基于主机和网络入侵检测的数据挖掘技术.docVIP

基于主机和网络入侵检测的数据挖掘技术 　　【摘要】数据挖掘指从存储数据中识别出隐藏的固定模式或异常现象的高级处理过程，由于数据挖掘技术能够发现隐藏在数据背后的用户模式和特征，因此，在基于主机和网络的入侵检测中，基于数据挖掘的检测方法是重要的研究课题，也存在着来自统计、模式识别、机器学习等多个领域的数据挖掘算法。使用元学习的方法来进行分布式事务模式挖掘，元学习是一种用于处理从大型分布式数据库中计算全局分类器的技术，元学习首先在分布式数据库中使用学习程序并行的计算独立的分类器，然后再使用另一个学习程序在这些分类器上集成元分类器。在使用元学习得出异常或偏差事务模型后，使用模式指导的推理系统来检测欺骗事务 　　【关键词】网络入侵；检测数据；挖掘技术 　　一、数据库常见缺陷概述 　　虽然大多数数据库管理系统都提供了安全管理机制，使对数据库安全的需求得到了一定程度的满足，但在很多方面仍然存在大量的问题。首先，是数据库账户和权限的滥用存在缺陷，数据库账户和权限的滥用缺少针对数据库管理员的监控机制。数据库管理员拥有数据库系统管理、账号管理、权限分配等系统最高权限。如果数据库管理员利用工作之便，窃取敏感信息、篡改毁坏重要业务数据，对用户数据库安全的打击将是致命的；其次，是数据库自身日志审计的缺陷，此缺陷难以实时监测发现问题，数据库系统自身的日志审计功能可以记录各种数据库系统修改、权限使用等日志信息，并不能帮助管理者及时发现定位问题；同时由于不能实时监测报警，因此在数据库异常安全事件发生时，无法第一时间报告给管理者，导致管理者不能及时采取有效措施；第三是数据库身份认证的缺陷，数据库系统虽然提供用户身份认证机制，但是用户只有提供了正确的登录账号和登录口令才能进入数据库服务器进行操作。如果一个用户通过非法手段取得一个账号和口令，则此非法用户可以进入数据库服务器进行操作，用户认证机制对此则有可能无能为力。对数据库来说，仅仅依靠在文件和系统命令级的底层操作系统和网络入侵检测系统无法保证检测的效率和精度。比如SQL注入技术是一种入侵者使用精心伪造恶意SQL语句来获取用户特权的方法，SQL注入常常利用数据库应用程序的漏洞，这种入侵是操作系统和网络入侵检测系统所难以检测的。因此，对他们的非法行为往往很难检测。数据库入侵检测作为一种动态的网络安全防卫技术，能同其他安全部件一起构成纵深的、多层次的计算机和网络安全防御系统，对数据库运行系统的状态和活动进行检测，分析出非授权的访问和恶意行为，发现入侵行为和企图，为入侵防范提供有效的手段，提高检测的准确度和有效性。 　　二、目前流行的几种数据库入侵检测技术 　　首先，是对存储篡改的检测，对数据库的存储篡改是一种恶意修改数据库中的存储数据以降低数据质量的行为，存储篡改的目的是以错误或低质量数据误导和妨碍对手的行为，存储篡改是一种内部滥用行为，检测物是一种检测篡改数据的恶意行为的抽象机制，在数据库中，检测物一般是不被正常用户和应用所使用，但篡改者又无法将其与正常数据区分开的伪造数据，如果发现检测物不在正常或可预期的状态则表示可能发生了数据篡改行为，对防止和检测企图绕过数据库管理系统在磁盘级破坏数据的入侵者，通过将数据库加密和在小块可信存储中保存的散列，验证数据库正确性的方法来检测不可信程序，对数据库的非法读取和修改是有效的；其次，在许多场合中，独立于应用语义对数据库事务或用户进行检测并不足以识别用户的异常行为，如某个管理员突然将自己每月工资增加一万元，在正常情况下这是不可能的，但对建立在独立于应用语义上的检测方法如对表存取统计、数据文件存取统计、会话统计或上述的各种检测方法并不能发现异常，这种异常检测只能建立在数据库的应用语义上；再次，数据库具有自己独特的事务处理机制和SQL语言查询，对用户使用SQL语句的模式进行检测是数据库入侵检测的一项重要内容。指印是一种基于SQL语句的入侵检测方法，指印是从合法事务中的SQL语句中推出的正则表达式，它代表用户正常的行为，用户的事务语句如果偏离指印集则表示可能的异常行为。指印技术特别适应类似于对互联网上的数据库入侵检测，比如SQL语句注入，因为在这些应用中往往使用数据库应用来查询数据库，而这些应用只通过一定接口使用固定的几种查询格式，不允许用户自构查询，在这种情况下即使事务较大用户较多误警率也较低。 　　三、数据挖掘技术未来的发展趋势 　　在未来的数据挖掘入侵检测技术中，最有可能采用的是分布式入侵检测技术和高级智能检测技术。分布式入侵检测技术不仅能对网络入侵攻击行为进行检测，同时也能检测分布式攻击，能对关键技术中的监测信息进行协同处理和对入侵攻击的区局信息进行提取。分布式入侵检测技术的出现，改变了传统入侵技术。在不久的将来，其将成为未来的入侵检测技术主流；高级智