基于数据挖掘的入侵检测系统的研究
来源:用户上传
作者:
摘要:随着互联网的快速发展,网络安全问题也越来越突出。面对严峻的网络安全形势,保障网络系统以及计算机系统的安全已经成为刻不容缓的课题。然而,入侵手段的多样性、复杂性和不确定性等特点使得传统的网络入侵检测技术―――防火墙技术不足以维护网络系统的安全性。入侵检测技术是继防火墙和数据加密等传统安全保护措施后新一代的安全保障技术。近二十年来,入侵检测技术已经成为了网络安全领域的新课题,成为动态安全领域的核心。将数据挖掘技术有效的融合到入侵检测技术中,也成为研究的问题之一。
关键词:网络安全;入侵检测;数据挖掘;Apriori算法
网络安全从其本质上讲就是网络上的信息安全,指网络系统的硬件、软件及数据受到保护,不遭受偶然的或者恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。《中国互联网网络安全报告(2008年上半年)》指出“2008年,网络攻击的频次、种类和复杂性均比往年大幅增加,遭入侵和受控计算机数量巨大,潜在威胁和攻击力继续增长,信息数据安全问题日益突出,网络安全形势依旧严峻。”可见,网络安全已经成为一个人们不得不采取有力措施来维护的一项重要任务,基于当前的网络安全现状,社会各界都对网络安全提出了更高的要求,采取有效措施,建设安全、可靠、便捷的网络应用环境,维护国家、企业和个人的信息安全,成为社会信息化进程中亟待解决的问题。
一、网络安全入侵检测技术
入侵检测是通过监视各种操作,分析、审计各种数据和现象来实时检测入侵行为的过程,它是一种积极的和动态的安全防御技术。入侵检测系统指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。它能检测系统中的非正常行为,并且对这些行为进行识别以判断是否是入侵行为。目前,入侵检测方法主要分为两类:误用检测、异常检测。传统信息安全机制的重要防护手段是防火墙。防火墙是一种静态安全手段,需要人工来实施和维护,它不能主动跟踪入侵者。而入侵检测能在不影响系统性能的情况下对系统进行监测,为系统提供对内部攻击、外部攻击和误操作的有效保护,能弥补防火墙的不足起着主动防御的作用,是信息安全中的极其重要的部分。
二、数据挖掘技术
数据挖掘是指从海量的数据中,抽取潜在的、有价值的知识的过程。也就是对海量数据进行分析和探索,揭示其中隐含的规律,并进一步将其模式化的技术过程。数据挖掘是知识发现(KDD)过程中的一个重要步骤,是数据库知识发现的核心部分。
三、基于数据挖掘的入侵检测系统
(一)入侵检测系统的功能
一个入侵检测系统至少应该能够完成以下五个功能:(1)监测、分析用户和系统的活动;(2)检查系统漏洞;(3)评估系统关键资源和数据文件的完整性;(4)发现入侵企图或异常现象;(5)记录、报警和主动响应。
(二)数据挖掘在入侵检测系统中的作用
数据挖掘在入侵检测系统中的作用有如下几点:(1)分析网络审计数据;(2)从网络数据和审计数据中提取可以区分正常活动和入侵活动的特征;(3)识别出长时间的、正在进行的攻击活动;(4)从已知攻击和正常活动中归纳检测模型;(5)减少误报率,提高检测入侵行为的准确性。
(三)基于数据挖掘的入侵检测系统的基本框架
基于数据挖掘的入侵检测系统主要由传感器、数据收集器、数据库、数据挖掘、规则库、检测器和特征提取器七个部分组成。上述系统的各模块功能如下:(1)传感器接收网络审计数据,将数据传送到数据接收器。(2)数据接收器收集来自传感器的数据,并对数据进行分析过滤等预处理,将处理后的数据存入数据库。(3)数据库存储经过数据接收器预处理的数据。(4)数据挖掘器利用数据挖掘技术对数据库中的数据进行分析学习,从中提取数据“特征”,建立检测模型,存入规则库中。(5)特征提取器采用数据挖掘技术对当前用户行为进行分析,提取当前用户特征。(6)检测分析器分析特征数据响应入侵。
(四)算法实现
(1)经典的Apriori算法。Apriori算法由Rakesh Agrawal和Rnamakrishnan Srikant在1994年提出,它是目前频繁集发现算法的核心。Rakesh Agrawal等人设计了一个基本算法,算法如下:先求出D中满足最小支持度minsup的所有频繁集。再利用频繁集生成满足最小可信度minconf的所有关联规则。Apriori算法使用一种称为逐层迭代的方法,频繁k――项集用于搜索频繁(k+1)――项集。首先,找出频繁1-项集的集合,该集合记作L1。L1用于找出频繁2-项集的集合L2,而L2用于找出L3,如此下去,直到找不到频繁k-项集。找每一个Lk需要扫描一遍数据库。
(2)改进的Apriori算法。经典的Apriori算法的缺点是:1)由频繁k-1项集进行自连接生成的候选频繁k项集数量巨大。2)找每一个Lk需要扫描一遍数据库。根据第二个缺点,对经典Apriori算法改进如下:在每次计算Ck支持度计数对数据库进行扫描时,对将来生成频繁项集不需要的事务,将其加上删除标记。
结束语:将数据挖掘技术应用到入侵检测系统中,可以增强入侵检测的健壮性和自适应性。本文在前人研究的基础上,对数据挖掘技术在网络入侵检测中的应用进行了相关的研究。结合入侵检测及数据挖掘的实际,对Apriori算法进行了改进,减少了扫描数据库的次数,提高了算法的效率。
作者单位:中国海洋大学
参考文献:
[1]徐凌宇,杜庆东,赵海.嵌入式水电事故预测系统中信息融合的方法[J].东北大学学报(自然科学版).2000.21(1):8-11.
[2]马恒太.基于Agent分布式入侵检测系统模型的建模及实践[博士学位论文].中国科学院软件研究所.2001.
转载注明来源:https://www.xzbu.com/9/view-941326.htm