王敏

【摘要】 入侵检测系统作为一种能对网络入侵行为实行主动防御措施，是防火墙技术的有力补充。不过现有的入侵检测系统仍存在一定的缺陷，比如时效性等。因此本文就这一问题进行研究，提出了基于数据挖掘技术的入侵检测系统。

【关键词】 网络安全 入侵检测 数据挖掘

一、研究意义

伴随着计算机网络的飞速发展，新兴业务也越来越多，如电子银行、电子商务等，这就使得计算机网络的安全问题显得更为重要了。网络环境也越来越复杂，面对这种日趋恶劣的网络环境，入侵检测系统由于缺乏行之有效的检测技术和事件处理能力，因此很难适应，也就不能保证网络信息安全。现今的入侵检测功能仅仅可以把已经知道的种种入侵手段进行有效的检测效果，面对未知的入侵行为常常是无效的，就算是正常的行为，有时也会产生高误报率，这些都影响了整个系统的性能，因此如何有效地提高入侵检测系统的实时有效检测性，降低系统误报率，提高系统安全性稳定性，就成了入侵防御重要的研究方向。

二、入侵检测技术

所谓的入侵检测系统是一个对于计算机安全系统的各种恶意攻击行为时刻进行分析检测和响应的系统。入侵检测系统可以对于计算机系统遭受的入侵行为进行实时监测并作出相应地响应，它可以对于整个系统实行轮回不间断监控，保证系统的时刻安全，即在用户都没有意识到系统遭到破坏的时候，就已经对入侵行为采取了措施，切断入侵行为和系统间的数据交流。入侵检测系统对于网络中数据行为的检测分析并不会影响数据在网络中传输应用，其对于网络入侵行为的自动响应功能给整个计算机安全系统带来了完善的保证。全新的入侵检测系统拥有智能的调节和学习功能，当检测到网络中的入侵行为后，它不仅可以切断网络中数据交流，而且还能根据入侵行为的特点，调整防火墙的防护策略，这就形成了一个智能的防护系统。入侵检测技术的分类：基于主机的入侵检测系统，基于网络的入侵检测系统，混合型入侵检测系统。入侵检测系统的优劣主要取决于入侵检测技术的好坏，因此入侵技术的好坏直接关系到整个入侵检测系统的检测效率、误报率及检测效果等性能指标。入侵检测技术主要分为以下三类：基于异常的检测，基于误用的检测，基于完整性检验的检测。

三、入侵检测系统中有关数据挖掘技术的应用改进

数据挖掘的定义是从大量的无规律的、杂乱无章的数据信息中，分析其中的所有数据，找出数据间存在的规律，提取出用户所需要的信息知识的过程，主要包括数据准备、规律寻找和规律表示。数据挖掘技术的方法分类有：关联分析算法、分类分析算法、聚类分析算法、序列分析算法。

3.1关联规则算法改进

3.2聚类算法改进

现将经过改进的K-均值算法描述如下：

输入量：聚类半径R、初始聚类个数M及存储原始数据的数据库；输出量：k个聚类。

具体计算方法：1、确定M个聚类的聚类中心{R1，R2，…，Rm}，设定Rj=Xi，j∈{1，2，……m}，i∈{1，2，……n}；2、通过计算出另外记录Xi（i∈{1，2，……n}）所能达到聚类中心的距离的最小值min；3、若min>w，则得出一个新聚类，以Xi视作新聚类的中心，接着退出此次聚类操作过程；4、否则Xi要分到最近的Rj所在的聚类；5、通过返回3最终到聚类中心值固定。

四、数据挖掘技术在入侵检测系统中的应用

关联分析数据挖掘算法对于网络中各个接入其中的连接用户的属性间的关系进行分析，故可以将其用到分析发现入侵攻击者各种入侵行为间的特征关系。运用特征模式提取，得到正常行为，以此来判别异常的入侵行为。先对大量的网络原始数据行为进行收集，然后通过关联分析和聚类分析两种数据挖掘算法对原始数据行为集进行挖掘，搭建出正常行为库，得出正常行为模式，然后直接利用刚得到的正常行为库的数据对前面收集的数据进行过滤，得到相对纯净的数据行为库，利用数据挖掘技术中的分类算法进一步区别正常行为和异常行为，生成误用检测规则，同时上面过程中形成的正常行为库和入侵检测特征模式等都需要不断进行更新，以应对层出不穷的各种入侵行为。前期收集的网络数据行为，被预处理成包含特定属性的网络数据，如协议类型、链接地址、物理地址及入侵端口等。然后才从其中根据数据挖掘算法得到正常的网络行为，用于判断网络入侵行为。

五、结论

数据挖掘技术在入侵检测系统中的应用，主要是为了从巨大的网络原始的数据资源中寻找出存在安全隐患和安全威胁的信息，以及这些信息是以什么规则来入侵网络系统。通过对关联分析数据挖掘算法和聚类分析数据挖掘算法的改进，利用改进后的算法对用户和系统的各种行为进行特征模式的提取，来判断入侵行为，由此有效优化入侵检测技术。