王敏

【摘要】 入侵檢測系統(tǒng)作為一種能對網(wǎng)絡(luò)入侵行為實(shí)行主動(dòng)防御措施，是防火墻技術(shù)的有力補(bǔ)充。不過現(xiàn)有的入侵檢測系統(tǒng)仍存在一定的缺陷，比如時(shí)效性等。因此本文就這一問題進(jìn)行研究，提出了基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)。

【關(guān)鍵詞】 網(wǎng)絡(luò)安全 入侵檢測 數(shù)據(jù)挖掘

一、研究意義

伴隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，新興業(yè)務(wù)也越來越多，如電子銀行、電子商務(wù)等，這就使得計(jì)算機(jī)網(wǎng)絡(luò)的安全問題顯得更為重要了。網(wǎng)絡(luò)環(huán)境也越來越復(fù)雜，面對這種日趨惡劣的網(wǎng)絡(luò)環(huán)境，入侵檢測系統(tǒng)由于缺乏行之有效的檢測技術(shù)和事件處理能力，因此很難適應(yīng)，也就不能保證網(wǎng)絡(luò)信息安全?，F(xiàn)今的入侵檢測功能僅僅可以把已經(jīng)知道的種種入侵手段進(jìn)行有效的檢測效果，面對未知的入侵行為常常是無效的，就算是正常的行為，有時(shí)也會(huì)產(chǎn)生高誤報(bào)率，這些都影響了整個(gè)系統(tǒng)的性能，因此如何有效地提高入侵檢測系統(tǒng)的實(shí)時(shí)有效檢測性，降低系統(tǒng)誤報(bào)率，提高系統(tǒng)安全性穩(wěn)定性，就成了入侵防御重要的研究方向。

二、入侵檢測技術(shù)

所謂的入侵檢測系統(tǒng)是一個(gè)對于計(jì)算機(jī)安全系統(tǒng)的各種惡意攻擊行為時(shí)刻進(jìn)行分析檢測和響應(yīng)的系統(tǒng)。入侵檢測系統(tǒng)可以對于計(jì)算機(jī)系統(tǒng)遭受的入侵行為進(jìn)行實(shí)時(shí)監(jiān)測并作出相應(yīng)地響應(yīng)，它可以對于整個(gè)系統(tǒng)實(shí)行輪回不間斷監(jiān)控，保證系統(tǒng)的時(shí)刻安全，即在用戶都沒有意識(shí)到系統(tǒng)遭到破壞的時(shí)候，就已經(jīng)對入侵行為采取了措施，切斷入侵行為和系統(tǒng)間的數(shù)據(jù)交流。入侵檢測系統(tǒng)對于網(wǎng)絡(luò)中數(shù)據(jù)行為的檢測分析并不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)中傳輸應(yīng)用，其對于網(wǎng)絡(luò)入侵行為的自動(dòng)響應(yīng)功能給整個(gè)計(jì)算機(jī)安全系統(tǒng)帶來了完善的保證。全新的入侵檢測系統(tǒng)擁有智能的調(diào)節(jié)和學(xué)習(xí)功能，當(dāng)檢測到網(wǎng)絡(luò)中的入侵行為后，它不僅可以切斷網(wǎng)絡(luò)中數(shù)據(jù)交流，而且還能根據(jù)入侵行為的特點(diǎn)，調(diào)整防火墻的防護(hù)策略，這就形成了一個(gè)智能的防護(hù)系統(tǒng)。入侵檢測技術(shù)的分類：基于主機(jī)的入侵檢測系統(tǒng)，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，混合型入侵檢測系統(tǒng)。入侵檢測系統(tǒng)的優(yōu)劣主要取決于入侵檢測技術(shù)的好壞，因此入侵技術(shù)的好壞直接關(guān)系到整個(gè)入侵檢測系統(tǒng)的檢測效率、誤報(bào)率及檢測效果等性能指標(biāo)。入侵檢測技術(shù)主要分為以下三類：基于異常的檢測，基于誤用的檢測，基于完整性檢驗(yàn)的檢測。

三、入侵檢測系統(tǒng)中有關(guān)數(shù)據(jù)挖掘技術(shù)的應(yīng)用改進(jìn)

數(shù)據(jù)挖掘的定義是從大量的無規(guī)律的、雜亂無章的數(shù)據(jù)信息中，分析其中的所有數(shù)據(jù)，找出數(shù)據(jù)間存在的規(guī)律，提取出用戶所需要的信息知識(shí)的過程，主要包括數(shù)據(jù)準(zhǔn)備、規(guī)律尋找和規(guī)律表示。數(shù)據(jù)挖掘技術(shù)的方法分類有：關(guān)聯(lián)分析算法、分類分析算法、聚類分析算法、序列分析算法。

3.1關(guān)聯(lián)規(guī)則算法改進(jìn)

3.2聚類算法改進(jìn)

現(xiàn)將經(jīng)過改進(jìn)的K-均值算法描述如下：

輸入量：聚類半徑R、初始聚類個(gè)數(shù)M及存儲(chǔ)原始數(shù)據(jù)的數(shù)據(jù)庫；輸出量：k個(gè)聚類。

具體計(jì)算方法：1、確定M個(gè)聚類的聚類中心{R1，R2，…，Rm}，設(shè)定Rj=Xi，j∈{1，2，……m}，i∈{1，2，……n}；2、通過計(jì)算出另外記錄Xi（i∈{1，2，……n}）所能達(dá)到聚類中心的距離的最小值min；3、若min>w，則得出一個(gè)新聚類，以Xi視作新聚類的中心，接著退出此次聚類操作過程；4、否則Xi要分到最近的Rj所在的聚類；5、通過返回3最終到聚類中心值固定。

四、數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用

關(guān)聯(lián)分析數(shù)據(jù)挖掘算法對于網(wǎng)絡(luò)中各個(gè)接入其中的連接用戶的屬性間的關(guān)系進(jìn)行分析，故可以將其用到分析發(fā)現(xiàn)入侵攻擊者各種入侵行為間的特征關(guān)系。運(yùn)用特征模式提取，得到正常行為，以此來判別異常的入侵行為。先對大量的網(wǎng)絡(luò)原始數(shù)據(jù)行為進(jìn)行收集，然后通過關(guān)聯(lián)分析和聚類分析兩種數(shù)據(jù)挖掘算法對原始數(shù)據(jù)行為集進(jìn)行挖掘，搭建出正常行為庫，得出正常行為模式，然后直接利用剛得到的正常行為庫的數(shù)據(jù)對前面收集的數(shù)據(jù)進(jìn)行過濾，得到相對純凈的數(shù)據(jù)行為庫，利用數(shù)據(jù)挖掘技術(shù)中的分類算法進(jìn)一步區(qū)別正常行為和異常行為，生成誤用檢測規(guī)則，同時(shí)上面過程中形成的正常行為庫和入侵檢測特征模式等都需要不斷進(jìn)行更新，以應(yīng)對層出不窮的各種入侵行為。前期收集的網(wǎng)絡(luò)數(shù)據(jù)行為，被預(yù)處理成包含特定屬性的網(wǎng)絡(luò)數(shù)據(jù)，如協(xié)議類型、鏈接地址、物理地址及入侵端口等。然后才從其中根據(jù)數(shù)據(jù)挖掘算法得到正常的網(wǎng)絡(luò)行為，用于判斷網(wǎng)絡(luò)入侵行為。

五、結(jié)論

數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用，主要是為了從巨大的網(wǎng)絡(luò)原始的數(shù)據(jù)資源中尋找出存在安全隱患和安全威脅的信息，以及這些信息是以什么規(guī)則來入侵網(wǎng)絡(luò)系統(tǒng)。通過對關(guān)聯(lián)分析數(shù)據(jù)挖掘算法和聚類分析數(shù)據(jù)挖掘算法的改進(jìn)，利用改進(jìn)后的算法對用戶和系統(tǒng)的各種行為進(jìn)行特征模式的提取，來判斷入侵行為，由此有效優(yōu)化入侵檢測技術(shù)。