談入侵檢測系統數據挖掘技術應用范文

本站小編為你精心準備了談入侵檢測系統數據挖掘技術應用參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：入侵檢測是網絡安全管理中的一項安全措施，可以有效發現和彌補網絡安全漏洞和缺陷。但是隨著網絡流量的增加以及網絡攻擊形式的多樣化發展，入侵檢測系統的技術也不斷完善，當前數據挖掘技術成為入侵檢測系統的重要技術形式。筆者主要對入侵檢測系統技術形式、數據挖掘技術的具體應用方式等進行具體分析和討論，希望能夠促進網絡安全管理工作的進一步開展與優化。

關鍵詞：數據挖掘技術；入侵檢測系統；網絡安全管理

引言

信息時代下，計算機技術應用越來越廣泛，計算機技術水平不斷提升，同時計算機犯罪數量也不斷上升，特別是隨著網絡的普及，網絡入侵問題不斷發生。為了保護計算機網絡免于非法入侵，同時防止重要情報和資料被盜竊或者網絡癱瘓，導致嚴重的經濟損失，危及國家和社會安全，必須要完善入侵檢測系統，采取有效的防范措施，提升入侵檢測技術水平。

1入侵檢測技術的定義及具體技術

1.1入侵檢測技術

對于計算機入侵來說，無論入侵是否成功，所有越權或者非授權情況對計算機系統資源的可靠性、完整性造成破壞的行為都稱為網絡入侵。而對這些入侵行為的識別即入侵檢測，完成入侵檢測任務的軟硬件系統稱為入侵檢測系統[1]。

1.2入侵檢測系統常用檢測技術

1.2.1濫用檢測技術濫用檢測技術是指針對特征情況的檢測，根據當前的入侵和攻擊特點建立入侵特征庫，通過特征庫對出現的攻擊和入侵情況進行匹配，如果發現入侵行為與入侵特征庫中的某種特征相同，則說明這是一種入侵行為。這種入侵識別的準確性高，報錯率低，但是由于網絡攻擊行為比較多，會導致入侵特征庫不斷擴充增大，而且這種檢測技術只能檢測已經發生過的入侵行為。

1.2.2異常檢測技術異常檢測技術是以行為為基礎的檢測技術，該技術的應用同樣需要建立一個特征庫，根據系統的使用資源和行為等情況判斷入侵行為。異常檢測需要以統計方法為主，通過用戶的活動輪廓以及系統的運行等對入侵活動進行探索。活動輪廓是一種由統計參數組成的模塊，包括內存利用率、CPU、出錯率、IP地址、網絡連接源IP等。活動輪廓優勢在于其自身與入侵檢測系統無關，具有非常強的通用性，可以對一些沒有出現過的入侵情況進行檢測。但是各個用戶行為會經常發生變化，活動輪廓無法實現對系統用戶的全面描述，而且也存在其他的缺陷，比如檢錯率比較高。其次因需要不停更新統計簡表，如果入侵者發現檢測器處于被監視的狀態，會有目的、有計劃地對檢測系統進行訓練，逐漸使系統將入侵行為默認為是正常行為。入侵檢測系統的研究主力在美國，當前已經開始得到廣泛的應用，我國在入侵檢測系統方面的研究相對較晚，與美國相比存在較大的差距。當前我國入侵檢測系統主要有3個指標，分別為精確度、可擴展性以及可用性。數據挖掘技術以及神經網絡開始逐漸應用到入侵檢測工作中，能夠針對入侵行為做出準確的判斷。美國專業研究人員將數據挖掘框架應用到入侵檢測模型以及特征的方案監測中，并獲得相應的實驗結果和數據，通過理論和實驗研究確定數據挖掘技術應用的可行性。他們發現數據挖掘技術能夠應用于濫用和異常檢測中，可有效提升檢測的準確性。

2數據挖掘方法

通過對數據挖掘方法在不同領域的應用，以及數據目標和類型等的不同，可以總結出多種數據挖掘方法。

2.1分析數據挖掘方法

數據挖掘技術中的分析方法包括回歸分析、多元分析、描述統計以及概率論等。

2.2決策樹數據挖掘方法

決策樹數據挖掘檢測方式是指通過樹枝的形式對數據以及其中的變量情況進行分析和預測，并建立相應的預測模型，結合目標變量效應等制定相應的規則，以信息論為基礎，進行數據分析的方式。

2.3相關規則數據挖掘方法

相關規則數據挖掘方式是一種關聯性比較強的，簡單實用的分析規則，描述的是事務中部分屬性同時呈現出來的模式和規律，其主要采用“如果-則”邏輯規則，實現對資料技術的細化形式。

3入侵檢測系統中數據挖掘技術的應用

數據挖掘技術通過在大量數據中挖掘有效的知識內容，將其應用于入侵檢測系統，通過大量數據的審計，生成一個精確的監測模型，可有效降低人為干擾性；而且挖掘過程本身存在通用性以及機械性，這使數據挖掘技術能夠在多種計算環境中應用，使入侵檢測系統應用更合理。而且數據挖掘技術有利于降低空間損耗的，提升系統數據挖掘效率。

3.1數據挖掘體系結構

在入侵檢測系統中應用數據挖掘技術，主要優勢是大數據可以從海量的網絡數據中挖掘出精確、簡潔的入侵行為。為了使入侵規則更合理，系統必須從4個階段對入侵規則進行挖掘，包括數據預處理、數據挖掘審計、數據特點分析以及數據分類。在數據挖掘體系結構設計中，首先是數據倉庫的設計，數據倉庫中的數據主要為安全服務器中的所有數據以及通過體征提取獲得的特征。其次是數據挖掘，通過關聯規則、分類以及序列模式等對數據進行挖掘，以及對特征提取獲得的特征進行分析，了解這些特征間的關系，包括時間和空間關系。挖掘審計數據算法有以下幾種形式。分類算法，這種算法通過對一個數據項的映射到預定義分類中，通過分類器輸出，解決規則或者決策樹的形式。入侵檢測技術主要對審計數據中正常數據以及異常數據向用戶以及程序送交，再通過分類算法對分類器進行學習，對這些正常以及異常的審計數據進行預測和標記，但是必須要注意規則學習器相關問題[2]。關聯性分析算法，以正常或異常使用輪廓為基礎，通過對數據庫記錄間相關性的計算，制定相應的關聯規則。序列分析算法，通過對序列模型的構建，對審計事件中同一時間出現的序列進行分析，通過這些經常事件模式的分析，促進入侵檢測模型中時間統計方法的應用。通過這種行為模式的分析，有利于檢測一段時間內各個主機和服務項目。這3種算法可以形成一個框架，這個框架可以由以下程序和規則組成：學習分類器、后分類程序，關聯性分析的關聯規則，序列分析經常事件，交互性多次構建、評估模型環境。其主要目標是保證入侵檢測的直觀性、規則性，針對一些特殊情況還須專家的直接編輯和監控。再次是規則庫。系統挖掘的正常以及攻擊模式都可以存放在入侵知識庫中，將知識庫中存在的已知模式與數據挖掘提取的數據包對比，以確定這個數據包是未知模式還是正常模式。然后是相應單元。在數據挖掘體系對監測結果響應的過程中，正常數據傳輸也需要繼續監聽，直到確定下一個數據包的安全性。如果檢測確定為已知惡意攻擊模式，針對入侵位置需要及時采取有效的預防對策。如果檢測結果為未知模式，需要將異常行為直接交由管理員，由管理員判斷該行為是正常行為還是入侵進行。最后是管理控制。如果在系統中檢測到的數據包為未知模式，需要結合已知模式以及專家知識信息進行人工判斷。若人工判斷其為正常模式，需要對這個數據包與一般正常模式進行對比，必要的情況下將這個數據包模式加入規則庫中，或者對規則庫中與這個數據包相似的模式進行更新。但是如果人工判斷認為這個數據包為異常模式，需要及時采取有效的預防措施，并對這個數據包的異常情況和特點進行分析，提取數據包異常位置和特點，并結合這個數據包的特點創建異常模式，同時將這個異常模式信息輸入數據庫。

3.2Sendmail數據分類

通過入侵檢測系統的數據的標記可以看成一個分類問題。將審計后的數據分為特殊攻擊以及正常模式，然后根據分類結果得到一個記錄集，將數據分類標記。同時通過分類算法計算具體模型，并將表現出來的明顯特征作為一個概念。利用sendmail程序軌跡集，采取分類器進行學習和預測。在學習分類方面，為了區分異常、正常系統模型，必須要建設訓練數據集，對正常以及異常的序列情況進行區分。

3.3數據挖掘研究展望

當前，數據挖掘法在入侵檢測系統中得到了廣泛的應用，通過數據挖掘技術的應用，可有效減少人工操作以及經驗操作的失誤問題，改善原有入侵檢測系統的弊端；通過數據挖掘中的序列模式、關聯規則以及分類等計算方式進行入侵檢測：誤用檢測不需要對手工編碼以及漏洞進行分析，可以通過自動選擇的方式進行異常檢測，及時發現新的攻擊形式，開拓入侵檢測思路。檢測方式不僅可以用于主機異常、網絡誤用等方面的檢測，還能夠用于網絡異常、主機誤用等方面的檢測。由此可見，序列模式挖掘方式在入侵檢測系統中的應用性非常強。相對于模型匹配入侵監測方式來說，數據挖掘法中序列模式優勢更突出，因為攻擊者的攻擊與時間有關，部分攻擊特點不能在單一報文中體現，必須對單位時間內報文內容和數量進行考察。同時序列模式算法的挖掘方法與時間具有一定的聯系性，可以通過這些數據信息建立分類模型[3]。

4結語

數據挖掘技術在入侵檢測系統中的應用越來越廣泛，通過數據挖掘技術的應用有利于降低訓練數據集的難度，可以通過特征抽取的方式對入侵數據包進行主動防御，提升入侵檢測系統的防御效率。但是由于流量數據、審計數據以及入侵檢測都存在一定的不確定因素，需要針對不確定性進行描述。本文以攻擊度為劃分標準，并指出劃分理由，不僅有利于描述檢測中不確定性的劃分，還有利于對入侵檢測系統的比較和整合。但是當前我國數據挖掘技術的具體應用還不夠成熟，在網絡流量序列表示中過于模糊，時序挖掘技術障礙多以及系統伸縮性差等都導致數據挖掘技術存在很多漏洞，在以后的研究中還需要結合數據挖掘技術的特點和不足，加強完善數據挖掘技術，提升入侵檢測系統的防御性，保證網絡信息安全，使數據挖掘技術應用更廣泛。

參考文獻

[1]林國慶.數據挖掘算法在入侵檢測系統中的應用研究[J].電腦知識與技術,2017,13(8):49-51,58.

[2]王有金.數據挖掘在入侵檢測系統中的應用研究[D].長春:吉林大學,2017:24-26.

[3]藍永發.數據挖掘技術在網絡入侵檢測中的應用[J].網絡安全技術與應用,2017(3):95-96.

作者：羅曦 單位：閩江學院