基于數據挖掘的企業網絡入侵檢測系統的建立

摘 要：分析了入侵檢測系統發展現狀與數據挖掘入侵系統優勢，并針對網絡入侵，通過應用數據挖掘技術，建立網絡入侵檢測系統，確保網絡安全。

關鍵詞：信息技術;網絡安全;檢測系統

入侵檢測作為一種重要的動態網絡安全防護技術，能夠提供對計算機系統和網絡的內部、外部攻擊以及誤操作的全面檢測，其主要功能是監視并分析用戶和系統的行為、審查系統配置的弱點、評估已知攻擊的行為模式、異常行為模式的統計分析、操作系統的審查跟蹤管理和識別用戶違反安全策略的行為。作為防火墻之外的第二道安全防線，入侵檢測已成為網絡安全領域重要而迫切的課題。

1 入侵檢測系統發展現狀與數據挖掘入侵系統優勢

入侵檢測的概念和公共入侵檢測系統建立的提出，許多入侵檢測的方法相繼被提出，其中主要包括基于專家系統的入侵檢測方法、基于模式匹配與協議分析的入侵檢測方法、基于用戶行為統計分的入侵檢測方法、智能代理檢測等。隨著企業網絡用戶的增多，為了應對數量不斷增長的審查行為數據面臨的新的挑戰，一些新的技術在傳統的入侵檢測也相繼出現，比如模糊技術、遺傳算法、神經網絡和狀態轉換等，其中如何從海量的數據中抽取出有用的規則已經成為影響入侵檢測系統性能的關鍵。基于大規模用戶行為數據挖掘技術與入侵檢測系統的特點有效結合志來，可以取得良好的信息安全防護效果。

數據挖掘用于入侵檢測系統中，通過將數據挖掘技術和入檢測相結合，能及時發現并報告系統中未經授權或異常行為，為網絡安全提供實行的入侵檢測和防護。通過將數據挖掘技術用在入侵檢測系統中，對關聯規和聚類分析典型算法，建立數據挖掘的企業網絡入侵檢測系統，能有效減少規則建立過程中的人工參與程度，有效提高入侵檢測系統的效率，從而提高入侵檢測的準確性，以保障企業網絡信息安全。

2 基于數據挖掘的網絡入侵檢測系統的建立

2.1 數據挖掘技術

很多數據挖掘技術都能用于入侵檢測系統，例如關聯分析、分類、聚類和序列分析等。關聯分析，也叫關聯規則挖掘，是通過用戶指定最小支持度和最小置信度來在序列（事物）數據庫中尋找關聯規則的過程，在發現滿足用戶最小支持度的頻繁項目（序列）集的基礎上，找出滿足用戶給定最小置信度的關聯規則集。分類則是根據給定的類別和訓練數據，對數據庫中的序列數據進行分類的過程。這是一個有監督的學習過程，通過發現類別中的共性及特征，從歷史數據記錄中判定給定數據的類別描述，從而對數據的屬性做出預測，指導入侵檢測的行為模式判斷。相比于分類，聚類是一種不帶類別指導信息的無監督學習算法，它會根據數據內部的關聯將數據分為多個類或簇，劃分的原則是同一個簇之間的數據之間具有較高的相似度，而不同簇中的數據相似度較低。這是一種數據中類別模式的自動發現過程。序列模式分析則是指從序列數據中發現相對時間或者其他順序所出現的高頻率子序列，其目標為發現數據之間的聯系，分析數據發生的前后序列的關系，它在入侵檢測中的一個主要應用是通過對用戶命令序列分析，建立用戶概貌，任何對特定用戶行為模式的偏離，都被視為用戶行為異常。

2.2 基于數據挖掘技術的入侵檢測系統

在入侵檢測系統中應用數據挖掘方法，首先需要建立關于安全行為模式的先驗知識，然后提取出可以有效反映系統行為特性的特征屬性，然后才能有效地應用適當的算法對審查數據進行數據分析和模式挖掘，并將發現的知識更新到現有的企業入侵檢測系統中，保證網絡系統的學習能力，從而在根本上保證企業網絡安全。

基于數據挖掘的入侵檢測系統主要由數據預處理、異常分析器、規則庫、模式挖掘器、規則生成器和報警器等六個部分來組成。系統中行為數據源中的數據由系統中不同環節里的數據包嗅探器獲取收集，作為一個簡單的抓取信息的窗口，數據包嗅探器所在的集團決定了入侵檢測的局部處理的程度以及行為數據的種類，不同類別的行為數據需要用不同的數據挖掘技術來自處理。數據預處理模塊負責將原始數據轉換為適于數據挖掘方法所需要的數據模式，同時，對一些無效或者噪音數據進行清理，以減少模式匹配及數據挖掘工作所處理的數據量。在數據預處理過程中可以以插件的方式采用第三方入侵檢測工具檢測已知攻擊入侵行為并報警，這樣可以有效提高整個入侵檢測系統的靈活性和可擴展性，同時可以提高后續模塊的處理效率。數據挖掘模塊則根據數據源的不同負責對預處理后的數據進行各種形式的模式挖掘處理（關聯規則挖掘、序列分析、聚類），以發現不同數據源中的內在行為模式，工同已有規則庫的規則模式進行匹配，當發現新的入侵模式或正常行為模式時，更新進入規則庫。異常分析則負責對預處理后的數據流進行掃描，如果檢測到與系統規則庫定義的規則相匹配的入侵模式，則送報警器響應處理。規則庫用來存儲已有的規則（包括先驗行為規則）和新近數據挖掘形成的規則集，同時對預處理所需要的信息進行存儲。規則生成器則根據數據挖掘模塊產生的關于行為模式的新的知識實時生成用于偏離分析的規則，并對這些數據進行特征提取，把那些入侵行為特征存入規則庫。當異常分析器報告發現異常行為數據流時，報警器向系統管理員發出通知報警。

基于數據挖掘技術入侵檢測系統在實際應用時，需要基于先驗的入侵行為及安全行為的背景知識，事先存入先驗入侵模式規則，這樣能有效降低系統啟動時的誤報率，應用過程中，能有效地發現新的行為模式，使入侵檢測規則的發現、更新與執行更接近于實時，具有規則更新的自適應能力，不但可以檢測到已知的攻擊，而且可以檢測到新的未知的攻擊行為，提高檢測效率，增加網絡信息檢測的預警率。

3 結語

通過在入侵檢測系統中引入數據挖掘技術，用這些規則去檢測新的入侵行為，用最低的成本更新規則和系統，提高檢測的效率，解決入侵檢測系統的不足。基于數據挖掘技術網絡入侵檢測系統行為模式的發掘是核心，規則庫中規則的準確度和覆蓋面直接影響入侵檢測系統的整體性能。

參考文獻：

[1]張雪芹，顧春華，林家駿.入侵檢測技術的挑戰與發展[J].計算機工程與設計，2012：25.

作者簡介：張紅雨（1981-），男，山東萊陽人，碩士研究生，工程師，研究方向：計算機與信息技術。