資源描述:
《數(shù)據(jù)挖掘算法在入侵檢測(cè)中的應(yīng)用研究》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1、數(shù)據(jù)挖掘算法在入侵檢測(cè)中的應(yīng)用研究數(shù)據(jù)挖掘算法在入侵檢測(cè)中的應(yīng)用研究摘要該文對(duì)入侵檢測(cè)的現(xiàn)狀進(jìn)行了分析,在此基礎(chǔ)上重點(diǎn)研究了數(shù)據(jù)挖掘算法在異常檢測(cè)和誤用檢測(cè)中的具體應(yīng)用。對(duì)于異常檢測(cè),主要研究了分類算法;對(duì)于誤用檢測(cè),主要研究了模式比較和聚類算法,在模式比較中又以關(guān)聯(lián)規(guī)則和序列規(guī)則為重點(diǎn)研究對(duì)象。最后對(duì)目前數(shù)據(jù)挖掘算法在入侵檢測(cè)中應(yīng)用所面臨的難點(diǎn)進(jìn)行了分析,并指明了今后的研究方向。關(guān)鍵字入侵檢測(cè);數(shù)據(jù)挖掘;異常檢測(cè);誤用檢測(cè);分類算法;關(guān)聯(lián)規(guī)則
2、;序列規(guī)則;聚類算法0引言隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,現(xiàn)在越來(lái)越多的人通過(guò)豐富的網(wǎng)絡(luò)資源學(xué)會(huì)各種攻擊的手法,通過(guò)簡(jiǎn)單的操作就可以實(shí)施極具破壞力的攻擊行為,如何有效的檢測(cè)并阻止這些攻擊行為的發(fā)生成了目前計(jì)算機(jī)行業(yè)普遍關(guān)注的一個(gè)問(wèn)題。用于加強(qiáng)網(wǎng)絡(luò)安全的手段目前有很多,如加密,VPN,防火墻等,但這些技術(shù)都是靜態(tài)的,不能夠很好的實(shí)施有效的防護(hù)。而入侵檢測(cè)(IntrusionDetection)技術(shù)是一種動(dòng)態(tài)的防護(hù)策略,它能夠?qū)W(wǎng)絡(luò)安全實(shí)施監(jiān)控、攻擊與反攻擊等動(dòng)態(tài)保護(hù),在一定程度上彌補(bǔ)了傳統(tǒng)靜態(tài)策略的不足。1入侵檢測(cè)中數(shù)據(jù)挖掘技術(shù)的引入1.1入侵檢測(cè)技術(shù)介紹入侵檢測(cè)技術(shù)是對(duì)(網(wǎng)絡(luò))系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視,發(fā)現(xiàn)
3、各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證系統(tǒng)資源的機(jī)密性、完整性與可用性。從檢測(cè)數(shù)據(jù)目標(biāo)的角度,我們可以把入侵檢測(cè)系統(tǒng)分為基于主機(jī)、基于網(wǎng)絡(luò)、基于內(nèi)核和基于應(yīng)用等多種類型。本文主要分析基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的構(gòu)造。根據(jù)數(shù)據(jù)分析方法(也就是檢測(cè)方法)的不同,我們可以將入侵檢測(cè)系統(tǒng)分為兩類:(1)誤用檢測(cè)(MisuseDetection)。又稱為基于特征的檢測(cè),它是根據(jù)已知的攻擊行為建立一個(gè)特征庫(kù),然后去匹配已發(fā)生的動(dòng)作,如果一致則表明它是一個(gè)入侵行為。它的優(yōu)點(diǎn)是誤報(bào)率低,但是由于攻擊行為繁多,這個(gè)特征庫(kù)會(huì)變得越來(lái)越大,并且它只能檢測(cè)到已知的攻擊行為。(2)異常檢測(cè)(AnomalyDetecti
4、on)。又稱為基于行為的檢測(cè),它是建立一個(gè)正常的特征庫(kù),根據(jù)使用者的行為或資源使用狀況來(lái)判斷是否入侵。它的優(yōu)點(diǎn)在于與系統(tǒng)相對(duì)無(wú)關(guān),通用性較強(qiáng),可能檢測(cè)出以前從未出現(xiàn)過(guò)的攻擊方法。但由于產(chǎn)生的正常輪廓不可能對(duì)整個(gè)系統(tǒng)的所有用戶行為進(jìn)行全面的描述,況且每個(gè)用戶的行為是經(jīng)常改變的,所以它的主要缺陷在于誤檢率很高。將這兩種分析方法結(jié)合起來(lái),可以獲得更好的性能。異常檢測(cè)可以使系統(tǒng)檢測(cè)新的、未知的攻擊或其他情況;誤用檢測(cè)通過(guò)防止耐心的攻擊者逐步改變行為模式使得異常檢測(cè)器將攻擊行為認(rèn)為是合法的,從而保護(hù)異常檢測(cè)的完整性。入侵檢測(cè)的數(shù)據(jù)源可以通過(guò)一些專用的抓包工具來(lái)獲取,在Windows系統(tǒng)一下,一般采用Wi
5、npcap來(lái)抓獲數(shù)據(jù)包,在Unix系統(tǒng)下,可以通過(guò)Tcpdump和Arpwatch來(lái)獲取。在數(shù)據(jù)分析階段將會(huì)用到我們這里重點(diǎn)要介紹的是數(shù)據(jù)挖掘技術(shù),響應(yīng)部分分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。1.2數(shù)據(jù)挖掘技術(shù)數(shù)據(jù)挖掘(DataMining)技術(shù)是一個(gè)從大量的數(shù)據(jù)中提取人們感興趣的模式的過(guò)程。挖掘的對(duì)象不僅是數(shù)據(jù)源、文件系統(tǒng),也包括諸如Web資源等任何數(shù)據(jù)集合;同時(shí)數(shù)據(jù)挖掘的過(guò)程并不是一個(gè)直線型的過(guò)程,而是一個(gè)螺旋上升、循環(huán)往復(fù)的多步驟處理過(guò)程。數(shù)據(jù)挖掘通過(guò)預(yù)測(cè)未來(lái)趨勢(shì)及行為,做出預(yù)測(cè)性的、基于知識(shí)的決策。數(shù)據(jù)挖掘的目標(biāo)是從數(shù)據(jù)庫(kù)中發(fā)現(xiàn)隱含的、有意義的知識(shí),按其功能可分為以下幾類:(1)關(guān)聯(lián)分析關(guān)聯(lián)分析能
6、尋找數(shù)據(jù)庫(kù)中大量數(shù)據(jù)的相關(guān)聯(lián)系,常用的2種技術(shù)為關(guān)聯(lián)規(guī)則和序列模式。關(guān)聯(lián)規(guī)則是發(fā)現(xiàn)一個(gè)事物與其他事物間的相互關(guān)聯(lián)性或相互依賴性,可用于如分析客戶在超市買牙刷的同時(shí)又買牙膏的可能性;序列模式分析將重點(diǎn)放在分析數(shù)據(jù)之間的前后因果關(guān)系,如買了電腦的顧客則會(huì)在3個(gè)月內(nèi)買殺毒軟件。(2)聚類輸入的數(shù)據(jù)并無(wú)任何類型標(biāo)記,聚類就是按一定的規(guī)則將數(shù)據(jù)劃分為合理的集合,即將對(duì)象分組為多個(gè)類或簇,使得在同一個(gè)簇中的對(duì)象之間具有較高的相似度,而在不同簇中的對(duì)象差別很大。(3)自動(dòng)預(yù)測(cè)趨勢(shì)和行為數(shù)據(jù)挖掘自動(dòng)在大型數(shù)據(jù)庫(kù)中進(jìn)行分類和預(yù)測(cè),尋找預(yù)測(cè)性信息,自動(dòng)地提出描述重要數(shù)據(jù)類的模型或預(yù)測(cè)未來(lái)的數(shù)據(jù)趨勢(shì)。(4)概念描述
7、對(duì)于數(shù)據(jù)庫(kù)中龐雜的數(shù)據(jù),人們期望以簡(jiǎn)潔的描述形式來(lái)描述匯集的數(shù)據(jù)集。概念描述就是對(duì)某類對(duì)象的內(nèi)涵進(jìn)行描述并概括出這類對(duì)象的有關(guān)特征。(5)偏差檢測(cè)偏差包括很多潛在的知識(shí),如分類中的反常實(shí)例、不滿足規(guī)則的特例、觀測(cè)結(jié)果與模型預(yù)測(cè)值的偏差、量值隨時(shí)間的變化等。數(shù)據(jù)挖掘技術(shù)是最新引入到入侵檢測(cè)的技術(shù)。它的優(yōu)越之處在于可以從大量的網(wǎng)絡(luò)數(shù)據(jù)以及主機(jī)的日志數(shù)據(jù)中提取出人們需要的、事先未知的知識(shí)和規(guī)律。利用數(shù)據(jù)