基于聚類算法的數據庫訪問日記入侵檢測

邵 磊 陳志德

(福建師范大學福建省網絡安全與密碼技術重點實驗室，福建 福州 350007)

1.引言

當前，信息已成為社會發展的重要戰略資源，國際上圍繞信息的獲取、使用和控制的斗爭愈演愈烈，信息安全成為保障經濟健康發展、維護國家安全和社會穩定的一個焦點。計算機安全主要包括操作系統安全、數據庫安全和網絡安全3部分[1]。目前人們把信息安全的重點放在網絡安全上，對操作系統和數據庫安全的研究遠不如對網絡安全的研究。而實際上在信息系統的整體安全中，數據庫往往成為攻擊者最感興趣的目標。在數據庫受到攻擊的可能性、空間和時間都大大增加的情況下，傳統的以身份認證和存取控制為重點的數據庫安全機制越來越無法滿足安全需要。對數據本身的完整性和可利用性較少涉及。而對于數據庫安全來說，數據的完整性、可利用性和保密性都具有同等重要地位。

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(Intrusion Detection System，簡稱IDS)。它是檢驗數據庫安全的一種很常見很有效的技術。入侵檢測系統是實現入侵檢測功能的一系列的軟件、硬件的結合。作為一種安全工作，它用來分析反應異常行為模式的信息，對檢測的行為作出自動的反應，并報告檢測過程的結果。作為現代安全防御體系的一個重要組成部分。它的作用在很大程度上影響整個安全策略的成敗。入侵檢測系統最早出現在1980年4月，在1998年末，1999年初麻省理工學院的林肯實驗室在DARPA的資助下進行了對比評價開發的入侵檢測系統[5]。將入侵檢測系統應用在數據庫中，已經有一些科學家投入到這方面的研究中。2002年，Sin Yeung Lee等提出了一種建筑學的框架DIDAFIT，即通過指紋識別處理的數據庫入侵檢測模型[6]。

已經有一些研究人員提出了一些數據庫中的入侵檢測系統模型，它可以按照自己所設定的規則，檢測數據的行為，來判斷數據是正常數據還是異常數據[2，3]。但是，這種技術目前也存在一些缺陷，由于數據庫的大數據特性，往往數據量都是很大，所以如果只是將數據一項一項地按照入侵檢測系統模型來檢測的話，無疑這需要很多的時間。針對這點，本文提出了一種入侵檢測系統模型，可以更加高效地來檢測數據庫的安全性。

在這篇文章里，我們將分簇算法與入侵檢測技術相結合應用在數據庫訪問日記的安全檢測上。首先，我們將數據庫訪問日記中的數據標準化。這樣我們可以得到一些關于數據的數據集。然后，通過我們的分簇算法將數據進行分類。通過聚類分析可以識別密集和稀疏的區域，發現全局的分布模式，以及數據屬性之間的相互關系等。我們通過聚類的思想數據庫中的數據分成K個聚簇。首先我們要對系統進行一些假設。假設一，正常數據的數目要遠遠大于異常數據的數目。假設二，異常數據和正常數據的特征差異很大。在這兩個假設的基礎上，我們將聚類應用在入侵檢測系統的基本思想就是，異常是和正常數據不同的并且數目相對很少，因此他們在能夠檢測到的數據中表現出比較特殊的特性。這樣，我們就可以通過分簇的方法分別找出正常數據和異常數據的簇群。

2.數據庫入侵檢測系統模型

我們所提出的系統主要由三部分構成，第一部分是提取數據階段。這階段我們將數據庫訪問日記中的數據標準化，并將這些數據提取到一個虛擬的區域中進行下一階段的工作。第二部分是數據分類階段，也就是前面所提到的數據分簇。這一部分是我們這篇文章的主要工作。這里，我們提出了一種基于屬性與關系的分簇方法，可以將數據庫訪問日記中的所有數據分成K個簇群，每個簇群內的數據都是屬性相接近的。這樣，我們就可以分別得到正常數據和異常數據的簇群。第三部分是入侵檢測部分。在第二部分我們可以得到K個簇群，由于每個簇群之間數據類別的統一性，我們只需要鑒定其中的任一數據，看其是否符合檢測模型，我們就可以判斷這個簇群內的數據是正常數據還是異常數據。針對個別由于誤差導致的錯誤和一些偽裝性很高的異常數據，我們需要多檢測每個簇內的數據。這樣可以彌補一些數據檢測的遺漏。為了更好地去理解我們的系統，圖1可以形象地說明我們系統的整個流程。

圖1 數據庫訪問日記入侵檢測系統體系結構圖

3.訪問日記入侵檢測聚類算法

輸入：經過數據標準化的數據集Dataset，關系矩陣Wij。

輸入參數：可調參數α。

輸出：k個聚類。包括異常數據簇和正常數據簇。

(1)Di{i=1，2……n}表示數據庫里的n個數據，計算所有數據的空間密度di，di越小，說明該點位于高密度區域。

(2)選取M個高密度區域的節點，表示為Ai{i=1，2……M}。

(3)選取A1作為第一個聚類中心，分別計算Ai與A1的歐氏距離dist(Ai，A1)，選取距離最遠的作為A2。

(4)重復步驟(3)計算 dist(Ai，A2)，選取距離最遠的作為A3。

(5)反復重復步驟(3)，確定K個聚類中心，記為Ai{i=1，2……K}。

本文關于共享領域的安全頭盔的CMF的研究分析主要體現在材料、工藝和顏色帶來的美觀性、安全性、可用性上。

(6)使Ci與Ai一一對應，作為K個聚類的中心點，i代表聚類的編號。通過公式（3.2）計算每個聚類的密度d(Ci)。

(7)添加一個節點v到Ci，通過公式(3.3)計算它的貢獻值 c(v，Ci)，如果 c(v，C)>α*d(c)，則把這個節點歸類到集合Ci中。否則，將數據歸入到一個新的集合B。

(8)返回(6)，直到B中的節點數目小于節點總數目D的5%，算法結束。

在我們的算法中，我們的方法存在一個難題，那就是如何去量化數據間的聯系，數據中有著大量的標量，我們認為可以通過很多方法去定義數據間的聯系，比如數據的大小、類型等等[6]。如果能夠找到一個好的數據標準化的方法，那會讓我們的方法更加有效率，也更加有說服力。這里，我們提出一種數據標準化的方法。

我們假設在數據庫的訪問日記中，數據之間存在著一種關系，我們把這種關系以數據之間的邊來定義。這樣，我們引入一個概念權重w(e)，權重表示的是數據之間關系的一個緊密度。打個比方，如果兩個數據間通過一條邊連接，權重w即為1，如果兩個數據間通過兩條邊連接，權重即為2。那么，如何去判定數據之間是否存在邊呢？我們假設每個數據在庫中都有一個明確的位置，用坐標軸(x，y)表示。我們計算數據與數據間的歐氏距離，然后我們給定一個關系閾值h，假如數據A1和數據A2的歐氏距離dist(A1，A2)＜h，則判定兩數據間存在著關系，即存在一條邊E。這樣的話，所有的初始數據處理完之后，我們可以得到一個數據集Dataset，它包含著數據以及數據的位置關系，還可以得到一個關系矩陣Wij。

得到了標準化的數據以后，我們考慮將數據進行分類。在數據挖掘技術中，最常用的算法有K-means等等。但是它也存在著一些不足之處。(1)K-means算法中需要先將聚類個數k確定下來。對于一組未知的數據，如果要事先確定分為幾組，的確是一件比較困難的事，而我們往往是根據大量的實驗來給定k的值，而這樣會導致檢測的結果不太準確。(2)K-means算法里，初始聚類中心的選擇是很重要的。如果選擇不同的初始聚類中心，可能會導致聚類的結果有很大的不同，傳統的算法中，初始聚類中心是隨機選擇的，可能會導致檢測結果不盡人意[4]。所以我們基于K-means算法做了一些改進?？梢酝ㄟ^改進初始聚類中心使得算法更加有效率。

在數據空間里，低密度的空間對象區域分割高密度的空間對象區域，把處于低密度區域的數據點叫做噪聲。我們取相互之間的距離最遠的k個點作為初始的聚類中心，這k個點都要位于高密度，這樣可以防止將噪聲點取到。

首先我們要定義空間密度參數的概念，是用來求得數據Di的空間密度，判斷它是在高密度區域還是在低密度區域。將數據Di作為中心，密度參數定義為包含常數M個對象的半徑。用di表示，計算出來的di值越大，說明該數據點位于低密度區域中。計算出來的di值越小，說明該數據點位于高密度區域中。為了得到k個初始聚類中心，具體的聚類方法在算法中的前五個步驟已詳細描述。

這里，我們還需要定義一些公式，它們會在算法中用到。首先，我們介紹一下歐氏距離的計算方法，如公式(3.1)。

公式里，A1和A2代表著兩個數據，x和y分別代表它們位置的橫坐標和縱坐標。

通過公式3.2可以計算出這個簇群的密度d(c)，其中|V(C)|是這個簇群的尺寸，這里我們可以通過計算發現，如果w(e)為1的話，那么這個簇群的密度d(c)就為1。接下來我們對k-means算法進行改進來確定一個節點是否屬于這個聚類中心的簇群中。這里我們是通過計算這個數據對整個簇群的貢獻值c(v，C)來確定的，計算公式通過公式3.3計算。

如果c(v，C)>α*d(c)，那么我們就說這個節點是屬于這個簇群的。這里的α是一個可調參數。

我們的算法共有8個步驟，數據的輸入部分Dataset和Wij是通過前面所提到的數據標準化過程得到的。首先通過對數據空間密度的計算，得到我們所需要的K個初始聚類中心。然后我們分別來確認每個節點是否屬于這個聚類，直到算法結束。通過上面的算法，我們可以將數據分成K個聚類，由于同一聚類中數據特征的相似性。不管是正常數據還是異常數據，他們都應該在同一聚類中。

最后是我們模型的第三部分，也就是入侵檢測部分。入侵檢測引擎將收集到的信息加以分析，判斷網絡中是否有違反安全策略的行為和遭到攻擊的跡象，若找到入侵痕跡，認為與正常行為相符合的行為是正常行為，與攻擊行為相符合的是入侵行為，二者都不符合的，則認為是異常數據，將其加入到數據倉庫中作進一步分析。經過我們前面所做的分簇聚類工作，我們將數據庫訪問日記中的數據已經分為幾個聚類。如圖2，是我們的入侵檢測系統模塊圖。在數據經過模型第一部分和第二部分的處理后，我們就可以用檢測引擎通過交換機從訪問日記服務器中提取到數據并檢測。我們只需檢測每個聚類中的少數個體數據，就可以確定整個聚類的屬性。鑒于少數被遺漏的數據，我們在系統的第三部分，也就是入侵檢測部分。我們針對每一組聚類，提取10個數據進行檢驗。我們假設如果它們全部都符合檢測模型，那么這個簇里的數據全都是正常數據。如果它們全部都不符合檢測模型，那么這個簇里的數據全都是異常數據。如果符合于不符合的數據都存在，那么說明這組聚類是不完備的。那么，我們先將這組數據放入空白區域，待所有的分簇都判定完成以后，我們再重新通過算法來分類。

圖2 數據庫訪問日記檢測系統模塊圖

4.結語

數據庫系統的安全特性主要是針對數據而言的，包括數據獨立性、數據安全性、數據完整性、并發控制、故障恢復等幾個方面。入侵檢測技術是計算機安全領域的一項重要技術，目前也有很多研究人員將它應用在數據庫系統中。但是它存在著一些不足。本文將聚類的思想與入侵檢測技術相結合應用在數據庫的數據檢測上。首先我們要將數據庫訪問日記中的數據標準化，然后我們通過聚類算法將數據分類。最后再通過入侵檢測引擎對數據進行檢測。這樣，可以高效地將數據庫分塊并找到數據庫中的異常數據。

[1]宋紅.計算機安全技術[M].中國鐵道工業出版社，2005.

[2]盧碩珽.數據庫入侵檢測系統的設計與分析[D].中山大學，2010.

[3]張洪斌，李娜.多信息源數據庫入侵檢測系統[J].電子商務，2011年(11期).

[4]史習云.改進的k-means聚類算法在圖像檢索中的應用研究[D].江蘇大學，2010：37-38.

[5]M cHugh J.Testing intrusion detection systems：a critique of the 1998 and 1999 DARPA intrusion detection system evaluations as performed by Lincoln Laboratory[J].ACM transactionson Information and system Security，2000，3(4)：262-294.

[6]Lee S，Low W，Wong P.Learning fingerprints for a database intrusion detection system[J].Computer Security— ESOR ICS 2002，2002：264-279.