浅析数据挖掘在网络入侵检测中的应用.doc

浅析数据挖掘在网络入侵检测中的应用 摘要：随着网络技术和网络规模的迅速发展，网络入侵的风险性和机会也越来越多，网络安全已经成为我们无法回避的一个问题。继“防火墙”、“数据加密”等传统安全保护措施后，入侵检测技术作为新一代的安全保障技术越来越受到关注且已被广泛使用。本文首先介绍了网络安全、入侵检测和数据挖掘这三方面的基本知识。然后分析了在传统的网络入侵检测技术的不足之后，针对如何提高基于数据挖掘的网络入侵检测系统的效率和准确度而利用数据挖掘中的关联规则和聚类规则将已有模型结构进行了改进。 关键词：网络安全；数据挖掘；入侵检测 中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)29-7127-02 Analysis of Data Mining Application in Network Intrusion Detection LI Ying (Nantong Agricultural College Department of Information Engineering, Nantong 226000, China) Abstract: Along with the network technology and the rapid development of network scale, network intrusion risk and opportunity is also increasing, network security has become an unavoidable problem for us. Following the firewall, data encryption and other traditional security protection measures, the intrusion detection technology is a new security technology, more and more attention and has been widely used. This article first introduced the network security, intrusion detection and data mining of the three aspects of the basic knowledge of. Then analyzed in traditional network intrusion detection technology is insufficient, how to improve the network intrusion detection based on data mining system the efficiency and the accuracy and the use of association rules in data mining and clustering rules will have a model structure is improved. Key words: network security; data mining; intrusion detection 当前计算机网络广泛应用于各个领域，不可置疑给人们的生活、学习、工作带来了便利，同时也对网络安全提出了更高的要求。在现代信息化发展的形式下，要求一个安全的网络系统不仅要有防御手段，而是既要有防火墙等防御的手段，还要有能对网络的安全进行实时监控，攻击与反攻击的网络入侵检测系统。所以在这种情形下，入侵检测系统应运而生。 1 入侵检测的必要性 入侵检测系统就是对已建设的信息系统，按一定的安全策略建立起相应的安全辅助系统。就现在的系统安全状况而言，系统正存在被攻击的可能性，当系统遭到攻击时，只要尽可能地检测到，甚至是实时地检测到，就可以为入侵检测提供有利信息。入侵检测作为新一代的安全技术，它的作用在于:识别入侵者、识别入侵行为、检测和监视己成功的安全突破、为对抗入侵及时提供重要信息，阻止入侵的发生和事态的扩大。面对网络中存在着海量的数据，如何才能得到那些对于检测入侵行为所有作用的数据呢？为此我们引出了采用数据挖掘方法来发现可能的新入侵的方法。 2 网络数据挖掘的相关知识 数据挖掘是指从大型数据库或数据仓库中提取人们感兴趣的知识，但是这些知识是隐含的、事先未知的、异常的及潜在有用的信息或模式，是数据库研究中的一个很有应用价值的新领域。数据挖掘的目的是帮助使用者寻找数据间潜在的关联，发现被忽略的要素，而这些信息对预测趋势和决策行为也许是十分有用的。 随着网络入侵检测技术的发展，使人们已着眼于将 Web数据挖掘技术应用于入侵检测技术的发中，如果能够完善的将数据挖掘技术应用到网络入侵检测中，根据入侵检测系统的具体特点，应用数据挖掘的基本原理，将它们优化的结合起来，这样将会大提高入侵检测系统的性能。 3 数据挖掘技术在入侵检测中的应用 在入侵检测系统中使用数据挖掘技术，通过分析有用的历史数据可以提取出用户的行为特征、总结入侵行为的规律，从而建立起比较完备的规则库来进行入侵检测。该过程主要分为以下几步： 1) 数据收集，基于网络的检测系统数据来源于网络。 2) 数据预处理，在数据挖掘中训练数据的好坏直接影响到提取的用户特征和推导出的规则的准确性。 3) 数据挖掘，从预处理过的数据中提取用户行为特征或规则等，再对所得的规则进行归并更新，建立起规则库。 以下为在对已有的基于数据挖掘的网络入侵检测的模型结构图进行阐述的基础上进行一些优化。 3.1 一种综合了误用检测和异常检测的模型 韦必忠，王勇和张开华在数据挖掘技术在网络入侵检测中的应用分析一文中的改进的综合误用检测和异常检测的模型，如图1所示。 由图2来看，它是综合利用了异常检测和误用检测模型而形成的基于数据挖掘的网络入侵检测模型。该网络入侵检测模型的优点为：通过结合误用检测器和异常检测器，的确将所要分析的数据量减少了很多。但该系统所存在的缺点为：当异常检测器检测到新的入侵检测后，只是更新了异常检测器，而并没有应用有利条件去更新误用检测器。这无疑又在无形中增加了异常检测器做一些重复且不必要的工作量。那么在该基础上，当检测到新的入侵行为时，能否同时将异常检测和误用检测同时进行更新呢？结合以上系统所存在的不足，提出了以下改进方法。 3.2 系统结构的改进 在图1的基础上我们改进了其综合检测模型，以形成一种更加有利的基于数据挖掘的入侵检测模型。如图2。 图2即在综合误用检测器和异常检测器的模型的基础上进行了优化。在该模型中首先是将从网络上获取的网络数据包发送到数据预处理器，由它将从网络上获取的数据包进行加工，然后使用关联规则找出那些具有代表性的规则，放入关联规则集，接着用聚类规则将关联规则所得的支持度和可信度这两个值进行聚类优化。在聚类完后，我们可以根据规定的阈值而将一部分正常的数据删除。在这一操作后，无疑又减少了所要分析的数据量。接着把剩下的数据发送到误用检测器进行检测，如果误用检测器也没有检测到攻击，则将该类数据发送到异常检测器进行检测，与上例相同，该异常检测器也相当于一个过滤器的作用，利用这一步的操作将大量的正常数据过滤掉，数据量再一次随之变少，便于了以后的挖掘。该系统的再一大特点就是为下一次不再对同一数据作重复检测，利用了对数据仓库的更新来进一步完善异常检测器和误用检测器，即，根据异常检测器的检测结果来更新异常检测器和误用检测器，如果该行为判断结果是正常行为，则更新异常检测器，如果测得该行为是属于攻击行为，那么就更新误用检测器来记录该次的行为，以便下次做重复的检测。例如，当异常检测器检测到新的网络入侵方法后，也就是说当异常检测器测得新的入侵检测后，通过数据仓库的更新可以达到既更新了异常检测器，又更新了误用检测器。这使误用检测器和异常检测器都减少了要分析的数据量，且提高了检测的速度和效率。 目前入侵检测技术还不够成熟和完善，如何能够大幅度的提高网络和主机对攻击和错误使用的抵抗力，从而使安全措施的实施更加有效，减少误警率和漏警率，并使设置选项更加的灵活将是数据挖掘技术在网络入侵检测中研究的方向。 参考文献： 1 黄叔武,刘建新.计算机网络教程M.北京:清华大学出版社,2004,303-330. 2 谢希仁.计算机网络(第四版)M.北京:电子工业出版社,2004,351-360. 3 楚狂等.网络安全与防火墙技术M.北京:人民邮电出版社,2000,48-51. 4 韩东海,王超,李群.入侵检测系统实例剖析M.北京:清华大学出版社,2002,2-25. 5 朱天清.入侵检测系统的数据挖掘模型及算法研究J.武汉工业学院报,2005(24):3. 6 郭亚周等.模糊聚类分析在入侵检测系统中的应用研究J.沈阳理工大学学报，2005(24):4.