數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

    1.引言

     隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)給走進了人們的生活、娛樂和工作中，但互聯(lián)網(wǎng)的開放性和安全性是一對矛盾體，因此由于互聯(lián)網(wǎng)的無主管性、跨I目性、不設(shè)防性，網(wǎng)絡(luò)給人們帶來便利的同時，網(wǎng)絡(luò)安全問題越來越突出。網(wǎng)絡(luò)入侵檢測是網(wǎng)絡(luò)安全系統(tǒng)的重要組成部分，其對未經(jīng)授權(quán)的使用、濫用網(wǎng)絡(luò)資源的行為進行檢測，具有保護信息完整性、機密性作用。

     網(wǎng)絡(luò)入侵檢測方法包括異常入侵檢測和誤用入侵檢測方法。誤用入侵檢測方法認(rèn)為異常行為和正常行為之間的交集很大，其檢測結(jié)果與檢測知識庫完備性密切相關(guān)，不能發(fā)現(xiàn)新入侵行為，檢測結(jié)果沒有實際意義，因此異常入侵檢測方法是當(dāng)前網(wǎng)絡(luò)入侵檢測要研究方向。基于異常入侵檢測系統(tǒng)采用技術(shù)主要有統(tǒng)計法、貝葉斯網(wǎng)絡(luò)、神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘等方法。基于統(tǒng)計的異常入侵檢測是最為傳統(tǒng)的網(wǎng)絡(luò)入侵檢測技術(shù)，其只能對小規(guī)模網(wǎng)絡(luò)檢測，對大大規(guī)模網(wǎng)絡(luò)存在檢測速度，效率低的缺陷。貝葉斯網(wǎng)絡(luò)、神經(jīng)網(wǎng)絡(luò)檢測速度快，但是誤警率較高，自適應(yīng)能力較差，不適合于現(xiàn)代入侵手段多樣化互聯(lián)網(wǎng)。數(shù)據(jù)挖掘技術(shù)主要對互聯(lián)網(wǎng)導(dǎo)審計紀(jì)錄進行分析，從中挖掘隱含的、實現(xiàn)未知的潛在有用信息，并用這些信息去檢測異常入侵和已知的入侵，成為當(dāng)前最主要的網(wǎng)絡(luò)入侵檢測工具。其中人工免疫是近些年發(fā)展起來的新的數(shù)據(jù)挖掘方法，是受到生物免疫啟發(fā)發(fā)展而來的，具有布式計算，自適應(yīng)和自我監(jiān)控、動態(tài)學(xué)習(xí)能力，能夠克服傳統(tǒng)技術(shù)中存在的一些缺陷，能夠其動態(tài)性適合系統(tǒng)環(huán)境變化，從而實現(xiàn)對未知攻擊的實時防御，因此人工免疫算法為網(wǎng)絡(luò)入侵異常檢測提供了一個嶄新思路和有效的方法。

    由于網(wǎng)絡(luò)入侵檢測系統(tǒng)與人工免疫系統(tǒng)工作原理具有很大的相似性，針對網(wǎng)絡(luò)入侵檢測的特點，本文提出一種人工免疫網(wǎng)絡(luò)入侵檢測方法，將其應(yīng)用于網(wǎng)絡(luò)安全防范中。

    2.網(wǎng)絡(luò)入侵檢測原理

    網(wǎng)絡(luò)入侵檢測是一種主動的安全防護措施，它從系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動采集信息，分析可能的入侵攻擊行為，有效地擴展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。網(wǎng)絡(luò)入侵檢測系統(tǒng)模型如圖1所示。

圖1 網(wǎng)絡(luò)入侵檢測系統(tǒng)模型

    網(wǎng)絡(luò)入侵檢測系統(tǒng)就是防止內(nèi)部和外部的入侵行為對網(wǎng)絡(luò)系統(tǒng)的侵害。而人工免疫系統(tǒng)足識別自體和非自體，保護人體不受外來病原侵害，其角色類似于網(wǎng)絡(luò)系統(tǒng)中的入侵檢測系統(tǒng)，而其它方法沒有這樣優(yōu)越性，因此，本文將人工免疫系統(tǒng)引入到網(wǎng)絡(luò)入侵檢測系統(tǒng)中，建立一種基于人工免疫的網(wǎng)絡(luò)入侵檢測系統(tǒng)，很好的解決網(wǎng)絡(luò)統(tǒng)中發(fā)生頻繁的、形式變化多樣的入侵和攻擊檢測問題，從而提高網(wǎng)絡(luò)系統(tǒng)的安全性。人工免疫和網(wǎng)絡(luò)入侵檢測系統(tǒng)的映射關(guān)系如圖2所示。

圖2 人工免疫和網(wǎng)絡(luò)檢測系統(tǒng)的映射關(guān)系

   3.人工免疫的網(wǎng)絡(luò)入侵檢測系統(tǒng)

    3.1 網(wǎng)絡(luò)入侵檢測模型設(shè)計

    3.1.1 抗體/抗原

    在網(wǎng)絡(luò)入侵檢測系統(tǒng)中，抗原(Ag)為網(wǎng)絡(luò)中對外來入侵的免疫，即表示網(wǎng)絡(luò)中待檢測的網(wǎng)絡(luò)數(shù)據(jù)，抗原集合定義為：

    Ag=(Ag1，Ag2，...，Agi)，(i=1，2，...，n)  (1)

    在網(wǎng)絡(luò)入侵檢測系統(tǒng)中，抗體表示入侵檢測系統(tǒng)，抗體集合定義為：

    Ab=(Abl，Ab2，...，Abi)，(i=1，2，...，n)  (2)

    3.1.2 自我/非自我

    在基于人工免疫的網(wǎng)絡(luò)入侵檢測系統(tǒng)，首先面臨問題是如何定義自我和非自我，對于不I司的領(lǐng)域，其定義不同。對于網(wǎng)絡(luò)入侵檢測系統(tǒng)，自我表爾計算機網(wǎng)絡(luò)中正常的連接集合，而非自我表示自網(wǎng)絡(luò)攻擊的IP數(shù)據(jù)包，客戶越權(quán)使用網(wǎng)絡(luò)服務(wù)，違反信任機制，非法網(wǎng)絡(luò)服務(wù)訪問，通過繞過網(wǎng)絡(luò)安全設(shè)備，冒充合法客戶等。

    3.1.3人工免疫系統(tǒng)的編碼

    在人工免疫系統(tǒng)中，對抗體和抗原表示方式，目前有二進制和實值向囂兩種表示方法。對于網(wǎng)絡(luò)入侵檢測系統(tǒng)，由于每一個網(wǎng)絡(luò)數(shù)據(jù)樣本包含多個特征屬性，其中一些是離散數(shù)據(jù)，另一些是連續(xù)數(shù)據(jù)，由于二進制編碼方式比較成熟，且編碼方式錄活，因此本文采用二進制編碼方式對抗體和抗原進行編碼。

    3.1.4 檢測器構(gòu)造

    基于人工免疫機制入侵檢測系統(tǒng)中，檢測器相當(dāng)免疫系統(tǒng)的淋巴細(xì)胞，主要足對外來人侵進行檢測。

    1)檢測器集合的產(chǎn)生。在網(wǎng)絡(luò)入侵檢測系統(tǒng)中，由多個檢測器組成檢測器集合。首先產(chǎn)生一個自我的字符集合，即正常的網(wǎng)絡(luò)連接。然后根據(jù)免疫系統(tǒng)的陰性選擇原則，得到成熟檢測器集合。因此產(chǎn)生的成熟檢測器集合和自我的字符集合不匹配，兩者是互補的，即這個過程叫入侵“審查”。成熟檢測器的產(chǎn)生過程如圖3所示。

圖3 成熟檢測器的產(chǎn)生過程

    2)檢測器的構(gòu)成。在網(wǎng)絡(luò)入侵檢測系統(tǒng)中，檢測器是用固定長度的二進制字符串來表示，是通過r連續(xù)位匹配來實現(xiàn)對異常入侵的檢測。因此每一個檢測器由檢測字符串、生成時間、屬性域、匹配域四個部分組成。

    3)檢測器的生命周期。在網(wǎng)絡(luò)入侵檢測系統(tǒng)中，網(wǎng)絡(luò)狀態(tài)具有時變性，因此檢測器必須能夠?qū)�網(wǎng)絡(luò)時變性進行檢測。在基于人工免疫的入侵檢測系統(tǒng)中，每個檢測器生命周期主要包括產(chǎn)生、成熟、檢測和死亡4個階段，同時檢測器分為未成熟的、成熟和記憶檢測器3類。檢測器的生命周期如圖4所示。

圖4 檢測器的生命周期

    采用偽隨機序列隨機產(chǎn)生新的檢測器，在陰性選擇前保持未成熟狀態(tài)，這是未成熟檢測器與“自我”中的每一個字符進行匹配，若相匹配，那么丟掉該未成熟檢測器，否則，就將其加入到成熟檢測器中。

    3.1.5 自我規(guī)則生成

    在網(wǎng)絡(luò)入侵檢測系統(tǒng)中，由于自我集不可能覆蓋系統(tǒng)所有的正常連接狀態(tài)，只是正常狀態(tài)部分抽樣，因此需要采用一定規(guī)則進行架構(gòu)來提高覆蓋率。本文采用Hamming生成規(guī)則。其根據(jù)抽樣集合和位串間的Hamming距離來得構(gòu)原始集合。（如下圖所示，其中，T為閾值，x表示位串。）

圖5 Hamming生成規(guī)則

    3.1.6 親和度計算

    親和度義稱為匹配度，設(shè)網(wǎng)絡(luò)入侵檢測器中含有Ⅳ個抗體，第i個抗體含有Li位串，那么抗原和抗體之間的親和度為（圖6所示）。

 圖6 親和度計算公式

    3.1.7 克隆和變異

    對每個抗體的克隆復(fù)本進行計算，而且克隆的數(shù)量與匹配度成正比，具體計算公式為（圖7所示）。

圖7 克隆和變異計算公式

    根據(jù)匹配度的大小對抗體進行變異操作，變異公式為（圖8所示）。

圖8 變異公式

    3.2 網(wǎng)絡(luò)入檢測的工作步驟

    基于人工免疫的網(wǎng)絡(luò)榆測系統(tǒng)的工作步驟如下：

    1)對網(wǎng)絡(luò)入侵檢測系統(tǒng)進行訓(xùn)練，此時系統(tǒng)沒有任何入侵行為發(fā)生，處于安全狀態(tài)，系統(tǒng)不斷的收集正常網(wǎng)絡(luò)活動的模式字符串，組成自我字符集。

    2)檢測器將收集到的模式字符串發(fā)送到網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)的主機，與自我集中的字符串進行全長度匹配，若匹配，表法自我集有該字符串，那么將該字符串丟棄，否則，就加入到自我集中，當(dāng)系統(tǒng)中的自我集達(dá)到一定數(shù)目后，但進行網(wǎng)絡(luò)入檢測階段。

    3)檢測器對網(wǎng)絡(luò)活動的狀態(tài)進行提取，將其與檢測器集中的每一個檢測器進行匹配，匹配的順序為：記憶、未成熟和成熟檢測器。

    4)如果檢測器集中有兩個以上檢測器與該字符串相匹配，那么表示可能是入侵行為，就立即向IDS主系統(tǒng)報警。

    5)如果只有一個檢測與該字符串相匹配，檢測器就向IDS主系統(tǒng)發(fā)送協(xié)同刺激請求信號，并將該字符串一起發(fā)過去。

    6)IDS主系統(tǒng)將該字符串與自身的檢測器集進行匹配，如果匹配，則確認(rèn)是入侵，向控制臺報警，I司時將其加入到非自我集中。

   4.仿真研究

    4.1實驗數(shù)據(jù)集的選取

    仿真數(shù)據(jù)來自KDD CUP 1999異常入侵檢測數(shù)據(jù)集，數(shù)據(jù)集在一個模擬的網(wǎng)絡(luò)環(huán)境中收集的，其包括掃描攻擊(Probe)、拒絕服務(wù)攻擊(DOS)、遠(yuǎn)程用戶未授權(quán)訪問攻擊(U2L)、未授權(quán)使用本地超級權(quán)限訪問攻擊(U2R)等四種類型攻擊方式。在KDD CUP 1999數(shù)據(jù)集中，每個網(wǎng)絡(luò)連接由41個特征屬性和1個標(biāo)記組成，其中7個離散型的特征屬性，34個連續(xù)型特征屬性。本文采用的數(shù)據(jù)如表1所示。
 

表1 仿真數(shù)據(jù)中各種攻擊的數(shù)目

    4.2數(shù)據(jù)預(yù)處理

    在網(wǎng)絡(luò)入侵檢測中，原始數(shù)據(jù)受到噪聲、不一致性等因素的干擾，同時數(shù)據(jù)可能采用不同的單位，數(shù)據(jù)集中屬性存在關(guān)系或冗余，這些因素都會對檢測結(jié)果產(chǎn)生不利影響。為了解決該問題，本文采用數(shù)據(jù)清洗技術(shù)噪聲數(shù)據(jù)，采用主成分析提取特征，采用歸一化技術(shù)對數(shù)據(jù)單位不一樣數(shù)據(jù)進行處理。

    4.3仿真結(jié)果與分析

    4.3.1對網(wǎng)絡(luò)入侵的檢測結(jié)果

    首先時數(shù)據(jù)集進行訓(xùn)練，然后進行檢測，3個數(shù)據(jù)集的平均檢測結(jié)果如表2所示。從表2的檢測結(jié)果可知，檢測的正確率相當(dāng)高，誤撤半率比較低，檢測時間短，結(jié)果表明基于人工免疫的網(wǎng)絡(luò)入侵檢測算法能夠很好的保證網(wǎng)絡(luò)的安全，滿足網(wǎng)絡(luò)入侵檢測的實時性，是一種有效的網(wǎng)絡(luò)安全保護措施。
 

表2 基于人工免疫的檢測結(jié)果

    4.3.2 與其它模型的檢測性能對比

    為了對人工免疫算法的優(yōu)越性進行測試，本文采用支持向品機、貝葉斯網(wǎng)絡(luò)算法對為對比算法，對異常入侵進行榆測。采用檢測正確和漏報率作衡量指標(biāo)，支持向量機、貝葉斯網(wǎng)絡(luò)對表1數(shù)據(jù)的檢測結(jié)果如圖5和6所示。從圖5的檢測正確對比可知，基于人工免疫的網(wǎng)絡(luò)人侵檢測系統(tǒng)的檢測正確率遠(yuǎn)遠(yuǎn)高于支持向量機和貝葉斯網(wǎng)絡(luò)，從圖6的漏報率對比結(jié)果可知，丁人工免疫的網(wǎng)絡(luò)入侵檢測系統(tǒng)漏報率最低，同時檢測時間最短，對比結(jié)果可知，基于人工免疫網(wǎng)絡(luò)人侵檢測系統(tǒng)采用免疫檢側(cè)機制，很好的防范了網(wǎng)絡(luò)異常人侵，檢測結(jié)果的正確率高，漏報率低，實時性強，是一種優(yōu)異的網(wǎng)絡(luò)人入侵檢測工具。

圖9 3種算法的異常入侵檢測正確率

圖10 3種算法的異常入侵檢測漏報率

   5.結(jié)束語

    人工免疫系統(tǒng)足一種模擬生物免疫原理的數(shù)據(jù)挖掘技術(shù)，是繼神經(jīng)網(wǎng)絡(luò)、支持向量機后的研究熱點，具有是一個自適應(yīng)、自學(xué)習(xí)、并行處理復(fù)雜系統(tǒng)，本文通過研究人工免疫系統(tǒng)信息處理機制，建立了一種基于人工免疫的網(wǎng)絡(luò)異常人侵檢測系統(tǒng)。最后通過仿真驗證該算法的有效性。仿真結(jié)果表明。基于人工免疫的網(wǎng)絡(luò)入侵檢測系統(tǒng)加快了網(wǎng)絡(luò)入侵的檢測速度，得到了性能更加優(yōu)異的網(wǎng)絡(luò)入侵檢測器，減少的漏報率，提高了網(wǎng)絡(luò)入侵的檢測正確率，檢測的結(jié)果更加可靠，克服了當(dāng)前網(wǎng)絡(luò)入侵檢測算法的缺陷，是一種有效的網(wǎng)絡(luò)安全防范工具。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.lukmueng.com/

本文標(biāo)題：數(shù)據(jù)挖掘技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

本文網(wǎng)址：http://www.lukmueng.com/html/support/11121511559.html