入侵检测中数据挖掘技术的运用.docVIP

入侵检测中数据挖掘技术的运用 　　摘要：网络已经成为人们获取信息的重要途径。在日常生活与工作之中，人们对于网络的依赖性越来越强。与此同时，黑客技术也在快速发展，网络安全威胁日益严重，因此必须要为网络与计算机安全提供更多的保护。作为网络安全保护中的一种重要手段，入侵检测能够发挥出相当大的作用。然而传统的入侵检测方法已经难以满足当前的网络安全需要，需要对入侵检测系统进行改进。文中则主要探讨了入侵检测中数据挖掘技术所能够发挥的作用与运用方式。 　　关键词：数据挖掘 入侵检测 网络安全 　　中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2014）01-0189-02 　　入侵检测是网络安全中的重要组成部分，受到了越来越多的关注与发展。在当前IPv4与IPv6将会在很长的一段时间内共存，为网络的控制与管理带来了更多的困难。在当前入侵检测系统在网络安全中暴露出了越来越多的问题，如社会事件响应不及时、恢复机制不完整、虚报率较高等等，特别是网络入侵行为的自我学习与适应能力还存在有严重的不足。而通过数据挖掘技术则能较好的对增强入侵检测系统的各项能力。 　　1 数据挖掘在入侵检测系统中运用的优点 　　1.1 具有更强的自适应性 　　当一种攻击非常复杂或者是时间跨度非常的长，那么传统的系统想快速的跟踪入侵技术的发展就非常困难了。并且针对每一种新的攻击就去更换一次系统需要的代价非常打。基于数据挖掘的异常检测并不是采用的信号匹配模式，并不是对每一个特别的信号进行检测，因此就不会存在上诉的问题，具有更好的实时性。例如一个改进过的远程呼叫程序就很可能迷惑建立在信号匹配模式之上的系统，而如果是运用异常检测，那么就很容易被发现，这是因为系统能够发现在以前从来都没有来自于这个地址的RPC连接。 　　1.2 具有良好扩展性 　　基于数据挖掘的入侵检测能够将实现不同功能的挖掘算法分别设计成模块，这样就能够相当方便的将模块嵌入到入侵检测系统中去，让系统拥有更好的扩展性。 　　1.3 降低误报警率 　　在现有的入侵检测系统中对于单纯的信号匹配依赖的较为严重，而这种方式所发出的警报要比实际的情况要多很多，在某些正常的工作中也很有可能包括有匹配系统中所包含的信号，这样的情况就必然会导致误报警。给予数据挖掘的入侵检测系统能够从警报发生的序列中发现规律，进而能够滤除那些通过正常的行为产生的信号。利用数据挖掘的方法可以有效的对重复的攻击数据进行剔除，减少误报警率。 　　1.4 降低漏报率 　　如果出现了新的以前从来都没有出现过的攻击方式，或者是攻击方式对其原来的某些方式进了改变，那么传统的系统就很很可能会没有反应。而通过数据挖掘技术，则能够快速的发现新的攻击，并能够有效的减少漏报的情况。 　　2 数据挖掘在入侵检测系统的运用 　　2.1 关联分析 　　关联规则挖掘的主要目的是要从数据库中发现各个属性之间存在的关联关系。关联规则就是为了可以找到各个数据项之间、每个数据项内部所存在的相互关系。关联规则挖掘是在数据挖掘中应用的最为广泛的技术，同时也是在入侵检测中应用的最早的技术之一。挖掘关联规则主要有两个步骤：第一步，产生频集的集合；第二步，产生关联规则，并从频集生成关联规则，并进行判断。在当前入侵检测中常用的关联分析算法主要有Apriori、AIS等。 　　著名的电脑杂志PCWeek为了对Web服务IIS与Apache的安全行进行测试，专门提供了装有不同Web服务器的两台主机让黑客攻击，而一名交jfs的黑客在20小时内成功修改了Linux平台上是Web服务器的主页。过程主要有五步：（1）对远端主机信息进行收集，包括有所打开的端口以及所提供的网络服务等；（2）对当前操作系统类型、版本以及Web服务器的类型与版本进行了解；（3）尝试通过常见的Apache服务程序漏洞进行入侵，失败；（4）发现第三方软件的CGI漏洞，并通过这个漏洞来进入系统；（5）通过Red Hat crontab漏洞得到Root权限，完成入侵。从这里能够看出入侵行为往往并不是独立的，很多时候只是攻击的不同阶段，是为了获得相关的信息。因此攻击行为具有较强的时序与逻辑关系。而关联分析则是对这时间的关联进行分析。在入侵检测中运用关联分析就是在入侵检测引擎与系统关联之间，增加一个起事件再加工作用的事件关联层。在时间关联层中对入侵检测引擎所检测到的各种“基本事件”进行关联分析，然后将处理之后的时间传递给系统管理界面进行显示。采用关联分析的入侵检测系统组成如图1。 　　2.2 序列分析 　　序列模式分析的主要作用是用来对如“在某一个时间段之内，先出现了数据特征A，然后则又出现了特征B，而后则又出现了特征C，也就是序列A→B→C有着较高的出现频度”这样的高频序列信息进行发