基于聚类的分类分析自适应入侵检测模型.docVIP

基于聚类的分类分析自适应入侵检测模型 　　摘要:基于数据挖掘的入侵检测系统由于引入了数据挖掘技术,很好的解决了传统入侵检测系统中自适应性和扩展性的问题。在数据挖掘中,聚类分析和分类分析是重要的技术,该文将这两种技术引入入侵检测模型,提出了一种基于聚类的分类分析自适应入侵检测模型。 　　关键词:数据挖掘;入侵检测;分类;聚类 　　中图分类号:TP311文献标识码:A文章编号:1009-3044(2009)25-7101-02 　　Adaptive Model of IDS with Classification Based on Clustering 　　LIAO Ming-xing 　　(Hubei University, Wuhan 430062, China) 　　Abstract: Intrusion detection system based on data mining solves the problems about adaptability and extensibility in traditional intrusion detection system because of the data mining technology. Clustering and classification are important technologies in data mining. This paper introduces them in IDS and presents an adaptive model of IDS with classification based on clustering. 　　Key words: data mining; intrusion detection; classification; clustering 　　随着计算机网络技术与网络规模的高速发展,网络应用在人们的工作学习中显得越来越重要,而与此同时,网络遭受入侵和破坏的频率也日益增大。为了保护网络上信息的完整和安全,我们必须建立健壮安全的网络体系,这也是我们必须关注的一个问题。传统上,网络用户使用防火墙作为第一道防线来保护计算机网络的安全,但是由于攻击手段的多变复杂,加上防火墙的缺陷和处于网络的明处,防火墙很难抵挡各式各样的攻击入侵,不能满足一些对网络安全有着高要求的需求。这种情况下,入侵检测系统就成为了安全市场上的热点,它作为继防火墙之后的第二道安全措施,监控系统与网络的状态,承担起发现识别入侵行为,采取有效措施保护系统和网络安全的重要任务。 　　1 入侵检测系统 　　入侵检测系统(Intrusion Detection System, IDS)是软件与硬件相结合的系统,它进行主动的安全防御,对系统和网络的状态进行监视,分析一些关键点的信息,发现外部攻击者的非法入侵行迹和系统内部用户的不合理使用。目前,按照检测方法的不同,可以分为异常检测(Anomaly Detection)与误用检测(Misuse Detection)。异常检测是总结用户正常情况下的操作特征和对资源的使用情况,将其提取为正常模式存储在知识库中,然后将待检查的行为与其比较,如偏差超过设定的阈值,说明出现了异常。误用检测是总结入侵攻击行为模式存储于特征库,然后用匹配的方法将待检测数据与特征库中的模式匹配,若有匹配的模式出现,则说明有入侵。前者可检测出各种攻击,包含从未出现的攻击,但是误报率高。后者虽有高的检测准确率,但漏报率较高,对识别新出现的攻击有欠缺。另外,按数据源不同,入侵检测系统分为基于主机的IDS,基于网络的IDS和混合型IDS。基于主机的IDS的数据来自本地主机的系统日志与审计数据;基于网络的IDS的数据来源于网段中的数据包;混合型IDS是将前两者相结合的检测系统。 　　2 IDS引入数据挖掘技术 　　一个好的入侵检测系统应该具有自适应性,准确性和可扩展性。但是常用的IDS的入侵检测规则是通过人工学习补充建立的,安全领域人员了解系统漏洞问题和网络上已经出现 的攻击手段,经过学习总结,将其放入特征库,这样特征库的建立完善主要是依赖人的参与。但是,由于现在计算机网络的复杂性,网络攻击情况的多变性,还有网络安全人员对攻击的把握可能不完全准确,会导致IDS检测准确率的有限性。另外,网络数据流量非常大,建立一个完整的特征库要求安全人员的不断学习升级,这对IDS检测的准确性带来影响。将数据挖掘技术应用于入侵检测系统能有效地解决这些问题。 　　 数据挖掘[1](DM,Data Mining)就是从大量的、不完全的、有噪声的、模糊的、随机的数据中,提取隐含在其中的、人们事先不知道的、但又是潜在的有用信息和知识的过程。它与人工智