论数据挖掘在计算机入侵检测中应用.docVIP

论数据挖掘在计算机入侵检测中应用 　　摘要：随着计算机网络技术的迅速发展，网络在为人们提供服务的同时，也带来了很多负面影响。入侵检测就是用于解决这个问题的。为了提高入侵检测的速度和力度，可将数据挖掘技术应用到入侵检测系统当中。并且也可将数据挖掘技术与其他领域多种先进技术相结合，应用到入侵检测系统中。本文系统地介绍了应用于入侵检测系统的数据挖掘技术及可与数据挖掘相结合的一些先进技术。 　　关键词：入侵检测 数据挖掘（DM） 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2013）04-0098-02 　　1 引言 　　在信息时代高速前进的今天，网络安全问题也伴随着信息高速发展变得层出不穷。有许多人学习各种攻击的手法通过丰富的网络资源去攻击别人，通过一个简单的操作去试试自己的破坏行为，所以目前最紧要的就是能够找到有效的检测方法去阻止这些攻击行为，这也是目前计算机行业的一个发展趋势。对于网络安全的保护手段随着攻击的不断变化而变化，这些手段我们大都耳熟能详，像VPN、防火墙等。但是这仅限于静态方法，并不能真正意义上的有效保护。而入侵检测（Intrusion Detection）技术才是时下最有用的对（网络）系统的运行状态进行监视的系统，它的主要作用就是发现层出不穷的攻击企图、攻击行为与攻击结果，通过技术手段去保证系统资源的机密性、完整性与可用性不外泄，最终形成一种动态的有效地防护保护策略，它的优秀就在于能够对网络安全实施全程监控、攻击与反攻击等动态保护，可以说是填补了静态防护策略的空白。 　　滥用检测和异常检测是传统的入侵检测技术。滥用检测的主要作用在于分析不同的网络攻击，通过寻找网络攻击的相同点，及时有效的防范已知攻击，减少防范误差，但是这种方法的弊端在与智能检测到现有的攻击，不能时时起到检测作用；但是对于异常检测通来说，它的工作原理是通过检测，发现当下活动是否与历史正常活动有区别来检测是否有入侵攻击，它的优点在于能够检测到未知攻击，但是它的缺点也能够显而易见发现就是会产生误报以及漏报危险。所以在进行网络入侵检测系统监察时，就??须把查漏工作做得位，需要运用数据挖掘技术直接进行网络入侵的检测，对于这个系统来说，基础的模型是以Snort入侵检测系统为主的，使网络入侵检测系统凌驾于数据挖掘之上。 　　2 网络入侵检测系统中针对数据挖掘的应用 　　在网络入侵检测系统（IDS）中，通过数据挖掘技术的应用，起到时时方法的作用。它的工作原理在于把挖掘审计数据作为防范的依据，在数据中找到入侵行为，简单而有效的这么一种检测规则。需要审计的数据主要是通过预先处理和有时间的审计记录进行监控。通过审计每一条记录找到被攻击的特征。例如，一个标准的审计日志文件需要有连接状态、目的IP地址、源IP地址和服务类型等特征。对于网络入侵检测来说，挖掘审计数据是重中之重，它能够使检测到入侵的精确性和可用性提高。在网络入侵检测中，一般常用关联性分析、分类、序列分析等作为挖掘数据的方法。 　　（1）关联性分析主要通过网络安全与网络入侵的关联，也就说需要把最小支持度与最小确信度它们之间的关联在数据库中进行分析提取，就需要推侧记录集合和Item之间相接合的运用，重中之重就是需要把Item的关联性找出来。通过把信任度和支持度之间找到关联在推导出关联规则。关联规则的信用度和支持度要比用户已经设定好的支持度和信任度高，比如像用户在购买了电脑后需要在购买杀毒软件。 　　（2）分类的主要目的在于把数据项与预定义的分类集找到，通过分类器的作用，找到决策树与规则。在网络入侵检测中，分类的应用体现在通过审计数据的集合，在移交到用户和程序进行检测，利用分类法和分类器，找出数据正常或异常之处。规则学习问题是分类算法的首要解决任务。 　　（3）序列分析主要的作用是构建序列模式，主要的原理要是找到审计事件中经常出现的时间序列。因为找到经常出现的时间序列可以直接运用到入侵检测模型当中来。比如，在进行数据审计的时候，因为网络有了拒绝服务，能够通过该模型迅速检测到，进一步发现攻击DOS行为。所以该模型的工作依据就是在特定的时间段内有针对性检测主机和服务。 　　3 基于数据挖掘的入侵检测系统模型 　　依据网络入侵检测系统在挖掘数据速度方面与准确度方面的缺点，入侵检测系统模型如果要建立，就必须把数据挖掘技术作为基础。下图1就是该模型结构。 　　3.1 模块功能简述 　　（1）数据收集是嗅探器的功能，它的作用就是信息提取的窗口。 　　（2）解码与分析是解码器的功能所在，最终目的是需要提取有用的数据包。最后再把这些数据包储存到数据结构当中去。 　　（3）链接数据和网络数据的转换成为有用的数据格式是数据预处理的基础步骤，数据预处理还需要要对数据进