探讨数据挖掘算法在入侵检测中的应用

来源:用户上传      作者: 张敬 周书臣

　　摘要：本文采用了一种基于关联规则的数据挖掘算法来分析入侵检测系统数据库来检测出攻击事件。对于异常检测，主要研究了分类算法；对于误用检测，主要研究了模式比较和聚类算法，在模式比较中又以关联规则和序列规则为重点研究对象。最后对目前数据挖掘算法在入侵检测中应用所面临的难点进行了分析，并指明了今后的研究方向。
　　关键词：入侵检测 数据挖掘 分类算法 算法实现 应用
　　中图分类号: T-19 文献标识码：A 文章编号：1007-9416(2011)12-0124-01
　　
　　随着网络技术的快速发展，利用丰富的网络资源进行攻击的手法千变万化，通过一些简单的操作就可以实施极具破坏力的攻击行为，如何有效的检测并阻止这些攻击行为的发生成了目前计算机行业被受关注的主题。目前最有效的的防护措施就是入侵检测。而入侵检测技术是一种动态的防护策略，在一定程度上弥补了传统静态策略的不足。
　　1、数据挖掘技术的介绍
　　数据挖掘技术是一个从大量的数据中提取出人们感兴趣的模式的一种技术。数据挖掘的对象除了数据源、系统外，还包括从Web资源上获得的与数据有关的信息；另外数据挖掘的过程并不是一个始终保持直线型的过程，而是一个具有螺旋上升、循环往复的过程。数据挖掘通过对未来的发展趋势及行为的预测，基于相应的知识，做出极具准确性的预测性。数据挖掘最终要实现的是从众多的数据库中发现隐含的且理论极具有意义的知识。
　　2、入侵检测系统
　　入侵检测是计算机和信息安全方面的一个重要课题，它是一种动态的安全保护方法，能主动寻找已经入侵计算机的信号，给网络系统提供免受外部攻击、内部攻击和误操作的安全保障。入侵检测通常分为一下三个部分：数据采集、数据分析以及系统响应。数据采集主要是从网络系统中进行采集网络中相关的数据包、重要文件以及与用户活动有关的数据等。数据分析则通过模式匹配、异常检测和完整性检测三种技术手段对采集的数据进行分析。入侵检测系统一旦发现入侵行为，立即会进入响应过程。
　　3、数据挖掘的功能
　　3.1 关联分析
　　关联分析能寻找数据库的相关联系，常用的二种技术为关联规则和序列模式。关联规则是发现一个事物与其他事物间的相互关联性或相互依赖性，序列模式分析将重点放在分析数据之间的前后因果关系。
　　3.2 聚类
　　对已经输入的数据并没有任何类型标记，聚类就是数据按一定的规则进行合理的集合，即将对象分成多个类或簇，使得在同一个簇中的对象之间具有较高的相似度，而在不同簇中的对象差别却很大。
　　3.3 概念描述
　　对于数据库中庞杂的数据，人们期望以简洁的描述形式来描述汇集的数据集。概念描述就是对某类对象的内涵进行描述并概括出这类对象的有关特征。
　　3.4 偏差检测
　　偏差包括很多潜在的知识。数据挖掘技术是最新引入到入侵检测的技术。它的优越之处在于可以从大量的网络数据以及主机的日志数据中提取出人们需要的、事先未知的知识和规律。利用数据挖掘技术实现网络安全在国内外都属于一种新的尝试。目前，对数据挖掘算法的研究已比较成熟。在入侵检测领域，我们将入侵检测看作是一个数据的分析过程，对大量的安全数据应用特定的数据挖掘算法，以达到建立一个具有自适应性以及良好的扩展性能的入侵检测系统。
　　4、数据挖掘模块算法的实现
　　4.1 数据预处理
　　入侵检测系统主要关注的是来自系统外部的攻击行为。然而，大部分造成严重后果的系统入侵正是由内部攻击者引起的，因此通过对基于内部用户行为模式的异常检测进行了相应的试验。在实验中为了能够真正的适合数据挖掘的要求，首先对事先采集好的数据进行预处理，从中抽取出一些重要的属性，并把重要的命令和参数转化成相应的字母，之后进行预处理。
　　4.2 通过采用加权关联规则来挖掘算法
　　加权关联规则技术引入的入侵检测系统可更精确地表示入侵模式。这主要是考虑到了审计数据的时间效应。同时，使用加权关联规则可以更加容易、有效地从各种各样的审计数据中发现出有用信息。因此，加权关联规则技术比关联规则技术更加适合用来构建入侵检测系统的入侵模块数据库。
　　5、数据挖掘在入侵检测当中的应用
　　5.1 基于误用的检测模型
　　首先我们从网络或是主机上获取原始二进制的数据文件，再把这些数据进行处理，转换成ASCII码表示的数据的分组形式。再经过预处理模块将这些网络数据表示成连接记录的形式，完上面的工作后，对上述的由特征属性组成的模式记录进行处理，总结出其中的统计特征，最后，就可以进行下面的检测分析工作，利用分类算法建立分类模型。最后才能根据各种不同的攻击方式或是不同的网络服务确定最终的分类数据。
　　5.2 ID3、C4.5算法
　　ID3算法是一种基本的决策树生成算法，该算法不包括规则剪除部分。C4.5算法作为ID3算法的后继版本，就加入了规则剪除部分，使用训练样本来估计每个规则的准确率。对于已知的攻击类型的检测，分类模型具有较高的检准率，但是对于未知的、新的攻击，分类模型效果就不是很理想。所以这种检测模型只能有限的检测已知的攻击，而要更好的检测未知的攻击，就要使用到异常检测技术。基于异常的入侵模型，异常检测的主要工作就是通过构造正常活动集合，然后利用得到的一组观察数值的偏离程度来判断用户行为的变化，以此来觉得是否属于入侵的一种检测技术。
　　6、结论
　　由于已有现成的数据挖掘算法可以利用，基于数据挖掘的入侵检侧技术得到了飞速的发展。这种技术的优点是可以处理大量数据的情况，但是它也存在着一些问题。比如，寻找更加高效的数据挖掘算法；如何提高入侵检测的正确率等，因此在以后的研究中将成为急需解决的问题。
　　参考文献
　　[1] 张银奎,宋俊等.数据挖掘原理[M].机械工业出版社,2006.
　　[2] 戴英侠,王航等.系统安全与入侵检测[M]．清华大学出版社,2008.
　　[3] 向继,荆继武.聚类算法在网络入侵检测中的应用[J].计算机工程,2009.
　　作者简介
　　张敬（1982－），女（汉族），河南驻马店人，研究生，主要研究方向：数据挖掘。
　　周书臣（1983―），男（汉族），河南省正阳县人，助教，硕士，主要研究方向：信息隐藏，数字水印。
　　

转载注明来源:https://www.xzbu.com/8/view-49123.htm