电子商务安全入侵检测范文

《计算机安全杂志》2014年第六期

1基于数据挖掘的多入侵检测

1.1总体目标通过上述的论述，我们在基于主机的入侵检测系统上引入多（Multi-Agent）和数据挖掘技术，与已开发的访问控制系统、日志管理系统协同工作，并且结合电子商务实际情况，提出基于数据挖掘（DataMining）的多（Multi-Agent）入侵检测系统（DMMAS）（如图2）。在良好适合电子商务的实际环境要求这个核心思想下，我们设计的目标是：(1)面向应用领域；(2)采用多（Multi-Agent）；(3)应用数据挖掘技术。该系统使用中间件和Java技术，实现收集（CollectAgent）的收集信息通用化、组件化。系统面向应用领域，在理论和实践中找到最佳平衡点，使部署简单，并且小而轻，在用户的统一控制下。该系统具有简单的自学习能力，能够在情况不断变化下做出正确判断。使用数据挖掘和OLAP等相关技术对电子商务下的日志信息建立良好模型和展示。

1.2模型框架从图中看出，DMMAS通过传感器捕获原始数据，保持数据源收集和主体应用程序开发上的独立性，但要使在控制台集中控制下。原始数据按协议进行预处理加工后，一方面发送给检测器，另一方面存入到数据库中。由于日志种类繁多，存入数据库中需要提供一个通用日志格式，而且要求它涵盖日志大多信息，但又不能导致数据冗余等等问题，所以通用日志数据格式的定义将是一个难点。然后，一方面检测器利用XML分析文件，运用模型库中的规则进行分析信息的安全威胁性，发现异常和误用，及时提醒管理员并报警；另一方面，分析后的信息存入数据库后，使用数据挖掘器从数据库中挖掘知识，不断迭代更新检测模型库，而且进行数据挖掘的联机分析处理（OLAP），提供生成HTML报表、多维分析、图形显示等功能，这些功能满足企业业务上要求。

1.3多技术（Multi-Agent）在具体实践上述模型时，充分考虑到分布式应用，对传感器、预处理器、挖掘器和检测器采用IA技术。我们设计的分为：收集（CollectAgent）数据整合（DataIntegrateAgent）数据分析（DataAnalysisAgent）监控（WatchAgent）检测（DetectAgent）

1.3.1收集CA其中CA在宿主系统捕获审计日志信息，把应用系统日志以及系统审计日志集中返回给DA，另外CA受到IA控制，对于某些检测，控制可发送警告信息给CA，让其在宿主机器实现报警或警告提醒。目前我们的收集分为三种：Windows、Linux和应用系统。其中Linux是通过加载内核模块实现截获系统调用，Windows为Windows后台进程截获Windows日志信息，应用系统通过后台进程截获应用系统日志信息。

1.3.2数据整合DIADIA负责将信息进行整合、清理，并把整合和清理好的数据发送给DAA和DA。部分代码如下：

1.3.4数据分析DAADAA是一个重量级，负责计算和维护程序和用户的规则，将其分离到一个计算能力强的服务器上，提高速度。DAA从数据库中取出数据，生成arff文件格式（一种数据挖掘分析格式），实现为ARFFGenerator类。部分代码如下：模型的产生是在Xelopes数据挖掘平台下实现的，先读入arff文件作为数据源，然后配置相关元数据属性，再使用DecisionTreeAlgorithm算法产生模型。部分代码如下：

1.3.5检测DADA为检测，它接收DAA产生的规则，并使用该规则检测信息。DA使用检测技术分别处理各自日志信息，给出统计分析报告。也就是说，采用分布式检测管理策略，DA的检测负担大大减少，可以分布到多台机器完成，具体实践上DA也可以考虑用CA来完成，在CA中整合DA完成的功能。另外，学习的同时，DA能够比较新的记录条目与攻击特征，并检查不应该改变的系统文件的校验和分析系统是否被侵入或者被攻击。如果发现与攻击模式匹配，IDS系统通过向管理员报警和其他呼叫行为来响应。其主要目的是在事件发生后提供足够的分析来阻止进一步的攻击。

1.3.6监控WAWA为用户接口，主要用来图形化显示日志信息，并且负责实现用户和各之间的沟通，用户可以通过WA向其他发命令，控制CA、DIA、DAA、DA。实现的自动升级，打开或关闭，让CA做一些预定义好的简单事件，例如在宿主机器上报警，也可以控制检测器的检测范围等；在控制DAA时，可以调整挖掘学习的参数，优化生成的模型和规则。我们开发的WA具有生成主机日志拓扑图能力（如图4），动态拓扑图描述了有关主机和用户之间的交互情况，图中心为“网络”节点，以它为中心周围有正活动的主机，主机周围是主机上正在活动的用户，每个用户都有很多操作在进行。例如，如图中有一台主机WML200，在这台机器上有两个用户（SYSTEM、Administrator）在活动，其中SYSTEM用户进行了四项操作（登录和注销、账户登录、对象访问、详细追踪）。

1.4数据源通用类数据源通用类实现成可以装载各种不同格式的日志，其中系统级日志例如syslog、NTeventlog等，还有应用级日志，使得把不同日志格式统一成为可能，并且可扩展性也好。数据源通用类将数据整合，如表1所示。数据源通用类以日志数据为输入，提供通用接口协议，只要收集遵守这个协议组织数据，通用接口都可以识别为有用信息。但是大部分厂商的操作系统日志记录功能非常不规范，还没有形成一套比较完整的日志记录标准解决方案，因此，要建立日志标准，这个日志标准要综合各类日志具体情况而定。目前建立数据源通用类LogModel定义包括三类日志的公共信息，Windows日志、Linux日志、应用程序日志分别从该类继承，如图5所示。

1.5数据挖掘技术从上面可以看出，通过收集收集来的审计日志信息会非常庞大，把数据挖掘技术引入到入侵检测当中就是为了解决这个问题。数据挖掘方法有多种，其中可用于对日志信息进行挖掘，比较典型的有关联分析（Association）、序列模式分析(Sequentialpattern)、分类分析(Classifier)、聚类分析(Clustering)等。关联规则挖掘的目标是从数据库表中得出属性(features或attributes)之间的关联关系。关联规则形式如下X->Y[c,s]，这里X∩Y=Ф,s=support(XUY)是支持度(表中同时包含X和Y的记录所占的百分数)。c是该规则的置信度，定义为s(XUY)/s(X)。序列模式分析和关联分析相似，序列分析的目标是在事务数据库中发掘出序列模式(largesequences)，即满足用户指定的最小支持度要求的大序列，并且该序列模式必须是最高序列（maximalsequence）。序列规则形式如下：X,Y->Z[c,s,w]，X,Y和Z是项集，s=support(XUYUZ)是规则支持度，c=support(XUYUZ)/support(XUY)是置信度，w为时间长度。分类分析是通过分析示例数据库中的数据为每个类别做出准确的描述建立分析模型，挖掘出分类规则能够把数据集中的数据映射到某个给定的类上。与分类分析不同，聚类分析输入的是一组未分类的数据，并且这些数据的分类情况事先未知，通过聚类分析后把数据划分到不同的组中组之间的差别尽可能大而组内的差别尽可能小。令S为由d维度量空间的点代表的n个数据对象的集合，将S分成k个子集的一个划分称为K－聚类，其中每个Ci称为一个簇，两个数据对象之间的距离通过一定的度量方法来确定，度量函数的选取与具体的应用息息相关，最广泛使用的是欧几里得距离。我们的Linux收集的日志为系统调用，针对系统调用的数据挖掘一般有两种：系统调用的关联分析和系统调用的序列分析。对于系统调用的关联分析，从关联分析的角度看，与系统调用相关的各个变量具有很强的相关性，如果将一次系统调用表示为（进程号、系统调用号、用户、访问对象访问权限），不难发现，这五个变量都具有很强的关联关系，特别适合利用数据挖掘算法进行分析。

2结束语

在本文中，本文将主要从入侵检测安全角度上分析目前电子商务安全体系结构，从网络情况、安全威胁对象、事故评估和追究事后责任、攻击预测与事前警告等各个层次分析得出结论，在目前电子商务领域里，基于主机的入侵检测具有广阔的发展空间，基于网络的入侵检测并不能发挥较大作用。根据上述分析和结论，本文提出了符合电子商务要求的基于数据挖掘的集中式入侵检测模型。本文设计的模型主要三部分：数据源通用类、多、数据挖掘。从整体上看是分布式的。在未来的工作中，计划继续完善和细化模型，进一步对模型进行优化。

作者：甘雨单位：上海房盟信息技术有限公司