數據挖掘在入侵檢測中的運用

潘興鑫

中圖分類號：TN915.08文獻標識碼：A文章編號：1673-0992（2009）05-041-02

摘要數據挖掘是一種通用的數據處理技術，它從大量的數據中提取人們感興趣的內容的過程。將數據挖掘技術應用到網絡安全當中，建立網絡入侵檢測系統，是數據挖掘技術應用的一個新領域。本文介紹了數據挖掘技術在入侵檢測中運用的必要性、必然性和可行性。

關鍵詞：數據挖掘；入侵檢測；必要性；必然性；可行性

隨著計算機技術的飛速發展，網絡的資源共享程度進一步加強，在資源共享的過程中，網絡安全問題備受重視，傳統的入侵檢測系統面對海量的信息數據，不能及時有效的分析處理這些數據，而數據挖掘技術的運用正好能夠滿足入侵檢測系統的要求，合理的分析數據，有效處理數據。

一、數據挖掘技術與入侵檢測分析

數據挖掘是從大量的、不完全的、有噪聲的、模糊的、隨機的數據集中識別有效的、新穎的、潛在有用的，以及最終可理解的模式的過程。它是一門涉及面很廣的交叉學科，包括機器學習、數理統計、神經網絡、數據庫、模式識別、粗糙集、模糊數學等相關技術。由于它是一門受到來自各種不同領域的研究者關注的交叉性學科，因此導致了很多不同的術語名稱。其中，最常用的術語是“知識發現”和“數據挖掘”。相對來講，數據挖掘主要流行于統計界、數據分析、數據庫和管理信息系統界；而知識發現則主要流行于人工智能和機器學習界。

入侵檢測是一種試圖通過觀察行為、安全日志或審計資料來檢測發現針對計算機或網絡入侵的技術，這種檢測通過手工或專家系統軟件對日志或其他網絡信息進行分析來完成。而更廣義的說法是：識別企圖侵入系統非法獲得訪問權限行為的過程，它通過對計算機系統或計算機網絡中的若干關鍵點收集信息并對其進行分析，從中發現系統或網絡中是否有違反安全策略的行為和被攻擊的跡象。作為一種積極主動地安全防護技術，入侵檢測提供了對內部攻擊、外部攻擊和誤操作的實時防護，在網絡系統受到危害之前攔截和對入侵做出響應。強大的入侵檢測軟件的出現極大的方便了網絡的管理，其實時報警為網絡安全增加了又一道保障。

計算機網絡中每天都會產生海量的網絡數據，主機也會產生大量的系統數據和日志信息。能否從如此豐富的歷史數據中找到我們所感興趣的信息，這是最為關鍵的一點，也是最為困難的一點。數據挖掘正是一種可以從包含大量冗余信息的數據里快速提取出盡可能多的有用信息的數據分析工具。因此研究者從數據的角度找到了數據挖掘和入侵檢測的交匯點，將二者結合起來，并在實踐中證明了將數據挖掘應用于入侵檢測的可行性。目前，將數據挖掘應用于入侵檢測已經成為一個研究熱點。在這個研究領域，影響比較大的主要是Columbia University的Wenke Lee研究組和Portnoy，后繼的研究者大多沿襲了Wenke Lee和Portnoy的研究路線，并在此基礎上作了相應改進或者采用數據挖掘與其他智能技術相結合的方法。

二、數據挖掘在入侵檢測中運用的必要性

入侵檢測就是通過運用一些分析方法對數據進行分析、提煉、評價，再識別出正常和異常的數據或者對潛在的新型入侵做出預測。在入侵檢測技術中采用數據挖掘技術有以下幾點必要性：

第一，網絡結構日趨復雜，網上業務種類和業務數量急劇增多，網絡管理人員進行決策的依據是反映網絡狀況和網絡行為的海量歷史數據，顯然沒有必要也不應該把所有的原始數據全部提交給網絡管理人員，而是要對其進行分析，生成與管理和決策問題相關的信息。

第二，由于時間的變化，數據也發生變化，數據中所含有的信息和知識也隨之發生變化，因此舊的模型需要更新，這就要求重新在數據挖掘系統上，在包含新數據的情況下來建立新的模型，然后將新的模型用于應用系統。

第三，數據挖掘技術能夠解決從數據角度對網絡性能進行評價的問題。數據挖掘是一個從數據集數據庫中提取隱含的、明顯未知的、具有潛在用處的信息的過程。數據挖掘的結構是一個概念化知識，該知識反映了數據的內在特性，是對數據所包含的信息的更高層次的抽象。如果把數據挖掘技術應用到入侵檢測中，以偵聽到的數據集作為分析對象，運用分類分析方法和聯系分析方法就可以對業務進行分類并能找到數據之間的相互關系，這樣就可以從數據角度去評價審計數據集，從而達到了入侵檢測的目標。

第四，由于不同來源的數據具有不同的性質，也就要求采用不同的數據挖掘算法發現其中隱藏的規律；而不同的數據挖掘算法也要求采用不同的特征數據，因此，對于不同類型的入侵檢測數據，采用不同的數據挖掘算法發現其中的規則。對描述系統缺陷和已知攻擊方法的數據，由于決策樹方法具有較高的精度和效率，我們采用分類判定樹算法進行處理，以發現其中的分類規則，對于審計數據采用分類和關聯分析相結合的方法，以發現關鍵屬性間的協同工作，對于系統調用序列數據，則采用序列模式挖掘算法，對于IP數據包等時態數據，將有關屬性按時間排成序列，采用時態數據挖掘方法進行分析。

三、數據挖掘在入侵檢測中運用的必然性

入侵檢測是一種新興的關于計算機網絡系統安全問題的解決方案。主要有兩種，濫用檢測和異常檢測。濫用檢測是對利用已知的系統缺陷和已知的入侵方法進行入侵活動的檢測。濫用檢測的優點是可以有針對性地建立高效的入侵檢測系統,其主要缺陷是不能檢測未知的入侵，也不能檢測已知入侵的變種，因此可能發生漏報。異常入侵由用戶的異常行為和對電腦資源的異常使用產生。異常檢測需要建立目標系統及其用戶的正常活動模型，然后基于這個模型對系統和用戶的實際活動進行審計，以判定用戶的行為是否對系統構成威脅。由于入侵檢測系統本身應用的特殊性，要求它具有準確性、全局性、可擴展性、可伸縮性以及環境適應性和本身的魯棒性。到目前為止，研究人員已經提出或實現了許多方法，但是沒有一種模型能夠完全滿足以上這些要求。而數據挖掘技術則正好在智能性、自適應性以及可操作性方面有著特殊的優勢，喬治梅森大學的研發人員發展了關聯挖掘在入侵檢測方面的重要的應用，并提出了一種新型的應用于異常檢測的多重檢測方法。綜合各種最新的研究成果并應用后挖掘技術，將濫用檢測和異常檢測融為一體，采用數據挖掘技術實現基于內容的智能化入侵檢測系統IDSDM (Intrusion Detection System using Data Mining techniques)，對在IDS(Intrusion Detection System)系統中最大限度上發揮數據挖掘技術的優點作了一個有益的嘗試。

四、數據挖掘在入侵檢測中運用的可行性

數據挖掘通常應用于市場行銷、金融投資、生產制造等領域，但在入侵檢測設計領域中運用數據挖掘技術對網絡業務進行分析也具有明顯優勢。其可行性主要表現在以下幾個方面：首先，網絡中檢測的數據種類繁多，監測到的數據量量非常大，具有穩定的數據來源，非常適合進行數據挖掘。其次，網絡中偵聽到的數據按其所具有的不同屬性是可以進行分類的，同時，不同的數據之間的確存有某種相關性，如一個連接往往伴隨另一個連接發生。因此，運用數據挖掘技術對審計數據進行挖掘能夠得到有價值的信息。再次，從各種渠道所獲得的審計數據經過加工處理之后適合運用數據挖掘中的聯系分析方法。現在國內外己有一些研究機構利用數據挖掘和神經網絡技術進行入侵檢測，釗對一些入侵行為獲得了較為理想的結果。美國哥倫比亞大學的Wenky Lcc在他的論文中詳細論述了將一種數據挖掘框架用于構建入侵檢測規則和模型的方案，得到了一些實驗數據和仿真結果，進而在理論上和實驗上證明了將數據挖掘技術應用于入侵檢測的可行性。無論是異常檢測還是濫用檢測，都可利用數據挖掘技術提高檢測的精度。

參考文獻：

[1]劉文濤.Linux網絡入侵檢測系統[M].北京:電子工業出版社.2004

[2]唐國軍、李建華.入侵檢測技術[M].北京:清華大學出版社.2004

[3]Rebecca Gurley Brace.入侵檢測原理[M].北京:人民郵電出版社.2001

[4]康曉東.基于數據倉庫的數據挖掘技術[M].北京:機械工業出版社.2004

[5]盧勇、曹陽等.基于數據挖掘的入侵檢測系統框架[J].武漢大學學報.2002.2