学术论坛
数据挖掘技术在入侵检测中的应用
解俊
（江苏省泰州机电高等职业技术学校江苏泰州225300）
与皮
摘要：文章分析了现代入慢检测技水存在的问题，提出了数据挖据的解决方法。着重阐速了数据挖抵的含义、过程和优势，与传统入慢检测技术相比更能透用于各种复杂环境。
关键调：数据挖据入债检测模型网络安全
中图分类号：TP39
文献标识码：A
文章编号：1007-9416(2012)09-0230-02
Data mining technology and its application
in Intrusion Detection
XIEJun
( 1. Taizhou vocational school of mechanical & electrical technology, Taizhou Jangsu 225300,China )
Abstract:This paper analyzes the existing problens of intrusion detection technology, presents a data mining approach. Emphatically elaborated the meaning of data mining, proces and advantage, and the traditional intrusion detection technology is more suitable for various complicated environment
Key Words :Data mining; intrusion detection; model; network security;
0、前言
网络应用的普及使得网络安全的重要性突显，面对严峻的网络安全形势，迫切需要可靠的网络安全保障技术。很多用于加强网络安全的手段，如加密、，防火墙，VPN等属于静态的技术，不能很好的实施有效的防护。而入侵检测技术作为一种动态的防护策略，对网络安全可有效实施监控、攻击与反攻击等动态保护，很大程度上弥补了传统静态策略的不足。但是，随着网络信息的丰富和带宽的不断扩大，要想从浩瀚的数据海洋中寻找有价值的信息是非常限难
的。本文研究了数据挖掘技术在人侵检测中的应用。 1、利用模式匹配的入侵检测技术存在的问题
基于数据检测手段可以将人侵检测系统分为两类。①异常检测：检测与可接受行为之间的偏差。异常检测有其天生无法避免的缺点，即并不是所有入侵都是异常行为，也不是所有异常行为都一定是入侵。该模型具有漏报率低、误报率高的特点。②误用检测：检测与已知不可接受行为之间的匹配程度。误用检测与异常检测相反，其具有漏报率高、误报率低的特点。即对已知攻击检测效果好，对未知攻击却检测效果不好，且必须经常更新特征库。
利用模式匹配的人侵检测技术的局限性很多，具体有
(1)缺乏准确性：现有的有关规则的数据库、知识库和统计方法是怎么得来的?都是基于专家知识的手工编码得到的。误用检测手动缩码规则和模式以及异常检测统计量的选择，在安全系统的设计，以及一些入侵检测方法上已被视为“经典"的专家知识。这些经验数据遇到目益复杂的网络环境，往往显得不完整和不准确，从而直接导致现有的人侵检测系统缺乏有效性和准确性。
(2)适应能力差：专家只能对已知的攻击行为和系统缺陷加以深度分析，它并不能检测未知攻击，因为这是需要时闻学习"的，所以检测新的攻击行为的结果是延迟很大。
(3)可扩展性不强：由于专家规则与统计量一般都要受到环境影响，与之对应的大多数现有的人慢检测系统是整体性的，庞大的，难以及时更新，要在其中添加一个新的检测模块困难重重。
人侵检测的评价标准应充分考患准确性、适应性、容错性、时限性和高性能，传统的利用模式匹配的人侵检测，不管是采用手工编码的误用检测，还是异常检测中如何进行统计量的选择，在系统设
计、安全和检测方法中已广泛被视为“经典“的专家知识。这些专家知识或是经验数据一遇到日益复杂的网络环境，就暴露出不完整、不准确的弊筛，从而直接制约了现有人侵检测系统有效性和准确性的发展。
众多的入侵检测系统只能处理某一种特定的审计数据源，其库文件更新缓慢却造价昂贵。此外，日益复杂的操作系统和迅速扩大的网络数据流让安全审计数据也以惊人的速度增加。攻击方式改变，相应的IDS又整体性很强，难以更新，导致专家无法对所有攻击做特征编码。难以对这些与攻击密切相关的关键数据进行深层次的分析和
利用的原因，就是有价值的信息往往隐藏在激增的数据背后。 2、数据挖据技术在入侵检测中的应用
为了解决利用模式匹配的人侵检测技术的自身问题，我们的目标是在建立一个人侵检测系统的过程中尽可能地减少其中的手工部分和经验成分，提倡以数据为中心，在系统设计时更加注重系统化和自动化，把人侵检测视为一个数据分析过程，运用数据挖据技术来解决问题
2.1数据挖据技术
数据挖揭(DataMining)是从大量的数据中抽取人们感兴趣的对象的过程。数据挖掘的对象可以是数据源，文件系统或Web资源等任何数据集合，同时数据挖揭的过程并不是一个直线型的过程，而是一个螺旋上升、循环往复的多步骤处理过程。
2.2用于入侵检测系统的数据挖据过程
数据挖掘是从大量的数据中抽取人们感兴趣的对象的过程，利用各种分析工具寻找潜在的、有价值的模型或规则，以及发现它们之间的关系来做出预测。数据挖据的功能用于指定数据挖掘任务中要找的模式类型，包括概念描述，分类，聚类，关联，预测，趋势分析，方差分析和相似性分析。数据挖揭任务一般分为2大类：描述和预测。描述性的数据挖掘任务是负责描述数据库的一般股特征，预测性数据挖掘任务是负责利用当前数据推理预测。数据挖掘是一个工具，只是帮助人们更深入，更容易地分析数据，它不能告诉对你工作的实际价值，以及数据挖据模型也必须进行实践验证
数据挖掘技术是一种知识发现技术，其目的是从海量数据中提
下转第232页
作者简介：解俊（1977－），男，江苏泰州人，讲师，主要研究方向为计算机网络。 230