唐志

摘要：在網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的背景下，網(wǎng)絡(luò)入侵檢測技術(shù)也相應(yīng)的在不斷的更新當(dāng)中。顯然，就當(dāng)前的形勢來看，傳統(tǒng)的入侵檢測技術(shù)已經(jīng)無法有效的檢測出新型的未知入侵行為。因此我們必須對入侵檢測技術(shù)進(jìn)行科學(xué)有效的創(chuàng)新。本文重點(diǎn)對數(shù)據(jù)挖掘技術(shù)在入侵檢測中的常用算法進(jìn)行了系統(tǒng)的分析，并提出了其應(yīng)用于其中的優(yōu)勢所在。

關(guān)鍵詞：數(shù)據(jù)挖掘;入侵檢測;技術(shù)

1 數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中應(yīng)用的優(yōu)勢

對于基于知識的傳統(tǒng)入侵檢測系統(tǒng)而言，首先必須讓安全領(lǐng)域的相關(guān)專家把系統(tǒng)弱電與攻擊的行為進(jìn)行分類，然而再根據(jù)檢測的類型進(jìn)行統(tǒng)計(jì)方法的選擇，最后再進(jìn)行人工的代碼輸入，從而建立起檢測模式與規(guī)則。但是，在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)下，隨著時(shí)間與空間的變遷，安全領(lǐng)域?qū)＜业闹R必定會逐漸的顯露出諸多不足，而這對于入侵檢測模型檢測有效性的提高顯然是不利的。而就安全領(lǐng)域?qū)＜叶?，其一般情況下都是對已知的系統(tǒng)弱點(diǎn)、攻擊行為特征進(jìn)行研究與分析，這樣的模式顯然讓檢測模型不能夠及時(shí)的適應(yīng)系統(tǒng)未來將面臨的各種未知因素，同時(shí)安全系統(tǒng)的升級周期較長、費(fèi)用極高。另外，安全領(lǐng)域?qū)＜业囊?guī)則以及相應(yīng)的統(tǒng)計(jì)方法都必須由硬件、軟件的平臺來進(jìn)行支撐，這極大的阻礙了新環(huán)境下對系統(tǒng)的制定與重用，同時(shí)當(dāng)我們要對新的檢測功能模塊進(jìn)行嵌入的時(shí)候，將顯得非常的困難。顯然，這不利于入侵檢測模型可擴(kuò)展性的提高。反觀數(shù)據(jù)挖掘技術(shù)，其能夠?qū)嫶蟮娜罩緦徲?jì)數(shù)據(jù)進(jìn)行良好的處理，并且在提取入侵模式的過程中更加的快速。數(shù)據(jù)挖掘技術(shù)是以數(shù)據(jù)為中心的，它將入侵檢測當(dāng)作是一個(gè)完整的數(shù)據(jù)分析過程。而將數(shù)據(jù)挖掘技術(shù)應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)的處理則是核心的技術(shù)，其能夠?qū)⒂脩舻男袨槟Ｊ椒謩e提煉成“正常情況下”、“入侵情況下”，然而再將所生成的模式庫與入侵檢測系統(tǒng)所采集的數(shù)據(jù)進(jìn)行匹配，從而從中發(fā)現(xiàn)存在于其中的網(wǎng)絡(luò)入侵行為。

2 數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測中的常用算法

2.1 關(guān)聯(lián)分析法

所謂關(guān)聯(lián)規(guī)則分析，即是利用關(guān)聯(lián)規(guī)則的方法來進(jìn)行數(shù)據(jù)的挖掘。

將隱藏在數(shù)據(jù)之間的相互關(guān)系充分的挖掘出來，是關(guān)聯(lián)分析的根本目的。其是通過量化的數(shù)字來對一個(gè)物品對另一個(gè)物品的影響程度進(jìn)行準(zhǔn)確的描述。關(guān)聯(lián)規(guī)則在應(yīng)用于入侵檢測系統(tǒng)中時(shí)，具體的過程是：首先，進(jìn)行特征的抽取以及數(shù)據(jù)的預(yù)處理，將網(wǎng)絡(luò)數(shù)據(jù)、審計(jì)數(shù)據(jù)整理到相應(yīng)數(shù)據(jù)庫的表格當(dāng)中。在這些表格中，每列都需要將系統(tǒng)的特征體現(xiàn)出來，而每一行則需要將數(shù)據(jù)的記錄體現(xiàn)出來。其次，進(jìn)行關(guān)聯(lián)規(guī)則下的挖掘分析。研究表明，在用戶的行為與程序的執(zhí)行之間存在著一種頻繁的一伏時(shí)（比如說一些用戶的越權(quán)操作，一般都是程序?qū)μ囟夸?、文件的篡改）。再次，進(jìn)行入侵檢測。將那些最近產(chǎn)生的關(guān)聯(lián)規(guī)則添加到相應(yīng)的關(guān)聯(lián)規(guī)則庫當(dāng)中，然而，通過檢驗(yàn)用戶行為是否匹配關(guān)聯(lián)規(guī)則庫當(dāng)中的規(guī)則來正確的判斷是否存在入侵行為。就目前的情況來看，“AprioriTid”與“Apropri”算法是目前使用的關(guān)聯(lián)分析算法中最為常見的。

2.2 聚類分析法

將數(shù)據(jù)的集合通過科學(xué)的手段劃分為若干個(gè)類別，這即是聚類的過程。通過聚類的過程，每一個(gè)被分為同一個(gè)類別的數(shù)據(jù)對象必須具備較高的相似度，而不同類別的數(shù)據(jù)對象則要保持差異。最大程度的實(shí)現(xiàn)類別中數(shù)據(jù)對象的高相似度，不同類別數(shù)據(jù)對象的高差異化，是聚類分析的基本指導(dǎo)思想。作為數(shù)據(jù)挖掘中的一種重要技術(shù)，聚類分析法能夠有效的將沒有標(biāo)識的數(shù)據(jù)對象進(jìn)行自動的劃分，從而將這些數(shù)據(jù)對象劃分為不同的類別。這種方法顯然有助于挖掘任務(wù)的展開（尤其是在數(shù)據(jù)信息缺少領(lǐng)域知識的情況下）。

2.3 分類分析法

對于分類模型的挖掘而言，分類算法中輸入數(shù)據(jù)（訓(xùn)練數(shù)據(jù)集）

的提供是首要的前提，要集中每一條訓(xùn)練數(shù)據(jù)的記錄，并具有類型標(biāo)識。同時(shí)，對于實(shí)際數(shù)據(jù)集中的數(shù)據(jù)記錄與要求訓(xùn)練數(shù)據(jù)集中的數(shù)據(jù)記錄而言，兩者之間始終應(yīng)該保持著相同的數(shù)據(jù)項(xiàng)。然而，以此來精確的對每一種類型標(biāo)識進(jìn)行分類規(guī)則描述。當(dāng)前，如決策樹模型、線性回歸模型、神經(jīng)網(wǎng)絡(luò)模型、基本規(guī)則模型等分類分析模型已經(jīng)在社會中得到了廣泛的實(shí)際應(yīng)用。那么，數(shù)據(jù)分類分析法主要具有兩個(gè)過程：首先是選擇出一個(gè)有效的訓(xùn)練數(shù)據(jù)集，并且我們要知道每一個(gè)訓(xùn)練樣本的類標(biāo)號（比如在“IDS”當(dāng)中，我們可以根據(jù)黑客入侵的危害程度來賦值為如正常、強(qiáng)入侵、弱入侵、一般入侵）。其次，通過對屬性描述的訓(xùn)練數(shù)據(jù)庫訓(xùn)練樣本的分析來有效的建立起一個(gè)模型。

由于我們已經(jīng)提前的對每一個(gè)訓(xùn)練樣本的類標(biāo)號進(jìn)行了掌握，因此這個(gè)過程是具有指導(dǎo)性的。而對于模型而言，我們能夠利用那些不明確的數(shù)據(jù)值或多種空缺的數(shù)據(jù)值，一旦我們預(yù)測的值是數(shù)值數(shù)據(jù)的時(shí)候，我們往往稱之為“預(yù)測”。

3 結(jié)語

總之，數(shù)據(jù)挖掘技術(shù)的應(yīng)用，能夠有效的解決傳統(tǒng)入侵檢測系統(tǒng)中存在的諸多問題，不但讓相應(yīng)的入侵檢測系統(tǒng)更加的高效與靈活，其擴(kuò)展性也將得到實(shí)質(zhì)性的提升。

參考文獻(xiàn)

[1]模糊數(shù)據(jù)挖掘和遺傳算法的網(wǎng)絡(luò)入侵檢測方法[J].呂峰，葉東海，楊宏，賈婧鎣.電子技術(shù)與軟件工程.2017（04）

[2]計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測中的數(shù)據(jù)挖掘[J].張枝令.長春工業(yè)大學(xué)學(xué)報(bào)（自然科學(xué)版）.2014（06）

[3]網(wǎng)絡(luò)入侵檢測中的數(shù)據(jù)挖掘技術(shù)探討[J].郭軍華.科技廣場.2005（02）

[4]數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用研究[J].徐敏，蔣偉梁.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2016（06）

[5]數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].劉健.計(jì)算機(jī)光盤軟件與應(yīng)用.2013（02）

[6]數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用探討[J].王照環(huán)，楊曉蕓，韓釧.硅谷.2010（11）.