齊智江

（黑龍江幼兒師范高等專科學(xué)校，黑龍 江牡丹江 157011）

在互聯(lián)網(wǎng)時代，計算機信息技術(shù)已經(jīng)滲透到日常生活、工作辦公等各個領(lǐng)域。由于互聯(lián)網(wǎng)具有開放性的特點，一些黑客通過植入木馬、傳播病毒的方式，破壞計算機安全系統(tǒng)，竊取網(wǎng)絡(luò)用戶的隱私信息、重要數(shù)據(jù)，對網(wǎng)絡(luò)信息安全構(gòu)成了巨大威脅。隨著人們對網(wǎng)絡(luò)安全重視程度的提升，近年來也出現(xiàn)了大量的網(wǎng)絡(luò)安全技術(shù)。例如防火墻保護、用戶權(quán)限認(rèn)證。入侵檢測是通過實時收集和分析用戶行為數(shù)據(jù)，一旦發(fā)現(xiàn)異常行為可以立即采取隔離、防御或清除等措施，不僅識別精度高，而且能夠從源頭上解決入侵行為，將損失降到了最低，是現(xiàn)階段網(wǎng)絡(luò)信息安全保護中應(yīng)用效果較好的技術(shù)之一。

1 計算機入侵檢測數(shù)據(jù)挖掘模型的設(shè)計

1.1 基于數(shù)據(jù)挖掘的入侵檢測流程設(shè)計

獲取用戶行為數(shù)據(jù)是進行入侵檢測的基礎(chǔ)步驟，保證數(shù)據(jù)全面、及時、準(zhǔn)確，對降低入侵檢測的誤報率、漏報率有積極幫助。基于數(shù)據(jù)挖掘的入侵檢測，主要包含了兩個步驟：第一是數(shù)據(jù)的準(zhǔn)備。在計算機網(wǎng)絡(luò)系統(tǒng)運行中，每時每刻都會產(chǎn)生大量的用戶行為數(shù)據(jù)。這些數(shù)據(jù)被收集起來并統(tǒng)一存儲到了歷史數(shù)據(jù)庫中。在數(shù)據(jù)準(zhǔn)備步驟中，需要將數(shù)據(jù)庫中的用戶行為數(shù)據(jù)提取出來，并按照特定的規(guī)則完成數(shù)據(jù)預(yù)處理。在經(jīng)過清洗、整理后，所得數(shù)據(jù)被暫時存放到知識規(guī)則庫。第二是數(shù)據(jù)的檢測。將實時產(chǎn)生的用戶行為數(shù)據(jù)作為檢測數(shù)據(jù)，采集之后同樣經(jīng)過一道預(yù)處理工序，進行特征提取后，與知識規(guī)則庫中存放中的數(shù)據(jù)進行對比、分析。根據(jù)分析結(jié)果，如果未發(fā)現(xiàn)入侵風(fēng)險，則繼續(xù)采集實時用戶行為數(shù)據(jù)，進入到下一周期的入侵檢測中；如果檢測到入侵風(fēng)險，則進行預(yù)警。整個檢測流程如圖1 所示。

圖1 基于數(shù)據(jù)挖掘的入侵檢測流程圖

1.2 網(wǎng)絡(luò)入侵異常檢測模型設(shè)計

1.2.1 流量異常檢測模型

入侵檢測流量異常是在管理員設(shè)定的監(jiān)測范圍中，用基線模板（Baseline Template）對所有封包流量進行檢測的一種模型。它將網(wǎng)絡(luò)中正常流量形成的模型作為參照物，并與網(wǎng)絡(luò)中實時產(chǎn)生的流量進行配對，如果配對成功，則說明運行正常；如果配對失敗，則說明存在流量異常，這樣就可以實時發(fā)現(xiàn)問題流量。管理員可靈活設(shè)定網(wǎng)絡(luò)監(jiān)測范圍及監(jiān)測對象，并且能通過參數(shù)調(diào)節(jié)劃分異常敏感度從而實現(xiàn)分級告警，例如中度異常、高度異常等。流量異常檢測模型在識別異常流量后，還會對其展開分析，判斷異常流量的狀態(tài)。通常來說有4 種狀態(tài)，分別是該異常流量正在進行（Ongoing）、已經(jīng)復(fù)原（Recovered）、已經(jīng)檢查（Checked） 和設(shè)定無效（Obsolete）。

1.2.2 協(xié)議濫用異常檢測模型

DDoS 攻擊與協(xié)議濫用是常見的網(wǎng)絡(luò)入侵形式，構(gòu)建面向協(xié)議濫用的入侵檢測模型，可以根據(jù)封包長度、通訊協(xié)議、端口號、網(wǎng)絡(luò)非法地址等流量特征，實現(xiàn)對DDoS 攻擊、協(xié)議濫用異常的入侵檢測，從而達(dá)到保護網(wǎng)絡(luò)安全的目的。協(xié)議濫用異常的攻擊流量模式定義如表1 所示。

表1 協(xié)議濫用異常的常見攻擊模式

基于協(xié)議濫用異常的檢測模型，不僅提供了幾種常見的攻擊特征定義（如Sasser、Code Red 等），而且支持管理員自定義添加一些病毒的特征信息。通過不斷豐富檢測模型，進一步提高該模型對協(xié)議濫用異常的識別精度。例如，Sasser病毒的特征是每個聯(lián)機傳送兩個封包，每個封包長度為96字節(jié)；而Code Red 病毒的特征是每個聯(lián)機傳送三個封包，每個封包長度144 字節(jié)?；谶@些病毒特征，該模型能夠準(zhǔn)確檢測異常并且根據(jù)異常信息識別出具體的攻擊類型，從而提高了網(wǎng)絡(luò)安全保護的能力。

1.3 基于混合算法的入侵識別模型

早期基于數(shù)據(jù)挖掘的入侵檢測，主要采用單一的關(guān)聯(lián)規(guī)則算法，其原理是在挖掘海量數(shù)據(jù)的前提下，在實時數(shù)據(jù)與標(biāo)準(zhǔn)數(shù)據(jù)之間建立起某種關(guān)聯(lián)，根據(jù)特定的關(guān)聯(lián)規(guī)則計算兩者之間的異同點。如果差異明顯，則認(rèn)為是異常數(shù)據(jù)，判定為入侵行為。實踐表明，基于單一關(guān)聯(lián)規(guī)則算法的入侵檢測模型存在數(shù)據(jù)比較分析時間長、異常識別準(zhǔn)確度低等問題。因此，本文提出了一種關(guān)聯(lián)規(guī)則與決策樹相結(jié)合的混合算法，并基于混合算法構(gòu)建了入侵檢測模型，其結(jié)構(gòu)如圖2 所示。

圖2 基于混合算法的入侵檢測模型

關(guān)聯(lián)規(guī)則與決策樹在數(shù)據(jù)挖掘機制方面存在差異。如上文所述，關(guān)聯(lián)規(guī)則主要是對比兩種或多種數(shù)據(jù)的某種關(guān)聯(lián)性、規(guī)律性，根據(jù)對比結(jié)果是否存在異常來判斷有無入侵行為；而決策樹則是基于用戶行為，首先判斷該行為是否存在風(fēng)險，若識別出風(fēng)險，則直接完成入侵檢測。若用戶行為無風(fēng)險，則確定行為名稱，劃分行為主體和行為客體。再根據(jù)行為路徑判斷是否存在風(fēng)險?；跊Q策樹的入侵檢測模型雖然提高了對入侵行為的識別精度，但是由于決策樹中包含的分類較多，也會耗費較長的檢測時間。因此，采用關(guān)聯(lián)規(guī)則與決策樹相結(jié)合的方式，做到有機互補。在基于混合算法的入侵檢測模型中，一方面利用關(guān)聯(lián)規(guī)則來減少決策樹的條件屬性個數(shù)，提高決策樹分類精度，以便于更高效率檢測出入侵行為；另一方面利用決策樹的強關(guān)聯(lián)規(guī)則，進一步提高了入侵識別的精度。因此，該入侵檢測模型可以在異常行為檢測效率和識別精度上達(dá)到統(tǒng)一。

2 計算機入侵檢測系統(tǒng)的構(gòu)建

2.1 入侵檢測實驗原型系統(tǒng)的實現(xiàn)流程

該系統(tǒng)采用集中控制模式和分布式數(shù)據(jù)采集模式。基于數(shù)據(jù)挖掘和流量分析發(fā)現(xiàn)入侵行為后，系統(tǒng)進入防御狀態(tài)，同時發(fā)出預(yù)警，提醒管理員盡快解決問題，降低負(fù)面影響。從系統(tǒng)功能實現(xiàn)方式上來看，入侵檢測主要流程為：從日志樣本數(shù)據(jù)庫中提取出數(shù)據(jù)并做預(yù)處理，包括數(shù)據(jù)清洗、數(shù)據(jù)訓(xùn)練等。將預(yù)處理完畢的數(shù)據(jù)輸入到由ID3 決策樹模型和強關(guān)聯(lián)規(guī)則結(jié)合的混合模型中。然后與保存好的訓(xùn)練參數(shù)進行配對，根據(jù)配對結(jié)果判斷是否存在風(fēng)險。如果識別出風(fēng)險，則進行預(yù)警?；玖鞒倘鐖D3 所示。

圖3 入侵檢測原型系統(tǒng)實現(xiàn)流程

2.2 入侵檢測原型系統(tǒng)的功能模塊

該系統(tǒng)的核心功能模塊有4 個，分別是數(shù)據(jù)預(yù)處理、數(shù)據(jù)挖掘模型、數(shù)據(jù)挖掘檢測和基礎(chǔ)管理模塊。其中，數(shù)據(jù)預(yù)處理模塊提供數(shù)據(jù)的采集和標(biāo)準(zhǔn)化處理兩項功能。主要作用是從網(wǎng)絡(luò)運行日志中提取數(shù)據(jù)，并根據(jù)模型訓(xùn)練需要，將數(shù)據(jù)轉(zhuǎn)化成標(biāo)準(zhǔn)數(shù)據(jù)格式，提高異構(gòu)數(shù)據(jù)的兼容性。在數(shù)據(jù)獲取方式上，支持讀取事件源日志文件獲取，或者SNMP Trap 獲取等。數(shù)據(jù)挖掘檢測模塊支持在線監(jiān)測和離線監(jiān)測兩種模式，并且在獲得檢測結(jié)果后，根據(jù)有無入侵行為決定是否向管理員發(fā)送預(yù)警消息。如果檢測到入侵行為，則自動生成并發(fā)送預(yù)警消息，內(nèi)容包括入侵時間、入侵目標(biāo)、入侵路徑等。

3 入侵檢測原型系統(tǒng)的實驗驗證

3.1 實驗環(huán)境

為進一步驗證基于混合算法的入侵檢測系統(tǒng)對于入侵行為的檢測精度，創(chuàng)建了適用于該系統(tǒng)運行的實驗環(huán)境。硬件方面，包括1 臺主機服務(wù)器，使用P4 2.4G 處理器，4G 內(nèi)存，500G 硬盤；1 臺控制臺主機服務(wù)器，配置同上；100M 局域網(wǎng)。軟件方面，使用Windows 10 操作系統(tǒng)，SQLevrer 2018 數(shù)據(jù)庫。

3.2 驗證過程

本次實驗重點對系統(tǒng)基礎(chǔ)管理、數(shù)據(jù)預(yù)處理和入侵檢測功能3 項內(nèi)容展開測試。測試內(nèi)容及結(jié)果如下：

3.2.1 系統(tǒng)基礎(chǔ)管理測試。測試內(nèi)容包括登錄測試和退出測試兩部分。在登錄測試中，首先給定“用戶名：ABC，密碼：”，測試時驗證ABC 用戶身份，并提示該用戶輸入對應(yīng)的密碼，與期望一致。然后給定“用戶名：ABC，密碼：1234”，測試時驗證ABC 用戶身份，并提示該用戶成功登錄，與期望一致。在退出測試中，用戶點擊“退出系統(tǒng)”選項，測試時提示用戶成功退出系統(tǒng)，并返回至登錄界面，與期望一致。

3.2.2 數(shù)據(jù)預(yù)處理功能測試。向日志樣本庫中導(dǎo)入10000 條系統(tǒng)用戶行為歷史數(shù)據(jù)。然后由該系統(tǒng)對上述數(shù)據(jù)進行預(yù)處理，包括數(shù)據(jù)清洗、整理等。最后得到4160條有效使用的用戶行為數(shù)據(jù)記錄。數(shù)據(jù)預(yù)處理用時為13ms。

3.2.3 基于預(yù)處理所得數(shù)據(jù)，使用本文提出的基于決策樹和強關(guān)聯(lián)規(guī)則的混合算法入侵檢測系統(tǒng)進行用戶異常行為檢測，檢測結(jié)果如表2 所示。為了驗證該系統(tǒng)的應(yīng)用效果，實驗中還另外設(shè)計了未使用關(guān)聯(lián)混合模型的入侵檢測系統(tǒng)作為對比，檢測結(jié)果如表3 所示。

表2 基于混合模型入侵檢測系統(tǒng)的實驗驗證

表3 未使用關(guān)聯(lián)混合模型的入侵檢測系統(tǒng)對比實驗

對比表2、表3 數(shù)據(jù)可以發(fā)現(xiàn)，傳統(tǒng)基于單一關(guān)聯(lián)規(guī)則的入侵檢測系統(tǒng)，檢測正確率在58.3%-71.4%之間，平均63.9%。另外漏報率最高達(dá)到了4.2%、誤報率最高達(dá)到了4.8%。對比來看，基于混合模型的入侵檢測系統(tǒng)，檢測正確率在66.7%-76.9%之間，平均72.8%，可以發(fā)現(xiàn)該系統(tǒng)對于入侵行為的識別率更高，平均檢測正確率提升了8.9 個百分點。同樣的，該系統(tǒng)的漏報率最高為3.3%，假報率最高為3.1%，也出現(xiàn)了不同程度的降低。

4 結(jié)論

在計算機入侵檢測中，使用強關(guān)聯(lián)規(guī)則和決策樹相結(jié)合的混合模型，構(gòu)建入侵檢測系統(tǒng)，在提高入侵行為檢測精度，降低誤報率和假報率方面效果良好，極大地提升了網(wǎng)絡(luò)信息安全。