数据挖掘算法在入侵检测系统中应用探究.docVIP

数据挖掘算法在入侵检测系统中应用探究 　　摘要：该文系统地论述了入侵检测系统的定义与理论基础，划分出数据挖掘技术的功能类别，探讨了当前入侵检测系统中存在的问题，建立了一个基于数据挖掘技术的入侵检测系统模型，提高了入侵检测系统的运行速度和功能，把数据挖掘技术的算法结合其他领域的多项前沿技术融入到入侵检测系统当中，应用到入侵检测系统中。并介绍了该系统模型的技术原理及数据挖掘技术研究的最新发展 关键词：数据挖掘；网络安全；入侵检测；算法 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）08-0049-03 数据挖掘（Data Mining）技术的定义是从现有的数据库中提取有用知识的技术。这几年的科学理论研究成果表明，把数据挖掘技术添加入侵检测系统（Intrusion Detection System，IDS）中来，并从中选择有效地特征点，构造出合适的测试模型，不但能提升整个系统设备的入侵检测的功能，而且也会影响系统的误报率和漏报率。随着计算机网络技术的不断发展，计算机网络在给人们带来了许多方便的同时，也产生了一些负面作用。如系统与软件漏洞等，也为个别非法入侵者提供了可乘之机。而为了防止内部或外部非法使用者对计算机进行攻击，工程师设计出了入侵检测系统（httrusion Detection System，IDS） 1入侵检测的技术理论 入侵检测技术的主要功能是监控网络系统各主机的运行状态，监测出各种潜在攻击行为、或者潜在的木马程序，这样就可以IDS系统资源具有可用性、完备性与安全性 我们可以从监测数据目标的方向，把入侵检测系统IDS区分为根据内核主机的IDS、根据网络的IDS和根据应用的IDS等众多种类别。本论文主要是根据网络的入侵检测系统IDS的构造进行深入的解析 研究人员也可以从分析数据检测方法的异同点方向，把入侵检测系统划分为以下几大类别： 1）误用检测（MISuse Detection）。又称为根据特征的检测方法，它把已知的攻击行为标识成一个特征库，再去比对现有已发生的动作行为，如果有检测结果具有相似性则表明它是一个入侵行为。误报率低是这种方法的优点，但是对主机的攻击行为达到一定数量级时，将使特征库变得很庞大，仅能检测到特征库中已标识的攻击行为是这一方法缺点 2）异常检测（Anomaly Detection）。又叫作根据行为的检测，它也是事先构建一个正常的特征库，然后再继续搜集使用者的行为或使用资源状况，来判定这是否为一种入侵行为。这种方法的优点是通用性较强，跟系统本身无直接联系，同时也可以检测出未知的攻击方法。但受到正常框架的局限，也无法对整个系统的全部用户行为进行全面的描述，并且各个用户的行为也会发生变化的，因此会发生误检率值升高的缺点 把以上两种方法综合起来，肯定能取得更好的效果。传统的入侵检测系统IDS只是将异常检测和误用检测作为两个独立部分加入到检测系统中，为了充分利用两种检测的优点，可将异常检测和误用检测相结合构成新的IDS基本规则：凡是能与正常行为模式库匹配的行为称为正常行为，凡是与异常行为模式库匹配的行为称为人侵行为，这样可以在一定程度上减少误报率和漏报率，提高入侵检测的准确性。但是需要手动来更新行为模式库的方法，也是浪费人力和物力。为了提高人侵?z测的速度，可以将数据挖掘技术的一些算法如：分类算法、聚类算法、关联规则算法、序列规则算法等，应用到入侵检测系统的设计当中。于是，不论是否发生入侵行为，系统就能有效跟踪识别，并自动更新规则库算法，从而促进整个检测系统性能的优化 要获取入侵检测的数据源，研究人员利用一些专用的抓包软件来实现，在Windows平台下抓包工具软件，主要有Winpcap等工具，而Unix平台下，可以利用Arpwatch和Tcpdump软件工具来抓包。数据挖掘技术的数据分析阶段也可再细分，它的响应部分可划分为被动响应与主动响应这两类 2数据挖掘技术简介 数据挖掘（Data Mining）技术可以看作是从众多的数据源中提取人们需要的模式的算法过程。这里的数据挖掘的对象可以是数据源或其他文件系统，或者是Web资源之类的其他数据的集合；数据挖掘并不是一个直线延展型的过程，也可把它比作是一个不断螺旋上升、反复的、且具有众多步骤、繁杂的处理过程 数据挖掘算法能够做到预测未来趋势及行为，从而做出具有前瞻性知识的决策。数据挖掘的根本目的是从数据特征库中，搜寻出有意义的隐含知识，可以按功能区分它的类别： 1）聚类 平时我们输入的数据可能无任何类型标记，而聚类是把数据按一定的规则划分到各个集合中，其中对象可划分为多个类或簇，划分后同一个簇中的对象具有很高的相似性，可是我们也发现不同簇中的对象差异却很大