基于數據挖掘技術的入侵檢測技術

王敏

【摘要】 入侵檢測系統作為一種能對網絡入侵行為實行主動防御措施，是防火墻技術的有力補充。不過現有的入侵檢測系統仍存在一定的缺陷，比如時效性等。因此本文就這一問題進行研究，提出了基于數據挖掘技術的入侵檢測系統。

【關鍵詞】 網絡安全 入侵檢測 數據挖掘

一、研究意義

伴隨著計算機網絡的飛速發展，新興業務也越來越多，如電子銀行、電子商務等，這就使得計算機網絡的安全問題顯得更為重要了。網絡環境也越來越復雜，面對這種日趨惡劣的網絡環境，入侵檢測系統由于缺乏行之有效的檢測技術和事件處理能力，因此很難適應，也就不能保證網絡信息安全。現今的入侵檢測功能僅僅可以把已經知道的種種入侵手段進行有效的檢測效果，面對未知的入侵行為常常是無效的，就算是正常的行為，有時也會產生高誤報率，這些都影響了整個系統的性能，因此如何有效地提高入侵檢測系統的實時有效檢測性，降低系統誤報率，提高系統安全性穩定性，就成了入侵防御重要的研究方向。

二、入侵檢測技術

所謂的入侵檢測系統是一個對于計算機安全系統的各種惡意攻擊行為時刻進行分析檢測和響應的系統。入侵檢測系統可以對于計算機系統遭受的入侵行為進行實時監測并作出相應地響應，它可以對于整個系統實行輪回不間斷監控，保證系統的時刻安全，即在用戶都沒有意識到系統遭到破壞的時候，就已經對入侵行為采取了措施，切斷入侵行為和系統間的數據交流。入侵檢測系統對于網絡中數據行為的檢測分析并不會影響數據在網絡中傳輸應用，其對于網絡入侵行為的自動響應功能給整個計算機安全系統帶來了完善的保證。全新的入侵檢測系統擁有智能的調節和學習功能，當檢測到網絡中的入侵行為后，它不僅可以切斷網絡中數據交流，而且還能根據入侵行為的特點，調整防火墻的防護策略，這就形成了一個智能的防護系統。入侵檢測技術的分類：基于主機的入侵檢測系統，基于網絡的入侵檢測系統，混合型入侵檢測系統。入侵檢測系統的優劣主要取決于入侵檢測技術的好壞，因此入侵技術的好壞直接關系到整個入侵檢測系統的檢測效率、誤報率及檢測效果等性能指標。入侵檢測技術主要分為以下三類：基于異常的檢測，基于誤用的檢測，基于完整性檢驗的檢測。

三、入侵檢測系統中有關數據挖掘技術的應用改進

數據挖掘的定義是從大量的無規律的、雜亂無章的數據信息中，分析其中的所有數據，找出數據間存在的規律，提取出用戶所需要的信息知識的過程，主要包括數據準備、規律尋找和規律表示。數據挖掘技術的方法分類有：關聯分析算法、分類分析算法、聚類分析算法、序列分析算法。

3.1關聯規則算法改進

3.2聚類算法改進

現將經過改進的K-均值算法描述如下：

輸入量：聚類半徑R、初始聚類個數M及存儲原始數據的數據庫；輸出量：k個聚類。

具體計算方法：1、確定M個聚類的聚類中心{R1，R2，…，Rm}，設定Rj=Xi，j∈{1，2，……m}，i∈{1，2，……n}；2、通過計算出另外記錄Xi（i∈{1，2，……n}）所能達到聚類中心的距離的最小值min；3、若min>w，則得出一個新聚類，以Xi視作新聚類的中心，接著退出此次聚類操作過程；4、否則Xi要分到最近的Rj所在的聚類；5、通過返回3最終到聚類中心值固定。

四、數據挖掘技術在入侵檢測系統中的應用

關聯分析數據挖掘算法對于網絡中各個接入其中的連接用戶的屬性間的關系進行分析，故可以將其用到分析發現入侵攻擊者各種入侵行為間的特征關系。運用特征模式提取，得到正常行為，以此來判別異常的入侵行為。先對大量的網絡原始數據行為進行收集，然后通過關聯分析和聚類分析兩種數據挖掘算法對原始數據行為集進行挖掘，搭建出正常行為庫，得出正常行為模式，然后直接利用剛得到的正常行為庫的數據對前面收集的數據進行過濾，得到相對純凈的數據行為庫，利用數據挖掘技術中的分類算法進一步區別正常行為和異常行為，生成誤用檢測規則，同時上面過程中形成的正常行為庫和入侵檢測特征模式等都需要不斷進行更新，以應對層出不窮的各種入侵行為。前期收集的網絡數據行為，被預處理成包含特定屬性的網絡數據，如協議類型、鏈接地址、物理地址及入侵端口等。然后才從其中根據數據挖掘算法得到正常的網絡行為，用于判斷網絡入侵行為。

五、結論

數據挖掘技術在入侵檢測系統中的應用，主要是為了從巨大的網絡原始的數據資源中尋找出存在安全隱患和安全威脅的信息，以及這些信息是以什么規則來入侵網絡系統。通過對關聯分析數據挖掘算法和聚類分析數據挖掘算法的改進，利用改進后的算法對用戶和系統的各種行為進行特征模式的提取，來判斷入侵行為，由此有效優化入侵檢測技術。