基于数据挖掘入侵检测.docVIP

基于数据挖掘的入侵检测 作者 Su-Yun Wu, Ester Yen 摘要：随着网络的流行，网络攻击事件不断增加，攻击方法也是日新月异。所以信息安全问题在全世界成为了一个很重要的课题。如今，我们急切需要一种有效的检测、确认以及控制这种攻击的方法。本次研究主要比较机器学习方法的在入侵检测系统中的有效性，这其中还包括分类树和支持矢量机器，希望能给未来的入侵检测系统的建立提供参考。 在对其他基于数据挖掘的入侵检测系统的相关工作进行对比之后，我们用不同攻击比率的正常数据样本计算出平均值，这也使我们以一个更高的精确率观测到现实中的数据。我们还比较了在受到4种不同攻击类型时系统的精确度、检测度、误警率。另外，特别是在U2R型个R2L型攻击下，我们提出的方法的性能和表现要比KDD Winner好。 关键字：分类树，支持向量机器，网络攻击，入侵检测系统（IDS） 1.引言 最近几年，随着网络和个人计算机的流行，网络的使用率也随之上升。这也大大的改变了人们的生活。很多人通过网络学习、创造、交流和购物。除了普通百姓、企业结构以及商业模型由于网络的出现而经历了转变之外，大型企业个政府为了实现管理的目的个效率，法展了许多依赖于网络的应用和服务项目；这些都是在新时代无法抵抗的趋势。 然而，尽管网络带来了方便，但也随之带来了信息安全问题；例如：服务器被攻击或瘫痪，内部数据和信息被盗取等等。这些事情的发生，必将导致在财务和商业信誉上的巨大损失。例如：在2000年，美国雅虎受到了Dos攻击，服务器瘫痪了近三个小时，一亿用户受到影响，至于损失已经打到无法计算。其他著名的商业网络，如CNN、eBay、A以及B等等都遭到过网络攻击。 由于网络的便利性，接触到攻击知识和方法是很容易的。因此，当前，黑客们不需要拥有很广阔的专业知识。每一年，网络攻击事件都处在一个大幅度上升的趋势。通过从美国计算机紧急回应团队/合作中心（CERT/CC）（/）得到的数据.最近几年，每年的网络攻击事件都呈指数趋势增长；通过有关信息安全（.tw/）的报告, 网络攻击已经成为一种新的世界战争的武器。此项报告中，中国军事黑客对攻击美国航空母舰战斗组已经开始了计划，目标是使之因为网络的故障而失去战斗能力。这个信息反映出我们当前急需一种有效的确认和控制网络攻击的方法。 一般的企业采用防火墙来作为网络安全的第一道防线，但是防火墙的主要功能是监视网络的访问行为，它在检测网络攻击上能力是很有限的。所以，入侵检测系统，IDS一直被应用于检测网络的范围内，并且证明了IDS有给信息安全提供保护的能力。 IDS表面上看来像网络监视和报警装置，一种观测和分析网络攻击是否发生，并在被攻击之前发送警告，然后执行一种相应的应付措施来降低巨大损失出现的可能的装置。另外，一些技术是基于种低误判率的模式检验，但这种基于模式的方法需要按周期升级，所以它对未知的和更新的攻击方法没有足够的检测能力。最近，一些研究人员开始应用数据挖掘技术和机器学习技术。这种技术可以分析大量的数据并且在对未知攻击的检测能力上有很好的表现。尽管一些学者们已经取得了一些成就，但在这一方面还存在着很大的发展潜力。 那么，在一个绝大多数状态相同的环境下，被应用于入侵检测的不同的机器学习方法的效率到底怎么样；除了提出过的方法，还有没有其他的方法？因此，本次研究将要比较被应用于入侵检测的不同机器学习方法的效率，包括分类树，支持向量机器等等，希望能为未来入侵检测系统的建立提供参考。 研究的进程在图1中。 2.背景回顾 2.1 入侵检测系统的介绍 入侵检测系统的概念第一次被提出是在Anderson（1980）的一个技术报告中，他认为计算机审查机制应当可以灵活变化的且可以提供给计算机对内部危险和威胁一个安全的防御技术。他进一步提出统计学方法应该应用于分析用户的行为和监测违法接入资源系统的伪装者。在1987年，Dorothy提出一个入侵检测系统的模型：IDES（入侵检测专业系统），之后，入侵检测系统的概念逐渐被人们所知，并且他的论文他也成为了在入侵检测系统领域中一个非常重要的里程碑。随后，不同形式的入侵检测系统被人们提出，如：Discovery， Haystack， MIDAS， NADIR，ＮＳＭ，Ｗｉｓｄｏｍ　和Ｓｅｎｓｅ，ＤＩＤＳ等等（Ｂａｃｅ，　２００２）。 入侵检测系统是监测和控制发生在计算机系统或网络系统中所有可能的情况，分析与安全问题有关的信号，在发生安全问题事发送警告，并且通知相关体系采取措施以降低危险系数（Ｂａｃｅ，２００２）。这个框架由三部分组成（Ｂａｃｅ，　２００２）： 信息采集：数据采集：采集的数据源在位置上可以分为主机、网络、应用。 分析引擎：分析引擎是能够分析是否出现了入侵现象。 回应：在分析后采取行动，记录分析结果，发送实时警告，