以數(shù)據(jù)挖掘?yàn)榛A(chǔ)的入侵檢測(cè)技術(shù)分析

【摘要】 入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)信息安全中的一種主動(dòng)防御技術(shù)，隨著網(wǎng)絡(luò)的日益復(fù)雜化，網(wǎng)絡(luò)數(shù)據(jù)信息急劇膨脹，如何從大量的冗余信息中提取到具有價(jià)值的入侵模式是入侵檢測(cè)的關(guān)鍵，而單純的使用傳統(tǒng)的統(tǒng)計(jì)方法和數(shù)據(jù)檢索機(jī)制遠(yuǎn)遠(yuǎn)不能滿足實(shí)際應(yīng)用的需求。本文將數(shù)據(jù)挖掘技術(shù)與入侵檢測(cè)技術(shù)相融合，以期提高入侵檢測(cè)技術(shù)的準(zhǔn)確性和檢測(cè)效率。

【關(guān)鍵字】 數(shù)據(jù)挖掘 入侵檢測(cè) 關(guān)聯(lián)規(guī)則

一、入侵檢測(cè)技術(shù)概述

入侵行為是在不經(jīng)授權(quán)的情況下，私自進(jìn)入系統(tǒng)的行為，其入侵行為具有一定的目的性，用來竊取機(jī)密數(shù)據(jù)信息。入侵檢測(cè)是對(duì)非法的入侵行為進(jìn)行檢測(cè)，若發(fā)現(xiàn)有入侵的行為，就對(duì)其進(jìn)行收集、監(jiān)視、分析、處理從而進(jìn)一步形成行為模式，將收集到的數(shù)據(jù)信息與入侵模式進(jìn)行對(duì)比，從而判斷該行為是否屬于入侵行為。入侵檢測(cè)系統(tǒng)（IDS）就是在入侵行為進(jìn)行攻擊前進(jìn)行檢測(cè)，并在系統(tǒng)受到危害之前對(duì)入侵行為進(jìn)行處理，從而對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行保護(hù)。入侵檢測(cè)技術(shù)主要分為異常檢測(cè)和誤用檢測(cè)。

二、數(shù)據(jù)挖掘概述

數(shù)據(jù)挖掘是根據(jù)既定的目標(biāo)，從大量的、不確定的、隨機(jī)的、模糊的數(shù)據(jù)信息中，挖掘出潛在有價(jià)值的信息的過程。數(shù)據(jù)挖掘融合了統(tǒng)計(jì)學(xué)、人工智能、模糊識(shí)別、專家系統(tǒng)等多個(gè)學(xué)科的技術(shù)知識(shí)來對(duì)大規(guī)模的數(shù)據(jù)進(jìn)行處理的方法和手段。利用數(shù)據(jù)挖掘技術(shù)可以發(fā)現(xiàn)并分析有價(jià)值的知識(shí)，并為相關(guān)的決策服務(wù)。

三、以數(shù)據(jù)挖掘?yàn)榛A(chǔ)的入侵檢測(cè)技術(shù)

3.1基于關(guān)聯(lián)規(guī)則的入侵檢測(cè)技術(shù)

關(guān)聯(lián)規(guī)則數(shù)據(jù)挖掘算法能夠從大量數(shù)據(jù)信息中發(fā)現(xiàn)數(shù)據(jù)之間的聯(lián)系（關(guān)聯(lián)模式），根據(jù)數(shù)據(jù)之間的聯(lián)系來對(duì)行為進(jìn)行追蹤判斷。關(guān)聯(lián)規(guī)則是以系統(tǒng)日志為基礎(chǔ)進(jìn)行的，經(jīng)常用到的算法是Apriori算法。由于該算法中沒有考慮日志的具體結(jié)構(gòu)和有關(guān)入侵的知識(shí)，因此產(chǎn)生了大量的無效規(guī)則。為了解決該問題，提出使用主屬性和參考屬性進(jìn)行約束的規(guī)則，而每條規(guī)則中都必須包括主屬性，以便更好的降低算法的時(shí)間復(fù)雜度和空間復(fù)雜度。

基于關(guān)聯(lián)規(guī)則的入侵檢測(cè)技術(shù)可以將日志記錄從邏輯上進(jìn)行劃分，將不同的IP地址對(duì)于的記錄進(jìn)行分配，實(shí)行并行計(jì)算，并生成頻集，從而選出有效的規(guī)則集。基于關(guān)聯(lián)規(guī)則的入侵檢測(cè)技術(shù)能夠得到誤用檢測(cè)數(shù)據(jù)規(guī)則庫和異常檢測(cè)規(guī)則庫，從而對(duì)網(wǎng)絡(luò)中的入侵活動(dòng)進(jìn)行檢測(cè)。

3.2基于分類分析的入侵檢測(cè)技術(shù)

分類分析是通過對(duì)實(shí)例數(shù)據(jù)進(jìn)行分析，對(duì)數(shù)據(jù)項(xiàng)的特征屬性進(jìn)行提取，從而建立個(gè)分類函數(shù)，該函數(shù)可以將數(shù)據(jù)集中的數(shù)據(jù)進(jìn)行映射，并進(jìn)行分類，同時(shí)將其進(jìn)行標(biāo)記。為了完成基于分類的入侵檢測(cè)技術(shù)，不用有一個(gè)樣本數(shù)據(jù)庫作為支持，在該樣本數(shù)據(jù)庫中，每個(gè)元素都與數(shù)據(jù)庫中的元素有同樣的屬性集。分類分析中常用的算法是Pipper算法，通過該算法形成結(jié)構(gòu)化的數(shù)據(jù)模型，對(duì)正常行為分布和異常行為分布進(jìn)行區(qū)分，從而對(duì)入侵檢測(cè)過程中的行為進(jìn)行分類。

3.3基于聚類分析的入侵檢測(cè)技術(shù)

聚類分析是將未知的模型進(jìn)行分類，如果特征向量之間的距離在誤差允許的范圍內(nèi)，則將其劃分為同一類型。基于聚類分析的入侵檢測(cè)技術(shù)從做出假設(shè)作為出發(fā)點(diǎn)，即入侵行為和正常行為中的不同之處和入侵行為的數(shù)目遠(yuǎn)遠(yuǎn)小于正常行為的數(shù)目作為條件，從而對(duì)數(shù)據(jù)集劃分為正常行為和異常行為來進(jìn)行入侵檢測(cè)行為的區(qū)分。常見的聚類算法包括遺傳聚類、模糊聚類、自組織映射神經(jīng)網(wǎng)絡(luò)聚類等?；诰垲惙治龅娜肭謾z測(cè)技術(shù)是對(duì)數(shù)據(jù)實(shí)例進(jìn)行轉(zhuǎn)換，利用單鏈接的聚類方法，通過標(biāo)識(shí)和分類來對(duì)入侵行為進(jìn)行分析判斷，該方法對(duì)未知攻擊的檢測(cè)有明顯作用，而對(duì)拒絕服務(wù)攻擊檢測(cè)和惡意攻擊沒有作用。

3.4基于頻繁序列的入侵檢測(cè)技術(shù)

網(wǎng)絡(luò)攻擊與時(shí)間變量具有很大的聯(lián)系，基于此原因，對(duì)序列模式進(jìn)行分析是以關(guān)聯(lián)規(guī)則分析為基礎(chǔ)，以攻擊行為時(shí)間作為檢測(cè)的對(duì)象進(jìn)行分析。頻繁序列算法是從單一的事件流序列中找出相應(yīng)的行為模式，這與關(guān)聯(lián)規(guī)則算法有類似的地方，任何一個(gè)頻繁條目集的子集也屬于頻繁條目集，因此首先對(duì)長度為2的頻繁序列進(jìn)行查找，隨后的查找長度以此遞增，從而找出正常事件行為和入侵行為各自的序列關(guān)系，并找出入侵行為的時(shí)間序列特點(diǎn)?；陬l繁序列的入侵檢測(cè)行為總是與其他種類的入侵檢測(cè)行為一起使用，從而更好的特取出入侵檢測(cè)的相關(guān)模式，為入侵檢測(cè)提供技術(shù)支持。

四、結(jié)語

以數(shù)據(jù)挖掘?yàn)榛A(chǔ)的入侵檢測(cè)技術(shù)提出后得到了迅速的發(fā)展，然而對(duì)于實(shí)際使用仍然有很大的難度，目前還沒有形成完整的理論體系，因此，對(duì)基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)的研究仍然需要不斷的努力，從而保證數(shù)據(jù)挖掘入侵檢測(cè)的準(zhǔn)確性、高效性和實(shí)時(shí)性，為網(wǎng)絡(luò)的安全提供保障。

參 考 文 獻(xiàn)

[1]劉小明，熊濤. 基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)研究綜述[J].現(xiàn)代計(jì)算機(jī)：研究與開發(fā).2010（04）：78-80.

[2]覃曉，元昌安，龍瓏. 基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)[J].計(jì)算機(jī)安全：學(xué)生 技術(shù).2011（11）：16-18.

[3]汪莉. 淺談基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)的研究[J].科技視界：IT論壇.2012（13）：164-165.