談入侵檢測系統(tǒng)數(shù)據(jù)挖掘技術(shù)應(yīng)用范文

本站小編為你精心準(zhǔn)備了談入侵檢測系統(tǒng)數(shù)據(jù)挖掘技術(shù)應(yīng)用參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

摘要：入侵檢測是網(wǎng)絡(luò)安全管理中的一項(xiàng)安全措施，可以有效發(fā)現(xiàn)和彌補(bǔ)網(wǎng)絡(luò)安全漏洞和缺陷。但是隨著網(wǎng)絡(luò)流量的增加以及網(wǎng)絡(luò)攻擊形式的多樣化發(fā)展，入侵檢測系統(tǒng)的技術(shù)也不斷完善，當(dāng)前數(shù)據(jù)挖掘技術(shù)成為入侵檢測系統(tǒng)的重要技術(shù)形式。筆者主要對入侵檢測系統(tǒng)技術(shù)形式、數(shù)據(jù)挖掘技術(shù)的具體應(yīng)用方式等進(jìn)行具體分析和討論，希望能夠促進(jìn)網(wǎng)絡(luò)安全管理工作的進(jìn)一步開展與優(yōu)化。

關(guān)鍵詞：數(shù)據(jù)挖掘技術(shù)；入侵檢測系統(tǒng)；網(wǎng)絡(luò)安全管理

引言

信息時(shí)代下，計(jì)算機(jī)技術(shù)應(yīng)用越來越廣泛，計(jì)算機(jī)技術(shù)水平不斷提升，同時(shí)計(jì)算機(jī)犯罪數(shù)量也不斷上升，特別是隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)入侵問題不斷發(fā)生。為了保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免于非法入侵，同時(shí)防止重要情報(bào)和資料被盜竊或者網(wǎng)絡(luò)癱瘓，導(dǎo)致嚴(yán)重的經(jīng)濟(jì)損失，危及國家和社會(huì)安全，必須要完善入侵檢測系統(tǒng)，采取有效的防范措施，提升入侵檢測技術(shù)水平。

1入侵檢測技術(shù)的定義及具體技術(shù)

1.1入侵檢測技術(shù)

對于計(jì)算機(jī)入侵來說，無論入侵是否成功，所有越權(quán)或者非授權(quán)情況對計(jì)算機(jī)系統(tǒng)資源的可靠性、完整性造成破壞的行為都稱為網(wǎng)絡(luò)入侵。而對這些入侵行為的識(shí)別即入侵檢測，完成入侵檢測任務(wù)的軟硬件系統(tǒng)稱為入侵檢測系統(tǒng)[1]。

1.2入侵檢測系統(tǒng)常用檢測技術(shù)

1.2.1濫用檢測技術(shù)濫用檢測技術(shù)是指針對特征情況的檢測，根據(jù)當(dāng)前的入侵和攻擊特點(diǎn)建立入侵特征庫，通過特征庫對出現(xiàn)的攻擊和入侵情況進(jìn)行匹配，如果發(fā)現(xiàn)入侵行為與入侵特征庫中的某種特征相同，則說明這是一種入侵行為。這種入侵識(shí)別的準(zhǔn)確性高，報(bào)錯(cuò)率低，但是由于網(wǎng)絡(luò)攻擊行為比較多，會(huì)導(dǎo)致入侵特征庫不斷擴(kuò)充增大，而且這種檢測技術(shù)只能檢測已經(jīng)發(fā)生過的入侵行為。

1.2.2異常檢測技術(shù)異常檢測技術(shù)是以行為為基礎(chǔ)的檢測技術(shù)，該技術(shù)的應(yīng)用同樣需要建立一個(gè)特征庫，根據(jù)系統(tǒng)的使用資源和行為等情況判斷入侵行為。異常檢測需要以統(tǒng)計(jì)方法為主，通過用戶的活動(dòng)輪廓以及系統(tǒng)的運(yùn)行等對入侵活動(dòng)進(jìn)行探索。活動(dòng)輪廓是一種由統(tǒng)計(jì)參數(shù)組成的模塊，包括內(nèi)存利用率、CPU、出錯(cuò)率、IP地址、網(wǎng)絡(luò)連接源IP等。活動(dòng)輪廓優(yōu)勢在于其自身與入侵檢測系統(tǒng)無關(guān)，具有非常強(qiáng)的通用性，可以對一些沒有出現(xiàn)過的入侵情況進(jìn)行檢測。但是各個(gè)用戶行為會(huì)經(jīng)常發(fā)生變化，活動(dòng)輪廓無法實(shí)現(xiàn)對系統(tǒng)用戶的全面描述，而且也存在其他的缺陷，比如檢錯(cuò)率比較高。其次因需要不停更新統(tǒng)計(jì)簡表，如果入侵者發(fā)現(xiàn)檢測器處于被監(jiān)視的狀態(tài)，會(huì)有目的、有計(jì)劃地對檢測系統(tǒng)進(jìn)行訓(xùn)練，逐漸使系統(tǒng)將入侵行為默認(rèn)為是正常行為。入侵檢測系統(tǒng)的研究主力在美國，當(dāng)前已經(jīng)開始得到廣泛的應(yīng)用，我國在入侵檢測系統(tǒng)方面的研究相對較晚，與美國相比存在較大的差距。當(dāng)前我國入侵檢測系統(tǒng)主要有3個(gè)指標(biāo)，分別為精確度、可擴(kuò)展性以及可用性。數(shù)據(jù)挖掘技術(shù)以及神經(jīng)網(wǎng)絡(luò)開始逐漸應(yīng)用到入侵檢測工作中，能夠針對入侵行為做出準(zhǔn)確的判斷。美國專業(yè)研究人員將數(shù)據(jù)挖掘框架應(yīng)用到入侵檢測模型以及特征的方案監(jiān)測中，并獲得相應(yīng)的實(shí)驗(yàn)結(jié)果和數(shù)據(jù)，通過理論和實(shí)驗(yàn)研究確定數(shù)據(jù)挖掘技術(shù)應(yīng)用的可行性。他們發(fā)現(xiàn)數(shù)據(jù)挖掘技術(shù)能夠應(yīng)用于濫用和異常檢測中，可有效提升檢測的準(zhǔn)確性。

2數(shù)據(jù)挖掘方法

通過對數(shù)據(jù)挖掘方法在不同領(lǐng)域的應(yīng)用，以及數(shù)據(jù)目標(biāo)和類型等的不同，可以總結(jié)出多種數(shù)據(jù)挖掘方法。

2.1分析數(shù)據(jù)挖掘方法

數(shù)據(jù)挖掘技術(shù)中的分析方法包括回歸分析、多元分析、描述統(tǒng)計(jì)以及概率論等。

2.2決策樹數(shù)據(jù)挖掘方法

決策樹數(shù)據(jù)挖掘檢測方式是指通過樹枝的形式對數(shù)據(jù)以及其中的變量情況進(jìn)行分析和預(yù)測，并建立相應(yīng)的預(yù)測模型，結(jié)合目標(biāo)變量效應(yīng)等制定相應(yīng)的規(guī)則，以信息論為基礎(chǔ)，進(jìn)行數(shù)據(jù)分析的方式。

2.3相關(guān)規(guī)則數(shù)據(jù)挖掘方法

相關(guān)規(guī)則數(shù)據(jù)挖掘方式是一種關(guān)聯(lián)性比較強(qiáng)的，簡單實(shí)用的分析規(guī)則，描述的是事務(wù)中部分屬性同時(shí)呈現(xiàn)出來的模式和規(guī)律，其主要采用“如果-則”邏輯規(guī)則，實(shí)現(xiàn)對資料技術(shù)的細(xì)化形式。

3入侵檢測系統(tǒng)中數(shù)據(jù)挖掘技術(shù)的應(yīng)用

數(shù)據(jù)挖掘技術(shù)通過在大量數(shù)據(jù)中挖掘有效的知識(shí)內(nèi)容，將其應(yīng)用于入侵檢測系統(tǒng)，通過大量數(shù)據(jù)的審計(jì)，生成一個(gè)精確的監(jiān)測模型，可有效降低人為干擾性；而且挖掘過程本身存在通用性以及機(jī)械性，這使數(shù)據(jù)挖掘技術(shù)能夠在多種計(jì)算環(huán)境中應(yīng)用，使入侵檢測系統(tǒng)應(yīng)用更合理。而且數(shù)據(jù)挖掘技術(shù)有利于降低空間損耗的，提升系統(tǒng)數(shù)據(jù)挖掘效率。

3.1數(shù)據(jù)挖掘體系結(jié)構(gòu)

在入侵檢測系統(tǒng)中應(yīng)用數(shù)據(jù)挖掘技術(shù)，主要優(yōu)勢是大數(shù)據(jù)可以從海量的網(wǎng)絡(luò)數(shù)據(jù)中挖掘出精確、簡潔的入侵行為。為了使入侵規(guī)則更合理，系統(tǒng)必須從4個(gè)階段對入侵規(guī)則進(jìn)行挖掘，包括數(shù)據(jù)預(yù)處理、數(shù)據(jù)挖掘?qū)徲?jì)、數(shù)據(jù)特點(diǎn)分析以及數(shù)據(jù)分類。在數(shù)據(jù)挖掘體系結(jié)構(gòu)設(shè)計(jì)中，首先是數(shù)據(jù)倉庫的設(shè)計(jì)，數(shù)據(jù)倉庫中的數(shù)據(jù)主要為安全服務(wù)器中的所有數(shù)據(jù)以及通過體征提取獲得的特征。其次是數(shù)據(jù)挖掘，通過關(guān)聯(lián)規(guī)則、分類以及序列模式等對數(shù)據(jù)進(jìn)行挖掘，以及對特征提取獲得的特征進(jìn)行分析，了解這些特征間的關(guān)系，包括時(shí)間和空間關(guān)系。挖掘?qū)徲?jì)數(shù)據(jù)算法有以下幾種形式。分類算法，這種算法通過對一個(gè)數(shù)據(jù)項(xiàng)的映射到預(yù)定義分類中，通過分類器輸出，解決規(guī)則或者決策樹的形式。入侵檢測技術(shù)主要對審計(jì)數(shù)據(jù)中正常數(shù)據(jù)以及異常數(shù)據(jù)向用戶以及程序送交，再通過分類算法對分類器進(jìn)行學(xué)習(xí)，對這些正常以及異常的審計(jì)數(shù)據(jù)進(jìn)行預(yù)測和標(biāo)記，但是必須要注意規(guī)則學(xué)習(xí)器相關(guān)問題[2]。關(guān)聯(lián)性分析算法，以正常或異常使用輪廓為基礎(chǔ)，通過對數(shù)據(jù)庫記錄間相關(guān)性的計(jì)算，制定相應(yīng)的關(guān)聯(lián)規(guī)則。序列分析算法，通過對序列模型的構(gòu)建，對審計(jì)事件中同一時(shí)間出現(xiàn)的序列進(jìn)行分析，通過這些經(jīng)常事件模式的分析，促進(jìn)入侵檢測模型中時(shí)間統(tǒng)計(jì)方法的應(yīng)用。通過這種行為模式的分析，有利于檢測一段時(shí)間內(nèi)各個(gè)主機(jī)和服務(wù)項(xiàng)目。這3種算法可以形成一個(gè)框架，這個(gè)框架可以由以下程序和規(guī)則組成：學(xué)習(xí)分類器、后分類程序，關(guān)聯(lián)性分析的關(guān)聯(lián)規(guī)則，序列分析經(jīng)常事件，交互性多次構(gòu)建、評(píng)估模型環(huán)境。其主要目標(biāo)是保證入侵檢測的直觀性、規(guī)則性，針對一些特殊情況還須專家的直接編輯和監(jiān)控。再次是規(guī)則庫。系統(tǒng)挖掘的正常以及攻擊模式都可以存放在入侵知識(shí)庫中，將知識(shí)庫中存在的已知模式與數(shù)據(jù)挖掘提取的數(shù)據(jù)包對比，以確定這個(gè)數(shù)據(jù)包是未知模式還是正常模式。然后是相應(yīng)單元。在數(shù)據(jù)挖掘體系對監(jiān)測結(jié)果響應(yīng)的過程中，正常數(shù)據(jù)傳輸也需要繼續(xù)監(jiān)聽，直到確定下一個(gè)數(shù)據(jù)包的安全性。如果檢測確定為已知惡意攻擊模式，針對入侵位置需要及時(shí)采取有效的預(yù)防對策。如果檢測結(jié)果為未知模式，需要將異常行為直接交由管理員，由管理員判斷該行為是正常行為還是入侵進(jìn)行。最后是管理控制。如果在系統(tǒng)中檢測到的數(shù)據(jù)包為未知模式，需要結(jié)合已知模式以及專家知識(shí)信息進(jìn)行人工判斷。若人工判斷其為正常模式，需要對這個(gè)數(shù)據(jù)包與一般正常模式進(jìn)行對比，必要的情況下將這個(gè)數(shù)據(jù)包模式加入規(guī)則庫中，或者對規(guī)則庫中與這個(gè)數(shù)據(jù)包相似的模式進(jìn)行更新。但是如果人工判斷認(rèn)為這個(gè)數(shù)據(jù)包為異常模式，需要及時(shí)采取有效的預(yù)防措施，并對這個(gè)數(shù)據(jù)包的異常情況和特點(diǎn)進(jìn)行分析，提取數(shù)據(jù)包異常位置和特點(diǎn)，并結(jié)合這個(gè)數(shù)據(jù)包的特點(diǎn)創(chuàng)建異常模式，同時(shí)將這個(gè)異常模式信息輸入數(shù)據(jù)庫。

3.2Sendmail數(shù)據(jù)分類

通過入侵檢測系統(tǒng)的數(shù)據(jù)的標(biāo)記可以看成一個(gè)分類問題。將審計(jì)后的數(shù)據(jù)分為特殊攻擊以及正常模式，然后根據(jù)分類結(jié)果得到一個(gè)記錄集，將數(shù)據(jù)分類標(biāo)記。同時(shí)通過分類算法計(jì)算具體模型，并將表現(xiàn)出來的明顯特征作為一個(gè)概念。利用sendmail程序軌跡集，采取分類器進(jìn)行學(xué)習(xí)和預(yù)測。在學(xué)習(xí)分類方面，為了區(qū)分異常、正常系統(tǒng)模型，必須要建設(shè)訓(xùn)練數(shù)據(jù)集，對正常以及異常的序列情況進(jìn)行區(qū)分。

3.3數(shù)據(jù)挖掘研究展望

當(dāng)前，數(shù)據(jù)挖掘法在入侵檢測系統(tǒng)中得到了廣泛的應(yīng)用，通過數(shù)據(jù)挖掘技術(shù)的應(yīng)用，可有效減少人工操作以及經(jīng)驗(yàn)操作的失誤問題，改善原有入侵檢測系統(tǒng)的弊端；通過數(shù)據(jù)挖掘中的序列模式、關(guān)聯(lián)規(guī)則以及分類等計(jì)算方式進(jìn)行入侵檢測：誤用檢測不需要對手工編碼以及漏洞進(jìn)行分析，可以通過自動(dòng)選擇的方式進(jìn)行異常檢測，及時(shí)發(fā)現(xiàn)新的攻擊形式，開拓入侵檢測思路。檢測方式不僅可以用于主機(jī)異常、網(wǎng)絡(luò)誤用等方面的檢測，還能夠用于網(wǎng)絡(luò)異常、主機(jī)誤用等方面的檢測。由此可見，序列模式挖掘方式在入侵檢測系統(tǒng)中的應(yīng)用性非常強(qiáng)。相對于模型匹配入侵監(jiān)測方式來說，數(shù)據(jù)挖掘法中序列模式優(yōu)勢更突出，因?yàn)楣粽叩墓襞c時(shí)間有關(guān)，部分攻擊特點(diǎn)不能在單一報(bào)文中體現(xiàn)，必須對單位時(shí)間內(nèi)報(bào)文內(nèi)容和數(shù)量進(jìn)行考察。同時(shí)序列模式算法的挖掘方法與時(shí)間具有一定的聯(lián)系性，可以通過這些數(shù)據(jù)信息建立分類模型[3]。

4結(jié)語

數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用越來越廣泛，通過數(shù)據(jù)挖掘技術(shù)的應(yīng)用有利于降低訓(xùn)練數(shù)據(jù)集的難度，可以通過特征抽取的方式對入侵?jǐn)?shù)據(jù)包進(jìn)行主動(dòng)防御，提升入侵檢測系統(tǒng)的防御效率。但是由于流量數(shù)據(jù)、審計(jì)數(shù)據(jù)以及入侵檢測都存在一定的不確定因素，需要針對不確定性進(jìn)行描述。本文以攻擊度為劃分標(biāo)準(zhǔn)，并指出劃分理由，不僅有利于描述檢測中不確定性的劃分，還有利于對入侵檢測系統(tǒng)的比較和整合。但是當(dāng)前我國數(shù)據(jù)挖掘技術(shù)的具體應(yīng)用還不夠成熟，在網(wǎng)絡(luò)流量序列表示中過于模糊，時(shí)序挖掘技術(shù)障礙多以及系統(tǒng)伸縮性差等都導(dǎo)致數(shù)據(jù)挖掘技術(shù)存在很多漏洞，在以后的研究中還需要結(jié)合數(shù)據(jù)挖掘技術(shù)的特點(diǎn)和不足，加強(qiáng)完善數(shù)據(jù)挖掘技術(shù)，提升入侵檢測系統(tǒng)的防御性，保證網(wǎng)絡(luò)信息安全，使數(shù)據(jù)挖掘技術(shù)應(yīng)用更廣泛。

參考文獻(xiàn)

[1]林國慶.數(shù)據(jù)挖掘算法在入侵檢測系統(tǒng)中的應(yīng)用研究[J].電腦知識(shí)與技術(shù),2017,13(8):49-51,58.

[2]王有金.數(shù)據(jù)挖掘在入侵檢測系統(tǒng)中的應(yīng)用研究[D].長春:吉林大學(xué),2017:24-26.

[3]藍(lán)永發(fā).數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(3):95-96.

作者：羅曦 單位：閩江學(xué)院