［李俊濤］

1 引言

隨著互聯(lián)網(wǎng)的快速發(fā)展，人們可以利用互聯(lián)網(wǎng)獲得更多的資源，并實(shí)現(xiàn)相互之間的資源共享。為此互聯(lián)網(wǎng)中的任何終端都可能成為不法分子的攻擊對(duì)象，例如個(gè)人信息的泄露、病毒的傳播、合法信息篡改等。面對(duì)如此嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題，保護(hù)網(wǎng)絡(luò)安全以及完善網(wǎng)絡(luò)安全的防御機(jī)制刻不容緩。傳統(tǒng)的保護(hù)策略有：訪問(wèn)認(rèn)證、漏洞掃描、SSL 加密、數(shù)據(jù)驗(yàn)證等。這些都是被動(dòng)防御策略，不能主動(dòng)去發(fā)現(xiàn)入侵，對(duì)網(wǎng)絡(luò)安全的保護(hù)遠(yuǎn)遠(yuǎn)不足。而入侵檢測(cè)系統(tǒng)能夠做到主動(dòng)防御，對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行主動(dòng)檢測(cè)，具備完善的安全保護(hù)策略，可以為系統(tǒng)數(shù)據(jù)提供實(shí)時(shí)有效的安全保障[1]。

2 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)顧名思義就是對(duì)外部入侵行為的尋找與追蹤，是對(duì)計(jì)算機(jī)信息的識(shí)別與驗(yàn)證[2]。在網(wǎng)絡(luò)安全防御機(jī)制中，入侵檢測(cè)系統(tǒng)對(duì)整個(gè)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)控，為網(wǎng)絡(luò)環(huán)境提供保障。多數(shù)入侵檢測(cè)系統(tǒng)存在三方面的問(wèn)題：一是缺乏適用性，網(wǎng)絡(luò)的發(fā)展瞬息萬(wàn)變，目前現(xiàn)有檢測(cè)規(guī)則的更新速度，遠(yuǎn)遠(yuǎn)趕不上新型網(wǎng)絡(luò)攻擊出現(xiàn)的速度，因此編制完整的規(guī)則庫(kù)幾乎不可能實(shí)現(xiàn)；二是缺乏時(shí)效性，目前互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)等各種網(wǎng)絡(luò)交叉運(yùn)行，網(wǎng)絡(luò)環(huán)境異常復(fù)雜，攻擊的手段和方式也不斷進(jìn)步，僅憑現(xiàn)有經(jīng)驗(yàn)編制的規(guī)則難以全面覆蓋；三是缺乏可移植性，目前大多的規(guī)則包都是在特定的網(wǎng)絡(luò)環(huán)境下編制的，改變網(wǎng)絡(luò)運(yùn)行環(huán)境后，就難免出現(xiàn)各種問(wèn)題。

2.1 入侵檢測(cè)的分類(lèi)

根據(jù)系統(tǒng)部署實(shí)施的方式可分為：基于主機(jī)型（HIDS）和基于網(wǎng)絡(luò)型（NIDS）[3]。

HIDS 主要用于監(jiān)測(cè)主機(jī)的系統(tǒng)和事件，通過(guò)對(duì)主機(jī)系統(tǒng)上的審計(jì)記錄、日志文件等數(shù)據(jù)進(jìn)行查看和分析，識(shí)別入侵者的入侵行為，并啟動(dòng)相應(yīng)程序來(lái)處理入侵行為，向管理員報(bào)警。檢測(cè)系統(tǒng)的響應(yīng)速度，與定期對(duì)檢測(cè)數(shù)據(jù)進(jìn)行校驗(yàn)的頻率有直接的關(guān)系。HIDS 有以下幾方面的優(yōu)點(diǎn)：一是識(shí)別攻擊行為明晰，在目標(biāo)主機(jī)遭受入侵時(shí)，系統(tǒng)數(shù)據(jù)會(huì)有明顯變化，檢測(cè)系統(tǒng)可以快速明確識(shí)別攻擊行為；二是檢測(cè)范圍明確，針對(duì)主機(jī)系統(tǒng)中的數(shù)據(jù)如：系統(tǒng)日志、安全審計(jì)等文件來(lái)驗(yàn)證攻擊行為的發(fā)生；三是配置靈活，在具體的實(shí)際應(yīng)用要求下，每臺(tái)主機(jī)上的檢測(cè)系統(tǒng)都可以按照自身要求進(jìn)行配置；四是對(duì)網(wǎng)絡(luò)環(huán)境不敏感，數(shù)據(jù)的傳輸一般情況下都需要加密處理，HIDS 只對(duì)主機(jī)狀態(tài)和系統(tǒng)文件進(jìn)行檢測(cè)，不受交換環(huán)境和網(wǎng)絡(luò)流量的影響。盡管HIDS 具有眾多優(yōu)點(diǎn)，但也有不足之處：一方面兼容性弱，挑剔運(yùn)行環(huán)境，在很多平臺(tái)下無(wú)法正常有效運(yùn)行。另一方面占用部署主機(jī)的資源，對(duì)主機(jī)系統(tǒng)本身的性能會(huì)產(chǎn)生影響。

NIDS 一般部署在網(wǎng)絡(luò)鏈路中的入口，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)入侵行為的有效檢測(cè)。在混雜的網(wǎng)絡(luò)模式下，通過(guò)抓取關(guān)鍵入口的數(shù)據(jù)，采集分析網(wǎng)絡(luò)中的通訊業(yè)務(wù)，辨別入侵行為。相比HIDS 優(yōu)點(diǎn)如下：一是檢測(cè)速度快，NIDS 只需對(duì)流入主機(jī)的網(wǎng)絡(luò)流量數(shù)據(jù)包進(jìn)行排查，不需要排查主機(jī)的所有文件，檢測(cè)時(shí)間非常短；二是覆蓋范圍廣，一個(gè)局域網(wǎng)中只需部署一臺(tái)NIDS，就可以對(duì)多個(gè)主機(jī)起到保護(hù)作用；三是適用性強(qiáng)，NIDS 是基于網(wǎng)絡(luò)的，有自己特定的硬件設(shè)備，因此不受網(wǎng)絡(luò)中其他主機(jī)操作系統(tǒng)及硬件設(shè)備的影響。相比之下NIDS 也有許多不足例如：檢測(cè)區(qū)域僅限于局域網(wǎng)、檢測(cè)結(jié)果存在較大誤差、無(wú)法定位對(duì)外來(lái)入侵行為。

通過(guò)以上對(duì)比，我們將入侵檢測(cè)系統(tǒng)的功能歸納如下：

（1）可以對(duì)漏洞攻擊行為和用戶(hù)非法行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)。

（2）可以對(duì)入侵行為進(jìn)行檢測(cè)和報(bào)警，并對(duì)受保護(hù)系統(tǒng)的異常事件進(jìn)行統(tǒng)計(jì)和分析。

（3）可以對(duì)受保護(hù)文件的完整性進(jìn)行審計(jì)和評(píng)估。

2.2 入侵檢測(cè)的技術(shù)

根據(jù)匹配數(shù)據(jù)規(guī)則特征庫(kù)的類(lèi)型可分為：誤用檢測(cè)和異常檢測(cè)技術(shù)[4]。

誤用檢測(cè)技術(shù)，在檢測(cè)系統(tǒng)運(yùn)行時(shí)，通過(guò)已知的攻擊特征庫(kù)，來(lái)和待檢行為進(jìn)行匹配，這種技術(shù)稱(chēng)作誤用檢測(cè)。檢測(cè)時(shí)先制定出非法行為的規(guī)則特征庫(kù)，將采集分析好的行為數(shù)據(jù)和該庫(kù)進(jìn)行匹配，匹配則判定入侵，不匹配則判定正常。其主要的技術(shù)手段包括：表達(dá)式模式、語(yǔ)言分析和專(zhuān)家判斷等。誤用檢測(cè)技術(shù)在面對(duì)已知的入侵行為表現(xiàn)的較好，但面對(duì)未知的攻擊則表現(xiàn)出低效，易錯(cuò)。

異常檢測(cè)技術(shù)，首先檢測(cè)前制定出用戶(hù)或系統(tǒng)正常行為的規(guī)則特征庫(kù)，將被檢測(cè)數(shù)據(jù)和該庫(kù)進(jìn)行比較，并設(shè)立一個(gè)合適的閾值。如果偏高，則認(rèn)定該行為偏離正常行為視為入侵。如果偏低，則認(rèn)定該行為吻合正常行為模式，視為正常。其主要的技術(shù)手段有：神經(jīng)網(wǎng)絡(luò)、規(guī)則檢測(cè)等。異常入侵檢測(cè)系統(tǒng)中如何正確建立合適的檢測(cè)規(guī)則庫(kù)是核心所在[5]。為了確保異常檢測(cè)系統(tǒng)的有效運(yùn)行，其檢測(cè)規(guī)則特征庫(kù)需要被不斷的修正和更新，判斷的閾值也需不斷的更改，只有這樣異常檢測(cè)系統(tǒng)的識(shí)別度和靈敏度才會(huì)不斷地提高。

通過(guò)以上兩種檢測(cè)技術(shù)的分析，我們得到它們的共同點(diǎn)，都需要通過(guò)已知數(shù)據(jù)類(lèi)型，來(lái)構(gòu)建檢測(cè)規(guī)則庫(kù)，不同點(diǎn)在于誤用檢測(cè)技術(shù)提取攻擊數(shù)據(jù)，而異常檢測(cè)技術(shù)提取正常行為數(shù)據(jù)。從效能來(lái)看，誤用檢測(cè)技術(shù)是參照已知的攻擊特征庫(kù)，所以漏報(bào)率高，誤報(bào)率低。而異常檢測(cè)技術(shù)則是參照正常的行為特征庫(kù)，所以漏報(bào)率和誤報(bào)率都高。

2.3 混合型入侵檢測(cè)模型

參考上文的介紹和分析，本文提出了一種新的混合型檢測(cè)的模型，這種模型融合了兩種技術(shù)優(yōu)點(diǎn)，最大限度地發(fā)揮了各自的特長(zhǎng)，模型如圖1 所示。

圖1 混合型入侵檢測(cè)模型

檢測(cè)流程為：首先數(shù)據(jù)獲取部分，采集并分析原始數(shù)據(jù)，將數(shù)據(jù)加工和處理成能夠被混合系統(tǒng)識(shí)別的數(shù)據(jù)集。其次誤用檢測(cè)部分，根據(jù)已知的攻擊規(guī)則特征庫(kù)，對(duì)數(shù)據(jù)集進(jìn)行模式匹配，如匹配則作出響應(yīng)動(dòng)作。再將剩下的和未檢出的數(shù)據(jù)集，流轉(zhuǎn)到異常檢測(cè)部分。最后由異常檢測(cè)部分，根據(jù)已知正常行為規(guī)則特征庫(kù)，對(duì)流轉(zhuǎn)來(lái)的數(shù)據(jù)集進(jìn)行模式匹配，將匹配不成功的數(shù)據(jù)類(lèi)型記錄到檢測(cè)系統(tǒng)中，并進(jìn)行專(zhuān)家判斷。如果屬于攻擊數(shù)據(jù)，則將該特征更新到誤用檢測(cè)規(guī)則特征庫(kù)中，如果屬于正常數(shù)據(jù)，則將該特征更新到異常檢測(cè)規(guī)則特征庫(kù)中，以便下一次的檢測(cè)。

混合型模式的優(yōu)點(diǎn)在于，可以更多地檢測(cè)出攻擊類(lèi)型，無(wú)論是已知的還為未知的，大大提高了檢測(cè)效果。在精確度方面，它比誤用檢測(cè)低，比異常檢測(cè)高。在誤報(bào)率方面，混合型檢測(cè)有效地降低了單一異常檢測(cè)的誤報(bào)率。

3 數(shù)據(jù)挖掘

3.1 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘是在大量模糊的、有噪聲的、無(wú)規(guī)則的數(shù)據(jù)中，發(fā)掘潛在的、有關(guān)聯(lián)性的模式或規(guī)則。數(shù)據(jù)挖掘的實(shí)現(xiàn)主要由3 個(gè)階段構(gòu)成：第一階段數(shù)據(jù)的籌備，包括數(shù)據(jù)目標(biāo)獲取數(shù)據(jù)對(duì)象、不同類(lèi)型數(shù)據(jù)的預(yù)處理和噪聲消除、數(shù)據(jù)的降維變換等；第二階段數(shù)據(jù)挖掘，根據(jù)不同的數(shù)據(jù)挖掘模型，確定與之匹配的挖掘算法，從大量不完整、無(wú)規(guī)則的數(shù)據(jù)中發(fā)現(xiàn)潛在有關(guān)聯(lián)性的數(shù)據(jù)，以便對(duì)結(jié)果進(jìn)行預(yù)測(cè)；第三階段數(shù)據(jù)的表示和評(píng)估，對(duì)數(shù)據(jù)挖掘得到的信息進(jìn)行關(guān)聯(lián)規(guī)則、分揀分類(lèi)、聚類(lèi)分析后得到挖掘數(shù)據(jù)的價(jià)值，再以明析的形式表現(xiàn)出來(lái)，實(shí)現(xiàn)數(shù)據(jù)的可視化。

3.2 基于入侵檢測(cè)的Apriori 算法

面向入侵檢測(cè)的數(shù)據(jù)挖掘算法是入該系統(tǒng)中最重要的一環(huán)，不同的數(shù)據(jù)挖掘算法針對(duì)不同的模型有不同的優(yōu)缺點(diǎn)。統(tǒng)計(jì)分析、特征分析、變化和偏差分析、聚類(lèi)是數(shù)據(jù)挖掘的經(jīng)常使用的分析方法，而關(guān)聯(lián)規(guī)則是數(shù)據(jù)挖掘算法的重點(diǎn)，代表數(shù)據(jù)相互之間的關(guān)系。關(guān)聯(lián)規(guī)則的Apriori算法基本思路為：找出頻繁性滿(mǎn)足支持度閾值的所有數(shù)據(jù)，并建立數(shù)據(jù)集，然后由該數(shù)據(jù)集生成支持度和置信度都不小于最少支持度和最小置信度的強(qiáng)關(guān)聯(lián)規(guī)則[6]，算法過(guò)程如下：首先假設(shè)有一個(gè)由若干個(gè)不同項(xiàng)組成的頻繁項(xiàng)集的數(shù)據(jù)集K={K1，K2，…，KL}，其次掃描整個(gè)數(shù)據(jù)D，獲得候選項(xiàng)集的所有1 項(xiàng)集作為算法輸入的初始值，并計(jì)算候選項(xiàng)集L-1 的支持度，忽略支持度小于最小支持度的候選項(xiàng)集，得到項(xiàng)集KL。如果得該項(xiàng)集只有一項(xiàng)或者為空，則輸出L-1 個(gè)項(xiàng)集的K={K1，K2，…，KL-1}。反之則生成候選L+1 項(xiàng)集，并重復(fù)上述過(guò)程。

4 基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)設(shè)計(jì)

4.1 設(shè)計(jì)思路

本文總體設(shè)計(jì)的核心為數(shù)據(jù)挖掘之間的關(guān)聯(lián)規(guī)則，實(shí)現(xiàn)對(duì)數(shù)據(jù)及時(shí)有效地分析。以前文提出的混合型入侵檢測(cè)模型為例，將其進(jìn)行改進(jìn)，改進(jìn)后的系統(tǒng)如圖2 所示。

圖2 基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)

總體設(shè)計(jì)思路如下：

（1）在混合型檢測(cè)系統(tǒng)里增加合法的行為模塊，通過(guò)關(guān)聯(lián)分析和聚類(lèi)分析，將正常的網(wǎng)絡(luò)行為排除在外，得到異常數(shù)據(jù)。

（2）增添相應(yīng)的規(guī)則匹配模塊，對(duì)異常數(shù)據(jù)進(jìn)行匹配，減少系統(tǒng)的誤報(bào)漏報(bào)，提升檢測(cè)成效。

（3）增添動(dòng)態(tài)規(guī)則生成模塊，及時(shí)有效的對(duì)現(xiàn)有規(guī)則庫(kù)進(jìn)行迭代更新，提升規(guī)則庫(kù)的完備性。

4.2 系統(tǒng)實(shí)現(xiàn)

為了通過(guò)對(duì)大量已知網(wǎng)絡(luò)行為數(shù)據(jù)的數(shù)據(jù)挖掘和分析，找出其攻擊特征來(lái)作為本文入侵系統(tǒng)的檢測(cè)依據(jù)。我們采用了NSL-KDD 數(shù)據(jù)集，該數(shù)據(jù)集信息充足，包含多種未經(jīng)訓(xùn)練的數(shù)據(jù)作為測(cè)試集，模擬真實(shí)的網(wǎng)絡(luò)攻擊環(huán)境[7]。為了能夠準(zhǔn)確識(shí)別出各種攻擊類(lèi)型，首先要對(duì)采集到的原始數(shù)據(jù)進(jìn)行去噪音、去沉余等處理。然后將原始數(shù)據(jù)轉(zhuǎn)換成入侵測(cè)試系統(tǒng)可識(shí)別的標(biāo)準(zhǔn)數(shù)據(jù)。最后將標(biāo)準(zhǔn)化處理后的數(shù)據(jù)采用Apriori 決策樹(shù)算法得到關(guān)聯(lián)規(guī)則，進(jìn)而實(shí)現(xiàn)數(shù)據(jù)挖掘。其算法流程為：

（1）對(duì)采集到的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，找尋出決策樹(shù)項(xiàng)集；

（2）往復(fù)循環(huán)處理，歸納出訓(xùn)練集的決策樹(shù)K項(xiàng)集合；

（3）對(duì)每個(gè)待測(cè)數(shù)據(jù)進(jìn)行遍歷，得出目標(biāo)數(shù)據(jù)的決策樹(shù)項(xiàng)支持頻度；

（4）通過(guò)計(jì)算網(wǎng)絡(luò)數(shù)據(jù)包與決策樹(shù)正常選項(xiàng)集的支持頻度來(lái)確定是異常數(shù)據(jù)還是正常數(shù)據(jù)，進(jìn)而實(shí)現(xiàn)入侵檢測(cè)。

4.3 仿真實(shí)驗(yàn)

本文實(shí)驗(yàn)驗(yàn)證采用軟件環(huán)境windows7 操作系統(tǒng)，軟件開(kāi)發(fā)語(yǔ)言為VC++6.0，實(shí)驗(yàn)數(shù)據(jù)為NSL-KDD 數(shù)據(jù)集。通過(guò)對(duì)不同檢測(cè)方法入侵檢測(cè)系統(tǒng)的檢測(cè)率，誤報(bào)率及檢測(cè)時(shí)間進(jìn)行驗(yàn)證，來(lái)評(píng)價(jià)系統(tǒng)的有效性，實(shí)驗(yàn)數(shù)據(jù)比較見(jiàn)表1。

表1 不同檢測(cè)方法的檢測(cè)性能比較

由表1 可知，采用同一個(gè)測(cè)試樣本，本文設(shè)計(jì)的檢測(cè)系統(tǒng)具有較高的準(zhǔn)確率，同時(shí)誤報(bào)率、漏報(bào)率也低于其他測(cè)試系統(tǒng)，具有一定的優(yōu)勢(shì)。同時(shí)為了驗(yàn)證系統(tǒng)的時(shí)效性，要對(duì)不同方法在檢測(cè)時(shí)間上進(jìn)行對(duì)比，以驗(yàn)證系統(tǒng)檢測(cè)效率，具體效果見(jiàn)表2。

表2 相同檢測(cè)樣本的檢測(cè)性能比較

由表2 可知，本文的檢測(cè)系統(tǒng)在保證準(zhǔn)確率的同時(shí)，檢測(cè)時(shí)間也大大減少，具有一定的理論價(jià)值和應(yīng)用價(jià)值。

5 結(jié)語(yǔ)

本文首先介紹了入侵檢測(cè)系統(tǒng)概念，詳細(xì)對(duì)比了它的分類(lèi)和應(yīng)用技術(shù)，并提出了一種新的混合檢測(cè)模型。在此基礎(chǔ)上，介紹了常用的數(shù)據(jù)挖掘算法，并將數(shù)據(jù)挖掘算法與混合檢測(cè)模型結(jié)合起來(lái)，通過(guò)Apriori算法得到關(guān)聯(lián)規(guī)則，進(jìn)行數(shù)據(jù)挖掘，構(gòu)建了基于數(shù)據(jù)挖掘的混合型入侵檢測(cè)系統(tǒng)。最后為了驗(yàn)證該系統(tǒng)，通過(guò)實(shí)驗(yàn)室數(shù)據(jù)對(duì)比，表明本系統(tǒng)和其他單一系統(tǒng)相比，無(wú)論是檢測(cè)效果，還是檢測(cè)時(shí)間上都有一定的優(yōu)勢(shì)，對(duì)今后構(gòu)建多元化、多樣化的入侵檢測(cè)系統(tǒng)有一定的借鑒意義。