基于数据挖掘的企业网络入侵检测系统的建立

摘 要：分析了入侵检测系统发展现状与数据挖掘入侵系统优势，并针对网络入侵，通过应用数据挖掘技术，建立网络入侵检测系统，确保网络安全。

关键词：信息技术;网络安全;检测系统

入侵检测作为一种重要的动态网络安全防护技术，能够提供对计算机系统和网络的内部、外部攻击以及误操作的全面检测，其主要功能是监视并分析用户和系统的行为、审查系统配置的弱点、评估已知攻击的行为模式、异常行为模式的统计分析、操作系统的审查跟踪管理和识别用户违反安全策略的行为。作为防火墙之外的第二道安全防线，入侵检测已成为网络安全领域重要而迫切的课题。

1 入侵检测系统发展现状与数据挖掘入侵系统优势

入侵检测的概念和公共入侵检测系统建立的提出，许多入侵检测的方法相继被提出，其中主要包括基于专家系统的入侵检测方法、基于模式匹配与协议分析的入侵检测方法、基于用户行为统计分的入侵检测方法、智能代理检测等。随着企业网络用户的增多，为了应对数量不断增长的审查行为数据面临的新的挑战，一些新的技术在传统的入侵检测也相继出现，比如模糊技术、遗传算法、神经网络和状态转换等，其中如何从海量的数据中抽取出有用的规则已经成为影响入侵检测系统性能的关键。基于大规模用户行为数据挖掘技术与入侵检测系统的特点有效结合志来，可以取得良好的信息安全防护效果。

数据挖掘用于入侵检测系统中，通过将数据挖掘技术和入检测相结合，能及时发现并报告系统中未经授权或异常行为，为网络安全提供实行的入侵检测和防护。通过将数据挖掘技术用在入侵检测系统中，对关联规和聚类分析典型算法，建立数据挖掘的企业网络入侵检测系统，能有效减少规则建立过程中的人工参与程度，有效提高入侵检测系统的效率，从而提高入侵检测的准确性，以保障企业网络信息安全。

2 基于数据挖掘的网络入侵检测系统的建立

2.1 数据挖掘技术

很多数据挖掘技术都能用于入侵检测系统，例如关联分析、分类、聚类和序列分析等。关联分析，也叫关联规则挖掘，是通过用户指定最小支持度和最小置信度来在序列（事物）数据库中寻找关联规则的过程，在发现满足用户最小支持度的频繁项目（序列）集的基础上，找出满足用户给定最小置信度的关联规则集。分类则是根据给定的类别和训练数据，对数据库中的序列数据进行分类的过程。这是一个有监督的学习过程，通过发现类别中的共性及特征，从历史数据记录中判定给定数据的类别描述，从而对数据的属性做出预测，指导入侵检测的行为模式判断。相比于分类，聚类是一种不带类别指导信息的无监督学习算法，它会根据数据内部的关联将数据分为多个类或簇，划分的原则是同一个簇之间的数据之间具有较高的相似度，而不同簇中的数据相似度较低。这是一种数据中类别模式的自动发现过程。序列模式分析则是指从序列数据中发现相对时间或者其他顺序所出现的高频率子序列，其目标为发现数据之间的联系，分析数据发生的前后序列的关系，它在入侵检测中的一个主要应用是通过对用户命令序列分析，建立用户概貌，任何对特定用户行为模式的偏离，都被视为用户行为异常。

2.2 基于数据挖掘技術的入侵检测系统

在入侵检测系统中应用数据挖掘方法，首先需要建立关于安全行为模式的先验知识，然后提取出可以有效反映系统行为特性的特征属性，然后才能有效地应用适当的算法对审查数据进行数据分析和模式挖掘，并将发现的知识更新到现有的企业入侵检测系统中，保证网络系统的学习能力，从而在根本上保证企业网络安全。

基于数据挖掘的入侵检测系统主要由数据预处理、异常分析器、规则库、模式挖掘器、规则生成器和报警器等六个部分来组成。系统中行为数据源中的数据由系统中不同环节里的数据包嗅探器获取收集，作为一个简单的抓取信息的窗口，数据包嗅探器所在的集团决定了入侵检测的局部处理的程度以及行为数据的种类，不同类别的行为数据需要用不同的数据挖掘技术来自处理。数据预处理模块负责将原始数据转换为适于数据挖掘方法所需要的数据模式，同时，对一些无效或者噪音数据进行清理，以减少模式匹配及数据挖掘工作所处理的数据量。在数据预处理过程中可以以插件的方式采用第三方入侵检测工具检测已知攻击入侵行为并报警，这样可以有效提高整个入侵检测系统的灵活性和可扩展性，同时可以提高后续模块的处理效率。数据挖掘模块则根据数据源的不同负责对预处理后的数据进行各种形式的模式挖掘处理（关联规则挖掘、序列分析、聚类），以发现不同数据源中的内在行为模式，工同已有规则库的规则模式进行匹配，当发现新的入侵模式或正常行为模式时，更新进入规则库。异常分析则负责对预处理后的数据流进行扫描，如果检测到与系统规则库定义的规则相匹配的入侵模式，则送报警器响应处理。规则库用来存储已有的规则（包括先验行为规则）和新近数据挖掘形成的规则集，同时对预处理所需要的信息进行存储。规则生成器则根据数据挖掘模块产生的关于行为模式的新的知识实时生成用于偏离分析的规则，并对这些数据进行特征提取，把那些入侵行为特征存入规则库。当异常分析器报告发现异常行为数据流时，报警器向系统管理员发出通知报警。

基于数据挖掘技术入侵检测系统在实际应用时，需要基于先验的入侵行为及安全行为的背景知识，事先存入先验入侵模式规则，这样能有效降低系统启动时的误报率，应用过程中，能有效地发现新的行为模式，使入侵检测规则的发现、更新与执行更接近于实时，具有规则更新的自适应能力，不但可以检测到已知的攻击，而且可以检测到新的未知的攻击行为，提高检测效率，增加网络信息检测的预警率。

3 结语

通过在入侵检测系统中引入数据挖掘技术，用这些规则去检测新的入侵行为，用最低的成本更新规则和系统，提高检测的效率，解决入侵检测系统的不足。基于数据挖掘技术网络入侵检测系统行为模式的发掘是核心，规则库中规则的准确度和覆盖面直接影响入侵检测系统的整体性能。

参考文献：

[1]张雪芹，顾春华，林家骏.入侵检测技术的挑战与发展[J].计算机工程与设计，2012：25.

作者简介：张红雨（1981-），男，山东莱阳人，硕士研究生，工程师，研究方向：计算机与信息技术。