張枝令

(寧德師范學(xué)院 計(jì)算機(jī)系， 福建 寧德 352100)

計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測中的數(shù)據(jù)挖掘

張枝令

(寧德師范學(xué)院 計(jì)算機(jī)系， 福建 寧德 352100)

針對入侵檢測系統(tǒng)存在的問題，設(shè)計(jì)了一個基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)，給出主要結(jié)構(gòu)和功能，分析了網(wǎng)絡(luò)控制系統(tǒng)中的應(yīng)用。

數(shù)據(jù)挖掘; 網(wǎng)絡(luò); 入侵檢測

0 引 言

隨著互聯(lián)網(wǎng)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全成為大家首要關(guān)注的問題。雖然現(xiàn)在網(wǎng)絡(luò)上出現(xiàn)各種計(jì)算機(jī)防火墻、安全衛(wèi)士等產(chǎn)品，但面對著網(wǎng)絡(luò)環(huán)境的不斷復(fù)雜化和網(wǎng)絡(luò)攻擊方式的多樣化，許多網(wǎng)絡(luò)用戶仍成為黑客的攻擊者，以致用戶大量信息泄露，對社會同樣造成一定的危害[1]。因此，文中借鑒數(shù)據(jù)挖掘技術(shù)的成熟化和入侵檢測技術(shù)可靠性的特點(diǎn)，完成數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測的應(yīng)用研究具有重要意義。

1 應(yīng)用研究意義

計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測就是運(yùn)用各種渠道獲取一定的數(shù)據(jù)，通過一些數(shù)據(jù)分析方法或系統(tǒng)分析方法對網(wǎng)絡(luò)狀況和網(wǎng)絡(luò)行為等數(shù)據(jù)進(jìn)行深入分析，提取可靠的網(wǎng)絡(luò)響應(yīng)數(shù)據(jù)，并對相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行異常或正常評價，對潛在的新型入侵行為做出正確的預(yù)測，從而保證計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定性和安全性[2]。所以，文中基于數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測具有重大意義。

在深入研究計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)時，應(yīng)注重以下幾點(diǎn)：

1)網(wǎng)絡(luò)管理人員需要掌握網(wǎng)絡(luò)狀態(tài)和網(wǎng)絡(luò)行為的實(shí)時數(shù)據(jù)和歷史數(shù)據(jù)。隨著網(wǎng)絡(luò)業(yè)務(wù)及網(wǎng)絡(luò)結(jié)構(gòu)發(fā)展的復(fù)雜化和多樣化，如何保證計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定性，更好地服務(wù)于用戶成為網(wǎng)絡(luò)管理人員面臨的最大問題。顯然，網(wǎng)絡(luò)狀態(tài)和網(wǎng)絡(luò)行為的數(shù)據(jù)源對管理人員進(jìn)行決策十分重要。只有正確掌握網(wǎng)絡(luò)狀態(tài)和網(wǎng)絡(luò)行為的歷史數(shù)據(jù)，才能判定當(dāng)前網(wǎng)絡(luò)以及預(yù)測以后網(wǎng)絡(luò)的狀況。

2)及時更新網(wǎng)絡(luò)檢測系統(tǒng)。網(wǎng)絡(luò)檢測系統(tǒng)作為計(jì)算機(jī)網(wǎng)絡(luò)的一道防御門，對計(jì)算機(jī)網(wǎng)絡(luò)的安全起到重要作用。但隨著時間的變化，計(jì)算機(jī)網(wǎng)絡(luò)也發(fā)生了巨大的變化，特別是新的入侵方法和入侵行為的出現(xiàn)，這就要求網(wǎng)絡(luò)檢測系統(tǒng)相關(guān)模型及時更新。

3)建立多種技術(shù)聯(lián)合防御模式，如采用數(shù)據(jù)挖掘技術(shù)、專家系統(tǒng)分析技術(shù)以及神經(jīng)網(wǎng)絡(luò)技術(shù)的聯(lián)合，為計(jì)算機(jī)網(wǎng)絡(luò)建立先進(jìn)的入侵檢測算法，該算法不僅可以保留原先每個模式固有的性能，還能有效地解決每個模塊之間的不足，大大降低了計(jì)算機(jī)網(wǎng)絡(luò)的誤報率，提高了系統(tǒng)的可靠性。

4)針對不同的入侵檢測數(shù)據(jù)類型采用不同的數(shù)據(jù)挖掘算法，并制定不同的規(guī)則庫，從而提高決策方法的精確度和判定效率。

2 基本框架

2.1數(shù)據(jù)挖掘的過程分析

數(shù)據(jù)挖掘技術(shù)的應(yīng)用過程主要包括數(shù)據(jù)準(zhǔn)備、數(shù)據(jù)挖掘以及結(jié)果評估三大階段，并實(shí)現(xiàn)了從海量的數(shù)據(jù)庫中提取人們所希望獲取的信息的目標(biāo)。數(shù)據(jù)挖掘的一般流程如圖1所示。

圖1 數(shù)據(jù)挖掘的一般流程

任何數(shù)據(jù)挖掘過程都是這三個階段的反復(fù)使用過程。具體實(shí)現(xiàn)步驟為：

1)數(shù)據(jù)準(zhǔn)備階段。該階段作為數(shù)據(jù)挖掘的前期準(zhǔn)備階段，包括數(shù)據(jù)理解、數(shù)據(jù)選擇、數(shù)據(jù)預(yù)處理三個部分。該階段主要負(fù)責(zé)對輸入數(shù)據(jù)的采集、清洗、選擇以及處理，將輸入的數(shù)據(jù)集中的模糊、不完全、有噪聲的數(shù)據(jù)進(jìn)行有效的識別。在這一系列的數(shù)據(jù)準(zhǔn)備階段過程中，為下一階段的數(shù)據(jù)挖掘提供優(yōu)質(zhì)的數(shù)據(jù)源。

2)數(shù)據(jù)挖掘階段。該過程作為整個數(shù)據(jù)挖掘的核心部分，主要將上階段的輸入數(shù)據(jù)集通過特定問題或文中數(shù)據(jù)挖掘任務(wù)進(jìn)行算法或數(shù)據(jù)處理規(guī)則模式的選擇。因此，確定本次數(shù)據(jù)的分析任務(wù)尤其重要，也只有確定了本次數(shù)據(jù)挖掘的任務(wù)才能確定選擇何種挖掘算法。

3)結(jié)果評價階段。由于在數(shù)據(jù)挖掘階段人為地設(shè)置挖掘任務(wù)或選擇挖掘算法，以致產(chǎn)生不同的數(shù)據(jù)挖掘結(jié)果，而在這些結(jié)果中并非每個結(jié)果都是所希望獲取的。

因此，在結(jié)果評價階段過程中，利用產(chǎn)生的多種結(jié)果進(jìn)行實(shí)時有效評價，獲取可靠結(jié)果的同時，需要刪除部分錯誤或無用的信息。因此，在優(yōu)化整個數(shù)據(jù)挖掘過程時，鑒于之前的挖掘結(jié)果，需要重新退回到前一個階段，重新設(shè)置和選擇挖掘算法。

2.2基于數(shù)據(jù)挖掘技術(shù)的入侵檢測框架分析

基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)框架結(jié)構(gòu)如圖2所示。

基于數(shù)據(jù)挖掘技術(shù)的入侵系統(tǒng)模型框架主要包括數(shù)據(jù)采集預(yù)處理模塊、關(guān)聯(lián)規(guī)則與序列規(guī)則挖掘模塊、基于誤用檢測規(guī)則挖掘模塊、異常檢測模型模塊、誤用檢測模型模塊以及檢測結(jié)果處理模塊[1]。其中數(shù)據(jù)采集預(yù)處理模塊作為該系統(tǒng)框架的初始工作階段，主要負(fù)責(zé)采集實(shí)時的網(wǎng)絡(luò)數(shù)據(jù)，通過一定的數(shù)據(jù)采集預(yù)處理，并形成訓(xùn)練數(shù)據(jù)集，保存在訓(xùn)練數(shù)據(jù)模塊中。另外，實(shí)時網(wǎng)絡(luò)數(shù)據(jù)處理后發(fā)送到異常檢測模型；關(guān)聯(lián)規(guī)則與序列規(guī)則挖掘模塊主要負(fù)責(zé)數(shù)據(jù)挖掘過程中產(chǎn)生的關(guān)聯(lián)規(guī)則和序列規(guī)則，并發(fā)現(xiàn)正常模式。通過正常模式的數(shù)據(jù)與預(yù)處理數(shù)據(jù)對比，以確定數(shù)據(jù)是否存在異常。基于誤用檢測規(guī)則挖掘模塊主要通過分類規(guī)則挖掘算法，對更新后的訓(xùn)練數(shù)據(jù)進(jìn)行篩選和選擇，并用于后續(xù)的誤用檢測；基于大量挖掘數(shù)據(jù)，形成一定的異常檢測模型與誤用檢測模型[3]。通過異常檢測模型與誤用檢測模型兩大模塊的處理，完成網(wǎng)絡(luò)數(shù)據(jù)的判定，并判定數(shù)據(jù)是正常，還是非法入侵，最后把網(wǎng)絡(luò)數(shù)據(jù)檢測的處理結(jié)果再反饋給訓(xùn)練數(shù)據(jù)收集模塊，并及時更新訓(xùn)練數(shù)據(jù)、收集模塊數(shù)據(jù)[4]。

圖2 基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)框架

3 檢測系統(tǒng)的設(shè)計(jì)

在基本數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)框架基礎(chǔ)上，采用目前可靠性高、用戶使用較廣的基于分布式數(shù)據(jù)挖掘技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)框架，如圖3所示。

圖3 基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)模型結(jié)構(gòu)設(shè)計(jì)

系統(tǒng)由硬件和軟件兩部分組成。硬件包括主機(jī)、服務(wù)器、交換機(jī)以及探測器等;軟件主要包括數(shù)據(jù)處理軟件和數(shù)據(jù)庫等。根據(jù)功能設(shè)計(jì)結(jié)構(gòu)分析，入侵檢測系統(tǒng)主要由外部采集硬件部分、離線運(yùn)行部分、在線檢測數(shù)據(jù)部分、檢測引擎部分以及決策功能部分組成。

3.1外部采集硬件部分

外部采集硬件部分是系統(tǒng)環(huán)境的組成，它包括計(jì)算機(jī)、數(shù)據(jù)探測器以及網(wǎng)絡(luò)環(huán)境等，為數(shù)據(jù)的輸出提供基礎(chǔ)保障。

3.2離線運(yùn)行部分

該部分是整個系統(tǒng)工作的核心，也是數(shù)據(jù)庫主要儲存位置和數(shù)據(jù)更新的主要依據(jù)，包括數(shù)據(jù)預(yù)處理功能、數(shù)據(jù)訓(xùn)練集形成功能、異常檢測規(guī)則挖掘過程、誤用檢測規(guī)則挖掘過程、異常檢測規(guī)則庫形成及存儲過程、誤用檢測規(guī)則庫形成及存儲過程[5]。網(wǎng)絡(luò)數(shù)據(jù)通過離線運(yùn)行部分的處理，會形成最新的異常檢測規(guī)則庫和誤用檢測規(guī)則庫，為后續(xù)的異常檢測和誤用檢測提供保障和依據(jù)。

3.3控制模塊部分

該部分主要根據(jù)不同探測器發(fā)送的數(shù)據(jù)源，選擇合適的工作策略進(jìn)行誤用檢測和異常檢測。對于誤用檢測和異常檢測的先后，控制模塊根據(jù)數(shù)據(jù)源的不同而決定。此外，控制模塊還能實(shí)現(xiàn)自動調(diào)整數(shù)據(jù)采集策略，從而控制不同探測器發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)源。

3.4檢測引擎部分

該部分主要負(fù)責(zé)對網(wǎng)絡(luò)活動進(jìn)行實(shí)時檢測，主要包括網(wǎng)絡(luò)誤用檢測和異常檢測兩種檢測技術(shù)，這兩種檢測功能之間能夠較好地彌補(bǔ)雙方的不足，并共同完成計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測任務(wù)[6]。

4 檢測系統(tǒng)的應(yīng)用

根據(jù)所設(shè)計(jì)的入侵檢測系統(tǒng)框架，結(jié)合分布式網(wǎng)絡(luò)控制系統(tǒng)的特點(diǎn)，完成分布式入侵檢測系統(tǒng)監(jiān)測器的安裝與監(jiān)控中心的部署。分布式入侵檢測系統(tǒng)應(yīng)用結(jié)構(gòu)如圖4所示。

圖4 分布式入侵檢測系統(tǒng)應(yīng)用結(jié)構(gòu)圖

該系統(tǒng)的監(jiān)測器安裝在3處，最外層監(jiān)測器安裝在系統(tǒng)外部網(wǎng)絡(luò)與外部路由器的連接處，主要用來監(jiān)測網(wǎng)絡(luò)系統(tǒng)外部的入侵；中間層監(jiān)測器安裝在網(wǎng)絡(luò)防火墻與信息管理層之間，主要負(fù)責(zé)監(jiān)視和分析信息管理層與外部網(wǎng)絡(luò)信息的通信流;內(nèi)部監(jiān)測器的安裝，分別部署在信息網(wǎng)、控制網(wǎng)以及設(shè)備網(wǎng)中，其中內(nèi)部監(jiān)測器主要監(jiān)視系統(tǒng)各子網(wǎng)中的網(wǎng)絡(luò)信息情況，并根據(jù)不同網(wǎng)絡(luò)特點(diǎn)設(shè)置相應(yīng)的入侵檢測策略[7]。受網(wǎng)絡(luò)控制實(shí)時性要求的影響，文中所設(shè)計(jì)的系統(tǒng)框架中，對傳統(tǒng)的分布式入侵檢測系統(tǒng)進(jìn)行升級和改進(jìn)，特別是在設(shè)備層和控制層兩部分的監(jiān)測器數(shù)據(jù)采用兩條通道完成數(shù)據(jù)的輸入和輸出。其中控制層和設(shè)備層中設(shè)置相應(yīng)的網(wǎng)絡(luò)接口，負(fù)責(zé)對數(shù)據(jù)的偵聽，而偵聽數(shù)據(jù)經(jīng)過檢測后，采用專用通道進(jìn)行檢測數(shù)據(jù)的輸出。這樣不僅不影響任何網(wǎng)絡(luò)的數(shù)據(jù)傳輸，還能減少重要數(shù)據(jù)的控制，有效地減輕了網(wǎng)絡(luò)的負(fù)擔(dān)。此外，專用通道還能作為備用冗余線路，起到應(yīng)急通信作用。信息管理層的IDS主要用于防范計(jì)算機(jī)網(wǎng)絡(luò)中的一般入侵行為，該層對于網(wǎng)絡(luò)信息的實(shí)時性要求不高[8]。所以，在信息管理層中，信息網(wǎng)上無需專用線路的監(jiān)測器。然而，對于重要的主機(jī)或服務(wù)器可以安置基于主機(jī)或服務(wù)器的入侵檢測系統(tǒng)。由于IDS具有強(qiáng)大的數(shù)據(jù)分析能力，因此，系統(tǒng)中的設(shè)備層和控制層可充分利用IDS的數(shù)據(jù)分析能力進(jìn)行入侵檢測和實(shí)時故障診斷。該方式可以及時地監(jiān)控系統(tǒng)中任何一臺控制器，并判斷該系統(tǒng)中是否出現(xiàn)通信故障，及時反饋給監(jiān)控中心[9]。

基于數(shù)據(jù)挖掘技術(shù)的分布式入侵檢測系統(tǒng)安裝部署后，會在系統(tǒng)運(yùn)行過程中進(jìn)行實(shí)時的檢測和更新。在整個系統(tǒng)運(yùn)行過程中，需要網(wǎng)絡(luò)管理人員的有效配合，網(wǎng)絡(luò)管理人員根據(jù)入侵系統(tǒng)提供的實(shí)時數(shù)據(jù)進(jìn)行實(shí)時處理。除此之外，網(wǎng)絡(luò)管理人員還需做好系統(tǒng)各項(xiàng)報警信息處理的準(zhǔn)備工作。例如當(dāng)系統(tǒng)出現(xiàn)報警時，管理人員首先應(yīng)判斷系統(tǒng)報警聲是否屬于誤報。如果報警聲屬實(shí)，則進(jìn)行報警處理；如果報警聲屬于誤報，則選擇關(guān)閉系統(tǒng)操作或繼續(xù)監(jiān)視，并將相關(guān)數(shù)據(jù)進(jìn)行收集。所以，只有網(wǎng)絡(luò)管理人員在整個過程中采用合理的處理方法，才能保證入侵檢測系統(tǒng)發(fā)揮最大的功效。由于計(jì)算機(jī)網(wǎng)絡(luò)入侵的方式呈多樣化和復(fù)雜化，網(wǎng)絡(luò)管理人員必須對入侵檢測系統(tǒng)的數(shù)據(jù)庫進(jìn)行及時更新，并添加新的入侵防御方式。只有這樣，才能有效地保證入侵檢測系統(tǒng)的安全運(yùn)行。

5 結(jié) 語

針對當(dāng)前我國入侵檢測技術(shù)的發(fā)展現(xiàn)狀及存在的問題，提出入侵檢測系統(tǒng)中基于數(shù)據(jù)挖掘技術(shù)的應(yīng)用。通過討論網(wǎng)絡(luò)數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、訓(xùn)練數(shù)據(jù)集分析等數(shù)據(jù)挖掘技術(shù)，結(jié)合入侵檢測框架數(shù)，深入研究基于數(shù)據(jù)挖掘的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計(jì)與應(yīng)用，研究結(jié)果達(dá)到預(yù)期目標(biāo)。

[1] 羅峰.入侵檢測系統(tǒng)與技術(shù)研究[J]．電腦知識與技術(shù)，2006(17):61-63.

[2] 歐獻(xiàn)永.計(jì)算機(jī)網(wǎng)絡(luò)及信息安全存在的問題和對策[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012(10):26-28.

[3] 何小虎.計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測探討[J]．科技信息，2010(14):30-32.

[4] 蔣云燕，成長生.基于數(shù)據(jù)挖掘的入侵檢測[J]．計(jì)算機(jī)應(yīng)用與軟件，2006,23(11):124-126.

[5] 許潤國，韓國強(qiáng).基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)研究與設(shè)計(jì)[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005(10):41-43.

[6] 李靜燕.入侵檢測系統(tǒng)及其研究進(jìn)展[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(3):32-34.

[7] 郭軍華.網(wǎng)絡(luò)入侵檢測中的數(shù)據(jù)挖掘技術(shù)探討[J]．科技廣場,2005(2):39-40.

[8] 馬選民，張海洋.計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)探究[J]．信息與電腦:理論版,2011(2):28.

[9] 楊建召，程彥，范偉琦，等.基于主機(jī)的入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]．長春工業(yè)大學(xué)學(xué)報:自然科學(xué)版,2005,26(4):309-312.

Data mining in a computer network intrusion detection system

ZHANG Zhi-ling

(Department of Computer Science, Ningde Teachers College, Ningde 352100， China)

For problems existed in the current intrusion detection systems, we design a new computer network intrusion detection system based on data mining technology. The main structure and function are given here and we analyze its application.

data mining; network; intrusion detection.

2014-09-03

張枝令(1975-)，男，漢族，福建屏南人，寧德師范學(xué)院講師,碩士，主要從事計(jì)算機(jī)網(wǎng)絡(luò)和數(shù)據(jù)挖掘方向研究,E-mail:383298940@qq.com.

P 209

A

1674-1374(2014)06-0683-05