数据挖掘算法在入侵检测中的应用研究

2．1  基于误用的检测模型                                              
      误用检测中的基本思路是：
      首先我们从 网络 或是主机上获取原始二进制的数据文件，再把这些数据进行处理，转换成ASCII码表示的数据分组形式。再经过预处理模块将这些网络数据表示成连接记录的形式，每个连接记录都是由选定的特征属性表示的，比如连接建立的时间，所使用的端口服务，连接结束的状态等等数据特征。再进行完上面的工作后，对上述的由特征属性组成的模式记录进行处理， 总结 出其中的统计特征，包括在一时间段内与目标主机相同的连接记录的次数、发生SYN错误的连接百分比、目标端口相同的连接所占的百分比等等一系列的统计特征。最后，我们就可以进行下面的检测 分析 工作，利用分类算法，比如RIPPER 、C4.5等建立分类模型。当然，在这其中，统计特征以及分类特征的选择和构建都是我们必须要反复总结的过程，最后才能根据各种不同的攻击方式或是不同的网络服务确定最终的分类数据。只有这样才能建立一个实用性较强、效果更好的分类模型。
       ·ID3、C4.5算法
       ID3算法是一种基本的决策树生成算法，该算法不包括规则剪除部分。C4.5算法作为ID3算法的后继版本，就加入了规则剪除部分，使用训练样本来估计每个规则的准确率。也是分类模型的主要运用算法。
 
      对于已知的攻击类型的检测，分类模型具有较高的检准率，但是对于未知的、新的攻击，分类模型效果就不是很理想。这个是由误用检测本身的特点所决定的，误用检测误报率低，但是它在对已知攻击模式特征属性构建和选取上往往要花费大量的精力，这也是分类检测的难点所在。所以这种检测模型只能有限的检测已知的攻击，而要更好的检测未知的攻击，就要使用到异常检测技术，但是，异常检测却比误用检测负责的多，因为对于系统正常使用模式的构建本身就是一件非常复杂的事情。
 
2.2  基于异常的入侵模型
 
      异常检测的主要工作就是通过构造正常活动集合，然后利用得到的一组观察数值的偏离程度来判断用户行为的变化，以此来觉得是否属于入侵的一种检测技术。异常检测的优点在于它具有检测未知攻击模式的能力，不论攻击者采用什么样的攻击策略，异常检测模型依然可以通过检测它与已知模式集合之间的差异来判断用户的行为是否异常。
 
       在异常检测中主要用到的两个算法就是模式比较和聚类算法
       (1)  模式比较
       在模式比较算法中首先通过关联规则和序列规则建立正常的行为模式，然后通过模式比较算法来区别正常行为和入侵行为。
       ·关联规则
       关联规则挖掘是数据挖掘最为广泛 应用 的技术之一，也是最早用于入侵检测的技术。关联规则分析是发现所有支持度和可信度均超过规定域值的 方法 ，它主要经过两步过程：首先识别所有支持度不低于用户规定的最小支持度域值的项目集，即频繁项目集；然后从得到的频繁项目集中构造出可信度不低于用户规定的最小可信度域值的规则。现在已有多种关联规则算法如Apriori算法等用于入侵检测。
 
       ·序列分析
        序列规则和关联规则相似，其目的也是为了挖掘出数据之间的联系，它们的不同之处在于前者加入了时间的概念。序列模式挖掘有几个重要的参数，如时间序列的持续时间，事件重叠窗口和被发现的模式中时间之间的时间间隔。还可以在要挖掘的序列模式上指定约束，方法是提供“模式模板“，其形式可以是系列片段（Serial  Episode），并行片段（Parallel  Episode），或正则表达式。序列分析使用于发现分布式攻击和插入噪声的攻击。由于各种攻击方法的规模的扩大和时间持久，序列分析变得越来越重要。
 
(2)聚类算法
 
      聚类分析的基本思想主要源于入侵与正常模式上的不同及正常行为数目应远大于入侵行为数目的条件，因此能够将数据集划分为不同的类别，由此分辨出正常和异常行为来检测入侵。数据挖掘中常用的聚类算法有K-means、模糊聚类、遗传聚类等。基于聚类的入侵检测是一种无监督的异常检测算法，通过对未标识数据进行训练来检测入侵。该方法不需要手工或其他的分类，也不需要进行训练。因此呢功能发现新型的和未知的入侵类型。

3.结论
 
      入侵检测中数据挖掘技术方面的 研究 已经有很多，发表的论文也已经有好多，但是应用难点在于如何根据具体应用的要求，从用于安全的先验知识出发，提取出可以有效反映系统特性的属性，并应用合适的算法进行数据挖掘。另一技术难点在于如何将数据挖掘结果自动应用到实际IDS中。
      入侵检测采用的技术有多种类型，其中基于数据挖掘技术的入侵检测技术成为当前入侵检测技术 发展 的一个热点，但数据挖掘还处于发展时期，因此有必要对它进行更深入的研究。
 
参考 文献
[1] 张银奎，廖丽，宋俊等．数据挖掘原理[M]．北京：机械 工业 出版社,2003 : 93-105
[2] 戴英侠，连一峰，王航等．系统安全与入侵检测[M]．北京：清华大学出版社,2002 : 99-137
[3] 许卓群．数据结构[M]．北京： 中国 广播电视大学出版社,2001 : 260- 272．
[4] 刘莘，张永平，万艳丽．决策树算法在入侵检测中的应用分析及改进[J]． 计算 机工程与设计．2006
[5] 张翰帆．基于数据挖掘的入侵检测系统．南京工业大学,2004．
[6] 向继，高能，荆继武．聚类算法在网络入侵检测中的应用[J]．计算机工程,2003 , 29(16): 1-3
[7] 谭勇，荣秋生．一种基于SLIQ的分类算法的实现[J]．计算机工程,2003 , 29(18):1-3