王敏

【摘要】 入侵檢測系統(tǒng)作為一種能對網(wǎng)絡入侵行為實行主動防御措施，是防火墻技術的有力補充。不過現(xiàn)有的入侵檢測系統(tǒng)仍存在一定的缺陷，比如時效性等。因此本文就這一問題進行研究，提出了基于數(shù)據(jù)挖掘技術的入侵檢測系統(tǒng)。

【關鍵詞】 網(wǎng)絡安全 入侵檢測 數(shù)據(jù)挖掘

一、研究意義

伴隨著計算機網(wǎng)絡的飛速發(fā)展，新興業(yè)務也越來越多，如電子銀行、電子商務等，這就使得計算機網(wǎng)絡的安全問題顯得更為重要了。網(wǎng)絡環(huán)境也越來越復雜，面對這種日趨惡劣的網(wǎng)絡環(huán)境，入侵檢測系統(tǒng)由于缺乏行之有效的檢測技術和事件處理能力，因此很難適應，也就不能保證網(wǎng)絡信息安全。現(xiàn)今的入侵檢測功能僅僅可以把已經(jīng)知道的種種入侵手段進行有效的檢測效果，面對未知的入侵行為常常是無效的，就算是正常的行為，有時也會產(chǎn)生高誤報率，這些都影響了整個系統(tǒng)的性能，因此如何有效地提高入侵檢測系統(tǒng)的實時有效檢測性，降低系統(tǒng)誤報率，提高系統(tǒng)安全性穩(wěn)定性，就成了入侵防御重要的研究方向。

二、入侵檢測技術

所謂的入侵檢測系統(tǒng)是一個對于計算機安全系統(tǒng)的各種惡意攻擊行為時刻進行分析檢測和響應的系統(tǒng)。入侵檢測系統(tǒng)可以對于計算機系統(tǒng)遭受的入侵行為進行實時監(jiān)測并作出相應地響應，它可以對于整個系統(tǒng)實行輪回不間斷監(jiān)控，保證系統(tǒng)的時刻安全，即在用戶都沒有意識到系統(tǒng)遭到破壞的時候，就已經(jīng)對入侵行為采取了措施，切斷入侵行為和系統(tǒng)間的數(shù)據(jù)交流。入侵檢測系統(tǒng)對于網(wǎng)絡中數(shù)據(jù)行為的檢測分析并不會影響數(shù)據(jù)在網(wǎng)絡中傳輸應用，其對于網(wǎng)絡入侵行為的自動響應功能給整個計算機安全系統(tǒng)帶來了完善的保證。全新的入侵檢測系統(tǒng)擁有智能的調節(jié)和學習功能，當檢測到網(wǎng)絡中的入侵行為后，它不僅可以切斷網(wǎng)絡中數(shù)據(jù)交流，而且還能根據(jù)入侵行為的特點，調整防火墻的防護策略，這就形成了一個智能的防護系統(tǒng)。入侵檢測技術的分類：基于主機的入侵檢測系統(tǒng)，基于網(wǎng)絡的入侵檢測系統(tǒng)，混合型入侵檢測系統(tǒng)。入侵檢測系統(tǒng)的優(yōu)劣主要取決于入侵檢測技術的好壞，因此入侵技術的好壞直接關系到整個入侵檢測系統(tǒng)的檢測效率、誤報率及檢測效果等性能指標。入侵檢測技術主要分為以下三類：基于異常的檢測，基于誤用的檢測，基于完整性檢驗的檢測。

三、入侵檢測系統(tǒng)中有關數(shù)據(jù)挖掘技術的應用改進

數(shù)據(jù)挖掘的定義是從大量的無規(guī)律的、雜亂無章的數(shù)據(jù)信息中，分析其中的所有數(shù)據(jù)，找出數(shù)據(jù)間存在的規(guī)律，提取出用戶所需要的信息知識的過程，主要包括數(shù)據(jù)準備、規(guī)律尋找和規(guī)律表示。數(shù)據(jù)挖掘技術的方法分類有：關聯(lián)分析算法、分類分析算法、聚類分析算法、序列分析算法。

3.1關聯(lián)規(guī)則算法改進

3.2聚類算法改進

現(xiàn)將經(jīng)過改進的K-均值算法描述如下：

輸入量：聚類半徑R、初始聚類個數(shù)M及存儲原始數(shù)據(jù)的數(shù)據(jù)庫；輸出量：k個聚類。

具體計算方法：1、確定M個聚類的聚類中心{R1，R2，…，Rm}，設定Rj=Xi，j∈{1，2，……m}，i∈{1，2，……n}；2、通過計算出另外記錄Xi（i∈{1，2，……n}）所能達到聚類中心的距離的最小值min；3、若min>w，則得出一個新聚類，以Xi視作新聚類的中心，接著退出此次聚類操作過程；4、否則Xi要分到最近的Rj所在的聚類；5、通過返回3最終到聚類中心值固定。

四、數(shù)據(jù)挖掘技術在入侵檢測系統(tǒng)中的應用

關聯(lián)分析數(shù)據(jù)挖掘算法對于網(wǎng)絡中各個接入其中的連接用戶的屬性間的關系進行分析，故可以將其用到分析發(fā)現(xiàn)入侵攻擊者各種入侵行為間的特征關系。運用特征模式提取，得到正常行為，以此來判別異常的入侵行為。先對大量的網(wǎng)絡原始數(shù)據(jù)行為進行收集，然后通過關聯(lián)分析和聚類分析兩種數(shù)據(jù)挖掘算法對原始數(shù)據(jù)行為集進行挖掘，搭建出正常行為庫，得出正常行為模式，然后直接利用剛得到的正常行為庫的數(shù)據(jù)對前面收集的數(shù)據(jù)進行過濾，得到相對純凈的數(shù)據(jù)行為庫，利用數(shù)據(jù)挖掘技術中的分類算法進一步區(qū)別正常行為和異常行為，生成誤用檢測規(guī)則，同時上面過程中形成的正常行為庫和入侵檢測特征模式等都需要不斷進行更新，以應對層出不窮的各種入侵行為。前期收集的網(wǎng)絡數(shù)據(jù)行為，被預處理成包含特定屬性的網(wǎng)絡數(shù)據(jù)，如協(xié)議類型、鏈接地址、物理地址及入侵端口等。然后才從其中根據(jù)數(shù)據(jù)挖掘算法得到正常的網(wǎng)絡行為，用于判斷網(wǎng)絡入侵行為。

五、結論

數(shù)據(jù)挖掘技術在入侵檢測系統(tǒng)中的應用，主要是為了從巨大的網(wǎng)絡原始的數(shù)據(jù)資源中尋找出存在安全隱患和安全威脅的信息，以及這些信息是以什么規(guī)則來入侵網(wǎng)絡系統(tǒng)。通過對關聯(lián)分析數(shù)據(jù)挖掘算法和聚類分析數(shù)據(jù)挖掘算法的改進，利用改進后的算法對用戶和系統(tǒng)的各種行為進行特征模式的提取，來判斷入侵行為，由此有效優(yōu)化入侵檢測技術。