当前计算机网络广泛应用于各个领域,不可置疑给人们的生活、学习、工作带来了便利,同时也对网络安全提出了更高的要求。在现代信息化发展的形式下,要求一个安全的网络系统不仅要有防御手段,而是既要有防火墙等防御的手段,还要有能对网络的安全进行实时监控,攻击与反攻击的网络入侵检测系统。所以在这种情形下,入侵检测系统应运而生。
1入侵检测的必要性
入侵检测系统就是对已建设的信息系统,按一定的安全策略建立起相应的安全辅助系统。就现在的系统安全状况而言,系统正存在被攻击的可能性,当系统遭到攻击时,只要尽可能地检测到,甚至是实时地检测到,就可以为入侵检测提供有利信息。入侵检测作为新一代的安全技术,它的作用在于:识别入侵者、识别入侵行为、检测和监视己成功的安全突破、为对抗入侵及时提供重要信息,阻止入侵的发生和事态的扩大。面对网络中存在着海量的数据,如何才能得到那些对于检测入侵行为所有作用的数据呢?为此我们引出了采用数据挖掘方法来发现可能的新入侵的方法。
2网络数据挖掘的相关知识
数据挖掘是指从大型数据库或数据仓库中提取人们感兴趣的知识,但是这些知识是隐含的、事先未知的、异常的及潜在有用的信息或模式,是数据库研究中的一个很有应用价值的新领域。数据挖掘的目的是帮助使用者寻找数据间潜在的关联,发现被忽略的要素,而这些信息对预测趋势和决策行为也许是十分有用的。
随着网络入侵检测技术的发展,使人们已着眼于将Web数据挖掘技术应用于入侵检测技术的发中,如果能够完善的将数据挖掘技术应用到网络入侵检测中,根据入侵检测系统的具体特点,应用数据挖掘的基本原理,将它们优化的结合起来,这样将会大提高入侵检测系统的性能。
3数据挖掘技术在入侵检测中的应用
在入侵检测系统中使用数据挖掘技术,通过分析有用的历史数据可以提取出用户的行为特征、总结入侵行为的规律,从而建立起比较完备的规则库来进行入侵检测。该过程主要分为以下几步:
1)数据收集,基于网络的检测系统数据来源于网络。
2)数据预处理,在数据挖掘中训练数据的好坏直接影响到提取的用户特征和推导出的规则的准确性。
3)数据挖掘,从预处理过的数据中提取用户行为特征或规则等,再对所得的规则进行归并更新,建立起规则库。
