基于数据挖掘技术的入侵检测技术.doc

基于数据挖掘技术入侵检测技术 　　【摘要】 入侵检测系统作为一个能对网络入侵行为实施主动防御方法, 是防火墙技术有力补充。不过现有入侵检测系统仍存在一定缺点, 比如时效性等。所以本文就这一问题进行研究, 提出了基于数据挖掘技术入侵检测系统。 　　【关键词】 网络安全 入侵检测 数据挖掘 　　一、 研究意义 　　伴伴随计算机网络飞速发展, 新兴业务也越来越多, 如电子银行、 电子商务等, 这就使得计算机网络安全问题显得更为关键了。网络环境也越来越复杂, 面对这种日趋恶劣网络环境, 入侵检测系统因为缺乏行之有效检测技术和事件处理能力, 所以极难适应, 也就不能确保网络信息安全。现今入侵检测功效仅仅能够把已经知道种种入侵手段进行有效检测效果, 面对未知入侵行为常常是无效, 就算是正常行为, 有时也会产生高误报率, 这些都影响了整个系统性能, 所以怎样有效地提升入侵检测系统实时有效检测性, 降低系统误报率, 提升系统安全性稳定性, 就成了入侵防御关键研究方向。 　　二、 入侵检测技术 　　所谓入侵检测系统是一个对于计算机安全系统多种恶意攻击行为时刻进行分析检测和响应系统。入侵检测系统能够对于计算机系统遭受入侵行为进行实时监测并作出对应地响应, 它能够对于整个系统实施轮回不间断监控, 确保系统时刻安全, 即在用户都没有意识到系统遭到破坏时候, 就已经对入侵行为采取了方法, 切断入侵行为和系统间数据交流。入侵检测系统对于网络中数据行为检测分析并不会影响数据在网络中传输应用, 其对于网络入侵行为自动响应功效给整个计算机安全系统带来了完善确保。全新入侵检测系统拥有智能调整和学习功效, 当检测到网络中入侵行为后, 它不仅能够切断网络中数据交流, 而且还能依据入侵行为特点, 调整防火墙防护策略, 这就形成了一个智能防护系统。入侵检测技术分类: 基于主机入侵检测系统, 基于网络入侵检测系统, 混合型入侵检测系统。入侵检测系统优劣关键取决于入侵检测技术好坏, 所以入侵技术好坏直接关系到整个入侵检测系统检测效率、 误报率及检测效果等性能指标。入侵检测技术关键分为以下三类: 基于异常检测, 基于误用检测, 基于完整性检验检测。 　　三、 入侵检测系统中相关数据挖掘技术应用改善 　　数据挖掘定义是从大量无规律、 杂乱无章数据信息中, 分析其中全部数据, 找出数据间存在规律, 提取出用户所需要信息知识过程, 关键包含数据准备、 规律寻求和规律表示。数据挖掘技术方法分类有: 关联分析算法、 分类分析算法、 聚类分析算法、 序列分析算法。 　　3.1关联规则算法改善 　　3.2聚类算法改善 　　现将经过改善K-均值算法描述以下: 　　输入量: 聚类半径R、 初始聚类个数M及存放原始数据数据库; 输出量: k个聚类。 　　具体计算方法: 1、 确定M个聚类聚类中心{R1, R2, …, Rm}, 设定Rj=Xi, j∈{1, 2, ……m}, i∈{1, 2, ……n}; 2、 经过计算出另外统计Xi（i∈{1, 2, ……n}）所能达成聚类中心距离最小值min; 3、 若min>w, 则得出一个新聚类, 以Xi视作新聚类中心, 接着退出此次聚类操作过程; 4、 不然Xi要分到最近Rj所在聚类; 5、 经过返回3最终到聚类中心值固定。 　　四、 数据挖掘技术在入侵检测系统中应用 　　关联分析数据挖掘算法对于网络中各个接入其中连接用户属性间关系进行分析, 故能够将其用到分析发觉入侵攻击者多种入侵行为间特征关系。利用特征模式提取, 得到正常行为, 以此来判别异常入侵行为。先对大量网络原始数据行为进行搜集, 然后经过关联分析和聚类分析两种数据挖掘算法对原始数据行为集进行挖掘, 搭建出正常行为库, 得出正常行为模式, 然后直接利用刚得到正常行为库数据对前面搜集数据进行过滤, 得到相对纯净数据行为库, 利用数据挖掘技术中分类算法深入区分正常行为和异常行为, 生成误用检测规则, 同时上面过程中形成正常行为库和入侵检测特征模式等都需要不停进行更新, 以应对层出不穷多种入侵行为。前期搜集网络数据行为, 被预处理成包含特定属性网络数据, 如协议类型、 链接地址、 物理地址及入侵端口等。然后才从其中依据数据挖掘算法得到正常网络行为, 用于判定网络入侵行为。 　　五、 结论 　　数据挖掘技术在入侵检测系统中应用, 关键是为了从巨大网络原始数据资源中寻求出存在安全隐患和安全威胁信息, 以及这些信息是以什么规则来入侵网络系统。经过对关联分析数据挖掘算法和聚类分析数据挖掘算法改善, 利用改善后算法对用户和系统多种行为进行特征模式提取, 来判定入侵行为, 由此有效优化入侵检测技术。