◆藍(lán)永發(fā)

?

數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用

◆藍(lán)永發(fā)

（廈門(mén)南洋職業(yè)學(xué)院 福建 361102）

本文先從數(shù)據(jù)挖掘技術(shù)和入侵檢測(cè)技術(shù)的概念入手，結(jié)合多種數(shù)據(jù)挖掘技術(shù)的算法，來(lái)探究數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用，以便增加網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性。

數(shù)據(jù)挖掘技術(shù)；網(wǎng)絡(luò)入侵檢測(cè)；應(yīng)用；算法

0 引言

在網(wǎng)絡(luò)時(shí)代飛速發(fā)展的社會(huì)背景下，各個(gè)方面都受到網(wǎng)絡(luò)和通信的深遠(yuǎn)影響，并且不斷得到發(fā)展。但是伴隨著對(duì)網(wǎng)絡(luò)依賴度的提升，越來(lái)越多的信息安全問(wèn)題激發(fā)人們的關(guān)注。網(wǎng)絡(luò)安全問(wèn)題，主要使用防火墻、身份認(rèn)證、數(shù)據(jù)加密和入侵檢測(cè)等方法來(lái)加強(qiáng)防護(hù)工作。對(duì)于一般網(wǎng)絡(luò)攻擊系統(tǒng)，它們基本都具有一定的保護(hù)作用，但是針對(duì)利用合法的身份但是采用非正常手段危害系統(tǒng)安全的行為，有些安全防護(hù)措施就顯得無(wú)能為力。強(qiáng)大的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)可以清除這些隱患。

1 數(shù)據(jù)挖掘技術(shù)與入侵檢測(cè)技術(shù)

1.1 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘技術(shù)是在大量數(shù)據(jù)中發(fā)現(xiàn)有價(jià)值的數(shù)據(jù)規(guī)則或者數(shù)據(jù)模式，再通過(guò)分析和處理為決策者提供輔助服務(wù)。其中包括數(shù)據(jù)收集、數(shù)據(jù)挖掘和評(píng)價(jià)說(shuō)明三個(gè)數(shù)據(jù)挖掘過(guò)程。這三個(gè)過(guò)程的重復(fù)進(jìn)行合成了數(shù)據(jù)挖掘的整個(gè)過(guò)程。其中，作為第一階段，數(shù)據(jù)準(zhǔn)備是至關(guān)重要的，前期處理不妥當(dāng)會(huì)對(duì)結(jié)果的準(zhǔn)確度有很大干擾。系統(tǒng)處理效率變低。數(shù)據(jù)準(zhǔn)備過(guò)程工作量大，涉及到數(shù)據(jù)的清理、集成變換過(guò)程。數(shù)據(jù)挖掘是利用智能模式提取數(shù)據(jù)或規(guī)律知識(shí)。

數(shù)據(jù)挖掘方法常用的包含人工神經(jīng)網(wǎng)絡(luò)、決策樹(shù)方法、遺傳算法。（1）人工神經(jīng)網(wǎng)絡(luò)方法主要是仿照人腦神經(jīng)元結(jié)構(gòu)，它包括前饋式網(wǎng)絡(luò)、自組織網(wǎng)絡(luò)和反饋式網(wǎng)絡(luò)這三種神經(jīng)網(wǎng)絡(luò)模型。（2）遺傳算法由繁衍選擇、變異瞬變、交織重組這三個(gè)基本過(guò)程組成，應(yīng)用了生物進(jìn)化原理。（3）決策樹(shù)方法是最有影響的方法。其中研究方法還有集合論的初步收集方法、邏輯推理、規(guī)則推理、公式證明等。

1.2 入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)是一種能及時(shí)識(shí)別網(wǎng)絡(luò)中的攻擊和惡意訪問(wèn)行為并作出一定的響應(yīng)，對(duì)影響系統(tǒng)信息完整性、保密性及可用性的行為進(jìn)行全面檢測(cè)的安全系統(tǒng)。入侵檢測(cè)系統(tǒng)作為一種安全保障系統(tǒng)，帶有主動(dòng)防御的作用，因此對(duì)于信息資源的機(jī)密性保護(hù)效果較好。入侵檢測(cè)系統(tǒng)主要有數(shù)據(jù)收集、簡(jiǎn)要數(shù)據(jù)分析和響應(yīng)處理三個(gè)模塊。采集的數(shù)據(jù)具有代表性，是根據(jù)網(wǎng)絡(luò)反應(yīng)的幾個(gè)關(guān)鍵點(diǎn)來(lái)采集信息，檢驗(yàn)是否出現(xiàn)入侵痕跡，主要包含檢測(cè)系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、特殊文件信息等。分析數(shù)據(jù)的環(huán)節(jié)也比較嚴(yán)格，通過(guò)模式匹配、檢測(cè)異常和整體檢測(cè)層層檢測(cè)，一旦出現(xiàn)入侵行為提示，入侵檢測(cè)馬上會(huì)啟動(dòng)程序響應(yīng)流程，出現(xiàn)日志、告警和安全控制等。

實(shí)際運(yùn)用中對(duì)入侵檢測(cè)類(lèi)型不外乎兩種方式：誤用檢測(cè)和異常檢測(cè)。誤用檢測(cè)指的是對(duì)已知系統(tǒng)漏洞或攻擊模式進(jìn)行特征描繪，入侵檢測(cè)系統(tǒng)通過(guò)構(gòu)建非正常特征模型來(lái)檢驗(yàn)；異常檢測(cè)是指構(gòu)建用戶的正常特征模型，默認(rèn)前提是入侵活動(dòng)與正常行為存在很大差別。凡是系統(tǒng)顯示偏離正常模型的行為就立即啟動(dòng)入侵檢測(cè)系統(tǒng)，及時(shí)處理異常檢測(cè)數(shù)據(jù)。當(dāng)前人工智能技術(shù)運(yùn)用于兩種入侵檢測(cè)方案中。誤用檢測(cè)使用專業(yè)的系統(tǒng)處理模式，包括狀態(tài)轉(zhuǎn)移和遺傳算法。神經(jīng)網(wǎng)絡(luò)統(tǒng)計(jì)分析以及數(shù)據(jù)挖掘技術(shù)是進(jìn)行異常檢測(cè)的常用方法。

2 入侵檢測(cè)系統(tǒng)模型的設(shè)計(jì)

2.1 數(shù)據(jù)挖掘?qū)τ谌肭謾z測(cè)系統(tǒng)的優(yōu)勢(shì)

（1）適應(yīng)性強(qiáng)。過(guò)去如果要建立入侵檢測(cè)系統(tǒng)的某一規(guī)則庫(kù)，針對(duì)性比較強(qiáng)，需要專家小組以發(fā)現(xiàn)的入侵系統(tǒng)的特征為對(duì)象繼而研究開(kāi)發(fā)相應(yīng)的檢測(cè)系統(tǒng)，因此應(yīng)對(duì)的范圍比較局限，當(dāng)新出現(xiàn)的攻擊較為復(fù)雜或者時(shí)間跨距較大時(shí)，這個(gè)系統(tǒng)就很難自主作出相應(yīng)的跟蹤反應(yīng)，效果當(dāng)然也不盡理想了。相反，應(yīng)用數(shù)據(jù)挖掘技木并不是根據(jù)特定的信號(hào)進(jìn)行異常檢測(cè)，就不存在對(duì)每一種新的入侵信號(hào)進(jìn)行重新定制的問(wèn)題，展現(xiàn)出實(shí)時(shí)性的優(yōu)點(diǎn)。

（2）低誤報(bào)警率。當(dāng)前的系統(tǒng)十分依賴于信號(hào)匹配，會(huì)出現(xiàn)報(bào)警情況遠(yuǎn)超過(guò)實(shí)際入侵對(duì)象，就是是正常的工作中一旦出現(xiàn)這種信號(hào)的情況，入侵系統(tǒng)會(huì)產(chǎn)生誤報(bào)警。入侵系統(tǒng)處理報(bào)警產(chǎn)生的部分序列中獲取到有用數(shù)據(jù)信息，設(shè)置將正常行為產(chǎn)生的信號(hào)信息能及時(shí)清除，避免日后重復(fù)工作，通過(guò)數(shù)據(jù)挖掘技術(shù)快速剔除相同的攻擊數(shù)據(jù)，降低實(shí)際工作中誤報(bào)警率。

（3）漏報(bào)率低。一個(gè)全新的攻擊方式入侵系統(tǒng)，或者是之前的入侵行為做小部分改動(dòng)后系統(tǒng)無(wú)法識(shí)別，傳統(tǒng)不能及時(shí)啟動(dòng)防御處理，錯(cuò)認(rèn)為是正常數(shù)據(jù)信息。采用數(shù)據(jù)挖掘技術(shù)的系統(tǒng)能克服這一系列問(wèn)題，迅速的發(fā)現(xiàn)新的攻擊行為，及時(shí)報(bào)警處理，對(duì)實(shí)際運(yùn)用過(guò)程中可以減少漏報(bào)的情況。

2.2 創(chuàng)建新型的入侵檢測(cè)模型

大部分的網(wǎng)絡(luò)數(shù)據(jù)都是正常的數(shù)據(jù)，異常數(shù)據(jù)的記錄只有小部分，系統(tǒng)如果可以自動(dòng)過(guò)濾正常的數(shù)據(jù)，通過(guò)聚類(lèi)分析方式，準(zhǔn)確地過(guò)濾掉網(wǎng)絡(luò)保存的正常數(shù)據(jù)。聚類(lèi)分析方法是組建網(wǎng)絡(luò)正常行為的常用手段。異常數(shù)據(jù)包是指那些區(qū)別于正常行為的數(shù)據(jù)包，經(jīng)過(guò)系統(tǒng)的檢測(cè)器再更進(jìn)一步做檢測(cè)，出現(xiàn)新的入侵行為但其數(shù)據(jù)包無(wú)法被檢測(cè)系統(tǒng)識(shí)別，全都?xì)w為是異常數(shù)據(jù)包，對(duì)異常數(shù)據(jù)包進(jìn)一步做特征分析后，才能判斷是否為新的入侵行為模式，新的入侵行為模式添加到入侵檢測(cè)規(guī)則庫(kù)中保存，規(guī)則庫(kù)中保存記錄了新的未知入侵行為，下次再遇到這類(lèi)入侵情況就可以直接檢測(cè)出來(lái)。處理新入侵行為的檢測(cè)系統(tǒng)如圖1所示。

圖1 新型入侵檢測(cè)模型

3 利用數(shù)據(jù)挖掘技術(shù)

3.1 數(shù)據(jù)挖掘的技術(shù)創(chuàng)建入侵檢測(cè)模型

入侵檢測(cè)系統(tǒng)是要發(fā)現(xiàn)異常事件，要在大量的數(shù)據(jù)信息中快速篩選出異常行為數(shù)據(jù)，要將異常事件同入侵檢測(cè)標(biāo)準(zhǔn)作對(duì)比進(jìn)行詳細(xì)的入侵分析，通過(guò)入侵分析過(guò)程來(lái)發(fā)現(xiàn)入侵行為。最新使用的數(shù)據(jù)挖掘方式與傳統(tǒng)模式進(jìn)行比較，數(shù)據(jù)挖掘技術(shù)更具有優(yōu)勢(shì)。它能從大量的數(shù)據(jù)中迅速的了解到人們未曾涉及的知識(shí)和規(guī)律，進(jìn)入快速自動(dòng)的分析過(guò)程，可以利用數(shù)據(jù)挖掘技術(shù)創(chuàng)建出入侵檢測(cè)模型。

3.2 Snort 入侵檢測(cè)系統(tǒng)使用數(shù)據(jù)挖掘

入侵檢測(cè)系統(tǒng)不可或缺的功能是數(shù)據(jù)挖掘，發(fā)現(xiàn)有入侵行為時(shí)，系統(tǒng)要能及時(shí)處理，要求的實(shí)時(shí)性更高，能及時(shí)檢測(cè)出入侵行為并作出相應(yīng)處理動(dòng)作，比如報(bào)警或防御響應(yīng)，用最快的速度讓管理員了解情況，再通過(guò)人工加強(qiáng)防御。要及時(shí)更新規(guī)則庫(kù)，對(duì)于新的入侵行為要及時(shí)添加到系統(tǒng)的規(guī)則庫(kù)中，避免出現(xiàn)系統(tǒng)漏洞。要把入侵行為產(chǎn)生的相應(yīng)數(shù)據(jù)包以及入侵?jǐn)?shù)據(jù)信息記錄在日志中，方便管理員開(kāi)展處理工作。異常檢測(cè)可以排除掉正常的數(shù)據(jù)，將異常數(shù)據(jù)包用濫用檢測(cè)引擎來(lái)解決，進(jìn)行規(guī)則匹配，表現(xiàn)有入侵情況發(fā)生，并報(bào)警顯示，防止入侵行為再次出現(xiàn)。傳輸?shù)骄垲?lèi)分析模塊可以將異常檢測(cè)結(jié)果添加到新的入侵檢測(cè)系統(tǒng)中，在入侵行為日志中保存，繼續(xù)做關(guān)聯(lián)分析。

3.3 DBSAN算法

DBSAN算法指的是在密度基礎(chǔ)上的有效聚類(lèi)算法，可以列舉出可能出現(xiàn)的形狀。DBSAN算法的中心思想為：不包括邊界點(diǎn)o，某EPS鄰域中，總的數(shù)據(jù)點(diǎn)個(gè)數(shù)不低于Minpts。DBSAN算法常運(yùn)用于文本中高維數(shù)據(jù)的處理，對(duì)于EPS及Minpts參數(shù)的設(shè)置十分關(guān)鍵，算法程序要檢驗(yàn)參數(shù)設(shè)置是否合理，影響聚類(lèi)的效果。所以關(guān)于EPS及Minpts參數(shù)的設(shè)置是關(guān)鍵的要素。對(duì)于入侵行為檢測(cè)可以使用據(jù)聚類(lèi)劃分算法中的 K-MEANS算法，大數(shù)據(jù)庫(kù)中根據(jù)規(guī)則分類(lèi)處理，明確 EPS及Minpts具體參數(shù)值。

3.4 K-Means 算法

利用聚類(lèi)算法對(duì)防止網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行深入研究。聚類(lèi)分析指的是把整體數(shù)據(jù)對(duì)象再進(jìn)行劃分成各個(gè)相似部分的過(guò)程，對(duì)數(shù)據(jù)進(jìn)行分組，無(wú)須提前定義，根據(jù)實(shí)際的數(shù)據(jù)特征，依照數(shù)據(jù)的相似性進(jìn)行分組定義。經(jīng)過(guò)這種算法確定同類(lèi)型的入侵行為，數(shù)據(jù)相似度比較高，反之不同類(lèi)型的對(duì)象相似度低。主要特點(diǎn)在于要?dú)w納的數(shù)據(jù)集合或者提前不可獲知的情況。檢測(cè)系統(tǒng)中利用聚類(lèi)算法進(jìn)行數(shù)據(jù)挖掘處理。

入侵檢測(cè)系統(tǒng)使用到 K-Means 算法，算法特點(diǎn)在于簡(jiǎn)單、計(jì)算過(guò)程復(fù)雜程度低、實(shí)效性高、方便操作。但也伴隨著兩個(gè)問(wèn)題：（1）怎樣處置離散型數(shù)值及連續(xù)性數(shù)值對(duì)象的問(wèn)題。K-Means 算法適用于處理連續(xù)性的數(shù)值這類(lèi)問(wèn)題。而離散型數(shù)值仍然不能解決，例如字符。聚類(lèi)中心屬性值可取該聚類(lèi)成員相應(yīng)屬性值相當(dāng)于出現(xiàn)率最高的數(shù)值，用這方法處理離散型數(shù)值的問(wèn)題。（2）聚類(lèi)的個(gè)數(shù)和聚類(lèi)中心的情況。采用K-Means 算法之前，要事先明確聚類(lèi)的總數(shù)，同時(shí)要確定初始聚類(lèi)中心的數(shù)值。把所有相同個(gè)數(shù)的數(shù)據(jù)對(duì)象當(dāng)成中心。在實(shí)際的網(wǎng)絡(luò)入侵檢測(cè)進(jìn)程中是隨機(jī)改變的，實(shí)效性非常明顯，所以無(wú)法提前得知聚類(lèi)中心和聚類(lèi)具體個(gè)數(shù)。利用定寬的聚類(lèi)方法可以妥善處理這個(gè)難題。

4 結(jié)論

與防火墻相比，網(wǎng)絡(luò)入侵檢測(cè)帶有了更強(qiáng)的功能，對(duì)于常見(jiàn)攻擊和非法訪問(wèn)的攔截都十分有效，彌補(bǔ)了防火墻欠缺的防護(hù)功能，是一種必要的補(bǔ)充系統(tǒng)。數(shù)據(jù)挖掘技術(shù)與入侵檢測(cè)系統(tǒng)結(jié)合使用，加強(qiáng)系統(tǒng)的防護(hù)能力，對(duì)大量的網(wǎng)絡(luò)資源進(jìn)行準(zhǔn)確的數(shù)據(jù)分析。但是，它們兩者也存在一定的缺陷，例如數(shù)據(jù)挖掘由于挖掘時(shí)間較長(zhǎng)因此造成實(shí)時(shí)反映，存在速度較慢的問(wèn)題；數(shù)據(jù)挖掘在操作上會(huì)存在較多失誤，無(wú)法準(zhǔn)確判別未知攻擊和非法訪問(wèn)，因此整合效果還不能完全達(dá)到預(yù)期的效果，那么也不能普遍的應(yīng)用于實(shí)際中，因此研究這兩方面的問(wèn)題對(duì)于提高網(wǎng)絡(luò)信息安全性時(shí)十分有必要的。

[1]盧靖.數(shù)據(jù)挖掘技術(shù)在新型網(wǎng)絡(luò)入侵檢測(cè)模型中的應(yīng)用研究[J].電子技術(shù)與軟件工程，2014.

[2]耿風(fēng).數(shù)據(jù)挖掘算法在入侵檢測(cè)中的應(yīng)用分析[J].內(nèi)江科技，2013.

[3]黃寧.聚類(lèi)方法在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J]，2013.