張克柱

（宿州職業(yè)技術學院計算機系，安徽 宿州234000）

1 引 言

隨著計算機互聯(lián)網(wǎng)和信息化建設的高速發(fā)展，各高校都建立了自己的校園網(wǎng)，并對外開啟了WEB服務、FTP服務、遠程教學、資源下載等功能，對內(nèi)開啟了教務管理、人事管理、財務管理、學生管理等功能，實現(xiàn)數(shù)字化校園。每天網(wǎng)絡用戶訪問量較大，網(wǎng)絡安全存在極大隱患，加之網(wǎng)絡攻擊軟件較多，操作系統(tǒng)存在安全漏洞，校園網(wǎng)絡安全防護體系構(gòu)建迫在眉睫。本文根據(jù)用戶訪問網(wǎng)絡的相關日志，利用數(shù)據(jù)挖掘等相關技術，構(gòu)建了基于數(shù)據(jù)挖掘技術的高校網(wǎng)絡入侵檢測系統(tǒng)，利用該系統(tǒng)可以高效地檢測出可能出現(xiàn)的各種惡意網(wǎng)絡攻擊行為，并加以防范。

2 相關技術

2.1 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)[1]，簡稱IDS，是指對用戶網(wǎng)絡行為、系統(tǒng)日志等信息進行檢測與分析，對可能存在的非法入侵、異常行為等進行提前預警，并進行相應處理。入侵檢測包括來自外網(wǎng)或內(nèi)網(wǎng)的非授權(quán)用戶行為，該系統(tǒng)將檢測數(shù)據(jù)與原先設定好的安全策略進行比對，對違反策略的異常行為進行預警。

2.1.1 入侵檢測的分類

（1）根據(jù)檢測原理分類

異常檢測：把檢測到的網(wǎng)絡行為與正常范圍內(nèi)的網(wǎng)絡行為相比較，超出范圍的，被認定為入侵，稱之為異常檢測。異常檢測的優(yōu)點是漏報率低，還能檢測出很多未知的入侵行為，它的缺點是容易誤報，而且誤報率較高。

特征檢測：把檢測到的數(shù)據(jù)具有的特征與原先收集到的入侵行為特征庫相比較，如果發(fā)現(xiàn)相匹配，則認定為入侵，并進行警告。特征檢測的優(yōu)點是誤報率低，缺點是未發(fā)現(xiàn)過的入侵行為很難發(fā)現(xiàn)，漏報率高，特征庫需要經(jīng)常更新。

協(xié)議分析：根據(jù)網(wǎng)絡協(xié)議的相關規(guī)定，確定是否存在網(wǎng)絡攻擊。

（2）根據(jù)檢測的對象分類

應用軟件入侵檢測：對用戶所訪問的應用軟件的日志等進行分析，判斷用戶是否為非法訪問或存在某種攻擊。

主機型入侵檢測：是指通過主機的審計記錄和系統(tǒng)日志，發(fā)現(xiàn)主機是否存在可疑事件，并給予及時響應。

網(wǎng)絡型入侵檢測：對網(wǎng)絡上傳輸?shù)臄?shù)據(jù)進行偵聽與分析，發(fā)現(xiàn)網(wǎng)絡是否存在可疑數(shù)據(jù)。

分布式入侵檢測：是主機入侵系統(tǒng)與網(wǎng)絡入侵系統(tǒng)相結(jié)合的，每個網(wǎng)段采用的是分布式網(wǎng)絡型檢測方法，對各網(wǎng)段檢測到的數(shù)據(jù)進行統(tǒng)一集中式的管理。

（3）根據(jù)體系結(jié)構(gòu)分類

集中式：整個網(wǎng)絡有一個中央入侵檢測服務器，網(wǎng)絡的每個主機都安裝審計程序，中央入侵檢測服務器對各主機審計程序發(fā)來的數(shù)據(jù)進行分析與處理，從而實現(xiàn)入侵檢測功能。

等級式：將網(wǎng)絡劃分為多個不同等級的檢測區(qū)域，采用樹狀結(jié)構(gòu)管理，每一級管理本區(qū)域的數(shù)據(jù)檢測，并將檢測分析結(jié)果上傳至上一級。

協(xié)作式：是集中式與等級式體系結(jié)構(gòu)的結(jié)合體，檢測效果較好，但實現(xiàn)起來較難。

2.1.2 當前入侵檢測系統(tǒng)存在的問題

（1）不能很好地對網(wǎng)絡上的數(shù)據(jù)包進行全面的檢測

隨著計算機網(wǎng)絡的快速發(fā)展，網(wǎng)絡速度越來越快，傳統(tǒng)的數(shù)據(jù)包模式分析入侵檢測技術已顯得力不從心，因為數(shù)據(jù)包模式分析技術是對網(wǎng)絡上接收到的所有數(shù)據(jù)包進行分析、匹配，判斷其是否具有某種攻擊特征，在比較的過程中需要消耗大量的系統(tǒng)資源和花費較多的時間，從而影響用戶訪問網(wǎng)絡的速度。

（2）入侵檢測系統(tǒng)特征庫更新滯后

當前入侵檢測系統(tǒng)很多都是采用傳統(tǒng)的特征匹配技術，只能檢測出特征庫中已有的某種攻擊，所以特征庫更新顯得很重要，只有特征庫及時更新才能檢測出最新的某種攻擊，但目前還沒有更好的方法及時更新特征庫。

圖1 基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)模型

2.2 數(shù)據(jù)挖掘技術

數(shù)據(jù)挖掘也稱為知識發(fā)現(xiàn)，它是通過對數(shù)據(jù)庫中大量雜亂無章的數(shù)據(jù)進行分析，挖掘出其中隱含著的某種有價值的信息，并為管理者提供決策支持。

3 數(shù)據(jù)挖掘在入侵檢測系統(tǒng)中的應用研究

針對傳統(tǒng)入侵檢測系統(tǒng)存在的問題，本文把數(shù)據(jù)挖掘技術融入到入侵檢測系統(tǒng)中去，利用數(shù)據(jù)挖掘技術從歷史審計數(shù)據(jù)里分別發(fā)現(xiàn)正常和異常數(shù)據(jù)行為所具有的特征，結(jié)合異常檢測和特征檢測技術，對已知入侵行為作出正確判斷，并提高對未知入侵行為的檢測能力，對DOS攻擊等入侵行為有較好的檢測效果[2]。

3.1 基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)模型設計

通過對入侵檢測系統(tǒng)的分析，本文設計了基于數(shù)據(jù)挖掘的網(wǎng)絡入侵檢測系統(tǒng)模型，該系統(tǒng)由數(shù)據(jù)倉庫、感應器、檢測器、自適應模型生成器等組成，其優(yōu)點是性能較高，擴展性較強，網(wǎng)絡中多個入侵檢測系統(tǒng)可以相互協(xié)同工作，如圖1所示。

感應器：主要是指對網(wǎng)絡中的原始數(shù)據(jù)進行捕捉，得出模型評估用的特征，并把格式化后的數(shù)據(jù)傳輸給檢測器。

檢測器：利用檢測模型對感應器傳送過來的數(shù)據(jù)進行檢測，檢測其是否存在攻擊行為，并把結(jié)果傳輸至數(shù)據(jù)倉庫。

數(shù)據(jù)倉庫：它是整個模型的中心，主要用于存儲數(shù)據(jù)和模型。

模型生成器：是指通過模型生成器，可以把檢測出來的異常數(shù)據(jù)處理后，產(chǎn)生某種特殊的數(shù)據(jù)，再將此數(shù)據(jù)與數(shù)據(jù)倉庫結(jié)合起來得出新的入侵攻擊特征，并放入入侵特征庫，便于下次遇到此類攻擊能夠及時檢測出來。

報警器：當IDS檢測出異常數(shù)據(jù)時，進行報警。

3.2 入侵檢測系統(tǒng)中的數(shù)據(jù)挖掘檢測流程設計

傳統(tǒng)的IDS特征庫建立時，所采用的技術相對單一。如果采用濫用入侵檢測技術，則入侵系統(tǒng)特征庫必須要及時更新；如果采用異常入侵檢測技術，誤報率又很高。為了提高檢測效率，本文采用了關聯(lián)規(guī)則、序列模式和過濾算法等技術，在利用關聯(lián)規(guī)則發(fā)現(xiàn)入侵規(guī)則時，先過濾掉不符合約束條件的數(shù)據(jù)集，從而提高了基于數(shù)據(jù)挖掘的入侵行為檢測的針對性和準確性[3]。

3.3 入侵檢測系統(tǒng)中的數(shù)據(jù)挖掘步驟

入侵檢測系統(tǒng)中數(shù)據(jù)挖掘的基本步驟為：①將網(wǎng)絡上檢測到的原始數(shù)據(jù)轉(zhuǎn)化成ASCII碼表示的數(shù)據(jù)包信息。②再將此信息轉(zhuǎn)換為包含服務類型、連接狀態(tài)、持續(xù)時間等面向網(wǎng)絡連接的記錄放入數(shù)據(jù)倉庫。③利用數(shù)據(jù)挖掘中的關聯(lián)規(guī)則、序列模式挖掘等技術從網(wǎng)絡連接記錄數(shù)據(jù)中得出異常數(shù)據(jù)特征。④根據(jù)數(shù)據(jù)特征利用分類器得出入侵檢測模型。如果此特征檢測效果不明顯，則利用數(shù)據(jù)挖掘技術重新計算，繼續(xù)改進檢測模型。如圖2所示。

圖2 入侵檢測系統(tǒng)中的數(shù)據(jù)挖掘步驟

3.4 數(shù)據(jù)庫過濾算法

在基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)中，主要是根據(jù)用戶的需求，確定被挖掘的原始數(shù)據(jù)庫，并設定一個最小閾值。為了提高數(shù)據(jù)挖掘的執(zhí)行效率，準確找出入侵行為，在數(shù)據(jù)挖掘算法中還需加入異常數(shù)據(jù)約束條件。

假設原始數(shù)據(jù)庫為D，加入異常數(shù)據(jù)約束條件A后生成的數(shù)據(jù)庫為M，則可表示為：

if（t滿足A） ／／t是D數(shù)據(jù)庫中的項目

把t加入數(shù)據(jù)庫M

endif

4 測試結(jié)果

為測試該系統(tǒng)的入侵檢測能力，在局域網(wǎng)中通過3臺電腦做了實驗，安裝了WEB服務、E－mail服務、FTP服務的A機器作為被入侵的對象，安裝基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的B機器作為入侵檢測機器，C機器作為攻擊機，其中，C機器在網(wǎng)上下載了很多攻擊軟件，利用攻擊軟件對A機器發(fā)動FTP、CGI等各種攻擊，通過測試發(fā)現(xiàn)，安裝了該入侵檢測系統(tǒng)的對網(wǎng)絡綜合性能影響不大，但沒有安裝入侵檢測系統(tǒng)的對網(wǎng)絡綜合性能隨著網(wǎng)絡攻擊的時間增加，網(wǎng)絡性能很差。

[1]吳慶濤，邵志清.入侵檢測研究綜述[J].計算機應用研究，2005，（12）：3－6.

[2]徐興元，傅和平，熊中朝.基于數(shù)據(jù)挖掘的入侵檢測技術研究[J].微計算機信息，2007，（09）：74－75.

[3]蔡勇，鄢志輝，周強.數(shù)據(jù)挖掘在網(wǎng)絡入侵檢測系統(tǒng)中的應用[J].重慶電子工程職業(yè)學院學報，2010，（03）：164－166.