2012年5月21日 星期一

淺析資料挖掘在網路入侵檢測中的應用方法

淺析資料挖掘在網路入侵檢測中的應用方法

本文首先介紹了網路安全、入侵檢測和資料挖掘這三方面的基本知識。然後分析了在傳統的網路入侵檢測技術的不足之後,針對如何提高基於資料挖掘的網路入侵檢測系統的效率和準確度而利用資料挖掘中的關聯規則和聚類規則將已有模型結構進行了改進。 當前電腦網路廣泛應用於各個領域,不可置疑給人們的生活、學習、工作帶來了便利,同時也對網路安全提出了更高的要求。在現代資訊化發展的形式下,要求一個安全的網路系統不僅要有防禦手段,而是既要有防火牆等防禦的手段,還要有能對網路的安全進行即時監控,攻擊與反攻擊的網路入侵檢測系統。所以在這種情形下,入侵檢測系統應運而生。

一、入侵檢測的必要性
入侵檢測系統就是對已建設的資訊系統,按一定的安全策略建立起相應的安全輔助系統。就現在的系統安全狀況而言,系統正存在被攻擊的可能性,當系統遭到攻擊時,只要盡可能地檢測到,甚至是即時地檢測到,就可以為入侵檢測提供有利資訊。入侵檢測作為新一代的安全技術,它的作用在於:識別入侵者、識別入侵行為、檢測和監視己成功的安全突破、為對抗入侵及時提供重要資訊,阻止入侵的發生和事態的擴大。面對網路中存在著海量的資料,如何才能得到那些對於檢測入侵行為所有作用的資料呢?為此我們引出了採用資料挖掘方法來發現可能的新入侵的方法。

二、網路資料挖掘的相關知識
資料挖掘是指從大型資料庫或資料倉庫中提取人們感興趣的知識,但是這些知識是隱含的、事先未知的、異常的及潛在有用的資訊或模式,是資料庫研究中的一個很有應用價值的新領域。資料挖掘的目的是幫助使用者尋找資料間潛在的關聯,發現被忽略的要素,而這些資訊對預測趨勢和決策行為也許是十分有用的。
隨著網路入侵檢測技術的發展,使人們已著眼於將Web資料挖掘技術應用於入侵檢測技術的發中,如果能夠完善的將資料挖掘技術應用到網路入侵檢測中,根據入侵檢測系統的具體特點,應用資料挖掘的基本原理,將它們優化的結合起來,這樣將會大提高入侵檢測系統的性能。

三、資料挖掘技術在入侵檢測中的應用
在入侵檢測系統中使用資料挖掘技術,通過分析有用的歷史資料可以提取出用戶的行為特徵、總結入侵行為的規律,從而建立起比較完備的規則庫來進行入侵檢測。該過程主要分為以下幾步:

1)資料收集,基於網路的檢測系統資料來源於網路。
2)資料預處理,在資料挖掘中訓練資料的好壞直接影響到提取的用戶特徵和推導出的規則的準確性。
3)資料挖掘,從預處理過的資料中提取用戶行為特徵或規則等,再對所得的規則進行歸併更新,建立起規則庫。
以下為在對已有的基於資料挖掘的網路入侵檢測的模型結構圖進行闡述的基礎上進行一些優化。
本文首先介紹了網路安全、入侵檢測和資料挖掘這三方面的基本知識。然後分析了在傳統的網路入侵檢測技術的不足之後,針對如何提高基於資料挖掘的網路入侵檢測系統的效率和準確度而利用資料挖掘中的關聯規則和聚類規則將已有模型結構進行了改進。

3.1一種綜合了誤用檢測和異常檢測的模型
韋必忠,王勇和張開華在《資料挖掘技術在網路入侵檢測中的應用分析》一文中的改進的綜合誤用檢測和異常檢測的模型,如圖1所示。
 
1綜合誤用檢測和異常檢測的模型

由圖2來看,它是綜合利用了異常檢測和誤用檢測模型而形成的基於資料挖掘的網路入侵檢測模型。該網路入侵檢測模型的優點為:通過結合誤用檢測器和異常檢測器,的確將所要分析的資料量減少了很多。但該系統所存在的缺點為:當異常檢測器檢測到新的入侵檢測後,只是更新了異常檢測器,而並沒有應用有利條件去更新誤用檢測器。這無疑又在無形中增加了異常檢測器做一些重複且不必要的工作量。那麼在該基礎上,當檢測到新的入侵行為時,能否同時將異常檢測和誤用檢測同時進行更新呢?結合以上系統所存在的不足,提出了以下改進方法。


3.2系統結構的改進
在圖1的基礎上我們改進了其綜合檢測模型,以形成一種更加有利的基於資料挖掘的入侵檢測模型。如圖2
 
改進後的誤用檢測和異常檢測

2即在綜合誤用檢測器和異常檢測器的模型的基礎上進行了優化。在該模型中首先是將從網路上獲取的網路資料包發送到資料預處理器,由它將從網路上獲取的資料包進行加工,然後使用關聯規則找出那些具有代表性的規則,放人關聯規則集,接著用聚類規則將關聯規則所得的支援度和可信度這兩個值進行聚類優化。在聚類完後,我們可以根據規定的閉值而將一部分正常的資料刪除。在這一操作後,無疑又減少了所要分析的資料量。接著把剩下的資料發送到誤用檢測器進行檢測,如果誤用檢測器也沒有檢測到攻擊,則將該類資料發送到異常檢測器進行檢測,與上例相同,該異常檢測器也相當於一個篩檢程式的作用,利用這一步的操作將大量的正常資料過濾掉,資料量再一次隨之變少,便於了以後的挖掘。該系統的再一大特點就是為下一次不再對同一資料作重複檢測,利用了對資料倉庫的更新來進一步完善異常檢測器和誤用檢測器,即,根據異常檢測器的檢測結果來更新異常檢測器和誤用檢測器,如果該行為判斷結果是正常行為,則更新異常檢測器,如果測得該行為是屬於攻擊行為,那麼就更新誤用檢測器來記錄該次的行為,以便下次做重複的檢測。例如,當異常檢測器檢測到新的網路入侵方法後。也就是說當異常檢測器測得新的入侵檢測後,通過資料倉庫的更新可以達到既更新了異常檢測器,又更新了誤用檢測器。這使誤用檢測器和異常檢測器都減少了要分析的資料量,且提高了檢測的速度和效率。

目前入侵檢測技術還不夠成熟和完善,如何能夠大幅度的提高網路和主機對攻擊和錯誤使用的抵抗力,從而使安全措施的實施更加有效,減少誤警率和漏警率,並使設置選項更加的靈活將是資料挖掘技術在網路入侵檢測中研究的方向。

轉載自《遊俠安全網》