入侵检测系统中数据挖掘技术的应用分析
摘 要:随着经济的发展和电子计算机应用的普及,电子商务迅速崛起。越来越多的商业及关键业务都在网上展开,由于互联网具有互动、开放、共享等特点,在日常的运转中,难免会遇到各种各样的网络入侵,危害整个网络系统的安全。因此,一种能及时检测出网络中未授权及异常行为的技术应运而生,为了更好的保护网络系统的安全,入侵检测系统中需要新技术来更好的保护网络系统中数据的安全。在入侵检测系统中应用数据挖掘技术,能够更好的辅助用户进行数据分析并提高检测系统的实时性与准确性。
关键词:入侵检测系统; 数据挖掘技术;应用
在入侵检测系统中应用数据挖掘技术,越来越多的得到了大家的关注,成为近些年发展起来的热点问题。数据挖掘技术应用在入侵检测系统中,可以实现对入侵行为的主动监测,一定程度上降低获取训练数据的难度,并通过特征来抽取数据,突破传统入侵检测系统的不足,以此来实现主动防御提高入侵检测系统的效果。本文通过对入侵检测及入侵检测系统、数据挖掘技术来分析入侵检测系统中数据挖掘技术的应用。并且针对目前入侵检测系统中存在的各种问题,提出运用数据挖掘技术的思路及方法,通过建立基于数据挖掘技术的入侵检测系统模型,更好的提高入侵检测系统的实时性与准确性。
1.入侵检测及入侵检测系统
入侵检测是指发觉网络系统中的恶意入侵行为。尤其是威胁网络系统机密,攻击完整性及可确认性的行为。经过入侵检测,能够审查网络系统活动中是否存在破坏性的活动。而入侵检测中软件与硬件进行组合,便形成入侵检测系统,检称IDS。入侵检测从检测策略上可分为误用检测与异常检测两种。
其中,误用检测是通过描述已知系统的漏洞及攻击模式的特征,进行入侵活动的检测。异常检测先假定入侵的行为不同于为网络系统及用户所建立的正常的行为模型,因此只要偏离了正常的行为模型就被认定为入侵行为,并向系统发出警报。误用检测一般用于规则的专业系统、状态转移的分析与遗传算法;异常检测则利用神经网络、统计分析及数据挖掘技术等。
2.数据挖掘技术
近年来数据挖掘技术得到了人们的大力关注并迅速发展起来。数据挖掘,顾名思义,就是从海量的数据系统中收集出具有潜在价值的模型和规则的一个过程。通过运用不同的分析工具来发现模型及数据间的关系,并且通过关系来进行预测。数据挖掘主要通过描述、关联、分类及预测等发挥其功能。通过描述与预测挖掘任务中的数据库中的特性找出挖掘任务中的指定数据,帮助人们能够更全面深入的分析数据。
从功能上,我们可以把数据挖掘技术的分析方法进行划分:第一,关联分析,通过关联分析能够把数据间潜藏的关系挖掘出来。在关联分析过程中,给定出一个组及一个记录的集合。并分析该记录的集合,探讨出组与记录集合的相关性。因此,通过相关性来研究入侵网络安全系统中的各种入侵行为。第二,序列模式分析。序列模式分析和关联分析比较相似,也是通过对数据间联系的挖掘来研究入侵行为,不同之处是序列模式分析比较侧重数据间前后关系的分析。因为在黑客入侵的行为中都存在有时间先后的关系,通过各种行为的先后顺序来研究入侵行为。比如,黑客进行入侵行为前,一般会对网络系统的端口采取扫描。第三,
分类分析,通过假定组与组之间具有的不同特征即标记来进行分析与判断。先赋予集合及组不同的标记,并进行记录,通过检测不同组的标记来分析是否出现了异常现象。
3.数据挖掘技术分析数据的过程
在入侵系统中应用数据挖掘技术,主要通过以下五个步骤对数据进行分析:
首先, 数据的准备过程,在入侵检测系统中,提取并收集相关的数据,从具体的操作环境中解决语义二义等问题。
其次,要消除各种脏数据,并且要选择和预分析数据,对以往用户所使用的历史行为及当前操作等数据进行收集并删除其中的无用信息和数据,以便今后更好的用于数据挖掘技术中。
第三,在数据挖掘阶段中,综合利用. 在这个阶段里, 综合利用关联分析,序列模式分析、分类分析、聚类分析等数据挖掘分析方法对数据进行预处理,提取所需的数据特征及规则。
第四,表达阶段,通过利用数据挖掘技术分析方法之后所获得的数据的特征及规则反应给系统,以便于在进行入侵检测系统过程中可以更好的定义出适合用户的异常模式及正常模式。由于通过数据挖掘技术, 发现相关的数据特征及规则才能根据这些特征及规则进行准确的定义,并储存于相关的知识库中。当前用户所使用的行为数据也可以通过数据挖掘技术与储存于知识库中的模式进行匹配和检测。
第五,评价阶段,通过 四个步骤,对应用数据挖掘技术后所获取的网络安全异常模式及正常模式分别进行实践与评价, 如果可以有效地检测出网络入侵侵行为,则说明数据挖掘技术成功, 否则应重复以上过程测出满意的结果。
4.入侵检测系统中的数据挖掘技术
通过对于入侵检测系统、数据挖掘技术及其分析数据过程的分析,我们可以进一步探索在入侵检测系统中如何应用数据挖掘技术。即在入侵系统中,通过数据挖掘技术来发现数据库中的知识。并从数据中提取有用、高效、可信的处理信息,且能够被用户更容易的理解与运用。
在分析入侵检测系统中我们可以发现,网络传输中的数据量非常的大,即使小型网站也可以传播和接收大量的数据,但是在网络比较忙碌或者出现超负荷的数据传输过程中,有些数据报文则可能被丢失而导致数据传输的不完整。在不稳定的网络状况下极易发现数据报文信息的改变及数据噪声。因此,在入侵检测系统中的数据符合数据挖掘技术对数据进行处理的特征及要求。
数据又称知识,是网络传输及处理的原始信息,原始或者数据一般是结构化、半结构化或者无结构化的。发现数据或知识的方法即可以是数学或非数学的,也可以是通过演绎或者归纳等方法。并且提供给系统及用户优化查询、管理信息、过程控制及智能决策等功能。由于,在入侵检测系统中数据挖掘技术需要处理的数据主要是大量、不完整、有噪声,比较模糊、随机性大的应用数据,所以数据挖掘一般从低层次开始进行简单的基础查询,然后在数据中挖掘出知识,为决策提供各类支持,这其中的知识主要指有关的概念规则及模式、规律、约束等。
通过数据挖掘技术来进行关联分析、聚类分析及偏差分析,使数据能够扩展到更加广
泛的应用中去。
首先,由于在互联网中,网络访问比较密集,具有不确定性,因为很难完全的认定某入侵行为是否具有攻击性,另外也很难标示出其攻击的程度。通常的状况下,我们发现互联网中大多数的网络行为既能够表现出正常模型的行为,也能够体现出入侵性的特征。在这种模棱两可的现象分析中,往往容易出现漏报或者误报,因此,为了缓解这种问题的发生,就可以运用数据挖掘技术。通过数据挖掘技术对一般性的互联网中的网络访问行为进行分析,判断孤立点是否具有入侵性的行为特征,还降低数据训练集的获取难度。
其次,通过数据挖掘技术有效抽取数据特征。不管我们运用哪种入侵检测系统模型,误用检测模型或者异常检测模型, 都需要一定的标识数据来作为系统的训练集。并且确保入侵检测系统中的训练集的准确性。这对于入侵检测系统来说,意义及影响重大。而通常在入侵检测系统的构建时,必须选用一定的数据来表达互联网及网络系统活动。这些数据的特征需要从数据的审计中进行抽取,并进行相关的运用。通过数据挖掘技术中聚类、分类及特征概括等技术,可以有效的进行数据特征的抽取。
第三,通过数据挖掘技术主动对网络访问行为进行预测。因为在入侵检测系统中处理安全侵害行为比较被动,在安全行为领域中进行信息系统的监测,当发现恶意行为或者未授权的行为可能造成是安全侵害时才发出警报。我们在此系统中采用数据挖掘技术,在网络传输数据流量及报文的过程中,分析各种数据及特征,主动地预测互联网中的网络访问行为。这样,进一步减少了数据匹配的次数,可以做到对网络侵害行为的主动防御。
由此可见,在入侵检测系统中应用数据挖掘技术可以使入侵检测系统更加方便、更加及时、更加高效处理安全侵害行为;并且通过数据挖掘技术中的聚类、分类、特征概括及关联规则等技术的运用,提高入侵检测系统的检测性能,加快对不安全的访问行为的处理速度并降低对恶意网络行为的误报率,使入侵检测系统能够更好的辅助用户进行数据分析。
5.总结
本文通过对入侵检测及入侵检测系统、数据挖掘技术来分析入侵检测系统中数据挖掘技术的应用。针对经济的发展和电子计算机应用的普及的现状,入侵检测系统得到越来越广泛的应用。在入侵检测系统中应用数据挖掘技术可以实现对入侵行为的主动监测,一定程度上降低获取训练数据的难度,并通过特征来抽取数据,突破传统入侵检测系统的不足。
即使数据挖掘技术还存在挖掘时间比较长、实时反映能力比较差等问题,但是,通过数据挖掘技术可以有效的降低数据训练集的获取难度;抽取入侵检测系统中数据的特征;主动对网络访问行为进行预测。更好的提高入侵检测系统的实时性与准确性,更好的辅助用户进行数据分析。
参考文献:
[1]吴际,黄传河,王丽娜,吴小兵.基于数据挖掘的入侵检测系统研究[J]计算机工程与应用. 2003(04).
[2]崔立新,苑森淼,赵春喜.约束性相联规则发现方法及算法[J]计算机学报.2000(02).
[3] 毛国君. 数据挖掘的概念、系统结构和方法[J]计算机工程与设计.2002(08).
[4] 王丽苹,安娜,吴晓南,房鼎益.入侵检测系统中的行为模式挖掘[J]通信学报.2004 (07).
[5] 卢勇,曹阳,凌军,李莉. 基于数据挖掘的入侵检测系统框架[J]武汉大学学报(理学版). 2002(01).