高翔1，王敏2，胡正國1

    1.西北工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與工程系 2.空軍工程大學(xué) 電訊工程學(xué)院

    隨著網(wǎng)絡(luò)在現(xiàn)代社會(huì)中發(fā)揮愈來愈重要的作用，利用計(jì)算機(jī)網(wǎng)絡(luò)犯罪也呈現(xiàn)出明顯的上升趨勢(shì)。如何建立安全而又健壯的網(wǎng)絡(luò)系統(tǒng)，保證重要信息的安全性，已經(jīng)成為研究的焦點(diǎn)。以往采用的方式多是防火墻的策略，它可以防止利用協(xié)議漏洞、源路由、地址仿冒等多種攻擊手段，并提供安全的數(shù)據(jù)通道，但是它對(duì)于應(yīng)用層的后門，內(nèi)部用戶的越權(quán)操作等導(dǎo)致的攻擊或竊取，破壞信息卻無能為力。另外，由于防火墻的位置處在網(wǎng)絡(luò)中的明處，自身的設(shè)計(jì)缺陷也難免會(huì)暴露給眾多的攻擊者，所以僅僅憑借防火墻是難以抵御多種多樣層出不窮的攻擊的。

    因此，為了保證網(wǎng)絡(luò)系統(tǒng)的安全，就需要有一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異�，F(xiàn)象的技術(shù)，即入侵檢測(cè)技術(shù)。

    1　入侵檢測(cè)系統(tǒng)簡介

    入侵檢測(cè)技術(shù)可以分為兩類：

    （1）濫用檢測(cè)（misuse detection）濫用檢測(cè)是利用已知的入侵方法和系統(tǒng)的薄弱環(huán)節(jié)識(shí)別非法入侵。該方法的主要缺點(diǎn)為：由于所有已知的入侵模式都被植入系統(tǒng)中，所以，一旦出現(xiàn)任何未知形式的入侵，都無法檢測(cè)出來。但該方法的檢測(cè)效率較高�！　。�2）異常檢測(cè)（anomaly detection）異常檢測(cè)是通過檢查當(dāng)前用戶行為是否與已建立的正常行為輪廓相背離來鑒別是否有非法入侵或越權(quán)操作。該方法的優(yōu)點(diǎn)是無需了解系統(tǒng)缺陷，適應(yīng)性較強(qiáng)。但發(fā)生誤報(bào)的可能性較高。

    入侵檢測(cè)系統(tǒng)中的用戶行為主要表現(xiàn)為數(shù)據(jù)形式。根據(jù)數(shù)據(jù)的來源不同，入侵檢測(cè)系統(tǒng)可以分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種。前者的數(shù)據(jù)來自操作系統(tǒng)的審計(jì)數(shù)據(jù)，后者來自網(wǎng)絡(luò)中流經(jīng)的數(shù)據(jù)包。由于用戶的行為都表現(xiàn)為數(shù)據(jù)，因此，解決問題的核心就是如何正確高效地處理收集到的數(shù)據(jù)，并從中得出結(jié)論。

    2　基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)系統(tǒng)

    在入侵檢測(cè)系統(tǒng)中使用數(shù)據(jù)挖掘技術(shù)，通過分析歷史數(shù)據(jù)可以提取出用戶的行為特征、總結(jié)入侵行為的規(guī)律，從而建立起比較完備的規(guī)則庫來進(jìn)行入侵檢測(cè)［1］。該過程主要分為以下幾步［2］：

    數(shù)據(jù)收集基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)數(shù)據(jù)來源于網(wǎng)絡(luò)，可用的工具有tcpdump等。

    數(shù)據(jù)的預(yù)處理在數(shù)據(jù)挖掘中訓(xùn)練數(shù)據(jù)的好壞直接影響到提取的用戶特征和推導(dǎo)出的規(guī)則的準(zhǔn)確性。如果在入侵檢測(cè)系統(tǒng)中，用于建立模型的數(shù)據(jù)中包含入侵者的行為，那么以后建立起的檢測(cè)系統(tǒng)將不能對(duì)此入侵行為做出任何反應(yīng)，從而造成漏報(bào)。由此可見，用于訓(xùn)練的數(shù)據(jù)必須不包含任何入侵，并且要格式化成數(shù)據(jù)挖掘算法可以處理的形式。

    數(shù)據(jù)挖掘從預(yù)處理過的數(shù)據(jù)中提取用戶行為特征或規(guī)則等，再對(duì)所得的規(guī)則進(jìn)行歸并更新，建立起規(guī)則庫。

    入侵檢測(cè)依據(jù)規(guī)則庫的規(guī)則對(duì)當(dāng)前用戶的行為進(jìn)行檢測(cè)，根據(jù)得到的結(jié)果采取不同的應(yīng)付手段。

    本文構(gòu)建了一個(gè)基于數(shù)據(jù)挖掘關(guān)聯(lián)分析方法的入侵檢測(cè)系統(tǒng)，該系統(tǒng)主要用于異常檢測(cè)。

    該系統(tǒng)的數(shù)據(jù)來源是基于網(wǎng)絡(luò)的，通過在網(wǎng)絡(luò)中安放嗅探器來獲取用戶的數(shù)據(jù)包，然后采用協(xié)議分析的方法，丟棄有效負(fù)荷，僅保留包頭部分，按特定的方法預(yù)處理后得到的數(shù)據(jù)包含7個(gè)字段：時(shí)間、源ip、源端口、目的ip、目的端口、連接的id、連接狀態(tài)。

    由于tcp的連接建立包含3次握手過程，所以在所有收集的訓(xùn)練數(shù)據(jù)中會(huì)包括一些未能成功建立的連接，它們將對(duì)后面的數(shù)據(jù)挖掘過程產(chǎn)生負(fù)面影響，故應(yīng)當(dāng)去掉，僅保留那些反映網(wǎng)絡(luò)正常情況的數(shù)據(jù)。對(duì)于udp則不存在此問題，只需將每個(gè)udp包都視為一次連接即可�！　〔捎胊priori算法［3］對(duì)數(shù)據(jù)進(jìn)行挖掘。

    apriori算法常用在購物籃分析中，它用于發(fā)現(xiàn)“90％的客戶在購買商品a時(shí)也會(huì)購買商品b”之類的規(guī)則。它通常的輸入分為兩列：

    規(guī)則輸出的形式為i1&12ai5(support=2%,confidence=60%)。其中support是支持度，confidence是可信度。

    將前面收集到的網(wǎng)絡(luò)流量數(shù)據(jù)格式化成為apriori算法的輸入形式，用連接id代替客戶id，其他屬性替代購買的商品。在給定了支持度和可信度之后，可以得到一組規(guī)則，形式為

    192.168.0.50&202.117.80.8a80(support=6％，confidence＝95％）

    規(guī)則的含義為源ip為192．168．0．50且目的ip為202．117．80．8則目的端口是8