張辰，孟少卿，鹿凱寧

（天津大學(xué) 電子信息工程學(xué)院，天津 300072）

基于信息系統(tǒng)的計算機已經(jīng)成為人們生活的重要部分。用戶的計算機連接到了互聯(lián)網(wǎng)上，這就增大了其他人安裝惡意軟件并在互聯(lián)網(wǎng)上通過遠程控制使用這些軟件來攻擊其他計算機的危險。計算機安全是指保護計算機系統(tǒng)及其資源的機密性、完整性、可用性。人們用了許多協(xié)議和防火墻來抵御網(wǎng)絡(luò)威脅。如果計算機系統(tǒng)能夠保護它的數(shù)據(jù)和資源抵御非法訪問、修改和拒絕訪問，即可稱它為安全的。

目前，通過數(shù)據(jù)挖掘技術(shù)進行的入侵檢測很常見。應(yīng)用數(shù)據(jù)挖掘中的一些算法，如序列式模式分析、關(guān)聯(lián)分析等來提取相關(guān)的訪客行為特征，并根據(jù)這些特征生成安全事件的分類模型，應(yīng)用于安全事件的自動鑒別。一個完整的基于數(shù)據(jù)挖掘的入侵檢測模型要包括對審計數(shù)據(jù)的采集、數(shù)據(jù)預(yù)處理、特征變量選取、算法比較、挖掘結(jié)果處理等一系列過程。這種基于數(shù)據(jù)挖掘技術(shù)的入侵檢測有兩方面技術(shù)難點：第一點是如何根據(jù)實際應(yīng)用的需求萃取出可以有效地反映系統(tǒng)特性的特征屬性，以便于應(yīng)用合適的算法來進行數(shù)據(jù)挖掘。第二點在于如何將挖掘結(jié)果自動地應(yīng)用到實際的IDS中[1]。隨著蜜罐技術(shù)的出現(xiàn)和快速發(fā)展，及IDS技術(shù)和數(shù)據(jù)挖掘結(jié)合的安全系統(tǒng)的出現(xiàn)，把前者融入到后者體系中去的需求越來越明顯了。

1 相關(guān)技術(shù)介紹

1.1 入侵檢測系統(tǒng)

入侵是企圖破壞計算機平臺上資源的完整性、機密性、可用性的一系列行為。入侵檢測系統(tǒng)（IDS）是用于在網(wǎng)絡(luò)中檢測入侵行為的軟硬件的結(jié)合。入侵檢測系統(tǒng)可以檢測所有網(wǎng)絡(luò)行為，因此可以發(fā)現(xiàn)入侵行為的征兆。入侵檢測系統(tǒng)的主要目標(biāo)是警告系統(tǒng)管理員任何可疑行為。目前存在兩種入侵檢測系統(tǒng)。

1）異常檢測 根據(jù)與正常行為的偏差檢測出惡意行為，進而認(rèn)定為攻擊。雖然這種方式能檢測出未知入侵，但是誤報率較高。

2）特征檢測 它是入侵檢測基于一個惡意行為的模式，它對已知的攻擊模式很有幫助，并且誤報率很低。與異常檢測相比特征檢測的一個缺點是，它只能檢測到包含已知攻擊模式的入侵檢測。

入侵檢測系統(tǒng)需要了解攻擊的特性，但不能檢測到未知的威脅。而蜜罐系統(tǒng)能夠檢測未知的攻擊，同時還可以了解系統(tǒng)漏洞。

1.2 蜜罐技術(shù)

蜜罐是一個被嚴(yán)密監(jiān)控的計算機資源，希望被探測、攻擊或者攻陷。更準(zhǔn)確的描述是，蜜罐是“一個信息系統(tǒng)資源，其價值在于未經(jīng)授權(quán)或非法使用該資源”。一個蜜罐的價值可以從它獲得的信息來衡量，通過檢測進出蜜罐的數(shù)據(jù)來收集NIDS無法獲得的信息，通過觀察離開蜜罐的網(wǎng)絡(luò)流量，可以檢測到漏洞威脅，即使是使用從未見過的漏洞利用方法[2]。設(shè)置一個專門構(gòu)造的蜜罐系統(tǒng)來引誘入侵者，記錄其如何攻入系統(tǒng)，以及攻擊目的、所用工具等以獲取有用的信息。在蜜罐中常會故意放置一些黑客企圖獲取的信息，以此吸引入侵者攻陷蜜罐系統(tǒng)，攻擊者在蜜罐中停留的時間越長，暴露的攻擊手段和技術(shù)就越多，網(wǎng)絡(luò)管理員就可以獲取更多的入侵者的有用信息，這樣可以發(fā)現(xiàn)系統(tǒng)更多的安全隱患，允許網(wǎng)絡(luò)安全人員采取相應(yīng)的措施來增強系統(tǒng)和網(wǎng)絡(luò)的安全性。

根據(jù)服務(wù)配置的不同，蜜罐可以分為高交互蜜罐和低交互蜜罐。

1）高交互蜜罐 提供給入侵者一個完全可交互的系統(tǒng)，它不模擬任何服務(wù)、功能或基礎(chǔ)操作系統(tǒng)，提供真實的系統(tǒng)服務(wù)。因此，入侵者能夠完全攻陷并控制它，這有助于網(wǎng)絡(luò)管理員了解更多的有關(guān)入侵者所用的工具、手段和動機，加深對攻擊者的了解。

2）低交互蜜罐 模擬物理機器的有限功能，例如，服務(wù)、網(wǎng)絡(luò)和堆棧等。允許入侵者與其在特定范圍內(nèi)進行有限的交互，有助于掌握系統(tǒng)攻擊的定量信息。

1.3 數(shù)據(jù)挖掘技術(shù)

從大量數(shù)據(jù)中提取有用信息的過程被稱為數(shù)據(jù)挖掘。數(shù)據(jù)挖掘分析已得到的大量數(shù)據(jù)，探索它們之間的未知關(guān)系，總結(jié)數(shù)據(jù)分析的結(jié)果，并以易理解的方式展示給數(shù)據(jù)所有者。因此數(shù)據(jù)挖掘問題也被看作是數(shù)據(jù)分析問題。數(shù)據(jù)挖掘技術(shù)可以在大量數(shù)據(jù)中檢測模式，并用這些模式捕捉大量的異常。

數(shù)據(jù)挖掘是以應(yīng)用為目的的，它被頻繁地應(yīng)用于各種領(lǐng)域中，用于從大型數(shù)據(jù)庫中發(fā)現(xiàn)明確的有用的東西，從數(shù)據(jù)中發(fā)現(xiàn)隱含的未知的規(guī)律。

針對以上情況，本文設(shè)計了一種基于數(shù)據(jù)挖掘和蜜罐技術(shù)的入侵檢測系統(tǒng)。在這個系統(tǒng)中，蜜罐技術(shù)通過真實的網(wǎng)絡(luò)資源為誘餌，吸引攻擊者的入侵行為，入侵行為發(fā)生后，在蜜罐環(huán)境下，入侵者將會被監(jiān)視和控制，此時，系統(tǒng)運用數(shù)據(jù)挖掘技術(shù)收集攻擊行為的信息，并進行分析，產(chǎn)生模式或規(guī)律，并以此進行趨勢分析、攻擊預(yù)測等，以便于發(fā)現(xiàn)攻擊行為的特征和規(guī)律。之后將獲取的檢測規(guī)則存入IDS的規(guī)則庫，供未來的檢測使用。因此，它提高了IDS的檢測能力，尤其是檢測未知攻擊的能力。

2 基于蜜罐的入侵檢測系統(tǒng)

傳統(tǒng)的入侵檢測系統(tǒng)不能檢測到未知的攻擊，因此存在漏報和誤報。而蜜罐系統(tǒng)最大的優(yōu)勢就是可以檢測到未知的攻擊。通過捕獲黑客與蜜罐的交互行為，可以分析出未知的入侵方式、攻擊工具等，克服傳統(tǒng)入侵檢測系統(tǒng)的不足，有利于及時發(fā)現(xiàn)系統(tǒng)漏洞。將這兩種技術(shù)結(jié)合，提出一種新的網(wǎng)絡(luò)安全解決方案，該方案既可以通過入侵檢測系統(tǒng)捕獲已知攻擊特征的入侵行為，又可以使用蜜罐系統(tǒng)采集攻擊者新的攻擊手段、工具等，從而全面捕獲入侵者的攻擊行為，更有效的保護網(wǎng)絡(luò)安全?；诿酃薜娜肭謾z測系統(tǒng)設(shè)計如圖1所示。

圖1 基于蜜罐系統(tǒng)的入侵檢測系統(tǒng)結(jié)構(gòu)圖Fig.1 System structure of intrusion detection based on Honeypot system

在這個系統(tǒng)中，可以包含多個蜜罐主機。關(guān)鍵部件是被稱為HoneyWall的蜜網(wǎng)網(wǎng)關(guān)，它是蜜網(wǎng)與其它網(wǎng)絡(luò)的惟一連接點，包含3個網(wǎng)卡，網(wǎng)絡(luò)接口eth0連接蜜網(wǎng)，網(wǎng)絡(luò)接口eth1配置了一個安全的內(nèi)部網(wǎng)絡(luò)地址，它轉(zhuǎn)發(fā)出入蜜罐系統(tǒng)的網(wǎng)絡(luò)包和系統(tǒng)日志進入到一個單獨的機器，這個機器作為日志及管理控制中心，網(wǎng)絡(luò)接口eth2則連接內(nèi)網(wǎng)。日志及管理控制服務(wù)器安裝有監(jiān)控管理模塊，它負責(zé)提取新的攻擊模式，并和NIDS控制臺進行通信，更新NIDS的入侵規(guī)則庫。它有3個主要任務(wù)，1）管理IDS模塊，Honeypot模塊和數(shù)據(jù)挖掘模塊，使它們協(xié)調(diào)工作；2）顯示IDS和Honeypot發(fā)送過來的警報消息；3）根據(jù)安全策略進行一系列的響應(yīng)動作來阻止非法行為以確保網(wǎng)絡(luò)安全[3]。

3 數(shù)據(jù)挖掘技術(shù)在蜜罐中的應(yīng)用

由于蜜罐只收集少量但極具價值的數(shù)據(jù)。正常情況下，蜜罐對網(wǎng)絡(luò)內(nèi)其他系統(tǒng)不提供任何服務(wù)，因此，所有與蜜罐系統(tǒng)的連接或探測都可視為對蜜罐系統(tǒng)的掃描或攻擊。這樣，就可以把所有流入蜜罐系統(tǒng)的網(wǎng)絡(luò)流量當(dāng)作惡意信息處理，而流出的流量是威脅更大的信息。因為只有當(dāng)入侵者攻陷蜜罐后，利用蜜罐訪問外部網(wǎng)絡(luò)時才會出現(xiàn)流出的數(shù)據(jù)。對蜜罐系統(tǒng)收集的數(shù)據(jù)采用數(shù)據(jù)挖掘方面分析是提高分析效率的一種有效途徑。由于數(shù)據(jù)挖掘技術(shù)是一項通用的知識發(fā)現(xiàn)技術(shù)，所以可以采用數(shù)據(jù)挖掘的方法對蜜罐收集的數(shù)據(jù)進行分析，利用得到的模式或規(guī)律，還可以進行趨勢分析、攻擊預(yù)測，以便于發(fā)現(xiàn)攻擊行為的特征和規(guī)律。

對于蜜罐系統(tǒng)收集的信息，不論是系統(tǒng)中用戶的命令行輸入，還是其他任意的離散事件流，比如GUI事件、網(wǎng)絡(luò)數(shù)據(jù)包傳輸、系統(tǒng)調(diào)用跟蹤等，這些數(shù)據(jù)之間是存在聯(lián)系的，都可以看作是事件的序列集合。通常，系統(tǒng)或用戶的正常行為會有一定的規(guī)律，而攻擊者發(fā)起的攻擊過程也都是有前后關(guān)系的，例如，在攻擊者真正實施攻擊時，要先對目的系統(tǒng)的開放端口進行掃描，然后實施具體的攻擊動作。要對蜜罐系統(tǒng)收集的信息進行分析，只憑孤立的事件對攻擊者的攻擊行為進行判斷是很困難的，這就需要把攻擊者的行為聯(lián)系起來，當(dāng)作一個整體進行分析[4]。

文中采用先關(guān)聯(lián)規(guī)則挖掘、再序列模式挖掘的數(shù)據(jù)挖掘方法對審計數(shù)據(jù)進行挖掘。關(guān)聯(lián)規(guī)則挖掘的目的是發(fā)現(xiàn)大量數(shù)據(jù)項之間的關(guān)聯(lián)性。序列模式與關(guān)聯(lián)模式相仿，只不過把數(shù)據(jù)之間的關(guān)聯(lián)性與時間聯(lián)系起來。利用序列模式挖掘可以發(fā)現(xiàn)不同數(shù)據(jù)記錄之間的基于時間先后的相關(guān)性。

3.1 關(guān)聯(lián)規(guī)則挖掘數(shù)據(jù)相關(guān)性

在數(shù)據(jù)挖掘研究領(lǐng)域，對于關(guān)聯(lián)規(guī)則算法的研究開展得比較深入，人們提出了多種關(guān)聯(lián)規(guī)則的挖掘算法，如Apriori、STERM、AIS、DHP算法等。本文使用關(guān)聯(lián)規(guī)則中的Apriori算法。

Apriori算法是一種最有影響力的挖掘產(chǎn)生布爾關(guān)聯(lián)規(guī)則所需頻繁項集的基本算法。Apriori算法就是根據(jù)有關(guān)頻繁項集特性的先驗知識（prior knowledge）而命名的。該算法利用了大項目集性質(zhì)。用偽代碼[5]將其描述如下：

L1=find_frequent_1-itemset（D）；

for（k=2； Lk-1≠；k++）{

Ck==apriori_gen（Lk-1，min_sup）；

For each customer-sequence t∈D{ //掃描D對項集計數(shù)

Ct=subset（Ck，t）； //取得候選集的子集

For each candidate C∈Ct

c.count++；

}

Lk={c∈Ck|c.count>=min_sup}

}

return Answer=UkLk；

function apriori_gen（Lk-1；min_sup）

For each itemset l1∈Lk-1

For each itemset l2∈Lk-1

If（l1[1]=l2[1]） （l1[1]=l2[2]） … （l1[k-2]=l2[k-2]） （ l1[k-1]=l2[k-1]）

Then{

C=l1；l2//連接產(chǎn)生候選集

If has_infrequent_subset（c， Lk-1） then

Delete C；//剪枝刪除非頻繁項集

else add c to Ck；

}

return；

function has_infrequent_subset（c； ）

for each（k-1）-subset s of c

if s∈Lk-1then return TRUE；

return FALSE；

注：所有算法表示中，代表所有k-序列組成的集合，代表候選k-序列組成的集合。

找到頻繁項集后，就可以產(chǎn)生強關(guān)聯(lián)規(guī)則。

3.2 序列模式挖掘數(shù)據(jù)時序性

在時序和序列數(shù)據(jù)庫中存放的數(shù)據(jù)具有時間上的先后關(guān)系，對這些數(shù)據(jù)可以進行序列模式挖掘、趨勢分析、相似性搜索、周期模式挖掘等。本文對序列數(shù)據(jù)庫進行挖掘的主要目的是找出序列記錄之間的聯(lián)系，發(fā)現(xiàn)攻擊模式和攻擊序列，所以主要針對序列模式挖掘進行說明。

序列模式挖掘[6]是指挖掘相對時間出現(xiàn)頻率高的模式，也就是從序列組成的數(shù)據(jù)庫（sequence database）中找出出現(xiàn)頻繁的子序列（sub—sequences），它是一項重要的數(shù)據(jù)挖掘任務(wù)。近年來序列模式挖掘已經(jīng)成為數(shù)據(jù)挖掘的一個重要方面，其應(yīng)用范圍也不局限于數(shù)據(jù)庫，在DNA分析等尖端科學(xué)研究領(lǐng)域、Web訪問等新型應(yīng)用數(shù)據(jù)源等眾多方面都有針對性研究。

AprioriAll算法源于頻繁集算法Apriori，它把Apriori的基本思想擴展到序列挖掘中，也是一個多遍掃描數(shù)據(jù)庫的算法。在每一遍掃描中都利用前一遍的大序列來產(chǎn)生候選序列，然后在完成對整個數(shù)據(jù)庫的遍歷后測試它們的支持度。在第一遍掃描中，利用大項集階段的輸出來初始化大小序列的集合。在每次遍歷中，從一個由大序列組成的種子集開始，利用這個種子集，可以產(chǎn)生新的潛在的大序列。在第一次遍歷前，所有在大項集階段得到的大小序列組成了種子集[7]。用偽代碼[8]將其描述如下：

L1={large 1-sequences}；//大項集階段得到的結(jié)果

For（k=2；Lk-1≠；k++） DO BEGIN

Ck=aprioriALL-generate（Lk-1）

For each customer—sequence c in DT DO//對于在數(shù)據(jù)庫中的每一個顧客序列c

Sum the count of all candidates in Ckthat are contained in C//對包含于C中Ck內(nèi)的所有候選者計數(shù)

Lk=Candidates in Ckwith minimum support； //Lk=Ck中滿足最小支持度的候選者

END

Answer=Maximal Sequences in UkLk；

3.3 關(guān)聯(lián)規(guī)則挖掘與序列模式挖掘相結(jié)合

文中關(guān)聯(lián)規(guī)則挖掘和序列模式挖掘算法的目的是挖掘數(shù)據(jù)倉庫中存放的攻擊信息記錄，尋找記錄中的關(guān)聯(lián)模式和序列模式，從而提取和發(fā)現(xiàn)有價值的攻擊模式和攻擊方法。

利用算法挖掘?qū)徲嬘涗浀倪^程為：尋找審計記錄內(nèi)的大項集采用關(guān)聯(lián)規(guī)則Apriori算法；尋找審計記錄間的大項集序列采用序列模式AprioriAll算法進行挖掘。進行關(guān)聯(lián)規(guī)則挖掘結(jié)果下的序列模式再挖掘有如下幾步工作：首先要把數(shù)據(jù)庫按時間段進行劃分，然后在每個被劃分的段中進行關(guān)聯(lián)規(guī)則的挖掘，對挖掘出來的結(jié)果進行整理并生成新的數(shù)據(jù)庫，最后對新的數(shù)據(jù)庫進行序列模式挖掘。

4 基于數(shù)據(jù)挖掘和蜜罐的新型入侵檢測系統(tǒng)

蜜罐系統(tǒng)和入侵檢測系統(tǒng)在優(yōu)缺點上有著互補性。本文設(shè)計的新型入侵檢測系統(tǒng)結(jié)合兩者的優(yōu)勢，當(dāng)出現(xiàn)未知的攻擊時，則調(diào)用數(shù)據(jù)挖掘模塊，生成新的入侵檢測規(guī)則。這樣更有效的提高系統(tǒng)的檢測性從而增強系統(tǒng)的安全性。

基于主機的IDS過濾日志、分析日志、使用它自己的嚴(yán)重性級別系統(tǒng)來給異常消息標(biāo)簽[9]。基于網(wǎng)絡(luò)的IDS在路由器或主機級別掃描分組、審查分組、并且把可疑的記錄在一個特殊的文件中詳細的記錄下來。然后根據(jù)網(wǎng)絡(luò)攻擊特征數(shù)據(jù)庫，為每個分組指定嚴(yán)重級別。對于已知的攻擊，根據(jù)攻擊類型與總控模塊通信，由總控模塊做出響應(yīng)。

系統(tǒng)框架模型如圖2所示。

圖2 新型入侵檢測系統(tǒng)模型圖Fig.2 System model of new IDS

當(dāng)蜜罐被進入的時候．即為惡意入侵或者是入侵的前奏。若是已知的攻擊，則控制器會做出響應(yīng)。如果是未知的攻擊，系統(tǒng)并不知道其入侵模式，這就需要最大限度的拖延攻擊的入侵速度。蜜罐主機與未知的攻擊建立起TCP會話，并把會話的接受窗口大小始終保持為0[10]。這樣就能夠把攻擊阻擋在蜜罐中，為數(shù)據(jù)挖掘爭取更多的時間。當(dāng)面對未知的攻擊時，調(diào)用數(shù)據(jù)挖掘模塊。綜合利用分類、序列分析、關(guān)聯(lián)規(guī)則等各種數(shù)據(jù)挖掘方法。分析經(jīng)過預(yù)處理的數(shù)據(jù)，發(fā)現(xiàn)事件之間的時間和空間關(guān)系，從中提取相關(guān)的特征和規(guī)則。在此基礎(chǔ)上對行為集進行數(shù)據(jù)挖掘，根據(jù)給定的信任度和支持度，找出一些攻擊的行為模式，建立異常模式，并存入IDS的規(guī)則庫中，從而實現(xiàn)對新型攻擊的有效抵御。

5 結(jié)束語

文中介紹了入侵檢測系統(tǒng)、蜜罐技術(shù)、數(shù)據(jù)挖掘技術(shù)的相關(guān)概念。通過分析入侵檢測系統(tǒng)和蜜罐系統(tǒng)的優(yōu)缺點，提出將兩者結(jié)合的方案，并將數(shù)據(jù)挖掘技術(shù)融入結(jié)合后的蜜罐模塊中，使用先關(guān)聯(lián)規(guī)則挖掘，后序列模式挖掘的方法，發(fā)現(xiàn)規(guī)則、模式等信息，并將其加入入侵檢測的規(guī)則庫，以便以后使用。與傳統(tǒng)入侵檢測系統(tǒng)相比，基于蜜罐和數(shù)據(jù)挖掘技術(shù)的新型入侵檢測系統(tǒng)完善了功能，提高了保護系統(tǒng)安全的能力。

[1]Denatious D K，John A.Survey on data mining techniques to enhance intrusion detection[J]．ICCC，2012（1）:1-5.

[2]Provos N，Holz T．虛擬蜜罐從僵尸網(wǎng)絡(luò)追蹤到入侵檢測[M].張浩軍，李景峰，等譯.北京：中國水利水電出版社，2011.

[3]夏磊，蔣建中，高志吳．入侵誘騙、入侵檢測、入侵響應(yīng)三位一體的網(wǎng)絡(luò)安全新機制[J]．計算機應(yīng)用與軟件，2007，24（4）：171-173．XIA Lei，JIANG Jian-zhong，Gao Zhi-wu.A new network security mechanism which containing honeypot IDS and intrusion response system[J].ComputerApplication and Software，2007，24（4）:171-173.

[4]鄭君杰，肖軍模．基于Honeypot技術(shù)的網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].電子科技大學(xué)學(xué)報，2007，36（2）：257-259.ZHENG Jun-jie，XIAO Jun-mo.Network intrusion detection system based on honeypot[J].Journal of University of Electronic Science and Technology of China，2007，36 （2）:257-259.

[5]姜染石.在蜜罐中應(yīng)用數(shù)據(jù)挖掘技術(shù)[D].長春：長春工業(yè)大學(xué)，2007.

[6]序列挖掘模式.[EB/OL].（2012-04-24）http://site.douban.com/widget/notes/108962/note/88480888.

[7]王金磊．?dāng)?shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用[D].鄭州：鄭州大學(xué)，2005.

[8]馮萍，孫偉，姚艷秋．一種基于數(shù)據(jù)挖掘的入侵檢測方法[J]．長春師范學(xué)院學(xué)報：自然科學(xué)版，2009，28（5）：30-32.FENG Ping，SUN Wei，YAO Yan-qiu.An intrusion detection method based on data mining[J].Journal of Changchun Normal University:Natural Science，2009，28（5）:30-32.

[9]翟光群，陳向東，胡貴江，等．蜜罐與入侵檢測技術(shù)聯(lián)動系統(tǒng)的研究與設(shè)計[J]．計算機工程與設(shè)計，2009，30（21）：45-47.ZHAI Guang-qun，CHEN Xiang-dong，HU Gui-jiang，et al.Research and design on linkage system of honeypot and intrusion detected technology[J].Computer Engineering and Design，2009，30（21）:45-47.

[10]潘立武．基于IDS和DM的Honeypot系統(tǒng)的設(shè)計[J]．北京聯(lián)合大學(xué)學(xué)報，2010，24（1）：42-45.PAN Li-wu.A design of honeypot system based on IDS and DM[J].Journal of Beijing Union University，2010，24（1）:42-45.