基于数据挖掘技术的入侵检测系统.pdfVIP

中国计算机学会第12届网络与数据通信学术会议 华中师范大学2002年12月2．4H 基于数据挖掘技术的入侵检测系统 张莉1，高素青2 (1．解放军理工大学通信工程学院研究生1队，江苏南京210007 2．解放军理工大学指挥自动化学院，江苏南京2i0007) 摘要：传统的入侵检测方法缺乏有效性、适应性和扩展性。而基于数据挖掘的入侵检 测方法采用以数据为中心的观点，把入侵检测问题看作为一个数据分析过程，运用关联规则、 频繁片断和分类等算法。尽可能地减少了建立一个入侵检测系统中的手工和经验成分，较好 ’ 地解决了有效性、适应性和扩展性的问题。 关键词：入侵检测；数据挖掘；关联规则；频繁片断 随着现代通信技术的发展和迅速普及，特别是随着互联网在国际上的大力发展，使得 信息技术的应用日益广泛与深入，计算机网络的安全性问题也就显得尤为重要了。它已经成 为敌人和罪犯的主要攻击目标，已严重威胁到国家的政治、经济、军事、文化、意识形态等 领域。因此，我们必须尽可能地找到最好的系统保护方法。而入侵检测(ID)则是保护计算 机网络安全的极为有效的方法。 入侵检测是基础保护机制的一个重要成分。传统的入侵检测系统有效性、适应性、扩展 性较差。入侵检测技术一般分为误用检测和异常检测。误用检测使用已知的攻击模式或系统 弱点识别入侵。如snort系统，将已知的攻击和系统漏洞编码到模式中，用匹配的方法识 别入侵。主要缺点是：已知入侵模式必须手工编码到系统中；无法识别任何未知的与存储在 系统中的模式不匹配的入侵行为。异常检测则是通过确定是否与已建立的正常行为模式相背 离而识别是否发生了入侵．如IDES系统，用系统特征的统计相关量为用户或系统的正常行 为建立正常模式，如特定用户或程序使用的CPU和I／0情况等。建立异常检测系统的主要困 难在于系统特征的选择是依赖直觉和经验的，误报率、漏报率较高。 为了解决传统入侵检测系统的不足，我们提出了将数据挖掘技术与入侵检测系统相结合 的方法。 l数据挖掘技术简介 1．1数据挖掘的功能 数据挖掘就是从大量、不完全、有噪声、模糊和随机的实际应用数据中抽取隐含在其中 且人们事先不知道．但又是潜在有价值的信息和知识(模型或规则)的过程．它是一个利用 各种分析工具在海量数据中发现模型和数据间关系的过程，这些模型和关系可以用来做出预 ‘ 测。 数据挖掘技术是--I7新兴的交叉性学科，涉及到机器学习、模式识别、归纳推理、统计 学、数据库、数据可视化、高性能计算等多个领域。数据挖掘体现了一个完整的数据分析 过程。它一般包括数据准备、数据预处理、建立挖掘模型、模型评估和解释等。另外它也是 一个迭代的过程。通过不断的调整方法和参数以得到较好的模型。数据挖掘现在已给出了一 些适用的算法，主要包括决策树、神经元网络等分类器，聚类、关联规则和序列模型、时间 作者简介：张莉(1973一)，女．硕士生． 序列分析、粗糙集等。其中决策树、关联规则和序列模型对入侵检测尤其有用。 数据挖掘功能包括概念描述、关联、分类、预测、聚类、趋势分析、偏差分析和类似性 分析。数据挖掘功能用于指定数据挖掘任务中要找的模式类型。数据挖掘任务一般可以分为 两类：描述和预测。描述性挖掘任务刻画数据库中的一般特性。预测性挖掘任务在当前数据 上推断，以进行预测。 数据挖掘是一个工具，它只是帮助人们更深入、更容易的分析数据。为了保证数据挖掘 结果的价值，必须了解要挖掘的数据。数据挖掘不会在缺乏指导的情况。F自动的发现模型。 数据挖掘工具要做的就是使这些模型得到的更容易，更方便，而且有根据。 1．2数据挖掘的过程 数据挖掘的一般过程如下图所示，它不是一个线性的过程。包括很多反馈回路在内，其 中的每一步都有可能回到前面的一个或几个步骤往复执行，如图所示。 图1数据挖掘过程 数据挖掘过程可分为4个阶段． 1、确定目标 了解应用的范围，预先准备相关的知识，了解最终用户的目标。一般来说，目标可以是 关联规则发现，数据分