数据挖掘在入侵检测中的应用

1 引言

    随着计算机网络的重要性越来越大。网络入侵者所采用的攻击技术与手段也在不断的发展变化。网络安全已成为计算机领域的重要研究课题之一。各种网络入侵事件也促进了网络安全技术的发展，目前实现网络安全采取的主要技术手段有防火墙、身份认证系统等，大多属于静态安全技术，对防止系统非法入侵起到了一定的作用，但从安全管理角度来说，仅有防御是不够的，还应采用动态策略。入侵检测(Intrusion Detection)技术就是一种动态策略，它以探测与控制技术为本质，能够对网络安全实施实时监控、攻击与反攻击等动态保护。是网络安全中重要的部分，因此对人侵检测技术的研究具有很强的现实性和紧迫性。

2 入侵检测系统
    入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测(Misuse Detetion)或异常检测(Anomaly Detection) 的方式，发现非授权的或恶意的系统及网络行为，为防范人侵行为提供有效的手段。主要采用以下几种检测机制:

2.1模式匹配
    模式匹配就是将收集到的信息与已知的网络入侵进行比较，来发现违背安全策略的入侵行为。只需收集相关的数据集合就能进行判断，能减少系统占用，且技术相当成熟，检测准确率和效率也相当高。但是，该技术需要不断进行升级以对付新的攻击手法。

2.2异常检测
    异常检测首先给系统对象创建一个统计描述，包括统计正常使用时的测量属性。测最属性的平均值被用来与网络、系统的行为进行比较，当观察值在正常值范围之外时，系统就会判断有入侵发生。其优点是可以检测到未知入侵和复杂的入侵，但是误报、漏报率高。

2.3协议分析
    协议分析是在传统模式匹配基础之上发展起来的一种新的技术。它充分利用了网络协议的高度有序性，并结合高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在。大大减少计算量，即使在高负载的高速网络上，也能逐个分析所有的数据包。

3 数据挖掘技术

    数据挖掘 (Data Mining)是从大量的、不完全的、有噪声的、模糊的、随机的数据中提取隐含在其中的、们事先不知道的、但又是潜在有用的信息和知识的过程。引入数据挖掘技术，应用于人浸检测系统中，完成从大量数据中自动提取出模型的过程。在建立攻击检测系统过程中消除人为因素和特定因素，为其开发一套能从各种审计数据中产生攻击检测模型的自动工具。应用关联分析和序列模式分析等算法，发现特征之间的关联和与时序有关的联系，从而完成用户数据收集与特征选择过程。

4 数据挖掘技术在入侵检测中的应用

4.1关联规则挖掘
    关联规则是数据挖掘中最为广泛应用的技术之一，也是最早用于人侵检测的技术。最早运用这种技术是作为一种工具去产生关于网络流的报告。
    发现关联规则问题就是发现所有支持度和可信度均超过规定闭值的关联规则，这个发现过程夯为两步:第一步识别所有的频繁项目集即所有支持度不低于用户规定的最小支持度闹值的项目集;第气步是从第一步得到的频繁集中构造可信度不低于用户规定的最小可信度闹值的规则。应用在网络流量分析上我们将一次连接看作是一个事务T，将采集到的很多连接记录组成事务数据库D，每个事务T由duration，service，src_host，dst_host，dst_bytes，flag共7项组成，事务的唯一标识符为time，其中service为服务(或目的的端口)，src_host为源主机，dst_host为目的主机，dst_host为源主机发出的数据包大小，flag为标记。