数据挖掘在入侵检测中的运用.docVIP

数据挖掘在入侵检测中的运用 　　中图分类号：TN915.08文献标识码：A文章编号：1673-0992（2009）05-041-02 　　 　　摘要数据挖掘是一种通用的数据处理技术，它从大量的数据中提取人们感兴趣的内容的过程。将数据挖掘技术应用到网络安全当中，建立网络入侵检测系统，是数据挖掘技术应用的一个新领域。本文介绍了数据挖掘技术在入侵检测中运用的必要性、必然性和可行性。 　　关键词：数据挖掘；入侵检测；必要性；必然性；可行性 　　 　　随着计算机技术的飞速发展，网络的资源共享程度进一步加强，在资源共享的过程中，网络安全问题备受重视，传统的入侵检测系统面对海量的信息数据，不能及时有效的分析处理这些数据，而数据挖掘技术的运用正好能够满足入侵检测系统的要求，合理的分析数据，有效处理数据。 　　 　　一、数据挖掘技术与入侵检测分析 　　 　　数据挖掘是从大量的、不完全的、有噪声的、模糊的、随机的数据集中识别有效的、新颖的、潜在有用的，以及最终可理解的模式的过程。它是一门涉及面很广的交叉学科，包括机器学习、数理统计、神经网络、数据库、模式识别、粗糙集、模糊数学等相关技术。由于它是一门受到来自各种不同领域的研究者关注的交叉性学科，因此导致了很多不同的术语名称。其中，最常用的术语是“知识发现”和“数据挖掘”。相对来讲，数据挖掘主要流行于统计界、数据分析、数据库和管理信息系统界；而知识发现则主要流行于人工智能和机器学习界。 　　入侵检测是一种试图通过观察行为、安全日志或审计资料来检测发现针对计算机或网络入侵的技术，这种检测通过手工或专家系统软件对日志或其他网络信息进行分析来完成。而更广义的说法是：识别企图侵入系统非法获得访问权限行为的过程，它通过对计算机系统或计算机网络中的若干关键点收集信息并对其进行分析，从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象。作为一种积极主动地安全防护技术，入侵检测提供了对内部攻击、外部攻击和误操作的实时防护，在网络系统受到危害之前拦截和对入侵做出响应。强大的入侵检测软件的出现极大的方便了网络的管理，其实时报警为网络安全增加了又一道保障。 　　计算机网络中每天都会产生海量的网络数据，主机也会产生大量的系统数据和日志信息。能否从如此丰富的历史数据中找到我们所感兴趣的信息，这是最为关键的一点，也是最为困难的一点。数据挖掘正是一种可以从包含大量冗余信息的数据里快速提取出尽可能多的有用信息的数据分析工具。因此研究者从数据的角度找到了数据挖掘和入侵检测的交汇点，将二者结合起来，并在实践中证明了将数据挖掘应用于入侵检测的可行性。目前，将数据挖掘应用于入侵检测已经成为一个研究热点。在这个研究领域，影响比较大的主要是Columbia University的Wenke Lee研究组和Portnoy，后继的研究者大多沿袭了Wenke Lee和Portnoy的研究路线，并在此基础上作了相应改进或者采用数据挖掘与其他智能技术相结合的方法。 　　 　　二、数据挖掘在入侵检测中运用的必要性 　　 　　入侵检测就是通过运用一些分析方法对数据进行分析、提炼、评价，再识别出正常和异常的数据或者对潜在的新型入侵做出预测。在入侵检测技术中采用数据挖掘技术有以下几点必要性： 　　第一，网络结构日趋复杂，网上业务种类和业务数量急剧增多，网络管理人员进行决策的依据是反映网络状况和网络行为的海量历史数据，显然没有必要也不应该把所有的原始数据全部提交给网络管理人员，而是要对其进行分析，生成与管理和决策问题相关的信息。 　　第二，由于时间的变化，数据也发生变化，数据中所含有的信息和知识也随之发生变化，因此旧的模型需要更新，这就要求重新在数据挖掘系统上，在包含新数据的情况下来建立新的模型，然后将新的模型用于应用系统。 　　第三，数据挖掘技术能够解决从数据角度对网络性能进行评价的问题。数据挖掘是一个从数据集数据库中提取隐含的、明显未知的、具有潜在用处的信息的过程。数据挖掘的结构是一个概念化知识，该知识反映了数据的内在特性，是对数据所包含的信息的更高层次的抽象。如果把数据挖掘技术应用到入侵检测中，以侦听到的数据集作为分析对象，运用分类分析方法和联系分析方法就可以对业务进行分类并能找到数据之间的相互关系，这样就可以从数据角度去评价审计数据集，从而达到了入侵检测的目标。 　　第四，由于不同来源的数据具有不同的性质，也就要求采用不同的数据挖掘算法发现其中隐藏的规律；而不同的数据挖掘算法也要求采用不同的特征数据，因此，对于不同类型的入侵检测数据，采用不同的数据挖掘算法发现其中的规则。对描述系统缺陷和已知攻击方法的数据，由于决策树方法具有较高的精度和效率，我们采用分类判定树算法进行处理，以发现其中的分类规则，对于审