应用于信息安全的数据挖掘技术研究.pdfVIP

应用于信息安全的数据挖掘技术 应用于信息安全的数据挖掘技术 张翠 邹涛 (北京图形研究所，北京 100029) 摘要在网络信息共享程度不断提高的同时，网络信息安全问题已逐渐渗透到政治、经济、军事、社会生活 等各个领域，对国家安全提出了严峻挑战。入侵检测系统是继传统安全保护措施之后的新一代信息安全保障技 术，其要面对的难题之～是海量数据的自动处理与分析。本文对入侵检测系统的通用模型及可应用于入侵检测 中的主要数据挖掘技术：关联规则挖掘与序列模式分析算法进行了介绍，并分析了数据挖掘技术在入侵检测系 || 统中的两种典型应用模型。 _ ? ? _ _ ? || 关键词信息安全入侵检测系统数据挖掘 1 信息安全与入侵检测系统 随着网络技术的发展，计算机系统已经从独立的主机转变为复杂的、互联的开放式系统， 计算机网络正成为全社会信息共享的重要媒介。互联网是一种开放的面向所有用户的技术，其 资源共享和信息安全是一对矛盾。互联网在提供信息共享并给我们带来极大便利的同时，其自 CERT)的统计数字显示：随着互联网的发展，安全事件数量不断上升。尤其是近两三年，出现 了成倍增长的急剧上升趋势，如图l所示。 安全事件数一年份 ．一一．～．．-．_． —— 壁旦王堡星塞全箜墼塑丝塑垫查 2 入侵检测通用模型 公共入侵检测框架(TheCommon IntrusionDetection 部高级研究计划局赞助研究，现在由CIDF工作组负责。CIDF的体系结构文档阐述了一个IDS A．nalyzers)、事件数据库(Event Databases)和响应单元(ResponseUnits)，其结构如图2所示。 囹标准接口API E 事件产生器 ．．—————+ A 事件分析器 D 事件数据库 R 响应单元 图2 IDS通用模型 其中，Cbox表示配置管理和目录服务，CIDF的各个组件通过标准的CIDF接口与之联系， 共同构成一个整体。CIDF将IDS需要分析的数据统称为事件，它可以是从网络中提取的数据 包，也可以是从系统日志等其它途径得到的数据信息。CIDF中的事件分析器也称为分析部分 或者事件分析引擎，它直接影响到IDS的检测概率和虚警概率，是决定整个IDS性能的关键部 分。 针对1DS中的事件分析部分，目前已经提出了包括数据挖掘14]、神经网络【51、人工免疫学【61、 机器学习171等在内的多种新的分析技术。这些新技术的引入，极大地提高了IDS对事件的分析 准确性和分析效率。 3 基于数据挖掘的入侵检测 随着操作系统的日趋复杂以及网络规模的不断扩大和网络速率的飞速提高，审计数据也在 以惊人的速度剧增：海量数据是IDS首先要面对的一大难题。据统计，典型的用户每8小时产 生的数据量为3到35兆字节，而分析一个用户一小时所产生的数据将要花费数小时。数据挖掘 (Data Mining，DM)技术正是解决海量数据分析问题的一种有效途径。 数据挖掘是指从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中，提取隐 含在其中的、人们事先不知道的、但又是潜在有用的信息和