摘要：入侵检测是网络安全技术领域的主要研究方向之一。将数据挖掘技术应用到入侵检测系统中，可以减少手工编写入侵行为模式和正常行为模式的工作量。本文从介绍网络安全技术和入侵检测技术入手，分析了基于数据挖掘的入侵监测技术的特点及其应用。

　　关键词：数据挖掘；网络入侵检测；技术

　　Abstract: Intrusion detection is the area of network security technology, one of the main research directions. Data mining techniques to intrusion detection systems can reduce the manual preparation of the invasion and normal behavior patterns of the workload behavior. This paper introduced the technology of network security and intrusion detection technologies start with an analysis of data mining-based Intrusion Detection feature of technology and its application.

　　Keywords: data mining; network intrusion detection; Technology

　　一、网络安全技术

　　目前主要网络安全技术有信息加密和数字签名技术、身份验证和访问控制技术、防火墙技术以及入侵检测技术等。

　　（l）加密技术和数字签名技术

　　加密是指采用密码技术将信息变为不可读的格式，形成密文的过程。在计算机网络通信中，发送方利用加密技术对重要信息进行加密后再传送给接收方，使在传送过程中即使被黑客窃听或截获密文也无法了解信息的具体内容，接收方需要密钥才能还原加密的信息，从而保证了数据信息的机密性。

　　（2）身份验证和访问控制技术

　　身份验证的含义包含两方面：一是识别，即对系统所有合法用户具有识别功能，用户的识别是唯一的，不同的用户不能具有相同的识别；二是鉴别，即系统对访问者的身份进行鉴别以防假冒的非法访问者。身份验证类型主要有用户标识和口令，随机产生的一次性密码，生理特征识别，如指纹，声音等。

　　（3）防火墙技术

　　目前，防火墙是使用最多的网络安全产品之一，在网络安全中起着越来越重要的作用。防火墙是位于两个或多个网络间，实施网间访问控制的一组组件的集合，它对网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

　　（4）入侵检测技术

　　入侵检测是指对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键点收集信息并加以分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统（Intrusion Detection System，简称IDS）则是完成入侵检测功能的软件、硬件组合，它是防火墙的合理补充。

　　入侵检测技术作为一个新的安全辅助机制，能在不影响网络性能的情况下对网络进行监测，对系统提供对内部攻击、外部攻击和误操作的有效保护。IDS有多种分类方法。按照系统检测的对象划分，可以分为基于主机的IDS和基于网络的IDS以及混合式IDS；按照检测方法划分，可以分为基于滥用检测的IDS和基于异常检测的IDS。

　　二、数据挖掘与入侵检测

　　2.1数据挖掘系统体系结构及运行过程

　　数据挖掘是一个高级的处理过程，它从数据集中识别出以模式来表示的知识。它的核心技术是人工智能、机器学习、统计等，但一个MD系统不是多项技术的简单组合，而是一个完整的整体，它还需要其他辅助技术的支持，才能完成数据采集、预处理、数据分析、结构表述这一系列的高级处理过程。所谓高级处理过程是指一个多步骤的处理过程，多步骤之间相互影响、反复调整，形成一种螺旋式的上升过程。最后将分析结果呈现在用户面前。根据功能，整个MD系统可以大致分为三级结构。DM的数据分析过程一般由三个主要的阶段组成：数据准备、采掘过程、结果表达和解释。数据挖掘可以描述成这三个阶段的反复过程。

　　1.数据准备：该阶段又可进一步分成三个子步骤：数据集成、数据选择、数据预处理。数据集成将多文件或多数据库运行环境中的数据进行合并处理，解决语义模糊性、处理数据中的遗漏和清洗脏数据等。数据选择的目的是辨别出需要分析的数据集合，缩小处理范围，提高数据采掘的质量。预处理是为了克服目前数据采掘工具的局限性。

　　2.数据挖掘：这个阶段进行实际的挖掘操作。包括的要点有：

　　（1）决定如何产生假设：发现型（Discovery-Driven）的数据采掘是让数据采掘系统为用户产生假设，而验证型（Verification-Driven）的数据采掘则是用户自己对于数据库可能包含的知识提出假设；

　　（2）选择合适的工具；

　　（3）发掘知识的操作；

　　（4）证实发现的知识。

　　3.结果表述和解释：根据最终用户的决策目的对提取的信息进行分析，把最优价值的信息区分出来，并且通过决策支持工具提交给决策者。如果不能令决策者满意，需要重复以上数据挖掘的过程。

　　2.2现有入侵系统的不足

　　操作系统的日益复杂和网络数据流量的急剧增加，导致了审计数据以惊人的速度剧增。现存的IDS存在以下几个方面的不足。从IDS的性能评价的有效性、适用性和扩展性方面考虑：

　　1.现存的IDS缺少有效性。现存的规则库和知识库，以及统计的方法都是基于专家知识的手工编码，面对复杂的网络环境，专家知识往往是不全面不精确的。

　　2.现存的IDS缺少适用性。专家仅仅集中分析已知的攻击方法和系统漏洞，所以系统无法检测未知的攻击，需要时间去学习新的攻击方法，因此，对新攻击的检测延时太大。

　　3.现存的IDS缺少扩展性。专家规则和统计方法一般都是针对特点网络环境的，因此，很难在新的网络环境实现IDS的再利用。同时，IDS往往是很庞大的系统，所以给IDS中加入新的检测模块很困难。如何在海量的审计数据中提取出具有代表性的系统特征模式，从而更精确地描述程序和用户行为，对保证检测的有效性非常重要。

　　2.3基于数据挖掘的入侵检测技术的优点

　　基于数据挖掘的入侵检测技术可以自动地从训练数据中提取出可用于入侵检测的知识和模式经过综合地分析比较，基于数据挖掘的入侵检测系统有以下几点优势：

　　1.智能性好。自动化程度高，基于数据挖掘的检测方法采用了统计学，决策学以及神经网络的多种方法自动地从数据中提取肉眼难以发现的网络行为模式，从而减少了人的参与，减轻了入侵检测分析员的负担，同时也提高了检测的准确性。

　　2.检测效率高。数据挖掘可以自动地对数据进行预处理，抽取数据中的有用部分，有效地减少数据处理t，因而检测效率较高，对于面对网上庞大数据流量的入侵检测系统，这一点是至关重要的。

　　3.自适应能力强。应用数据挖掘方法的检测系统不是基于预定义的检测模型，所以自适应能力强，可以有效地检测新型攻击以及已知攻击的变种。

　　4.误报率低。数据挖掘方法可以有效地剔除重复的攻击数据，因而具有较低的误报率。

　　三、数据挖掘技术在入侵检测中的应用

　　3.1关联规则

　　程序的执行和用户活动展示了系统特征之间的关联。例如，一定权限的程序只能访问特定目录下的某些系统文件，程序员经常编写和编译C文件等等，这些行为模式应该放到正常应用轮廓中去。挖掘关联规则的目的是从数据库表中获取多个特征的关联。给出一组记录，每个记录是一组数据项，一个关联规则定义为：x->Y，[C，S]。其中，X和Y是子数据项，X∩Y=Φ，S=support（X∪Y）称为规则的support值（同时包含X和Y的记录的百分比），C=support（X+Y）/support（X）称为置信度（confidence）

　　3.2序列规则

　　给出一组带有时间戳的事件记录，每个记录是一组数据项。时间间隔[tl，t2]表示事件记录的序列开始于t1，结束于t2，间隔大小定义为t2-tl，X是一个数据项，如果包含X且它的子间隔不包含X，那么这个时间间隔叫做X的最小发生。定义support（X）为包含X的最小发生个数与事件记录总数的比率。一个Frequent Episode规则表示为：X，Y->Z，[C，S，W]，X，Y，Z是数据项，它们合起来表示一个情节。S=support（X∪Y∪Z）是规则的support值。C=support（X∪Y∪Z）/support（X∪Y）是置信度。每个发生的宽度必须小于W。

　　3.3分类算法

　　入侵检侧可以看作是一个分类问题：我们希望能把每一个审计记录分类到可能的类别中，正常或某种特定的入侵。一般来讲，分类根据系统特征进行，关键就是选择正确的系统特征，大多数时候还需要根据经验和实验效果确定一个合理的门限值。

　　四、结论

　　网络入侵检测技术可以对网络上日益增多的攻击行为进行识别和响应，它不仅可以检测来自网络的攻击行为，也可以监督内部用户的未被授权活动。它能主动寻找入侵信号，给网络系统提供对外部攻击、内部攻击和误操作的安全保护。入侵检测分为数据采集、数据分析和响应三个部分。为了寻找入侵行为和痕迹，数据采集从网络系统的多个点进行。采集内容包括系统日志、网络数据包、重要文件以及用户活动的状态与行为等。数据分析则通过模式匹配、异常检测和完整性检测三种技术手段对采集的数据进行分析。入侵检测系统一旦发现入侵行为，立即会进入响应过程，包括日志、告警和安全控制等。

　　参考文献

　　1、向继，高能，荆继武。聚类算法在网络入侵检测中的应用[J].计算机工程，2003，29（16）：48-49，185

　　2、向继东。基于数据挖掘的自适应入侵检测建模研究[D].武汉：武汉大学，2004

　　3、马晓春。数据挖掘在网络入侵检测系统中的应用研究[D].西安：西北工业大学，2005

　　4、李波。基于数据挖掘的异常模式入侵检测研究[D].沈阳：东北大学，2005

　　5、唐正军。入侵检测技术导论[M].北京：机械工业出版社，2004