摘 要：分析了入侵檢測系統(tǒng)發(fā)展現(xiàn)狀與數(shù)據(jù)挖掘入侵系統(tǒng)優(yōu)勢，并針對網(wǎng)絡(luò)入侵，通過應用數(shù)據(jù)挖掘技術(shù)，建立網(wǎng)絡(luò)入侵檢測系統(tǒng)，確保網(wǎng)絡(luò)安全。

關(guān)鍵詞：信息技術(shù);網(wǎng)絡(luò)安全;檢測系統(tǒng)

入侵檢測作為一種重要的動態(tài)網(wǎng)絡(luò)安全防護技術(shù)，能夠提供對計算機系統(tǒng)和網(wǎng)絡(luò)的內(nèi)部、外部攻擊以及誤操作的全面檢測，其主要功能是監(jiān)視并分析用戶和系統(tǒng)的行為、審查系統(tǒng)配置的弱點、評估已知攻擊的行為模式、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審查跟蹤管理和識別用戶違反安全策略的行為。作為防火墻之外的第二道安全防線，入侵檢測已成為網(wǎng)絡(luò)安全領(lǐng)域重要而迫切的課題。

1 入侵檢測系統(tǒng)發(fā)展現(xiàn)狀與數(shù)據(jù)挖掘入侵系統(tǒng)優(yōu)勢

入侵檢測的概念和公共入侵檢測系統(tǒng)建立的提出，許多入侵檢測的方法相繼被提出，其中主要包括基于專家系統(tǒng)的入侵檢測方法、基于模式匹配與協(xié)議分析的入侵檢測方法、基于用戶行為統(tǒng)計分的入侵檢測方法、智能代理檢測等。隨著企業(yè)網(wǎng)絡(luò)用戶的增多，為了應對數(shù)量不斷增長的審查行為數(shù)據(jù)面臨的新的挑戰(zhàn)，一些新的技術(shù)在傳統(tǒng)的入侵檢測也相繼出現(xiàn)，比如模糊技術(shù)、遺傳算法、神經(jīng)網(wǎng)絡(luò)和狀態(tài)轉(zhuǎn)換等，其中如何從海量的數(shù)據(jù)中抽取出有用的規(guī)則已經(jīng)成為影響入侵檢測系統(tǒng)性能的關(guān)鍵?；诖笠?guī)模用戶行為數(shù)據(jù)挖掘技術(shù)與入侵檢測系統(tǒng)的特點有效結(jié)合志來，可以取得良好的信息安全防護效果。

數(shù)據(jù)挖掘用于入侵檢測系統(tǒng)中，通過將數(shù)據(jù)挖掘技術(shù)和入檢測相結(jié)合，能及時發(fā)現(xiàn)并報告系統(tǒng)中未經(jīng)授權(quán)或異常行為，為網(wǎng)絡(luò)安全提供實行的入侵檢測和防護。通過將數(shù)據(jù)挖掘技術(shù)用在入侵檢測系統(tǒng)中，對關(guān)聯(lián)規(guī)和聚類分析典型算法，建立數(shù)據(jù)挖掘的企業(yè)網(wǎng)絡(luò)入侵檢測系統(tǒng)，能有效減少規(guī)則建立過程中的人工參與程度，有效提高入侵檢測系統(tǒng)的效率，從而提高入侵檢測的準確性，以保障企業(yè)網(wǎng)絡(luò)信息安全。

2 基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測系統(tǒng)的建立

2.1 數(shù)據(jù)挖掘技術(shù)

很多數(shù)據(jù)挖掘技術(shù)都能用于入侵檢測系統(tǒng)，例如關(guān)聯(lián)分析、分類、聚類和序列分析等。關(guān)聯(lián)分析，也叫關(guān)聯(lián)規(guī)則挖掘，是通過用戶指定最小支持度和最小置信度來在序列（事物）數(shù)據(jù)庫中尋找關(guān)聯(lián)規(guī)則的過程，在發(fā)現(xiàn)滿足用戶最小支持度的頻繁項目（序列）集的基礎(chǔ)上，找出滿足用戶給定最小置信度的關(guān)聯(lián)規(guī)則集。分類則是根據(jù)給定的類別和訓練數(shù)據(jù)，對數(shù)據(jù)庫中的序列數(shù)據(jù)進行分類的過程。這是一個有監(jiān)督的學習過程，通過發(fā)現(xiàn)類別中的共性及特征，從歷史數(shù)據(jù)記錄中判定給定數(shù)據(jù)的類別描述，從而對數(shù)據(jù)的屬性做出預測，指導入侵檢測的行為模式判斷。相比于分類，聚類是一種不帶類別指導信息的無監(jiān)督學習算法，它會根據(jù)數(shù)據(jù)內(nèi)部的關(guān)聯(lián)將數(shù)據(jù)分為多個類或簇，劃分的原則是同一個簇之間的數(shù)據(jù)之間具有較高的相似度，而不同簇中的數(shù)據(jù)相似度較低。這是一種數(shù)據(jù)中類別模式的自動發(fā)現(xiàn)過程。序列模式分析則是指從序列數(shù)據(jù)中發(fā)現(xiàn)相對時間或者其他順序所出現(xiàn)的高頻率子序列，其目標為發(fā)現(xiàn)數(shù)據(jù)之間的聯(lián)系，分析數(shù)據(jù)發(fā)生的前后序列的關(guān)系，它在入侵檢測中的一個主要應用是通過對用戶命令序列分析，建立用戶概貌，任何對特定用戶行為模式的偏離，都被視為用戶行為異常。

2.2 基于數(shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)

在入侵檢測系統(tǒng)中應用數(shù)據(jù)挖掘方法，首先需要建立關(guān)于安全行為模式的先驗知識，然后提取出可以有效反映系統(tǒng)行為特性的特征屬性，然后才能有效地應用適當?shù)乃惴▽彶閿?shù)據(jù)進行數(shù)據(jù)分析和模式挖掘，并將發(fā)現(xiàn)的知識更新到現(xiàn)有的企業(yè)入侵檢測系統(tǒng)中，保證網(wǎng)絡(luò)系統(tǒng)的學習能力，從而在根本上保證企業(yè)網(wǎng)絡(luò)安全。

基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)主要由數(shù)據(jù)預處理、異常分析器、規(guī)則庫、模式挖掘器、規(guī)則生成器和報警器等六個部分來組成。系統(tǒng)中行為數(shù)據(jù)源中的數(shù)據(jù)由系統(tǒng)中不同環(huán)節(jié)里的數(shù)據(jù)包嗅探器獲取收集，作為一個簡單的抓取信息的窗口，數(shù)據(jù)包嗅探器所在的集團決定了入侵檢測的局部處理的程度以及行為數(shù)據(jù)的種類，不同類別的行為數(shù)據(jù)需要用不同的數(shù)據(jù)挖掘技術(shù)來自處理。數(shù)據(jù)預處理模塊負責將原始數(shù)據(jù)轉(zhuǎn)換為適于數(shù)據(jù)挖掘方法所需要的數(shù)據(jù)模式，同時，對一些無效或者噪音數(shù)據(jù)進行清理，以減少模式匹配及數(shù)據(jù)挖掘工作所處理的數(shù)據(jù)量。在數(shù)據(jù)預處理過程中可以以插件的方式采用第三方入侵檢測工具檢測已知攻擊入侵行為并報警，這樣可以有效提高整個入侵檢測系統(tǒng)的靈活性和可擴展性，同時可以提高后續(xù)模塊的處理效率。數(shù)據(jù)挖掘模塊則根據(jù)數(shù)據(jù)源的不同負責對預處理后的數(shù)據(jù)進行各種形式的模式挖掘處理（關(guān)聯(lián)規(guī)則挖掘、序列分析、聚類），以發(fā)現(xiàn)不同數(shù)據(jù)源中的內(nèi)在行為模式，工同已有規(guī)則庫的規(guī)則模式進行匹配，當發(fā)現(xiàn)新的入侵模式或正常行為模式時，更新進入規(guī)則庫。異常分析則負責對預處理后的數(shù)據(jù)流進行掃描，如果檢測到與系統(tǒng)規(guī)則庫定義的規(guī)則相匹配的入侵模式，則送報警器響應處理。規(guī)則庫用來存儲已有的規(guī)則（包括先驗行為規(guī)則）和新近數(shù)據(jù)挖掘形成的規(guī)則集，同時對預處理所需要的信息進行存儲。規(guī)則生成器則根據(jù)數(shù)據(jù)挖掘模塊產(chǎn)生的關(guān)于行為模式的新的知識實時生成用于偏離分析的規(guī)則，并對這些數(shù)據(jù)進行特征提取，把那些入侵行為特征存入規(guī)則庫。當異常分析器報告發(fā)現(xiàn)異常行為數(shù)據(jù)流時，報警器向系統(tǒng)管理員發(fā)出通知報警。

基于數(shù)據(jù)挖掘技術(shù)入侵檢測系統(tǒng)在實際應用時，需要基于先驗的入侵行為及安全行為的背景知識，事先存入先驗入侵模式規(guī)則，這樣能有效降低系統(tǒng)啟動時的誤報率，應用過程中，能有效地發(fā)現(xiàn)新的行為模式，使入侵檢測規(guī)則的發(fā)現(xiàn)、更新與執(zhí)行更接近于實時，具有規(guī)則更新的自適應能力，不但可以檢測到已知的攻擊，而且可以檢測到新的未知的攻擊行為，提高檢測效率，增加網(wǎng)絡(luò)信息檢測的預警率。

3 結(jié)語

通過在入侵檢測系統(tǒng)中引入數(shù)據(jù)挖掘技術(shù)，用這些規(guī)則去檢測新的入侵行為，用最低的成本更新規(guī)則和系統(tǒng)，提高檢測的效率，解決入侵檢測系統(tǒng)的不足?；跀?shù)據(jù)挖掘技術(shù)網(wǎng)絡(luò)入侵檢測系統(tǒng)行為模式的發(fā)掘是核心，規(guī)則庫中規(guī)則的準確度和覆蓋面直接影響入侵檢測系統(tǒng)的整體性能。

參考文獻：

[1]張雪芹，顧春華，林家駿.入侵檢測技術(shù)的挑戰(zhàn)與發(fā)展[J].計算機工程與設(shè)計，2012：25.

作者簡介：張紅雨（1981-），男，山東萊陽人，碩士研究生，工程師，研究方向：計算機與信息技術(shù)。