1.引言

     隨著互聯網的飛速發展，網絡給走進了人們的生活、娛樂和工作中，但互聯網的開放性和安全性是一對矛盾體，因此由于互聯網的無主管性、跨I目性、不設防性，網絡給人們帶來便利的同時，網絡安全問題越來越突出。網絡入侵檢測是網絡安全系統的重要組成部分，其對未經授權的使用、濫用網絡資源的行為進行檢測，具有保護信息完整性、機密性作用。

     網絡入侵檢測方法包括異常入侵檢測和誤用入侵檢測方法。誤用入侵檢測方法認為異常行為和正常行為之間的交集很大，其檢測結果與檢測知識庫完備性密切相關，不能發現新入侵行為，檢測結果沒有實際意義，因此異常入侵檢測方法是當前網絡入侵檢測要研究方向。基于異常入侵檢測系統采用技術主要有統計法、貝葉斯網絡、神經網絡和數據挖掘等方法。基于統計的異常入侵檢測是最為傳統的網絡入侵檢測技術，其只能對小規模網絡檢測，對大大規模網絡存在檢測速度，效率低的缺陷。貝葉斯網絡、神經網絡檢測速度快，但是誤警率較高，自適應能力較差，不適合于現代入侵手段多樣化互聯網。數據挖掘技術主要對互聯網導審計紀錄進行分析，從中挖掘隱含的、實現未知的潛在有用信息，并用這些信息去檢測異常入侵和已知的入侵，成為當前最主要的網絡入侵檢測工具。其中人工免疫是近些年發展起來的新的數據挖掘方法，是受到生物免疫啟發發展而來的，具有布式計算，自適應和自我監控、動態學習能力，能夠克服傳統技術中存在的一些缺陷，能夠其動態性適合系統環境變化，從而實現對未知攻擊的實時防御，因此人工免疫算法為網絡入侵異常檢測提供了一個嶄新思路和有效的方法。

    由于網絡入侵檢測系統與人工免疫系統工作原理具有很大的相似性，針對網絡入侵檢測的特點，本文提出一種人工免疫網絡入侵檢測方法，將其應用于網絡安全防范中。

    2.網絡入侵檢測原理

    網絡入侵檢測是一種主動的安全防護措施，它從系統內部和各種網絡資源中主動采集信息，分析可能的入侵攻擊行為，有效地擴展系統管理員的安全管理能力，提高信息安全基礎結構的完整性。網絡入侵檢測系統模型如圖1所示。

圖1 網絡入侵檢測系統模型

    網絡入侵檢測系統就是防止內部和外部的入侵行為對網絡系統的侵害。而人工免疫系統足識別自體和非自體，保護人體不受外來病原侵害，其角色類似于網絡系統中的入侵檢測系統，而其它方法沒有這樣優越性，因此，本文將人工免疫系統引入到網絡入侵檢測系統中，建立一種基于人工免疫的網絡入侵檢測系統，很好的解決網絡統中發生頻繁的、形式變化多樣的入侵和攻擊檢測問題，從而提高網絡系統的安全性。人工免疫和網絡入侵檢測系統的映射關系如圖2所示。

圖2 人工免疫和網絡檢測系統的映射關系

   3.人工免疫的網絡入侵檢測系統

    3.1 網絡入侵檢測模型設計

    3.1.1 抗體/抗原

    在網絡入侵檢測系統中，抗原(Ag)為網絡中對外來入侵的免疫，即表示網絡中待檢測的網絡數據，抗原集合定義為：

    Ag=(Ag1，Ag2，...，Agi)，(i=1，2，...，n)  (1)

    在網絡入侵檢測系統中，抗體表示入侵檢測系統，抗體集合定義為：

    Ab=(Abl，Ab2，...，Abi)，(i=1，2，...，n)  (2)

    3.1.2 自我/非自我

    在基于人工免疫的網絡入侵檢測系統，首先面臨問題是如何定義自我和非自我，對于不I司的領域，其定義不同。對于網絡入侵檢測系統，自我表爾計算機網絡中正常的連接集合，而非自我表示自網絡攻擊的IP數據包，客戶越權使用網絡服務，違反信任機制，非法網絡服務訪問，通過繞過網絡安全設備，冒充合法客戶等。

    3.1.3人工免疫系統的編碼

    在人工免疫系統中，對抗體和抗原表示方式，目前有二進制和實值向囂兩種表示方法。對于網絡入侵檢測系統，由于每一個網絡數據樣本包含多個特征屬性，其中一些是離散數據，另一些是連續數據，由于二進制編碼方式比較成熟，且編碼方式錄活，因此本文采用二進制編碼方式對抗體和抗原進行編碼。

    3.1.4 檢測器構造

    基于人工免疫機制入侵檢測系統中，檢測器相當免疫系統的淋巴細胞，主要足對外來人侵進行檢測。

    1)檢測器集合的產生。在網絡入侵檢測系統中，由多個檢測器組成檢測器集合。首先產生一個自我的字符集合，即正常的網絡連接。然后根據免疫系統的陰性選擇原則，得到成熟檢測器集合。因此產生的成熟檢測器集合和自我的字符集合不匹配，兩者是互補的，即這個過程叫入侵“審查”。成熟檢測器的產生過程如圖3所示。

圖3 成熟檢測器的產生過程

    2)檢測器的構成。在網絡入侵檢測系統中，檢測器是用固定長度的二進制字符串來表示，是通過r連續位匹配來實現對異常入侵的檢測。因此每一個檢測器由檢測字符串、生成時間、屬性域、匹配域四個部分組成。

    3)檢測器的生命周期。在網絡入侵檢測系統中，網絡狀態具有時變性，因此檢測器必須能夠對網絡時變性進行檢測。在基于人工免疫的入侵檢測系統中，每個檢測器生命周期主要包括產生、成熟、檢測和死亡4個階段，同時檢測器分為未成熟的、成熟和記憶檢測器3類。檢測器的生命周期如圖4所示。

圖4 檢測器的生命周期

    采用偽隨機序列隨機產生新的檢測器，在陰性選擇前保持未成熟狀態，這是未成熟檢測器與“自我”中的每一個字符進行匹配，若相匹配，那么丟掉該未成熟檢測器，否則，就將其加入到成熟檢測器中。

    3.1.5 自我規則生成

    在網絡入侵檢測系統中，由于自我集不可能覆蓋系統所有的正常連接狀態，只是正常狀態部分抽樣，因此需要采用一定規則進行架構來提高覆蓋率。本文采用Hamming生成規則。其根據抽樣集合和位串間的Hamming距離來得構原始集合。（如下圖所示，其中，T為閾值，x表示位串。）

圖5 Hamming生成規則

    3.1.6 親和度計算

    親和度義稱為匹配度，設網絡入侵檢測器中含有Ⅳ個抗體，第i個抗體含有Li位串，那么抗原和抗體之間的親和度為（圖6所示）。

 圖6 親和度計算公式

    3.1.7 克隆和變異

    對每個抗體的克隆復本進行計算，而且克隆的數量與匹配度成正比，具體計算公式為（圖7所示）。

圖7 克隆和變異計算公式

    根據匹配度的大小對抗體進行變異操作，變異公式為（圖8所示）。

圖8 變異公式

    3.2 網絡入檢測的工作步驟

    基于人工免疫的網絡榆測系統的工作步驟如下：

    1)對網絡入侵檢測系統進行訓練，此時系統沒有任何入侵行為發生，處于安全狀態，系統不斷的收集正常網絡活動的模式字符串，組成自我字符集。

    2)檢測器將收集到的模式字符串發送到網絡入侵檢測系統(IDS)的主機，與自我集中的字符串進行全長度匹配，若匹配，表法自我集有該字符串，那么將該字符串丟棄，否則，就加入到自我集中，當系統中的自我集達到一定數目后，但進行網絡入檢測階段。

    3)檢測器對網絡活動的狀態進行提取，將其與檢測器集中的每一個檢測器進行匹配，匹配的順序為：記憶、未成熟和成熟檢測器。

    4)如果檢測器集中有兩個以上檢測器與該字符串相匹配，那么表示可能是入侵行為，就立即向IDS主系統報警。

    5)如果只有一個檢測與該字符串相匹配，檢測器就向IDS主系統發送協同刺激請求信號，并將該字符串一起發過去。

    6)IDS主系統將該字符串與自身的檢測器集進行匹配，如果匹配，則確認是入侵，向控制臺報警，I司時將其加入到非自我集中。

   4.仿真研究

    4.1實驗數據集的選取

    仿真數據來自KDD CUP 1999異常入侵檢測數據集，數據集在一個模擬的網絡環境中收集的，其包括掃描攻擊(Probe)、拒絕服務攻擊(DOS)、遠程用戶未授權訪問攻擊(U2L)、未授權使用本地超級權限訪問攻擊(U2R)等四種類型攻擊方式。在KDD CUP 1999數據集中，每個網絡連接由41個特征屬性和1個標記組成，其中7個離散型的特征屬性，34個連續型特征屬性。本文采用的數據如表1所示。
 

表1 仿真數據中各種攻擊的數目

    4.2數據預處理

    在網絡入侵檢測中，原始數據受到噪聲、不一致性等因素的干擾，同時數據可能采用不同的單位，數據集中屬性存在關系或冗余，這些因素都會對檢測結果產生不利影響。為了解決該問題，本文采用數據清洗技術噪聲數據，采用主成分析提取特征，采用歸一化技術對數據單位不一樣數據進行處理。

    4.3仿真結果與分析

    4.3.1對網絡入侵的檢測結果

    首先時數據集進行訓練，然后進行檢測，3個數據集的平均檢測結果如表2所示。從表2的檢測結果可知，檢測的正確率相當高，誤撤半率比較低，檢測時間短，結果表明基于人工免疫的網絡入侵檢測算法能夠很好的保證網絡的安全，滿足網絡入侵檢測的實時性，是一種有效的網絡安全保護措施。
 

表2 基于人工免疫的檢測結果

    4.3.2 與其它模型的檢測性能對比

    為了對人工免疫算法的優越性進行測試，本文采用支持向品機、貝葉斯網絡算法對為對比算法，對異常入侵進行榆測。采用檢測正確和漏報率作衡量指標，支持向量機、貝葉斯網絡對表1數據的檢測結果如圖5和6所示。從圖5的檢測正確對比可知，基于人工免疫的網絡人侵檢測系統的檢測正確率遠遠高于支持向量機和貝葉斯網絡，從圖6的漏報率對比結果可知，丁人工免疫的網絡入侵檢測系統漏報率最低，同時檢測時間最短，對比結果可知，基于人工免疫網絡人侵檢測系統采用免疫檢側機制，很好的防范了網絡異常人侵，檢測結果的正確率高，漏報率低，實時性強，是一種優異的網絡人入侵檢測工具。

圖9 3種算法的異常入侵檢測正確率

圖10 3種算法的異常入侵檢測漏報率

   5.結束語

    人工免疫系統足一種模擬生物免疫原理的數據挖掘技術，是繼神經網絡、支持向量機后的研究熱點，具有是一個自適應、自學習、并行處理復雜系統，本文通過研究人工免疫系統信息處理機制，建立了一種基于人工免疫的網絡異常人侵檢測系統。最后通過仿真驗證該算法的有效性。仿真結果表明。基于人工免疫的網絡入侵檢測系統加快了網絡入侵的檢測速度，得到了性能更加優異的網絡入侵檢測器，減少的漏報率，提高了網絡入侵的檢測正確率，檢測的結果更加可靠，克服了當前網絡入侵檢測算法的缺陷，是一種有效的網絡安全防范工具。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.vmgcyvh.cn/

本文標題：數據挖掘技術在網絡安全中的應用

本文網址：http://m.vmgcyvh.cn/html/support/11121511559.html