基于安全审计的异常检测模型的设计.docVIP

基于安全审计的异常检测模型的设计 　　摘要：在安全审计的数据挖掘系统的基础上，提出一个异常检测模型，该模型通过关联分析提取正常行为的关联模式，根据属性的重要性定义每个行为模式，在给每个行为模式进行编码后，通过定义一个相异度函数来计算已知关联模式和当前模式的相异度，根据相异度判断当前模式是否为异常行为，并通过一个特定的审计数据的分析来描述模型工作的过程。目前该模型已成功应用在几个关键业务领域的监控系统和入侵检测系统中。 　　关键词：安全审计；数据挖掘；异常检测；关联分析；关键业务 　　中图分类号：TP311.131文献标识码：A 文章编号：1009-3044(2008)23-950-04 　　Design on Outlier Detection Model Based on Security Audit 　　Shi Hai-feng 　　(College of Software, Nanjing College of Information Technology, Nanjing 210046, China) 　　Abstract: From one data mining systerm on the security audit, this paper presents one outlier detection model, the model picks up the association patterns of the normal action by association analysis, defines every action pattern by the essentiality of the properties, and codes the patterns, then uses a dissimilarity-function getting the dissimilarity between one association pattern and current pattern, and estimate the current pattern by dissimilarity, last describes the working process of the model by given audit data. The model has be applied successfully in some monitor and intrusion detection systems of the key operation domain. 　　Key words: security audit; data mine; outlier detection; association analysis; key operation 　　 　　1 引言 　　 　　目前安全审计已越来越多地成为防火墙、入侵检测和网络监控等系统支持的功能特性，特别当这些系统应用在关键业务领域（如银行，证券等）中时。安全审计的一个重要目的是发现系统或用户行为中的入侵或异常。而如何在大量的审计数据中提取出具有共性的系统特征模式，用于对程序或用户行为作出全面、准确的描述，是实现安全审系统的关键。作为数据挖掘的一个重要部分，异常检测可以从大量冗余信息的数据中提取出隐藏的、有效的模式，如果将其应用于安全审计数据的处理，可以有效地解决海量审计数据的分析问题，为系统和用户行为的判定提供依据。 　　异常是在数据集中与众不同的数据，使人怀疑这些数据并非随机偏差，而是产生于完全不同的机制[1]。异常检测中对异常的定义是：异常是既不属于聚类也不属于背景噪声的点，他们的行为与正常的行为有很大不同。异常检测通常建立在聚类分析和关联分析的基础上，从方法上可以分为基于统计（statistical-based）、基于距离 (distance-based) [2,3]、基于偏离(deviation-based) [4]和基于密度(density-based) [5]的方法。另外针对异常在高维空间中难以确定，有人提出一个高维数据异常检测的方法[6]，该方法采用遗传优化算法，把高维数据集映射到低维子空间，根据子空间映射数据的稀疏程度来确定异常数据是否存在，算法获得良好的计算性能。 　　本文提出一个基于安全审计的异常检测模型，该模型中异常检测方法借鉴基于偏离的算法，将该算法中未知的“序列异常”中各个子集间的相异度计算转化为已知的正常行为模式和未知行为模式的相异度计算，算法为每个判定对象定义一个行为模式，模式中各属性按其重要性降序排列，并利用模式中字段值在审计数据库中的信息，对每个模式进行编码，再通过定义一个相异度函数来计算模式间的相异