基于數(shù)據(jù)挖掘的數(shù)據(jù)庫入侵檢測系統(tǒng)設計

【摘 要】計算機安全問題的日益突出，對入侵檢測系統(tǒng)提出了更高的要求。本文探討了基于數(shù)據(jù)挖掘的數(shù)據(jù)庫入侵檢測系統(tǒng)，對數(shù)據(jù)庫內(nèi)數(shù)據(jù)的入侵行為的進行快速的識別，提高入侵檢測系統(tǒng)規(guī)則挖掘速度。

【關鍵詞】入侵檢測 數(shù)據(jù)挖掘 異常檢測

一、數(shù)據(jù)挖掘定義

數(shù)據(jù)挖掘的定義就是從大量的、真實的、模糊的、含有噪聲的、不完全的、隨機的數(shù)據(jù)源中，提取出新穎的、有用的隱含在其中不為人們所知的知識或信息的過程。根據(jù)需要，在數(shù)據(jù)集中挖掘發(fā)現(xiàn)用戶感興趣的知識；被發(fā)現(xiàn)的知識要具有可接受、可理解、可運用的特點。數(shù)據(jù)挖掘由數(shù)據(jù)準備、數(shù)據(jù)挖掘，以及結(jié)果的解釋評估三部分組成。

二、入侵檢測技術(shù)

入侵檢測是一種新興的信息保護技術(shù)，該技術(shù)可彌補已有安全保護技術(shù)的缺點，實現(xiàn)對數(shù)據(jù)信息的安全保護。目前把數(shù)據(jù)挖掘技術(shù)引入到入侵檢測中去，利用數(shù)據(jù)挖掘技術(shù)，對行為規(guī)則進行高效的挖掘，建立相應的規(guī)則庫，并實現(xiàn)規(guī)則庫的自動、有效地更新?；跀?shù)據(jù)挖掘技術(shù)的入侵檢測系統(tǒng)可以更加高效在進行入侵檢測。其數(shù)據(jù)挖掘入侵檢測模型如圖1所示。其工作流程步驟：首先，對原始的用戶行為數(shù)據(jù)進行收集，建立原始數(shù)據(jù)信息集，在此基礎上對數(shù)據(jù)進行分析、挖掘出行為規(guī)則，使用分類算法進行規(guī)則挖掘，構(gòu)建異常檢測規(guī)則庫和濫用檢測規(guī)則庫，然后使用數(shù)據(jù)挖掘算法對入侵數(shù)據(jù)集進行挖掘，構(gòu)建一個入侵數(shù)據(jù)的特征模型，并及時地更新已有規(guī)則模型。

三、系統(tǒng)設計

（一）設計思想。在數(shù)據(jù)庫安全中，就是為了保護數(shù)據(jù)庫中的數(shù)據(jù)，防止非法用戶對數(shù)據(jù)非法存取或惡意破壞。確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限，同時令所有未被授權(quán)的人員無法接近數(shù)據(jù)，這主要是通過數(shù)據(jù)庫系統(tǒng)的存取機制實現(xiàn)。為了對入侵行為進行有效檢測，利用數(shù)據(jù)挖掘，數(shù)據(jù)挖掘的原理就是從大量數(shù)據(jù)中高效地抽取出感興趣規(guī)則的技術(shù)。將數(shù)據(jù)挖掘技術(shù)應用于入侵檢測系統(tǒng)中，建立數(shù)據(jù)庫的入侵檢測系統(tǒng)，通過數(shù)據(jù)挖掘技術(shù)對大量的數(shù)據(jù)庫審計數(shù)據(jù)進行挖掘，根據(jù)當前數(shù)據(jù)庫中數(shù)據(jù)用戶的行為規(guī)律，通過對數(shù)據(jù)用戶的行為規(guī)律進行挖掘，從中提取出特征，可以獲得數(shù)據(jù)用戶的正常行為模式和濫用行為模式，分別生成異常檢測規(guī)則庫和濫用檢測規(guī)則庫，以挖掘出正常行為輪廓和攻擊模式來建立和評價入侵檢測系統(tǒng)。然后對數(shù)據(jù)庫審計數(shù)據(jù)分別進行異常檢測與濫用檢測，經(jīng)過檢測，當前獲取的可疑審計數(shù)據(jù)就可以被劃分為：正常數(shù)據(jù)、異常數(shù)據(jù)以及可疑數(shù)據(jù)。為入侵檢測提供數(shù)據(jù)依據(jù)，以此來判別審計數(shù)據(jù)是否存在入侵行為。因此，本系統(tǒng)入侵檢測過程：一是建立數(shù)據(jù)庫用戶的行為模式規(guī)則庫，二是對當前的數(shù)據(jù)庫審計數(shù)據(jù)進行檢測，看是否產(chǎn)生入侵?；跀?shù)據(jù)挖掘的數(shù)據(jù)庫入侵檢測系統(tǒng)，在適應性、有效性、擴展性方面都有所提高。

（二）系統(tǒng)設計。本文設計的基于數(shù)據(jù)挖掘的數(shù)據(jù)庫入侵檢測系統(tǒng)由數(shù)據(jù)預處理模塊、規(guī)則生成模塊、入侵檢測模塊和響應模塊四大的模塊組成，是將數(shù)據(jù)挖掘技術(shù)、濫用檢測技術(shù)和異常檢測技術(shù)相結(jié)合，應用Apriori算法對入侵檢測系統(tǒng)進行規(guī)則挖掘，從大量的審計數(shù)據(jù)中挖掘出相關規(guī)則，構(gòu)建相應的規(guī)則庫，為入侵檢測提供數(shù)據(jù)依據(jù)，以判別其是否存在入侵行為，并作出相應的響應，實現(xiàn)對數(shù)據(jù)庫進行非法入侵行為檢測。

1.數(shù)據(jù)預處理模塊和規(guī)則挖掘模塊。數(shù)據(jù)采集主要是收集用戶歷史行為數(shù)據(jù)進行特征提取，用于構(gòu)造入侵行為模式規(guī)則庫，將收集到的數(shù)據(jù)進行集成與預處理。由于入侵檢測系統(tǒng)開始獲得的是正常的原始審計數(shù)據(jù)，數(shù)據(jù)類型為多值型，而Apriori 算法無法直接處理多值型數(shù)據(jù)。需要對原始審計數(shù)據(jù)經(jīng)過數(shù)據(jù)預處理，將其轉(zhuǎn)換為布爾型數(shù)據(jù)，才能進行數(shù)據(jù)挖掘，挖掘形成相應規(guī)則，獲得原始規(guī)則庫，并且當有新的規(guī)則出現(xiàn)的時候，規(guī)則庫可以及時地更新，將新的規(guī)則添加到規(guī)則庫中。由于同一個連接通常包含著許多審計記錄，我們可以將這些屬于同一會話的審計記錄合并到同一個連接中。

2.入侵檢測模塊。數(shù)據(jù)庫入侵檢測系統(tǒng)中，入侵檢測系統(tǒng)模塊分為對濫用檢測規(guī)則庫的濫用檢測和對異常檢測規(guī)則庫的異常檢測兩種，入侵檢測部分要完成的首要工作是識別待檢測的審計數(shù)據(jù)是否顯示有異常行為。對數(shù)據(jù)的異常檢測，就是在異常行為檢測庫中，將審計的數(shù)據(jù)同正常用戶規(guī)則進行比對，如果比對中發(fā)現(xiàn)審計的數(shù)據(jù)與正常用戶某條規(guī)則符合，則可以充分地判定審計的數(shù)據(jù)為正常數(shù)據(jù)，反之，則審計的數(shù)據(jù)為可疑數(shù)據(jù)。而對數(shù)據(jù)的濫用檢測，是在濫用規(guī)則檢測庫中，將當前獲取的審計數(shù)據(jù)同庫中規(guī)則進行比對，若當前獲取的審計數(shù)據(jù)與濫用規(guī)則檢測庫中的某一條規(guī)則相匹配，則認定當前的行為為濫用行為，并且同時對異常數(shù)據(jù)發(fā)出警報。對當前獲取的審計數(shù)據(jù)經(jīng)過異常檢測和濫用檢測兩次入侵檢測規(guī)則識別后，當前獲取的可疑審計數(shù)據(jù)就可以被劃分為：正常數(shù)據(jù)、異常數(shù)據(jù)以及可疑數(shù)據(jù)。實現(xiàn)了對入侵數(shù)據(jù)的檢測，保證了數(shù)據(jù)的安全可靠。

3.響應模塊。響應模塊則針對檢測的審計記錄結(jié)果作出響應處理，若被檢測的審計數(shù)據(jù)屬于正常的用戶行為，則入侵檢測系統(tǒng)不做任何處理；若被檢測的審計數(shù)據(jù)屬于入侵行為，將對入侵行為發(fā)出警報，若被檢測的審計數(shù)據(jù)屬于可疑行為，對可疑行為進行標記并且通知審計管理員，審計員將判別的結(jié)果添加到濫用檢測規(guī)則庫或者異常檢測規(guī)則庫。對新規(guī)則加入至規(guī)則庫，且更新數(shù)據(jù)源。

四、系統(tǒng)安全性設計

建立審計維護模塊，產(chǎn)生出事件檢測報告和總結(jié)報告。事件檢測檢測的低層次的詳細信息，記錄了所有入侵和異常的具體情況的檢測報告，總結(jié)報告是對每一種入侵或異常在某一單位時間內(nèi)發(fā)生的次數(shù)進行統(tǒng)計，便于系統(tǒng)管理員進行事后的分析，幫助分析員了解攻擊趨勢，對制定安全策略也是不可缺少的信息數(shù)據(jù)。

隨著網(wǎng)絡應用的普及，數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)信息的安全問題越來越重要，數(shù)據(jù)挖掘作為一種規(guī)則挖掘手段被引入到了入侵檢測中。應用Apriori算法以提升規(guī)則挖掘效率；使用異常檢測與濫用檢測相結(jié)合的復合式搜索引擎，提高入侵檢測系統(tǒng)規(guī)則挖掘速度。

參考文獻：

[1]莫樂群，郭庚麒.基于聚類挖掘的入侵檢測方法的研究[J].計算機應用與軟件，2010，27（4）：134-136.

[2]石少敏.基于數(shù)據(jù)挖掘的混合式入侵檢測模型及分析[J].通信技術(shù)，2009，（08）：42-47

[3]孫利，陳萍，陳華麗.關聯(lián)規(guī)則挖掘在網(wǎng)絡教學評價中的應用[J]. 電腦開發(fā)與應用，2007，01期

[4]李金鳳，姜利群.基于微軟云計算平臺的海量數(shù)據(jù)挖掘系統(tǒng)[J].電腦知識與技術(shù)，2011，34：8766-8768