張克柱

（宿州職業(yè)技術(shù)學(xué)院計算機系，安徽 宿州234000）

1 引 言

隨著計算機互聯(lián)網(wǎng)和信息化建設(shè)的高速發(fā)展，各高校都建立了自己的校園網(wǎng)，并對外開啟了WEB服務(wù)、FTP服務(wù)、遠(yuǎn)程教學(xué)、資源下載等功能，對內(nèi)開啟了教務(wù)管理、人事管理、財務(wù)管理、學(xué)生管理等功能，實現(xiàn)數(shù)字化校園。每天網(wǎng)絡(luò)用戶訪問量較大，網(wǎng)絡(luò)安全存在極大隱患，加之網(wǎng)絡(luò)攻擊軟件較多，操作系統(tǒng)存在安全漏洞，校園網(wǎng)絡(luò)安全防護體系構(gòu)建迫在眉睫。本文根據(jù)用戶訪問網(wǎng)絡(luò)的相關(guān)日志，利用數(shù)據(jù)挖掘等相關(guān)技術(shù)，構(gòu)建了基于數(shù)據(jù)挖掘技術(shù)的高校網(wǎng)絡(luò)入侵檢測系統(tǒng)，利用該系統(tǒng)可以高效地檢測出可能出現(xiàn)的各種惡意網(wǎng)絡(luò)攻擊行為，并加以防范。

2 相關(guān)技術(shù)

2.1 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)[1]，簡稱IDS，是指對用戶網(wǎng)絡(luò)行為、系統(tǒng)日志等信息進(jìn)行檢測與分析，對可能存在的非法入侵、異常行為等進(jìn)行提前預(yù)警，并進(jìn)行相應(yīng)處理。入侵檢測包括來自外網(wǎng)或內(nèi)網(wǎng)的非授權(quán)用戶行為，該系統(tǒng)將檢測數(shù)據(jù)與原先設(shè)定好的安全策略進(jìn)行比對，對違反策略的異常行為進(jìn)行預(yù)警。

2.1.1 入侵檢測的分類

（1）根據(jù)檢測原理分類

異常檢測：把檢測到的網(wǎng)絡(luò)行為與正常范圍內(nèi)的網(wǎng)絡(luò)行為相比較，超出范圍的，被認(rèn)定為入侵，稱之為異常檢測。異常檢測的優(yōu)點是漏報率低，還能檢測出很多未知的入侵行為，它的缺點是容易誤報，而且誤報率較高。

特征檢測：把檢測到的數(shù)據(jù)具有的特征與原先收集到的入侵行為特征庫相比較，如果發(fā)現(xiàn)相匹配，則認(rèn)定為入侵，并進(jìn)行警告。特征檢測的優(yōu)點是誤報率低，缺點是未發(fā)現(xiàn)過的入侵行為很難發(fā)現(xiàn)，漏報率高，特征庫需要經(jīng)常更新。

協(xié)議分析：根據(jù)網(wǎng)絡(luò)協(xié)議的相關(guān)規(guī)定，確定是否存在網(wǎng)絡(luò)攻擊。

（2）根據(jù)檢測的對象分類

應(yīng)用軟件入侵檢測：對用戶所訪問的應(yīng)用軟件的日志等進(jìn)行分析，判斷用戶是否為非法訪問或存在某種攻擊。

主機型入侵檢測：是指通過主機的審計記錄和系統(tǒng)日志，發(fā)現(xiàn)主機是否存在可疑事件，并給予及時響應(yīng)。

網(wǎng)絡(luò)型入侵檢測：對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行偵聽與分析，發(fā)現(xiàn)網(wǎng)絡(luò)是否存在可疑數(shù)據(jù)。

分布式入侵檢測：是主機入侵系統(tǒng)與網(wǎng)絡(luò)入侵系統(tǒng)相結(jié)合的，每個網(wǎng)段采用的是分布式網(wǎng)絡(luò)型檢測方法，對各網(wǎng)段檢測到的數(shù)據(jù)進(jìn)行統(tǒng)一集中式的管理。

（3）根據(jù)體系結(jié)構(gòu)分類

集中式：整個網(wǎng)絡(luò)有一個中央入侵檢測服務(wù)器，網(wǎng)絡(luò)的每個主機都安裝審計程序，中央入侵檢測服務(wù)器對各主機審計程序發(fā)來的數(shù)據(jù)進(jìn)行分析與處理，從而實現(xiàn)入侵檢測功能。

等級式：將網(wǎng)絡(luò)劃分為多個不同等級的檢測區(qū)域，采用樹狀結(jié)構(gòu)管理，每一級管理本區(qū)域的數(shù)據(jù)檢測，并將檢測分析結(jié)果上傳至上一級。

協(xié)作式：是集中式與等級式體系結(jié)構(gòu)的結(jié)合體，檢測效果較好，但實現(xiàn)起來較難。

2.1.2 當(dāng)前入侵檢測系統(tǒng)存在的問題

（1）不能很好地對網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行全面的檢測

隨著計算機網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)速度越來越快，傳統(tǒng)的數(shù)據(jù)包模式分析入侵檢測技術(shù)已顯得力不從心，因為數(shù)據(jù)包模式分析技術(shù)是對網(wǎng)絡(luò)上接收到的所有數(shù)據(jù)包進(jìn)行分析、匹配，判斷其是否具有某種攻擊特征，在比較的過程中需要消耗大量的系統(tǒng)資源和花費較多的時間，從而影響用戶訪問網(wǎng)絡(luò)的速度。

（2）入侵檢測系統(tǒng)特征庫更新滯后

當(dāng)前入侵檢測系統(tǒng)很多都是采用傳統(tǒng)的特征匹配技術(shù)，只能檢測出特征庫中已有的某種攻擊，所以特征庫更新顯得很重要，只有特征庫及時更新才能檢測出最新的某種攻擊，但目前還沒有更好的方法及時更新特征庫。

圖1 基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)模型

2.2 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘也稱為知識發(fā)現(xiàn)，它是通過對數(shù)據(jù)庫中大量雜亂無章的數(shù)據(jù)進(jìn)行分析，挖掘出其中隱含著的某種有價值的信息，并為管理者提供決策支持。

3 數(shù)據(jù)挖掘在入侵檢測系統(tǒng)中的應(yīng)用研究

針對傳統(tǒng)入侵檢測系統(tǒng)存在的問題，本文把數(shù)據(jù)挖掘技術(shù)融入到入侵檢測系統(tǒng)中去，利用數(shù)據(jù)挖掘技術(shù)從歷史審計數(shù)據(jù)里分別發(fā)現(xiàn)正常和異常數(shù)據(jù)行為所具有的特征，結(jié)合異常檢測和特征檢測技術(shù)，對已知入侵行為作出正確判斷，并提高對未知入侵行為的檢測能力，對DOS攻擊等入侵行為有較好的檢測效果[2]。

3.1 基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)模型設(shè)計

通過對入侵檢測系統(tǒng)的分析，本文設(shè)計了基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型，該系統(tǒng)由數(shù)據(jù)倉庫、感應(yīng)器、檢測器、自適應(yīng)模型生成器等組成，其優(yōu)點是性能較高，擴展性較強，網(wǎng)絡(luò)中多個入侵檢測系統(tǒng)可以相互協(xié)同工作，如圖1所示。

感應(yīng)器：主要是指對網(wǎng)絡(luò)中的原始數(shù)據(jù)進(jìn)行捕捉，得出模型評估用的特征，并把格式化后的數(shù)據(jù)傳輸給檢測器。

檢測器：利用檢測模型對感應(yīng)器傳送過來的數(shù)據(jù)進(jìn)行檢測，檢測其是否存在攻擊行為，并把結(jié)果傳輸至數(shù)據(jù)倉庫。

數(shù)據(jù)倉庫：它是整個模型的中心，主要用于存儲數(shù)據(jù)和模型。

模型生成器：是指通過模型生成器，可以把檢測出來的異常數(shù)據(jù)處理后，產(chǎn)生某種特殊的數(shù)據(jù)，再將此數(shù)據(jù)與數(shù)據(jù)倉庫結(jié)合起來得出新的入侵攻擊特征，并放入入侵特征庫，便于下次遇到此類攻擊能夠及時檢測出來。

報警器：當(dāng)IDS檢測出異常數(shù)據(jù)時，進(jìn)行報警。

3.2 入侵檢測系統(tǒng)中的數(shù)據(jù)挖掘檢測流程設(shè)計

傳統(tǒng)的IDS特征庫建立時，所采用的技術(shù)相對單一。如果采用濫用入侵檢測技術(shù)，則入侵系統(tǒng)特征庫必須要及時更新；如果采用異常入侵檢測技術(shù)，誤報率又很高。為了提高檢測效率，本文采用了關(guān)聯(lián)規(guī)則、序列模式和過濾算法等技術(shù)，在利用關(guān)聯(lián)規(guī)則發(fā)現(xiàn)入侵規(guī)則時，先過濾掉不符合約束條件的數(shù)據(jù)集，從而提高了基于數(shù)據(jù)挖掘的入侵行為檢測的針對性和準(zhǔn)確性[3]。

3.3 入侵檢測系統(tǒng)中的數(shù)據(jù)挖掘步驟

入侵檢測系統(tǒng)中數(shù)據(jù)挖掘的基本步驟為：①將網(wǎng)絡(luò)上檢測到的原始數(shù)據(jù)轉(zhuǎn)化成ASCII碼表示的數(shù)據(jù)包信息。②再將此信息轉(zhuǎn)換為包含服務(wù)類型、連接狀態(tài)、持續(xù)時間等面向網(wǎng)絡(luò)連接的記錄放入數(shù)據(jù)倉庫。③利用數(shù)據(jù)挖掘中的關(guān)聯(lián)規(guī)則、序列模式挖掘等技術(shù)從網(wǎng)絡(luò)連接記錄數(shù)據(jù)中得出異常數(shù)據(jù)特征。④根據(jù)數(shù)據(jù)特征利用分類器得出入侵檢測模型。如果此特征檢測效果不明顯，則利用數(shù)據(jù)挖掘技術(shù)重新計算，繼續(xù)改進(jìn)檢測模型。如圖2所示。

圖2 入侵檢測系統(tǒng)中的數(shù)據(jù)挖掘步驟

3.4 數(shù)據(jù)庫過濾算法

在基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)中，主要是根據(jù)用戶的需求，確定被挖掘的原始數(shù)據(jù)庫，并設(shè)定一個最小閾值。為了提高數(shù)據(jù)挖掘的執(zhí)行效率，準(zhǔn)確找出入侵行為，在數(shù)據(jù)挖掘算法中還需加入異常數(shù)據(jù)約束條件。

假設(shè)原始數(shù)據(jù)庫為D，加入異常數(shù)據(jù)約束條件A后生成的數(shù)據(jù)庫為M，則可表示為：

if（t滿足A） ／／t是D數(shù)據(jù)庫中的項目

把t加入數(shù)據(jù)庫M

endif

4 測試結(jié)果

為測試該系統(tǒng)的入侵檢測能力，在局域網(wǎng)中通過3臺電腦做了實驗，安裝了WEB服務(wù)、E－mail服務(wù)、FTP服務(wù)的A機器作為被入侵的對象，安裝基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的B機器作為入侵檢測機器，C機器作為攻擊機，其中，C機器在網(wǎng)上下載了很多攻擊軟件，利用攻擊軟件對A機器發(fā)動FTP、CGI等各種攻擊，通過測試發(fā)現(xiàn)，安裝了該入侵檢測系統(tǒng)的對網(wǎng)絡(luò)綜合性能影響不大，但沒有安裝入侵檢測系統(tǒng)的對網(wǎng)絡(luò)綜合性能隨著網(wǎng)絡(luò)攻擊的時間增加，網(wǎng)絡(luò)性能很差。

[1]吳慶濤，邵志清.入侵檢測研究綜述[J].計算機應(yīng)用研究，2005，（12）：3－6.

[2]徐興元，傅和平，熊中朝.基于數(shù)據(jù)挖掘的入侵檢測技術(shù)研究[J].微計算機信息，2007，（09）：74－75.

[3]蔡勇，鄢志輝，周強.數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測系統(tǒng)中的應(yīng)用[J].重慶電子工程職業(yè)學(xué)院學(xué)報，2010，（03）：164－166.