數據挖掘技術在網絡入侵檢測中的應用

趙好好

摘? 要：在大數據時代，隨著計算機網絡技術的全面發展，網絡安全問題備受關注。入侵檢測技術的日趨成熟，已經從簡單的靜態安全檢測發展到動態安全檢測，并在計算機安全防護領域占有一席之地。數據挖掘技術在智能獲取海量數據中的可用信息領域具備明顯優勢。本文將相關技術引入到入侵檢測中，大幅度提高了入侵檢測的效率，并實現了智能化。

關鍵詞：數據挖掘? 網絡入侵? 入侵檢測? 網絡安全

中圖分類號：TP393.08;TP311.13? ? ? 文獻標識碼：A文章編號：1674-098X（2021）05（b）-0112-04

Application of Data Mining Technology in Network Intrusion Detection

ZHAO Haohao

（Henan Industry and Trade Vocational College， Zhengzhou， Henan Province， 451191 China）

Abstract： In the era of big data， with the all-round development of computer network technology， network security issues have attracted much attention. Intrusion detection technology has matured day by day， and it has developed from simple static security detection to dynamic security detection， and occupies a place in the field of computer security protection. Data mining technology has obvious advantages in the field of intelligently acquiring information available in massive data. This article introduces related technologies into intrusion detection， which greatly improves the efficiency of intrusion detection and realizes intelligence.

Key Words： Data mining; Network intrusion; Intrusion detection; Network security

在當今網絡時代，人們在享受飛速發展的網絡技術帶來便利的同時，也體驗到了全球資源共享產生的互動效應。與此同時，黑客和惡意攻擊者也常常會利用網絡自身的脆弱性進行各種形式的入侵，手段也更為復雜。隨著當今網絡發展的復雜化，計算機受到的攻擊行為難以捕捉，受到的安全威脅種類繁多，甚至攻擊的難度和頻率越來越大，給社會帶來的負面影響也越來越廣大。結果就是人們無法正常使用計算機和網絡，給他們的生活造成非常不利的影響，甚至可能會造成難以想像的經濟損失。因此，如何創新網絡安全技術以迎接新的挑戰就顯得尤為重要。

目前，抵御外來入侵增強網絡安全的產品主要采用靜態安全檢測技術，靜態安全檢測技術的弊端就是只能檢測已知的網絡危險攻擊，對于新技術新網絡攻擊行為無法進行防范，更難以做到安全檢測和管理。因此，為了更加安全、有效地進行網絡安全防護，全方位保證網絡的安全性，我們應該采取被動和主動相結合的防御方式應對網絡攻擊。在這種情境下，入侵檢測系統應運而生，可以實現主動動態地進行網絡檢測，并得到了廣泛應用和認可。

數據挖掘技術可以快速探索出滿足大規模數據所需的功能或規則。因此，可以考慮構建有效的入侵檢測模型，充分發揮數據挖掘技術在海量網絡數據中進行智能挖掘的優勢，從而探尋存在的入侵行為。

1? 數據挖掘技術概述

從技術來說，數據挖掘是指從海量的、不全面的、不清晰的、無關聯的原始數據中，挖掘出有價值的、有關聯和實用數據的過程[1]。

數據挖掘滲透于多個學科，尤其是人工智能和機器學習更將其列為重點學習方向，數據庫、統計學、機器學習、可視化等技術都涵蓋其中。通過數據挖掘，可以從海量無關聯的數據中提取到想要的有關聯的信息、對象，用來進行預測、關聯分析、做出響應等。

數據挖掘的過程[2]大致可分為5個階段，如圖1所示。

（1）問題定義。這一階段需要確定要發現何種知識，以及明確欲達到的目標和用戶的需求。

（2）數據收集。數據收集作為整個數據挖掘的基礎，它為數據挖掘提供最原始的數據。數據選取就是在海量數據中，挑選出符合條件的數據形成樣本。

（3）數據預處理。數據預處理包含噪聲點消除、數據格式化處理、數據約簡等操作。

（4）數據挖掘實施。根據既定目標及己有方法選擇適當的算法，對已得的數據進行進一步處理得到結果。

（5）結果解釋與評估。對提取的數據結果進行研究和評判，評估其可能存在的發展趨勢。

在上述步驟中，有兩點關鍵因素會直接影響數據挖掘的質量：（1）用于數據挖掘的數據質量和規模;（2）所采用數據挖掘方法的有效性。

2? 入侵檢測及其相關技術

2.1 入侵檢測概述

入侵檢測[3]（Intrusion Detection），通常是在監控計算機網絡及系統過程中，探尋不符合既定安全規則的事件。在監控過程中，它往往會比較關注其中的關鍵要素，比如程序進程、網絡包及系統程序等，從而分析該過程是否符合入侵的標準，進一步確定攻擊的行為和對象。實現相應監測功能的入侵檢測系統，通常具備以下幾點作用[4]：

（1）識別入侵者;

（2）識別入侵行為;

（3）檢測出已知的入侵行為;

（4）時刻監測和記錄入侵行為信息，從而對其可能會造成的后續惡化事件進行防控;

（5）使系統能夠在收集證據的同時恢復正常工作。

入侵檢測系統通過采取實時監測的行為，對外來入侵的對象進行數據的搜集和分析，進而判斷此行為是否違反安全策略，從而做出抵御的行為。入侵檢測系統基于傳統安全檢測技術，實時監測，達到主動防御的功能，從而改變從原來的事前預警，實現事中預警，并做到立即響應，保存入侵信息，為產生的違法入侵行為提供法律依據。因此，入侵檢測技術的不斷完善升級，形成一道保護屏障，能夠更進一步確保網絡安全。

入侵檢測的一般過程，如圖2所示。

2.2 入侵檢測方法

常用的入侵檢測方法[4-6]可以歸納為如下兩種。

2.2.1 異常入侵檢測方法

該方法是基于行為的檢測。普遍會采用統計的方法來對入侵行為進行檢測，進而發現異常。任何對系統的入侵都被假設會造成系統錯誤來完成異常檢測。在統計概率模型的基礎上，假設待檢測行為的狀態均為良好，根據設定異常行為的種類，進而檢測出其中與設定標準行為差異較大的即判定為異常行為。考慮到實際網絡環境相對繁雜，檢測標準缺乏精確性，最終的檢測結果也會存在一些誤差。

2.2.2 誤用入侵檢測方法

該方法是基于知識的檢測。在已知網絡攻擊方式的基礎上，制定入侵模式，若出現入侵行為則可以有效地檢測到。這種方法對已經出現過攻擊類型的入侵行為有很好的抵御作用。但是對出現的變異或者新型攻擊行為無法進行處理，因為在防御策略上很難做到對這類入侵行為進行防御，再加上系統擴展性不好，維護難度大，檢測范圍有局限性，難以做到對新型攻擊行為有很好的抵御作用。

3? 數據挖掘技術在入侵檢測中的應用

3.1 入侵檢測中應用的數據挖掘技術

根據采用方法的不同，基于數據挖掘的網絡入侵檢測方法[7-8]的劃分如下。

3.1.1 基于分類的入侵檢測方法

在該方法中，首先要建立一個有類別標簽的訓練集，采用合適的分類算法對訓練集進行分析建模，并在測試集做出預測，進而判別出正常行為和異常行為。入侵檢測中常用的分類算法有最近鄰、決策樹、貝葉斯、人工神經網絡等。

3.1.2 基于聚類的入侵檢測方法

在該類方法中，建立的是無類別標簽的數據集，需要采用合適的聚類方法來進行數據分析，然后根據呈現出來的屬性特征來對異常行為進行判別。值得一提的是，該類方法有時也會結合離群點檢測的思想，即將聚類后位于稀疏區域的數據（也即離群數據）視為異常行為。入侵檢測中常用的聚類算法有k-means、自組織特征映射、DBSCAN等。

3.1.3 基于離群點挖掘的入侵檢測方法

該類方法常常被用于異常檢測。在入侵檢測系統中，入侵行為往往與正常行為在屬性特征上會有很大的不同，呈現出異常，從而可以被判定為離群點。采用合適的離群點檢測方法可以有效地挖掘出網絡中的入侵行為。

3.1.4 基于關聯分析的入侵檢測方法

該類方法，首先要借助相關算法對數據源進行處理，發現其中的關聯規則，進而對異常行為進行檢測。入侵檢測中常用的相關算法有Apriori、FP-growth等。

3.2 數據挖掘技術在網絡入侵檢測中的優勢

在實際應用中，在侵檢測系統中引入數據挖掘技術，不僅可以提高檢測的準確性，還可以彌補前者的短板。具體優勢[9]總結如下。

第一，數據挖掘的過程也即數據分析的過程，一般涉及數據準備、數據預處理、數據建模、結果評估等多個步驟，而這個過程往往是動態變化的，這恰恰能夠為建立一個高質量的數據模型提供一定的保證。

第二，數據挖掘技術最直觀的作用就是大幅度提高了工作效率，借助其中的分類、聚類、離群點、關聯分析等算法，以有效發現網絡中的攻擊行為，在提升工作效率的同時，還使網絡的安全得到了切實保障。

第三，數據挖掘技術的廣泛應用對入侵檢測及網絡安全防護提供了有力的支撐，提高了檢測方法多樣性。入侵檢測系統與數據挖掘技術的有效結合，不僅為安全防護提供了更多創新發展空間，還可依此構建相應的關聯規則或是分類模型。

3.3 入侵檢測系統的數據挖掘過程

入侵檢測主要目的是對網絡中獲取到的海量數據進行研判，以便區分出其中的異常行為以自動建立有效的入侵檢測規則。采用不同的數據挖掘算法，可以獲取到用戶或系統的行為特征數據。

其中，基于關聯分析的算法可以發掘出網絡中連接數據屬性的關系，基于離群點分析的算法可以發現入侵攻擊行為的有關入侵關聯特點。通過應用離群點分析算法可以獲取到入侵者的行為關系及入侵行為和正常行為的特征信息，進而判定是正常行為還是入侵行為。利用關聯分析算法獲得正常行為特征，建立異常檢測模型，再通過分類算法對數據進行分類，進而挖掘出區分正常行為和入侵行為的規則。原理與過程圖3所示。

3.4 基于數據挖掘的入侵檢測框架

本文所采用的入侵檢測模型框架包括以下幾個部分：數據采集預處理、關聯規則或序列規則、誤用檢測、異常檢測等[10]。如圖4所示。

（1）數據采集預處理：從網絡中獲取全部的行為記錄，完成數據預處理，并生成訓練集。

（2）關聯規則或序列規則：從訓練集中挖掘出關聯規則和序列規則，建立正常行為模式，用于異常檢測入侵行為。

（3）誤用檢測模型：在訓練集上利用分類算法完成分類規則的建立，以完成誤用檢測功能模型。

（4）異常檢測模型：完成入侵異常行為的檢測，主要有2個功能;一是通過對網絡數據的實時檢測，完成數據分類，二是通過關聯規則和序列模式，研判網絡行為是正常還是入侵。

4? 結語

數據挖掘技術能夠實現快速自動地探索出滿足大規模數據所需的功能或規則。因此，可以考慮將數據挖掘相關技術應用到大規模網絡數據的監測中，從而發現異常入侵行為。雖然數據挖掘技術越來越多地應用于入侵檢測領域，但仍停留在理論探究階段。在網絡數據量不斷增大、各種攻擊手段層出不窮的現實情況下，基于數據挖掘的入侵檢測技術仍具有廣闊的前景，研究內容側重于進一步提高檢測速度及效率、降低誤報率及漏報率等。

參考文獻

[1] 張芷有.基于數據挖掘的入侵檢測方法的研究[D].南京：南京郵電大學，2020.

[2] 郭春.基于數據挖掘的網絡入侵檢測關鍵技術研究[D].北京：北京郵電大學，2014.

[3] 古險峰.一種基于數據挖掘的網絡入侵檢測系統設計與實現[J].河南科技學院學報：自然科學版，2020，48（6）：54-58，67.

[4] 段丹青.入侵檢測算法及關鍵技術研究[D].長沙：中南大學，2007.

[5] 王曼.基于數據挖掘的網絡入侵檢測研究[J].信息記錄材料，2020，21（3）：175-176.

[6] 李斯.數據挖掘技術在入侵檢測系統中的應用[J].科技資訊，2009（27）：192.

[7] 趙菲.網絡入侵檢測中數據挖掘技術的應用研究[J]. 科技創新與生產力，2020（12）：58-60.

[8] 代治國.基于數據挖掘的網絡入侵檢測方法的研究[J].科技資訊，2010（7）：26.

[9] 劉澤辰.數據挖掘技術在網絡入侵檢測中的應用與研究[J].信息記錄材料，2019，20（8）：188-189.

[10] 韓洋，鄧一萍，穆穆.基于數據挖掘的入侵檢測[J].信息與電腦：理論版，2020，32（2）：111-112，115.