《基于孤立点挖掘的入侵检测技术在网络安全中的应用.doc》由会员分享,可在线阅读,更多相关《基于孤立点挖掘的入侵检测技术在网络安全中的应用.doc(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流基于孤立点挖掘的入侵检测技术在网络安全中的应用.精品文档.基于孤立点挖掘的入侵检测技术在网络安全中的应用【 摘 要 】 计算机网络系统在实际使用过程中常会面临不同的安全隐患。对整个计算机网络系统采取必要的安全维护措施显得格外重要。文章首先介绍了入侵检测技术,给出了入侵检测系统的概念及工作原理。探讨基于数据挖掘技术的入侵检测系统,并给出了基于相似度和孤立点挖掘算法的描述。【 关键词 】 网络安全;入侵检测技术;数据挖掘;孤立点【 abstract 】 the computer network system faces different saf
2、ety risks in actually using of process. take the necessary security measures on the computer network system is very important. the article first introduced the intrusion detection technology, and then presented the concept of intrusion detection systems and working principle. then investigated the i
3、ntrusion detection system based on data mining technology, and gave a description of the mining algorithm based on similarity and isolated points.【 keywords 】 network security; intrusion detection; data mining; isolated point0 引言随着计算机网络的发展,网络复杂性不断增加,异构性越来越高,计算机网络面临的安全性问题越来越严峻。恶意程序的种类和数量的爆发性增加,严重破坏了网
4、络运行秩序,因此,关于网络安全的问题已经被越来越广泛地研究。网络安全是一门涉及多种学科的综合性学科,当网络的用户来自社会各个阶层与部门时,大量在网络中存储和传输的数据就需要保护,确保网络中硬件、软件资源及各种信息受到保护,避免遭到恶意的篡改、截获和伪造,使网络服务正常,系统可靠运行。网络安全的研究实质上就是针对保密通信、安全协议的设计和访问控制三项内容的相关理论和技术的研究。可以通过流量分析检测网络流量的异常并做出有效的响应来确保网络的正常运行。现在应用于网络安全方面的技术有数字签名、数据加密、防火墙等,这些技术作为保护网络是有效的,但是有其自身的局限性,比如防火墙技术可以阻止外部攻击但阻止不
5、了内部攻击且不能提供实时监测等。所以,建立一个基于数据挖掘的网络异常入侵检测技术是有必要的,它可以作为防火墙的补充提供流量分析,能有效避免网络黑客入侵,从多个方面准确分析系统漏洞且采取措施处理。因而基于数据挖掘的入侵检测系统的研究可以有效保证网络的安全运行。1 入侵检测技术1.1 概念入侵检测技术是一种用来检测是否有入侵行为的一种技术,它是入侵检测系统(intrusion detection system, ids)的核心技术,可以抵抗来自网络的入侵行为,保护自己免受攻击,保证计算机系统的安全。入侵检测技术通过将入侵行为的过程与网络会话数据特征匹配,可以检测到计算机网络中的违反安全策略的行为并
6、做出响应,采取相关措施应对网络攻击。入侵检测在网络系统受到危害之前就对内部攻击、外部攻击和误操作等进行拦截并响应入侵,它作为一种积极主动地安全防护技术,为计算机系统提供实时保护。1.2 入侵检测技术的内容入侵检测技术的任务执行主要包括以下内容:(1)对重要的文件和系统资源进行完整性评估和检测;(2)检查系统构造,评估系统是否存在漏洞,不断检测、监视和分析用户和系统的活动;(3)对检测的网络攻击行为进行报警,便于用户或管理者采取相应的措施;(4)对日常行为和异常行为进行统计,并将这两种行为模式对比和分析;(5)跟踪管理操作系统日志,识别违反安全策略的用户行为。入侵检测技术是安全审核的核心技术之一
7、,可检测出计算机网络中破坏网络运行秩序的行为,这项技术可以及时检测到系统中的异常行为和未授权的现象。对网络正常运行的破坏行为通常分为两种,一种是非法用户的违规入侵,另一种是合法用户的滥用行为。通过对记录的审核,入侵检测系统可以识别并限制所有不希望存在的行为,保证系统的安全和网络的正常运行。在系统受到入侵攻击时,入侵检测系统可以像管理者报警驱逐入侵攻击,进而保护系统免受伤害,并且在系统被入侵攻击之后,入侵检测系统可以对攻击信息进行收集和分析,将信息填充到系统特征库,升级系统的防范能力。1.3 入侵检测技术的分类目前,有多种划分方法可以对入侵检测技术进行分类,本文是按照检测方法对其进行分类,将其分
8、为误用检测和异常检测两种。误用检测通常是对每一次发生的入侵攻击定义其独立特征,建立入侵特征的数据库,从而判别后来的网络行为是否为入侵行为。就如同从公安局的犯罪备案中比对嫌疑人是否是犯人一样,但是对于新的入侵攻击方式却无能为力。异常检测是基于正常状态数据特征来判断网络行为是否是入侵行为的。通过建立代表用户主机或网络连接的正常行为(normal)模式,当主体活动状况违反这些正常行为模式时,认为此次主体活动为“入侵”行为。误用检测能够准确的识别攻击行为,而对新的入侵行为就很难准确说明是否是入侵,异常检测与其相反,它在牺牲部分准确率的情况下,获得了能够检测新型攻击的能力。2 入侵检测系统及其模型2.1
9、 定义入侵检测系统是用来检测各种入侵行为的检测系统,该系统通过对网络和计算机系统的运行状态的监视和分析,检测出各种攻击行为并及时向管理者进行报警,帮助管理者对网络攻击做出响应,从而保证计算机系统资源的安全性,入侵检测系统已经成为是网络安全体系的一项重要组成部分。如今,入侵检测系统得到了广泛的研究,该系统也已经被越来越多地应用到网络安全中。2.2 入侵检测系统的模型入侵检测系统需要不断的监督系统的运行状态及各种网络行为运行,进行模式匹配来检测出异常行为。美国国防高级计划研究计划署(darpa)提出了公共入侵检测框架(common intrusion detection framework),该框
10、架是入侵检测系统广泛使用的结构模型,这种结构模型由事件产生器(event generators)、事件分析器(event analyzers)、响应单元(response units)和事件数据库(event databases)四部分组成,如图1所示。入侵检测工作的第一步是信息收集,由传感器负责收集事件数据并将这些数据传送到事件产生器,事件分析器接收到事件产生器生成的信息后进行误用检测,事件数据库的作用是存储来自事件分析器和事件产生器的数据,然后对收集到的信息采用模式匹配、统计分析和完整性分析方法进行分析,响应单元提取数据,从事件分析器和事件产生器中提取数据,最后事件数据库启动适当的响应。i
11、ds根本任务是要对入侵行为进行详细的日志记录、及时报告以及适度地反击攻击源。3 入侵检测技术的方法现在一些入侵检测系统在应用层入侵检测系统中已被实现。入侵检测方法有很多,比如基于专家系统入侵检测方法、基于数据挖掘的入侵检测方法、基于模型推理的入侵检测方法等。入侵检测都是通过监视、分析系统活动,统计分析异常行为模式,最后达到识别用户违反安全策略行为的目的并做出相应处理。本文着重介绍基于数据挖掘的入侵检测方法,该方法已被广泛应用到国内外的各个领域中。数据挖掘指从大量数据中提取或挖掘知识,挖掘知识的过程通常由以下步骤组成:数据清理、数据集成、数据变换、数据挖掘和模式评估,最后将知识以可接受的方式表现
12、出来。利用数据挖掘的入侵检测系统无需手工分析和编码入侵模式就可以从海量的数据中提取入侵行为模式,并自动生成统计方法。它具有几个优点。(1)低误警率。利用数据挖掘技术可以通过特征提取发现某种规律,滤出正常行为产生的信号。(2)自适应性好。数据挖掘技术的异常检测具有一定实时性,因为其不需要检测每一个特别的信号。(3)减轻数据过载。数据挖掘算法可以提供各个不同侧面的数据特征,还可以将先前的分析结果与最新的数据加以整合,减少了不必要的数据。(4)漏报率低。应用数据挖掘技术的系统可以很快地发现以前从未出现过的攻击方式,在很大程度上减少了漏报的可能。4 孤立点数据挖掘技术4.1 孤立点挖掘的概述随着计算机
13、网络技术飞速发展,入侵技术无论是在规模方法还是手段技术上都有了飞速的变化。孤立点挖掘是从数据库中挖掘那些与数据的一般行为或模型不一致的数据对象。在统计学上,孤立点挖掘与聚类分析有一定的相似性。但是孤立点挖掘的对象是异常数据,这些异常数据夹杂在海量的高维数据中且会带来很严重的后果,如在网络安全方面,异常数据会破坏网络的正常运行,中断网络服务,甚至导致网络瘫痪,引起机密数据的丢失等。现在对入侵检测技术的研究中,很多专家和学者利用聚类分析方法来检测异常行为。但是在实际应用中,入侵行为相对于整个网络行为来说属于异常行为,它与正常行为有着本质区别,它的出现大大低于正常行为的出现。把入侵行为列为数据集中的
14、孤立点进行处理,可以有效反映入侵的本质。除此之外,由于目前很多异常检测技术都需要训练样本,但是很多时候无法提供完备的训练样本,这样会导致较高的误检率,而基于孤立点挖掘的异常检测技术并不需要训练的过程,这就使得基于孤立点挖掘的异常检测技术具有较低的误检率。4.2 基于相似度和的孤立点挖掘算法使用基于相似度和的孤立点挖掘算法来实现孤立点的挖掘达到异常检测的目的,该算法可以描述如下:设每个要检测的对象为论域x=x1,x2,x3,xn ,m指标即x=xi1,xi2,ximi=(1,2,n),m种特征属性,用矩阵形式将其表示为x=x11x12x1mx21x22x2mxn1xn2xnm为了得到孤立点候选集
15、,可以先定量分析出x中各对象的离散程度,计算各对象间的相似系数rij,将这些系数的值组成相似系数矩阵r=r11r12r1nr21r22r2nrn1rn2rnnrij=1-pi=rij相似系数矩阵第i行的和就是上面的pi,pi的值反映了对象i的离散程度,pi越小,离散程度就越高,对象i与其他对象的距离越远,可以把它作为孤立点集的候选项。i=100%其中,为阈值,i的对象则被认为是孤立点集。4.3 设计方案如图2描述了入侵检测系统的结构。(1)将收集到的原始审计数据传输到数据分析器,将数据写成n行m列的矩阵形式,每一列表示一种特征属性,每一行表示一条入侵检测原始网络连接记录。共有n条记录,每条记录
16、有m种特征属性。(2)数据分析器监测定性数据发出的报警信息并传送到报警器,同时把定量数据保存到用户数据库。(3)将用户数据库中的定量数据分为正常数据集和孤立点数据集,然后将这两部分数据集传输给分析器。计算出各对象间的相似系数,将这些数据组成相似系数矩阵,计算x中各对象的离散程度确定出孤立点数据集。(4)计算相似系数矩阵第i行的pi和与i。pi的值反映了对象i的离散程度,pi越小,离散程度就越高,这条记录就符合孤立点的条件,把它列为孤立点集的候选项。其中i的对象则被认为是孤立点集,其中为阈值。(5)新生成的正常数据集自动更新原有用户数据库,使入侵检测系统中的用户数据库更完整表示用户行为特征。4.
17、4 结果分析在用时和空间占用方面,孤立点挖掘的异常检测技术要比基于聚类的异常检测技术需要的空间更大,时间更长,但是它可以提高入侵攻击的检测率并且有较低的误检率。5 结束语随着计算机网络技术的发展,黑客技术的逐渐流行和不断更新,网络安全问题受到了越来越多的关注。入侵检测技术可以作为防火墙的补充提供流量分析,能有效避免网络黑客入侵,从多个方面准确分析系统漏洞且采取措施处理。本文基于数据挖掘知识对孤立点进行分析和研究,论证了孤立点挖掘技术在网络安全中进行异常检测工作的可行性和有效性。孤立点挖掘技术在误检率方面与基于聚类的检测技术相比有着一定的优越性,尤其是在异常数据远小于正常数据的情况下,这种优势更
18、加明显。如今,网络上的安全问题层出不穷,入侵行为变得更加复杂多样,尚需要深入研究和完善基于孤立点挖掘的异常检测技术,最终将其有效地应用到现实的入侵检测中。参考文献1 齐建东,陶兰,孙总参.数据挖掘技术在入侵检测中的应用j.计算机工程与应用,2004,40(6):158161.2 杨向荣,宋擒豹,沈钧毅.入侵检测技术研究与系统设计j.计算机工程与应用,2001,(16): 14.3 戴英侠,连一峰,王航等系统安全与入侵检测m.北京:清华大学出版社,2002:99-137.4lee w, miller m,stolfe s,et al.towardcost-sensitive modeling for intrusion puter science, columbia university,2000.5wuz.hifeng, chen dongxia, ji genlin. security rules mining from ids based on rough puter engineering & science, 2005(6).