Rambo安全经验谈：如何应对DoS攻击

重点推荐

领军企业技术文库

最新专题

电子杂志订阅

技术热点