資源描述:
《基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)》由會員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1��、基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) 彭茹(北京城市學(xué)院中關(guān)村學(xué)部北京100083) 摘要:入侵檢測是網(wǎng)絡(luò)安全領(lǐng)域的一個重要技術(shù)��,也是當(dāng)前網(wǎng)絡(luò)安全理論研究的一個熱點(diǎn)。本文提出了一個基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)DMIDS�,并詳細(xì)介紹了DMIDS的基本思想�,闡述其結(jié)構(gòu)及主要功能,著重分析了該系統(tǒng)的數(shù)據(jù)挖掘過程。關(guān)鍵詞:入侵檢測���;網(wǎng)絡(luò)安全;數(shù)據(jù)挖掘中圖分類號:TP311.52?文獻(xiàn)標(biāo)識碼:A文章編號:1008-4851(2005)-02-088-05????由于Internet自身的缺陷�����、網(wǎng)絡(luò)的開放性以及黑
2、客的攻擊等造成了網(wǎng)絡(luò)的不安全��。越來越多的系統(tǒng)遭受到入侵攻擊的威脅�,這些威脅大多數(shù)是通過利用操作系統(tǒng)和應(yīng)用服務(wù)程序的弱點(diǎn)或缺陷(bug)來實(shí)現(xiàn)的�����。1988年“蠕蟲事件”使得Internet近5天無法使用�����。2000年2月在短短的3天時(shí)間里美國數(shù)家頂級互聯(lián)網(wǎng)站—雅虎、亞馬遜、電子港灣、CNN等因受到黑客攻擊而陷入癱瘓�。保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)及整個信息基礎(chǔ)設(shè)施的安全非常重要���,它甚至關(guān)系到國家的安全和社會的穩(wěn)定��。目前雖然使用了防火墻���、加密��、身份認(rèn)證���、訪問控制���、安全路由器�、虛擬專用網(wǎng)(VPN)�、防病毒軟件等安全技術(shù)來
3�、提高信息系統(tǒng)的安全,這些對防止系統(tǒng)被非法入侵有一定的效果���,但只是起著防御的功能,不能完全阻止入侵者通過蠻力攻擊或利用計(jì)算機(jī)軟硬件系統(tǒng)的缺陷闖入未授權(quán)的計(jì)算機(jī)或?yàn)E用計(jì)算機(jī)及網(wǎng)絡(luò)資源�。要保證計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全���,需要一種能及時(shí)發(fā)現(xiàn)入侵���、成功阻止入侵�,并在事后對入侵進(jìn)行分析,查明系統(tǒng)漏洞并及時(shí)修補(bǔ)的網(wǎng)絡(luò)安全技術(shù)��,這就是入侵檢測技術(shù)����。入侵檢測系統(tǒng)既可以對單機(jī)進(jìn)行檢測,也可以對整個網(wǎng)絡(luò)進(jìn)行檢測�,既可以實(shí)時(shí)檢測��,又可以事后檢測�。入侵檢測系統(tǒng)優(yōu)于其它安全系統(tǒng)的是�����,它可以保證網(wǎng)絡(luò)的安全運(yùn)行����,簡化系統(tǒng)的管理,構(gòu)成了一
4����、個主動的���、智能的安全防護(hù)體系�����。入侵檢測系統(tǒng)越來越成為網(wǎng)絡(luò)安全的關(guān)鍵�。因此���,入侵檢測是非常必要的?���! ∪肭謾z測系統(tǒng)是一種主動的網(wǎng)絡(luò)安全防護(hù)措施,它從系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動采集信息�����,從中分析可能的網(wǎng)絡(luò)入侵。入侵檢測是一個全新的���、快速發(fā)展的領(lǐng)域。入侵檢測的概念是八十年代初Anderson首先提出的�,并提出用審計(jì)追蹤監(jiān)視入侵威脅。從那時(shí)起開展了早期預(yù)警系統(tǒng)及入侵檢測技術(shù)的研究,出現(xiàn)了大量的產(chǎn)品?! ∪肭謾z測技術(shù)經(jīng)過幾十年的發(fā)展�����,從以前單機(jī)的入侵檢測到現(xiàn)在的網(wǎng)絡(luò)入侵檢測��,從基于主機(jī)的到基于網(wǎng)絡(luò)的入侵檢測��,
5���、從集中式的入侵檢測到分布式的入侵檢測�,以及各種相關(guān)技術(shù)的應(yīng)用����,使得入侵檢測系統(tǒng)正朝著實(shí)時(shí)�、高效和智能化的方向發(fā)展。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測中的研究成果表明�,數(shù)據(jù)挖掘技術(shù)可能成為大規(guī)模入侵檢測系統(tǒng)中的重要技術(shù),將是實(shí)現(xiàn)入侵檢測的一個重要技術(shù)�,值得深入研究���?��! ∧壳?����,我國計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展水平�����、安全技術(shù)和管理手段都落后于國際水平。我國在安全方面的研究經(jīng)歷了通信保密�、計(jì)算機(jī)數(shù)據(jù)保護(hù)兩個發(fā)展階段���,正在進(jìn)入網(wǎng)絡(luò)安全的研究階段��。對系統(tǒng)脆弱性評估及入侵檢測的研究,國內(nèi)還剛剛開始����。 總之,入侵檢測的發(fā)展還處于初級
6����、階段�,其研究領(lǐng)域非常廣闊�,涉及的內(nèi)容也非常的多���,許多關(guān)鍵技術(shù)都未取得突破性進(jìn)展。為了提高信息系統(tǒng)的防護(hù)能力�����,我國應(yīng)盡快填補(bǔ)這方面的空白?����! ∪肭謾z測模型是描述網(wǎng)絡(luò)或用戶行為是正常行為還是入侵行為的一套機(jī)制,包括規(guī)則集���、決策樹�����、系統(tǒng)狀態(tài)��、統(tǒng)計(jì)輪廓等���。在收到系統(tǒng)或網(wǎng)絡(luò)的原始數(shù)據(jù)后���,如何建立入侵檢測模型是入侵檢測領(lǐng)域的研究重點(diǎn)��。數(shù)據(jù)挖掘的優(yōu)勢在于它能從大量的數(shù)據(jù)中提取人們感興趣的�����、事先未知的知識和規(guī)律,而不依賴經(jīng)驗(yàn)。利用數(shù)據(jù)挖掘技術(shù)實(shí)現(xiàn)入侵檢測在國內(nèi)外都是一種新的嘗試�?��!?一�、基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的設(shè)
7�����、計(jì)??入侵檢測基于兩個基本的前提:一是系統(tǒng)活動是可以觀察到的;二是合法行為和入侵行為是可以區(qū)分的����,也就是說可以通過提取用戶行為的特征來分析、判斷該行為的合法性。將從原始審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)中提取出來的證據(jù)稱為“特征”��,使用“特征”建立和評價(jià)入侵檢測模型��。特征提取就是確定從原始審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)中提取那些包含關(guān)鍵行為并對分析最有用的證據(jù)��。因此,建立一個入侵檢測系統(tǒng)需要解決兩個基本問題:一個是如何充分����、可靠地提取特征;二是如何高效��、準(zhǔn)確地判斷行為的合法性。??一個網(wǎng)絡(luò)服務(wù)��,其正常服務(wù)時(shí)的網(wǎng)絡(luò)流量有一定的模式
8���、����,當(dāng)發(fā)生入侵時(shí)��,網(wǎng)絡(luò)流量模式與正常網(wǎng)絡(luò)流量模式有著明顯的區(qū)別��;一個程序正常運(yùn)行時(shí)產(chǎn)生的系統(tǒng)調(diào)用序列是有一定模式的����,與非法操作時(shí)產(chǎn)生的系統(tǒng)調(diào)用序列有著明顯的不同��。因此����,可以利用數(shù)據(jù)挖掘技術(shù)�����,對大量的網(wǎng)絡(luò)流量日志和系統(tǒng)日志進(jìn)行挖掘,以挖掘出正常行為輪廓和攻擊模式。??本文將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測中���,設(shè)計(jì)和建立了一個基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)(DataMiningBasedontheIntrusionDetectionSystem,縮寫為DMIDS)�,目的
