数据挖掘在入侵检测领域的应用研究0

2022-09-18

数据挖掘在入侵检测领域的应用研究

数据挖掘在入侵检测领域的应用研究随着大规模网络入侵事件的出现，入侵检测技术已成为近年米网络安全领域的一个研究热点。它主要通过监控网络、系统、用户的状态、行为以及系统的使用情况，来检测系统用户的越权行为和入侵企图等。传统的入侵检测技术大多采用模式匹配技术，这种技术的可扩展性和适应性比较差，它不能检测未知攻击，而且升级费用昂贵、速度慢。因此，需要使用更智能化的检测方法。本文将数据挖掘技术应用于入侵检测，有助于建立一种系统化、自动化的入侵检测系统。1入侵检测概述入侵检测，顾名思义，是指对入侵行为的发现，它通过在计算机网络或计算机系统中的若十关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测是一种主动防御技术，可以在系统发生危害前检测到入侵攻击，并利用报警与防护系统响应入侵攻击。完成入侵检测功能的软件和硬件组合便是入侵检测系统，其基本构成有事件产生器、事件分析器、事件数据席和响应单元(如图l所示)。

从检测原理(分析方法)的角度，可将入侵检测分为两类：误用检测和异常检测。 1)误用检测：误用检测事先定义某些特征的行为是非法的，然后将观察对象与之进行比较以做出判别，能直接检测已知的攻击，但由于过度依赖事先定义好的安全策略，所以无法检测系统未知的攻击行为，从而产生漏报。 2)异常检测：异常检测首先建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上(设定阀值)将一个行为标为“异常”，并如何做出具体决策。异常检测可以在一定程度上检测并未知，但误报率较高。对于上述两种入侵检测的分析方法，各有一种代表性的检测方法，分别是模式匹配和统计分析。而基于数据挖掘的分析方法对于发现新的攻击和更好的描述用户正常行为有很好效果。2 数据挖掘技术及其在入侵检测中的应用2．1数据挖掘的基本概念数据挖掘(Data Mining)，也称数据库中的知识发现(KDD，Knowledge Discovery in Database)，KDD一词首次出现在1989年8月举行的第11届国际联合人上智能学术会议上，经过几年后，数据挖掘开始流行，它是知识发现概念的深化，是人工智能、机器学习与数据库相结合的产物。数据挖掘是数据库中的一项技术，它的作用就是从大型数据集中抽耿知识，这些知识是隐含的、事先未知的潜在有用信息，提取的知识一般可表示为概念、规则、规律和模式等形式。对于入侵检测系统来说，也需要从大量的数据中提取出入侵的特征，故可将数据挖掘技术引入入侵检测系统中，通过数据挖掘程序处理搜集到的审计数据，为各种入侵行为和正常操作建立精确的行为模式，这是一个自动的过程。2．2数据挖掘主要技术数据挖掘的方法繁多，从应用到入侵检测领域的角度米讲，比较常用的有关联分析、系列模式分析、分类分析和聚类分析。 1)关联分析关联分析就是利用关联规则进行数据挖掘。给定一个事务数据席，挖掘关联规则问题就是产生支持度和可信度分别人于或等于用户给定的最小支持度(minsupp)弄D最小可信度(minconf)的关联规则。首先，根据minsupp寻找所有频繁项日集，即寻找support不小于minsupp的所有项日子集。然后，通过minconf在每个最大频繁项目集中，寻找confidence不小于minconf的关联规则。 2)序列模式分析序列模式分析和关联分析相似，其目的也是为了挖掘数据之间的联系，但序列模式分析重点在于分析数据间的前后序列关系。系列模式分析描述为：在给定序列数据席中，每个序列是按照时间排列的一组数据集，挖掘序列函数作用在这个序列数据席上，返回该数据席中出现的高频序列。 3)分类分析设有一个数据席和一组具有不同特征的类别(标记)，该数据席中的每一个记录都被赋予一个类别的标记，这样的数据席称为训练集。分类分析就是通过分析训练集中的数据，为每个类别做出准确地描述，或建立分析模型，或挖掘分类规则，然后用这个分类规则对其他数据席中的记录进行分类。 4)聚类分析与分类分析不同，聚类分析输入的是一组未分类记录，并且这些记录应分成几类事先不知道。聚类分析就是通过分析数据席中的记录数据，根据一定的分类规则，合理的划分记录集合，确定每个记录所在类别。2．3数据挖掘在入侵检测的应用数据挖掘技术与入侵检测的结合主要有两方面：一是发现入侵的规则、模式；_是找出用户的正常行为，创建用户的正常行为库。这里重点介绍一下关联规则和分类算法在入侵检测中的应用。2．3．1 关联规则程序的执行和用户活动展示了系统特征之间的关联。例如，一定权限的程序只能访问特定目录下的某些系统文件，程序员经常编写和编译C文件等等，这些行为模式应该放到正常应用轮廓中去。挖掘关联规则的日的是从数据库农中获耿多个特征的关联。给出一组记录，每个记录是一组数据项，一个关联规则定义为：X—Y，[C，S]。其中，X和Y是子数据项，XnY=(p，S=support(X U Y)称为规则的support值(14时包含X和Y的记录的百分比)，C=support(X+Y)／support(X)称为置信度(confidence)。表1说明了在一个telnet会话阶段的shell输入命令，这里只保留文件的扩展名，删除了文件内容，用“pm”代表所有的下午时间戳。表2给出了从表1数据中得出的关联规则，每个关联规则传递了用户行为信息。

2．3．2分类算法入侵检测可以看作是一个分类问题：我们希望能把每一个审计记录分类到可能的类别中，正常或某种特定的入侵。一般来讲，分类根据系统特征进行，大多数时候还需要根据经验和实验效果确定一个合理的门限值，分类任务的关键步骤是选择正确的系统特征。表3是Ftp连接记录，其中，“hot”是到达系统所经过的路径个数，“compromised”是文件／路径“找不到”的错误个数。CISSER是一个分类规则学习程序，产生分类规如表4所示。

3 结论

近年来，入侵检测技术作为一种主动防御技术，成为计算机动态安全工具的主要研究和开发的方向，基于数据挖掘的分析方法在入侵检测中的应用已成为研究热点。数据挖掘的技术如关联规则、分类规则等在入侵检测领域有着很好的发展前景。然而，这项技术还有一些问题需要解决。数据挖掘需要大量的数据，系统庞大而复杂，保证检测的实时性和准确率，并降低误警率是今后研究的重点。

下一篇：供应土豆脱皮机厂家直销脱皮机原理图PMP
上一篇：陶企较佳的组合传统渠道与网络渠道并驾齐驱卫浴产品卫浴企业0

看过的网友还看了