基于数据挖掘技术的入侵检测系统框架.docVIP

基于数据挖掘技术的入侵检测系统框架 　　摘要：入侵检测系统是近年来出现的一种网络安全技术，在网络安全领域中发挥着越来越大的作用。但入侵检测系统自身的误报漏报及海量信息的涌现，使得人们必须谋求突破，使入侵检测系统实现更高的可用性和稳定性。本文提出了一个基于数据挖掘技术的入侵检测系统框架。 　　关键词：数据挖掘；IDS；入侵检测系统框架 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)05-10ppp-0c 　　 　　1 引言 　　 　　在过去，较少的应用技术让我们可以简单的通过防火墙来过滤掉从外界不可信任的地址及端口发来的数据 可是今天快速发展了的黑客技术不但能够伪造可信任源，更可以以正常身份进入内部网络隐藏起来，等到条件成熟时，来个大发作。在今天我们不但要对数据包进行更为具体、细致的数据分析（甚至是其全部内容），更要求对待攻击，我们能做到防患于未然． 但要能防备今天的攻击，最好还要化解未来技术所带来的危险。入侵检测技术的出现就要来检侧网络中的入侵的行为，只要黑客在网络中留下了入侵行为的蛛丝马迹，人侵检洲系统都会详细的记录下来，为我们弥补漏洞和改善安全策略打下基础。 　　首先网络入侵(IDS)可以分为三种形式，即软件、硬件和软硬一体。具体的体系结构则采用分布式体系结构，即中心控制端和检测引擎相结合。中心控制端的作用是搜集各个检测引擎得到的网络告警信息以及对各个检测引擎进行管理和配置。检测引擎通过监视网络或系统资源（通常是系统日志）来执行人侵检测，并向中心控制端告警。根据采集数据源的不同，入侵检测产品可分为主机型IDS（简称HIDS）和网络型IDS(简称NIDS)。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机采集信息进行分析。他们保护的重点是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包，通过捕获与分析网络数据进行检测。未来的人侵检测系统要想取得成功必须将基于主机和基于网络的两种人侵检测系统无缝的结合起来，这就是混合分布式入侵检测系统。 　　 　　2 网络入侵检测面临的问题 　　 　　随着对IDS的研究与应用的愈加深入，人们在享受IDS带来的安全的同时也越来越多的感到困扰；误报和漏报严重、海量信息难以分析，其中，前两者是用户反应最为强烈的问题，海量信息难以分析影响了用户对IDS的使用，因为如果入侵检测系统无法应付网络吞吐量的话．它就可能漏掉不少反映入侵活动的特征数据 ，我们知道，IDS的告警根据是对网络中异常情况的察觉以及对主机日志的检测。同此．这三个问题的出现．与数据处理上面的“瓶颈”．是密不可分的 耍解决好困扰用户的这些问题，打消他们的疑虑．建立对IDS的信心，就一定要解决好这个问题。在这种情况之下，将数据挖掘的方法引入IDS是一个好办法, IDS检测代理所面临的大量告警信息．如果得到数据挖掘方法的指导进行处理 将会使IDS的性能得到很大的改进。 　　数据挖掘是一个利用各种分析工具在海量数据中发现模型和数据间关系的过程，这些模型和关系可以用来做出预测。统计分析方法学的延伸和扩展。数据挖掘就是利用了统计和人工智能技术的应用程序，来解决问题，目的是生成可以据其所示的含义采取行动的知识，也就是建立一个现实世界的模型。建立这个模型可能需要各种备样的源数据，模型是模式和数据问相关性的形式化描述在实施数据挖掘之前．先制定采取什么样的步骤，每一步都做什么，达到什么样的目标是必耍的， 一个典型的数据挖掘系统的体系结构有以下几个部分：知识库，数据挖掘引擎，形式评估模块，图形化用户接口。 　　 　　3 应用数据挖掘技术的入侵检测模型 　　 　　利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据，异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集。理想状况是异常活动集与入侵性活动集等同 。这样，若能检测所有的异常活动，则可检测所有的人侵性活动，但是入侵性活动并不总是与异常活动相吻合， 而且入侵检测虽然能够发现一部分人侵行为，还需要在此基础上利用数据挖掘技术，分析多个检测引擎提交的审计数据 网络流量和主机日志能够记录活动。在入侵检测系统中使用数据挖掘技术，通过分析主机日志可以提取出用户的行为特征、总结入侵行为的规律，从而建立起比较完备的规则库来进行入侵检测。 　　主机日志中所包含的网络信息包括：时间、接口、数据流方向、源地址、源端口、目标地址、目标端口、标志集、序列号、数据包中的字节、窗口大小等等。这些信息，种类繁多，信息量也十分庞大。凭着管理员的肉眼，从如此大量的数据中找到攻击信息，其难度实在太大。因此，正好可以利用数据挖掘技术，发挥其优势，对大量的系统日志及网络流量进行挖掘，对正常模式及入