数据挖掘技术在新型网络入侵检测模型中的应用研究.doc

数据挖掘技术在新型网络入侵检测模型中的应用研究 摘 要 随着互联网和计算机的普及应用，网络黑客和木马病毒日益泛滥，入侵检测已经成为网络安全管理的有效手段。本文将数据挖掘技术应用于网络入侵检测模型中，提出了新型模型的构建方案。 【关键词】数据挖掘 入侵检测 网络安全 1 引言 网络入侵检测模型应用的根本目的是为了确保网络系统的安全。因此，需要从不同渠道对网络系统运行产生的数据信息进行采集，再对获得的海量数据信息进行处理，进一步获取分析和研究结果，最终按照结果对网络系统的实际运行情况作出正确评价，发现网络中存在的安全威胁和异常情况，检测可能发生的网络攻击和入侵行为，以确保网络系统的安全稳定运行。将数据挖掘技术应用于网络入侵检测中，可以发现存在于深层次的数据规律，提高网络安全管理的有效性。 2 数据挖掘在入侵检测中的应用 在当今社会互联网普及应用的情况下，新型网络业务不断涌现，网络规模也得到了空前发展。为了使互联网能够为用户提供个性化服务，网络安全管理的有效性是信息安全领域面临的最大挑战。网络安全管理人员在采取合理的防护策略之前要对网络中的海量数据进行处理和分析，提取和分类有价值的数据信息，使数据信息能按照一定规律为网络安全管理提供支持。 为了能够创建有效的网络入侵检测模型，必须引入数据挖掘技术、神经网络技术和专家分析系统，以此获得有价值的数据融合结果。数据挖掘技术具有模式匹配的性能，在构建新型网络入侵检测模型之前，将数据挖掘技术融入其中，一方面可以保持原始算法的高匹配性能，另一方面可以使网络入侵检测模型更具智能化，降低网络安全事故的报错率。 数据挖掘技术可以有效解决网络中数据信息过于庞大的问题，对网络性能作出科学评价。数据挖掘技术能够从获得的海量数据信息中过滤和排除没有价值的数据信息，进一步获得有价值的数据信息。数据挖掘应用是一种概念化和知识化的过程，可以从根本上反映数据信息的价值内涵，是对数据信息的抽象画处理。 3 基于数据挖掘的入侵检测模型构建 本文以开源入侵检测软件Snort系统为基础实现系统扩展，Snort系统是一种专业网络入侵检测软件，基于传统的入侵检测模式环境下，难以发现新型的网络攻击手段，其原因是Snort系统之上将网络数据包与现有的入侵检测策略进行比对，因此，如果将异常入侵检测技术与Snort系统进行有机结合，必然能够有效应对新型网络入侵检测事件，异常入侵检测技术与普通误用入侵检测技术相比具有明显优势。 利用异常检测技术对网络入侵事件进行检测需要正常行为特征库，正常行为特征库的完善性直接与入侵检测的正确率相关，建立正常行为特征库的方法主要是通过聚类分析实现。聚类分析能够自动抽取正常行为特征库的数据，而不需要网络管理员的参与。本文提出的基于数据挖掘的入侵检测模型构建就是利用了聚类分析功能，可以自动过滤网络中的正常行为，通过异常检测技术判断的网络行为确认为没有问题之后，无需在利用误用入侵检测进行过滤，从根本上提高了网络入侵检测的工作效率。 经过异常引擎判断为异常行为的网络数据包需要明确确认其入侵类型，因此，需要将这些异常行为数据包传送到误用检测引擎中进行匹配，在匹配的过程中必然会出现匹配失败的情况，但是，系统并不会判断是异常检测引擎出现问题，而是将其作为新型网络入侵攻击行为。为了确保系统可以自我学习，需要通过关联分析器对系统日志中记录的未知网络数据包进行挖掘，再将未知网络数据包的规则添加到误用检测引擎特征库中，方便下一次的网络入侵检测能够正确识别。 本文对开源入侵检测软件Snort系统利用以上思想进行扩展，构建了基于数据挖掘的入侵检测模型。基于数据挖掘的入侵检测模型在原始Snort系统功能至上增加了异常检测、聚类分析和关联分析器等功能模块。异常检测功能模块指的是对网络数据包进行过滤，将存在异常的网络数据包传送到误用检测引擎；聚类分析功能模块负责为正常行为创建抽取特征库；关联分析器功能模块负责从异常网络数据包中挖掘新型入侵检测规则。 4 基于数据挖掘的入侵检测模型结构设计 基于数据挖掘的入侵检测模型数据流向如图1所示，该模型基于Snort系统的6个功能模块之上，增加了三个功能模块，分别是异常检测引擎模块、聚类分析模块和关联分析器模块。 4.1 Snort系统功能模块 Snort系统主要包括6个功能模块，分别是主模块、解码器模块、嗅探器模块、预处理器模块、误用检测引擎模块和自动报警模块。 4.2 关联分析器功能模块 当将日志信息存入到Snort系统之后，由于日志信息中很可能记录了部分没有被发现的新型网络攻击特征，需要利用关联分析器对日志新规则进行挖掘。 4.3 聚类分析功能模块 网络中传输的数据包大部分属于正常行为数据包，对这些正常行为的数据包特征进行抽取，并建立特征模型，为异常检测工作奠定基础。 4.4 异常检测引擎功能模块 异常检测引擎功能模块与聚类分析功能模块工作原理基本相同，在对网络数据包进行检测时直接将正常数据包过滤，将异常网络数据包传送到误用检测引擎中。 参考文献 1祁爱华，宋淑彩.数据挖掘技术在计算机入侵检测中的应用J.科技通报，2013，10：19-20+23. 2刘向旗，种向婷，甄成刚.基于数据挖掘的入侵检测系统研究J.