淺析數據挖掘在網絡入侵檢測中的應用

傻QQ

　　當前計算機網絡廣泛應用於各個領域，不可置疑給人們的生活、學習、工作帶來瞭便利，同時也對網絡安全提出瞭更高的要求。在現代信息化發展的形式下，要求一個安全的網絡系統不僅要有防禦手段，而是既要有防火墻等防禦的手段，還要有能對網絡的安全進行實時監控，攻擊與反攻擊的網絡入侵檢測系統。所以在這種情形下，入侵檢測系統應運而生。
1入侵檢測的必要性
入侵檢測系統就是對已建設的信息系統，按一定的安全策略建立起相應的安全輔助系統。就現在的系統安全狀況而言，系統正存在被攻擊的可能性，當系統遭到攻擊時，隻要盡可能地檢測到，甚至是實時地檢測到，就可以為入侵檢測提供有利信息。入侵檢測作為新一代的安全技術，它的作用在於：識別入侵者、識別入侵行為、檢測和監視己成功的安全突破、為對抗入侵及時提供重要信息，阻止入侵的發生和事態的擴大。面對網絡中存在著海量的數據，如何才能得到那些對於檢測入侵行為所有作用的數據呢？為此我們引出瞭采用數據挖掘方法來發現可能的新入侵的方法。
2網絡數據挖掘的相關知識
數據挖掘是指從大型數據庫或數據倉庫中提取人們感興趣的知識，但是這些知識是隱含的、事先未知的、異常的及潛在有用的信息或模式，是數據庫研究中的一個很有應用價值的新領域。數據挖掘的目的是幫助使用者尋找數據間潛在的關聯，發現被忽略的要素，而這些信息對預測趨勢和決策行為也許是十分有用的。
隨著網絡入侵檢測技術的發展，使人們已著眼於將Web數據挖掘技術應用於入侵檢測技術的發中，如果能夠完善的將數據挖掘技術應用到網絡入侵檢測中，根據入侵檢測系統的具體特點，應用數據挖掘的基本原理，將它們優化的結合起來，這樣將會大提高入侵檢測系統的性能。
3數據挖掘技術在入侵檢測中的應用
在入侵檢測系統中使用數據挖掘技術，通過分析有用的歷史數據可以提取出用戶的行為特征、總結入侵行為的規律，從而建立起比較完備的規則庫來進行入侵檢測。該過程主要分為以下幾步：
1）數據收集，基於網絡的檢測系統數據來源於網絡。
2）數據預處理，在數據挖掘中訓練數據的好壞直接影響到提取的用戶特征和推導出的規則的準確性。
3）數據挖掘，從預處理過的數據中提取用戶行為特征或規則等，再對所得的規則進行歸並更新，建立起規則庫。
以下為在對已有的基於數據挖掘的網絡入侵檢測的模型結構圖進行闡述的基礎上進行一些優化。
　　3.1一種綜合瞭誤用檢測和異常檢測的模型韋必忠，王勇和張開華在《數據挖掘技術在網絡入侵檢測中的應用分析》一文中的改進的綜合誤用檢測和異常檢測的模型，如圖1所示。

圖1綜合誤用檢測和異常檢測的模型由圖2來看，它是綜合利用瞭異常檢測和誤用檢測模型而形成的基於數據挖掘的網絡入侵檢測模型。該網絡入侵檢測模型的優點為：通過結合誤用檢測器和異常檢測器，的確將所要分析的數據量減少瞭很多。但該系統所存在的缺點為：當異常檢測器檢測到新的入侵檢測後，隻是更新瞭異常檢測器，而並沒有應用有利條件去更新誤用檢測器。這無疑又在無形中增加瞭異常檢測器做一些重復且不必要的工作量。那麼在該基礎上，當檢測到新的入侵行為時，能否同時將異常檢測和誤用檢測同時進行更新呢？結合以上系統所存在的不足，提出瞭以下改進方法。3.2系統結構的改進在圖1的基礎上我們改進瞭其綜合檢測模型，以形成一種更加有利的基於數據挖掘的入侵檢測模型。如圖2。

圖2 改進後的誤用檢測和異常檢測圖2即在綜合誤用檢測器和異常檢測器的模型的基礎上進行瞭優化。在該模型中首先是將從網絡上獲取的網絡數據包發送到數據預處理器，由它將從網絡上獲取的數據包進行加工，然後使用關聯規則找出那些具有代表性的規則，放人關聯規則集，接著用聚類規則將關聯規則所得的支持度和可信度這兩個值進行聚類優化。在聚類完後，我們可以根據規定的閉值而將一部分正常的數據刪除。在這一操作後，無疑又減少瞭所要分析的數據量。接著把剩下的數據發送到誤用檢測器進行檢測，如果誤用檢測器也沒有檢測到攻擊，則將該類數據發送到異常檢測器進行檢測，與上例相同，該異常檢測器也相當於一個過濾器的作用，利用這一步的操作將大量的正常數據過濾掉，數據量再一次隨之變少，便於瞭以後的挖掘。該系統的再一大特點就是為下一次不再對同一數據作重復檢測，利用瞭對數據倉庫的更新來進一步完善異常檢測器和誤用檢測器，即，根據異常檢測器的檢測結果來更新異常檢測器和誤用檢測器，如果該行為判斷結果是正常行為，則更新異常檢測器，如果測得該行為是屬於攻擊行為，那麼就更新誤用檢測器來記錄該次的行為，以便下次做重復的檢測。例如，當異常檢測器檢測到新的網絡入侵方法後。也就是說當異常檢測器測得新的入侵檢測後，通過數據倉庫的更新可以達到既更新瞭異常檢測器，又更新瞭誤用檢測器。這使誤用檢測器和異常檢測器都減少瞭要分析的數據量，且提高瞭檢測的速度和效率。目前入侵檢測技術還不夠成熟和完善，如何能夠大幅度的提高網絡和主機對攻擊和錯誤使用的抵抗力，從而使安全措施的實施更加有效，減少誤警率和漏警率，並使設置選項更加的靈活將是數據挖掘技術在網絡入侵檢測中研究的方向。