基于數(shù)據(jù)挖掘的企業(yè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的建立

摘 要：分析了入侵檢測(cè)系統(tǒng)發(fā)展現(xiàn)狀與數(shù)據(jù)挖掘入侵系統(tǒng)優(yōu)勢(shì)，并針對(duì)網(wǎng)絡(luò)入侵，通過應(yīng)用數(shù)據(jù)挖掘技術(shù)，建立網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，確保網(wǎng)絡(luò)安全。

關(guān)鍵詞：信息技術(shù);網(wǎng)絡(luò)安全;檢測(cè)系統(tǒng)

入侵檢測(cè)作為一種重要的動(dòng)態(tài)網(wǎng)絡(luò)安全防護(hù)技術(shù)，能夠提供對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的內(nèi)部、外部攻擊以及誤操作的全面檢測(cè)，其主要功能是監(jiān)視并分析用戶和系統(tǒng)的行為、審查系統(tǒng)配置的弱點(diǎn)、評(píng)估已知攻擊的行為模式、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審查跟蹤管理和識(shí)別用戶違反安全策略的行為。作為防火墻之外的第二道安全防線，入侵檢測(cè)已成為網(wǎng)絡(luò)安全領(lǐng)域重要而迫切的課題。

1 入侵檢測(cè)系統(tǒng)發(fā)展現(xiàn)狀與數(shù)據(jù)挖掘入侵系統(tǒng)優(yōu)勢(shì)

入侵檢測(cè)的概念和公共入侵檢測(cè)系統(tǒng)建立的提出，許多入侵檢測(cè)的方法相繼被提出，其中主要包括基于專家系統(tǒng)的入侵檢測(cè)方法、基于模式匹配與協(xié)議分析的入侵檢測(cè)方法、基于用戶行為統(tǒng)計(jì)分的入侵檢測(cè)方法、智能代理檢測(cè)等。隨著企業(yè)網(wǎng)絡(luò)用戶的增多，為了應(yīng)對(duì)數(shù)量不斷增長的審查行為數(shù)據(jù)面臨的新的挑戰(zhàn)，一些新的技術(shù)在傳統(tǒng)的入侵檢測(cè)也相繼出現(xiàn)，比如模糊技術(shù)、遺傳算法、神經(jīng)網(wǎng)絡(luò)和狀態(tài)轉(zhuǎn)換等，其中如何從海量的數(shù)據(jù)中抽取出有用的規(guī)則已經(jīng)成為影響入侵檢測(cè)系統(tǒng)性能的關(guān)鍵。基于大規(guī)模用戶行為數(shù)據(jù)挖掘技術(shù)與入侵檢測(cè)系統(tǒng)的特點(diǎn)有效結(jié)合志來，可以取得良好的信息安全防護(hù)效果。

數(shù)據(jù)挖掘用于入侵檢測(cè)系統(tǒng)中，通過將數(shù)據(jù)挖掘技術(shù)和入檢測(cè)相結(jié)合，能及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未經(jīng)授權(quán)或異常行為，為網(wǎng)絡(luò)安全提供實(shí)行的入侵檢測(cè)和防護(hù)。通過將數(shù)據(jù)挖掘技術(shù)用在入侵檢測(cè)系統(tǒng)中，對(duì)關(guān)聯(lián)規(guī)和聚類分析典型算法，建立數(shù)據(jù)挖掘的企業(yè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，能有效減少規(guī)則建立過程中的人工參與程度，有效提高入侵檢測(cè)系統(tǒng)的效率，從而提高入侵檢測(cè)的準(zhǔn)確性，以保障企業(yè)網(wǎng)絡(luò)信息安全。

2 基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的建立

2.1 數(shù)據(jù)挖掘技術(shù)

很多數(shù)據(jù)挖掘技術(shù)都能用于入侵檢測(cè)系統(tǒng)，例如關(guān)聯(lián)分析、分類、聚類和序列分析等。關(guān)聯(lián)分析，也叫關(guān)聯(lián)規(guī)則挖掘，是通過用戶指定最小支持度和最小置信度來在序列（事物）數(shù)據(jù)庫中尋找關(guān)聯(lián)規(guī)則的過程，在發(fā)現(xiàn)滿足用戶最小支持度的頻繁項(xiàng)目（序列）集的基礎(chǔ)上，找出滿足用戶給定最小置信度的關(guān)聯(lián)規(guī)則集。分類則是根據(jù)給定的類別和訓(xùn)練數(shù)據(jù)，對(duì)數(shù)據(jù)庫中的序列數(shù)據(jù)進(jìn)行分類的過程。這是一個(gè)有監(jiān)督的學(xué)習(xí)過程，通過發(fā)現(xiàn)類別中的共性及特征，從歷史數(shù)據(jù)記錄中判定給定數(shù)據(jù)的類別描述，從而對(duì)數(shù)據(jù)的屬性做出預(yù)測(cè)，指導(dǎo)入侵檢測(cè)的行為模式判斷。相比于分類，聚類是一種不帶類別指導(dǎo)信息的無監(jiān)督學(xué)習(xí)算法，它會(huì)根據(jù)數(shù)據(jù)內(nèi)部的關(guān)聯(lián)將數(shù)據(jù)分為多個(gè)類或簇，劃分的原則是同一個(gè)簇之間的數(shù)據(jù)之間具有較高的相似度，而不同簇中的數(shù)據(jù)相似度較低。這是一種數(shù)據(jù)中類別模式的自動(dòng)發(fā)現(xiàn)過程。序列模式分析則是指從序列數(shù)據(jù)中發(fā)現(xiàn)相對(duì)時(shí)間或者其他順序所出現(xiàn)的高頻率子序列，其目標(biāo)為發(fā)現(xiàn)數(shù)據(jù)之間的聯(lián)系，分析數(shù)據(jù)發(fā)生的前后序列的關(guān)系，它在入侵檢測(cè)中的一個(gè)主要應(yīng)用是通過對(duì)用戶命令序列分析，建立用戶概貌，任何對(duì)特定用戶行為模式的偏離，都被視為用戶行為異常。

2.2 基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)

在入侵檢測(cè)系統(tǒng)中應(yīng)用數(shù)據(jù)挖掘方法，首先需要建立關(guān)于安全行為模式的先驗(yàn)知識(shí)，然后提取出可以有效反映系統(tǒng)行為特性的特征屬性，然后才能有效地應(yīng)用適當(dāng)?shù)乃惴▽?duì)審查數(shù)據(jù)進(jìn)行數(shù)據(jù)分析和模式挖掘，并將發(fā)現(xiàn)的知識(shí)更新到現(xiàn)有的企業(yè)入侵檢測(cè)系統(tǒng)中，保證網(wǎng)絡(luò)系統(tǒng)的學(xué)習(xí)能力，從而在根本上保證企業(yè)網(wǎng)絡(luò)安全。

基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)主要由數(shù)據(jù)預(yù)處理、異常分析器、規(guī)則庫、模式挖掘器、規(guī)則生成器和報(bào)警器等六個(gè)部分來組成。系統(tǒng)中行為數(shù)據(jù)源中的數(shù)據(jù)由系統(tǒng)中不同環(huán)節(jié)里的數(shù)據(jù)包嗅探器獲取收集，作為一個(gè)簡單的抓取信息的窗口，數(shù)據(jù)包嗅探器所在的集團(tuán)決定了入侵檢測(cè)的局部處理的程度以及行為數(shù)據(jù)的種類，不同類別的行為數(shù)據(jù)需要用不同的數(shù)據(jù)挖掘技術(shù)來自處理。數(shù)據(jù)預(yù)處理模塊負(fù)責(zé)將原始數(shù)據(jù)轉(zhuǎn)換為適于數(shù)據(jù)挖掘方法所需要的數(shù)據(jù)模式，同時(shí)，對(duì)一些無效或者噪音數(shù)據(jù)進(jìn)行清理，以減少模式匹配及數(shù)據(jù)挖掘工作所處理的數(shù)據(jù)量。在數(shù)據(jù)預(yù)處理過程中可以以插件的方式采用第三方入侵檢測(cè)工具檢測(cè)已知攻擊入侵行為并報(bào)警，這樣可以有效提高整個(gè)入侵檢測(cè)系統(tǒng)的靈活性和可擴(kuò)展性，同時(shí)可以提高后續(xù)模塊的處理效率。數(shù)據(jù)挖掘模塊則根據(jù)數(shù)據(jù)源的不同負(fù)責(zé)對(duì)預(yù)處理后的數(shù)據(jù)進(jìn)行各種形式的模式挖掘處理（關(guān)聯(lián)規(guī)則挖掘、序列分析、聚類），以發(fā)現(xiàn)不同數(shù)據(jù)源中的內(nèi)在行為模式，工同已有規(guī)則庫的規(guī)則模式進(jìn)行匹配，當(dāng)發(fā)現(xiàn)新的入侵模式或正常行為模式時(shí)，更新進(jìn)入規(guī)則庫。異常分析則負(fù)責(zé)對(duì)預(yù)處理后的數(shù)據(jù)流進(jìn)行掃描，如果檢測(cè)到與系統(tǒng)規(guī)則庫定義的規(guī)則相匹配的入侵模式，則送報(bào)警器響應(yīng)處理。規(guī)則庫用來存儲(chǔ)已有的規(guī)則（包括先驗(yàn)行為規(guī)則）和新近數(shù)據(jù)挖掘形成的規(guī)則集，同時(shí)對(duì)預(yù)處理所需要的信息進(jìn)行存儲(chǔ)。規(guī)則生成器則根據(jù)數(shù)據(jù)挖掘模塊產(chǎn)生的關(guān)于行為模式的新的知識(shí)實(shí)時(shí)生成用于偏離分析的規(guī)則，并對(duì)這些數(shù)據(jù)進(jìn)行特征提取，把那些入侵行為特征存入規(guī)則庫。當(dāng)異常分析器報(bào)告發(fā)現(xiàn)異常行為數(shù)據(jù)流時(shí)，報(bào)警器向系統(tǒng)管理員發(fā)出通知報(bào)警。

基于數(shù)據(jù)挖掘技術(shù)入侵檢測(cè)系統(tǒng)在實(shí)際應(yīng)用時(shí)，需要基于先驗(yàn)的入侵行為及安全行為的背景知識(shí)，事先存入先驗(yàn)入侵模式規(guī)則，這樣能有效降低系統(tǒng)啟動(dòng)時(shí)的誤報(bào)率，應(yīng)用過程中，能有效地發(fā)現(xiàn)新的行為模式，使入侵檢測(cè)規(guī)則的發(fā)現(xiàn)、更新與執(zhí)行更接近于實(shí)時(shí)，具有規(guī)則更新的自適應(yīng)能力，不但可以檢測(cè)到已知的攻擊，而且可以檢測(cè)到新的未知的攻擊行為，提高檢測(cè)效率，增加網(wǎng)絡(luò)信息檢測(cè)的預(yù)警率。

3 結(jié)語

通過在入侵檢測(cè)系統(tǒng)中引入數(shù)據(jù)挖掘技術(shù)，用這些規(guī)則去檢測(cè)新的入侵行為，用最低的成本更新規(guī)則和系統(tǒng)，提高檢測(cè)的效率，解決入侵檢測(cè)系統(tǒng)的不足?；跀?shù)據(jù)挖掘技術(shù)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)行為模式的發(fā)掘是核心，規(guī)則庫中規(guī)則的準(zhǔn)確度和覆蓋面直接影響入侵檢測(cè)系統(tǒng)的整體性能。

參考文獻(xiàn)：

[1]張雪芹，顧春華，林家駿.入侵檢測(cè)技術(shù)的挑戰(zhàn)與發(fā)展[J].計(jì)算機(jī)工程與設(shè)計(jì)，2012：25.

作者簡介：張紅雨（1981-），男，山東萊陽人，碩士研究生，工程師，研究方向：計(jì)算機(jī)與信息技術(shù)。