基于数据挖掘网络入侵检测系统的研究.pdfVIP

情报杂志 Vd．28No．9 第22080舞9帮9期年月 J()URNALOFINTELLIGENCE Sep．2009 基于数据挖掘的网络人侵检测系统研究 Data ResearchonNetworkIntrusionDetectionBasedon System Mining 代红李海波 (辽宁科技大学鞍山114051) 摘要入侵检测是网络安全体系中不可或缺的重要组成部分。为了检测网络内部攻击的滥用行为。提出使用改 进型C4．5算法并适当进行分层和子集划分的方法对网络进行入侵检测。在实时网络环境中构建决策树，生成有效 规则和完成分类过程。实验结果表明，该系统对拒绝服务攻击有很高的检测率。对未知攻击模式也具有一定的检测 能力，且算法生成的规则集速度快．易理解。最后给出结论和网络入侵检测系统未来研究热点问题。 关键词入侵检测系统网络安全数据挖掘CA．5算法 中圈分类号TP393 文献标识码A 入侵检测(ID，IntrusionDetection)是通过收集操主要根据主机系统审计记录数据，生成有关系统的若 作系统、系统程序、应用程序、网络包等信息，发现系统 干轮廓，并检测轮廓变化差异发现系统的入侵行为。 中违背安全策略或危及系统安全的行为。具有入侵检 随着网络系统的复杂化和大型化以及入侵行为所具有 Detee． 测功能的系统称为人侵检测系统(IDS，Intrusion的协作性，入侵检测系统的体系结构由集中向分布式 tion System)[I|，其检测在网络安全领域十分重要且是发展【4J。审计记录量大且大多数以文件形式存放，单 当前热点研究问题。基于信息来源不同，入侵检测系 纯依靠人工方法发现记录中的异常现象是困难的，同 统分为网络ID6和主机IDS[2J。网络IDS以所获取数时难以发现审计记录之间的相互关系。由于这些数据 据包流量信息作为检测分析信息来源，一般将网卡设 具有结构化的特点，因此可以利用数据挖掘技术从海 为混杂模式，监听本网段内的所有数包并进行判断。 量的网络业务中，提取出网络数据属性间相关性的规 主机IDS以用户针对主机的访问行为信息作为检测分 则集来描述网络中正常的行为轮廓，从而获得相关的 析信息来源，一般从所在主机收集信息，以系统日志、 入侵检测知识。Lee和Stolfo[5J最早将数据挖掘技术 应用程序及监督系统调用等作为数据源进行分析。攻 引入入侵检测领域，从审计数据或数据流中提取感兴 击是一个过程，攻击行为通过用户的访问实现，因此在 趣的知识。这些知识是隐含的、事先未知的潜在有用 主机与网络相结合的网络入侵检测系统中，主机IDS 信息，提取的知识表示为概念、规则、规律、模式等形 保护的一般是所在的系统，网络IDS担负着保护整个 式№J，并用这些知识检测异常入侵和已知的入侵。国 网段的任务。网络IDS一般主要起预警作用。基于检 内方面近年来也有许多高校和研究机构从事数据挖掘 测分析方法不同，网络入侵检测系统分为滥用检测 在入侵检测中的应用研究【7_1|。 IDS与异常检测IDS[2】。滥用检测分析机制基于攻击网络活动可以用一系列的事件来描述，有关事件 方法或攻击特征库建立。目前这种分析机制只能对已 Sniffer)、 的信息数据可以通过网络嗅探器(Network 知的攻击模式具有检测能力，绝大多数商用网络入侵 检测系统都只具有滥用检测功能。异常检测分析机制 dump抓包软件