本站原创
摘要:文章分析了现代入侵检测技术存在的问题,提出了数据挖掘的解决方法。着重阐述了数据挖掘的含义、过程和优势,与传统入侵检测技术相比更能适用于各种复杂环境。
关键词:数据挖掘入侵检测模型网络安全
1007-9416(2012)09-0230-02
0、前言
网络应用的普及使得网络安全的重要性突显,面对严峻的网络安全形势,迫切需要可靠的网络安全保障技术。很多用于加强网络安全的手段,如加密、,防火墙、VPN等属于静态的技术,不能很好的实施有效的防护。而入侵检测技术作为一种动态的防护策略,对网络安全可有效实施监控、攻击与反攻击等动态保护,很大程度上弥补了传统静态策略的不足。但是,随着网络信息的丰富和带宽的不断扩大,要想从浩瀚的数据海洋中寻找有价值的信息是非常艰难的。本文研究了数据挖掘技术在入侵检测中的应用。
1、利用模式匹配的入侵检
基于数据检测手段可以将入侵检测系统分为两类。①异常检测:检测与可接受行为之间的偏差。异常检测有其天生无法避免的缺点,即并不是所有入侵都是异常行为,也不是所有异常行为都一定是入侵。该模型具有漏报率低、误报率高的特点。②误用检测:检测与已知不可接受行为之间的匹配程度。误用检测与异常检测相反,其具有漏报率高、误报率低的特点。即对已知攻击检测效果好,对未知攻击却检测效果不好,且必须经常更新特征库。
利用模式匹配的入侵检测技术的局限性很多,具体有:
(1)缺乏准确性:现有的有关规则的数据库、知识库和统计方法是怎么得来的?都是基于专家知识的手工编码得到的。误用检测手动编码规则和模式以及异常检测统计量的选择,在安全系统的设计,以及一些入侵检测方法上已被视为“经典”的专家知识。这些经验数据遇到日益复杂的网络环境,往往显得不完整和不准确,从而直接导致现有的入侵检测系统缺乏有效性和准确性。
(2)适应能力差:专家只能对已知的攻击行为和系统缺陷加以深度分析,它并不能检测未知攻击,因为这是需要时间“学习”的,所以检测新的攻击行为的结果是延迟很大。
(3)可扩展性不强:由于专家规则与统计量一般都要受到环境影响,与之对应的大多数现有的入侵检测系统是整体性的,庞大的,难以及时更新,要在其中添加一个新的检测模块困难重重。
入侵检测的评价标准应充分考虑准确性、适应性、容错性、时限性和高性能。传统的利用模式匹配的入侵检测,不管是采用手工编码的误用检测,还是异常检测中如何进行统计量的选择,在系统设计、安全和检测方法中已广泛被视为“经典”的专家知识。这些专家知识或是经验数据一遇到日益复杂的网络环境,就暴露出不完整、不准确的弊端,从而直接制约了现有入侵检测系统有效性和准确性的发展。
众多的入侵检测系统只能处理某一种特定的审计数据源,其库文件更新缓慢却造价昂贵。此外,日益复杂的操作系统和迅速扩大的网络数据流让安全审计数据也以惊人的速度增加。攻击方式改变,相应的IDS又整体性很强,难以更新,导致专家无法对所有攻击做特征编码。难以对这些与攻击密切相关的关键数据进行深层次的分析和利用的原因,就是有价值的信息往往隐藏在激增的数据背后。
数据挖掘技术是一种知识发现技术,其目的是从海量数据中提取有用的用户数据。所使用的技术在入侵检测领域使用数据挖掘算法,提取有关用户的行为特征,而根据这些特征所产生的安全事件分类模型,应用于自动识别安全事件。一个完整的基于数据挖掘的入侵检测模型,包括数据采集,数据预处理,数据挖掘,加工等一系列的过程。入侵检测系统中使用数据挖掘技术,通过对历史数据的分析可以提取用户行为特征,总结入侵的行为规律,从而建立一个完整的入侵检测规则库。数据挖掘技术一般可分为关联分析,序列模式分析,分类分析和聚类分析四种。在满足实际网络安全要求的条件下,实现数据挖掘与入侵检测的有机结合,这是考虑到入侵检测本身就是一个复杂的知识挖掘过程。通常一个单一使用一种数据挖掘算法在入侵检测中并不能取得很好的效果,可以在测试过程中结合这些数据挖掘技术的特点,利用该算法融合之间的协调,应用适合他们的步骤。
(1)数据挖掘是数据分析过程的一个完整体现。它一般包括数据准备,数据预处理,模型的建立,结果处理等。同时也是一个迭代的过程,通过不断的调整方法和参数,得到一个更好的模型。
(2)数据挖掘尽量减少了手工和经验的成分,基于数据挖掘的关联规则,序列模式,分类算法在入侵检测的使用,有助于克服现有入侵检测系统一些缺点:误用检测没有手动编码,脆弱性分析;异常检测可以自动选择,发现新的攻击。
(3)数据挖掘已有一些对入侵检测尤其有用的算法,如决策树、关联规则和序贯模型等。数据挖掘可以处理大量的数据,用户不需要提供主观评价信息,很容易发现主观忽视和隐藏的信息。
(4)入侵检测中引入数据挖掘有助于开阔思路和弥补不足,检测方法不再局限。不单单是网络误用检测、主机异常检测,也可以两两分组交叉使用,如网络误用、主机误用、网络异常、主机异常等。
(5)使用序列模式数据挖掘建立入侵检测系统是非常适用的,与模式匹配入侵检测相比,其优势相当明显。由于攻击者的攻击过程与时间密切相关,一些攻击特征并没有出现在一个单一的报文中,有必要研究单位时间内的数据包或信息内容,数据挖掘和序列模式挖掘算法是与时间有关的特点,形成关联规则或建立一个分类模型。
3、结语
因此,在入侵检测中加入数据挖掘元素是一个很好的解决方案。数据处理量的减少,误报率的降低,检测效率的提高,以及自适应的增强等等,使得入侵俭测系统能够适用于更多环境。
参考文献
张银奎,廖丽,宋俊等.数据挖掘原理[M].北京:机械工业出版社,2003:93-105.
向继,高能,荆继武.聚类算法在网络入侵检测中的应用[J].计算机工程,2003,29(16).
[3]刘莘,张永平,万艳丽.决策树算法在入侵检测中的应用分析及改进[J].计算机工程与设计.2006.
关键词:数据挖掘入侵检测模型网络安全
1007-9416(2012)09-0230-02
0、前言
网络应用的普及使得网络安全的重要性突显,面对严峻的网络安全形势,迫切需要可靠的网络安全保障技术。很多用于加强网络安全的手段,如加密、,防火墙、VPN等属于静态的技术,不能很好的实施有效的防护。而入侵检测技术作为一种动态的防护策略,对网络安全可有效实施监控、攻击与反攻击等动态保护,很大程度上弥补了传统静态策略的不足。但是,随着网络信息的丰富和带宽的不断扩大,要想从浩瀚的数据海洋中寻找有价值的信息是非常艰难的。本文研究了数据挖掘技术在入侵检测中的应用。
1、利用模式匹配的入侵检
源于:论文写作格式www.udooo.com
测技术存在的问题基于数据检测手段可以将入侵检测系统分为两类。①异常检测:检测与可接受行为之间的偏差。异常检测有其天生无法避免的缺点,即并不是所有入侵都是异常行为,也不是所有异常行为都一定是入侵。该模型具有漏报率低、误报率高的特点。②误用检测:检测与已知不可接受行为之间的匹配程度。误用检测与异常检测相反,其具有漏报率高、误报率低的特点。即对已知攻击检测效果好,对未知攻击却检测效果不好,且必须经常更新特征库。
利用模式匹配的入侵检测技术的局限性很多,具体有:
(1)缺乏准确性:现有的有关规则的数据库、知识库和统计方法是怎么得来的?都是基于专家知识的手工编码得到的。误用检测手动编码规则和模式以及异常检测统计量的选择,在安全系统的设计,以及一些入侵检测方法上已被视为“经典”的专家知识。这些经验数据遇到日益复杂的网络环境,往往显得不完整和不准确,从而直接导致现有的入侵检测系统缺乏有效性和准确性。
(2)适应能力差:专家只能对已知的攻击行为和系统缺陷加以深度分析,它并不能检测未知攻击,因为这是需要时间“学习”的,所以检测新的攻击行为的结果是延迟很大。
(3)可扩展性不强:由于专家规则与统计量一般都要受到环境影响,与之对应的大多数现有的入侵检测系统是整体性的,庞大的,难以及时更新,要在其中添加一个新的检测模块困难重重。
入侵检测的评价标准应充分考虑准确性、适应性、容错性、时限性和高性能。传统的利用模式匹配的入侵检测,不管是采用手工编码的误用检测,还是异常检测中如何进行统计量的选择,在系统设计、安全和检测方法中已广泛被视为“经典”的专家知识。这些专家知识或是经验数据一遇到日益复杂的网络环境,就暴露出不完整、不准确的弊端,从而直接制约了现有入侵检测系统有效性和准确性的发展。
众多的入侵检测系统只能处理某一种特定的审计数据源,其库文件更新缓慢却造价昂贵。此外,日益复杂的操作系统和迅速扩大的网络数据流让安全审计数据也以惊人的速度增加。攻击方式改变,相应的IDS又整体性很强,难以更新,导致专家无法对所有攻击做特征编码。难以对这些与攻击密切相关的关键数据进行深层次的分析和利用的原因,就是有价值的信息往往隐藏在激增的数据背后。
2、数据挖掘技术在入侵检测中的应用
为了解决利用模式匹配的入侵检测技术的自身问题,我们的目标是在建立一个入侵检测系统的过程中尽可能地减少其中的手工部分和经验成分,提倡以数据为中心,在系统设计时更加注重系统化和自动化,把入侵检测视为一个数据分析过程,运用数据挖掘技术来解决问题。2.1 数据挖掘技术
数据挖掘(DataMining)是从大量的数据中抽取人们感兴趣的对象的过程。数据挖掘的对象可以是数据源、文件系统或Web资源等任何数据集合,同时数据挖掘的过程并不是一个直线型的过程,而是一个螺旋上升、循环往复的多步骤处理过程。2.2 用于入侵检测系统的数据挖掘过程
数据挖掘是从大量的数据中抽取人们感兴趣的对象的过程,利用各种分析工具寻找潜在的、有价值的模型或规则,以及发现它们之间的关系来做出预测。数据挖掘的功能用于指定数据挖掘任务中要找的模式类型,包括概念描述,分类,聚类,关联,预测,趋势分析,方差分析和相似性分析。数据挖掘任务一般分为2大类:描述和预测。描述性的数据挖掘任务是负责描述数据库的一般特征;预测性数据挖掘任务是负责利用当前数据推理预测。数据挖掘是一个工具,只是帮助人们更深入,更容易地分析数据,它不能告诉对你工作的实际价值,以及数据挖掘模型也必须进行实践验证。数据挖掘技术是一种知识发现技术,其目的是从海量数据中提取有用的用户数据。所使用的技术在入侵检测领域使用数据挖掘算法,提取有关用户的行为特征,而根据这些特征所产生的安全事件分类模型,应用于自动识别安全事件。一个完整的基于数据挖掘的入侵检测模型,包括数据采集,数据预处理,数据挖掘,加工等一系列的过程。入侵检测系统中使用数据挖掘技术,通过对历史数据的分析可以提取用户行为特征,总结入侵的行为规律,从而建立一个完整的入侵检测规则库。数据挖掘技术一般可分为关联分析,序列模式分析,分类分析和聚类分析四种。在满足实际网络安全要求的条件下,实现数据挖掘与入侵检测的有机结合,这是考虑到入侵检测本身就是一个复杂的知识挖掘过程。通常一个单一使用一种数据挖掘算法在入侵检测中并不能取得很好的效果,可以在测试过程中结合这些数据挖掘技术的特点,利用该算法融合之间的协调,应用适合他们的步骤。
2.3 数据挖掘技术在入侵检测中的应用的技术优势
在入侵检测中引入数据挖掘技术,在各方面都有所提高,克服了利用模式匹配的入侵检测系统的一些弊病,具体来说有以下优势:(1)数据挖掘是数据分析过程的一个完整体现。它一般包括数据准备,数据预处理,模型的建立,结果处理等。同时也是一个迭代的过程,通过不断的调整方法和参数,得到一个更好的模型。
(2)数据挖掘尽量减少了手工和经验的成分,基于数据挖掘的关联规则,序列模式,分类算法在入侵检测的使用,有助于克服现有入侵检测系统一些缺点:误用检测没有手动编码,脆弱性分析;异常检测可以自动选择,发现新的攻击。
(3)数据挖掘已有一些对入侵检测尤其有用的算法,如决策树、关联规则和序贯模型等。数据挖掘可以处理大量的数据,用户不需要提供主观评价信息,很容易发现主观忽视和隐藏的信息。
(4)入侵检测中引入数据挖掘有助于开阔思路和弥补不足,检测方法不再局限。不单单是网络误用检测、主机异常检测,也可以两两分组交叉使用,如网络误用、主机误用、网络异常、主机异常等。
(5)使用序列模式数据挖掘建立入侵检测系统是非常适用的,与模式匹配入侵检测相比,其优势相当明显。由于攻击者的攻击过程与时间密切相关,一些攻击特征并没有出现在一个单一的报文中,有必要研究单位时间内的数据包或信息内容,数据挖掘和序列模式挖掘算法是与时间有关的特点,形成关联规则或建立一个分类模型。
3、结语
因此,在入侵检测中加入数据挖掘元素是一个很好的解决方案。数据处理量的减少,误报率的降低,检测效率的提高,以及自适应的增强等等,使得入侵俭测系统能够适用于更多环境。
参考文献
张银奎,廖丽,宋俊等.数据挖掘原理[M].北京:机械工业出版社,2003:93-105.
向继,高能,荆继武.聚类算法在网络入侵检测中的应用[J].计算机工程,2003,29(16).
[3]刘莘,张永平,万艳丽.决策树算法在入侵检测中的应用分析及改进[J].计算机工程与设计.2006.