基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)入侵檢測(cè)系統(tǒng)

王利

摘要：近年來(lái)，互聯(lián)網(wǎng)的廣泛使用讓人們的工作和生活節(jié)奏和效率都有所提高，也促進(jìn)了信息的互通互動(dòng)、共享。但是大批量的計(jì)算機(jī)紛紛涌入互聯(lián)網(wǎng)中，導(dǎo)致在龐大的體系中每一臺(tái)計(jì)算機(jī)都可能被作為互聯(lián)網(wǎng)的攻擊對(duì)象。目前，互聯(lián)網(wǎng)安全正面臨嚴(yán)峻挑戰(zhàn)，比如黑客侵入，病毒傳播以及網(wǎng)上信息披露等，為了能夠保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)已經(jīng)研發(fā)了多種安全技術(shù)產(chǎn)品，包括入侵檢測(cè)系統(tǒng)、防火墻、身份認(rèn)證等。除此之外，還需要對(duì)網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)監(jiān)控。該文通過(guò)數(shù)據(jù)挖掘技術(shù)在互聯(lián)網(wǎng)入侵檢測(cè)中的應(yīng)用，并提出基于混合檢測(cè)模型，能夠幫助實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)化工作。

關(guān)鍵詞：數(shù)據(jù)挖掘;網(wǎng)絡(luò);數(shù)據(jù)庫(kù);入侵;檢測(cè);系統(tǒng)

中圖分類(lèi)號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? 文章編號(hào)：1009-3044（2018）36-0007-02

隨著互聯(lián)網(wǎng)的高速發(fā)展，在社會(huì)各個(gè)領(lǐng)域中的應(yīng)用廣泛，且入網(wǎng)人數(shù)和網(wǎng)絡(luò)信息量也逐漸增加，大大促進(jìn)了信息的流通和共享，也提高了人們的日常工作效率。然而，由于互聯(lián)網(wǎng)絡(luò)具有個(gè)性化，開(kāi)放性的特點(diǎn)，而使得每一臺(tái)計(jì)算機(jī)都有可能成為網(wǎng)絡(luò)攻擊對(duì)象。近年來(lái)，多起互聯(lián)網(wǎng)事件頻頻發(fā)生，比如黑客攻擊，網(wǎng)絡(luò)詐騙等，尤其是近年來(lái)，政府越來(lái)越注重信息化的改革，在深化改革的同時(shí)也凸顯了一些涉及國(guó)家安全和財(cái)產(chǎn)安全系列問(wèn)題，能夠從一定程度使社會(huì)造成不可挽回的經(jīng)濟(jì)損失。針對(duì)互聯(lián)網(wǎng)所出現(xiàn)的安全問(wèn)題，相關(guān)部門(mén)需要加大對(duì)網(wǎng)絡(luò)信息技術(shù)產(chǎn)品開(kāi)發(fā)以及軟件應(yīng)用開(kāi)發(fā)，形成了一系列的互聯(lián)網(wǎng)信息安全產(chǎn)品，包括入侵檢測(cè)系統(tǒng)，防火墻系統(tǒng)等。目前，國(guó)內(nèi)外已經(jīng)開(kāi)展了對(duì)互聯(lián)網(wǎng)檢測(cè)技術(shù)及系統(tǒng)應(yīng)用方面的研究，但是如何提高入侵檢測(cè)的準(zhǔn)確性，提高漏包率是有關(guān)部門(mén)的研究目標(biāo)，這對(duì)于我國(guó)開(kāi)展入侵檢測(cè)技術(shù)的相關(guān)研究是十分重要的。

1 入侵檢測(cè)系統(tǒng)相關(guān)技術(shù)

入侵是指外界對(duì)計(jì)算機(jī)，互聯(lián)網(wǎng)，信息系統(tǒng)的破壞性，使其完整性，安全性受到外部活動(dòng)侵入，而如今，檢測(cè)是指特殊部門(mén)能夠利用多種方法識(shí)別不法行為，通過(guò)收集內(nèi)外部的活動(dòng)數(shù)據(jù)和識(shí)別活動(dòng)行為，來(lái)對(duì)計(jì)算機(jī)的整個(gè)活動(dòng)進(jìn)行分析，識(shí)別異常行為。入侵檢測(cè)系統(tǒng)是能夠利用數(shù)據(jù)分析識(shí)別計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)異常行為，針對(duì)所識(shí)別出來(lái)的異常活動(dòng)數(shù)據(jù)進(jìn)行檢測(cè)，包括內(nèi)外部一些用戶(hù)的行為數(shù)據(jù)解析，利用這種入侵檢測(cè)系統(tǒng)能夠?qū)崟r(shí)監(jiān)測(cè)到網(wǎng)絡(luò)運(yùn)行系統(tǒng)的用戶(hù)行為，并針對(duì)這些異常行為采取有效措施，極大程度控制異常狀況。

首先，在異常檢測(cè)模式過(guò)程中需要利用基線(xiàn)模板技術(shù)。檢測(cè)基線(xiàn)樣板是對(duì)指在一定的監(jiān)控范圍內(nèi)，可以自定義系統(tǒng)參數(shù)，而系統(tǒng)也會(huì)根據(jù)實(shí)際流量進(jìn)行參數(shù)調(diào)整，比如警示閾值，檢測(cè)統(tǒng)計(jì)方式，檢測(cè)基線(xiàn)被用于測(cè)量或者評(píng)定某些特征流量是否為異常流量。數(shù)據(jù)挖掘技術(shù)是二十世紀(jì)八十年代逐步發(fā)展起來(lái)的，由于數(shù)據(jù)庫(kù)的容量逐漸增加，尤其是復(fù)制倉(cāng)庫(kù)技術(shù)外表數(shù)據(jù)源的應(yīng)用如何能夠讓客戶(hù)有效。快速利用信息數(shù)據(jù)挖掘技術(shù)應(yīng)用而生。數(shù)據(jù)挖掘是指通過(guò)在大量的數(shù)據(jù)庫(kù)信息中進(jìn)行挖掘，提取并將這些提取信息表示為模式，模型，規(guī)律，概念等，以被客戶(hù)所需。除此之外，還要Flow數(shù)據(jù)流技術(shù)。數(shù)據(jù)流是指一些指定的來(lái)源和節(jié)點(diǎn)之間能夠通過(guò)單方向流動(dòng)的，由一系列數(shù)據(jù)包所構(gòu)成的信息傳輸單位，所包含的內(nèi)容非常精確，能夠直接反映節(jié)點(diǎn)之間的信息。

2 檢測(cè)系統(tǒng)的需求分析

入侵檢測(cè)系統(tǒng)的設(shè)計(jì)主要是為了能夠有效提高檢測(cè)時(shí)效性，從而能夠降低誤報(bào)率，優(yōu)化檢測(cè)模型系統(tǒng)，并通過(guò)實(shí)驗(yàn)來(lái)驗(yàn)證。首先，在異常檢測(cè)方面主要面臨三個(gè)問(wèn)題：誤報(bào)率高，實(shí)時(shí)性弱，檢測(cè)能力弱。為了有效改善這些問(wèn)題，相關(guān)研究機(jī)構(gòu)側(cè)重于通過(guò)統(tǒng)計(jì)學(xué)的方法，專(zhuān)家系統(tǒng)來(lái)對(duì)一些計(jì)算機(jī)異常行為活動(dòng)，構(gòu)建了入侵檢測(cè)系統(tǒng);其次，優(yōu)化入侵檢測(cè)模型。數(shù)據(jù)挖掘是基于大數(shù)據(jù)情況下而產(chǎn)生的一種應(yīng)用技術(shù)，入侵檢測(cè)實(shí)質(zhì)上是對(duì)系統(tǒng)內(nèi)外部進(jìn)行識(shí)別，一旦發(fā)現(xiàn)異常活動(dòng)，將這種活動(dòng)會(huì)傳遞給檢測(cè)器，屬于數(shù)據(jù)分析的過(guò)程，因此在入侵檢測(cè)系統(tǒng)研究過(guò)程中可以充分利用數(shù)據(jù)挖掘技術(shù);最后，通過(guò)實(shí)驗(yàn)對(duì)設(shè)計(jì)原型系統(tǒng)進(jìn)行驗(yàn)證，從而減少基于數(shù)據(jù)挖掘的入侵檢測(cè)模型的誤報(bào)率，而在入侵檢測(cè)系統(tǒng)中應(yīng)用數(shù)據(jù)挖掘技術(shù)能夠?qū)崿F(xiàn)綜合檢測(cè)，并通過(guò)實(shí)驗(yàn)來(lái)證明方法和假設(shè)的合理性。

從入侵檢測(cè)系統(tǒng)的功能需求方面來(lái)看，入侵檢測(cè)能夠收集Ip數(shù)據(jù)流，用戶(hù)日志，包括源數(shù)據(jù)端口，目的Ip地址，源端口號(hào)，字節(jié)計(jì)數(shù)等信息。在采集重要信息數(shù)據(jù)過(guò)程中利用了基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制，從而能夠?qū)崿F(xiàn)數(shù)據(jù)采集工作，并能夠提高信息采集效率，滿(mǎn)足網(wǎng)絡(luò)監(jiān)測(cè)的要求。其次，入侵檢測(cè)數(shù)據(jù)挖掘算法實(shí)現(xiàn)需求，一般過(guò)去的入侵檢測(cè)技術(shù)是利用了統(tǒng)計(jì)學(xué)，專(zhuān)家系統(tǒng)等方法，出現(xiàn)不同量級(jí)的檢測(cè)產(chǎn)品，而且不同的檢測(cè)系統(tǒng)產(chǎn)品也存在較大差異，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)主要是為了掃描網(wǎng)絡(luò)數(shù)據(jù)，監(jiān)視內(nèi)部網(wǎng)段，實(shí)現(xiàn)對(duì)IDs監(jiān)控的調(diào)整，便于發(fā)現(xiàn)惡意攻擊的行為，但是，傳統(tǒng)的入侵檢測(cè)系統(tǒng)需要相關(guān)人員通過(guò)經(jīng)驗(yàn)來(lái)判斷，存在一定程度的誤判情況。

3 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

進(jìn)行入侵檢測(cè)原型系統(tǒng)設(shè)計(jì)時(shí)要遵循一定的原則，系統(tǒng)的設(shè)計(jì)技術(shù)要規(guī)范，遵循標(biāo)準(zhǔn)接口規(guī)范，入侵檢測(cè)系統(tǒng)在設(shè)計(jì)過(guò)程中要遵循相關(guān)行業(yè)技術(shù)規(guī)范要求，便于系統(tǒng)采集網(wǎng)絡(luò)用戶(hù)數(shù)據(jù)，入侵檢測(cè)原型系統(tǒng)能夠從一定程度來(lái)滿(mǎn)足拓展性和可操作性;其次，要考慮安全性問(wèn)題，在設(shè)計(jì)入侵檢測(cè)系統(tǒng)中，要保證用戶(hù)數(shù)據(jù)不會(huì)被盜用，保證網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的一致性，在發(fā)生故障時(shí)，可以采用故障自查和緊急報(bào)警的形式來(lái)提醒工作人員采取應(yīng)對(duì)措施，保證用戶(hù)數(shù)據(jù)不會(huì)丟失和損壞。除此之外，入侵檢測(cè)系統(tǒng)需要還具備較高的識(shí)別準(zhǔn)確性，有效減少誤報(bào)率，軟件在應(yīng)用上也需要設(shè)計(jì)靈活的結(jié)構(gòu)，可以基于混合算法繼續(xù)模型設(shè)計(jì)，從而提高入侵檢測(cè)的準(zhǔn)確性。

在進(jìn)行入侵檢查系統(tǒng)設(shè)計(jì)過(guò)程中，首先需要預(yù)處理系統(tǒng)的日志數(shù)據(jù)，比如可以通過(guò)建立決策樹(shù)模型或利用關(guān)聯(lián)規(guī)則聯(lián)合的模型基于關(guān)聯(lián)規(guī)則集合形成決策樹(shù)，通過(guò)保存好的參數(shù)檢測(cè)系統(tǒng)風(fēng)險(xiǎn)。從入侵檢測(cè)系統(tǒng)的功能模塊上來(lái)看，基于數(shù)據(jù)挖掘的系統(tǒng)需要按照不同的功能實(shí)現(xiàn)設(shè)計(jì)需求，可以劃分為四個(gè)主體功能模塊分別是：數(shù)據(jù)預(yù)處理，數(shù)據(jù)挖掘算法模型功能，檢測(cè)模塊以及基礎(chǔ)管理模塊。其中數(shù)據(jù)預(yù)處理包括兩個(gè)數(shù)據(jù)采集標(biāo)準(zhǔn)化功能，可以用于將互聯(lián)網(wǎng)日志數(shù)據(jù)的提取，并對(duì)所提取的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化轉(zhuǎn)化，能夠?yàn)橹蠼⒛Ｐ吞峁┍匾臄?shù)據(jù)格式，而數(shù)據(jù)挖掘檢測(cè)模塊是有兩種離線(xiàn)和在線(xiàn)檢測(cè)的方法，可以幫助用戶(hù)對(duì)檢測(cè)結(jié)果進(jìn)行及時(shí)處理，一旦發(fā)現(xiàn)入侵行為時(shí)，系統(tǒng)會(huì)向管理員及時(shí)發(fā)出警報(bào)信息，系統(tǒng)基礎(chǔ)管理模塊主要是用于用戶(hù)的權(quán)限管理，登錄管理，數(shù)據(jù)管理等功能。從入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)上來(lái)看，可以分為三個(gè)級(jí)別用戶(hù)層，業(yè)務(wù)層和數(shù)據(jù)層，不同的功能層具有不同的功能類(lèi)別。首先，用戶(hù)層主要是提供入侵檢測(cè)系統(tǒng)的界面兒業(yè)務(wù)層是該系統(tǒng)的核心，是實(shí)現(xiàn)系統(tǒng)核心業(yè)務(wù)邏輯以及實(shí)現(xiàn)入侵檢測(cè)模型算法的基本功能，數(shù)據(jù)層是對(duì)檢測(cè)到的信息進(jìn)行儲(chǔ)存，查詢(xún)，處理等。此外，基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)硬件平臺(tái)終端是基，1024M內(nèi)存，AMD64，以及500G的硬盤(pán)配置，而這種檢測(cè)系統(tǒng)目前可以對(duì)網(wǎng)絡(luò)客戶(hù)以及相關(guān)設(shè)備這兩種市場(chǎng)群體實(shí)行檢測(cè)。

4 小結(jié)

本文通過(guò)深入分析入侵檢測(cè)技術(shù)數(shù)據(jù)挖掘技術(shù)，同時(shí)闡述了該技術(shù)的特點(diǎn)，提出基于該技術(shù)由關(guān)聯(lián)規(guī)則和決策樹(shù)實(shí)現(xiàn)基于混合模型的入侵檢測(cè)模型，并從系統(tǒng)設(shè)計(jì)，功能設(shè)計(jì)實(shí)現(xiàn)方面分別闡述，有助于提高網(wǎng)絡(luò)入侵的檢測(cè)的準(zhǔn)確性，降低誤報(bào)率，為之后網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)系統(tǒng)優(yōu)化提供參考。

參考文獻(xiàn)：

[1] 王魯華， 楊宇波， 趙陽(yáng). 基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)方法[J]. 信息安全研究， 2017，3（9）：810-816.

[2] 周立軍， 張杰， 呂海燕. 基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究[J]. 現(xiàn)代電子技術(shù)， 2016，39（6）：10-13.

[3] 王倩. 基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)的研究與實(shí)現(xiàn)[D]. 北京郵電大學(xué)， 2017.

[通聯(lián)編輯：代影]