本文首先介绍了网络安全、入侵检测和数据挖掘这三方面的基本知识。然后分析了在传统的网络入侵检测技术的不足之后,针对如何提高基于数据挖掘的网络 入侵检测系统的效率和准确度而利用数据挖掘中的关联规则和聚类规则将已有模型结构进行了改进。 当前计算机网络广泛应用于各个领域,不可置疑给人们的生活、学习、工作带来了便利,同时也对网络安全提出了更高的要求。在现代信息化发展的形式下,要求一 个安全的网络系统不仅要有防御手段,而是既要有防火墙等防御的手段,还要有能对网络的安全进行实时监控,攻击与反攻击的网络入侵检测系统。所以在这种情形 下,入侵检测系统应运而生。
1入侵检测的必要性
入侵检测系统就是对已建设的信息系统,按一定的安全策略建立起相应的安全辅助系统。就现在的系统安全状况而言,系统正存在被攻击的可能性,当系统遭 到攻击时,只要尽可能地检测到,甚至是实时地检测到,就可以为入侵检测提供有利信息。入侵检测作为新一代的安全技术,它的作用在于:识别入侵者、识别入侵 行为、检测和监视己成功的安全突破、为对抗入侵及时提供重要信息,阻止入侵的发生和事态的扩大。面对网络中存在着海量的数据,如何才能得到那些对于检测入 侵行为所有作用的数据呢?为此我们引出了采用数据挖掘方法来发现可能的新入侵的方法。
2网络数据挖掘的相关知识
数据挖掘是指从大型数据库或数据仓库中提取人们感兴趣的知识,但是这些知识是隐含的、事先未知的、异常的及潜在有用的信息或模式,是数据库研究中的 一个很有应用价值的新领域。数据挖掘的目的是帮助使用者寻找数据间潜在的关联,发现被忽略的要素,而这些信息对预测趋势和决策行为也许是十分有用的。
随着网络入侵检测技术的发展,使人们已着眼于将Web数据挖掘技术应用于入侵检测技术的发中,如果能够完善的将数据挖掘技术应用到网络入侵检测中,根据入侵检测系统的具体特点,应用数据挖掘的基本原理,将它们优化的结合起来,这样将会大提高入侵检测系统的性能。
3数据挖掘技术在入侵检测中的应用
在入侵检测系统中使用数据挖掘技术,通过分析有用的历史数据可以提取出用户的行为特征、总结入侵行为的规律,从而建立起比较完备的规则库来进行入侵检测。该过程主要分为以下几步:
1)数据收集,基于网络的检测系统数据来源于网络。
2)数据预处理,在数据挖掘中训练数据的好坏直接影响到提取的用户特征和推导出的规则的准确性。
3)数据挖掘,从预处理过的数据中提取用户行为特征或规则等,再对所得的规则进行归并更新,建立起规则库。
以下为在对已有的基于数据挖掘的网络入侵检测的模型结构图进行阐述的基础上进行一些优化。
本文首先介绍了网络安全、入侵检测和数据挖掘这三方面的基本知识。然后分析了在传统的网络入侵检测技术的不足之后,针对如何提高基于数据挖掘的网络入侵检测系统的效率和准确度而利用数据挖掘中的关联规则和聚类规则将已有模型结构进行了改进。
3.1一种综合了误用检测和异常检测的模型
韦必忠,王勇和张开华在《数据挖掘技术在网络入侵检测中的应用分析》一文中的改进的综合误用检测和异常检测的模型,如图1所示。
图1综合误用检测和异常检测的模型
由图2来看,它是综合利用了异常检测和误用检测模型而形成的基于数据挖掘的网络入侵检测模型。该网络入侵检测模型的优点为:通过结合误用检测器和异 常检测器,的确将所要分析的数据量减少了很多。但该系统所存在的缺点为:当异常检测器检测到新的入侵检测后,只是更新了异常检测器,而并没有应用有利条件 去更新误用检测器。这无疑又在无形中增加了异常检测器做一些重复且不必要的工作量。那么在该基础上,当检测到新的入侵行为时,能否同时将异常检测和误用检 测同时进行更新呢?结合以上系统所存在的不足,提出了以下改进方法。
3.2系统结构的改进
在图1的基础上我们改进了其综合检测模型,以形成一种更加有利的基于数据挖掘的入侵检测模型。如图2。
图2 改进后的误用检测和异常检测
图2即在综合误用检测器和异常检测器的模型的基础上进行了优化。在该模型中首先是将从网络上获取的网络数据包发送到数据预处理器,由它将从网络上获 取的数据包进行加工,然后使用关联规则找出那些具有代表性的规则,放人关联规则集,接着用聚类规则将关联规则所得的支持度和可信度这两个值进行聚类优化。 在聚类完后,我们可以根据规定的闭值而将一部分正常的数据删除。在这一操作后,无疑又减少了所要分析的数据量。接着把剩下的数据发送到误用检测器进行检 测,如果误用检测器也没有检测到攻击,则将该类数据发送到异常检测器进行检测,与上例相同,该异常检测器也相当于一个过滤器的作用,利用这一步的操作将大 量的正常数据过滤掉,数据量再一次随之变少,便于了以后的挖掘。该系统的再一大特点就是为下一次不再对同一数据作重复检测,利用了对数据仓库的更新来进一 步完善异常检测器和误用检测器,即,根据异常检测器的检测结果来更新异常检测器和误用检测器,如果该行为判断结果是正常行为,则更新异常检测器,如果测得 该行为是属于攻击行为,那么就更新误用检测器来记录该次的行为,以便下次做重复的检测。例如,当异常检测器检测到新的网络入侵方法后。也就是说当异常检测 器测得新的入侵检测后,通过数据仓库的更新可以达到既更新了异常检测器,又更新了误用检测器。这使误用检测器和异常检测器都减少了要分析的数据量,且提高 了检测的速度和效率。
目前入侵检测技术还不够成熟和完善,如何能够大幅度的提高网络和主机对攻击和错误使用的抵抗力,从而使安全措施的实施更加有效,减少误警率和漏警率,并使设置选项更加的灵活将是数据挖掘技术在网络入侵检测中研究的方向。