電子商務安全入侵檢測范文

本站小編為你精心準備了電子商務安全入侵檢測參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

《計算機安全雜志》2014年第六期

1基于數(shù)據(jù)挖掘的多入侵檢測

1.1總體目標通過上述的論述，我們在基于主機的入侵檢測系統(tǒng)上引入多（Multi-Agent）和數(shù)據(jù)挖掘技術(shù)，與已開發(fā)的訪問控制系統(tǒng)、日志管理系統(tǒng)協(xié)同工作，并且結(jié)合電子商務實際情況，提出基于數(shù)據(jù)挖掘（DataMining）的多（Multi-Agent）入侵檢測系統(tǒng)（DMMAS）（如圖2）。在良好適合電子商務的實際環(huán)境要求這個核心思想下，我們設(shè)計的目標是：(1)面向應用領(lǐng)域；(2)采用多（Multi-Agent）；(3)應用數(shù)據(jù)挖掘技術(shù)。該系統(tǒng)使用中間件和Java技術(shù)，實現(xiàn)收集（CollectAgent）的收集信息通用化、組件化。系統(tǒng)面向應用領(lǐng)域，在理論和實踐中找到最佳平衡點，使部署簡單，并且小而輕，在用戶的統(tǒng)一控制下。該系統(tǒng)具有簡單的自學習能力，能夠在情況不斷變化下做出正確判斷。使用數(shù)據(jù)挖掘和OLAP等相關(guān)技術(shù)對電子商務下的日志信息建立良好模型和展示。

1.2模型框架從圖中看出，DMMAS通過傳感器捕獲原始數(shù)據(jù)，保持數(shù)據(jù)源收集和主體應用程序開發(fā)上的獨立性，但要使在控制臺集中控制下。原始數(shù)據(jù)按協(xié)議進行預處理加工后，一方面發(fā)送給檢測器，另一方面存入到數(shù)據(jù)庫中。由于日志種類繁多，存入數(shù)據(jù)庫中需要提供一個通用日志格式，而且要求它涵蓋日志大多信息，但又不能導致數(shù)據(jù)冗余等等問題，所以通用日志數(shù)據(jù)格式的定義將是一個難點。然后，一方面檢測器利用XML分析文件，運用模型庫中的規(guī)則進行分析信息的安全威脅性，發(fā)現(xiàn)異常和誤用，及時提醒管理員并報警；另一方面，分析后的信息存入數(shù)據(jù)庫后，使用數(shù)據(jù)挖掘器從數(shù)據(jù)庫中挖掘知識，不斷迭代更新檢測模型庫，而且進行數(shù)據(jù)挖掘的聯(lián)機分析處理（OLAP），提供生成HTML報表、多維分析、圖形顯示等功能，這些功能滿足企業(yè)業(yè)務上要求。

1.3多技術(shù)（Multi-Agent）在具體實踐上述模型時，充分考慮到分布式應用，對傳感器、預處理器、挖掘器和檢測器采用IA技術(shù)。我們設(shè)計的分為：收集（CollectAgent）數(shù)據(jù)整合（DataIntegrateAgent）數(shù)據(jù)分析（DataAnalysisAgent）監(jiān)控（WatchAgent）檢測（DetectAgent）

1.3.1收集CA其中CA在宿主系統(tǒng)捕獲審計日志信息，把應用系統(tǒng)日志以及系統(tǒng)審計日志集中返回給DA，另外CA受到IA控制，對于某些檢測，控制可發(fā)送警告信息給CA，讓其在宿主機器實現(xiàn)報警或警告提醒。目前我們的收集分為三種：Windows、Linux和應用系統(tǒng)。其中Linux是通過加載內(nèi)核模塊實現(xiàn)截獲系統(tǒng)調(diào)用，Windows為Windows后臺進程截獲Windows日志信息，應用系統(tǒng)通過后臺進程截獲應用系統(tǒng)日志信息。

1.3.2數(shù)據(jù)整合DIADIA負責將信息進行整合、清理，并把整合和清理好的數(shù)據(jù)發(fā)送給DAA和DA。部分代碼如下：

1.3.4數(shù)據(jù)分析DAADAA是一個重量級，負責計算和維護程序和用戶的規(guī)則，將其分離到一個計算能力強的服務器上，提高速度。DAA從數(shù)據(jù)庫中取出數(shù)據(jù)，生成arff文件格式（一種數(shù)據(jù)挖掘分析格式），實現(xiàn)為ARFFGenerator類。部分代碼如下：模型的產(chǎn)生是在Xelopes數(shù)據(jù)挖掘平臺下實現(xiàn)的，先讀入arff文件作為數(shù)據(jù)源，然后配置相關(guān)元數(shù)據(jù)屬性，再使用DecisionTreeAlgorithm算法產(chǎn)生模型。部分代碼如下：

1.3.5檢測DADA為檢測，它接收DAA產(chǎn)生的規(guī)則，并使用該規(guī)則檢測信息。DA使用檢測技術(shù)分別處理各自日志信息，給出統(tǒng)計分析報告。也就是說，采用分布式檢測管理策略，DA的檢測負擔大大減少，可以分布到多臺機器完成，具體實踐上DA也可以考慮用CA來完成，在CA中整合DA完成的功能。另外，學習的同時，DA能夠比較新的記錄條目與攻擊特征，并檢查不應該改變的系統(tǒng)文件的校驗和分析系統(tǒng)是否被侵入或者被攻擊。如果發(fā)現(xiàn)與攻擊模式匹配，IDS系統(tǒng)通過向管理員報警和其他呼叫行為來響應。其主要目的是在事件發(fā)生后提供足夠的分析來阻止進一步的攻擊。

1.3.6監(jiān)控WAWA為用戶接口，主要用來圖形化顯示日志信息，并且負責實現(xiàn)用戶和各之間的溝通，用戶可以通過WA向其他發(fā)命令，控制CA、DIA、DAA、DA。實現(xiàn)的自動升級，打開或關(guān)閉，讓CA做一些預定義好的簡單事件，例如在宿主機器上報警，也可以控制檢測器的檢測范圍等；在控制DAA時，可以調(diào)整挖掘?qū)W習的參數(shù)，優(yōu)化生成的模型和規(guī)則。我們開發(fā)的WA具有生成主機日志拓撲圖能力（如圖4），動態(tài)拓撲圖描述了有關(guān)主機和用戶之間的交互情況，圖中心為“網(wǎng)絡(luò)”節(jié)點，以它為中心周圍有正活動的主機，主機周圍是主機上正在活動的用戶，每個用戶都有很多操作在進行。例如，如圖中有一臺主機WML200，在這臺機器上有兩個用戶（SYSTEM、Administrator）在活動，其中SYSTEM用戶進行了四項操作（登錄和注銷、賬戶登錄、對象訪問、詳細追蹤）。

1.4數(shù)據(jù)源通用類數(shù)據(jù)源通用類實現(xiàn)成可以裝載各種不同格式的日志，其中系統(tǒng)級日志例如syslog、NTeventlog等，還有應用級日志，使得把不同日志格式統(tǒng)一成為可能，并且可擴展性也好。數(shù)據(jù)源通用類將數(shù)據(jù)整合，如表1所示。數(shù)據(jù)源通用類以日志數(shù)據(jù)為輸入，提供通用接口協(xié)議，只要收集遵守這個協(xié)議組織數(shù)據(jù)，通用接口都可以識別為有用信息。但是大部分廠商的操作系統(tǒng)日志記錄功能非常不規(guī)范，還沒有形成一套比較完整的日志記錄標準解決方案，因此，要建立日志標準，這個日志標準要綜合各類日志具體情況而定。目前建立數(shù)據(jù)源通用類LogModel定義包括三類日志的公共信息，Windows日志、Linux日志、應用程序日志分別從該類繼承，如圖5所示。

1.5數(shù)據(jù)挖掘技術(shù)從上面可以看出，通過收集收集來的審計日志信息會非常龐大，把數(shù)據(jù)挖掘技術(shù)引入到入侵檢測當中就是為了解決這個問題。數(shù)據(jù)挖掘方法有多種，其中可用于對日志信息進行挖掘，比較典型的有關(guān)聯(lián)分析（Association）、序列模式分析(Sequentialpattern)、分類分析(Classifier)、聚類分析(Clustering)等。關(guān)聯(lián)規(guī)則挖掘的目標是從數(shù)據(jù)庫表中得出屬性(features或attributes)之間的關(guān)聯(lián)關(guān)系。關(guān)聯(lián)規(guī)則形式如下X->Y[c,s]，這里X∩Y=Ф,s=support(XUY)是支持度(表中同時包含X和Y的記錄所占的百分數(shù))。c是該規(guī)則的置信度，定義為s(XUY)/s(X)。序列模式分析和關(guān)聯(lián)分析相似，序列分析的目標是在事務數(shù)據(jù)庫中發(fā)掘出序列模式(largesequences)，即滿足用戶指定的最小支持度要求的大序列，并且該序列模式必須是最高序列（maximalsequence）。序列規(guī)則形式如下：X,Y->Z[c,s,w]，X,Y和Z是項集，s=support(XUYUZ)是規(guī)則支持度，c=support(XUYUZ)/support(XUY)是置信度，w為時間長度。分類分析是通過分析示例數(shù)據(jù)庫中的數(shù)據(jù)為每個類別做出準確的描述建立分析模型，挖掘出分類規(guī)則能夠把數(shù)據(jù)集中的數(shù)據(jù)映射到某個給定的類上。與分類分析不同，聚類分析輸入的是一組未分類的數(shù)據(jù)，并且這些數(shù)據(jù)的分類情況事先未知，通過聚類分析后把數(shù)據(jù)劃分到不同的組中組之間的差別盡可能大而組內(nèi)的差別盡可能小。令S為由d維度量空間的點代表的n個數(shù)據(jù)對象的集合，將S分成k個子集的一個劃分稱為K－聚類，其中每個Ci稱為一個簇，兩個數(shù)據(jù)對象之間的距離通過一定的度量方法來確定，度量函數(shù)的選取與具體的應用息息相關(guān)，最廣泛使用的是歐幾里得距離。我們的Linux收集的日志為系統(tǒng)調(diào)用，針對系統(tǒng)調(diào)用的數(shù)據(jù)挖掘一般有兩種：系統(tǒng)調(diào)用的關(guān)聯(lián)分析和系統(tǒng)調(diào)用的序列分析。對于系統(tǒng)調(diào)用的關(guān)聯(lián)分析，從關(guān)聯(lián)分析的角度看，與系統(tǒng)調(diào)用相關(guān)的各個變量具有很強的相關(guān)性，如果將一次系統(tǒng)調(diào)用表示為（進程號、系統(tǒng)調(diào)用號、用戶、訪問對象訪問權(quán)限），不難發(fā)現(xiàn)，這五個變量都具有很強的關(guān)聯(lián)關(guān)系，特別適合利用數(shù)據(jù)挖掘算法進行分析。

2結(jié)束語

在本文中，本文將主要從入侵檢測安全角度上分析目前電子商務安全體系結(jié)構(gòu)，從網(wǎng)絡(luò)情況、安全威脅對象、事故評估和追究事后責任、攻擊預測與事前警告等各個層次分析得出結(jié)論，在目前電子商務領(lǐng)域里，基于主機的入侵檢測具有廣闊的發(fā)展空間，基于網(wǎng)絡(luò)的入侵檢測并不能發(fā)揮較大作用。根據(jù)上述分析和結(jié)論，本文提出了符合電子商務要求的基于數(shù)據(jù)挖掘的集中式入侵檢測模型。本文設(shè)計的模型主要三部分：數(shù)據(jù)源通用類、多、數(shù)據(jù)挖掘。從整體上看是分布式的。在未來的工作中，計劃繼續(xù)完善和細化模型，進一步對模型進行優(yōu)化。

作者：甘雨單位：上海房盟信息技術(shù)有限公司