综述数据挖掘技术在入侵检测系统中的应用.docVIP

综述数据挖掘技术在入侵检测系统中的应用 摘要：随着计算机网络技术的迅速发展，网络在为人们提供服务的同时，也带来了很多负面影响。入侵检测就是用于解决这个问题的。为了提高入侵检测的速度和力度，可将数据挖掘技术应用到入侵检测系统当中。并且也可将数据挖掘技术与其他领域多种先进技术相结合，应用到入侵检测系统中。本文系统地介绍了应用于入侵检测系统的数据挖掘技术及可与数据挖掘相结合的一些先进技术。 关键词：入侵检测，数据挖掘（DM），知识发现（KDD） The application of DM technology in IDS Abstract: With the swift development of network, it takes advantages as well as disadvantages. Intrusion detection can be used to solve this problem. In order to improve the velocity and strength of intrusion detection, the technology of Data Mining can be applied to IDS. This article introduces some DM technology used to IDS and some advanced technology combined with DM. Keywords: Intrusion detection system (IDS), Data mining (DM), Knowledge discovery in database (KDD) 随着计算机网络技术的飞速发展，计算机网络为人们带来了巨大的服务，但是同时也产生了一些负面影响。如软件漏洞，系统漏洞等为某些非法入侵者提供了可乘之机。而为了防止内部或外部非法使用者对计算机进行攻击，就设计了入侵检测系统。 一、 入侵检测系统简介 入侵检测，简单地说就是从网络和主机上收集信息，并进行分析，检测并判断出是否有入侵行为或安全问题。入侵检测是位于防火墙之后的第二道安全闸门。入侵检测系统是执行入侵检测任务的计算机系统，其概念是由James Anderson于1980年提出，Dorthy Denning在1987年提出了一个入侵检测模型[1]。 根据检测的数据来源可分为基于主机的入侵检测系统（HIDS）和基于网络的入侵检测系统（NIDS）。前者的数据来源是主机的审计日志、应用程序日志等；而后者的数据来源是网络上的数据包。根据检测方式可分为异常监测和误用检测。异常检测又称为基于行为的入侵检测，是将得到的行为与预先建立的用户正常行为库进行比较以识别攻击，能检测到未知的和更复杂的入侵行为，但是容易产生误报和漏报的情形，并且不适应用户正常行为的突然改变 ；而误用入侵检测又称为基于知识的入侵检测，是将得到的行为与已知的攻击模式库进行比较，需要不断的更新攻击模式库。根据分布形式可分为集中式和分布式，其主要区别在于分析部件，而不是 数据收集部件。整个系统的分析部件是位于单台主机上，称之为集中式系统；分析部件分布于不同的主机上，称之为分布式系统。 传统的入侵检测系统是将异常检测和误用检测作为两个独立的入侵检测系统，为了充分利用异常检测和误用检测的优点，可将异常检测和误用检测相结合形成新的IDS基本规则：凡是与正常行为模式库匹配的行为均为正常行为，凡是与异常行为模式库匹配的行为均为入侵行为，这样可以大大地减少误报率和漏报率，提高入侵检测的准确性。但是需要手动来更新行为模式库，浪费人力和物力。同时为了提高入侵检测的速度，可以将数据挖掘技术的一些算法如：关联规则算法、分类算法、聚类算法、序列规则算法等，应用到入侵检测系统的设计当中。这样，无论是否出现入侵行为，系统都能有效识别并自动更新规则库，提高了检测系统的适应性和检测能力。 二、数据挖掘 现在正处在信息化的社会，大量信息在给人们带来方便的同时也带来很多问题：（1）信息过量；（2）信息真假难辨；（3）信息安全难以保证；（4）信息形式不一致。 面对这种局面，数据挖掘技术应运而生。 知识发现（KDD）被认为是从数据中发现有用知识的整个过程。KDD过程定义为（Fayyad等，1996）： 从海量数据集中识别出有效的、新颖的、潜在有用的，以及最终可理解的模式的高级过程，包括三部分：数据准备，数据挖掘及结果的解释和评估。数据挖掘是知识发现中的核心过程，用专门算法从数据中抽取模式。数据挖掘技术可以从大量审计数据中挖掘出正常的或入侵性的行为模式。其中挖掘的主体--审计数据是由经过预处理的，带有时间戳的审计记录组成， 每条审计记录都包含一些属性（或特征）。 三、