探究信息安全下的數(shù)據(jù)挖掘的智能化入侵檢測系統(tǒng)

李 淵

(太原學(xué)院 計算機工程系，山西 太原 030032)

1 入侵檢測系統(tǒng)

目前，網(wǎng)絡(luò)系統(tǒng)在我國的發(fā)展越來越迅速，一些安全隱患也隨之浮出水面，為了解決這些問題，有關(guān)專家提出了兩個解決的方案，一個是入侵檢測，另一個是安全保護。

所謂的安全保護就是傳統(tǒng)意義上的由授權(quán)、認證、加密以及訪問控制等相關(guān)機制來增加計算機的安全性，但是這只能保證一些敏感數(shù)據(jù)的安全問題，對于由于硬件缺失而闖入到計算機系統(tǒng)中的問題并沒有辦法起到很好的作用，當(dāng)然對有些已經(jīng)授權(quán)的計算機用戶并沒有聽從警告而濫用系統(tǒng)所造成一些列問題安全保護也無能為力。我們在防止一些網(wǎng)路攻擊時采用的防火墻技術(shù)一般都是采用應(yīng)用層網(wǎng)、包過濾以及虛擬技術(shù)等，然而如果一些應(yīng)用設(shè)計具有很大缺陷或者這些攻擊所通過的通路有一定的加密系統(tǒng)，那么這種防火墻技術(shù)就會無用武之地[1]。為了解決這個問題，一種新的技術(shù)能夠及時發(fā)現(xiàn)計算機中的異常情況以及一些并未得到授權(quán)的用戶，這種技術(shù)就是本文重點描述的入侵檢測系統(tǒng)。

在計算機系統(tǒng)中有一些具備機密性、完整性以及可用性的資源，然而有一些活動卻試圖對這些數(shù)據(jù)進行破壞，這就是所謂的入侵。而對這些入侵活動進行檢索并且采取相應(yīng)措施的活動就是入侵檢測。一般我們所用的檢測方式有兩種，一種是異常檢測，一種是濫用檢測。

計算機用戶進行異常操作或者是非正常使用計算機系統(tǒng)的資源，我們將這種行為稱之為異常入侵[2]。而異常檢測就是針對這種入侵建立一種模型，這種模型的建立需要有一定的目標(biāo)系統(tǒng)，所建立的范圍包括用戶的所有正?；顒?，模型一旦建立成功就可以對所有用戶進行審查，找到系統(tǒng)有所危害的因素并剔除，保證整個網(wǎng)絡(luò)環(huán)境的安全性。其實，異常入侵檢測最早的提出者是Anderson，他在1980年就已經(jīng)引進這種方式。他將計算機的入侵行為劃分成三種類型，即授權(quán)用戶中存在的內(nèi)部人員對計算機的越權(quán)使用，外部人員對系統(tǒng)的侵入以及對系統(tǒng)的濫用，同時他還提出對這種入侵行為進行跟蹤監(jiān)測。Denning在1987年帶來一個比較經(jīng)典的異常檢測模型，這也是第一次將入侵檢測劃入到計算機系統(tǒng)安全保護中。目前，這種異常檢測給我們的計算機安全帶來很多方便之處，而這種檢測方式最大的優(yōu)點就是適應(yīng)性比較強，當(dāng)然它還具有一定的缺陷，比如說在提取用戶的完整信息時非常困難。

還有一種檢測方式，將已知的入侵方法以及系統(tǒng)缺陷利用到對系統(tǒng)危害的檢測中，這就是所謂的濫用檢測。這種檢測方式有它自身的優(yōu)勢也有其缺點，它的優(yōu)勢在于在進行入侵檢測的時候可以針對特定的危害，以此提高整個檢測活動的效率，缺點也在其針對性上，這種檢測方式只能檢測出特定的系統(tǒng)入侵，對于未知以及變種的入侵行為則無能為力。

目前所使用的入侵檢測系統(tǒng)可以分為兩大類，這兩種系統(tǒng)一種是以網(wǎng)絡(luò)為基礎(chǔ)，一種以主機為基礎(chǔ)[3]。前者在采集數(shù)據(jù)以及偵查時都是通過網(wǎng)絡(luò)進行，一般情況下很少會消耗到主機的資源，而且所采用的網(wǎng)絡(luò)協(xié)議具備一定的標(biāo)準(zhǔn)，因此這種形式所采用的保護措施并不會因為主機的不同而有所差異;后者在監(jiān)視入侵系統(tǒng)并對其進行審查的時候主要依靠主機來進行，這種系統(tǒng)在獲取入侵事件的時候可以根據(jù)不同的操作系統(tǒng)來進行，然而它最大的缺點就是過于依賴主機，并不具備很好的實時性。

為了能夠滿足入侵檢測系統(tǒng)自身所具備的特殊性，必須確保我們所建立的入侵檢測系統(tǒng)具備全局性、可伸縮性、準(zhǔn)確性、可擴展性，同時還要保證其自身的健壯性以及對環(huán)境的適應(yīng)性。經(jīng)過研究人員的不懈努力，已經(jīng)試驗了很多的辦法，但是沒有一種可以達到要求。設(shè)計一套系統(tǒng)并不是一件簡單的事情，它對設(shè)計人員的要求非常高，所有參與的設(shè)計人員不僅要具備豐富的專業(yè)知識，還必須對所有的攻擊進行了解。因此所設(shè)計的入侵檢測系統(tǒng)如何完全取決于設(shè)計人員，如此一來所設(shè)計的系統(tǒng)會受到一定的局限性，一旦出現(xiàn)新的攻擊方式所設(shè)計的系統(tǒng)就會產(chǎn)生漏洞。

因此，有相關(guān)的設(shè)計人員就將異常檢測與濫用檢測結(jié)合到一起，從而將網(wǎng)絡(luò)系統(tǒng)與主機系統(tǒng)融合在一起，這就是在信息安全的前提才所開發(fā)的數(shù)據(jù)挖掘的智能化入侵檢測系統(tǒng)，簡稱DMIDS[4]。這種系統(tǒng)可以最大程度的滿足入侵檢測系統(tǒng)所具備的條件，它可以根據(jù)新出現(xiàn)的攻擊等來自動充實自身的規(guī)則庫，增加系統(tǒng)的擴展性以及適應(yīng)性;一旦檢測的環(huán)境有所變動，它也無需做比較大的變動來解決問題。

2 DMIDS系統(tǒng)結(jié)構(gòu)

本文所提出的智能化入侵檢測系統(tǒng)主要采用一種分布式的結(jié)構(gòu)，它是由8各部分所組成，其中包括移動Agent、活動監(jiān)測Agent、數(shù)據(jù)挖掘引擎、決策引擎、事件序列生成器、事件庫、檢測引擎以及規(guī)則庫，其系統(tǒng)關(guān)系結(jié)構(gòu)如圖，這種系統(tǒng)可以對上文所提的入侵方式進行檢測。

DMIDS系統(tǒng)結(jié)構(gòu)圖

對DMIDS系統(tǒng)的原理進行簡要分析可以明白這種系統(tǒng)可以分成4部分進行:(1)最先開始活動的就是系統(tǒng)中的事件序列生成器，通過這種生成器我們可以處理計算機中的一些遺留數(shù)據(jù)，對其產(chǎn)生的事件進行排序，這些遺留數(shù)據(jù)包括系統(tǒng)的審計數(shù)據(jù)、網(wǎng)絡(luò)的流量數(shù)據(jù)以及系統(tǒng)的調(diào)用數(shù)據(jù)等，為了在形成的事件序列中找出需要的規(guī)則并將其并入到我們的規(guī)則庫中，必須利用數(shù)據(jù)挖掘引擎對數(shù)據(jù)進行分析;(2)分析好數(shù)據(jù)之后我們就要對其進行清洗，在此步驟中我們只是進行初步清洗，所利用的工具就是活動監(jiān)測Agent，平時它的主要工作就是留在計算機中對其進行保護，一旦進行清洗它就會出來對系統(tǒng)中的調(diào)用序列進行俘獲，對日志中的數(shù)據(jù)進行設(shè)計;(3)初步整理數(shù)據(jù)之后就要對信息進行收集并傳遞，收集數(shù)據(jù)的是一些活動的監(jiān)測Agent，然后由移動Agent將采集到的數(shù)據(jù)傳送給相關(guān)的序列生成器，同時必須對其進行簡單的處理;(4)對其進行簡單處理之后傳給進行證據(jù)發(fā)現(xiàn)的發(fā)掘引擎，發(fā)現(xiàn)證據(jù)之后將其傳送給檢測引擎，同時評估目前規(guī)則中所具有的相似性，最后必須以此對規(guī)則庫進行維護，同時將決策引擎所決定的結(jié)果經(jīng)由移動A-gent傳達給各個相關(guān)的活動監(jiān)測Agent。

3 對數(shù)據(jù)的采集以及事件的生成

在整個DMIDS系統(tǒng)中掌管數(shù)據(jù)采集的是移動Agent以及活動監(jiān)測Agent，這份工作需要由這兩部分共同來完成。其中分工如下:

對活動監(jiān)測Agent的工作安排:(1)將系統(tǒng)中的日志數(shù)據(jù)抽取出來進行初步的選擇以及清洗活動，清洗完后必須將其編碼，其中的數(shù)據(jù)抽取活動根據(jù)一定的策略來進行;(2)按照以上的方式對待系統(tǒng)中的調(diào)用序列數(shù)據(jù);(3)按照以上方式對待系統(tǒng)中的IP數(shù)據(jù)包數(shù)據(jù);(4)根據(jù)移動Agent所傳達的指令進行活動來保護我們的計算機系統(tǒng)。

移動Agent的工作內(nèi)容主要是在各個計算機中進行巡視，監(jiān)視并且掌控所有活動監(jiān)測Agent，所有經(jīng)過編碼的數(shù)據(jù)也是經(jīng)由其傳給序列生成器。同時決策引擎所決定散步的指令必須由其轉(zhuǎn)達給執(zhí)行的活動監(jiān)測Agent。由此可見，移動Agent起到的是中間傳遞的作用。

事件的生成主要是由事件序列生成器來進行，系統(tǒng)中遺留的數(shù)據(jù)以及移動Agent帶來的數(shù)據(jù)全部由其接收，并且將其解碼之后按照一定格式生成事件序列，并將其保存到事件庫中。

DMIDS系統(tǒng)作為一種檢測系統(tǒng)核心就是對入侵行為進行檢測。進行檢測之前必須要建立一個完整的規(guī)則庫，此規(guī)則庫的建立主要是根據(jù)從事件序列生成器中所挖掘出的規(guī)則來進行。然后根據(jù)所建立的規(guī)則庫，再加上由挖掘引擎找到的證據(jù)，就可以從整個系統(tǒng)中進行入侵檢測。

在此要注意，在進行規(guī)則的挖掘過程中一定要按照為題的屬性進行挖掘，將必須的屬性稱之為軸屬性，并且在進行規(guī)則數(shù)據(jù)的挖掘過程中，一般采用的方法都是人機交互方法。

運用關(guān)聯(lián)規(guī)則挖掘技術(shù)首先要確定問題域，其次要按照規(guī)則的屬性對問題域的編序關(guān)系進一步的選擇出并排序?qū)傩?，其三要確定初始最小支持度和初始最小置信度的閥值，第四要根據(jù)最小支持度閥值以及最小置信度閥值找出滿足條件的頻繁項集，在此可以運用Dpriori算法進行計算，第五要根據(jù)上步所定頻繁項集計算關(guān)聯(lián)規(guī)則，第六需要對這些關(guān)聯(lián)規(guī)則進行選擇，挑剔出非我用規(guī)則，然后根據(jù)規(guī)則屬性進行分類，建立分類模型，最后將新生成的規(guī)則按照判斷樹的方法插入到模式庫中。

比如以下用基本算法生成的關(guān)聯(lián)規(guī)則:

Src_bytes=200，Src_bytes=200→Dst_bytes=300.Src_bytes=200[0.2，0.7，2s]和 Src_bytes=200→tlaj=SF[0.2，0.6，2s]

從上述數(shù)據(jù)可得規(guī)則形式為:X，Y→Z[support，confidence，windiw]

比如由頻繁項集生產(chǎn)關(guān)聯(lián)規(guī)則:

Src_host=202.116.137.219，Dst_host=202.116.137.100→Srv=http[0.1449541，0.93342s]或 if Scr_host－“202116137219”and DST+host=“202116137100”then Srv=http

4 規(guī)則庫的建立以及維護

規(guī)則庫在整個DMIDS系統(tǒng)中的作用就是描述包括IP數(shù)據(jù)包、應(yīng)用層系統(tǒng)調(diào)用中所有的正常以及非正常的的數(shù)據(jù)以及序列，并且對用戶所進行的所有正常以及非正常的行為進行描述。

由上文可以得知，在規(guī)則庫中存在著兩大規(guī)則，即正常以及異常規(guī)則，這種做法也能夠?qū)⑾到y(tǒng)的性能提升到最大程度。在的規(guī)則庫中所存在的異常規(guī)則只是一些已經(jīng)得知的模式。在此規(guī)則庫中所存在的異常模式并不是一成不變的，它會隨著攻擊的增加有所擴展，然而擴充之后還是會有新的攻擊出現(xiàn)，所以規(guī)則庫一直處于不完整中，而且在檢測入侵時只能檢測到已經(jīng)存在的入侵行為。在建立這個系統(tǒng)的時候就是為了檢測到所有已知或者未知的入侵，所以規(guī)則庫中不能只存在一些異常模式，應(yīng)該適當(dāng)增加一些正常的模式。DMIDS系統(tǒng)就能夠達到這個要求，在此系統(tǒng)進行檢測的時候不僅僅能夠?qū)σ恍┊惓ＤＪ竭M行監(jiān)控，它還可以檢測到一些正常模式。平時并不會將正常模式作為危險項進行處理，只有與某一非正常規(guī)則達到一定相似度之后才會進行處理。

在規(guī)則庫中所有的異常規(guī)則都是通過已知的攻擊方法以及系統(tǒng)中存在的缺陷構(gòu)成，在將其編入到規(guī)則庫的時候采取的是編碼方式，這樣一來最初的規(guī)則庫就建立成功。系統(tǒng)運行之后我們會遇到更多的攻擊，這些攻擊中可能有一些不在規(guī)則庫之中，就可以將其編入到異常規(guī)則庫中，使其成為規(guī)則庫中的一員，用于以后的檢測中。

用于系統(tǒng)檢測的數(shù)據(jù)來源成千上萬，考慮到這種因素之后所設(shè)計的DMIDS系統(tǒng)建立起了各種各樣的規(guī)則?；顒訖z測Agent的主要作用就是收集來自于網(wǎng)絡(luò)系統(tǒng)以及主機操作中的信息，在被保護的主機中很容易可以發(fā)現(xiàn)它的身影，由于收集數(shù)據(jù)的地方有主機、有網(wǎng)絡(luò)，使得整個系統(tǒng)不僅具有一定的網(wǎng)絡(luò)特性，還具備一定的主機操作性。

5 結(jié)語

目前，隨著社會的發(fā)展，網(wǎng)絡(luò)的應(yīng)用也開始頻繁起來。為了使整個網(wǎng)絡(luò)有一個比較健康的發(fā)展必須保證其安全性，在整個信息安全方面所占比最重的就是入侵檢測系統(tǒng)，因此越來越多的研究人員投入到入侵檢測系統(tǒng)的開發(fā)中。在本文中所提出的DMIDS系統(tǒng)是在信息安全的前提下的所建立的智能化入侵檢測系統(tǒng)，在此系統(tǒng)的核心技術(shù)當(dāng)屬挖掘技術(shù)。在此系統(tǒng)模型中可以發(fā)現(xiàn)其具備有辨識、規(guī)則發(fā)現(xiàn)以及擴展等功能，因此，它不僅可以檢測到已知的攻擊，對于未知攻擊也具備一定檢測性。

[1]仇榮成.數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用[D].南京郵電大學(xué)，2011.

[2]楊紅巖，陳永泰.基于入侵檢測技術(shù)的研究[J].城市建設(shè)理論研究，2011(32).

[3]黃金土.數(shù)據(jù)挖掘在入侵檢測領(lǐng)域的應(yīng)用研究[J].機電技術(shù)，2011(5).

[4]余玉涵.基于數(shù)據(jù)挖掘和復(fù)雜事件處理的分布式入侵檢測系統(tǒng)的研究[D].安徽大學(xué)，2011.