以數(shù)據(jù)挖掘為基礎(chǔ)的入侵檢測技術(shù)分析

【摘 要】入侵檢測技術(shù)是網(wǎng)絡(luò)信息安全中的一種主動防御技術(shù)，隨著網(wǎng)絡(luò)的日益復(fù)雜化，網(wǎng)絡(luò)數(shù)據(jù)信息急劇膨脹，如何從大量的冗余信息中提取到具有價值的入侵模式是入侵檢測的關(guān)鍵，而單純的使用傳統(tǒng)的統(tǒng)計方法和數(shù)據(jù)檢索機制遠遠不能滿足實際應(yīng)用的需求。本文將數(shù)據(jù)挖掘技術(shù)與入侵檢測技術(shù)相融合，以期提高入侵檢測技術(shù)的準確性和檢測效率。

【關(guān)鍵詞】數(shù)據(jù)挖掘 入侵檢測 關(guān)聯(lián)規(guī)則

一、入侵檢測技術(shù)概述

入侵行為是在不經(jīng)授權(quán)的情況下，私自進入系統(tǒng)的行為，其入侵行為具有一定的目的性，用來竊取機密數(shù)據(jù)信息。入侵檢測是對非法的入侵行為進行檢測，若發(fā)現(xiàn)有入侵的行為，就對其進行收集、監(jiān)視、分析、處理從而進一步形成行為模式，將收集到的數(shù)據(jù)信息與入侵模式進行對比，從而判斷該行為是否屬于入侵行為。入侵檢測系統(tǒng)（IDS）就是在入侵行為進行攻擊前進行檢測，并在系統(tǒng)受到危害之前對入侵行為進行處理，從而對計算機系統(tǒng)進行保護。入侵檢測技術(shù)主要分為異常檢測和誤用檢測。

二、數(shù)據(jù)挖掘概述

數(shù)據(jù)挖掘是根據(jù)既定的目標，從大量的、不確定的、隨機的、模糊的數(shù)據(jù)信息中，挖掘出潛在有價值的信息的過程。數(shù)據(jù)挖掘融合了統(tǒng)計學(xué)、人工智能、模糊識別、專家系統(tǒng)等多個學(xué)科的技術(shù)知識來對大規(guī)模的數(shù)據(jù)進行處理的方法和手段。利用數(shù)據(jù)挖掘技術(shù)可以發(fā)現(xiàn)并分析有價值的知識，并為相關(guān)的決策服務(wù)。

三、以數(shù)據(jù)挖掘為基礎(chǔ)的入侵檢測技術(shù)

根據(jù)數(shù)據(jù)挖掘技術(shù)與入侵檢測技術(shù)各自的特點，將數(shù)據(jù)挖掘技術(shù)應(yīng)用與入侵檢測技術(shù)中，從而更快速、更準確的提取潛在有價值的信息，并對檢測行為進行判斷。利用數(shù)據(jù)挖掘算法獲取的入侵行為模式的特點是準確性和適應(yīng)性。

（一）基于關(guān)聯(lián)規(guī)則的入侵檢測技術(shù)

關(guān)聯(lián)規(guī)則數(shù)據(jù)挖掘算法能夠從大量數(shù)據(jù)信息中發(fā)現(xiàn)數(shù)據(jù)之間的聯(lián)系（關(guān)聯(lián)模式），根據(jù)數(shù)據(jù)之間的聯(lián)系來對行為進行追蹤判斷。關(guān)聯(lián)規(guī)則是以系統(tǒng)日志為基礎(chǔ)進行的，經(jīng)常用到的算法是Apriori算法。由于該算法中沒有考慮日志的具體結(jié)構(gòu)和有關(guān)入侵的知識，因此產(chǎn)生了大量的無效規(guī)則。為了解決該問題，提出使用主屬性和參考屬性進行約束的規(guī)則，而每條規(guī)則中都必須包括主屬性，以便更好的降低算法的時間復(fù)雜度和空間復(fù)雜度。

基于關(guān)聯(lián)規(guī)則的入侵檢測技術(shù)可以將日志記錄從邏輯上進行劃分，將不同的IP地址對于的記錄進行分配，實行并行計算，并生成頻集，從而選出有效的規(guī)則集?；陉P(guān)聯(lián)規(guī)則的入侵檢測技術(shù)能夠得到誤用檢測數(shù)據(jù)規(guī)則庫和異常檢測規(guī)則庫，從而對網(wǎng)絡(luò)中的入侵活動進行檢測。

（二）基于分類分析的入侵檢測技術(shù)

分類分析是通過對實例數(shù)據(jù)進行分析，對數(shù)據(jù)項的特征屬性進行提取，從而建立個分類函數(shù)，該函數(shù)可以將數(shù)據(jù)集中的數(shù)據(jù)進行映射，并進行分類，同時將其進行標記。為了完成基于分類的入侵檢測技術(shù)，不用有一個樣本數(shù)據(jù)庫作為支持，在該樣本數(shù)據(jù)庫中，每個元素都與數(shù)據(jù)庫中的元素有同樣的屬性集。分類分析中常用的算法是Pipper算法，通過該算法形成結(jié)構(gòu)化的數(shù)據(jù)模型，對正常行為分布和異常行為分布進行區(qū)分，從而對入侵檢測過程中的行為進行分類。

（三）基于聚類分析的入侵檢測技術(shù)

聚類分析是將未知的模型進行分類，如果特征向量之間的距離在誤差允許的范圍內(nèi)，則將其劃分為同一類型。基于聚類分析的入侵檢測技術(shù)從做出假設(shè)作為出發(fā)點，即入侵行為和正常行為中的不同之處和入侵行為的數(shù)目遠遠小于正常行為的數(shù)目作為條件，從而對數(shù)據(jù)集劃分為正常行為和異常行為來進行入侵檢測行為的區(qū)分。常見的聚類算法包括遺傳聚類、模糊聚類、自組織映射神經(jīng)網(wǎng)絡(luò)聚類等?；诰垲惙治龅娜肭謾z測技術(shù)是對數(shù)據(jù)實例進行轉(zhuǎn)換，利用單鏈接的聚類方法，通過標識和分類來對入侵行為進行分析判斷，該方法對未知攻擊的檢測有明顯作用，而對拒絕服務(wù)攻擊檢測和惡意攻擊沒有作用。

（四）基于頻繁序列的入侵檢測技術(shù)

網(wǎng)絡(luò)攻擊與時間變量具有很大的聯(lián)系，基于此原因，對序列模式進行分析是以關(guān)聯(lián)規(guī)則分析為基礎(chǔ)，以攻擊行為時間作為檢測的對象進行分析。頻繁序列算法是從單一的事件流序列中找出相應(yīng)的行為模式，這與關(guān)聯(lián)規(guī)則算法有類似的地方，任何一個頻繁條目集的子集也屬于頻繁條目集，因此首先對長度為2的頻繁序列進行查找，隨后的查找長度以此遞增，從而找出正常事件行為和入侵行為各自的序列關(guān)系，并找出入侵行為的時間序列特點?；陬l繁序列的入侵檢測行為總是與其他種類的入侵檢測行為一起使用，從而更好的特取出入侵檢測的相關(guān)模式，為入侵檢測提供技術(shù)支持。

四、結(jié)語

以數(shù)據(jù)挖掘為基礎(chǔ)的入侵檢測技術(shù)提出后得到了迅速的發(fā)展，然而對于實際使用仍然有很大的難度，目前還沒有形成完整的理論體系，因此，對基于數(shù)據(jù)挖掘的入侵檢測技術(shù)的研究仍然需要不斷的努力，從而保證數(shù)據(jù)挖掘入侵檢測的準確性、高效性和實時性，為網(wǎng)絡(luò)的安全提供保障。

參考文獻：

[1]劉小明，熊濤. 基于數(shù)據(jù)挖掘的入侵檢測技術(shù)研究綜述[J].現(xiàn)代計算機：研究與開發(fā).2010（04）：78-80.

[2]覃曉，元昌安，龍瓏. 基于數(shù)據(jù)挖掘的入侵檢測技術(shù)[J].計算機安全：學(xué)生 技術(shù).2011（11）：16-18.

[3]汪莉. 淺談基于數(shù)據(jù)挖掘的入侵檢測技術(shù)的研究[J].科技視界：IT論壇.2012（13）：164-165.