基于数据挖掘的自适应入侵检测模型研究.docVIP

基于数据挖掘的自适应入侵检测模型研究 　　摘要：针对当前入侵检测系统的局限性，提出将数据挖掘技术引入到入侵检测中，研究了Apriori关联算法、ID3分类算法和FHCAM聚类算法在入侵检测中的应用，建立了一个基于数据挖掘的自适应入侵检测模型。该模型能够识别已知和未知的入侵，降低检测的漏报率和误报率，有效的提高检测效率。 中国论文网 /8/view-7184409.htm 　　关键词：入侵检测；数据挖掘；关联；聚类 　　中图分类号：TP393 　　文献标识码：A 　　DOI：10.3969/j.issn.1003-6970.2015.09.013 　　0 引言 　　随着计算机网络和互联网的迅速发展，网络安全问题日益突出，网络安全机制在信息社会中扮演着极其重要的角色，它直接关系到个人隐私、企业经营和国家安全。互联网所具有的开放性和自由性在增加应用自由度的同时，对安全提出了更高的要求。入侵检测系统是近年来发展起来的一种动态监控和预防网络入侵行为的安全机制。与传统的安全机制相比，入侵检测具有明显的优势，它所具备的智能监控、配置简单、实时探测等特点使得网络的安全性得到进一步的提高。当前网络安全研究机构提出了很多入侵检测的解决方案，如统计分析、模式匹配、专家系统和数据挖掘等方法，其中数据挖掘方法因其具有良好的可扩展性和自适应性，得到了广泛的重视，将数据挖掘的核心方法和技术应用于入侵检测已成为入侵检测技术领域研究的热点。 　　1 入侵检测系统 　　入侵检测系统（Intrusion Detection System，IDS）是检测入侵行为，实现安全监视的技术。由于防火墙无法防御来自内部的攻击，入侵检测技术成为防火墙的合理补充，帮助系统预防网络入侵，扩展了系统管理员的安全管理范围。入侵检测系统按照检测方法划分，可以分为基于误用的入侵检测系统和基于异常的入侵检测系统。 　　基于误用的入侵检测系统优点是可以有效地检测到已知入侵，误报率比较低，缺点是只能检测到已知的攻击类型，当出现针对新漏洞的攻击手段或针对旧漏洞的新攻击方式时，就需要添加新的入侵规则，才能够检测出新的入侵行为，因此系统的灵活性和自适应性比较差。目前，异常检测是入侵检测系统的主要研究方向，其特点是根据使用者的行为或资源使用状况来判断是否存在入侵行为，这种检测系统的基本思想是分析系统的正常行为，建立一个正常特征状态模型，检测时将用户当前的行为与这个正常特征状态模型进行模式比较，如果存在较大的出入，则认为系统遭到入侵。异常检测的优点是能够检测到未知的攻击，缺点是检测的误报率和漏报率比较高。近年来，由于入侵方法和入侵特征的不断变化，入侵检测系统必修不断自学习，以便更新检测模型，一方面能及时检测出未知的攻击，另一方面要降低检测的误报率和漏报率。 　　2 数据挖掘技术 　　为了克服传统的入侵检测系统的缺陷，现有的入侵检测系统大都利用数据挖掘、机器学习等智能方法来分析和处理网络数据，在看似杂乱的数据中找出内在的联系，从而发现网络和系统的不安全之处，提出决策建议。数据挖掘是从海量的、不规则的数据集中识别有效的、可信的以及隐含信息的处理过程，其本身是一项通用的知识发现技术。数据挖掘的内涵非常丰富，是一个多学科交叉领域。本文将数据挖掘的常用技术应用于入侵检测领域，利用数据挖掘中的关联、分类和聚类等算法提取出与网络安全相关的特征属性，然后根据这些特征属性建立起划分网络行为的分类模型，用于对安全事件的鉴别，准确的区分实际的入侵和正常行为模式。这种自动化的方法不需再手工分析和添加入侵行为模式，从而更加有利于建立适应性强的入侵检测系统。 　　2.1 Apriori关联算法 　　关联规则是描述在一个事务中项目之间同时出现的规律的知识模式。一个事务中的关联规则挖掘可以描述如下：递归方法。首先选择训练数据的某个属性作为根结点，对测试属性的每个值（离散化），创建一个分支，并据此划分样本。算法使用同样的过程，递归形成每个分支下的子分支。一旦一个属性出现在一个结点上，就不必考虑该结点的子结点。构造出的决策树的好坏关键在于如何选择合适的产生分支的属性，我们称之为分裂属性，ID3算法选择信息增益值最大的属性做为分裂属性。决策树剪枝是一种克服噪声的有效手段，同时能使决策树得到简化，更利于进行新的数据分类，可以采用预先剪枝策略，在生成决策树的同时决定是继续对不纯的训练子集进行划分还是停机。ID3分类算法可以利用大量的入侵数据加以训练，生成表示入侵规则的决策树。 　　2.3 FHCAM聚类算法 　　聚类是将数据对象分成为多个类或簇，划分的原则是在同一个类中的对象之间具有较高的形似度，而不同类中的对象差别较大。与分类不同，聚类划分的类是未知的，类的的形成是由数据分析得到的。 　　在网络访问中，正常访问行