基于數(shù)據(jù)挖掘的校園網(wǎng)入侵檢測(cè)系統(tǒng)研究與應(yīng)用

張克柱

（宿州職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系，安徽 宿州234000）

1 引 言

隨著計(jì)算機(jī)互聯(lián)網(wǎng)和信息化建設(shè)的高速發(fā)展，各高校都建立了自己的校園網(wǎng)，并對(duì)外開(kāi)啟了WEB服務(wù)、FTP服務(wù)、遠(yuǎn)程教學(xué)、資源下載等功能，對(duì)內(nèi)開(kāi)啟了教務(wù)管理、人事管理、財(cái)務(wù)管理、學(xué)生管理等功能，實(shí)現(xiàn)數(shù)字化校園。每天網(wǎng)絡(luò)用戶(hù)訪(fǎng)問(wèn)量較大，網(wǎng)絡(luò)安全存在極大隱患，加之網(wǎng)絡(luò)攻擊軟件較多，操作系統(tǒng)存在安全漏洞，校園網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建迫在眉睫。本文根據(jù)用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)的相關(guān)日志，利用數(shù)據(jù)挖掘等相關(guān)技術(shù)，構(gòu)建了基于數(shù)據(jù)挖掘技術(shù)的高校網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，利用該系統(tǒng)可以高效地檢測(cè)出可能出現(xiàn)的各種惡意網(wǎng)絡(luò)攻擊行為，并加以防范。

2 相關(guān)技術(shù)

2.1 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)[1]，簡(jiǎn)稱(chēng)IDS，是指對(duì)用戶(hù)網(wǎng)絡(luò)行為、系統(tǒng)日志等信息進(jìn)行檢測(cè)與分析，對(duì)可能存在的非法入侵、異常行為等進(jìn)行提前預(yù)警，并進(jìn)行相應(yīng)處理。入侵檢測(cè)包括來(lái)自外網(wǎng)或內(nèi)網(wǎng)的非授權(quán)用戶(hù)行為，該系統(tǒng)將檢測(cè)數(shù)據(jù)與原先設(shè)定好的安全策略進(jìn)行比對(duì)，對(duì)違反策略的異常行為進(jìn)行預(yù)警。

2.1.1 入侵檢測(cè)的分類(lèi)

（1）根據(jù)檢測(cè)原理分類(lèi)

異常檢測(cè)：把檢測(cè)到的網(wǎng)絡(luò)行為與正常范圍內(nèi)的網(wǎng)絡(luò)行為相比較，超出范圍的，被認(rèn)定為入侵，稱(chēng)之為異常檢測(cè)。異常檢測(cè)的優(yōu)點(diǎn)是漏報(bào)率低，還能檢測(cè)出很多未知的入侵行為，它的缺點(diǎn)是容易誤報(bào)，而且誤報(bào)率較高。

特征檢測(cè)：把檢測(cè)到的數(shù)據(jù)具有的特征與原先收集到的入侵行為特征庫(kù)相比較，如果發(fā)現(xiàn)相匹配，則認(rèn)定為入侵，并進(jìn)行警告。特征檢測(cè)的優(yōu)點(diǎn)是誤報(bào)率低，缺點(diǎn)是未發(fā)現(xiàn)過(guò)的入侵行為很難發(fā)現(xiàn)，漏報(bào)率高，特征庫(kù)需要經(jīng)常更新。

協(xié)議分析：根據(jù)網(wǎng)絡(luò)協(xié)議的相關(guān)規(guī)定，確定是否存在網(wǎng)絡(luò)攻擊。

（2）根據(jù)檢測(cè)的對(duì)象分類(lèi)

應(yīng)用軟件入侵檢測(cè)：對(duì)用戶(hù)所訪(fǎng)問(wèn)的應(yīng)用軟件的日志等進(jìn)行分析，判斷用戶(hù)是否為非法訪(fǎng)問(wèn)或存在某種攻擊。

主機(jī)型入侵檢測(cè)：是指通過(guò)主機(jī)的審計(jì)記錄和系統(tǒng)日志，發(fā)現(xiàn)主機(jī)是否存在可疑事件，并給予及時(shí)響應(yīng)。

網(wǎng)絡(luò)型入侵檢測(cè)：對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行偵聽(tīng)與分析，發(fā)現(xiàn)網(wǎng)絡(luò)是否存在可疑數(shù)據(jù)。

分布式入侵檢測(cè)：是主機(jī)入侵系統(tǒng)與網(wǎng)絡(luò)入侵系統(tǒng)相結(jié)合的，每個(gè)網(wǎng)段采用的是分布式網(wǎng)絡(luò)型檢測(cè)方法，對(duì)各網(wǎng)段檢測(cè)到的數(shù)據(jù)進(jìn)行統(tǒng)一集中式的管理。

（3）根據(jù)體系結(jié)構(gòu)分類(lèi)

集中式：整個(gè)網(wǎng)絡(luò)有一個(gè)中央入侵檢測(cè)服務(wù)器，網(wǎng)絡(luò)的每個(gè)主機(jī)都安裝審計(jì)程序，中央入侵檢測(cè)服務(wù)器對(duì)各主機(jī)審計(jì)程序發(fā)來(lái)的數(shù)據(jù)進(jìn)行分析與處理，從而實(shí)現(xiàn)入侵檢測(cè)功能。

等級(jí)式：將網(wǎng)絡(luò)劃分為多個(gè)不同等級(jí)的檢測(cè)區(qū)域，采用樹(shù)狀結(jié)構(gòu)管理，每一級(jí)管理本區(qū)域的數(shù)據(jù)檢測(cè)，并將檢測(cè)分析結(jié)果上傳至上一級(jí)。

協(xié)作式：是集中式與等級(jí)式體系結(jié)構(gòu)的結(jié)合體，檢測(cè)效果較好，但實(shí)現(xiàn)起來(lái)較難。

2.1.2 當(dāng)前入侵檢測(cè)系統(tǒng)存在的問(wèn)題

（1）不能很好地對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行全面的檢測(cè)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)速度越來(lái)越快，傳統(tǒng)的數(shù)據(jù)包模式分析入侵檢測(cè)技術(shù)已顯得力不從心，因?yàn)閿?shù)據(jù)包模式分析技術(shù)是對(duì)網(wǎng)絡(luò)上接收到的所有數(shù)據(jù)包進(jìn)行分析、匹配，判斷其是否具有某種攻擊特征，在比較的過(guò)程中需要消耗大量的系統(tǒng)資源和花費(fèi)較多的時(shí)間，從而影響用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)的速度。

（2）入侵檢測(cè)系統(tǒng)特征庫(kù)更新滯后

當(dāng)前入侵檢測(cè)系統(tǒng)很多都是采用傳統(tǒng)的特征匹配技術(shù)，只能檢測(cè)出特征庫(kù)中已有的某種攻擊，所以特征庫(kù)更新顯得很重要，只有特征庫(kù)及時(shí)更新才能檢測(cè)出最新的某種攻擊，但目前還沒(méi)有更好的方法及時(shí)更新特征庫(kù)。

圖1 基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)模型

2.2 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘也稱(chēng)為知識(shí)發(fā)現(xiàn)，它是通過(guò)對(duì)數(shù)據(jù)庫(kù)中大量雜亂無(wú)章的數(shù)據(jù)進(jìn)行分析，挖掘出其中隱含著的某種有價(jià)值的信息，并為管理者提供決策支持。

3 數(shù)據(jù)挖掘在入侵檢測(cè)系統(tǒng)中的應(yīng)用研究

針對(duì)傳統(tǒng)入侵檢測(cè)系統(tǒng)存在的問(wèn)題，本文把數(shù)據(jù)挖掘技術(shù)融入到入侵檢測(cè)系統(tǒng)中去，利用數(shù)據(jù)挖掘技術(shù)從歷史審計(jì)數(shù)據(jù)里分別發(fā)現(xiàn)正常和異常數(shù)據(jù)行為所具有的特征，結(jié)合異常檢測(cè)和特征檢測(cè)技術(shù)，對(duì)已知入侵行為作出正確判斷，并提高對(duì)未知入侵行為的檢測(cè)能力，對(duì)DOS攻擊等入侵行為有較好的檢測(cè)效果[2]。

3.1 基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)模型設(shè)計(jì)

通過(guò)對(duì)入侵檢測(cè)系統(tǒng)的分析，本文設(shè)計(jì)了基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型，該系統(tǒng)由數(shù)據(jù)倉(cāng)庫(kù)、感應(yīng)器、檢測(cè)器、自適應(yīng)模型生成器等組成，其優(yōu)點(diǎn)是性能較高，擴(kuò)展性較強(qiáng)，網(wǎng)絡(luò)中多個(gè)入侵檢測(cè)系統(tǒng)可以相互協(xié)同工作，如圖1所示。

感應(yīng)器：主要是指對(duì)網(wǎng)絡(luò)中的原始數(shù)據(jù)進(jìn)行捕捉，得出模型評(píng)估用的特征，并把格式化后的數(shù)據(jù)傳輸給檢測(cè)器。

檢測(cè)器：利用檢測(cè)模型對(duì)感應(yīng)器傳送過(guò)來(lái)的數(shù)據(jù)進(jìn)行檢測(cè)，檢測(cè)其是否存在攻擊行為，并把結(jié)果傳輸至數(shù)據(jù)倉(cāng)庫(kù)。

數(shù)據(jù)倉(cāng)庫(kù)：它是整個(gè)模型的中心，主要用于存儲(chǔ)數(shù)據(jù)和模型。

模型生成器：是指通過(guò)模型生成器，可以把檢測(cè)出來(lái)的異常數(shù)據(jù)處理后，產(chǎn)生某種特殊的數(shù)據(jù)，再將此數(shù)據(jù)與數(shù)據(jù)倉(cāng)庫(kù)結(jié)合起來(lái)得出新的入侵攻擊特征，并放入入侵特征庫(kù)，便于下次遇到此類(lèi)攻擊能夠及時(shí)檢測(cè)出來(lái)。

報(bào)警器：當(dāng)IDS檢測(cè)出異常數(shù)據(jù)時(shí)，進(jìn)行報(bào)警。

3.2 入侵檢測(cè)系統(tǒng)中的數(shù)據(jù)挖掘檢測(cè)流程設(shè)計(jì)

傳統(tǒng)的IDS特征庫(kù)建立時(shí)，所采用的技術(shù)相對(duì)單一。如果采用濫用入侵檢測(cè)技術(shù)，則入侵系統(tǒng)特征庫(kù)必須要及時(shí)更新；如果采用異常入侵檢測(cè)技術(shù)，誤報(bào)率又很高。為了提高檢測(cè)效率，本文采用了關(guān)聯(lián)規(guī)則、序列模式和過(guò)濾算法等技術(shù)，在利用關(guān)聯(lián)規(guī)則發(fā)現(xiàn)入侵規(guī)則時(shí)，先過(guò)濾掉不符合約束條件的數(shù)據(jù)集，從而提高了基于數(shù)據(jù)挖掘的入侵行為檢測(cè)的針對(duì)性和準(zhǔn)確性[3]。

3.3 入侵檢測(cè)系統(tǒng)中的數(shù)據(jù)挖掘步驟

入侵檢測(cè)系統(tǒng)中數(shù)據(jù)挖掘的基本步驟為：①將網(wǎng)絡(luò)上檢測(cè)到的原始數(shù)據(jù)轉(zhuǎn)化成ASCII碼表示的數(shù)據(jù)包信息。②再將此信息轉(zhuǎn)換為包含服務(wù)類(lèi)型、連接狀態(tài)、持續(xù)時(shí)間等面向網(wǎng)絡(luò)連接的記錄放入數(shù)據(jù)倉(cāng)庫(kù)。③利用數(shù)據(jù)挖掘中的關(guān)聯(lián)規(guī)則、序列模式挖掘等技術(shù)從網(wǎng)絡(luò)連接記錄數(shù)據(jù)中得出異常數(shù)據(jù)特征。④根據(jù)數(shù)據(jù)特征利用分類(lèi)器得出入侵檢測(cè)模型。如果此特征檢測(cè)效果不明顯，則利用數(shù)據(jù)挖掘技術(shù)重新計(jì)算，繼續(xù)改進(jìn)檢測(cè)模型。如圖2所示。

圖2 入侵檢測(cè)系統(tǒng)中的數(shù)據(jù)挖掘步驟

3.4 數(shù)據(jù)庫(kù)過(guò)濾算法

在基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)中，主要是根據(jù)用戶(hù)的需求，確定被挖掘的原始數(shù)據(jù)庫(kù)，并設(shè)定一個(gè)最小閾值。為了提高數(shù)據(jù)挖掘的執(zhí)行效率，準(zhǔn)確找出入侵行為，在數(shù)據(jù)挖掘算法中還需加入異常數(shù)據(jù)約束條件。

假設(shè)原始數(shù)據(jù)庫(kù)為D，加入異常數(shù)據(jù)約束條件A后生成的數(shù)據(jù)庫(kù)為M，則可表示為：

if（t滿(mǎn)足A） ／／t是D數(shù)據(jù)庫(kù)中的項(xiàng)目

把t加入數(shù)據(jù)庫(kù)M

endif

4 測(cè)試結(jié)果

為測(cè)試該系統(tǒng)的入侵檢測(cè)能力，在局域網(wǎng)中通過(guò)3臺(tái)電腦做了實(shí)驗(yàn)，安裝了WEB服務(wù)、E－mail服務(wù)、FTP服務(wù)的A機(jī)器作為被入侵的對(duì)象，安裝基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)的B機(jī)器作為入侵檢測(cè)機(jī)器，C機(jī)器作為攻擊機(jī)，其中，C機(jī)器在網(wǎng)上下載了很多攻擊軟件，利用攻擊軟件對(duì)A機(jī)器發(fā)動(dòng)FTP、CGI等各種攻擊，通過(guò)測(cè)試發(fā)現(xiàn)，安裝了該入侵檢測(cè)系統(tǒng)的對(duì)網(wǎng)絡(luò)綜合性能影響不大，但沒(méi)有安裝入侵檢測(cè)系統(tǒng)的對(duì)網(wǎng)絡(luò)綜合性能隨著網(wǎng)絡(luò)攻擊的時(shí)間增加，網(wǎng)絡(luò)性能很差。

[1]吳慶濤，邵志清.入侵檢測(cè)研究綜述[J].計(jì)算機(jī)應(yīng)用研究，2005，（12）：3－6.

[2]徐興元，傅和平，熊中朝.基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)研究[J].微計(jì)算機(jī)信息，2007，（09）：74－75.

[3]蔡勇，鄢志輝，周強(qiáng).數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的應(yīng)用[J].重慶電子工程職業(yè)學(xué)院學(xué)報(bào)，2010，（03）：164－166.