网络入侵检测中的数据挖掘技术探讨.pdf

讨 探 术 技 掘 挖 据 数 的 中 测 检 侵 入 络 网 网络入侵检测中的数据挖掘技术探讨 郭军华 Guo Junhua (华东交通大学经济管理学院，南昌 330013) Nanchang330013) 摘 要：针对计算机网络的入侵越来越严重，本文论述了数据挖掘技术在网络入侵检测中的应用，指出 了审计数据的挖掘方法及挖掘模式的使用。 关键词：入侵检测；数据挖掘；审计数据 中图分类号：TP393.08文献标识码：A 文章编号： Abstract : statistical data and the use of Mining models. Keywords : Intrusion Detection；Data Mining；Statistical data 计算机网络的迅速发展和普及,使得基于网络的计 1 IDS基本工作原理 算机系统在社会中发挥越来越大的作用，但随机而来 入侵检测系统的基本工作原理如下： 的各种计算机犯罪，尤其是计算机网络系统的非法入 (1)首先由数据采集器对网络数据流进行处理，产 侵，使得其造成的危害也越来越大。入侵（Intrusion） 生特定格式的数据记录。 是指任何企图危及资源的完整性（Inetgrity）、机密 (2)利用数据挖掘算法对特定格式的数据记录进行 性（confidentiality）和可用性（Availability）的 分析学习，挖掘其中存在的正常规则或异常规则。 活动。入侵检测（Intrusion Detection）就是对入侵 (3)利用数据挖掘算法对训练数据和入侵数据进行 行为的发觉。入侵检测技术主要包括两大类检测技 处理，产生参考规则集送入规则库存储。 术：错用检测（misuse detection），即用已知攻击模 (4)入侵检测模块把当前网络数据流中提取的规则 式或已知系统漏洞来匹配和识别出这类入侵，这种方 与规则库里的参考规则进行比较，计算相似度。然后 法误报率低，但不能检测未知攻击；异常检测 把结果送入智能判决模块。 （anomaly detection），是通过判断当前状态是否与系 (5)智能判决模块决定是否发生入侵。如果网络数 统正常使用状态 （模式）匹配来判断是否出现入侵行 据流中的规则与参考规则集的相似度满足一定的条件， 为，可以检测到未知攻击，但误报率高。 认为没有发生入侵，进而可以更新规则库。反之就发 我们采用以数据为中心的观点并把入侵检测作为 生了入侵，向系统管理员发出警报。 一个数据分析任务，这样可以减少入侵检测系统 2 审计数据的挖掘方法 （IDS）过程中的人为因素。事实上，当审计机能记录 构造一种通用检测工具的基本思想是首先从审计 系统事件时，合法使用和非法入侵在审计数据的区别 数据中，挖掘出频繁项集及其关联规则以获得有关审 应该是明显的。正因为如此，异常检测通过建立正常 计记录之间和之中的模式。这些所发现的频繁模式可 使用时的审计数据模型来实现，而错用检测则是利用 以作为审计数据所记录的系统活动的一种统计概述， 审计数据来建立入侵模式来实现。 因为它们描述了系统特征和(时间上)序列中共同发生 37 科技广场