教事技术与率用
入侵检测中数据挖掘技术的运用
刘晓英1李硕2王凯弘
(1.武汉第二船舶设计院湖北武汉430064;2.92330部队山东青岛266000)
安全技术
摘要：网络已经成为人们获取信息的重要途径。在日常生活与工作之中，人们对于网络的依赖性越来越强。与此同时，黑客技水也在快速发展,网络安全威助日差严重，因此必频要为网络与计算机安全提供更多的保护。作为网络安全保护中的一种重要手段，入债检测能够发挥出相当大的作用。然而传统的入侵检测方法已经难以满足当前的网络安全需要，需要对入侵检测系统进行改进。文中则主要探讨了入使检测中数据挖抵技术所能够发择的作用与运用方式，
关键词：数据挖据入侵检测网络安全
中图分类号：TP393
文献标识码:A
人慢检测是网络安全中的重要组成部分，受到了越来越多的关注与发展。在当前IPv4与IPv6将会在很长的一段时间内共存，为网络的控制与管理带来了更多的围难，在当前入侵检测系统在网络安全中暴露出了越来越多的问题，如社会事件响应不及时、恢复机制不完整、虚报率较高等等，特别是网络入侵行为的自我学习与适应能力还存在有严重的不足。面通过数据挖掘技术则能较好的对增强人侵检测系统的各项能力。
1数据挖据在入侵检测系统中运用的优点
1.1具有更强的自造应性
当一种攻击非常复杂或者是时间罚度非常的长，那么传统的系统想快速的跟踪人侵技术的发展就非常困难了。并且针对每一种新的攻击就去更换一次系统需要的代价非常打，基于数据挖据的异常检测并不是采用的信号匹配模式，并不是对每一个特别的信号进行检测，因此就不会存在上诉的问题，具有更好的实时性，例如一个改进过的远程呼叫程序就很可能迷惑建立在信号匹配模式之上的系统，而如果是运用异常检测，那么就很客易被发现，这是固为系统能够发现在以前从来都没有来自于这个地址的RPC连接。
1.2具有良好扩展性
基于数据挖掘的人侵检测能够将实现不同功能的挖掘算法分别设计成模块，这样就能够相当方便的将模块嵌人到入侵检测系统中去，让系统拥有更好的扩展性。
1.3降低误报警率
在现有的人侵检测系统中对于单纯的信号匹配依赖的较为严重，而这种方式所发出的警报要比实际的情况要多很多，在某些正常的工作中也很有可能包括有匹配系统中所包含的信号，这样的情况就必然会导致误报警。给予数据挖掘的人侵检测系统能够从警报发生的序列中发现规律，进而能够滤除那些通过正常的行为产生的信号。利用数据挖据的方法可以有效的对重复的攻击数据进行别除，威少误报警率。
1.4降低漏报率
如果出现了新的以前从来都没有出现过的击方式，或者是攻击方式对其原来的某些方式进了改变，那么传统的系统就很很可能会没有反应。面通过数据挖掘技术，则能够快速的发现新的攻击，并能够有效的减少漏报的情况。
2数据挖据在入侵检测系统的运用
2.1关联分析
关联规则挖掘的主要目的是要从数据库中发现各个属性之间存在的关联关系。关联规则就是为了可以找到各个数据项之间，每个数据项内部所存在的相互关系，关联规则挖据是在数据挖掘中应用的最为广泛的技术，同时也是在入侵检测中应用的最早的技术之。挖掘关联规则主要有两个步赚：第一步，产生赖集的集合，第二步，产生关联规则，并从频集生成关联规则，并进行判断。在当前人
文章编号:1007-9416(2014)01-0189-02
侵检测中常用的关联分析算法主要有Apriori.AIS等。
著名的电脑杂志PCWeek为了对Web服务IS与Apache的安全行进行测试，专门提供了装有不同Web服务器的两台主机让黑客攻击，而一名交ifs的黑客在20小时内成功修改了Linux平台上是Web 服务器的主页。过程主要有五步：(1)对远端主机信息进行收集，包括有所打开的端口以及所提供的网络服务等，(2)对当前操作系统类型、本以及Web服务器的类型与版本进行了解，(3)尝试通过常见的Apache服务程序漏洞进行入侵，失败；(4)发现第三方软件的CGI 漏洞，并通过这个漏洞来进人系统，(5)通过RedHatcrontab漏洞得到Root权限，完成人侵，从这里能够看出入侵行为往往并不是独立的，很多时候只是攻击的不同阶段，是为了获得相关的信息，因此攻击行为具有较强的时序与逻辑关系。而关联分析则是对这时间的关联进行分析。在人侵检测中运用关联分析就是在人慢检测引肇与系统关联之间，增加一个起事件再加工作用的事件关联层。在时间关联层中对人侵检测引肇所检测到的各种“基本事件“进行关联分析，然后将处理之后的时间传递给系统管理界面进行显示。采用关联分析的人侵检测系统组成如图1。
2.2序列分析
序列模式分析的主要作用是用来对如“在某一个时间段之内，先出现了数据特征A，然后则又出现了特征B，而后则又出现了特征 C，也就是序列A→B→C有着较高的出现频度"这样的高频序列信息进行发现。序列模式分析所挖掘的就是各个安全时闻之间所出现的先后关系，然后通过序列分析来对人侵行为之间所存在的序列关系进行发现，从获得人侵慢行为之闻所具有的时间序列特征，通常情况下，序列模式分析并不是单独使用的，而是作为入侵检测过程中的某一个步赚，从数据中对用户序列模式进行挖掘，从中提取出能够用来作为入侵检测的知识以及模式。例如对网络链接数据进行序列分析，对其中部分基于时间的统计属性进行提取，并构造出分类模型，这种方式对于反复出现的序列检测率比较高。
2.3聚类分析
利用聚类分析所进行的入侵检测就是通过聚类算法来将数据记录进行划分，划分成簇，并根据一定的标准来识别是正常簇还是异常续。在对数据记录进行检测时将这个数据与这些簇根据某一种度量来进行比较，并将其划分到何其最为接近的筷，并通过簇的标识来确认其是正常的记录还是不正常的记录。聚类分析是一种没有监督的学习方法，并不会依赖于预先所定义好的类与类标号的训练实例，因此这种方法具有很强的实用性，分类分析的应用主要有数据预处理、聚类划分、簇识别与检测，构建在聚类分析基础上的异常检测可以对未知攻击进行检测，而与无用检测方法进行结合时，可以有效的改善人侵检测系统的效果。采用聚类分析就是为了能够对网络中的正常数据进行过滤，并生成准确的可以识别正常数据的行为模式。将不符合正常行为模式的数据包看做是异常数据包，并将这些异常数据包通过系统中的检测器进行进一步的检测。基于聚类
189