【摘 要】計(jì)算機(jī)安全問題的日益突出，對(duì)入侵檢測系統(tǒng)提出了更高的要求。本文探討了基于數(shù)據(jù)挖掘的數(shù)據(jù)庫入侵檢測系統(tǒng)，對(duì)數(shù)據(jù)庫內(nèi)數(shù)據(jù)的入侵行為的進(jìn)行快速的識(shí)別，提高入侵檢測系統(tǒng)規(guī)則挖掘速度。

【關(guān)鍵詞】入侵檢測 數(shù)據(jù)挖掘 異常檢測

一、數(shù)據(jù)挖掘定義

數(shù)據(jù)挖掘的定義就是從大量的、真實(shí)的、模糊的、含有噪聲的、不完全的、隨機(jī)的數(shù)據(jù)源中，提取出新穎的、有用的隱含在其中不為人們所知的知識(shí)或信息的過程。根據(jù)需要，在數(shù)據(jù)集中挖掘發(fā)現(xiàn)用戶感興趣的知識(shí)；被發(fā)現(xiàn)的知識(shí)要具有可接受、可理解、可運(yùn)用的特點(diǎn)。數(shù)據(jù)挖掘由數(shù)據(jù)準(zhǔn)備、數(shù)據(jù)挖掘，以及結(jié)果的解釋評(píng)估三部分組成。

二、入侵檢測技術(shù)

入侵檢測是一種新興的信息保護(hù)技術(shù)，該技術(shù)可彌補(bǔ)已有安全保護(hù)技術(shù)的缺點(diǎn)，實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的安全保護(hù)。目前把數(shù)據(jù)挖掘技術(shù)引入到入侵檢測中去，利用數(shù)據(jù)挖掘技術(shù)，對(duì)行為規(guī)則進(jìn)行高效的挖掘，建立相應(yīng)的規(guī)則庫，并實(shí)現(xiàn)規(guī)則庫的自動(dòng)、有效地更新?；跀?shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)可以更加高效在進(jìn)行入侵檢測。其數(shù)據(jù)挖掘入侵檢測模型如圖1所示。其工作流程步驟：首先，對(duì)原始的用戶行為數(shù)據(jù)進(jìn)行收集，建立原始數(shù)據(jù)信息集，在此基礎(chǔ)上對(duì)數(shù)據(jù)進(jìn)行分析、挖掘出行為規(guī)則，使用分類算法進(jìn)行規(guī)則挖掘，構(gòu)建異常檢測規(guī)則庫和濫用檢測規(guī)則庫，然后使用數(shù)據(jù)挖掘算法對(duì)入侵?jǐn)?shù)據(jù)集進(jìn)行挖掘，構(gòu)建一個(gè)入侵?jǐn)?shù)據(jù)的特征模型，并及時(shí)地更新已有規(guī)則模型。

三、系統(tǒng)設(shè)計(jì)

（一）設(shè)計(jì)思想。在數(shù)據(jù)庫安全中，就是為了保護(hù)數(shù)據(jù)庫中的數(shù)據(jù)，防止非法用戶對(duì)數(shù)據(jù)非法存取或惡意破壞。確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限，同時(shí)令所有未被授權(quán)的人員無法接近數(shù)據(jù)，這主要是通過數(shù)據(jù)庫系統(tǒng)的存取機(jī)制實(shí)現(xiàn)。為了對(duì)入侵行為進(jìn)行有效檢測，利用數(shù)據(jù)挖掘，數(shù)據(jù)挖掘的原理就是從大量數(shù)據(jù)中高效地抽取出感興趣規(guī)則的技術(shù)。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測系統(tǒng)中，建立數(shù)據(jù)庫的入侵檢測系統(tǒng)，通過數(shù)據(jù)挖掘技術(shù)對(duì)大量的數(shù)據(jù)庫審計(jì)數(shù)據(jù)進(jìn)行挖掘，根據(jù)當(dāng)前數(shù)據(jù)庫中數(shù)據(jù)用戶的行為規(guī)律，通過對(duì)數(shù)據(jù)用戶的行為規(guī)律進(jìn)行挖掘，從中提取出特征，可以獲得數(shù)據(jù)用戶的正常行為模式和濫用行為模式，分別生成異常檢測規(guī)則庫和濫用檢測規(guī)則庫，以挖掘出正常行為輪廓和攻擊模式來建立和評(píng)價(jià)入侵檢測系統(tǒng)。然后對(duì)數(shù)據(jù)庫審計(jì)數(shù)據(jù)分別進(jìn)行異常檢測與濫用檢測，經(jīng)過檢測，當(dāng)前獲取的可疑審計(jì)數(shù)據(jù)就可以被劃分為：正常數(shù)據(jù)、異常數(shù)據(jù)以及可疑數(shù)據(jù)。為入侵檢測提供數(shù)據(jù)依據(jù)，以此來判別審計(jì)數(shù)據(jù)是否存在入侵行為。因此，本系統(tǒng)入侵檢測過程：一是建立數(shù)據(jù)庫用戶的行為模式規(guī)則庫，二是對(duì)當(dāng)前的數(shù)據(jù)庫審計(jì)數(shù)據(jù)進(jìn)行檢測，看是否產(chǎn)生入侵?；跀?shù)據(jù)挖掘的數(shù)據(jù)庫入侵檢測系統(tǒng)，在適應(yīng)性、有效性、擴(kuò)展性方面都有所提高。

（二）系統(tǒng)設(shè)計(jì)。本文設(shè)計(jì)的基于數(shù)據(jù)挖掘的數(shù)據(jù)庫入侵檢測系統(tǒng)由數(shù)據(jù)預(yù)處理模塊、規(guī)則生成模塊、入侵檢測模塊和響應(yīng)模塊四大的模塊組成，是將數(shù)據(jù)挖掘技術(shù)、濫用檢測技術(shù)和異常檢測技術(shù)相結(jié)合，應(yīng)用Apriori算法對(duì)入侵檢測系統(tǒng)進(jìn)行規(guī)則挖掘，從大量的審計(jì)數(shù)據(jù)中挖掘出相關(guān)規(guī)則，構(gòu)建相應(yīng)的規(guī)則庫，為入侵檢測提供數(shù)據(jù)依據(jù)，以判別其是否存在入侵行為，并作出相應(yīng)的響應(yīng)，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫進(jìn)行非法入侵行為檢測。

1.數(shù)據(jù)預(yù)處理模塊和規(guī)則挖掘模塊。數(shù)據(jù)采集主要是收集用戶歷史行為數(shù)據(jù)進(jìn)行特征提取，用于構(gòu)造入侵行為模式規(guī)則庫，將收集到的數(shù)據(jù)進(jìn)行集成與預(yù)處理。由于入侵檢測系統(tǒng)開始獲得的是正常的原始審計(jì)數(shù)據(jù)，數(shù)據(jù)類型為多值型，而Apriori 算法無法直接處理多值型數(shù)據(jù)。需要對(duì)原始審計(jì)數(shù)據(jù)經(jīng)過數(shù)據(jù)預(yù)處理，將其轉(zhuǎn)換為布爾型數(shù)據(jù)，才能進(jìn)行數(shù)據(jù)挖掘，挖掘形成相應(yīng)規(guī)則，獲得原始規(guī)則庫，并且當(dāng)有新的規(guī)則出現(xiàn)的時(shí)候，規(guī)則庫可以及時(shí)地更新，將新的規(guī)則添加到規(guī)則庫中。由于同一個(gè)連接通常包含著許多審計(jì)記錄，我們可以將這些屬于同一會(huì)話的審計(jì)記錄合并到同一個(gè)連接中。

2.入侵檢測模塊。數(shù)據(jù)庫入侵檢測系統(tǒng)中，入侵檢測系統(tǒng)模塊分為對(duì)濫用檢測規(guī)則庫的濫用檢測和對(duì)異常檢測規(guī)則庫的異常檢測兩種，入侵檢測部分要完成的首要工作是識(shí)別待檢測的審計(jì)數(shù)據(jù)是否顯示有異常行為。對(duì)數(shù)據(jù)的異常檢測，就是在異常行為檢測庫中，將審計(jì)的數(shù)據(jù)同正常用戶規(guī)則進(jìn)行比對(duì)，如果比對(duì)中發(fā)現(xiàn)審計(jì)的數(shù)據(jù)與正常用戶某條規(guī)則符合，則可以充分地判定審計(jì)的數(shù)據(jù)為正常數(shù)據(jù)，反之，則審計(jì)的數(shù)據(jù)為可疑數(shù)據(jù)。而對(duì)數(shù)據(jù)的濫用檢測，是在濫用規(guī)則檢測庫中，將當(dāng)前獲取的審計(jì)數(shù)據(jù)同庫中規(guī)則進(jìn)行比對(duì)，若當(dāng)前獲取的審計(jì)數(shù)據(jù)與濫用規(guī)則檢測庫中的某一條規(guī)則相匹配，則認(rèn)定當(dāng)前的行為為濫用行為，并且同時(shí)對(duì)異常數(shù)據(jù)發(fā)出警報(bào)。對(duì)當(dāng)前獲取的審計(jì)數(shù)據(jù)經(jīng)過異常檢測和濫用檢測兩次入侵檢測規(guī)則識(shí)別后，當(dāng)前獲取的可疑審計(jì)數(shù)據(jù)就可以被劃分為：正常數(shù)據(jù)、異常數(shù)據(jù)以及可疑數(shù)據(jù)。實(shí)現(xiàn)了對(duì)入侵?jǐn)?shù)據(jù)的檢測，保證了數(shù)據(jù)的安全可靠。

3.響應(yīng)模塊。響應(yīng)模塊則針對(duì)檢測的審計(jì)記錄結(jié)果作出響應(yīng)處理，若被檢測的審計(jì)數(shù)據(jù)屬于正常的用戶行為，則入侵檢測系統(tǒng)不做任何處理；若被檢測的審計(jì)數(shù)據(jù)屬于入侵行為，將對(duì)入侵行為發(fā)出警報(bào)，若被檢測的審計(jì)數(shù)據(jù)屬于可疑行為，對(duì)可疑行為進(jìn)行標(biāo)記并且通知審計(jì)管理員，審計(jì)員將判別的結(jié)果添加到濫用檢測規(guī)則庫或者異常檢測規(guī)則庫。對(duì)新規(guī)則加入至規(guī)則庫，且更新數(shù)據(jù)源。

四、系統(tǒng)安全性設(shè)計(jì)

建立審計(jì)維護(hù)模塊，產(chǎn)生出事件檢測報(bào)告和總結(jié)報(bào)告。事件檢測檢測的低層次的詳細(xì)信息，記錄了所有入侵和異常的具體情況的檢測報(bào)告，總結(jié)報(bào)告是對(duì)每一種入侵或異常在某一單位時(shí)間內(nèi)發(fā)生的次數(shù)進(jìn)行統(tǒng)計(jì)，便于系統(tǒng)管理員進(jìn)行事后的分析，幫助分析員了解攻擊趨勢，對(duì)制定安全策略也是不可缺少的信息數(shù)據(jù)。

隨著網(wǎng)絡(luò)應(yīng)用的普及，數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)信息的安全問題越來越重要，數(shù)據(jù)挖掘作為一種規(guī)則挖掘手段被引入到了入侵檢測中。應(yīng)用Apriori算法以提升規(guī)則挖掘效率；使用異常檢測與濫用檢測相結(jié)合的復(fù)合式搜索引擎，提高入侵檢測系統(tǒng)規(guī)則挖掘速度。

參考文獻(xiàn)：

[1]莫樂群，郭庚麒.基于聚類挖掘的入侵檢測方法的研究[J].計(jì)算機(jī)應(yīng)用與軟件，2010，27（4）：134-136.

[2]石少敏.基于數(shù)據(jù)挖掘的混合式入侵檢測模型及分析[J].通信技術(shù)，2009，（08）：42-47

[3]孫利，陳萍，陳華麗.關(guān)聯(lián)規(guī)則挖掘在網(wǎng)絡(luò)教學(xué)評(píng)價(jià)中的應(yīng)用[J]. 電腦開發(fā)與應(yīng)用，2007，01期

[4]李金鳳，姜利群.基于微軟云計(jì)算平臺(tái)的海量數(shù)據(jù)挖掘系統(tǒng)[J].電腦知識(shí)與技術(shù)，2011，34：8766-8768