計(jì)算機(jī)入侵檢測(cè)數(shù)據(jù)挖掘模型設(shè)計(jì)及系統(tǒng)實(shí)驗(yàn)驗(yàn)證

齊智江

（黑龍江幼兒師范高等專(zhuān)科學(xué)校，黑龍 江牡丹江 157011）

在互聯(lián)網(wǎng)時(shí)代，計(jì)算機(jī)信息技術(shù)已經(jīng)滲透到日常生活、工作辦公等各個(gè)領(lǐng)域。由于互聯(lián)網(wǎng)具有開(kāi)放性的特點(diǎn)，一些黑客通過(guò)植入木馬、傳播病毒的方式，破壞計(jì)算機(jī)安全系統(tǒng)，竊取網(wǎng)絡(luò)用戶的隱私信息、重要數(shù)據(jù)，對(duì)網(wǎng)絡(luò)信息安全構(gòu)成了巨大威脅。隨著人們對(duì)網(wǎng)絡(luò)安全重視程度的提升，近年來(lái)也出現(xiàn)了大量的網(wǎng)絡(luò)安全技術(shù)。例如防火墻保護(hù)、用戶權(quán)限認(rèn)證。入侵檢測(cè)是通過(guò)實(shí)時(shí)收集和分析用戶行為數(shù)據(jù)，一旦發(fā)現(xiàn)異常行為可以立即采取隔離、防御或清除等措施，不僅識(shí)別精度高，而且能夠從源頭上解決入侵行為，將損失降到了最低，是現(xiàn)階段網(wǎng)絡(luò)信息安全保護(hù)中應(yīng)用效果較好的技術(shù)之一。

1 計(jì)算機(jī)入侵檢測(cè)數(shù)據(jù)挖掘模型的設(shè)計(jì)

1.1 基于數(shù)據(jù)挖掘的入侵檢測(cè)流程設(shè)計(jì)

獲取用戶行為數(shù)據(jù)是進(jìn)行入侵檢測(cè)的基礎(chǔ)步驟，保證數(shù)據(jù)全面、及時(shí)、準(zhǔn)確，對(duì)降低入侵檢測(cè)的誤報(bào)率、漏報(bào)率有積極幫助?；跀?shù)據(jù)挖掘的入侵檢測(cè)，主要包含了兩個(gè)步驟：第一是數(shù)據(jù)的準(zhǔn)備。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行中，每時(shí)每刻都會(huì)產(chǎn)生大量的用戶行為數(shù)據(jù)。這些數(shù)據(jù)被收集起來(lái)并統(tǒng)一存儲(chǔ)到了歷史數(shù)據(jù)庫(kù)中。在數(shù)據(jù)準(zhǔn)備步驟中，需要將數(shù)據(jù)庫(kù)中的用戶行為數(shù)據(jù)提取出來(lái)，并按照特定的規(guī)則完成數(shù)據(jù)預(yù)處理。在經(jīng)過(guò)清洗、整理后，所得數(shù)據(jù)被暫時(shí)存放到知識(shí)規(guī)則庫(kù)。第二是數(shù)據(jù)的檢測(cè)。將實(shí)時(shí)產(chǎn)生的用戶行為數(shù)據(jù)作為檢測(cè)數(shù)據(jù)，采集之后同樣經(jīng)過(guò)一道預(yù)處理工序，進(jìn)行特征提取后，與知識(shí)規(guī)則庫(kù)中存放中的數(shù)據(jù)進(jìn)行對(duì)比、分析。根據(jù)分析結(jié)果，如果未發(fā)現(xiàn)入侵風(fēng)險(xiǎn)，則繼續(xù)采集實(shí)時(shí)用戶行為數(shù)據(jù)，進(jìn)入到下一周期的入侵檢測(cè)中；如果檢測(cè)到入侵風(fēng)險(xiǎn)，則進(jìn)行預(yù)警。整個(gè)檢測(cè)流程如圖1 所示。

圖1 基于數(shù)據(jù)挖掘的入侵檢測(cè)流程圖

1.2 網(wǎng)絡(luò)入侵異常檢測(cè)模型設(shè)計(jì)

1.2.1 流量異常檢測(cè)模型

入侵檢測(cè)流量異常是在管理員設(shè)定的監(jiān)測(cè)范圍中，用基線模板（Baseline Template）對(duì)所有封包流量進(jìn)行檢測(cè)的一種模型。它將網(wǎng)絡(luò)中正常流量形成的模型作為參照物，并與網(wǎng)絡(luò)中實(shí)時(shí)產(chǎn)生的流量進(jìn)行配對(duì)，如果配對(duì)成功，則說(shuō)明運(yùn)行正常；如果配對(duì)失敗，則說(shuō)明存在流量異常，這樣就可以實(shí)時(shí)發(fā)現(xiàn)問(wèn)題流量。管理員可靈活設(shè)定網(wǎng)絡(luò)監(jiān)測(cè)范圍及監(jiān)測(cè)對(duì)象，并且能通過(guò)參數(shù)調(diào)節(jié)劃分異常敏感度從而實(shí)現(xiàn)分級(jí)告警，例如中度異常、高度異常等。流量異常檢測(cè)模型在識(shí)別異常流量后，還會(huì)對(duì)其展開(kāi)分析，判斷異常流量的狀態(tài)。通常來(lái)說(shuō)有4 種狀態(tài)，分別是該異常流量正在進(jìn)行（Ongoing）、已經(jīng)復(fù)原（Recovered）、已經(jīng)檢查（Checked） 和設(shè)定無(wú)效（Obsolete）。

1.2.2 協(xié)議濫用異常檢測(cè)模型

DDoS 攻擊與協(xié)議濫用是常見(jiàn)的網(wǎng)絡(luò)入侵形式，構(gòu)建面向協(xié)議濫用的入侵檢測(cè)模型，可以根據(jù)封包長(zhǎng)度、通訊協(xié)議、端口號(hào)、網(wǎng)絡(luò)非法地址等流量特征，實(shí)現(xiàn)對(duì)DDoS 攻擊、協(xié)議濫用異常的入侵檢測(cè)，從而達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。協(xié)議濫用異常的攻擊流量模式定義如表1 所示。

表1 協(xié)議濫用異常的常見(jiàn)攻擊模式

基于協(xié)議濫用異常的檢測(cè)模型，不僅提供了幾種常見(jiàn)的攻擊特征定義（如Sasser、Code Red 等），而且支持管理員自定義添加一些病毒的特征信息。通過(guò)不斷豐富檢測(cè)模型，進(jìn)一步提高該模型對(duì)協(xié)議濫用異常的識(shí)別精度。例如，Sasser病毒的特征是每個(gè)聯(lián)機(jī)傳送兩個(gè)封包，每個(gè)封包長(zhǎng)度為96字節(jié)；而Code Red 病毒的特征是每個(gè)聯(lián)機(jī)傳送三個(gè)封包，每個(gè)封包長(zhǎng)度144 字節(jié)?；谶@些病毒特征，該模型能夠準(zhǔn)確檢測(cè)異常并且根據(jù)異常信息識(shí)別出具體的攻擊類(lèi)型，從而提高了網(wǎng)絡(luò)安全保護(hù)的能力。

1.3 基于混合算法的入侵識(shí)別模型

早期基于數(shù)據(jù)挖掘的入侵檢測(cè)，主要采用單一的關(guān)聯(lián)規(guī)則算法，其原理是在挖掘海量數(shù)據(jù)的前提下，在實(shí)時(shí)數(shù)據(jù)與標(biāo)準(zhǔn)數(shù)據(jù)之間建立起某種關(guān)聯(lián)，根據(jù)特定的關(guān)聯(lián)規(guī)則計(jì)算兩者之間的異同點(diǎn)。如果差異明顯，則認(rèn)為是異常數(shù)據(jù)，判定為入侵行為。實(shí)踐表明，基于單一關(guān)聯(lián)規(guī)則算法的入侵檢測(cè)模型存在數(shù)據(jù)比較分析時(shí)間長(zhǎng)、異常識(shí)別準(zhǔn)確度低等問(wèn)題。因此，本文提出了一種關(guān)聯(lián)規(guī)則與決策樹(shù)相結(jié)合的混合算法，并基于混合算法構(gòu)建了入侵檢測(cè)模型，其結(jié)構(gòu)如圖2 所示。

圖2 基于混合算法的入侵檢測(cè)模型

關(guān)聯(lián)規(guī)則與決策樹(shù)在數(shù)據(jù)挖掘機(jī)制方面存在差異。如上文所述，關(guān)聯(lián)規(guī)則主要是對(duì)比兩種或多種數(shù)據(jù)的某種關(guān)聯(lián)性、規(guī)律性，根據(jù)對(duì)比結(jié)果是否存在異常來(lái)判斷有無(wú)入侵行為；而決策樹(shù)則是基于用戶行為，首先判斷該行為是否存在風(fēng)險(xiǎn)，若識(shí)別出風(fēng)險(xiǎn)，則直接完成入侵檢測(cè)。若用戶行為無(wú)風(fēng)險(xiǎn)，則確定行為名稱(chēng)，劃分行為主體和行為客體。再根據(jù)行為路徑判斷是否存在風(fēng)險(xiǎn)?；跊Q策樹(shù)的入侵檢測(cè)模型雖然提高了對(duì)入侵行為的識(shí)別精度，但是由于決策樹(shù)中包含的分類(lèi)較多，也會(huì)耗費(fèi)較長(zhǎng)的檢測(cè)時(shí)間。因此，采用關(guān)聯(lián)規(guī)則與決策樹(shù)相結(jié)合的方式，做到有機(jī)互補(bǔ)。在基于混合算法的入侵檢測(cè)模型中，一方面利用關(guān)聯(lián)規(guī)則來(lái)減少?zèng)Q策樹(shù)的條件屬性個(gè)數(shù)，提高決策樹(shù)分類(lèi)精度，以便于更高效率檢測(cè)出入侵行為；另一方面利用決策樹(shù)的強(qiáng)關(guān)聯(lián)規(guī)則，進(jìn)一步提高了入侵識(shí)別的精度。因此，該入侵檢測(cè)模型可以在異常行為檢測(cè)效率和識(shí)別精度上達(dá)到統(tǒng)一。

2 計(jì)算機(jī)入侵檢測(cè)系統(tǒng)的構(gòu)建

2.1 入侵檢測(cè)實(shí)驗(yàn)原型系統(tǒng)的實(shí)現(xiàn)流程

該系統(tǒng)采用集中控制模式和分布式數(shù)據(jù)采集模式?；跀?shù)據(jù)挖掘和流量分析發(fā)現(xiàn)入侵行為后，系統(tǒng)進(jìn)入防御狀態(tài)，同時(shí)發(fā)出預(yù)警，提醒管理員盡快解決問(wèn)題，降低負(fù)面影響。從系統(tǒng)功能實(shí)現(xiàn)方式上來(lái)看，入侵檢測(cè)主要流程為：從日志樣本數(shù)據(jù)庫(kù)中提取出數(shù)據(jù)并做預(yù)處理，包括數(shù)據(jù)清洗、數(shù)據(jù)訓(xùn)練等。將預(yù)處理完畢的數(shù)據(jù)輸入到由ID3 決策樹(shù)模型和強(qiáng)關(guān)聯(lián)規(guī)則結(jié)合的混合模型中。然后與保存好的訓(xùn)練參數(shù)進(jìn)行配對(duì)，根據(jù)配對(duì)結(jié)果判斷是否存在風(fēng)險(xiǎn)。如果識(shí)別出風(fēng)險(xiǎn)，則進(jìn)行預(yù)警。基本流程如圖3 所示。

圖3 入侵檢測(cè)原型系統(tǒng)實(shí)現(xiàn)流程

2.2 入侵檢測(cè)原型系統(tǒng)的功能模塊

該系統(tǒng)的核心功能模塊有4 個(gè)，分別是數(shù)據(jù)預(yù)處理、數(shù)據(jù)挖掘模型、數(shù)據(jù)挖掘檢測(cè)和基礎(chǔ)管理模塊。其中，數(shù)據(jù)預(yù)處理模塊提供數(shù)據(jù)的采集和標(biāo)準(zhǔn)化處理兩項(xiàng)功能。主要作用是從網(wǎng)絡(luò)運(yùn)行日志中提取數(shù)據(jù)，并根據(jù)模型訓(xùn)練需要，將數(shù)據(jù)轉(zhuǎn)化成標(biāo)準(zhǔn)數(shù)據(jù)格式，提高異構(gòu)數(shù)據(jù)的兼容性。在數(shù)據(jù)獲取方式上，支持讀取事件源日志文件獲取，或者SNMP Trap 獲取等。數(shù)據(jù)挖掘檢測(cè)模塊支持在線監(jiān)測(cè)和離線監(jiān)測(cè)兩種模式，并且在獲得檢測(cè)結(jié)果后，根據(jù)有無(wú)入侵行為決定是否向管理員發(fā)送預(yù)警消息。如果檢測(cè)到入侵行為，則自動(dòng)生成并發(fā)送預(yù)警消息，內(nèi)容包括入侵時(shí)間、入侵目標(biāo)、入侵路徑等。

3 入侵檢測(cè)原型系統(tǒng)的實(shí)驗(yàn)驗(yàn)證

3.1 實(shí)驗(yàn)環(huán)境

為進(jìn)一步驗(yàn)證基于混合算法的入侵檢測(cè)系統(tǒng)對(duì)于入侵行為的檢測(cè)精度，創(chuàng)建了適用于該系統(tǒng)運(yùn)行的實(shí)驗(yàn)環(huán)境。硬件方面，包括1 臺(tái)主機(jī)服務(wù)器，使用P4 2.4G 處理器，4G 內(nèi)存，500G 硬盤(pán)；1 臺(tái)控制臺(tái)主機(jī)服務(wù)器，配置同上；100M 局域網(wǎng)。軟件方面，使用Windows 10 操作系統(tǒng)，SQLevrer 2018 數(shù)據(jù)庫(kù)。

3.2 驗(yàn)證過(guò)程

本次實(shí)驗(yàn)重點(diǎn)對(duì)系統(tǒng)基礎(chǔ)管理、數(shù)據(jù)預(yù)處理和入侵檢測(cè)功能3 項(xiàng)內(nèi)容展開(kāi)測(cè)試。測(cè)試內(nèi)容及結(jié)果如下：

3.2.1 系統(tǒng)基礎(chǔ)管理測(cè)試。測(cè)試內(nèi)容包括登錄測(cè)試和退出測(cè)試兩部分。在登錄測(cè)試中，首先給定“用戶名：ABC，密碼：”，測(cè)試時(shí)驗(yàn)證ABC 用戶身份，并提示該用戶輸入對(duì)應(yīng)的密碼，與期望一致。然后給定“用戶名：ABC，密碼：1234”，測(cè)試時(shí)驗(yàn)證ABC 用戶身份，并提示該用戶成功登錄，與期望一致。在退出測(cè)試中，用戶點(diǎn)擊“退出系統(tǒng)”選項(xiàng)，測(cè)試時(shí)提示用戶成功退出系統(tǒng)，并返回至登錄界面，與期望一致。

3.2.2 數(shù)據(jù)預(yù)處理功能測(cè)試。向日志樣本庫(kù)中導(dǎo)入10000 條系統(tǒng)用戶行為歷史數(shù)據(jù)。然后由該系統(tǒng)對(duì)上述數(shù)據(jù)進(jìn)行預(yù)處理，包括數(shù)據(jù)清洗、整理等。最后得到4160條有效使用的用戶行為數(shù)據(jù)記錄。數(shù)據(jù)預(yù)處理用時(shí)為13ms。

3.2.3 基于預(yù)處理所得數(shù)據(jù)，使用本文提出的基于決策樹(shù)和強(qiáng)關(guān)聯(lián)規(guī)則的混合算法入侵檢測(cè)系統(tǒng)進(jìn)行用戶異常行為檢測(cè)，檢測(cè)結(jié)果如表2 所示。為了驗(yàn)證該系統(tǒng)的應(yīng)用效果，實(shí)驗(yàn)中還另外設(shè)計(jì)了未使用關(guān)聯(lián)混合模型的入侵檢測(cè)系統(tǒng)作為對(duì)比，檢測(cè)結(jié)果如表3 所示。

表2 基于混合模型入侵檢測(cè)系統(tǒng)的實(shí)驗(yàn)驗(yàn)證

表3 未使用關(guān)聯(lián)混合模型的入侵檢測(cè)系統(tǒng)對(duì)比實(shí)驗(yàn)

對(duì)比表2、表3 數(shù)據(jù)可以發(fā)現(xiàn)，傳統(tǒng)基于單一關(guān)聯(lián)規(guī)則的入侵檢測(cè)系統(tǒng)，檢測(cè)正確率在58.3%-71.4%之間，平均63.9%。另外漏報(bào)率最高達(dá)到了4.2%、誤報(bào)率最高達(dá)到了4.8%。對(duì)比來(lái)看，基于混合模型的入侵檢測(cè)系統(tǒng)，檢測(cè)正確率在66.7%-76.9%之間，平均72.8%，可以發(fā)現(xiàn)該系統(tǒng)對(duì)于入侵行為的識(shí)別率更高，平均檢測(cè)正確率提升了8.9 個(gè)百分點(diǎn)。同樣的，該系統(tǒng)的漏報(bào)率最高為3.3%，假報(bào)率最高為3.1%，也出現(xiàn)了不同程度的降低。

4 結(jié)論

在計(jì)算機(jī)入侵檢測(cè)中，使用強(qiáng)關(guān)聯(lián)規(guī)則和決策樹(shù)相結(jié)合的混合模型，構(gòu)建入侵檢測(cè)系統(tǒng)，在提高入侵行為檢測(cè)精度，降低誤報(bào)率和假報(bào)率方面效果良好，極大地提升了網(wǎng)絡(luò)信息安全。