數據挖掘技術在校園網入侵檢測系統中的應用

宋偉奇

【摘 要】以數據挖掘的相關知識為切入點，系統地闡述數據挖掘技術在校園網入侵檢測中的應用途徑，旨在促進校園網互聯網入侵檢測技術水平的進一步提高。

【關鍵詞】數據挖掘 校園網 入侵檢測 互聯網絡

【中圖分類號】G 【文獻標識碼】A

【文章編號】0450-9889（2016）03C-0184-02

隨著網絡技術的不斷普及，學校網絡安全問題也日益凸顯出來，面對這種現象，我們應當采取多種手段，多管齊下，實現互聯網絡的有效防護。在互聯網絡的眾多防護措施當中，入侵檢測是一種動態的防護策略，一定程度上彌補了靜態防護措施的不足，但是這種防護措施也有其自身的弊端。現階段，我們已經很難從大量的信息中找尋有用的信息，為了有效解決上述問題，筆者認為可以將數據挖掘技術與入侵檢測系統有機地結合起來。

一、數據挖掘技術

所謂數據挖掘技術，是指在大量的數據量當中，尋求自己所需要的數據的過程。數據挖掘的對象非常廣泛，可以是數據、文件，還可以是Web資源等，也就是說，無論什么樣的數據結合，我們都可以通過數據挖掘技術進行數據搜索。除此之外，還應當著重注意的是，數據挖掘技術是一個螺旋式上升的過程，而不是一個直線型的過程。

二、計算機網絡入侵的原理

網絡規劃與設計如果符合網絡發展的需求，能夠滿足網絡結構的管理要求，就能夠進一步降低網絡運行成本，提高網絡管理員的工作效率。網絡管理員在良好的網絡管理系統的幫助下，能夠獲得一個非常清晰的網絡拓撲結構，從而將網絡運行過程中的狀態數據逐步轉化為一些非常簡單的圖形提示，并將網絡中的問題及時反饋給相應的工作者。這種高度的協同性主要體現在以下兩個方面，一是企業內部各種信息系統的相互協同；二是企業內部信息系統與外部信息系統的有效協同。對于分布式網絡管理結構來說，計算機病毒、黑客、信息垃圾、存儲設備故障的出現，給其合理的運行帶來了安全隱患，這就需要分布式網絡管理結構進一步提高自身的安全防范機制的建設，要求企業采取多種有效措施，進一步提高信息資源集成過程中信息資源的安全。

通過構造非法ARP報文，接入層的攻擊主機回應來自本網段的網關ARP查詢，從而導致其他接入層主機的ARP表中出現IP地址與MAC地址難以對應的問題，其他主機錯誤地以為攻擊主機就是網關，這樣，海量的數據就會直接發送給攻擊主機。在這種情況下，往往會產生以下結果：一是真正的網關與攻擊主機并不相同，導致大量的數據無法出網，其他主機無法正常工作。二是攻擊主機可以解封其他主機發來的信息，導致信息泄漏，給計算機使用者帶來損失。

三、利用模式匹配的入侵檢測技術存在的問題

一般入侵檢測系統主要兩類。一是入侵檢測系統中的異常檢測。該種檢測行為是對檢測與可接受行為之間存在的偏差進行檢測。異常檢測也存在一定的弊端，就是其檢測出來的異常行為中難以涵蓋所有入侵，不僅如此，入侵檢測系統中所檢測數來的異常行為中還包括一些非入侵的異常行為。該類模型能夠有效避免漏報現象的發生，但是其經常會出現誤報的現象。二是入侵檢測系統中的誤用檢測。對已知不可接受行為之間的匹配程度進行檢測是該類檢測的主要目標，其能夠有效地避免誤報現象的發生，但是會經常發生漏報的現象。該類檢測還有一個不可忽視的缺點，對于未知的攻擊難以實現科學有效的檢測。在具體的應用過程中，應當著重注意特征庫的實時更新。

以模型匹配為手段的入侵檢測技術存在的問題主要包括以下幾個方面：

（一）準確性不高。以往，我們以專家知識的手工編碼來逐步得到有關規則的數據庫、知識庫和統計方法。在這種方法的引導下，相關學者一直致力于如何解決檢測手動編碼規則和模式以及選擇異常檢測統計量等問題。現如今，在越來越復雜的網絡環境下，我們以往獲得的專家經驗數據會經常出現不完整和不準確的問題，這就在一定程度上導致現階段入侵檢測系統準確性不高。

（二）適應能力差。專家所分析和了解的攻擊大多數為已知的攻擊行為和那些已經存在的系統缺陷，對于那些不能檢測的未知攻擊則難以實現有效的預測，主要原因在于，想要實現位置預測，就必須加大學習和研究力度，而未知的攻擊行為和系統缺陷具有不確定性，這就直接造成了適應能力差的問題。

（三）可擴展性不強。由于受到來自社會環境的影響，專家規則與統計量可能難以化解攻擊行為，在這種情況下，我們很難在其中添加一個新的檢測模塊。

除此之外，絕大多數入侵檢測系統都只能處理某一種特定的審計數據源，且庫文件的更新費用則較多。不僅如此，近年來計算機操作系統日益復雜，網絡數據流迅速增加。攻擊方式發生了翻天覆地的變化，相應的IDS還難以更新，缺乏必要的整體性，這就導致檢測專家難以在編碼的過程中覆蓋所有的計算機攻擊特征。

四、目前流行的幾種數據庫入侵檢測技術

首先，檢測存儲篡改。數據庫的存儲篡改對于數據庫中的數據來說，是一種惡意修改和降低質量的行為，存儲篡改的主要目的是通過使數據庫中存在的信息錯誤化或是降低數據庫的信息，達到妨礙對手行為的目的。從本質上來說，存儲篡改就是一種內部濫用行為，通過檢測物這種抽象機制，我們能夠對存儲篡改行為進行有效的檢測。如果用戶發現被檢測物的狀態不正常，則表示檢測物可能經過了存儲篡改，這種方式有利于防止和檢測企圖繞過數據庫管理系統的數據入侵行為，極大地提高了數據庫的安全性。

其次，獨立于應用語義對數據庫事務或用戶進行檢測的方式在眾多數據庫檢測場合中是難以充分識別用戶的異常行為的，如果部分管理員難以在正常的情況下突然提高自己的每月工資，但是，在建立獨立于應用語義上的檢測方法下，就可以實現上述變更，且不會發現異常，由此可見，這種異常檢測只能以數據庫的應用語義為基礎。

最后，數據庫具有自己獨特的SQL語言查詢和事務處理機制，在數據庫入侵檢測中對用戶使用SQL語句的模式進行檢測是其非常重要的內容之一。指印是一種入侵檢測方法，它主要以SQL語句為基礎。指印還是一種從合法事務SQL語句，經過不斷的推導而得出來的一種正則表達式。如果我們發現指印所代表的用戶行為與指印集相矛盾的話，我們就可以得出這樣的結論，即用戶的事務語句可能出現異常行為。指印技術在互聯網上的數據庫入侵檢測的應用范圍非常廣泛，以SQL語句注入為例，因為我們通常可以通過使用數據庫來實現對數據庫的查詢，然而，這些應用則只能夠通過固定的幾種查詢格式來實現，也就是說不允許用戶自構查詢，這就在一定程度上降低了用戶的誤警率。

五、數據挖掘技術在入侵檢測系統中的應用

所謂數據挖掘，就是在浩如煙海的數據量中找尋我們所需要的數據信息，并在此基礎上將信息間存在的模型、規則以及它們之間存在關系充分地展現出來。通常情況下，數據挖掘任務主要分為兩個方面：一是數據描述，二是數據預測。前者主要是對數據的一般特征進行描述，后者主要的作用是在一般特征描述的基礎上對數據推理進行預測，也就是說，人們可以通過數據挖掘技術，更深入地了解數據信息，該技術能夠將數據所潛在的使用價值呈現在人們的眼前。從本質上來說，數據挖掘技術與知識發現技術有一定的相似之處，該技術的應用目的是為了從大量的數據當中尋求對自己有用的數據，根據這些數據特征對數據的安全性特征進行客觀的分析，從而達到保護互聯網安全的目的。通常情況下，以數據挖掘技術為基礎的入侵檢測需要經過一個流程，從數據采集開始一直到數據監測結果得出。將數據挖掘技術融入入侵檢測系統中，以歷史數據為依據，對用戶進行全面的分析，并在此基礎上逐步總結出不安全數據的入侵規律，這樣我們就逐步建立起了入侵檢測規則庫。一般我們可以將數據挖掘技術分為關聯分析、序列模式分析、分類分析、聚類分析四類。將數據挖掘技術應用到入侵檢測系統當中并不是突發奇想，而是在經過長時間的研究與實踐的基礎上逐步得出來，其實從本質上來說入侵檢測系統與數據挖掘技術它們在功能上是相近的，都是為了保障網絡安全，正因如此，我們在將數據挖掘技術應用到入侵檢測系統的時候，應當將數據挖掘技術的四種類型有機地結合在一起，充分發揮各自的優勢，實現數據挖掘技術的和諧統一。

六、數據挖掘技術在入侵檢測中的技術優勢

將數據挖掘技術同入侵檢測系統有機地結合在一起，能夠實現入侵檢測技術水平的進一步提高，有效地彌補以往入侵檢測技術的缺點。具體來說，具有以下幾方面的優勢：

第一，數據挖掘完整地體現了數據分析的過程。通常情況下，數據挖掘技術的流程主要包括數據準備—數據預處理—模型的建立—結果處理等。該過程也不是一成不變的，它是不斷變化的，也正是由于過程的變化性才能夠得到一個更好的模型。

第二，數據挖掘極大地提高了工作效率，以數據挖掘技術為基礎的關聯規則、序列模式、分類算法應用到數據入侵檢測過程中，有利于進一步提高入侵檢測技術水平，提高工作效率，切實保障互聯網絡的安全性。

第三，數據挖掘的部分算法對于入侵檢測系統來說非常重要，我們常見的算法包括決策樹、關聯規則等。數據挖掘技術在入侵監測系統中的應用也極大地提高了入侵監測系統處理數據的效率，避免在數據篩選過程中出現的主觀忽視和隱藏信息的問題。

第四，數據挖掘技術的應用也在一定程度上拓展了數據安全防護的思路，打破了檢測方法的局限性。不僅如此，將數據挖掘技術同入侵檢測系統有機結合在一起，既能夠拓展數據安全防護思路，還能夠逐步形成關聯規則或是建立一個分類模型。

七、數據挖掘技術在入侵檢測中的發展趨勢

在未來，數據挖掘入侵檢測技術可能向分布式入侵檢測技術和高級智能檢測技術的方向發展。前者不僅能檢測網絡入侵攻擊行為，還能夠對分布式攻擊進行檢測，并及時地提取入侵攻擊的區局信息。它的出現，改變和豐富了傳統入侵技術。后者就是根據不同的檢測機理或方式實現對計算機網絡安全性的檢測，該種技術是以免疫機理、數據挖掘、智能體和遺傳算法等檢測方法為基礎逐步發展而來的。可以說，數據挖掘技術在入侵檢測中的應用并不是一成不變的，它是不斷發展和創新的。因此，相關研究者必須做到加大研究力度，進一步擴大數據挖掘技術在入侵檢測系統中的應用。

【參考文獻】

[1]李玲娟.數據挖掘技術在入侵檢測系統中的應用研究[D].蘇州大學，2008

[2]姜英.模糊數據挖掘技術在入侵檢測系統中的應用[D].曲阜師范大學，2006

[3]郭春.基于數據挖掘的網絡入侵檢測關鍵技術研究[D].北京郵電大學，2014

（責編 盧 雯）