数据挖掘在入侵检测中的应用研究
浅析数据挖掘算法在入侵检测中的应用
随 着 网 络 技术 的 快 速发 展 , 用 丰 富 的 网络 资 源进 行 攻 击 的手 这类对象 的有关特征 。 利 法千变万化 , 通过一些简单的操作就 可以实施极具破坏力的攻击行 34偏 差 检 测 . 为 , 何有 效 的检 测 并 阻止 这 些 攻 击 行为 的发 生成 了 目前 计 算 机行 如 偏 差 包 括 很 多潜 在 的知 识 。 据挖 掘 技 术 是 最 新 引入 到 入 侵检 数
做出极具准确性的预测性。 数据挖掘最终要实现的是从众多的数据
库 中发 现 隐 含 的且 理 论极 具 有 意 义 的 知 识 。
入 侵检测系统主要关注的是来 自系统 外部 的攻 击行 为。 然而 , 大部分造成严重后果的系统入侵正是 由内部攻击者引起 的, 因此通 过对基 于内部用户行为模 式的异常检测进行 了相应的试验 。 在实验
系统提供免受外部攻击 、 内部 攻 击 和 误 操 作 的安 全 保 障 。 入侵 检 测
42通 过 采 用加 权 关联 规 则 来挖 掘 算 法 .
通常分为一下三个部分 : 数据采集 、 数据分析以及 系统响应。 数据采
加权关联规则技术引入的入侵检测 系统 可更精确地表 示入 侵 集 主 要是 从 网络 系 统 中进 行 采 集 网络 中相 关 的数 据 包 、 要 文 件 以 模 式 。 主 要 是 考 虑 到 了审 计 数 据 的时 间效 应 。 重 这 同时 , 用 加 权 关 联 使 及 与 用 户 活 动 有 关 的 数 据 等 。 据 分 析 则 通 过 模 式 匹配 、 常 检 测 规 则 可 以更 加容 易 、 数 异 有效 地 从 各种 各 样 的 审 计 数据 中发 现 出有 用 信 和完整性检测三种技术手段对采集的数据进行分析 。 入侵检测系统 息。 因此 , 加权 关联规则 技术 比关联规则技术更加适合用来 构建 入 旦 发 现 入 侵 行 为 , 即会 进 入 响 应 过 程 。 立 侵检测系统 的入 侵模 块数据库 。
数据挖掘技术在网络入侵检测中的应用探讨
0引 言
2数 据 挖掘技 术在 网络 入侵检 测 中的应 用探讨
2 1数 据挖掘 技术 与 网络入侵 检测 系统 的融合 .
的协 同作 用 ;对 子系 统调 用序 列数 据 ,可 以采 用序 列模 式挖 掘 算法 ;对 于
果能够 为 用户 和系 统 的所有 正常 行 为总 结活 动规 律 并建立 行 为模 型 ,那 么
入 侵检 测 系统 可 以将 当前捕 获到 的 网络行 为 与行 为模 型相 对 比 ,若入 侵 行 为偏 离 了正常 的行 为轨 迹 ,就可 以被 检测 出来 。它主 要存 在 以下 缺 点: 误 报 率高 、行为 模型 建立 困难 、难 以对 入侵 行为 进行 分类和 命名 等 。
一
个 入侵 信 息库 ,那 么入 侵检 测 系统 可 以将捕 获 的网络 行 为特 征与 入侵 信
数据 广——_ 。 据 ,
挖 掘 数据 J
息库 中 的特征 信 息相 比较 ,如 果 匹配 ,则 当前 行为 就被 认 定为 入侵 行 为 , 这种 方法 与大 部 分杀毒 软 件采 用 的特 征码 匹配 原理 类似 ,但 它 也存 在很 多 缺 陷,如 不能 检测 出新 的 入侵 行为 、完 全依 赖 于入 侵特 征 的有 效性 、维 护
哥伦 比亚大 学和 北卡 罗来纳 州立 大 学 的研 究人 员于 20 年首 先提 出将 00
数据 挖 掘 的方法 用于 入侵 检 测 。与基 于模 式 匹配 的入 侵检 测技 术不 同 ,基
于数 据 挖掘 的入 侵检 测 技术 可 以 自动 地从 训 练数据 中提取 出可 用于 入侵 检
数据挖掘技术在入侵检测中的应用研究
技术应用到入侵检测中, 并对其 中一些关键算法进行了讨论 。最后 提出了一个基于数据挖掘 的入侵检测模 型。实验证明
该模 型与 传统 系统 相 比 , 自适 应 和可扩 展方 面具 有一 定 的优 势 。 在
关 键词 : 据 挖掘 ; 数 入侵 检测 ; S 网络 攻击 I ; D 中图分类 号 : P 9 .8 T 33 0 文献 标识 码 : A 文 章编 号 :6 3 6 9 (0 60 —04 —0 1 7 — 2 X 20 )9 2 3 3
Applc to Re e r h o a a M i ng Te hn l g o ia in s a c fD t ni c o o y t
I r so t c i n nt u i n De e to
GU i .u, UN L. a Ja h iS iu n n j
维普资讯
第l 6卷第 9期 Fra bibliotek计 算 机 技 术 与 发 展
( Ⅳ UTER CHN(【 GY ℃ TE )D AND DEVEI PM ENT X)
20 0 6年 9月
Vo. 6 No 9 11 . S p 2 0 e. 06
数 据挖 掘 技 术在 入 侵检 测 中的应 用研 究
顾 健 辉 , 力 娟 孙
( 南京邮电大学 计算机学院, 江苏 南京 20 0 ) 103
摘 要 : 着 It t 速发 展 , 多新 的 网络攻击 不 断 涌现 。传统 的 依赖 手 工 和经 验方 式 建 立 的基 于专 家 系统 的入 侵 检 随 ne 迅 me 许
测 系统 , 由于面 临着 新 的攻击 方 式 及系统 升级 方面 的挑 战 , 已经 很 难 满 足现 有 的应 用要 求 。因此 , 必 要 寻 求 一 种能 从 大 有 量 网络数 据 中 自动 发现 入侵 模 式 的方法 来有效 发现 入 侵 。这 种方 法 的 主要 思想 是 利 用数 据 挖掘 方 法 , 经 预 处 理 的包 含 从 网络 连 接信 息 的审 计数 据 中提 取能 够 区分正 常和入 侵 的规 则 。这些 规则 将来 可 以被用 来检 测入 侵 行为 。文 中将 数 据 挖掘
数据挖掘技术在智能入侵检测中的应用研究
683文/刘春明随着计算机网络的不断深入发展网络的各种数据和攻击模式层出不穷并以惊人的速度增长使用一般的方法难以对海量的审计数据进行数据的分析数据挖掘技术应用到入侵检测上来有着非常强的适应性利用改进的关联规则算法建立入侵检测系统模型1用关联规则技术建立入侵检测系统模型在上面图1这个模型里系统将从网络中抓取的网络审计数据和从主机中得到的日志数据首先存入知识库这里是一个数据预处理的过程它将审计数据转化成能够被关联规则学习器学习的数据关联规则学习器是一个数据处理过程它输入的是大量的经过预处理的审计数据通过关联规则学习器的学习得到一系列的关联规则并将这些规则存入关联规则库里关联规则学习器可以定义一些条件阈值如最小支持度和置信度等在关联规则库里得到的关联规则与这些条件阈值密切相关依据最小支持度和置信度的大小有强关联规则和弱关联规则最后检测入侵器根据关联规则库里的关联规则对网络数据或者主机数据做出决策响应2改进的关联规则算法基于A pri ori算法存在的问题提出建立入侵检测系统模型的改进算法哈希修剪算法其改进的算法思想如下给定支持度阈值m i n_sup当扫描第k-1次事务数据库D k-1产生哈希表由_过程得到候选项集的集合计算哈希表各元素的统计数扫描数据库D桶计数低于支持度阂值m i n_sup的k-项集不是频繁k-项集同时若某事务的k-项子集不在C k中则该事务不被加入D k+1[Jong]规定哈希表的阈值l i m i t若哈希表满足支持度阈值的元素的个数大于哈希表的闲值l i m i t则建立哈希表否则不利用哈希表由于入侵检测的数据库数据庞大为产生有效的强关联规则我们预先规定轴属性ax i sat t ribute[W enke98][IE E E99]则产生的关联规则必须包含该属性一个好的软件系统应该是面向对象的[Laym an]我们再用U M L语言构建这个算法的类结构根据该算法至少需要两个类即数据类和A p riori类哈希修剪算法在候选集的产生问题上运用散列技术大大缩小了要考察的候选集特别是候选二项集的集合解决了算法执行过程中的一大瓶颈同时C k的大小随着k的增大明显减小因而可设定一个哈希表阂值当考察哈希表不满足该阈值则不使用哈希表此时算法接近于传统的A pri ori算法算法每次扫描数据库产生L k的同时减少了为下次扫描产生L k+1的数据库大小基于数据挖掘的A M G入侵检测系统A M G是一个能处理现实中任何网络数据和入侵检测模型的框架和结构[H oni g]A M G包括四个子系统由网络感应器和入侵侦测部件组成的实时子系统存储数据的数据库平台具有自适应能力模型生成和模型发布功能的入侵检测模型管理子系统管理可视化进行模糊分析预测和标签数据能从多个记录中关联和提取信息的数据分析子系统网络感应器收集网络环境信息并把数据存储到数据库存储在数据库中的数据被使用数据挖掘工具的入侵检测生成模型用来分类网络活动的异常或正常模型一旦被生成会被存储在数据库模型发布部件部署到实时入侵检测器入侵检测器接受部署其上的检测模型和来自网络感应器实时网络侦听数据用模型评价网络侦听数据最终发现入侵行为数据分析系统检索存储在数据库的数据对数据使用完全依赖于特定数据分析系统分析的结果可以存在数据库以备以后使用也可立即通过交互方式展示给用户数据分析系统允许自适应模型生成系统执行有助于部署的入侵检测系统新的入侵检测数据分析系统很容易被融合到高度模块化的A M G系统中自适应模型生成系统使用包括自治组件如A gent的分布式架构产生相互独立的部件用松散网络通讯协议实现部件之间信息交换信息交换使用X M L或其他易于表达和统一格式语言转达数据挖掘技术在智能入侵检测中的应用研究数据挖掘技术在智能入侵检测中的应用研究200.10H k gen candi dat e k-C kk68信息[X M L]1.实时子系统AM G系统由两个基本部件提供实时侦测能力网络感应器S ensor和人侵检测器D et ect o r网络感应器是一个轻量级的进程它收集来自网络的侦听数据流入侵检测器分析来自网络感应器侦听数据流使用入侵检测模型发现入侵A M G系统有许多复杂的基于数据挖掘入侵模型生成方式如使用决策树概率分析统计学习2.数据库平台数据库平台是A M G系统的核心部件它作为所有被网络感应器收集数据的中心存储器模型生成器使用存储其中的数据生成入侵检测模型并且生成模型相关数据也会被存储其中分析部件也会使用其中的数据作为参考现代数据库平台使用关系数据库有时使用数据仓库它能很容易实现数据操作对于创建基于数据挖掘入侵检测模型的训练数据集是至关重要的因为能使用SQ L查询语言检索任意一个数据子集数据库使过去手工进行数据选择枯燥工作实现自动化这个灵活性对大数据量知识发现是至关重要的数据挖掘平台使用X V IL语言同其他模块之间进行信息交流3.入侵检测模型管理子系统A M G系统管理入侵检测模型的建立和发布使用存储在数据挖掘平台上的数据生成模型通过模型发布器部署到入侵检测器A M G模型生成系统被设计成可以使用任何模型生成算法因而模型生成部件可以被视为一个黑盒相当容易嵌入系统架构中这些部件使用训练数据集作为输入生成异常检测模型不同数据模型生成算法需要不同的训练数据集在架构中允许模型生成器通过特定的SQ L查询产生需要的数据集它能够处理任何类型的模型生成算也就是说它的架构是健壮的4.数据分析子系统数据分析子系统任何一个部件从数据库中提取数据对这些数据执行相应的操作然后再把结果返回数据库存储起来在A M G系统之中数据分析子系统使用SQ L查询和数据库进行交互不时检索和插人数据数据分析子系统和A M G系统的其他部分一样使用特定标签t ag X M L文档进行分析当前执行数据分析的部件有可视化客户端模糊预测工具数据标签工具特征提取器对于可视化客户端就不再详细叙述它主要方便客户使用对于入侵检测系统设计而言一个重要的考虑是其效率一个实时系统必须能够对入侵采取及时反映不需要利用太多系统资源使其免受入侵这个对于基于主机的系统特别重要A M G架构强调轻量级的构件和分布式结构重量级资源可以和入侵检测系统分离唯一需要保护的轻量级部件是网络感应器实现了ID S管理资源最小化作者单位中国银行北京市分行编辑/雨露实现政府职能转变建设社会主义和谐社会文/张葆春建立和谐社会的基础社会主义的政治权力是有史以来第一个同时也是保护弱者利益的政权由于弱者在社会关系中处于不利地位他们往往更容易受到强者的伤害更需要得到政治权力的保护我们说社会主义政治权力是属于人民的公共权力它的历史使命是辩证地否定资本主义的政治权力一方面要剔除资本主义政治权力中少数人统治压迫多数人的弊端另一方面要吸收人类社会包括资本主义政治权力中积累的社会管理的政治文明成果运用公共权力为人民服务而不是为少数人或一部分人服务构建和谐社会必须实现政府职能的转变政府转型是新形势下建设和谐社会的重要途径1.市场经济的背景要求政府直接调控职能退出市场补充市场失灵加强公共管理服务完善社会保障市场机制的建立与完善需要政府职能退出市场政府职能转变不仅是简单的政企分开而是整个社会机体的分开如党政分开企事分开政治团体与社会中介组织分开等现在的情况是各种社会中介组织基本都挂靠在政府部门之下其坏处是中介组织利用政府资源来垄断市场从而损害了政府的声誉导致政府权威的丧失市场机制的运行需要政府弥补市场失灵和加强公共管理与服务政府的作用主要是补充市场失灵从而纠正因市场失灵而引起的资源配置效率的损失公益物品外部效应自然垄断不完全的市场和信息不完整不对称以及收入分配的不公平这都是市场失灵的表现补充这些失灵就是政府的天责提供市场机制所不能提供的公共产品消除市场中的外部性问题维护市场竞争秩序调节收入分配稳定宏观经济环境等等市场竞争的结果需要政府对于弱势群体建立相应的社会保障机制市场竞争的结果并不能保证每一个人都是成功者而2005年2月19日胡锦涛同志在中共中央指出我们所要建设的社会主义和谐社会应该是民主法治公平正义诚信友爱充满活力安定有序人与自然和谐相处的社会建立和谐社会必须依靠党和政府的作用政府职能的转变是构建和谐社会的突破口中学术研究A cademic research200.104。
数据挖掘在入侵检测中的应用
很好地解决这个问题, 现有的数据挖掘算法通 过发掘数据之间的关系, 可以为我们的分析提 供各个不同侧面的数据特征。特别是我们可 以将以前的结果和最新的数据加以综合, 这样
可以大大减少不必要的数据。
经过深入分析发现, 尽管基干数据挖掘的 入侵检测模型在检测性能和通用性方面具有 但在采用此类系统时仍然存在一定困难 ds _b t , g 共7项组成, 务的唯一 t y e f s l a 事 标识 优势, 于是对大量历史 数据处理, 检测 符为time , 其中service 为服务 (或目 的的端 检测效率: 由 实时性 口 srcellost 为源主机,t _hos 为目 ), s ds t 的主机, 模型在学习和评价阶段的计算成本高, dst‘y e 为源主机发出的数据包大小, g 为 实施困难。使用性能: 系统需要大量的训练数 1t s 〕 a i f 据, 而且比传统系统更加复杂。 标记。
择过程。
4 数据挖掘技术在入俊检测中的应用
4 . 1 关联规则挖掘 关联规贝是数据挖掘中最为广泛应用的 ] 1 技术之一, 也是最早用于人侵检测的技术。 最早运用这种技术是作为一种工具去产生关 干网络流的报告。 发现关联规则问题就是发现所有支持度 和可信度均超过规定闭值的关联规则, 这个发
由干应用数据挖掘技术的异常检测不墓于信 号匹配模式, 它并不就每一个特别的信号进行 检测, 所以就不存在这个问题, 表现出一定程 度的实时性。 5. 2 误警率低 现有的系统过度依赖于单纯的信号匹配, 它发出的警报可能远远多于实际的情况, 在某 种正常的工作中 如果包含这种信号的话, 就必 然产生误警。采用数据挖掘的系统可以从等 报发生的序列发现某种规律从而滤出那些正 常的行为产生的信号。数据挖掘方法还可以 有效地剔除重复的攻击数据, 因而具有较低的
数据挖掘技术在入侵检测领域的应用
整个体系结构包含 了传感器, 检测器, 个数据仓库 以 一 及一个模型生成器 组件 。这个体 系结构不仅支持数据的收
每类若干样本 的数 据信 息, 将这些数据分 为训练样本 集和 测试 样本集两部分, 然后经过训练、测试 和算法应用3 个阶 段来构造代码分类器 。在训 练阶段, 分析训练样本集合 中 的数据记录的特征属性, 通过特征抽取, 总结出分类的规律
的, 字 或 符 号 的 。在 这 个 结 构 体 系 中, 模 型 可 以是 神 经 数 其 网络 模 型 、规 则 集 模 型 或 概 率 模 型 。 为 了处 理 这 种 异
生成 精确的分类规则描述, 就是分类的映射规则 。在测 也 试 阶段, 利用这些分类规 则对 测试 样本集合 中的数据进行 测试 , 来检验分类规则 的正确 性和精度, 并根据测试结果,
L r e I m t a g e Se): t
一
个 映射 的过 程 , 类 器 将 未 标 明 类 别 的 二 进 制 代 码 映 射 分
到 不 同的 类 别 中, 用数 学 公 式 表 示如 下:
f:
凿
图1
其 中 , 为待 分 类 的 代 码 集合 , 为 分 类体 系 中的 类 别 A B
集 合 。构 造 分 类 器 是 进 行分 类 的 关键 。分 类 器 的 构 造 方 法
器 p
行机器学 习, 从而构造出代码分类器, 在遇到新人侵 时, 就 可 以运 用这个 分类器对实际数据进行分类 , 确定入侵 的类
别 。一 般 来 说 , 试 阶 段 的 代价 远 远 低 于 训 练 阶 段 。 测
对分类模型进行评估主要用到下列指标: 一是预测精 度, 分类器正确预 测新 的或先前未见过 的数据类的能力: 二 是学 习效率, 产生和使 用分 类器 的时间: 三是健壮性, 给定
数据挖掘技术在计算机入侵检测中的应用
摘
要: 分析 了聚类 、 分类 、 关联规 则等在 I D S 中常用 的数 据挖掘 算法 , 并 介绍 了D A I D 这种 以数据库 为
中心 的数据挖 掘体系架构模 型 , 对其数据处理过程进行展现 。 关键词 : 数据挖 掘 ; 入侵 检测 系统 ; 数据库 ; 算 法
Q Ai h u a , S o n g S h u c a i
( He b e i I n s t i t u t e o f A r c h i t e c t u r e C i v i l E n g i n e e i r n g, Z h a n g j i a k o u 0 7 5 0 0 0 , C h i n a )
1 I D S中的数据 挖掘算法
入侵检 ̄ J t ( I D S ) 是一种积极 主动 的安全防护技术 ,
的度 量和共 同的特征对属 于该集 群 的数 据进行建 模 。 聚类被用 于检测混合性 的入侵攻击 ,它是一 种无人值
守 的机器 自学 习机制 。 在 聚类算法 中, K — M E A N S 是一种常用 的简单有 效
第2 9卷 第 1 O期
2 0 1 3年 l 0月
科 技 通 报
BUL L E T I N 0F S C I ENC E AN D I ECHN0L 0GY
V o I . 2 9 No . 1 0
0c t .2 01 3
数据挖 掘技术在计算机入侵检测 中的应 用
祁爱华 , 宋淑彩
的算法 。 它采用距离作为相似性 的评价指标 , 利用函数 求极值 的方法得到迭代运算 的调整规则 。 K — ME A N S 算 法把r t 个对象根据他们 的属性分为k 个分割 , k < n 。它与 处理混合正态分布 的最大期望算法很相 似 ,因为他们 都试 图找到数据 中 自然聚类 的中心【 l 1 。 其公式可 以表达
数据挖掘在入侵检测系统中的应用
Ap l a in o aami i gi tu in d tci n s se p i t f t nn i r so ee t y tm c o d nn o
CUIT n LI —o g i g, ln Yu
(.C l g f l t nc a d noma o n ier g az o atn i r t L n h u 3 0 0 C ia 1 ol e Ee r is n fr t n g ei ,L nh uJ oo g v sy az o 0 7 , hn ; e o co I i E n n i Un e i , 7
dt t n sh sac betn h e n t r cr .T e aic ne tadrl ateh iu s fnrs n e c o s m ee i e eerhs jc itef l o e ks ui c o it r u i d f wo e t h s cps n e n cnq e o it i t t ns t y b co ev t uo d ei y e
Ab t a t I t s nd t ci ni i d o n t r e u t c n lg p e rn c n e r . Daami ig c mb n n t tu in s r c : n r i ee t a n f ewo k s c r yt h o o ya p a g i r e t a s u o o s k i e i n e y t n n o i i gwi i r so hn
s se p ro ma c y tm e f r n ei i r v d s mp o e .
Ke r s aamiig itu ind tcin ewo ksc rt; as cainrls Ap ir ag rt ywo d :d t nn ; nr so ee t ;n t r e u i o y so it e; o u roi loi m h
数据挖掘算法在入侵检测中的应用分析
I t e ms e t s 代替 。第 四步 ,序 列阶段 ,利用大数据项集发掘 序列
模式 。第五步 ,序列最高化阶段找出所有序 列模式的最高序列 数据挖掘 分析方法有 :关联分析 、序列分析 、聚类分析和 分类 集 。 分析 。 ( 2 )序 列模 式分析在入侵检测 中的应用 。序列模式 分析
南枉科 技 2 0 1 3 年I g 5 1 t  ̄
信 息 纵 横
数据 挖掘算法在入 侵检测 中的应用分析
耿 风
4 7 5 0 0 4 河 南开 封 黄 河 水 利职 业 技 术 学 院
摘 要 本 文 在介 绍 了入侵 检 测技 术 和数 据 挖掘 的基 础 上 ,重 点分 析 了数 据 挖 掘 的 关联 分析 、序 列 分析 、聚 类 分 析 和
同时保证 规则的支持度和信任度大于用户预先指定的最小支持
系,运用序列分析发现入侵行为的序列关系 ,从 中提取 出入侵 度和最小信任度 。关联分析就是要发现关联规则 ,找 出给定数 行为之间的时间序列特征 。序列模 式分析 一般不单独使用 ,它 据集 中数据项之间的联系。也就是给定一组I t e m和一个记录集 可用 于入侵检 测过程 的某一步骤 ,从数 据中挖掘 用户序 列模 合 ,通过分析记录集合 ,推导 出I t e m问的相 关性 。
保证 系统 安全的 目的… 。根据检测方法 的不同 ,入侵检测可 以 分为误用检测和异常检测两种 。 目前 ,大多数网络入侵检测 系 统 都是事先设定好入侵规则库 ,然后通过规则匹配来发现入侵 数据 ,也就是所 渭的误用检测机制 。这一做法的最大缺点就是
大数据环境下的高维数据挖掘在入侵检测中的有效应用
异常检 测的维护 成本高 .因为它需 要不断 地更新 发生 着的事 件 ,事件越来越多 ,对 于数据库 的要求就越高 。
( 3 )缺乏 有效性 ,大部 分入侵 检测 的规则 和模式 以及统
作 ;而漏 报则是没有 检测 出存 在入侵 风险 的对象 ,面对 新面 孔新特征存 在不 可识 别 的局 限 ,仅仅 只能检 测 出曾经入 侵过 的攻 击行 为 .而对没有攻击过 的行为无法判定 。
高 维 数据 挖 掘技 术 是对 入 侵检 测 的升 级 和完 善 ,它做 到 了
检 测 率 高 、智 能型 强 以及 自动 调节 能 力 强等 优 势 ,这 些 都 是 入 侵 技术所 存 在 的缺 陷 。 目前数 据 挖 掘 的种类 多样 , 比
计 的特征都是有 专人编 写的 ,就 目前 的复杂情 况来说 ,根本
就 适 应 不 了 。不 准 确 度 极 高 。
它会 严重地 挖掘到客户 的隐私 ,一 方面 我们要保 证客 户的 隐
( 4 )缺乏适应性 ,编 写检测 代码 时 ,相关 人士 比较注重 各种 攻击手 法和系统漏 洞 ,这种 检测 系统 很 可能检测 不到将 作者 简介 : 虞 翔 ( 1 9 8 2 一 ) ,男 ,讲 师 ,硕 士 ,研 究 方 向 :
大数据环境 下的高维 数据挖掘在入侵检测 中 的有效应 用
虞翔。李青
( 保山学院 ,云南 保 山 6 7 8 0 0 0 ) 摘 要 :高维数据挖 掘是 对发现数据库 中的知识进 行发现 。而入侵检测 则是 可以检 测到所有的存在风险或是 已经开
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
是不可能检测出所有的入侵行为的。并且对于那些有经验的入侵 行分析,从中发现相关的特征和规律,并将得出的规律用相关的 者还可以改变他们的攻击行为,来改变入侵检测 系统中的用户正 方法 定 义 出来 ,存 储 到数 据库 或配 置文 件 中, 以便 日后调 用 。
一
6一
计算机光盘软件与应用
计算机光盘软件与应用
信息技术应用研 究 C m u e D S f w r n p lc to s o p tr C o t a e a dA p a i n i 2 1 年第 6期 01
数据挖掘在入侵检测中的应用研究
刘海涛
( 台学 院信 息科 学与技 术 系,河北邢 台 0 4 0 ) 邢 50 1
L u Hat o i i a
( i ti n esyC lg fnomai c n ea dT c n l yXn ti 0 4 0 , i ) Xn a i ri ,ol eo fr t nS i c n e h o g ,iga 50 1 n g U v t e I o e o Ch a
一
、
常 行为 模 式 ,让 他们 的 入侵 行 为逐步 变 为合法 ,这 样 就可 以避 开 使 用异 常性 检测 技术 的入 侵检 测系 统 的检测 。 ( )基 于行 为的检 测 方法 。基 于行 为 的检测 方法 就 是通 过 - 检 测用 户 的使用 行 为 中存在 哪些 和 已经知 道 的入侵 行 为模 式 中有 类似 的行 为 ,或者 是那 些可 以利 用 系统 中缺 陷间接 地违 背 系统 安
全 规则 的行 为 ,通过 这些 实 际行动 来检 测系 统 中的入 侵活 动 。 基于入侵行为的检测技术优势是:如果检测器中的入侵特征 模 式库 中包 含 一个 已知 入侵 行为 的特 征模 式 ,就 可 以保证 系统 在 受 到这 种入 侵 行为 攻击 时 能够 把 它检 测 出来 。但 是 , 目前 的主 要 方 法只 是从 已知 的 入侵 行为 和 已知 的系统 缺 陷 中来 提 取入侵 行 为 的特征 模式 ,加 入 到检 测器 入侵 行 为特征 模式 库 中去 , 以此来 避 免 本系 统 以后 再遭 受 同样 的入 侵攻 击 。 三 、数 据挖 掘技 术 数据挖掘是从现存大量的、模糊的、随机的数据中提取出那 些 隐含 在其 中 的那 些人 们事 先不 知道 的 、但又 是潜 在 有用 的信 息 和知识的过程。把数据挖掘技术应用到人浸检测系统中,就是从 大量数据中自动提取出模型的过程。在建立攻击检测系统过程中 消 除人 为 因素和 特 定 因素 ,为用 户 开发 出一套 可 以从 各种 审计 数 据中产生攻击检测模型的 自动工具。我们可以使用关联分析和序 列 模式 分 析等 算法 ,发 现特 征之 间 的关 联和 与 时序 有 关 的联系 , 从 而完 成用 户 数据 收集 与特 征选择 过 程 。 ( )数据 挖 掘 的过程 。数 据挖 掘 的对象 通 常为 数据 库 、文 一 件 以及 结 构化 半结 构化 的数 据 ,是 知识 发现 的一 个步 骤 ,利用 相 关 的算 法 从数 据 中提取 除预 处 理 、领 域 知识 以为 的模 式 。数据 挖 掘 是 由若 干部 分组 成 ,包括 数据 的前 期 筹备 、数据 挖 掘 以及对 最 终 结果 的评 估 。 数 据挖 掘 技术通 常 由 以下几个 部 分组 成 : 时留 下的 痕迹 。 ! 1数据 采 集 :收集 有用 的 数据 ,如 系统 的 日志文 件 、网络 监 . (- -)异常 性检 测 方法 。异 常性 检测 技 术是通 过检 测 冒充 合 测程序中获得的原始数据 。 法用户的入侵者 的一种有低数据 中的噪音,使 . 的特征轮廓 ,但是由于不是所有入侵者的行为都能够产生明显的 数据挖掘能更快速的发现数据 中的规律 。 异 常性 ,所 以在 入侵 检 测系 统 中,如 果只 使用 异 常性检 测技 术 , 3 挖掘:利用数据挖掘的相关算法,对经过预处理 的数据进 .
关键词 :入侵检测;数据挖掘 ;异常检测 ;关联规则;聚类分析 中图分类号:T 33 8 文献标识码 :A P9. 0 文章编号:10- 59 ( 0 1 0 - 06 0 07 99 2 1 ) 6 00 - 2
Da a M i i gAp l a i n Re e r h i n r so t ci n t n n p i t s a c I t u i n Dee t c o n o
2 1 年第 6期 01
C m u e DS fw r n p l c t o s o p trC o ta ea dA p a in i
信息技术应用研究
4 表达 和评 价 :将 获得规 则 以友好 的方 式 呈现给 用 户 ,并对 . 其 进行 评价 。如 果 获得 的规 则满足 用户 需要 ,则说 明成 功 ,否 则 重 复执 行上 述过 程 ,直至满 意 。 ( )数据 挖 掘的 主要 功能 。一般 来说 数 据挖 掘有 以下 的主 二 要功能: 1通 过该念 描述 发现 广义 知识 数据 是和 类相 关联 的 . 2 通过 关联 分 析发现 关联 知识 . 3 通过 分类 和聚 类 方法发 现分 类知 识 . 4 通 过预测 方 法得 到预测 型 知识 . 5通过 偏 差检 测得 到偏 差型 知识 . 四 、数据挖 掘 技术 在入 侵检测 中的应用 目前 常用 的数 据挖 掘分 析方 法有 : 关联分 析 、序列 分析 、聚 类分 析和 分类 分析 。将 数据 挖掘 分析 的方 法 与入侵 检测 相结 合 , 构建 出全 新 的基 于数据 挖掘 的入 侵 检测 系统 ,能够 从海 量 的 网络 数据 中 发现 正常 的数据 模式 ,客 服 传统 入侵检 测 系统 只能对 已知 攻击 进行 识别 ,而 对未 知或 变种 攻击 无 能为力 的局 面 。 ( )关联 分析 。关 联分 析能 够从 已知 的数 据 中发现 他们 的 一 相互 关 联 ,发现 一条记 录 中不 同属 性之 间 的关系 , 为用户提 供 最 大 的信 息支 持 。关联 分析 的 目的在 于发 现给 定数 据之 间 的规则 , 推 导数 据项 之间 的相 关性 。 ( )序列分 析 。列分析 的主要功 能是发现 序列模 式,处 理的 - 是不 同数据 之间各个 属性之 间存在 的联系 ,将数据与 时间相联 系 , 其关 注点是 数据之 间的时序情 况 。 数据按 照时 间顺 序排列 ,找 出 将 高频 序列 。 如黑客在 入侵 时总是有 一定 的先 后顺序进 行相应 的攻击 行 为 ,序列 分析可 以发现这 个时 间序 列 ,来 对攻击进 行检测 。 ( )聚类 分析 。聚 类 分析 是对物 理或 抽象 的对 象集 合 分组 三 的过程。聚类用于在对数据的规律不了解的情况下对数据对象集 合 的分 析 ,将数 据对 象 分组 成为 多个类 或簇 ,在 同一个 簇 中的对 象 之 间具有 较 高 的相 似 度 ,而不 同簇 中 的对 象 差别 较大 。这 里相 异度 可 以根据 描述 对象 的属 性值 计算 ,对 象 间的距 离是 最常 用 的
摘 要 :本文 介绍 了入侵 检 测和 数据 挖掘 相 关 内容及 其概 念 ,在此 基础 上 重点研 究 了入侵 检 测的 机制 和数据 挖掘 的过 程及主要功能。本文还对数据挖掘技术在入侵检测 中的应用做 了简单的阐述 ,介绍了常用的几种方法。最后对基 于数据挖
掘 的入侵 检 泖 的优 缺 点进 行 了分析 。 J
Ab t a tT i p p r e c ie ei t so ee t na d d t n n -eae o tn n o c p s n ti a i, c s so e sr c : hs a e s r st r in d tci n a mii g r ltdc n e t dc n e t, s ss o u e nt d b h n u o a a o h b f h me h i o i tu in d tci na d d t n n r c s dt emanf n t n . h s a e l t nn t so ee t n c a s f r so ee t a mi ig p o e sa i ci s i p p ras d a mii gi i r in d tci n m n o n a n h u o T oa nn u o ma es d i l e p s in it d c ss v rl o 3 o mp e x o i o , r u e e e a n ̄ nmeh d .i al,a mii g b s ditu i nd tci n a ay e h ea v t g s t no c to s n l d t n n - a e n r so ee to n l z st d a a e F y a n a dd s d a tg s n i v na e. a Ke wo d : t so ee t n Da n ig An may d t t nAso it nr lsC u tr n l s y r sI r ind t c o ; t mi n ; o l ee i ; s ai ue ; l se ay i n u i a c o c o a s
引言 随 着计 算机 网络 的爆 炸 性发展 ,使得 网络 攻击 变得 越来 越 容 易 ,入 侵者 采用 的攻 击 手段 和技 术都 在不 断地 发 生变化 。计算 机 的网络安全 问题 已经成为计算机领域中的一个非常重要而且又迫 在眉睫的重要研究问题和方向。日新月异的网络入侵事件对网络 安全 的发展 也起 到 了极 大的 促进 作用 。 目前 网络 安全 的主 要技 术 手段 有 防火 墙技 术 、身 份认 证系 统等 等 ,但是 这些 技术 大 多数 属 于静 态 安全 防 范技术 ,它们 对非 法入 侵起 到 了一 定的抑 制 作用 , 可 是从 安全 管理 的 角度 来看 ,只 有被 动 的防御 是 不足 以达 到人 们 对 网络 安全 的要 求 ,所 以更 应该采 用 主动 的动 态策 略 。 IS 术 D技 是 一种 动态 策略 ,它 是 检测 和控 制技 术 ,能够 提供 实 时 的网络 安 全服 务 , 为攻击 和 反攻 击提 供动 态保 护 。因此 入侵 检测 技 术是 网 络安全的重要组成部分, 对它的研究具有很强的现实性和紧迫性 。 二 、入 侵检 测系 统 侵 检测 系统 IS指的 是一种 硬件 或 者软 件系 统 ,该系 统对 系 D 统资源的非授权使用能够做出及时的判断、记录和报警。 入 侵检 测 是一种 增 强系 统安 全的 有效 的方 法 ,能检 测 出系 统 中违 背 系统 安全 规 则或 者威 胁到 系统 安全 的活 动 。检测 时,通 过 对系统中用户行为或系统行为的可疑程度进行评估,并根据评价 结 果来 鉴 别系统 中行 为 的正 常性 ,从 而 帮助 系统 管理 员进 行 安全 管理或对系统所受到的攻击采取相应的对策。目前入侵检测常用 的方法 有三 种 :静态 配 置分 析 、异常 性检 测方 法和 基 于行 为 的检 测 方法 。 ( )静态 配 置分 析 。静态 配置 分析 方 法就 是通 过对 系统 的 一 配置进行检查,比如通过检查系统文件内容,来检查系统是否存 在 受到 破坏 的威胁 。静 态就 是指 通过 检 查系统 的 静态特 征 来确 定 系 统 的安 全性 。采用 静 态分 析 的方法 就 是针对 入 侵者 对系 统攻 击