數據挖掘技術在網絡入侵檢測中的應用與研究

康彩麗

[摘? ? ? ? ? ?要]? 將數據挖掘技術應用到網絡入侵檢測系統中，一些網絡意外情況就能提前進行預防并處理，使用戶的網絡更加安全。對數據挖掘技術在入侵檢測系統中的誤用檢測和異常檢測進行研究。

[關? ? 鍵? ?詞]? 數據挖掘技術;誤用入侵檢測;異常入侵檢測

[中圖分類號]? TN915.08? ? ? ? ? ? ? ? ? ?[文獻標志碼]? A? ? ? ? ? ? ? ? ? ? ? [文章編號]? 2096-0603（2019）05-0206-02

近年來，隨著惡意網絡入侵愈加嚴重，非法盜取網絡用戶的隱私信息、篡改網絡數據情況時有發生，入侵檢測技術受到了人們的關注和應用。入侵檢測技術是一種動態的安全防護技術，它能夠主動檢測網絡系統狀態，收集用戶活動的數據信息并分析研究，從而發現自系統外部的非法用戶的攻擊行為和違規操作。將數據挖掘中的關聯規則挖掘、序列模式和分類算法應用到網絡安全檢測系統中，是數據挖掘技術應用的一個新增領域，可以有效快速地檢測用戶網絡狀態，保護用戶的信息安全。

一、數據挖掘技術

數據挖掘是一種知識發現技術，人們感興趣的數據信息都能夠利用數據挖掘在入侵檢測中找到，并發現一些攻擊。數據挖掘技術應用到入侵監測系統主要集中在關聯規則、分類和序列這三種。

關聯分析的目的是希望找到一條審計記錄中不同字段之間的聯系，通過挖掘數據記錄中不同數據項之間的關系，探究兩者之間的關聯性。

分類算法是通過收集足夠的審計數據辨別一個用戶或者程序是否合法，然后將這些數據指導一個分類器學習，未知的網絡數據是否合法就是通過學習后的分類器預測的。例如，常用的分類算法Ripper是一種通用的規則優化分類算法，對包含大量噪聲數據的數據集，它能很好地對其進行分類，從而提高計算的準確性。

序列分析算法序可以發現各種事件在時間上的先后聯系，在事務中形成時間序列模式，利用事務之間的相關對侵入的行為進行研究。序列分析和關聯分析方法比較相似，但是序列分析更注重數據之間關系的前后分析，這種方法對檢監測網絡黑客十分有效。

二、網絡級連接記錄的誤用檢測

對原始數據進行預處理是實現網絡級連接記錄誤用檢測的第一步，然后分別對正常數據和入侵模式數據使用數據挖掘技術找出相應模式并進行比較，從入侵數據中找到正常數據中沒有出現的模式，臨時的統計特征就能通過這些沒有出現的入侵模式建立，然后利用分類器建立誤用入侵檢測模型。

（一）原始數據預處理

網絡原始審計數據或者應用程序數據是抓取得到的二進制文本數據，先將這些數據轉換成可視化的主機型數據，再將網絡連接的信息轉變成主機會話記錄，之后再加進數據庫中。每條記錄在數據預處理輸出后都有固定的基本特征，對構建網絡模型很重要，往往能夠決定訓練結果，能夠給一般的網絡分析提供幫助。

（二）關聯規則和序列模式

對原始數據預處理后得到大量的網絡連接主機會話記錄，按照預先設定的支持度和可信度使用關聯規則和序列模式進行挖掘，抽取特征頻繁模式。關聯規則挖掘一般采用Aprior算法，序列模式挖掘采用GSP算法。但是這兩種算法在部分優先屬性處理上規則不合理，對檢測入侵行為沒有較大意義，所以要使用拓展的關聯規則進行挖掘，即在候選項集生成中增加主屬性的測量，如擴展的關聯規則包括屬性axis和reference，可以滿足用戶興趣度的要求。

（三）挖掘純入侵模式

利用數據挖掘技術獲得頻繁模式后，通過合并、編碼和比較等方法獲取的入侵模式就是純的。頻繁模式合并是指在相同數量的項集的前提下將同種類型的模式并為一起，使每一對的項集都有同樣的axis屬性和相鄰非axis屬性，并且支持度和可信度的數值大小是接近的。頻繁模式編碼是準確完整地建造出關聯規則和序列模型，然后計算和操作這些規則模型，并對其進行分析和比較。在使用編碼方法時需注意模式結構的要求和屬性重要級別的順序。模式比較是要判斷模式是否為“純入侵模式”，在入侵系統進行檢測過程中，正常模式有可能也會出現在攻擊模式中，假如我們采取已編碼的攻擊模式和正常模式相互對比，若獲得的絕對值比較值很大的話，就能證明此時的攻擊模式是“純入侵模式”。

（四）構建統計特征

在確定模式為純入侵頻繁模式后就能建構數據的統計特征。每一個記錄在網絡連接的過程中都會存在一些本質的特征，這些特征稱為本質特征（如F0），相同屬性值個數等和所占的百分比等這些特征是通過計算可以獲得的，計算后就可以構建附加特征，使構建的入侵檢測模型更加有效。

（五）建立分類模型

分類檢測模型就是利用分類器在統計特征構建之后建立的，分類器的本質就是一個函數，每一個或者多個特征的檢測都是由一個分類器的條件函數對應的。建立分類器有幾種機器學習方法，如決策樹、神經網絡、支持向量機等。例如，RIPPER分類器可以利用分類算法生成的規則，很好地處理大量噪聲數據，而且還能夠對已知攻擊的微小變化進行分類，并根據分類規則形式快速建立誤用入侵檢測模型，以便能夠及時地處理要求。

三、網絡用戶行為的異常入侵檢測

在網絡對檢測系統進行入侵時，數據挖掘技術可以搜集數據，并從中找到有用的數據呈獻給用戶。當一個用戶冒充另外一個用戶時，他的一些命令、數據包和連接都很正常，所以區分用戶的單擊事件是正常還是異常十分困難，使用數據挖掘技術可以檢測到用戶的行為模式。檢測用戶的行為模式的第一步要修改數據庫中telnet會話事件的處理器，獲得一條命令后再使用關聯規則和序列模式構建用戶模型，將構建的模型與當前用戶模式進行比較，判斷是否異常。

（一）用戶會話命令的審計記錄

為了檢測用戶行為模式我們可以將主機接受的用戶呈遞的所有命令進行提前處理。命令參數刪除用戶編輯狀態下輸入的內容，只保留一些文件的后綴名或者異常的文件名。經過處理之后會得到的用戶會話審計記錄。

（二）挖掘關聯規則和序列模式

關聯規則是觀察用戶會話審計記錄中的數據特征，在設定的最小支持度滿足的情況下，挖掘出不同項間的相關屬性，找出數據噪聲多次發生的記錄。根據用戶呈遞命令的審計記錄，在支持度不同的情況下得到關聯規則。

序列模式就是通過序列分析查找不同數據之間的關系模式，方法是通常使用AprioriAll、AprioriSome等算法在最小支持度滿足情況下，找到頻繁的用戶會話審計記錄序列。這些算法能夠觀察用戶會話的審計命令序列進而計算出序列的支持度，找出能夠滿足最小支持度的最大頻繁序列，本文利用滑動窗口算法尋找最大頻繁模式序列。

假設S={s1，s2，s3......}，S是用戶會話命令集合，其中s1，s2，s3代表一個用戶會話命令，設定滑動窗口在長度為MAXL的情況下最小支持度為MINSUBP。首先設置窗口的初始寬度值為1，在用戶會話命令集合中找到支持度大于MINSUBP長度為1的序列，這就相當于找到候選頻率大于MINSUBP的一項集用戶會話命令。然后對滑動窗口的寬度不斷進行遞增（L=L+1），將窗口左邊設置在用戶第一個會話命令的位置處，再將窗口進行滑動與窗口右邊界的最后一條會話命令重合，當窗口滑動一次就會得出一個長度為L的子序列。滑動結束后可以得到n-L+1個大小長度為L的子序列sub集合，然后分別計算這些子序列的支持度，獲得滿足支持度要求的最大模式序列。使用歷史行為模式也可以檢測到用戶異常行為。如模擬一些異常會話。

（三）模式比較

用戶當前行為模式和歷史行為模式被查找出之后，需要把這兩種拿來進行比較，查看用戶行為模式是不是正常的。序列方法是模式比較常利用的方法，再加上相似度的概念對不同行為之間的相似程度進行描述，如果發現偏離設定的可信基準值的操作模式，說明發生了非法攻擊行為。利用數據挖掘技術建立用戶正常行為模式能夠讓檢測過程簡單化，降低數據匹配的難度，使檢測入侵的行為不再處于被動狀態，為網絡的安全提供了很大保障。

四、結語

網絡系統中數據流量是海量的，將數據挖掘技術引用入侵檢測系統中，可以挖掘和獲取用戶活動隱含且有用的模式，或者異常的模式，從而判斷網絡系統是否受到了入侵，可大大降低入侵檢測系統誤報和漏報的行為，全面提高用戶的網絡環境安全。

參考文獻：

[1]蔡艷.探討數據挖掘技術在網絡信息安全管理中的應用[J].網絡安全技術與應用，2013（10）.

[2]楊鋒.基于數據挖掘的入侵檢測技術研究[D].哈爾濱工程大學，2006.

[3]王文娟.數據挖掘算法及其在入侵檢系統中的應用[D].鄭州大學，2007.

[4]宋世杰.基于數據挖掘的網絡型誤用入侵檢測系統研究[J].重慶郵電學院學報，2004（1）.

編輯 馮永霞