胡春紅 (長(zhǎng)江大學(xué)計(jì)算機(jī)科學(xué)學(xué)院,湖北荊州434023)

隨著網(wǎng)絡(luò)復(fù)雜性和異構(gòu)性的不斷增加,網(wǎng)絡(luò)傳播病毒的行為越來(lái)越多,嚴(yán)重影響了正常的網(wǎng)絡(luò)運(yùn)行秩序。準(zhǔn)確、快速地檢測(cè)網(wǎng)絡(luò)流量的異常,做出合理的響應(yīng)成為保證網(wǎng)絡(luò)有效運(yùn)行的關(guān)鍵措施之一[1]。利用數(shù)據(jù)挖掘技術(shù),對(duì)入侵檢測(cè)技術(shù)進(jìn)行研究,建立一個(gè)基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)異常檢測(cè)模型,從網(wǎng)絡(luò)流量的歷史數(shù)據(jù)中提取出正常數(shù)據(jù)和包含異常的數(shù)據(jù),建立正常與異常行為的模型。引入入侵檢測(cè)技術(shù),相當(dāng)于在計(jì)算機(jī)系統(tǒng)中引入了一個(gè)閉環(huán)的安全策略。計(jì)算機(jī)的多種安全策略,如防火墻、身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密等,通過(guò)入侵檢測(cè)系統(tǒng)進(jìn)行安全策略的反饋,從而進(jìn)行及時(shí)的修正,大大提高了系統(tǒng)的安全性[2]。因而基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)分析研究,對(duì)保證網(wǎng)絡(luò)的安全運(yùn)行具有重大的意義。

1 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù) (Intrusion Detection System,IDS)是對(duì)入侵行為的發(fā)覺(jué)并保護(hù)自己免受攻擊、為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)[3]。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并通過(guò)分析這些信息來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否異常行為和被攻擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第2道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè),它可以有效地防止和減輕網(wǎng)絡(luò)威脅?；跀?shù)據(jù)挖掘的入侵檢測(cè)特點(diǎn)主要有以下5點(diǎn):①自適應(yīng)性好。這種異常檢測(cè)不如匹配模式,它并不會(huì)對(duì)每一個(gè)特別的信號(hào)進(jìn)行檢測(cè),表現(xiàn)出一定程度的實(shí)時(shí)性。②誤警率低,可以有效地剔除重復(fù)的攻擊數(shù)據(jù)。③減輕數(shù)據(jù)過(guò)載,可以發(fā)掘數(shù)據(jù)之間的關(guān)系,提供各個(gè)不同側(cè)面的數(shù)據(jù)特征,大大減少不必要的數(shù)據(jù)。④檢測(cè)性能和通用性方面具有優(yōu)勢(shì)。⑤實(shí)時(shí)性實(shí)施困難。因?yàn)槭菍?duì)大量的歷史數(shù)據(jù)進(jìn)行處理,且檢測(cè)模型在學(xué)習(xí)和評(píng)價(jià)階段的計(jì)算成本高。

1.1 入侵檢測(cè)模型

IDS發(fā)展雖然比較成熟,但目前還沒(méi)有統(tǒng)一的數(shù)據(jù)模型,DARPA(美國(guó)國(guó)防高級(jí)計(jì)劃研究局)推出的公共入侵檢測(cè)框架 (Common Intrusion Detection Framework)是目前采用較多的結(jié)構(gòu)模型。它將一個(gè)入侵檢測(cè)系統(tǒng)分為4個(gè)部分:事件產(chǎn)生器 (Eventgenerators),用E盒來(lái)表示;事件分析器 (Event analyzers),用A盒來(lái)表示;響應(yīng)單元 (Response units),用 R盒來(lái)表示;事件數(shù)據(jù)庫(kù) (Eventdatabases),用D盒來(lái)表示。入侵檢測(cè)系統(tǒng)模型結(jié)構(gòu)如圖1所示。

圖1 入侵檢測(cè)系統(tǒng)模型結(jié)構(gòu)

E盒通過(guò)傳感器收集事件數(shù)據(jù),并將信息傳送給A盒,A盒檢測(cè)誤用模式;D盒存儲(chǔ)來(lái)自A、E盒的數(shù)據(jù),并為額外的分析提供信息;R盒從A、E盒中提取數(shù)據(jù),D盒啟動(dòng)適當(dāng)?shù)捻憫?yīng)。A、E、D及R盒之間的通信都基于通用入侵檢測(cè)對(duì)象 (generalized Intrusion detection objects,GIDO)和通用入侵規(guī)范語(yǔ)言 (common intrusion specification language,CISL)。如果想在不同種類的A、E、D及 R盒之間實(shí)現(xiàn)互操作,需要對(duì)GIDO實(shí)現(xiàn)標(biāo)準(zhǔn)化并使用CISL。

1.2 入侵檢測(cè)系統(tǒng)分類

目前,入侵檢測(cè)系統(tǒng)主要分為3類:基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)、基于主機(jī)的入侵檢測(cè)系統(tǒng)和混合式入侵檢測(cè)系統(tǒng)。

1)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要是通過(guò)檢測(cè)網(wǎng)絡(luò)數(shù)量流量,監(jiān)聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)包,從中發(fā)現(xiàn)有異常的數(shù)據(jù)包并對(duì)它做出相應(yīng)的報(bào)警提示,如中斷連接、記錄攻擊數(shù)據(jù)、發(fā)出警報(bào)信號(hào)等。

2)基于主機(jī)的入侵檢測(cè)系統(tǒng) 基于主機(jī)的入侵檢測(cè)系統(tǒng)是通過(guò)從被保護(hù)主機(jī)獲取系統(tǒng)內(nèi)部的所有數(shù)據(jù)、日志、系統(tǒng)狀態(tài)、應(yīng)用程序等信息,從中發(fā)現(xiàn)異常行為,并做出相應(yīng)的處理。

3)混合式入侵檢測(cè)系統(tǒng) 混合式入侵檢測(cè)系統(tǒng)將基于主機(jī)的入侵檢測(cè)同基于網(wǎng)絡(luò)的入侵檢測(cè)2類系統(tǒng)結(jié)合起來(lái),保護(hù)整個(gè)網(wǎng)絡(luò)系統(tǒng)。

1.3 入侵檢測(cè)系統(tǒng)存在的問(wèn)題

入侵檢測(cè)系統(tǒng)的誤漏報(bào)率、主動(dòng)防御能力、定位與處理機(jī)制和可擴(kuò)展性是評(píng)價(jià)入侵檢測(cè)系統(tǒng)性能的重要指標(biāo)。由于當(dāng)前的入侵檢測(cè)系統(tǒng)通常是采用統(tǒng)計(jì)分析計(jì)算的方法對(duì)已知的入侵方法和系統(tǒng)穩(wěn)定性進(jìn)行分析,然后根據(jù) “專家的知識(shí)”手工編寫(xiě)相應(yīng)的規(guī)則,并且是針對(duì)具體的系統(tǒng)環(huán)境和檢測(cè)方法,這使得系統(tǒng)的誤漏報(bào)率很高,而且系統(tǒng)在主動(dòng)防御能力、定位和處理機(jī)制方面的能力也有限。

2 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘技術(shù)是從大量的、不完備的數(shù)據(jù)中提取出事先未知的、但具有價(jià)值的信息和知識(shí)的過(guò)程,應(yīng)用于入侵檢測(cè)系統(tǒng)中使得手工和經(jīng)驗(yàn)成分減少了,可以進(jìn)行機(jī)器學(xué)習(xí)和模式擴(kuò)充。數(shù)據(jù)挖掘中有很多的分析算法,其中大部分算法都不是專門解決某個(gè)問(wèn)題而特制的,算法之間也不相互排斥[4]。在這些算法中,有幾種對(duì)于分析網(wǎng)絡(luò)數(shù)據(jù)和檢測(cè)入侵是非常有用的,它們是分類算法、關(guān)聯(lián)規(guī)則算法、序列分析算法、聚類算法等。筆者主要以關(guān)聯(lián)規(guī)則算法建立模型。關(guān)聯(lián)規(guī)則挖掘是數(shù)據(jù)挖掘的一個(gè)很重要的算法,主要用于發(fā)現(xiàn)數(shù)據(jù)集中類與類之間的相互聯(lián)系和相互作用。由于關(guān)聯(lián)規(guī)則形式簡(jiǎn)潔、易于解釋和理解并可以有效地捕捉數(shù)據(jù)之間的重要關(guān)系,從大型數(shù)據(jù)庫(kù)中挖掘關(guān)聯(lián)規(guī)則數(shù)據(jù)己成為數(shù)據(jù)挖掘中最成熟、最重要、最活躍的研究?jī)?nèi)容之一。目前關(guān)聯(lián)規(guī)則挖掘問(wèn)題已經(jīng)在數(shù)據(jù)庫(kù)、人工智能、統(tǒng)計(jì)學(xué)、信息檢索、可視化及信息科學(xué)等諸多領(lǐng)域得到廣泛的應(yīng)用,并取得重大的成果。

3 關(guān)聯(lián)規(guī)則算法和模型

3.1 關(guān)聯(lián)規(guī)則算法

關(guān)聯(lián)規(guī)則算法是數(shù)據(jù)挖掘領(lǐng)域中非常重要算法之一,它是在一組Item和記錄集合中挖掘出Item間的相關(guān)性,使其支持度和置信度分別大于用戶給定的最小支持度和最小置信度。關(guān)聯(lián)規(guī)則的挖掘主要被分解為下面2步:

步1 找出所有的頻繁項(xiàng)集,即找出支持度大于或等于給定的最小支持度閾值的所有項(xiàng)集?？梢詮?到n遞歸查找n-頻繁項(xiàng)集。

步2 由頻繁項(xiàng)集產(chǎn)生強(qiáng)關(guān)聯(lián)規(guī)則,即找出滿足最小支持度和最小置信度的關(guān)聯(lián)規(guī)則。對(duì)給定的L,如果其非空子集A?L,Support(L)為L(zhǎng)的支持度,support(A)為A的支持度,則產(chǎn)生形式為A→L-A的規(guī)則。

3.2 關(guān)聯(lián)規(guī)則模型

關(guān)聯(lián)規(guī)則的基本模型如下:設(shè)U={u1,u2,…,um}為所有項(xiàng)目的集合,D為事務(wù)數(shù)據(jù)庫(kù),事務(wù)T是一個(gè)項(xiàng)目子集合(T?U)。每個(gè)事務(wù)具有惟一的事務(wù)標(biāo)識(shí)Tid。設(shè)A是一個(gè)由項(xiàng)目構(gòu)成的集合,稱其為項(xiàng)集。事務(wù) T包含項(xiàng)集A,當(dāng)且僅當(dāng)A?T。如果項(xiàng)集A中包含k個(gè)項(xiàng)目,則稱其為k項(xiàng)集。項(xiàng)集A在事務(wù)數(shù)據(jù)庫(kù)中D出現(xiàn)的次數(shù)占D中的總事務(wù)的百分比叫做項(xiàng)集的支持度。如果項(xiàng)集的支持度超過(guò)用戶給定的最小支持度閾值,就稱該項(xiàng)集是頻繁項(xiàng)集 (或大項(xiàng)集)。

關(guān)聯(lián)規(guī)則是形如X?Y的邏輯蘊(yùn)含式,其中X?U,Y?U,且X∩Y=Φ。如果事務(wù)數(shù)據(jù)庫(kù)D有d%的事務(wù)包含X∪Y,則稱關(guān)聯(lián)規(guī)則X?Y的支持度為d%,實(shí)際上,支持度是一個(gè)概率值。若項(xiàng)集X的支持度記為support(X),規(guī)則的信任度為support(X∪Y)/support(X)。這是一個(gè)條件概率P(Y|X)。也就是support(X?Y)/P(Y|X),confidence(X?Y)=P(Y|X)。

4 入侵檢測(cè)系統(tǒng)模型建立

利用數(shù)據(jù)挖掘的關(guān)聯(lián)規(guī)則算法可以發(fā)現(xiàn)程序的執(zhí)行和用戶活動(dòng)反映系統(tǒng)特征之間的關(guān)聯(lián),如數(shù)據(jù)庫(kù)管理員經(jīng)常修改數(shù)據(jù)庫(kù)等。因此,從歷史行為中挖掘出的模式顯示用戶行為的統(tǒng)計(jì)特性,將這些模式添加到入侵模式數(shù)據(jù)庫(kù)中,并將當(dāng)前用戶行為與歷史統(tǒng)計(jì)特性比較,與安全策略矛盾的行為即為入侵行為。數(shù)據(jù)挖掘入侵檢測(cè)過(guò)程如圖2所示,該模型 (見(jiàn)圖3)采用關(guān)聯(lián)規(guī)則挖掘技術(shù)。關(guān)聯(lián)規(guī)則挖掘技術(shù)步驟如下:

1)預(yù)先確定初始最小支持度和最小置信度閾值;

2)找出滿足最小支持度和最小置信度閾值的頻繁項(xiàng)集,可用Apriori算法;

3)由頻繁項(xiàng)集,生成關(guān)聯(lián)規(guī)則;

4)剔除無(wú)用規(guī)則,建立入侵分類模型;

5)將新生成的規(guī)則按判定樹(shù)的方法插入規(guī)則庫(kù)。

圖2 數(shù)據(jù)挖掘入侵檢測(cè)過(guò)程

圖3 數(shù)據(jù)挖掘入侵檢測(cè)模型

5 實(shí)例分析與應(yīng)用

5.1 模型應(yīng)用

在數(shù)據(jù)挖掘之前,首先需要對(duì)數(shù)據(jù)進(jìn)行聚焦。數(shù)據(jù)挖掘通常只涉及數(shù)據(jù)庫(kù)的一部分,選擇相關(guān)的數(shù)據(jù)集將使得數(shù)據(jù)挖掘更有效。在入侵檢測(cè)的數(shù)據(jù)記入數(shù)據(jù)庫(kù)之后,系統(tǒng)將匯集與挖掘任務(wù)相關(guān)的數(shù)據(jù),并將這些數(shù)據(jù)插入到初始關(guān)系表中,初始關(guān)系表中記錄的是與挖掘任務(wù)相關(guān)的數(shù)據(jù),該應(yīng)用數(shù)據(jù)主要分布在用戶表中數(shù)據(jù)挖掘得到關(guān)聯(lián)規(guī)則:

規(guī)則分析用戶LIU在上午登錄主機(jī)70.212.9.108的置信度為80%,登錄是地址為=70.212.9.80的置信度為55%。數(shù)據(jù)庫(kù)用戶如表1所示。

表1 用戶表

5.2 結(jié)果分類分析

分類是數(shù)據(jù)挖掘中應(yīng)用最廣泛、最重要的一種方法,是在已有數(shù)據(jù)的基礎(chǔ)上設(shè)計(jì)一個(gè)分類函數(shù)或者建立一個(gè)分類模型。該函數(shù)或模型能夠把數(shù)據(jù)庫(kù)中的數(shù)據(jù)記錄按照某種規(guī)則映射到某一個(gè)給定類別中,從而進(jìn)行數(shù)據(jù)分析和判斷。用材林關(guān)聯(lián)分析算法得到用戶的正常和異常的數(shù)據(jù),用分類算法計(jì)算出新的規(guī)則集,并判斷新的數(shù)據(jù)屬于正常還是異常行為。入侵檢測(cè)系統(tǒng)的關(guān)鍵特征是選擇系統(tǒng)屬性。例如,在關(guān)聯(lián)規(guī)則算法中,如果用戶下午登錄主機(jī)70.212.9.108次數(shù)的比例超過(guò)了上午正常登錄的次數(shù),將其行為認(rèn)為異常行為,并通過(guò)類別標(biāo)記,對(duì)于其他的用戶行為,可以得到不同的類別標(biāo)記,對(duì)每個(gè)類別做出準(zhǔn)確描述,挖掘分類規(guī)則,然后用分類規(guī)則對(duì)其他具有相同屬性特征的記錄進(jìn)行分類。

6 結(jié) 語(yǔ)

隨著網(wǎng)絡(luò)的進(jìn)一步發(fā)展以及黑客攻擊手段的多樣化,網(wǎng)絡(luò)安全問(wèn)題日益突出,入侵檢測(cè)技術(shù)作為保護(hù)計(jì)算機(jī)系統(tǒng)安全的重要組成部分將得到越來(lái)越多人們的關(guān)注和重視,并已經(jīng)開(kāi)始在各種不同網(wǎng)絡(luò)環(huán)境中得到應(yīng)用。入侵檢測(cè)技術(shù)的發(fā)展將對(duì)網(wǎng)絡(luò)安全具有重要意義。入侵檢測(cè)技術(shù)的未來(lái)發(fā)展方向?qū)⒅饕侵悄艿姆植际饺肭謾z測(cè),研究和開(kāi)發(fā)自主知識(shí)產(chǎn)權(quán)的入侵檢測(cè)系統(tǒng)將成為我國(guó)信息安全領(lǐng)域的重要課題。

[1]齊建東,陶蘭,孫總參.數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用,2004,40(6):158～161.

[2]胡衛(wèi),張昌宏,吳曉平.校園網(wǎng)安全防火墻設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)與數(shù)字工程,2007,35(1):103～105.

[3]楊向榮,宋擒豹,沈鈞毅.入侵檢測(cè)技術(shù)研究與系統(tǒng)設(shè)計(jì) [J].計(jì)算機(jī)工程與應(yīng)用,2001,(16):1～4.

[4]夏煜,郎榮玲,戴冠中.入侵檢測(cè)系統(tǒng)的智能檢測(cè)技術(shù)研究綜述 [J].計(jì)算機(jī)工程與應(yīng)用,2001,(24):32～34.