以數據挖掘為基礎的入侵檢測技術分析

【摘要】 入侵檢測技術是網絡信息安全中的一種主動防御技術，隨著網絡的日益復雜化，網絡數據信息急劇膨脹，如何從大量的冗余信息中提取到具有價值的入侵模式是入侵檢測的關鍵，而單純的使用傳統的統計方法和數據檢索機制遠遠不能滿足實際應用的需求。本文將數據挖掘技術與入侵檢測技術相融合，以期提高入侵檢測技術的準確性和檢測效率。

【關鍵字】 數據挖掘 入侵檢測 關聯規則

一、入侵檢測技術概述

入侵行為是在不經授權的情況下，私自進入系統的行為，其入侵行為具有一定的目的性，用來竊取機密數據信息。入侵檢測是對非法的入侵行為進行檢測，若發現有入侵的行為，就對其進行收集、監視、分析、處理從而進一步形成行為模式，將收集到的數據信息與入侵模式進行對比，從而判斷該行為是否屬于入侵行為。入侵檢測系統（IDS）就是在入侵行為進行攻擊前進行檢測，并在系統受到危害之前對入侵行為進行處理，從而對計算機系統進行保護。入侵檢測技術主要分為異常檢測和誤用檢測。

二、數據挖掘概述

數據挖掘是根據既定的目標，從大量的、不確定的、隨機的、模糊的數據信息中，挖掘出潛在有價值的信息的過程。數據挖掘融合了統計學、人工智能、模糊識別、專家系統等多個學科的技術知識來對大規模的數據進行處理的方法和手段。利用數據挖掘技術可以發現并分析有價值的知識，并為相關的決策服務。

三、以數據挖掘為基礎的入侵檢測技術

3.1基于關聯規則的入侵檢測技術

關聯規則數據挖掘算法能夠從大量數據信息中發現數據之間的聯系（關聯模式），根據數據之間的聯系來對行為進行追蹤判斷。關聯規則是以系統日志為基礎進行的，經常用到的算法是Apriori算法。由于該算法中沒有考慮日志的具體結構和有關入侵的知識，因此產生了大量的無效規則。為了解決該問題，提出使用主屬性和參考屬性進行約束的規則，而每條規則中都必須包括主屬性，以便更好的降低算法的時間復雜度和空間復雜度。

基于關聯規則的入侵檢測技術可以將日志記錄從邏輯上進行劃分，將不同的IP地址對于的記錄進行分配，實行并行計算，并生成頻集，從而選出有效的規則集。基于關聯規則的入侵檢測技術能夠得到誤用檢測數據規則庫和異常檢測規則庫，從而對網絡中的入侵活動進行檢測。

3.2基于分類分析的入侵檢測技術

分類分析是通過對實例數據進行分析，對數據項的特征屬性進行提取，從而建立個分類函數，該函數可以將數據集中的數據進行映射，并進行分類，同時將其進行標記。為了完成基于分類的入侵檢測技術，不用有一個樣本數據庫作為支持，在該樣本數據庫中，每個元素都與數據庫中的元素有同樣的屬性集。分類分析中常用的算法是Pipper算法，通過該算法形成結構化的數據模型，對正常行為分布和異常行為分布進行區分，從而對入侵檢測過程中的行為進行分類。

3.3基于聚類分析的入侵檢測技術

聚類分析是將未知的模型進行分類，如果特征向量之間的距離在誤差允許的范圍內，則將其劃分為同一類型。基于聚類分析的入侵檢測技術從做出假設作為出發點，即入侵行為和正常行為中的不同之處和入侵行為的數目遠遠小于正常行為的數目作為條件，從而對數據集劃分為正常行為和異常行為來進行入侵檢測行為的區分。常見的聚類算法包括遺傳聚類、模糊聚類、自組織映射神經網絡聚類等?；诰垲惙治龅娜肭謾z測技術是對數據實例進行轉換，利用單鏈接的聚類方法，通過標識和分類來對入侵行為進行分析判斷，該方法對未知攻擊的檢測有明顯作用，而對拒絕服務攻擊檢測和惡意攻擊沒有作用。

3.4基于頻繁序列的入侵檢測技術

網絡攻擊與時間變量具有很大的聯系，基于此原因，對序列模式進行分析是以關聯規則分析為基礎，以攻擊行為時間作為檢測的對象進行分析。頻繁序列算法是從單一的事件流序列中找出相應的行為模式，這與關聯規則算法有類似的地方，任何一個頻繁條目集的子集也屬于頻繁條目集，因此首先對長度為2的頻繁序列進行查找，隨后的查找長度以此遞增，從而找出正常事件行為和入侵行為各自的序列關系，并找出入侵行為的時間序列特點?；陬l繁序列的入侵檢測行為總是與其他種類的入侵檢測行為一起使用，從而更好的特取出入侵檢測的相關模式，為入侵檢測提供技術支持。

四、結語

以數據挖掘為基礎的入侵檢測技術提出后得到了迅速的發展，然而對于實際使用仍然有很大的難度，目前還沒有形成完整的理論體系，因此，對基于數據挖掘的入侵檢測技術的研究仍然需要不斷的努力，從而保證數據挖掘入侵檢測的準確性、高效性和實時性，為網絡的安全提供保障。

參 考 文 獻

[1]劉小明，熊濤. 基于數據挖掘的入侵檢測技術研究綜述[J].現代計算機：研究與開發.2010（04）：78-80.

[2]覃曉，元昌安，龍瓏. 基于數據挖掘的入侵檢測技術[J].計算機安全：學生 技術.2011（11）：16-18.

[3]汪莉. 淺談基于數據挖掘的入侵檢測技術的研究[J].科技視界：IT論壇.2012（13）：164-165.