数据挖掘在入侵检测中的应用探析.docVIP

数据挖掘在入侵检测中的应用探析 　　摘要:介绍了入侵检测系统的基本概念和相关技术,阐述了数据挖掘在入侵检测系统研究中常用的技术,提出了基于数据挖掘的入侵检测系统和一种改进的Apriori算法,并详细介绍了其中的检测分析系统。 　　关键词:数据挖掘;入侵检测;关联规则;Apriori算法 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)26-7342-03 　　 　　Application of Data Mining in Intrusion Detection 　　CHEN Qing-yan 　　(Department of Computer Science, Guilin University of Electronic Technology, Guilin 541004,China) 　　Abstract: The basic concepts and relevant techniques of intrusion detection system are introduced and the common data mining techniques used in intrusion detection system are briefly elaborated.The intrusion detection system based on the data mining and an improved Apriori algorithm are put forward and detailed introduce the analysis system in the Intrusion Detection System. 　　Key words: data mining; intrusion detection; association rules; apriori algorithm 　　 　　网络技术的高速发展,为人们通过网络实现资源共享等带来了便利,同时网络自身的开放性、互连性、共享性等也给黑客提供了各种攻击的手段,他们试图破坏信息系统的完整性、机密性和可行性,使得网络系统遭受入侵和破坏的风险日益增大。 　　因此,近年来,随着网络安全的要求越来越高,新的入侵检测理论不断提出。数据挖掘理论的研究,开拓了入侵检测理论的思路。通过对不同数据源,包括来自主机的数据和网络的数据,用不同的数据挖掘方法进行分析,及时发现入侵行为。 　　 　　1 入侵检测中的挖掘技术 　　 　　1.1入侵检测系统的功能 　　一个合格的入侵检测系统能大大地简化管理员的工作,使得管理员能够更容易的监视、审计网络和计算机系统,扩展了管理员的安全管理能力,从而保证网络和计算机系统安全的运行。因此入侵检测系统必须具有以下主要功能:1) 监视并分析用户和系统的活动,查找非法用户和合法用户的越权操作;2) 检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;3) 对用户的非正常活动进行统计分析,发现入侵行为的规律;4) 检查系统程序和数据的一致性与正确性;5) 能够实时对检测到的入侵行为做出反应;6) 操作系统的审计跟踪管理。 　　1.2 入侵检测技术的分类 　　入侵检测技术是入侵检测系统的核心,它直接关系到攻击的检测效果、效率、误报率等性能。入侵检测技术主要分为异常检测技术和误用检测技术两大类。 　　1.2.1 异常检测技术 　　基于异常的入侵检测技术主要来源这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为产生的日志信息(假定日志信息足够完全)总结出这些规律,而入侵和滥用行为则通常和正常的行为存在一定的差异,通过当前活动与系统历史正常活动之间的差异就可以检测出入侵。 　　异常检测的关键问题在于正常使用模式(normal usage profile)的建立以及如何利用该模式对当前的系统/用户行为进行比较,从而判断出与正常模式的偏离程度。基于异常的检测与系统相对无关,通用性较强,不受已知知识的限制,因而它甚至有可能检测出未知的攻击行为。然而,异常检测技术存在以下几个主要问题: 　　1) 如何有效地表示用户的正常行为模式?即选择哪些数据才能有效地反映用户的行为,并且这些数据容易获取和处理。由于系统/用户的行为是不断改变的,因而正常模式具有时效性,需要不断修正和更新。当用户行为突然发生改变时,容易引起误报。 　　2) 阈值的确定比较困难。当阈值设定较高时,容易引起漏报,而阈值设定较低时,容易引起误报。由于不可能对系统内的所有用户行为进行全面的描述,在用户数目众多、用户行为经常动态改变时,系统误报率较高。 　　3) 异常检测方法大多训练时间较长,在训练期