宋偉奇

【摘 要】以數(shù)據(jù)挖掘的相關(guān)知識(shí)為切入點(diǎn)，系統(tǒng)地闡述數(shù)據(jù)挖掘技術(shù)在校園網(wǎng)入侵檢測中的應(yīng)用途徑，旨在促進(jìn)校園網(wǎng)互聯(lián)網(wǎng)入侵檢測技術(shù)水平的進(jìn)一步提高。

【關(guān)鍵詞】數(shù)據(jù)挖掘 校園網(wǎng) 入侵檢測 互聯(lián)網(wǎng)絡(luò)

【中圖分類號(hào)】G 【文獻(xiàn)標(biāo)識(shí)碼】A

【文章編號(hào)】0450-9889（2016）03C-0184-02

隨著網(wǎng)絡(luò)技術(shù)的不斷普及，學(xué)校網(wǎng)絡(luò)安全問題也日益凸顯出來，面對這種現(xiàn)象，我們應(yīng)當(dāng)采取多種手段，多管齊下，實(shí)現(xiàn)互聯(lián)網(wǎng)絡(luò)的有效防護(hù)。在互聯(lián)網(wǎng)絡(luò)的眾多防護(hù)措施當(dāng)中，入侵檢測是一種動(dòng)態(tài)的防護(hù)策略，一定程度上彌補(bǔ)了靜態(tài)防護(hù)措施的不足，但是這種防護(hù)措施也有其自身的弊端。現(xiàn)階段，我們已經(jīng)很難從大量的信息中找尋有用的信息，為了有效解決上述問題，筆者認(rèn)為可以將數(shù)據(jù)挖掘技術(shù)與入侵檢測系統(tǒng)有機(jī)地結(jié)合起來。

一、數(shù)據(jù)挖掘技術(shù)

所謂數(shù)據(jù)挖掘技術(shù)，是指在大量的數(shù)據(jù)量當(dāng)中，尋求自己所需要的數(shù)據(jù)的過程。數(shù)據(jù)挖掘的對象非常廣泛，可以是數(shù)據(jù)、文件，還可以是Web資源等，也就是說，無論什么樣的數(shù)據(jù)結(jié)合，我們都可以通過數(shù)據(jù)挖掘技術(shù)進(jìn)行數(shù)據(jù)搜索。除此之外，還應(yīng)當(dāng)著重注意的是，數(shù)據(jù)挖掘技術(shù)是一個(gè)螺旋式上升的過程，而不是一個(gè)直線型的過程。

二、計(jì)算機(jī)網(wǎng)絡(luò)入侵的原理

網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)如果符合網(wǎng)絡(luò)發(fā)展的需求，能夠滿足網(wǎng)絡(luò)結(jié)構(gòu)的管理要求，就能夠進(jìn)一步降低網(wǎng)絡(luò)運(yùn)行成本，提高網(wǎng)絡(luò)管理員的工作效率。網(wǎng)絡(luò)管理員在良好的網(wǎng)絡(luò)管理系統(tǒng)的幫助下，能夠獲得一個(gè)非常清晰的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，從而將網(wǎng)絡(luò)運(yùn)行過程中的狀態(tài)數(shù)據(jù)逐步轉(zhuǎn)化為一些非常簡單的圖形提示，并將網(wǎng)絡(luò)中的問題及時(shí)反饋給相應(yīng)的工作者。這種高度的協(xié)同性主要體現(xiàn)在以下兩個(gè)方面，一是企業(yè)內(nèi)部各種信息系統(tǒng)的相互協(xié)同；二是企業(yè)內(nèi)部信息系統(tǒng)與外部信息系統(tǒng)的有效協(xié)同。對于分布式網(wǎng)絡(luò)管理結(jié)構(gòu)來說，計(jì)算機(jī)病毒、黑客、信息垃圾、存儲(chǔ)設(shè)備故障的出現(xiàn)，給其合理的運(yùn)行帶來了安全隱患，這就需要分布式網(wǎng)絡(luò)管理結(jié)構(gòu)進(jìn)一步提高自身的安全防范機(jī)制的建設(shè)，要求企業(yè)采取多種有效措施，進(jìn)一步提高信息資源集成過程中信息資源的安全。

通過構(gòu)造非法ARP報(bào)文，接入層的攻擊主機(jī)回應(yīng)來自本網(wǎng)段的網(wǎng)關(guān)ARP查詢，從而導(dǎo)致其他接入層主機(jī)的ARP表中出現(xiàn)IP地址與MAC地址難以對應(yīng)的問題，其他主機(jī)錯(cuò)誤地以為攻擊主機(jī)就是網(wǎng)關(guān)，這樣，海量的數(shù)據(jù)就會(huì)直接發(fā)送給攻擊主機(jī)。在這種情況下，往往會(huì)產(chǎn)生以下結(jié)果：一是真正的網(wǎng)關(guān)與攻擊主機(jī)并不相同，導(dǎo)致大量的數(shù)據(jù)無法出網(wǎng)，其他主機(jī)無法正常工作。二是攻擊主機(jī)可以解封其他主機(jī)發(fā)來的信息，導(dǎo)致信息泄漏，給計(jì)算機(jī)使用者帶來損失。

三、利用模式匹配的入侵檢測技術(shù)存在的問題

一般入侵檢測系統(tǒng)主要兩類。一是入侵檢測系統(tǒng)中的異常檢測。該種檢測行為是對檢測與可接受行為之間存在的偏差進(jìn)行檢測。異常檢測也存在一定的弊端，就是其檢測出來的異常行為中難以涵蓋所有入侵，不僅如此，入侵檢測系統(tǒng)中所檢測數(shù)來的異常行為中還包括一些非入侵的異常行為。該類模型能夠有效避免漏報(bào)現(xiàn)象的發(fā)生，但是其經(jīng)常會(huì)出現(xiàn)誤報(bào)的現(xiàn)象。二是入侵檢測系統(tǒng)中的誤用檢測。對已知不可接受行為之間的匹配程度進(jìn)行檢測是該類檢測的主要目標(biāo)，其能夠有效地避免誤報(bào)現(xiàn)象的發(fā)生，但是會(huì)經(jīng)常發(fā)生漏報(bào)的現(xiàn)象。該類檢測還有一個(gè)不可忽視的缺點(diǎn)，對于未知的攻擊難以實(shí)現(xiàn)科學(xué)有效的檢測。在具體的應(yīng)用過程中，應(yīng)當(dāng)著重注意特征庫的實(shí)時(shí)更新。

以模型匹配為手段的入侵檢測技術(shù)存在的問題主要包括以下幾個(gè)方面：

（一）準(zhǔn)確性不高。以往，我們以專家知識(shí)的手工編碼來逐步得到有關(guān)規(guī)則的數(shù)據(jù)庫、知識(shí)庫和統(tǒng)計(jì)方法。在這種方法的引導(dǎo)下，相關(guān)學(xué)者一直致力于如何解決檢測手動(dòng)編碼規(guī)則和模式以及選擇異常檢測統(tǒng)計(jì)量等問題?，F(xiàn)如今，在越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境下，我們以往獲得的專家經(jīng)驗(yàn)數(shù)據(jù)會(huì)經(jīng)常出現(xiàn)不完整和不準(zhǔn)確的問題，這就在一定程度上導(dǎo)致現(xiàn)階段入侵檢測系統(tǒng)準(zhǔn)確性不高。

（二）適應(yīng)能力差。專家所分析和了解的攻擊大多數(shù)為已知的攻擊行為和那些已經(jīng)存在的系統(tǒng)缺陷，對于那些不能檢測的未知攻擊則難以實(shí)現(xiàn)有效的預(yù)測，主要原因在于，想要實(shí)現(xiàn)位置預(yù)測，就必須加大學(xué)習(xí)和研究力度，而未知的攻擊行為和系統(tǒng)缺陷具有不確定性，這就直接造成了適應(yīng)能力差的問題。

（三）可擴(kuò)展性不強(qiáng)。由于受到來自社會(huì)環(huán)境的影響，專家規(guī)則與統(tǒng)計(jì)量可能難以化解攻擊行為，在這種情況下，我們很難在其中添加一個(gè)新的檢測模塊。

除此之外，絕大多數(shù)入侵檢測系統(tǒng)都只能處理某一種特定的審計(jì)數(shù)據(jù)源，且?guī)煳募母沦M(fèi)用則較多。不僅如此，近年來計(jì)算機(jī)操作系統(tǒng)日益復(fù)雜，網(wǎng)絡(luò)數(shù)據(jù)流迅速增加。攻擊方式發(fā)生了翻天覆地的變化，相應(yīng)的IDS還難以更新，缺乏必要的整體性，這就導(dǎo)致檢測專家難以在編碼的過程中覆蓋所有的計(jì)算機(jī)攻擊特征。

四、目前流行的幾種數(shù)據(jù)庫入侵檢測技術(shù)

首先，檢測存儲(chǔ)篡改。數(shù)據(jù)庫的存儲(chǔ)篡改對于數(shù)據(jù)庫中的數(shù)據(jù)來說，是一種惡意修改和降低質(zhì)量的行為，存儲(chǔ)篡改的主要目的是通過使數(shù)據(jù)庫中存在的信息錯(cuò)誤化或是降低數(shù)據(jù)庫的信息，達(dá)到妨礙對手行為的目的。從本質(zhì)上來說，存儲(chǔ)篡改就是一種內(nèi)部濫用行為，通過檢測物這種抽象機(jī)制，我們能夠?qū)Υ鎯?chǔ)篡改行為進(jìn)行有效的檢測。如果用戶發(fā)現(xiàn)被檢測物的狀態(tài)不正常，則表示檢測物可能經(jīng)過了存儲(chǔ)篡改，這種方式有利于防止和檢測企圖繞過數(shù)據(jù)庫管理系統(tǒng)的數(shù)據(jù)入侵行為，極大地提高了數(shù)據(jù)庫的安全性。

其次，獨(dú)立于應(yīng)用語義對數(shù)據(jù)庫事務(wù)或用戶進(jìn)行檢測的方式在眾多數(shù)據(jù)庫檢測場合中是難以充分識(shí)別用戶的異常行為的，如果部分管理員難以在正常的情況下突然提高自己的每月工資，但是，在建立獨(dú)立于應(yīng)用語義上的檢測方法下，就可以實(shí)現(xiàn)上述變更，且不會(huì)發(fā)現(xiàn)異常，由此可見，這種異常檢測只能以數(shù)據(jù)庫的應(yīng)用語義為基礎(chǔ)。

最后，數(shù)據(jù)庫具有自己獨(dú)特的SQL語言查詢和事務(wù)處理機(jī)制，在數(shù)據(jù)庫入侵檢測中對用戶使用SQL語句的模式進(jìn)行檢測是其非常重要的內(nèi)容之一。指印是一種入侵檢測方法，它主要以SQL語句為基礎(chǔ)。指印還是一種從合法事務(wù)SQL語句，經(jīng)過不斷的推導(dǎo)而得出來的一種正則表達(dá)式。如果我們發(fā)現(xiàn)指印所代表的用戶行為與指印集相矛盾的話，我們就可以得出這樣的結(jié)論，即用戶的事務(wù)語句可能出現(xiàn)異常行為。指印技術(shù)在互聯(lián)網(wǎng)上的數(shù)據(jù)庫入侵檢測的應(yīng)用范圍非常廣泛，以SQL語句注入為例，因?yàn)槲覀兺ǔ？梢酝ㄟ^使用數(shù)據(jù)庫來實(shí)現(xiàn)對數(shù)據(jù)庫的查詢，然而，這些應(yīng)用則只能夠通過固定的幾種查詢格式來實(shí)現(xiàn)，也就是說不允許用戶自構(gòu)查詢，這就在一定程度上降低了用戶的誤警率。

五、數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用

所謂數(shù)據(jù)挖掘，就是在浩如煙海的數(shù)據(jù)量中找尋我們所需要的數(shù)據(jù)信息，并在此基礎(chǔ)上將信息間存在的模型、規(guī)則以及它們之間存在關(guān)系充分地展現(xiàn)出來。通常情況下，數(shù)據(jù)挖掘任務(wù)主要分為兩個(gè)方面：一是數(shù)據(jù)描述，二是數(shù)據(jù)預(yù)測。前者主要是對數(shù)據(jù)的一般特征進(jìn)行描述，后者主要的作用是在一般特征描述的基礎(chǔ)上對數(shù)據(jù)推理進(jìn)行預(yù)測，也就是說，人們可以通過數(shù)據(jù)挖掘技術(shù)，更深入地了解數(shù)據(jù)信息，該技術(shù)能夠?qū)?shù)據(jù)所潛在的使用價(jià)值呈現(xiàn)在人們的眼前。從本質(zhì)上來說，數(shù)據(jù)挖掘技術(shù)與知識(shí)發(fā)現(xiàn)技術(shù)有一定的相似之處，該技術(shù)的應(yīng)用目的是為了從大量的數(shù)據(jù)當(dāng)中尋求對自己有用的數(shù)據(jù)，根據(jù)這些數(shù)據(jù)特征對數(shù)據(jù)的安全性特征進(jìn)行客觀的分析，從而達(dá)到保護(hù)互聯(lián)網(wǎng)安全的目的。通常情況下，以數(shù)據(jù)挖掘技術(shù)為基礎(chǔ)的入侵檢測需要經(jīng)過一個(gè)流程，從數(shù)據(jù)采集開始一直到數(shù)據(jù)監(jiān)測結(jié)果得出。將數(shù)據(jù)挖掘技術(shù)融入入侵檢測系統(tǒng)中，以歷史數(shù)據(jù)為依據(jù)，對用戶進(jìn)行全面的分析，并在此基礎(chǔ)上逐步總結(jié)出不安全數(shù)據(jù)的入侵規(guī)律，這樣我們就逐步建立起了入侵檢測規(guī)則庫。一般我們可以將數(shù)據(jù)挖掘技術(shù)分為關(guān)聯(lián)分析、序列模式分析、分類分析、聚類分析四類。將數(shù)據(jù)挖掘技術(shù)應(yīng)用到入侵檢測系統(tǒng)當(dāng)中并不是突發(fā)奇想，而是在經(jīng)過長時(shí)間的研究與實(shí)踐的基礎(chǔ)上逐步得出來，其實(shí)從本質(zhì)上來說入侵檢測系統(tǒng)與數(shù)據(jù)挖掘技術(shù)它們在功能上是相近的，都是為了保障網(wǎng)絡(luò)安全，正因如此，我們在將數(shù)據(jù)挖掘技術(shù)應(yīng)用到入侵檢測系統(tǒng)的時(shí)候，應(yīng)當(dāng)將數(shù)據(jù)挖掘技術(shù)的四種類型有機(jī)地結(jié)合在一起，充分發(fā)揮各自的優(yōu)勢，實(shí)現(xiàn)數(shù)據(jù)挖掘技術(shù)的和諧統(tǒng)一。

六、數(shù)據(jù)挖掘技術(shù)在入侵檢測中的技術(shù)優(yōu)勢

將數(shù)據(jù)挖掘技術(shù)同入侵檢測系統(tǒng)有機(jī)地結(jié)合在一起，能夠?qū)崿F(xiàn)入侵檢測技術(shù)水平的進(jìn)一步提高，有效地彌補(bǔ)以往入侵檢測技術(shù)的缺點(diǎn)。具體來說，具有以下幾方面的優(yōu)勢：

第一，數(shù)據(jù)挖掘完整地體現(xiàn)了數(shù)據(jù)分析的過程。通常情況下，數(shù)據(jù)挖掘技術(shù)的流程主要包括數(shù)據(jù)準(zhǔn)備—數(shù)據(jù)預(yù)處理—模型的建立—結(jié)果處理等。該過程也不是一成不變的，它是不斷變化的，也正是由于過程的變化性才能夠得到一個(gè)更好的模型。

第二，數(shù)據(jù)挖掘極大地提高了工作效率，以數(shù)據(jù)挖掘技術(shù)為基礎(chǔ)的關(guān)聯(lián)規(guī)則、序列模式、分類算法應(yīng)用到數(shù)據(jù)入侵檢測過程中，有利于進(jìn)一步提高入侵檢測技術(shù)水平，提高工作效率，切實(shí)保障互聯(lián)網(wǎng)絡(luò)的安全性。

第三，數(shù)據(jù)挖掘的部分算法對于入侵檢測系統(tǒng)來說非常重要，我們常見的算法包括決策樹、關(guān)聯(lián)規(guī)則等。數(shù)據(jù)挖掘技術(shù)在入侵監(jiān)測系統(tǒng)中的應(yīng)用也極大地提高了入侵監(jiān)測系統(tǒng)處理數(shù)據(jù)的效率，避免在數(shù)據(jù)篩選過程中出現(xiàn)的主觀忽視和隱藏信息的問題。

第四，數(shù)據(jù)挖掘技術(shù)的應(yīng)用也在一定程度上拓展了數(shù)據(jù)安全防護(hù)的思路，打破了檢測方法的局限性。不僅如此，將數(shù)據(jù)挖掘技術(shù)同入侵檢測系統(tǒng)有機(jī)結(jié)合在一起，既能夠拓展數(shù)據(jù)安全防護(hù)思路，還能夠逐步形成關(guān)聯(lián)規(guī)則或是建立一個(gè)分類模型。

七、數(shù)據(jù)挖掘技術(shù)在入侵檢測中的發(fā)展趨勢

在未來，數(shù)據(jù)挖掘入侵檢測技術(shù)可能向分布式入侵檢測技術(shù)和高級(jí)智能檢測技術(shù)的方向發(fā)展。前者不僅能檢測網(wǎng)絡(luò)入侵攻擊行為，還能夠?qū)Ψ植际焦暨M(jìn)行檢測，并及時(shí)地提取入侵攻擊的區(qū)局信息。它的出現(xiàn)，改變和豐富了傳統(tǒng)入侵技術(shù)。后者就是根據(jù)不同的檢測機(jī)理或方式實(shí)現(xiàn)對計(jì)算機(jī)網(wǎng)絡(luò)安全性的檢測，該種技術(shù)是以免疫機(jī)理、數(shù)據(jù)挖掘、智能體和遺傳算法等檢測方法為基礎(chǔ)逐步發(fā)展而來的?？梢哉f，數(shù)據(jù)挖掘技術(shù)在入侵檢測中的應(yīng)用并不是一成不變的，它是不斷發(fā)展和創(chuàng)新的。因此，相關(guān)研究者必須做到加大研究力度，進(jìn)一步擴(kuò)大數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用。

【參考文獻(xiàn)】

[1]李玲娟.數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用研究[D].蘇州大學(xué)，2008

[2]姜英.模糊數(shù)據(jù)挖掘技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用[D].曲阜師范大學(xué)，2006

[3]郭春.基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測關(guān)鍵技術(shù)研究[D].北京郵電大學(xué)，2014

（責(zé)編 盧 雯）