基于聚类方法的ＭＩＳ智能入侵检测技术.docVIP

基于聚类方法的ＭＩＳ智能入侵检测技术 　　摘要：该文对采用神经网络实现的MIS智能入侵检测技术进行了简单介绍，并使用新的聚类方法来改善神经网络，通过得到最佳的规则数降低了算法时间复杂度，简化了神经网络。从而优化了特征提取规则，提高了入侵检测的效率和智能性。 　　关键词：MIS智能入侵检测；特征规则；模糊聚类 　　中图分类号：TP183文献标识码：A文章编号：1009-3044(2008)24-1267-02 　　MIS Intelligent Intrusion Detection Technology Based on the Clustering Method 　　ZHANG Dong-liang, XIA Zhong-hua 　　(Qinghuangdao Institute of Technology,Qinhuangdao 066100,China) 　　Abstract: In this paper, there is a brief introduction to the MIS intelligent intrusion detection technologyby usingneural networks, and by use of the new cluster to improve the neural network, Rules adopted by the best time of the algorithm to reduce complexity and simplify the neural network. To optimize the feature extraction rules, improving the efficiency of the intrusion detection and intelligence. 　　Key words: MIS intelligent intrusion detection;characteristics of rules;fuzzy cluster 　　 　　1 引言 　　 　　入侵检测（Intrusion Detection，ID）是指通过对行为、安全日志或审计数据或其它可以获得的信息进行操作，检测到对系统的闯入或闯入的企图[1]。它通过对计算机系统或网络计算机系统中的若干 关键点收集信息并对其进行分析，从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象。 　　现有的入侵检测系统多数采用概率统计、专家系统、神经网络等智能化方法来实现系统的检测机制。其中，神经网络方法可以利用大量实例通过训练 的方法构造正常行为模型，能够有效预测未知的攻击，并且它有自适应、自学习、自组织、并行性等优点，在攻击类型上，则对非授权获得超级用户权限和远程到本 地的非授权访问的检测效果显著[2]。 　　本文使用新的聚类方法来改善神经网络，通过得到最佳的规则数来降低算法时间复杂度，简化神经网络，使之进行有效的数据提取和学习，提高入侵检测的效率和智能性。 　　 　　2 MIS智能入侵检测技术 　　 　　MIS智能入侵检测主要由四个主要模块组成： 　　1) 数据采集：主要由SQLServer跟踪日志给出，相当于事件产生器；2) 检测单元：主要由神经网络训练出一个相对稳定的正常模型，用于检测异常调用，相当于事件分析器[3]；3) 特征数据库：主要利用误用检测的特点，实现快速检测各种已知的异常调用，并直接反馈倒报警单元，相当于事件数据库，其中特征数据库与被监控数据库分离存储；4) 报警单元：主要是杀掉异常调用的客户端进程，反馈给系统管理员并记录到自定义日志文件，相当于响应单元。 　　主要流程是：首先通过采集的样本数据经过训练后形成检测单元，建立相应特征数据库并完成日志文件初始化工作；然后实时监测客户端调用，将数据直接和特征数据库进行匹配，如有匹配则送入报警单元，反之则送入检测单元；检测单元将数据作为输入向量与正常模型比较，如果泛化输出值大于期望值，则列为异常，直接送入误用数据库存储，并通知报警单元，反之继续监测各调用。 　　 　　3 基于聚类方法的智能入侵检测 　　 　　3.1 数据采集 　　入侵检测的关键是用户行为特征的提取。本文主要利用SQLServer的事件探察器，建立新的跟踪文件，针对TSQL、存储过程、安全审核、会话等事件，选取 ObjectId, LoginName, CPU, Read, Write ClientProcessId, SPID 七个数据列作为输入向量[4]。分别表示客户端对数据库表、存储过程和视图的调用；客户数据库登陆名；CPU占用时间；对数据库的读写操作；客户端进程号和系统 分配进程号