孤立点挖掘技术在入侵检测系统中的应用(2)
传统意义上的信息安全研究包括:针对特定系统设计一定的安全策略,建立支持该策略的形式化安全模型,实用身份认证、访问控制、信息加密和数字签名等技术实现安全模型并使之成为针对各种入侵活动的防御屏障。对于网络安全,人们最常用的方法就是防火墙。但是,防火墙只是一种被动防御性的网络安全工具,仅仅使用防火墙是不够的。首先,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。其次,防火墙只能对进出网络的数据进行分析。对网络内部发生的时间完全无能为力。同时,由于防火墙处于网关的位置,不可能对进出入侵做出详细判断,否则会严重影响网络性能。
1.2研究意义
因此急需更多更强大的安全策略和方案来增强网络安全性,其中比较有效的措施是入侵检测系统。入侵检测系统(Intrusion Detection System,IDS)是对于面向计算机资源和网络资源的恶意行为的识别和响应,对破坏资源完整性、机密性和可用性的入侵行为进行检测,包括三个部分:信息的收集和预处理、入侵分析及恢复系统。入侵检测系统建立一个立体纵深安全防护体系,保障网络体系的安全与机密性。
近年来,数据(Data Mining)是引人关注的应用新技术之一,它主要融合了人工智能、统计学、数据库、机器学习等领域的方法与技术,利用分析工具从大量数据中提取隐含其中的、人们事先不知道的、但又是潜在的有用信息和知识。
但是现有的数据挖掘的研究主要集中在发现数据的主要特征。然而数据集合中,常常包含一些数据现象,它们与数据的一般行为活模型不一致,被称之为孤立点(Outlier)。许多数据挖掘算法将孤立点视为噪声或异常,试图使用孤立点的影响最小化,或者排除它们,然而孤立点本身可能是非常重要的。因此,对鼓励点的分析自然就成为了数据挖掘的一个重要分支,称之为孤立点挖掘(Outlier Mining)。利用孤立点挖掘技术应用与入侵检测系统的基本原理和方法尚未得到充分研究,因此本课题结合入侵检测的特点进行孤立点算法的研究,具有一定的理论价值和实际意义。
2.入侵检测与孤立点数据挖掘技术
2.1 入侵检测系统
2.1.1 入侵检测概述
入侵检测是从计算机网络的计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。它采用预先主动的方式,对客户端和网络各层进行全面有效的自动检测,以发现和避免被保护系统可能遭受到的入侵和破坏,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
2.1.2 入侵检测的分类
目前,入侵检测根据数据源采集的位置可分为三类:基于主机的入侵检测、基于网络的入侵检测和分布式入侵检测;也可以根据检测方法分为基于误用检测和基于异常检测的入侵检测。
误用入侵检测又称特征检测,假设入侵活动可以用某种特定模式来描述,系统的目标是检测主体活动是否符合这些模式。系统预先设定入侵活动的特征,通过判断当前活动是否与这些特征匹配来实施检测。它可以将已知的入侵行为检查出来,但对变种或新型入侵行为未能为力。其难点在于如何设计模式既能够表达“入侵“现象又不会将正常的活动包含进来。
异常入侵检测是入侵行为异常于正常的主体行为。根据这一理念建立主题正常行为的“活动简档“,将当前主体的行为状况与”活动简档“相比较,若违反其统计规律,则认为该行为可能是”入侵“行为。
两种检测技术的原理不同,误用检测系统大多是通过对一些具体行为的判断和推理来检测入侵行为,而异常检测则根据使用者的行为或者资源使用状况来判断是否为入侵,而不依赖于具体行为是否出现来检测。