孫福兆

摘 要：隨著當前網(wǎng)絡(luò)環(huán)境的復雜化，各類網(wǎng)絡(luò)問題層出不窮，如何改進入侵檢測系統(tǒng)的性能，使其更好地提供網(wǎng)絡(luò)安全保障服務(wù)，也是當前相關(guān)研究領(lǐng)域的一大重點工作。通過對入侵檢測系統(tǒng)的研究，提出了一種基于改進加權(quán)關(guān)聯(lián)規(guī)則算法的入侵檢測系統(tǒng)，并通過系統(tǒng)仿真測試來證明該系統(tǒng)的設(shè)計能夠滿足當前網(wǎng)絡(luò)安全維護系統(tǒng)的需求。

關(guān)鍵詞：入侵檢測系統(tǒng)；數(shù)據(jù)挖掘；關(guān)聯(lián)規(guī)則算法；數(shù)據(jù)采集

中圖分類號：TP393.08 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.04.084

在互聯(lián)網(wǎng)技術(shù)普及的時代，網(wǎng)絡(luò)安全問題越來越多。由于互聯(lián)網(wǎng)是開放式的網(wǎng)絡(luò)，并不能夠?qū)τ脩舻木W(wǎng)絡(luò)安全進行維護和保障，一旦用戶的網(wǎng)絡(luò)數(shù)據(jù)庫遭到惡意入侵，就會造成很大的影響。為了避免惡意入侵所帶來的不良后果，必須盡快采用一種切實可行的網(wǎng)絡(luò)數(shù)據(jù)保護措施來維護人們的信息安全，而入侵檢測技術(shù)就是一種專為計算機系統(tǒng)打造的異常現(xiàn)象檢測技術(shù)。隨著網(wǎng)絡(luò)環(huán)境的日漸復雜，入侵檢測系統(tǒng)在維護網(wǎng)絡(luò)安全的同時，也逐漸暴露出了自身的問題，例如在運行過程中出現(xiàn)誤報和漏報的現(xiàn)象；實際檢測速度過于遲緩，無法滿足網(wǎng)絡(luò)需求等。因此，如何改進入侵檢測系統(tǒng)應(yīng)對網(wǎng)絡(luò)異常的能力，提高其對網(wǎng)絡(luò)進行實時檢測的精準性也是當前的研究熱門。

1 改進加權(quán)關(guān)聯(lián)規(guī)則挖掘算法

加權(quán)關(guān)聯(lián)規(guī)則挖掘算法，即WAFP算法，其是基于MLNML算法和FP-Growth算法出現(xiàn)的，充分結(jié)合MLNML算法中的加權(quán)概念和FP-Growth算法中的項目附加值，使算法在產(chǎn)生加權(quán)頻繁項目集時不產(chǎn)生Frequent Pattern Tree，從而改進了原本MLNML算法中需要對數(shù)據(jù)庫進行反復掃描計算的缺陷。WAFP算法特征在于能夠?qū)?shù)據(jù)庫中的加權(quán)頻繁項目集在WAFP樹中反映，并保持各項目的聯(lián)系。該算法便于系統(tǒng)直接從WAFP樹中循環(huán)挖掘符合條件的加權(quán)關(guān)聯(lián)項目集。在挖掘時，以根節(jié)點為基礎(chǔ)出發(fā)點，并在每個路徑中都循環(huán)挖掘，直到找到所有滿足條件的項目集。

WAFP算法需要首先通過WAFP樹對輸入的數(shù)據(jù)進行壓縮，并形成教育事務(wù)數(shù)據(jù)庫，再將數(shù)據(jù)庫中的每個事務(wù)進行路徑映射，使WAFP能夠表達出各項目之間的關(guān)系。WAFP樹從初始值null根節(jié)點開始，對入侵數(shù)據(jù)庫D進行設(shè)置，并將加權(quán)支持度的最小值設(shè)為Wmin sup。項目和列表與項目Ii的權(quán)值Wi設(shè)為輸入，且1

2 入侵檢測系統(tǒng)

由于數(shù)據(jù)挖掘具有可拓展性特征，本系統(tǒng)的設(shè)計將分為四大模塊進行，分別為數(shù)據(jù)采集子系統(tǒng)、告警輸出模塊、核心拓展接口模塊和動態(tài)模塊管理。動態(tài)模塊管理是該系統(tǒng)中最為核心的部分，主要用于維持其他模塊的運行，例如動態(tài)載入數(shù)據(jù)和卸載等，實現(xiàn)系統(tǒng)的動態(tài)性、動態(tài)模塊與核心拓展接口模塊互動和系統(tǒng)動態(tài)的拓展性。數(shù)據(jù)采集子系統(tǒng)包括數(shù)據(jù)預(yù)處理和網(wǎng)絡(luò)數(shù)據(jù)包獲取兩大模塊，其中，數(shù)據(jù)預(yù)處理模塊能夠?qū)υ肼晹?shù)據(jù)和數(shù)據(jù)缺失值進行識別和處理，從而保證系統(tǒng)數(shù)據(jù)的同一性。此外，系統(tǒng)在數(shù)據(jù)采集模塊中將會對所需的網(wǎng)絡(luò)數(shù)據(jù)包進行分析，在對數(shù)據(jù)包進行預(yù)處理后發(fā)送至協(xié)議分析模塊，從而完成整個數(shù)據(jù)的分析。

該系統(tǒng)由數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)和響應(yīng)子系統(tǒng)三個系統(tǒng)構(gòu)成。數(shù)據(jù)采集子系統(tǒng)包括數(shù)據(jù)預(yù)處理模塊和網(wǎng)絡(luò)數(shù)據(jù)包獲取模塊。其中，網(wǎng)絡(luò)數(shù)據(jù)包獲取模塊的作用在于獲取網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，在數(shù)據(jù)包中獲取源地址、連接狀態(tài)和傳輸數(shù)據(jù)等信息。數(shù)據(jù)分析子系統(tǒng)中包括了數(shù)據(jù)庫、規(guī)則庫、數(shù)據(jù)挖掘模塊、規(guī)則解析模塊和協(xié)議分析模塊。

3 系統(tǒng)仿真測試

將本系統(tǒng)安裝于某高校圖書館的檢測服務(wù)器中進行試驗，該檢測服務(wù)器基本配置為Inter酷睿2.4 GHz處理器，基本內(nèi)存為512 M，硬盤容量為160 GB，可搭載Windows 2003 SP4版本的操作系統(tǒng)進行作業(yè)。檢測器已連接局域網(wǎng)，并安裝了相關(guān)證書服務(wù)和SQL Server 2000系統(tǒng)。

本實驗通過使用Stick軟件測試系統(tǒng)的應(yīng)對壓力和IDS逃避指數(shù)。經(jīng)檢測發(fā)現(xiàn)，該系統(tǒng)最短可在2 s內(nèi)對400以上的攻擊作出反應(yīng)，而告警信息過快則會導致IDS逃避變得遲緩，甚至出現(xiàn)滯后現(xiàn)象，導致系統(tǒng)停止工作。Stick軟件的攻擊特征具有多樣性，且都由Snot的規(guī)則組包構(gòu)成。其在IDS中運行時會導致系統(tǒng)發(fā)出告警信息。這些信息在網(wǎng)絡(luò)管理者看來來源地并不明確，因此，IDS無法作出正確的反應(yīng)。當軟件攻擊表現(xiàn)的信息數(shù)據(jù)包大于IDS可處理的能力時，將會使系統(tǒng)停止服務(wù)。而此時的Snot程序可將IDS的狀態(tài)進行翻轉(zhuǎn)，Snot的Rule輸入后，Snot將成為任意包生成器，同時將Snort Rule文件作為數(shù)據(jù)信息源。

測試表明，采用Stick抗攻擊性能測試的計算機CPU占有率達到了100%，內(nèi)存占有率也高達95%.而采用Snot抗攻擊性能測試時，計算機CPU的占有率僅達到82.5%，內(nèi)存占有率也相對較低，只占了76.2%.

參考文獻

[1]楊正軍，崔寶江.改進的關(guān)聯(lián)規(guī)則挖掘算法在入侵檢測中的應(yīng)用[J].軟件，2012（12）.

〔編輯：王霞〕