資源描述:
《基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的設計與實現(xiàn)》由會員上傳分享,免費在線閱讀��,更多相關內(nèi)容在行業(yè)資料-天天文庫��。
1��、基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的設計與實現(xiàn) 彭茹(北京城市學院中關村學部北京100083) 摘要:入侵檢測是網(wǎng)絡安全領域的一個重要技術��,也是當前網(wǎng)絡安全理論研究的一個熱點�����。本文提出了一個基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)DMIDS�,并詳細介紹了DMIDS的基本思想��,闡述其結構及主要功能,著重分析了該系統(tǒng)的數(shù)據(jù)挖掘過程�����。關鍵詞:入侵檢測�;網(wǎng)絡安全;數(shù)據(jù)挖掘中圖分類號:TP311.52?文獻標識碼:A文章編號:1008-4851(2005)-02-088-05????由于Internet自身的缺陷�����、網(wǎng)絡的開放性以及黑
2����、客的攻擊等造成了網(wǎng)絡的不安全。越來越多的系統(tǒng)遭受到入侵攻擊的威脅�����,這些威脅大多數(shù)是通過利用操作系統(tǒng)和應用服務程序的弱點或缺陷(bug)來實現(xiàn)的����。1988年“蠕蟲事件”使得Internet近5天無法使用。2000年2月在短短的3天時間里美國數(shù)家頂級互聯(lián)網(wǎng)站—雅虎����、亞馬遜����、電子港灣�、CNN等因受到黑客攻擊而陷入癱瘓。保障計算機網(wǎng)絡系統(tǒng)及整個信息基礎設施的安全非常重要�����,它甚至關系到國家的安全和社會的穩(wěn)定�����。目前雖然使用了防火墻���、加密��、身份認證��、訪問控制、安全路由器�、虛擬專用網(wǎng)(VPN)、防病毒軟件等安全技術來
3���、提高信息系統(tǒng)的安全�,這些對防止系統(tǒng)被非法入侵有一定的效果,但只是起著防御的功能����,不能完全阻止入侵者通過蠻力攻擊或利用計算機軟硬件系統(tǒng)的缺陷闖入未授權的計算機或濫用計算機及網(wǎng)絡資源。要保證計算機及網(wǎng)絡系統(tǒng)的安全�����,需要一種能及時發(fā)現(xiàn)入侵�����、成功阻止入侵�����,并在事后對入侵進行分析�,查明系統(tǒng)漏洞并及時修補的網(wǎng)絡安全技術,這就是入侵檢測技術����。入侵檢測系統(tǒng)既可以對單機進行檢測,也可以對整個網(wǎng)絡進行檢測��,既可以實時檢測����,又可以事后檢測����。入侵檢測系統(tǒng)優(yōu)于其它安全系統(tǒng)的是����,它可以保證網(wǎng)絡的安全運行,簡化系統(tǒng)的管理�����,構成了一
4���、個主動的���、智能的安全防護體系。入侵檢測系統(tǒng)越來越成為網(wǎng)絡安全的關鍵���。因此����,入侵檢測是非常必要的�����?��! ∪肭謾z測系統(tǒng)是一種主動的網(wǎng)絡安全防護措施���,它從系統(tǒng)內(nèi)部和各種網(wǎng)絡資源中主動采集信息,從中分析可能的網(wǎng)絡入侵��。入侵檢測是一個全新的����、快速發(fā)展的領域。入侵檢測的概念是八十年代初Anderson首先提出的���,并提出用審計追蹤監(jiān)視入侵威脅��。從那時起開展了早期預警系統(tǒng)及入侵檢測技術的研究�����,出現(xiàn)了大量的產(chǎn)品��?! ∪肭謾z測技術經(jīng)過幾十年的發(fā)展,從以前單機的入侵檢測到現(xiàn)在的網(wǎng)絡入侵檢測�,從基于主機的到基于網(wǎng)絡的入侵檢測,
5���、從集中式的入侵檢測到分布式的入侵檢測���,以及各種相關技術的應用,使得入侵檢測系統(tǒng)正朝著實時���、高效和智能化的方向發(fā)展���。將數(shù)據(jù)挖掘技術應用于入侵檢測中的研究成果表明,數(shù)據(jù)挖掘技術可能成為大規(guī)模入侵檢測系統(tǒng)中的重要技術����,將是實現(xiàn)入侵檢測的一個重要技術,值得深入研究�。 目前��,我國計算機網(wǎng)絡的發(fā)展水平���、安全技術和管理手段都落后于國際水平��。我國在安全方面的研究經(jīng)歷了通信保密��、計算機數(shù)據(jù)保護兩個發(fā)展階段�,正在進入網(wǎng)絡安全的研究階段���。對系統(tǒng)脆弱性評估及入侵檢測的研究�,國內(nèi)還剛剛開始�����?�! 】傊?����,入侵檢測的發(fā)展還處于初級
6��、階段�,其研究領域非常廣闊,涉及的內(nèi)容也非常的多���,許多關鍵技術都未取得突破性進展��。為了提高信息系統(tǒng)的防護能力��,我國應盡快填補這方面的空白����。 入侵檢測模型是描述網(wǎng)絡或用戶行為是正常行為還是入侵行為的一套機制�,包括規(guī)則集、決策樹�����、系統(tǒng)狀態(tài)�����、統(tǒng)計輪廓等����。在收到系統(tǒng)或網(wǎng)絡的原始數(shù)據(jù)后,如何建立入侵檢測模型是入侵檢測領域的研究重點�����。數(shù)據(jù)挖掘的優(yōu)勢在于它能從大量的數(shù)據(jù)中提取人們感興趣的、事先未知的知識和規(guī)律���,而不依賴經(jīng)驗��。利用數(shù)據(jù)挖掘技術實現(xiàn)入侵檢測在國內(nèi)外都是一種新的嘗試�?���!?一����、基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的設
7、計??入侵檢測基于兩個基本的前提:一是系統(tǒng)活動是可以觀察到的���;二是合法行為和入侵行為是可以區(qū)分的����,也就是說可以通過提取用戶行為的特征來分析���、判斷該行為的合法性���。將從原始審計數(shù)據(jù)或網(wǎng)絡數(shù)據(jù)中提取出來的證據(jù)稱為“特征”�,使用“特征”建立和評價入侵檢測模型���。特征提取就是確定從原始審計數(shù)據(jù)或網(wǎng)絡數(shù)據(jù)中提取那些包含關鍵行為并對分析最有用的證據(jù)�。因此��,建立一個入侵檢測系統(tǒng)需要解決兩個基本問題:一個是如何充分��、可靠地提取特征���;二是如何高效��、準確地判斷行為的合法性����。??一個網(wǎng)絡服務�,其正常服務時的網(wǎng)絡流量有一定的模式
8、�,當發(fā)生入侵時,網(wǎng)絡流量模式與正常網(wǎng)絡流量模式有著明顯的區(qū)別����;一個程序正常運行時產(chǎn)生的系統(tǒng)調用序列是有一定模式的,與非法操作時產(chǎn)生的系統(tǒng)調用序列有著明顯的不同�。因此�,可以利用數(shù)據(jù)挖掘技術��,對大量的網(wǎng)絡流量日志和系統(tǒng)日志進行挖掘�����,以挖掘出正常行為輪廓和攻擊模式�����。??本文將數(shù)據(jù)挖掘技術應用于入侵檢測中����,設計和建立了一個基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)(DataMiningBasedontheIntrusionDetectionSystem��,縮寫為DMIDS)����,目的
