資源描述:
《數(shù)據(jù)挖掘算法在入侵檢測中的應用研究(1)》由會員上傳分享�,免費在線閱讀,更多相關內(nèi)容在工程資料-天天文庫���。
1�����、數(shù)據(jù)挖掘算法在入侵檢測中的應用研究(1)摘要該文對入侵檢測的現(xiàn)狀進行了分析���,在此基礎上重點研究了數(shù)據(jù)挖掘算法在異常檢測和誤用檢測中的具體應用。對于異常檢測�����,主要研究了分類算法�����;對于誤用檢測��,主要研究了模式比較和聚類算法�����,在模式比較中又以關聯(lián)規(guī)則和序列規(guī)則為重點研究對象。最后對目前數(shù)據(jù)挖掘算法在入侵檢測中應用所面臨的難點進行了分析���,并指明了今后的研究方向��。關鍵字入侵檢測����;數(shù)據(jù)挖掘�����;異常檢測���;誤用檢測;分類算法�;關聯(lián)規(guī)則;序列規(guī)則�����;聚類算法0引言隨著網(wǎng)絡技術的發(fā)展��,現(xiàn)在越來越多的人通過豐富的網(wǎng)絡資源學會各種攻擊的手法,通過簡單的操作就可以實施極具破壞力的攻擊行為��,如何有
2��、效的檢測并阻止這些攻擊行為的發(fā)生成了目前計算機行業(yè)普遍關注的一個問題�����。用于加強網(wǎng)絡安全的手段目前有很多����,如加密,VPN��,防火墻等�,但這些技術都是靜態(tài)的,不能夠很好的實施有效的防護�����。而入侵檢測(IntrusionDetection)技術是一種動態(tài)的防護策略����,它能夠?qū)W(wǎng)絡安全實施監(jiān)控、攻擊與反攻擊等動態(tài)保護�,在一定程度上彌補了傳統(tǒng)靜態(tài)策略的不足����。1入侵檢測中數(shù)據(jù)挖掘技術的引入1.1入侵檢測技術介紹入侵檢測技術是對(網(wǎng)絡)系統(tǒng)的運行狀態(tài)進行監(jiān)視�,發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果���,以保證系統(tǒng)資源的機密性���、完整性與可用性。從檢測數(shù)據(jù)目標的角度��,我們可以把入侵檢測系統(tǒng)分為
3�、基于主機、基于網(wǎng)絡��、基于內(nèi)核和基于應用等多種類型���。本文主要分析基于網(wǎng)絡的入侵檢測系統(tǒng)的構(gòu)造。根據(jù)數(shù)據(jù)分析方法(也就是檢測方法)的不同���,我們可以將入侵檢測系統(tǒng)分為兩類:(1)誤用檢測(MisuseDetection)���。又稱為基于特征的檢測����,它是根據(jù)已知的攻擊行為建立一個特征庫,然后去匹配已發(fā)生的動作����,如果一致則表明它是一個入侵行為。它的優(yōu)點是誤報率低,但是由于攻擊行為繁多��,這個特征庫會變得越來越大���,并且它只能檢測到已知的攻擊行為�。(作文網(wǎng)zalyDetection)�。又稱為基于行為的檢測,它是建立一個正常的特征庫��,根據(jù)使用者的行為或資源使用狀況來判斷是否入侵�。它的優(yōu)點
4、在于與系統(tǒng)相對無關,通用性較強��,可能檢測出以前從未出現(xiàn)過的攻擊方法����。但由于產(chǎn)生的正常輪廓不可能對整個系統(tǒng)的所有用戶行為進行全面的描述,況且每個用戶的行為是經(jīng)常改變的,所以它的主要缺陷在于誤檢率很高���。將這兩種分析方法結(jié)合起來���,可以獲得更好的性能�。異常檢測可以使系統(tǒng)檢測新的���、未知的攻擊或其他情況�����;誤用檢測通過防止耐心的攻擊者逐步改變行為模式使得異常檢測器將攻擊行為認為是合法的���,從而保護異常檢測的完整性。入侵檢測的數(shù)據(jù)源可以通過一些專用的抓包工具來獲取��,在Windop和Arpining)技術是一個從大量的數(shù)據(jù)中提取人們感興趣的模式的過程�。挖掘的對象不僅是數(shù)據(jù)源、文件系統(tǒng)�����,
5�、也包括諸如Web資源等任何數(shù)據(jù)集合��;同時數(shù)據(jù)挖掘的過程并不是一個直線型的過程,而是一個螺旋上升��、循環(huán)往復的多步驟處理過程���。數(shù)據(jù)挖掘通過預測未來趨勢及行為����,做出預測性的����、基于知識的決策。數(shù)據(jù)挖掘的目標是從數(shù)據(jù)庫中發(fā)現(xiàn)隱含的�、有意義的知識,按其功能可分為以下幾類:(1)關聯(lián)分析關聯(lián)分析能尋找數(shù)據(jù)庫中大量數(shù)據(jù)的相關聯(lián)系���,常用的2種技術為關聯(lián)規(guī)則和序列模式�����。關聯(lián)規(guī)則是發(fā)現(xiàn)一個事物與其他事物間的相互關聯(lián)性或相互依賴性��,可用于如分析客戶在超市買牙刷的同時又買牙膏的可能性��;序列模式分析將重點放在分析數(shù)據(jù)之間的前后因果關系��,如買了電腦的顧客則會在3個月內(nèi)買殺毒軟件���。(2)聚類輸入的
6��、數(shù)據(jù)并無任何類型標記���,聚類就是按一定的規(guī)則將數(shù)據(jù)劃分為合理的集合,即將對象分組為多個類或簇���,使得在同一個簇中的對象之間具有較高的相似度�����,而在不同簇中的對象差別很大����。(3)自動預測趨勢和行為數(shù)據(jù)挖掘自動在大型數(shù)據(jù)庫中進行分類和預測���,尋找預測性信息�,自動地提出描述重要數(shù)據(jù)類的模型或預測未來的數(shù)據(jù)趨勢��。(4)概念描述對于數(shù)據(jù)庫中龐雜的數(shù)據(jù),人們期望以簡潔的描述形式來描述匯集的數(shù)據(jù)集����。概念描述就是對某類對象的內(nèi)涵進行描述并概括出這類對象的有關特征�����。(5)偏差檢測偏差包括很多潛在的知識��,如分類中的反常實例�����、不滿足規(guī)則的特例�、觀測結(jié)果與模型預測值的偏差、量值隨時間的變化等�。數(shù)據(jù)
7、挖掘技術是最新引入到入侵檢測的技術�。它的優(yōu)越之處在于可以從大量的網(wǎng)絡數(shù)據(jù)以及主機的日志數(shù)據(jù)中提取出人們需要的、事先未知的知識和規(guī)律�����。利用數(shù)據(jù)挖掘技術實現(xiàn)網(wǎng)絡安全在國內(nèi)外都屬于一種新的嘗試��。目前,對數(shù)據(jù)挖掘算法的研究已比較成熟��,而數(shù)據(jù)挖掘本身是一個通用的知識發(fā)現(xiàn)技術�。在入侵檢測領域,我們將入侵檢測看作是一個數(shù)據(jù)的分析過程�,對大量的安全數(shù)據(jù)應用特定的數(shù)據(jù)挖掘算法,以達到建立一個具有自適應性以及良好的擴展性能的入侵檢測系統(tǒng)����。目前,應用到入侵檢測上的數(shù)據(jù)挖掘算法主要集中在關聯(lián)���、序列����、分類和聚類這四個基本模型之上�。共2頁:1[2]下一頁
