数据挖掘算法在入侵的检测中的应用研究.docVIP

数据挖掘算法在入侵检测中的应用研究 摘要 该文对入侵检测的现状进行了分析， 在此基础上重点研究了数据挖掘算法在异常检测和误用检测中的具体应用。对于异常检测，主要研究了分类算法；对于误用检测，主要研究了模式比较和聚类算法，在模式比较中又以关联规则和序列规则为重点研究对象。最后对目前数据挖掘算法在入侵检测中应用所面临的难点进行了分析，并指明了今后的研究方向。 关键字 入侵检测；数据挖掘；异常检测；误用检测；分类算法；关联规则；序列规则；聚类算法0 引言 随着网络技术的发展，现在越来越多的人通过丰富的网络资源学会各种攻击的手法，通过简单的操作就可以实施极具破坏力的攻击行为，如何有效的检测并阻止这些攻击行为的发生成了目前计算机行业普遍关注的一个问题。 用于加强网络安全的手段目前有很多，如加密，VPN ，防火墙等，但这些技术都是静态的，不能够很好的实施有效的防护。而入侵检测（Intrusion Detection）技术是一种动态的防护策略，它能够对网络安全实施监控、攻击与反攻击等动态保护，在一定程度上弥补了传统静态策略的不足。1 入侵检测中数据挖掘技术的引入1．1 入侵检测技术介绍 入侵检测技术是对（网络）系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。从检测数据目标的角度，我们可以把入侵检测系统分为基于主机、基于网络、基于内核和基于应用等多种类型。本文主要分析基于网络的入侵检测系统的构造。根据数据分析方法（也就是检测方法）的不同，我们可以将入侵检测系统分为两类： （1） 误用检测（Misuse Detection）。又称为基于特征的检测，它是根据已知的攻击行为建立一个特征库,然后去匹配已发生的动作，如果一致则表明它是一个入侵行为。它的优点是误报率低,但是由于攻击行为繁多，这个特征库会变得越来越大，并且它只能检测到已知的攻击行为。 （2） 异常检测（Anomaly Detection）。又称为基于行为的检测，它是建立一个正常的特征库，根据使用者的行为或资源使用状况来判断是否入侵。它的优点在于与系统相对无关,通用性较强，可能检测出以前从未出现过的攻击方法。但由于产生的正常轮廓不可能对整个系统的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高。 将这两种分析方法结合起来，可以获得更好的性能。异常检测可以使系统检测新的、未知的攻击或其他情况；误用检测通过防止耐心的攻击者逐步改变行为模式使得异常检测器将攻击行为认为是合法的，从而保护异常检测的完整性。 入侵检测的数据源可以通过一些专用的抓包工具来获取，在Windows系统一下，一般采用Winpcap来抓获数据包，在Unix系统下，可以通过Tcpdump和Arpwatch来获取。在数据分析阶段将会用到我们这里重点要介绍的是数据挖掘技术，响应部分分为主动响应和被动响应。1．2 数据挖掘技术 数据挖掘（Data Mining）技术是一个从大量的数据中提取人们感兴趣的模式的过程。挖掘的对象不仅是数据源、文件系统，也包括诸如Web资源等任何数据集合；同时数据挖掘的过程并不是一个直线型的过程，而是一个螺旋上升、循环往复的多步骤处理过程。 数据挖掘通过预测未来趋势及行为，做出预测性的、基于知识的决策。数据挖掘的目标是从数据库中发现隐含的、有意义的知识，按其功能可分为以下几类： （1）关联分析 关联分析能寻找数据库中大量数据的相关联系，常用的2种技术为关联规则和序列模式。关联规则是发现一个事物与其他事物间的相互关联性或相互依赖性，可用于如分析客户在超市买牙刷的同时又买牙膏的可能性；序列模式分析将重点放在分析数据之间的前后因果关系，如买了电脑的顾客则会在3个月内买杀毒软件。 （2）聚类 输入的数据并无任何类型标记，聚类就是按一定的规则将数据划分为合理的集合，即将对象分组为多个类或簇，使得在同一个簇中的对象之间具有较高的相似度，而在不同簇中的对象差别很大。 （3）自动预测趋势和行为 数据挖掘自动在大型数据库中进行分类和预测，寻找预测性信息，自动地提出描述重要数据类的模型或预测未来的数据趋势。 （4）概念描述 对于数据库中庞杂的数据，人们期望以简洁的描述形式来描述汇集的数据集。概念描述就是对某类对象的内涵进行描述并概括出这类对象的有关特征。 （5）偏差检测 偏差包括很多潜在的知识，如分类中的反常实例、不满足规则的特例、观测结果与模型预测值的偏差、量值随时间的变化等。 数据挖掘技术是最新引入到入侵检测的技术。它的优越之处在于可以从大量的网络数据以及主机的日志数据中提取出人们需要的、事先未知的知识和规律。利用数据挖掘技术实现网络安全在国内外都属于一种新的尝试。目前，对数据挖掘算法的研究已比较成熟，而数据挖掘本身是一个通用