◆藍永發(fā)

?

數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應用

◆藍永發(fā)

（廈門南洋職業(yè)學院 福建 361102）

本文先從數(shù)據(jù)挖掘技術(shù)和入侵檢測技術(shù)的概念入手，結(jié)合多種數(shù)據(jù)挖掘技術(shù)的算法，來探究數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測中的應用，以便增加網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性。

數(shù)據(jù)挖掘技術(shù)；網(wǎng)絡(luò)入侵檢測；應用；算法

0 引言

在網(wǎng)絡(luò)時代飛速發(fā)展的社會背景下，各個方面都受到網(wǎng)絡(luò)和通信的深遠影響，并且不斷得到發(fā)展。但是伴隨著對網(wǎng)絡(luò)依賴度的提升，越來越多的信息安全問題激發(fā)人們的關(guān)注。網(wǎng)絡(luò)安全問題，主要使用防火墻、身份認證、數(shù)據(jù)加密和入侵檢測等方法來加強防護工作。對于一般網(wǎng)絡(luò)攻擊系統(tǒng)，它們基本都具有一定的保護作用，但是針對利用合法的身份但是采用非正常手段危害系統(tǒng)安全的行為，有些安全防護措施就顯得無能為力。強大的網(wǎng)絡(luò)入侵檢測技術(shù)可以清除這些隱患。

1 數(shù)據(jù)挖掘技術(shù)與入侵檢測技術(shù)

1.1 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘技術(shù)是在大量數(shù)據(jù)中發(fā)現(xiàn)有價值的數(shù)據(jù)規(guī)則或者數(shù)據(jù)模式，再通過分析和處理為決策者提供輔助服務。其中包括數(shù)據(jù)收集、數(shù)據(jù)挖掘和評價說明三個數(shù)據(jù)挖掘過程。這三個過程的重復進行合成了數(shù)據(jù)挖掘的整個過程。其中，作為第一階段，數(shù)據(jù)準備是至關(guān)重要的，前期處理不妥當會對結(jié)果的準確度有很大干擾。系統(tǒng)處理效率變低。數(shù)據(jù)準備過程工作量大，涉及到數(shù)據(jù)的清理、集成變換過程。數(shù)據(jù)挖掘是利用智能模式提取數(shù)據(jù)或規(guī)律知識。

數(shù)據(jù)挖掘方法常用的包含人工神經(jīng)網(wǎng)絡(luò)、決策樹方法、遺傳算法。（1）人工神經(jīng)網(wǎng)絡(luò)方法主要是仿照人腦神經(jīng)元結(jié)構(gòu)，它包括前饋式網(wǎng)絡(luò)、自組織網(wǎng)絡(luò)和反饋式網(wǎng)絡(luò)這三種神經(jīng)網(wǎng)絡(luò)模型。（2）遺傳算法由繁衍選擇、變異瞬變、交織重組這三個基本過程組成，應用了生物進化原理。（3）決策樹方法是最有影響的方法。其中研究方法還有集合論的初步收集方法、邏輯推理、規(guī)則推理、公式證明等。

1.2 入侵檢測技術(shù)

入侵檢測系統(tǒng)是一種能及時識別網(wǎng)絡(luò)中的攻擊和惡意訪問行為并作出一定的響應，對影響系統(tǒng)信息完整性、保密性及可用性的行為進行全面檢測的安全系統(tǒng)。入侵檢測系統(tǒng)作為一種安全保障系統(tǒng)，帶有主動防御的作用，因此對于信息資源的機密性保護效果較好。入侵檢測系統(tǒng)主要有數(shù)據(jù)收集、簡要數(shù)據(jù)分析和響應處理三個模塊。采集的數(shù)據(jù)具有代表性，是根據(jù)網(wǎng)絡(luò)反應的幾個關(guān)鍵點來采集信息，檢驗是否出現(xiàn)入侵痕跡，主要包含檢測系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、特殊文件信息等。分析數(shù)據(jù)的環(huán)節(jié)也比較嚴格，通過模式匹配、檢測異常和整體檢測層層檢測，一旦出現(xiàn)入侵行為提示，入侵檢測馬上會啟動程序響應流程，出現(xiàn)日志、告警和安全控制等。

實際運用中對入侵檢測類型不外乎兩種方式：誤用檢測和異常檢測。誤用檢測指的是對已知系統(tǒng)漏洞或攻擊模式進行特征描繪，入侵檢測系統(tǒng)通過構(gòu)建非正常特征模型來檢驗；異常檢測是指構(gòu)建用戶的正常特征模型，默認前提是入侵活動與正常行為存在很大差別。凡是系統(tǒng)顯示偏離正常模型的行為就立即啟動入侵檢測系統(tǒng)，及時處理異常檢測數(shù)據(jù)。當前人工智能技術(shù)運用于兩種入侵檢測方案中。誤用檢測使用專業(yè)的系統(tǒng)處理模式，包括狀態(tài)轉(zhuǎn)移和遺傳算法。神經(jīng)網(wǎng)絡(luò)統(tǒng)計分析以及數(shù)據(jù)挖掘技術(shù)是進行異常檢測的常用方法。

2 入侵檢測系統(tǒng)模型的設(shè)計

2.1 數(shù)據(jù)挖掘?qū)τ谌肭謾z測系統(tǒng)的優(yōu)勢

（1）適應性強。過去如果要建立入侵檢測系統(tǒng)的某一規(guī)則庫，針對性比較強，需要專家小組以發(fā)現(xiàn)的入侵系統(tǒng)的特征為對象繼而研究開發(fā)相應的檢測系統(tǒng)，因此應對的范圍比較局限，當新出現(xiàn)的攻擊較為復雜或者時間跨距較大時，這個系統(tǒng)就很難自主作出相應的跟蹤反應，效果當然也不盡理想了。相反，應用數(shù)據(jù)挖掘技木并不是根據(jù)特定的信號進行異常檢測，就不存在對每一種新的入侵信號進行重新定制的問題，展現(xiàn)出實時性的優(yōu)點。

（2）低誤報警率。當前的系統(tǒng)十分依賴于信號匹配，會出現(xiàn)報警情況遠超過實際入侵對象，就是是正常的工作中一旦出現(xiàn)這種信號的情況，入侵系統(tǒng)會產(chǎn)生誤報警。入侵系統(tǒng)處理報警產(chǎn)生的部分序列中獲取到有用數(shù)據(jù)信息，設(shè)置將正常行為產(chǎn)生的信號信息能及時清除，避免日后重復工作，通過數(shù)據(jù)挖掘技術(shù)快速剔除相同的攻擊數(shù)據(jù)，降低實際工作中誤報警率。

（3）漏報率低。一個全新的攻擊方式入侵系統(tǒng)，或者是之前的入侵行為做小部分改動后系統(tǒng)無法識別，傳統(tǒng)不能及時啟動防御處理，錯認為是正常數(shù)據(jù)信息。采用數(shù)據(jù)挖掘技術(shù)的系統(tǒng)能克服這一系列問題，迅速的發(fā)現(xiàn)新的攻擊行為，及時報警處理，對實際運用過程中可以減少漏報的情況。

2.2 創(chuàng)建新型的入侵檢測模型

大部分的網(wǎng)絡(luò)數(shù)據(jù)都是正常的數(shù)據(jù)，異常數(shù)據(jù)的記錄只有小部分，系統(tǒng)如果可以自動過濾正常的數(shù)據(jù)，通過聚類分析方式，準確地過濾掉網(wǎng)絡(luò)保存的正常數(shù)據(jù)。聚類分析方法是組建網(wǎng)絡(luò)正常行為的常用手段。異常數(shù)據(jù)包是指那些區(qū)別于正常行為的數(shù)據(jù)包，經(jīng)過系統(tǒng)的檢測器再更進一步做檢測，出現(xiàn)新的入侵行為但其數(shù)據(jù)包無法被檢測系統(tǒng)識別，全都歸為是異常數(shù)據(jù)包，對異常數(shù)據(jù)包進一步做特征分析后，才能判斷是否為新的入侵行為模式，新的入侵行為模式添加到入侵檢測規(guī)則庫中保存，規(guī)則庫中保存記錄了新的未知入侵行為，下次再遇到這類入侵情況就可以直接檢測出來。處理新入侵行為的檢測系統(tǒng)如圖1所示。

圖1 新型入侵檢測模型

3 利用數(shù)據(jù)挖掘技術(shù)

3.1 數(shù)據(jù)挖掘的技術(shù)創(chuàng)建入侵檢測模型

入侵檢測系統(tǒng)是要發(fā)現(xiàn)異常事件，要在大量的數(shù)據(jù)信息中快速篩選出異常行為數(shù)據(jù)，要將異常事件同入侵檢測標準作對比進行詳細的入侵分析，通過入侵分析過程來發(fā)現(xiàn)入侵行為。最新使用的數(shù)據(jù)挖掘方式與傳統(tǒng)模式進行比較，數(shù)據(jù)挖掘技術(shù)更具有優(yōu)勢。它能從大量的數(shù)據(jù)中迅速的了解到人們未曾涉及的知識和規(guī)律，進入快速自動的分析過程，可以利用數(shù)據(jù)挖掘技術(shù)創(chuàng)建出入侵檢測模型。

3.2 Snort 入侵檢測系統(tǒng)使用數(shù)據(jù)挖掘

入侵檢測系統(tǒng)不可或缺的功能是數(shù)據(jù)挖掘，發(fā)現(xiàn)有入侵行為時，系統(tǒng)要能及時處理，要求的實時性更高，能及時檢測出入侵行為并作出相應處理動作，比如報警或防御響應，用最快的速度讓管理員了解情況，再通過人工加強防御。要及時更新規(guī)則庫，對于新的入侵行為要及時添加到系統(tǒng)的規(guī)則庫中，避免出現(xiàn)系統(tǒng)漏洞。要把入侵行為產(chǎn)生的相應數(shù)據(jù)包以及入侵數(shù)據(jù)信息記錄在日志中，方便管理員開展處理工作。異常檢測可以排除掉正常的數(shù)據(jù)，將異常數(shù)據(jù)包用濫用檢測引擎來解決，進行規(guī)則匹配，表現(xiàn)有入侵情況發(fā)生，并報警顯示，防止入侵行為再次出現(xiàn)。傳輸?shù)骄垲惙治瞿K可以將異常檢測結(jié)果添加到新的入侵檢測系統(tǒng)中，在入侵行為日志中保存，繼續(xù)做關(guān)聯(lián)分析。

3.3 DBSAN算法

DBSAN算法指的是在密度基礎(chǔ)上的有效聚類算法，可以列舉出可能出現(xiàn)的形狀。DBSAN算法的中心思想為：不包括邊界點o，某EPS鄰域中，總的數(shù)據(jù)點個數(shù)不低于Minpts。DBSAN算法常運用于文本中高維數(shù)據(jù)的處理，對于EPS及Minpts參數(shù)的設(shè)置十分關(guān)鍵，算法程序要檢驗參數(shù)設(shè)置是否合理，影響聚類的效果。所以關(guān)于EPS及Minpts參數(shù)的設(shè)置是關(guān)鍵的要素。對于入侵行為檢測可以使用據(jù)聚類劃分算法中的 K-MEANS算法，大數(shù)據(jù)庫中根據(jù)規(guī)則分類處理，明確 EPS及Minpts具體參數(shù)值。

3.4 K-Means 算法

利用聚類算法對防止網(wǎng)絡(luò)入侵檢測系統(tǒng)進行深入研究。聚類分析指的是把整體數(shù)據(jù)對象再進行劃分成各個相似部分的過程，對數(shù)據(jù)進行分組，無須提前定義，根據(jù)實際的數(shù)據(jù)特征，依照數(shù)據(jù)的相似性進行分組定義。經(jīng)過這種算法確定同類型的入侵行為，數(shù)據(jù)相似度比較高，反之不同類型的對象相似度低。主要特點在于要歸納的數(shù)據(jù)集合或者提前不可獲知的情況。檢測系統(tǒng)中利用聚類算法進行數(shù)據(jù)挖掘處理。

入侵檢測系統(tǒng)使用到 K-Means 算法，算法特點在于簡單、計算過程復雜程度低、實效性高、方便操作。但也伴隨著兩個問題：（1）怎樣處置離散型數(shù)值及連續(xù)性數(shù)值對象的問題。K-Means 算法適用于處理連續(xù)性的數(shù)值這類問題。而離散型數(shù)值仍然不能解決，例如字符。聚類中心屬性值可取該聚類成員相應屬性值相當于出現(xiàn)率最高的數(shù)值，用這方法處理離散型數(shù)值的問題。（2）聚類的個數(shù)和聚類中心的情況。采用K-Means 算法之前，要事先明確聚類的總數(shù)，同時要確定初始聚類中心的數(shù)值。把所有相同個數(shù)的數(shù)據(jù)對象當成中心。在實際的網(wǎng)絡(luò)入侵檢測進程中是隨機改變的，實效性非常明顯，所以無法提前得知聚類中心和聚類具體個數(shù)。利用定寬的聚類方法可以妥善處理這個難題。

4 結(jié)論

與防火墻相比，網(wǎng)絡(luò)入侵檢測帶有了更強的功能，對于常見攻擊和非法訪問的攔截都十分有效，彌補了防火墻欠缺的防護功能，是一種必要的補充系統(tǒng)。數(shù)據(jù)挖掘技術(shù)與入侵檢測系統(tǒng)結(jié)合使用，加強系統(tǒng)的防護能力，對大量的網(wǎng)絡(luò)資源進行準確的數(shù)據(jù)分析。但是，它們兩者也存在一定的缺陷，例如數(shù)據(jù)挖掘由于挖掘時間較長因此造成實時反映，存在速度較慢的問題；數(shù)據(jù)挖掘在操作上會存在較多失誤，無法準確判別未知攻擊和非法訪問，因此整合效果還不能完全達到預期的效果，那么也不能普遍的應用于實際中，因此研究這兩方面的問題對于提高網(wǎng)絡(luò)信息安全性時十分有必要的。

[1]盧靖.數(shù)據(jù)挖掘技術(shù)在新型網(wǎng)絡(luò)入侵檢測模型中的應用研究[J].電子技術(shù)與軟件工程，2014.

[2]耿風.數(shù)據(jù)挖掘算法在入侵檢測中的應用分析[J].內(nèi)江科技，2013.

[3]黃寧.聚類方法在網(wǎng)絡(luò)入侵檢測中的應用[J]，2013.