谈入侵检测系统数据挖掘技术应用范文

摘要：入侵检测是网络安全管理中的一项安全措施，可以有效发现和弥补网络安全漏洞和缺陷。但是随着网络流量的增加以及网络攻击形式的多样化发展，入侵检测系统的技术也不断完善，当前数据挖掘技术成为入侵检测系统的重要技术形式。笔者主要对入侵检测系统技术形式、数据挖掘技术的具体应用方式等进行具体分析和讨论，希望能够促进网络安全管理工作的进一步开展与优化。

关键词：数据挖掘技术；入侵检测系统；网络安全管理

引言

信息时代下，计算机技术应用越来越广泛，计算机技术水平不断提升，同时计算机犯罪数量也不断上升，特别是随着网络的普及，网络入侵问题不断发生。为了保护计算机网络免于非法入侵，同时防止重要情报和资料被盗窃或者网络瘫痪，导致严重的经济损失，危及国家和社会安全，必须要完善入侵检测系统，采取有效的防范措施，提升入侵检测技术水平。

1入侵检测技术的定义及具体技术

1.1入侵检测技术

对于计算机入侵来说，无论入侵是否成功，所有越权或者非授权情况对计算机系统资源的可靠性、完整性造成破坏的行为都称为网络入侵。而对这些入侵行为的识别即入侵检测，完成入侵检测任务的软硬件系统称为入侵检测系统[1]。

1.2入侵检测系统常用检测技术

1.2.1滥用检测技术滥用检测技术是指针对特征情况的检测，根据当前的入侵和攻击特点建立入侵特征库，通过特征库对出现的攻击和入侵情况进行匹配，如果发现入侵行为与入侵特征库中的某种特征相同，则说明这是一种入侵行为。这种入侵识别的准确性高，报错率低，但是由于网络攻击行为比较多，会导致入侵特征库不断扩充增大，而且这种检测技术只能检测已经发生过的入侵行为。

1.2.2异常检测技术异常检测技术是以行为为基础的检测技术，该技术的应用同样需要建立一个特征库，根据系统的使用资源和行为等情况判断入侵行为。异常检测需要以统计方法为主，通过用户的活动轮廓以及系统的运行等对入侵活动进行探索。活动轮廓是一种由统计参数组成的模块，包括内存利用率、CPU、出错率、IP地址、网络连接源IP等。活动轮廓优势在于其自身与入侵检测系统无关，具有非常强的通用性，可以对一些没有出现过的入侵情况进行检测。但是各个用户行为会经常发生变化，活动轮廓无法实现对系统用户的全面描述，而且也存在其他的缺陷，比如检错率比较高。其次因需要不停更新统计简表，如果入侵者发现检测器处于被监视的状态，会有目的、有计划地对检测系统进行训练，逐渐使系统将入侵行为默认为是正常行为。入侵检测系统的研究主力在美国，当前已经开始得到广泛的应用，我国在入侵检测系统方面的研究相对较晚，与美国相比存在较大的差距。当前我国入侵检测系统主要有3个指标，分别为精确度、可扩展性以及可用性。数据挖掘技术以及神经网络开始逐渐应用到入侵检测工作中，能够针对入侵行为做出准确的判断。美国专业研究人员将数据挖掘框架应用到入侵检测模型以及特征的方案监测中，并获得相应的实验结果和数据，通过理论和实验研究确定数据挖掘技术应用的可行性。他们发现数据挖掘技术能够应用于滥用和异常检测中，可有效提升检测的准确性。

2数据挖掘方法

通过对数据挖掘方法在不同领域的应用，以及数据目标和类型等的不同，可以总结出多种数据挖掘方法。

2.1分析数据挖掘方法

数据挖掘技术中的分析方法包括回归分析、多元分析、描述统计以及概率论等。

2.2决策树数据挖掘方法

决策树数据挖掘检测方式是指通过树枝的形式对数据以及其中的变量情况进行分析和预测，并建立相应的预测模型，结合目标变量效应等制定相应的规则，以信息论为基础，进行数据分析的方式。

2.3相关规则数据挖掘方法

相关规则数据挖掘方式是一种关联性比较强的，简单实用的分析规则，描述的是事务中部分属性同时呈现出来的模式和规律，其主要采用“如果-则”逻辑规则，实现对资料技术的细化形式。

3入侵检测系统中数据挖掘技术的应用

数据挖掘技术通过在大量数据中挖掘有效的知识内容，将其应用于入侵检测系统，通过大量数据的审计，生成一个精确的监测模型，可有效降低人为干扰性；而且挖掘过程本身存在通用性以及机械性，这使数据挖掘技术能够在多种计算环境中应用，使入侵检测系统应用更合理。而且数据挖掘技术有利于降低空间损耗的，提升系统数据挖掘效率。

3.1数据挖掘体系结构

在入侵检测系统中应用数据挖掘技术，主要优势是大数据可以从海量的网络数据中挖掘出精确、简洁的入侵行为。为了使入侵规则更合理，系统必须从4个阶段对入侵规则进行挖掘，包括数据预处理、数据挖掘审计、数据特点分析以及数据分类。在数据挖掘体系结构设计中，首先是数据仓库的设计，数据仓库中的数据主要为安全服务器中的所有数据以及通过体征提取获得的特征。其次是数据挖掘，通过关联规则、分类以及序列模式等对数据进行挖掘，以及对特征提取获得的特征进行分析，了解这些特征间的关系，包括时间和空间关系。挖掘审计数据算法有以下几种形式。分类算法，这种算法通过对一个数据项的映射到预定义分类中，通过分类器输出，解决规则或者决策树的形式。入侵检测技术主要对审计数据中正常数据以及异常数据向用户以及程序送交，再通过分类算法对分类器进行学习，对这些正常以及异常的审计数据进行预测和标记，但是必须要注意规则学习器相关问题[2]。关联性分析算法，以正常或异常使用轮廓为基础，通过对数据库记录间相关性的计算，制定相应的关联规则。序列分析算法，通过对序列模型的构建，对审计事件中同一时间出现的序列进行分析，通过这些经常事件模式的分析，促进入侵检测模型中时间统计方法的应用。通过这种行为模式的分析，有利于检测一段时间内各个主机和服务项目。这3种算法可以形成一个框架，这个框架可以由以下程序和规则组成：学习分类器、后分类程序，关联性分析的关联规则，序列分析经常事件，交互性多次构建、评估模型环境。其主要目标是保证入侵检测的直观性、规则性，针对一些特殊情况还须专家的直接编辑和监控。再次是规则库。系统挖掘的正常以及攻击模式都可以存放在入侵知识库中，将知识库中存在的已知模式与数据挖掘提取的数据包对比，以确定这个数据包是未知模式还是正常模式。然后是相应单元。在数据挖掘体系对监测结果响应的过程中，正常数据传输也需要继续监听，直到确定下一个数据包的安全性。如果检测确定为已知恶意攻击模式，针对入侵位置需要及时采取有效的预防对策。如果检测结果为未知模式，需要将异常行为直接交由管理员，由管理员判断该行为是正常行为还是入侵进行。最后是管理控制。如果在系统中检测到的数据包为未知模式，需要结合已知模式以及专家知识信息进行人工判断。若人工判断其为正常模式，需要对这个数据包与一般正常模式进行对比，必要的情况下将这个数据包模式加入规则库中，或者对规则库中与这个数据包相似的模式进行更新。但是如果人工判断认为这个数据包为异常模式，需要及时采取有效的预防措施，并对这个数据包的异常情况和特点进行分析，提取数据包异常位置和特点，并结合这个数据包的特点创建异常模式，同时将这个异常模式信息输入数据库。

3.2Sendmail数据分类

通过入侵检测系统的数据的标记可以看成一个分类问题。将审计后的数据分为特殊攻击以及正常模式，然后根据分类结果得到一个记录集，将数据分类标记。同时通过分类算法计算具体模型，并将表现出来的明显特征作为一个概念。利用sendmail程序轨迹集，采取分类器进行学习和预测。在学习分类方面，为了区分异常、正常系统模型，必须要建设训练数据集，对正常以及异常的序列情况进行区分。

3.3数据挖掘研究展望

当前，数据挖掘法在入侵检测系统中得到了广泛的应用，通过数据挖掘技术的应用，可有效减少人工操作以及经验操作的失误问题，改善原有入侵检测系统的弊端；通过数据挖掘中的序列模式、关联规则以及分类等计算方式进行入侵检测：误用检测不需要对手工编码以及漏洞进行分析，可以通过自动选择的方式进行异常检测，及时发现新的攻击形式，开拓入侵检测思路。检测方式不仅可以用于主机异常、网络误用等方面的检测，还能够用于网络异常、主机误用等方面的检测。由此可见，序列模式挖掘方式在入侵检测系统中的应用性非常强。相对于模型匹配入侵监测方式来说，数据挖掘法中序列模式优势更突出，因为攻击者的攻击与时间有关，部分攻击特点不能在单一报文中体现，必须对单位时间内报文内容和数量进行考察。同时序列模式算法的挖掘方法与时间具有一定的联系性，可以通过这些数据信息建立分类模型[3]。

4结语

数据挖掘技术在入侵检测系统中的应用越来越广泛，通过数据挖掘技术的应用有利于降低训练数据集的难度，可以通过特征抽取的方式对入侵数据包进行主动防御，提升入侵检测系统的防御效率。但是由于流量数据、审计数据以及入侵检测都存在一定的不确定因素，需要针对不确定性进行描述。本文以攻击度为划分标准，并指出划分理由，不仅有利于描述检测中不确定性的划分，还有利于对入侵检测系统的比较和整合。但是当前我国数据挖掘技术的具体应用还不够成熟，在网络流量序列表示中过于模糊，时序挖掘技术障碍多以及系统伸缩性差等都导致数据挖掘技术存在很多漏洞，在以后的研究中还需要结合数据挖掘技术的特点和不足，加强完善数据挖掘技术，提升入侵检测系统的防御性，保证网络信息安全，使数据挖掘技术应用更广泛。

参考文献

[1]林国庆.数据挖掘算法在入侵检测系统中的应用研究[J].电脑知识与技术,2017,13(8):49-51,58.

[2]王有金.数据挖掘在入侵检测系统中的应用研究[D].长春:吉林大学,2017:24-26.

[3]蓝永发.数据挖掘技术在网络入侵检测中的应用[J].网络安全技术与应用,2017(3):95-96.

作者：罗曦 单位：闽江学院