基于数据挖掘的入侵检测技术.doc.docVIP

基于数据挖掘的入侵检测技术 【摘 要】：入侵检测技术是一种重要的网络信息安全主动防御技术。将数据挖掘枝术应用于入侵检测中，有利于提高入侵检测的准确率，成为入侵检测领域的研究热点。对基于数据挖掘的入侵检测技术进行阐述、分析和比较，并对数据挖掘领域中的新技术 ( G E P )应 用于入侵检测 系统进行 了展 望。 【关键词】：数据挖掘 ；入侵检测 ；技术 ；G E P ； 1引言 防火墙是保护内部网络安全的第一道防线，入侵检测技术是防火墙技术的合理补充，可以提供对内部攻击、外部攻击及误操作的实时保护。所谓入侵是指未经授权的系统用户窃取或试图窃取系统的访问权限，以及系统的授权用户超出被授予访问权限利用系统资源的行为，这种行为危害系统的完整性、保密性和可用性。 入侵检测系统 ( I DS ：I n t r u s i o n De t e c t i o n S y s t e m)i n t r u s i o n d e t e c t i o n s y s t e m，I DS ) 。 3.入侵检测技术的分类 3.1按照分析技术分类 按照分析检测所采用的技术分类，可以将入侵检测技术分为两类：异常检测与误用检测。 3.1.1异常检测技术——基于行为的检测 异常检测 ( An o ma l y De t e c t i o n Mo d e 1 ) 的思想是 ： 入侵行为通常和正常行为存在严重的差异 ，通过检查这些差异可以检测出入侵。由于异常检测系统具有检测未知入侵场景的能力，可以发现一些未知的入侵行为，近年来倍受瞩目。然而，误报率高；行为模型建立困难；难以对入侵行为进行分类和命名也是异常检测技术的难题所在。近年来，不少研究人员提出了基于神经网络、免疫算法、聚类分析的检测技术，试图解决传统检测技术中存在的虚假警报、缺乏检测未知或变形攻击的能力等问题。 3.1.2误用检测技术——基于知识的检测 滥用检测 ( Mi s u s e De t e c t i o n Mo d e ) 假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，检测的准确度高，但对新的入侵方法无能为力。其难点在于如 何使设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。 3.2按照数据源分类 根据收集到的数据的来源，入侵检测可以分为3类：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式检测系统 3.2.1基于主机入侵的检测系统 基于主机的入侵检测系统，其检测的目标是主机系统，是从单个主机上提取系统数据作为入侵分析的数据源，通过分析特定主机上的行为来检测是否发生入侵。在每个需要保护的主机上运行代理程序时，信息的主要来源通常是主机的审计数据和系统的日志或者受保护的文件系统等。 3.2.2基于网络的入侵检测系统 基于网络的入侵检测系统是将网络中流动的分组作为入侵分析的数据源。随着网络规模和技术的不断发展，单独依靠基于主机的入侵检测系统已经难以适应网络的安全需要。基于网络的入侵检测系统可以对网络中的多个主机进行检测，通过分析网络行为特征来检测被保护网络中发生的入侵事件。基于网络的入侵检测系统通常利用网卡获取信息，监视和分析网络的通信。进行入侵检测的检测器分布在网络中受保护的服务器和客户端之中，检测器检测的结果被汇集起来并进行综合分析。基于网络的入侵检测系统的优点在于可以通过少量的IDS检测中给网段，实时性、扩展性良好，不需要特殊的审计。缺点在于对于网络流量大，需要处理分组较多时，很难检测到多有入侵行为。所以基于网络的入侵检测系统和基于主机的入侵检测系统在实际应用中应该在功能上相互补充。 3.2.3分布式检测系统 分布式检测系统的目标在于既能检测网络的入侵行为，又能检测主机的入侵行为。 4.常用的入侵检测技术 4.1模式匹配 模式匹配时入侵检测技术中最常用的方法，就是对已知的网络入侵行为的特殊进行编码，形成系统入侵行为模式库。在进行入侵检测是，将收集到的信息与已知的模式进行比较，从为发现违背安全策略的入侵行为。 4.2.统计分析 统计分析是最早且被广泛使用的入侵检测技术，这种方法首先针对被保护的对象在正常情况下的行为特征创建一个统计描述，审计每个被监视的目标对系统的使用情况，根据系统内部保存的用户行为概率统计度量描述进行检测，如果行为特征的当前值在正常值范围之外时，就认为有入侵发生。统计分析的关键是从描述系统或网络的行为和状态的属性中选择一组统计度量，并根据历史数据建立正常的变化范围。 4.3基于专家系统的入侵检测技术 基于专家系统的入侵检测技术是基于安全领域专家的知识和经验对可疑行为进行分析判断的技术。专家的经验和知识可以用来形成推理规则、层