随着计算机网络的全球化和网上各种新业务的兴起,信息安全问题变得越来越重要。传统的安全保护技术和防火墙技术已经远远不够,迫切需要一种能够及时发现并报告系统入侵的技术,即入侵检测系统(IDS)。入侵检测系统作为一种积极主动的安全防护措施,能检测未授权对象对系统的恶意攻击,并监控授权对象对系统资源的非法操作,阻止入侵行为。随着网络信息的丰富和带宽的扩大,收集的审计数据和网络数据包的数量将是非常巨大的,要想从大量的审计数据和网络数据包中发现有意义的信息将变得非常困难,因此需要利用数据库方面的新技术--数据挖掘。本文研究了基于数据挖掘技术的入侵检测系统.
[--- 资料是从免费网站上获取的,上载在这里,只为交流学习目的,文章原作者保留所有权力,
如本博客的内容侵犯了你的权益,请与以下地址联系,本人获知后,马上删除。同时本人深表歉意,并致以崇高的谢意!
erwin_609@msn.com ---]
基于数据挖掘技术的入侵检测系统
|
|
张凤琴,张水平,万映辉,张科英,张青凤
(空军工程大学电讯工程学院计算机系陕西西安 710061)
|
|
随着计算机网络的全球化和网上各种新业务的兴起,信息安全问题变得越来越重要。传统的安全保护技术和防火墙技术已经远远不够,迫切需要一种能够及时发现并报告系统入侵的技术,即入侵检测系统(IDS)。入侵检测系统作为一种积极主动的安全防护措施,能检测未授权对象对系统的恶意攻击,并监控授权对象对系统资源的非法操作,阻止入侵行为。随着网络信息的丰富和带宽的扩大,收集的审计数据和网络数据包的数量将是非常巨大的,要想从大量的审计数据和网络数据包中发现有意义的信息将变得非常困难,因此需要利用数据库方面的新技术--数据挖掘。本文研究了基于数据挖掘技术的入侵检测系统。
1 系统框架和模块功能
本系统是由数据采集模块、入侵检测模块、应急措施模块、规则扩充器等4个模块和3个数据库构成的系统框架,如图1所示。
|
图1入侵检测的系统框架
|
1.1 系统模块的功能
(1)数据采集模块
该模块负责提取与被保护系统相关的运行数据,并对其简单过滤。采集的内容包括系统、网络及用户活动的状态和行为。数据采集的信息来自系统和网络的日志文件、目录及文件中的异常改变、程序执行中的异常行为等信息。
(2)入侵检测模块
该模块主要进行数据分析,即在采集的数据中找到入侵痕迹。先从审计数据中提取特征,再将这些特征用于模式匹配或异常监测模型,若检测到入侵,则根据系统配置发出不同级别的应急措施;若检测到异常数据信息,则将其送人异常数据检测数据仓库。系统在设定的条件下,利用数据挖掘技术(如关联规则)寻找出数据仓库中相关连的异常数据,并将决策的结果添加到攻击检测规则库,从而提高整个系统的检测智能,降低了异常监测的误报率。为确保人侵检测的效率和实时性,入侵分析需在系统的性能和检测能力间权衡后再决策。必要时要牺牲部分检测能力来保证系统可靠、稳定地运行、快速地响应。
(3)应急措施模块
应急措施模块是在检测到入侵行为后被触发,系统跟据管理员对系统安全的配置措施进行及时响应,如切断月络连接、记录事件、报警、向管理员提示等。响应一般分为主动响应和被动响应2种。主动响应是阻止、影响或改变攻击进程,由系统自动执行,可对入侵者采取行动、镕正系统环境或收集有用信息;被动响应只报告所检测出的问题。
(4)规则扩充器
主要功能是从规则扩充器异常检测数据仓库中分析多个检测引擎提交的审计数据,运用多种关联方法进行挖屈,产生新的检测规则,经管理员决策确认后进入攻击检则规则库。
2三个数据库
(1)系统配置库
根据检测系统的需求而建立的数据库,主要用于系统的安全审计策略、启用规则扩充器的手段和时间间隔等。
(2)攻击检测规则库
入侵检测依据规则库是提供与正常行为模型的比对规则和与异常行为模型的匹配规则。例如对于输人用户名与密码的正常行为,当某用户连续(如在半小时以内)输人8次以上,则认为有入侵的倾向,可以提示管理员重点是注该用户。这里的输入次数是一个表示频度的阀值,管哩员可以进行手工配置。对于ARP欺骗的异常行为,将其关键特征参数放入检测规则库,当出现类似的入侵过程和关键特征参数时,则认为有ARP欺骗入侵。
攻击检测规则库的数据主要来自于系统管理员的配置、系统的缺省(目前常用的正常行为模型和异常入侵特征模型)、规则扩充器挖掘的异常入侵特征模型。
(3)异常检测数据仓库
主要存放经入侵检测模块过滤的大量的异常检测信息,为规则扩充器提供数据来源。
2系统的实现原理
本系统将数据采集模块通过定时/实时采集的数据,经接口传送到入侵检测模块,在系统配置库和攻击检测规则库的支持下,利用电子数据处理、安全审计、模式匹配、异常检测术、统计等技术,分析被检测系统的审计数据。若发现与正常行为相违背的行为或与异常数据相匹配的行为,则启动应急措施模块进行不同安全策略级别的应急处理;其余的异常信息则送入数据仓库,等待进一步挖掘。在一定条件下,启动规则扩充器,以数据仓库的数据为基础,分析挖掘并形成新的规则,经管理员认同,加入到攻击检测规则库中,指导以后的入侵检测行为。
3采用的主要技术
3.1数据采集
数据采集是入侵检测的基础,数据采集按照检测数据的来源分为基于网络的数据采集和基于主机的数据采集。基于网络的IDS,主要是从网络上提取数据进行监测,例如网络层通过的原始IP包、链路层的数据帧等,由于在局域网中普遍使用的是IEEE802.3协议,主机之间传送数据l时采用子网内广播的方式,即任何一台主机向子网内的某台主机发送数据时,该数据均会在其子网内广播,也就是说该数据会被任何一台主机接受(只要将网卡设置为混杂模式)。优点数据的采集不会影响到主机和网络的性能。基于主机的IDS,主要是对主机的被保护系统进行监测,通过查看主机的系统日志数据来寻找入侵。他很难发现来自底层的网络攻击,而且在数据提取的实时性、充分性、可靠性等性能方面较差。因此本系统采用的是基于网络的入侵检测系统。
3.2入侵检测分析技术
入侵监测技术是一种用于监测计算机网络中违反安全策略行为的技术,能及时发现并报告异常现象,并能识别来自网络内外部任何不希望有的活动。
入侵检测时将收集到的信息加以分析,判断网络中是否有违反安全策略的行为和遭到攻击的迹象,若找到入侵痕迹,认为与正常行为相符合的行为是正常行为,与异常行为相符合的行为被认为入侵行为,两者都不符合的行为,则认为是异常数据,将其加入到数据仓库中。对于本系统的入侵检测系统,需要将网卡设置成混杂模式(目前大部分网卡提供该设置),以便接收本网段的所有数据包。当入侵检测系统收到网络上的报文后与规则库中的模式进行匹配,据比较结果判断是否有非正常的行为。该方法理论上可获得所有的网络信息数据,也可监视同一网段的多台主机的网络行为,且不改变系统和网络的工作模式,不影响主机和网络性能,但因监视数据量过大且不能结合操作系统特征来对网络行为进行准确的判断造成判断失误。
入侵监测技术的应用,能使在入侵攻击对系统发生危害时,监测到入侵攻击,并利用报警与防护系统减少整个系统的损失。
3.3数据挖掘技术
' 数据挖掘(DM)是指从大型数据库或数据仓库中提取隐含的、未知的、异常的及有潜在应用价值的信息或模式,是数据库研究中的一个很有应用价值的新领域。
在入侵检测系统中使用数据挖掘技术,通过分析历史数据可以提取出用户的行为特征、总结入侵行为的规律,从而建立起比较完备的规则库来支持入侵检测技术。
在知识发现过程中,利用异常检测数据仓库作为数据源,对其服务的类型、源端口、目标端口等属性,运用分类规则、序列分析、聚类分析、偏差分析知识等挖掘技术,形成新的入侵检测规则,充实到入侵检测规则库中。传统的数据挖掘技术,在进行网络安全领域数据挖掘时会产生大量无意义的规则,因而需要利用网络安全及网络协议方面的知识加以约束。
3.4规则扩充技术
规则扩充技术是指将原有的入侵检测规则进行扩充的技术。该技术使用规则扩充器从数据仓库中自动地挖掘出入侵检测的规则、规律、模式等信息,经管理员过滤、筛选后,将合理的特征模型充实到攻击检测规则库中。
4结 语
该系统利用数据挖掘技术实现了智能化,提高了系统报警的准确率。但他只能作为网络安全整体解决方案的一个重要部分,需要与其他安全措施如防火墙、网络管理、检测病毒等系统结合起来,共同解决网络安全问题。随着网络的带宽迅速增长,如何实时处理网络中海量的数据并及时的发现攻击,将成为入侵检测系统下一步研究的重点。
|
