計算機網絡入侵檢測中的數據挖掘

張枝令

(寧德師范學院 計算機系， 福建 寧德 352100)

計算機網絡入侵檢測中的數據挖掘

張枝令

(寧德師范學院 計算機系， 福建 寧德 352100)

針對入侵檢測系統存在的問題，設計了一個基于數據挖掘技術的計算機網絡入侵檢測系統，給出主要結構和功能，分析了網絡控制系統中的應用。

數據挖掘; 網絡; 入侵檢測

0 引 言

隨著互聯網的快速發展，計算機網絡安全成為大家首要關注的問題。雖然現在網絡上出現各種計算機防火墻、安全衛士等產品，但面對著網絡環境的不斷復雜化和網絡攻擊方式的多樣化，許多網絡用戶仍成為黑客的攻擊者，以致用戶大量信息泄露，對社會同樣造成一定的危害[1]。因此，文中借鑒數據挖掘技術的成熟化和入侵檢測技術可靠性的特點，完成數據挖掘技術在計算機網絡入侵檢測的應用研究具有重要意義。

1 應用研究意義

計算機網絡入侵檢測就是運用各種渠道獲取一定的數據，通過一些數據分析方法或系統分析方法對網絡狀況和網絡行為等數據進行深入分析，提取可靠的網絡響應數據，并對相應的網絡數據進行異常或正常評價，對潛在的新型入侵行為做出正確的預測，從而保證計算機網絡的穩定性和安全性[2]。所以，文中基于數據挖掘技術的計算機網絡入侵檢測具有重大意義。

在深入研究計算機網絡入侵檢測系統時，應注重以下幾點：

1)網絡管理人員需要掌握網絡狀態和網絡行為的實時數據和歷史數據。隨著網絡業務及網絡結構發展的復雜化和多樣化，如何保證計算機網絡的穩定性，更好地服務于用戶成為網絡管理人員面臨的最大問題。顯然，網絡狀態和網絡行為的數據源對管理人員進行決策十分重要。只有正確掌握網絡狀態和網絡行為的歷史數據，才能判定當前網絡以及預測以后網絡的狀況。

2)及時更新網絡檢測系統。網絡檢測系統作為計算機網絡的一道防御門，對計算機網絡的安全起到重要作用。但隨著時間的變化，計算機網絡也發生了巨大的變化，特別是新的入侵方法和入侵行為的出現，這就要求網絡檢測系統相關模型及時更新。

3)建立多種技術聯合防御模式，如采用數據挖掘技術、專家系統分析技術以及神經網絡技術的聯合，為計算機網絡建立先進的入侵檢測算法，該算法不僅可以保留原先每個模式固有的性能，還能有效地解決每個模塊之間的不足，大大降低了計算機網絡的誤報率，提高了系統的可靠性。

4)針對不同的入侵檢測數據類型采用不同的數據挖掘算法，并制定不同的規則庫，從而提高決策方法的精確度和判定效率。

2 基本框架

2.1數據挖掘的過程分析

數據挖掘技術的應用過程主要包括數據準備、數據挖掘以及結果評估三大階段，并實現了從海量的數據庫中提取人們所希望獲取的信息的目標。數據挖掘的一般流程如圖1所示。

圖1 數據挖掘的一般流程

任何數據挖掘過程都是這三個階段的反復使用過程。具體實現步驟為：

1)數據準備階段。該階段作為數據挖掘的前期準備階段，包括數據理解、數據選擇、數據預處理三個部分。該階段主要負責對輸入數據的采集、清洗、選擇以及處理，將輸入的數據集中的模糊、不完全、有噪聲的數據進行有效的識別。在這一系列的數據準備階段過程中，為下一階段的數據挖掘提供優質的數據源。

2)數據挖掘階段。該過程作為整個數據挖掘的核心部分，主要將上階段的輸入數據集通過特定問題或文中數據挖掘任務進行算法或數據處理規則模式的選擇。因此，確定本次數據的分析任務尤其重要，也只有確定了本次數據挖掘的任務才能確定選擇何種挖掘算法。

3)結果評價階段。由于在數據挖掘階段人為地設置挖掘任務或選擇挖掘算法，以致產生不同的數據挖掘結果，而在這些結果中并非每個結果都是所希望獲取的。

因此，在結果評價階段過程中，利用產生的多種結果進行實時有效評價，獲取可靠結果的同時，需要刪除部分錯誤或無用的信息。因此，在優化整個數據挖掘過程時，鑒于之前的挖掘結果，需要重新退回到前一個階段，重新設置和選擇挖掘算法。

2.2基于數據挖掘技術的入侵檢測框架分析

基于數據挖掘技術的入侵檢測系統框架結構如圖2所示。

基于數據挖掘技術的入侵系統模型框架主要包括數據采集預處理模塊、關聯規則與序列規則挖掘模塊、基于誤用檢測規則挖掘模塊、異常檢測模型模塊、誤用檢測模型模塊以及檢測結果處理模塊[1]。其中數據采集預處理模塊作為該系統框架的初始工作階段，主要負責采集實時的網絡數據，通過一定的數據采集預處理，并形成訓練數據集，保存在訓練數據模塊中。另外，實時網絡數據處理后發送到異常檢測模型；關聯規則與序列規則挖掘模塊主要負責數據挖掘過程中產生的關聯規則和序列規則，并發現正常模式。通過正常模式的數據與預處理數據對比，以確定數據是否存在異常。基于誤用檢測規則挖掘模塊主要通過分類規則挖掘算法，對更新后的訓練數據進行篩選和選擇，并用于后續的誤用檢測；基于大量挖掘數據，形成一定的異常檢測模型與誤用檢測模型[3]。通過異常檢測模型與誤用檢測模型兩大模塊的處理，完成網絡數據的判定，并判定數據是正常，還是非法入侵，最后把網絡數據檢測的處理結果再反饋給訓練數據收集模塊，并及時更新訓練數據、收集模塊數據[4]。

圖2 基于數據挖掘技術的入侵檢測系統框架

3 檢測系統的設計

在基本數據挖掘技術的入侵檢測系統框架基礎上，采用目前可靠性高、用戶使用較廣的基于分布式數據挖掘技術的計算機網絡入侵檢測系統框架，如圖3所示。

圖3 基于數據挖掘技術的入侵檢測系統模型結構設計

系統由硬件和軟件兩部分組成。硬件包括主機、服務器、交換機以及探測器等;軟件主要包括數據處理軟件和數據庫等。根據功能設計結構分析，入侵檢測系統主要由外部采集硬件部分、離線運行部分、在線檢測數據部分、檢測引擎部分以及決策功能部分組成。

3.1外部采集硬件部分

外部采集硬件部分是系統環境的組成，它包括計算機、數據探測器以及網絡環境等，為數據的輸出提供基礎保障。

3.2離線運行部分

該部分是整個系統工作的核心，也是數據庫主要儲存位置和數據更新的主要依據，包括數據預處理功能、數據訓練集形成功能、異常檢測規則挖掘過程、誤用檢測規則挖掘過程、異常檢測規則庫形成及存儲過程、誤用檢測規則庫形成及存儲過程[5]。網絡數據通過離線運行部分的處理，會形成最新的異常檢測規則庫和誤用檢測規則庫，為后續的異常檢測和誤用檢測提供保障和依據。

3.3控制模塊部分

該部分主要根據不同探測器發送的數據源，選擇合適的工作策略進行誤用檢測和異常檢測。對于誤用檢測和異常檢測的先后，控制模塊根據數據源的不同而決定。此外，控制模塊還能實現自動調整數據采集策略，從而控制不同探測器發送的網絡數據源。

3.4檢測引擎部分

該部分主要負責對網絡活動進行實時檢測，主要包括網絡誤用檢測和異常檢測兩種檢測技術，這兩種檢測功能之間能夠較好地彌補雙方的不足，并共同完成計算機網絡入侵檢測任務[6]。

4 檢測系統的應用

根據所設計的入侵檢測系統框架，結合分布式網絡控制系統的特點，完成分布式入侵檢測系統監測器的安裝與監控中心的部署。分布式入侵檢測系統應用結構如圖4所示。

圖4 分布式入侵檢測系統應用結構圖

該系統的監測器安裝在3處，最外層監測器安裝在系統外部網絡與外部路由器的連接處，主要用來監測網絡系統外部的入侵；中間層監測器安裝在網絡防火墻與信息管理層之間，主要負責監視和分析信息管理層與外部網絡信息的通信流;內部監測器的安裝，分別部署在信息網、控制網以及設備網中，其中內部監測器主要監視系統各子網中的網絡信息情況，并根據不同網絡特點設置相應的入侵檢測策略[7]。受網絡控制實時性要求的影響，文中所設計的系統框架中，對傳統的分布式入侵檢測系統進行升級和改進，特別是在設備層和控制層兩部分的監測器數據采用兩條通道完成數據的輸入和輸出。其中控制層和設備層中設置相應的網絡接口，負責對數據的偵聽，而偵聽數據經過檢測后，采用專用通道進行檢測數據的輸出。這樣不僅不影響任何網絡的數據傳輸，還能減少重要數據的控制，有效地減輕了網絡的負擔。此外，專用通道還能作為備用冗余線路，起到應急通信作用。信息管理層的IDS主要用于防范計算機網絡中的一般入侵行為，該層對于網絡信息的實時性要求不高[8]。所以，在信息管理層中，信息網上無需專用線路的監測器。然而，對于重要的主機或服務器可以安置基于主機或服務器的入侵檢測系統。由于IDS具有強大的數據分析能力，因此，系統中的設備層和控制層可充分利用IDS的數據分析能力進行入侵檢測和實時故障診斷。該方式可以及時地監控系統中任何一臺控制器，并判斷該系統中是否出現通信故障，及時反饋給監控中心[9]。

基于數據挖掘技術的分布式入侵檢測系統安裝部署后，會在系統運行過程中進行實時的檢測和更新。在整個系統運行過程中，需要網絡管理人員的有效配合，網絡管理人員根據入侵系統提供的實時數據進行實時處理。除此之外，網絡管理人員還需做好系統各項報警信息處理的準備工作。例如當系統出現報警時，管理人員首先應判斷系統報警聲是否屬于誤報。如果報警聲屬實，則進行報警處理；如果報警聲屬于誤報，則選擇關閉系統操作或繼續監視，并將相關數據進行收集。所以，只有網絡管理人員在整個過程中采用合理的處理方法，才能保證入侵檢測系統發揮最大的功效。由于計算機網絡入侵的方式呈多樣化和復雜化，網絡管理人員必須對入侵檢測系統的數據庫進行及時更新，并添加新的入侵防御方式。只有這樣，才能有效地保證入侵檢測系統的安全運行。

5 結 語

針對當前我國入侵檢測技術的發展現狀及存在的問題，提出入侵檢測系統中基于數據挖掘技術的應用。通過討論網絡數據采集、數據預處理、訓練數據集分析等數據挖掘技術，結合入侵檢測框架數，深入研究基于數據挖掘的計算機網絡入侵檢測系統的設計與應用，研究結果達到預期目標。

[1] 羅峰.入侵檢測系統與技術研究[J]．電腦知識與技術，2006(17):61-63.

[2] 歐獻永.計算機網絡及信息安全存在的問題和對策[J]．網絡安全技術與應用，2012(10):26-28.

[3] 何小虎.計算機網絡入侵檢測探討[J]．科技信息，2010(14):30-32.

[4] 蔣云燕，成長生.基于數據挖掘的入侵檢測[J]．計算機應用與軟件，2006,23(11):124-126.

[5] 許潤國，韓國強.基于數據挖掘的入侵檢測系統研究與設計[J]．網絡安全技術與應用,2005(10):41-43.

[6] 李靜燕.入侵檢測系統及其研究進展[J].網絡安全技術與應用,2008(3):32-34.

[7] 郭軍華.網絡入侵檢測中的數據挖掘技術探討[J]．科技廣場,2005(2):39-40.

[8] 馬選民，張海洋.計算機網絡入侵檢測技術探究[J]．信息與電腦:理論版,2011(2):28.

[9] 楊建召，程彥，范偉琦，等.基于主機的入侵檢測系統設計與實現[J]．長春工業大學學報:自然科學版,2005,26(4):309-312.

Data mining in a computer network intrusion detection system

ZHANG Zhi-ling

(Department of Computer Science, Ningde Teachers College, Ningde 352100， China)

For problems existed in the current intrusion detection systems, we design a new computer network intrusion detection system based on data mining technology. The main structure and function are given here and we analyze its application.

data mining; network; intrusion detection.

2014-09-03

張枝令(1975-)，男，漢族，福建屏南人，寧德師范學院講師,碩士，主要從事計算機網絡和數據挖掘方向研究,E-mail:383298940@qq.com.

P 209

A

1674-1374(2014)06-0683-05