基于數(shù)據(jù)挖掘技術的入侵檢測系統(tǒng)解決方案

　　1引言

　　隨著計算機網(wǎng)絡不斷發(fā)展，各種問題也隨之產(chǎn)生，網(wǎng)絡安全問題尤為突出。傳統(tǒng)的入侵檢測技術包括濫用檢測和異常檢測。其中，濫用檢測是分析各種類型的攻擊手段，找出可能的“攻擊特征”集合，可有效檢測到已知攻擊，產(chǎn)生誤報較少，但只能檢測到已知的入侵類型，而對未知的入侵類型無能為力，需要不斷更新攻擊特征庫；而異常檢測的假設條件是通過觀察當前活動與系統(tǒng)歷史正?；顒忧闆r之間的差異可實現(xiàn)攻擊行為的檢測。其優(yōu)點是可檢測到未知攻擊，缺點是誤報和漏報較多。針對現(xiàn)有網(wǎng)絡入侵檢測系統(tǒng)的一些不足，將數(shù)據(jù)挖掘技術應用于網(wǎng)絡入侵檢測，以Snort入侵檢測系統(tǒng)模型為基礎，提出一種新的基于數(shù)據(jù)挖掘的網(wǎng)絡入侵檢測系統(tǒng)模型。

　　2數(shù)據(jù)挖掘在入侵檢測系統(tǒng)中的應用

　　數(shù)據(jù)挖掘技術在入侵檢測系統(tǒng)(IDS)中的應用，主要是通過挖掘審計數(shù)據(jù)以獲得行為模式，從中分離出入侵行為，有效實現(xiàn)入侵檢測規(guī)則。審計數(shù)據(jù)由經(jīng)預處理、帶有時間戳的審計記錄組成。每條審計記錄都包含一些屬性(也稱為特征)，例如，一個典型的審計日志文件包括源IP地址、目的IP地址、服務類型、連接狀態(tài)等屬性。挖掘審計數(shù)據(jù)是一項重要任務，直接影響入侵檢測的精確性和可用性，常用的挖掘方法有關聯(lián)性分析、分類、序列分析等。

　　(1)關聯(lián)性分析關聯(lián)分析就是要發(fā)現(xiàn)關聯(lián)規(guī)則，找出數(shù)據(jù)庫中滿足最小支持度與最小確信度約束的規(guī)則，即給定一組Item和一個記錄集合，通過分析記錄集合推導出Item間的相關性。一般用信任度(confidence)和支持度(support)描述關聯(lián)規(guī)則的屬性。關聯(lián)分析的目的是從已知的事務集W中產(chǎn)生數(shù)據(jù)集之間的關聯(lián)規(guī)則，即同一條審計記錄中不同字段之間存在的關系，同時保證規(guī)則的支持度和信任度大于用戶預先指定的最小支持度和最小信任度。

　　(2)分類映射一個數(shù)據(jù)項到其中一個預定義的分類集中，它輸出“分類器”，表現(xiàn)形式是決策樹或規(guī)則。在入侵檢測中一個典型的應用就是，收集足夠多的審計數(shù)據(jù)送交用戶或程序，然后應用分類算法去學習分類器，標記或預測新的正?；虍惓５牟豢梢妼徲嫈?shù)據(jù)。分類算法要解決的重點是規(guī)則學習問題。

　　(3)序列分析用于構建序列模式，以發(fā)現(xiàn)審計事件中經(jīng)常存在的時間序列。這些經(jīng)常發(fā)生的事件模式有助于將時間統(tǒng)計方法應用于入侵檢測模型。例如，如果審計數(shù)據(jù)中包含基于網(wǎng)絡的拒絕服務攻擊DOS(DenialofServiceAttack)行為．由此得到的模式就要對在這一時間段內工作的每個主機和每項服務進行檢測。

　　3基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)模型

　　針對現(xiàn)有入侵檢測系統(tǒng)挖掘速度慢和挖掘準確度不高的缺點，提出基于數(shù)據(jù)挖掘技術的入侵檢測系統(tǒng)模型．該模型的結構如圖1所示。