基于数据挖掘的数据库入侵检测系统设计

  • 格式:docx
  • 大小:9.99 KB
  • 文档页数:6

基于数据挖掘的数据库入侵检测系统设计
【摘要】计算机安全问题的日益突出,对入侵检测系统提出了更高的要求。

本文探讨了基于数据挖掘的数据库入侵检测系统,对数据库内数据的入侵行为的进行快速的识别,提高入侵检测系统规则挖掘速度。

【关键词】入侵检测数据挖掘异常检测
一、数据挖掘定义
数据挖掘的定义就是从大量的、真实的、模糊的、含有噪声的、不完全的、随机的数据源中,提取出新颖的、有用的隐含在其中不为人们所知的知识或信息的过程。

根据需要,在数据集中挖掘发现用户感兴趣的知识;被发现的知识要具有可接受、可理解、可运用的特点。

数据挖掘由数据准备、数据挖掘,以及结果的解释评估三部分组成。

二、入侵检测技术
入侵检测是一种新兴的信息保护技术,该技术可弥补已有安全保护技术的缺点,实现对数据信息的安全保护。

目前把数据挖掘技术引入到入侵检测中去,利用数据挖掘技术,对行为规则进行高效的挖掘,建
立相应的规则库,并实现规则库的自动、有效地更新。

基于数据挖掘技术的入侵检测系统可以更加高效在进行入侵检测。

其数据挖掘入侵检测模型如图 1 所示。

其工作流程步骤:首先,对原始的用户行为数据进行收集,建立原始数据信息集,在此基础上对数据进行分析、挖掘出行为规则,使用分类算法进行规则挖掘,构建异常检测规则库和滥用检测规则库,然后使用数据挖掘算法对入侵数据集进行挖掘,构建一个入侵数据的特征模型,并及时地更新已有规则模型。

三、系统设计(一)设计思想。

在数据库安全中,就是为了保护数据库中恶意破坏。

确保只授权给有资格的用户访问数据
的数据,防止非法用户对数据非法存取或
库的权
限,同时令所有未被授权的人员无法接近数据,这主要是通过数据库系统的存取机制实现。

为了对入侵行为进行有效检测,利用数据挖掘,数据挖掘的原理就是从大量数据中高效地抽取出感兴趣规则的技术。

将数据挖掘技术应用于入侵检测系统中,建立数据库的入侵检测系统,通过数据挖掘技术对大量的数据库审计数据进行挖掘,根据当前数据库中数据用户的行为规律,通过对数据用户的行为规律进行挖掘,从中提取出特征,可以获得数据用户的正常行为模式和滥用行为模式,分别生成异常检测规则库和滥
用检测规则库,以挖掘出正常行为轮廓和攻击模式来建立和评价入侵检测系统。

然后对数据库审计数据分别进行异常检测与滥用检测,经过检测,当前获取的可疑审计数据就可以被划分为:正常数据、异常数据以及可疑数据。

为入侵检测提供数据依据,以此来判别审计数据是否存在入侵行为。

因此,本系统入侵检测过程:一是建立数据库用户的行为模式规则库,二是对当前的数据库审计数据进行检测,看是否产生入侵。

基于数据挖掘的数据库入侵检测系统,在适应性、有效性、扩展性方面都有所提高。

(二)系统设计。

本文设计的基于数据挖掘的数据库入侵检测系统由数据预处理模块、规则生成模块、入侵检测模块和响应模块四大的模块组成,是将数据挖掘技术、滥用检测技术和异常检测技术相结合,应用 Apriori 算法对入侵检测系统进行规则挖掘,从大量的审计数据中挖掘出相关规则,构建相应的规则库,为入侵检测提供数据依据,以判别其是否存在入侵行为,并作出相应的响应,实现对数据库进行非法入侵行为检测。

1.数据预处理模块和规则挖掘模块。

数据采集主要是收集用户历史行为数据进行特征提取,用于构造入侵行为模式规则库,将收集到的数据进行集成与预处理。

由于入侵检测系统开始获得的是正常的原始审计数据,数据类型为多值型,而 Apriori 算法无法直接处理多值型数据。

需要对原
始审计数据经过数据预处理,将其转换为布尔型数据,才能进行数据挖掘,挖掘形成相应规则,获得原始规则库,并且当有新的规则出现的时候,规则库可以及时地更新,将新的规则添加到规则库中。

由于同一个连接通常包含着许多审计记录,我们可以将这些属于同一会话的审计记录合并到同一个连接中
2.入侵检测模块。

数据库入侵检测系统中,入侵检测系统模块分为对滥用检测规则库的滥用检测和对异常检测规则库的异常检测两种,入侵检测部分要完成的首要工作是识别待检测的审计数据是否显示有异常行为。

对数据的异常检测,就是在异常行为检测库中,将审计的数据同正常用户规则进行比对,如果比对中发现审计的数据与正常用户某条规则符合,则可以充分地判定审计的数据为正常数据,反之,则审计的数据为可疑数据。

而对数据的滥用检测,是在滥用规则检测库中,将当前获取的审计数据同库中规则进行比对,若当前获取的审计数据与滥用规则检测库中的某一条规则相匹配,则认定当前的行为为滥用行为,并且同时对异常数据发出警报。

对当前获取的审计数据经过异常检测和滥用检测两次入侵检测规则识别后,当前获取的可疑审计数据就可以被划分为:正常数据、异常数据以及可疑数据。

实现了对入侵数据的检测,保证了数据的安全可靠。

3.响应模块。

响应模块则针对检测的审计记录结果作出响应处理,若被检测的审计数据属于正常的用户行为,则入侵检测系统不做任何处理;若被检测的审计数据属于入侵行为,将对入侵行为发出警报,若被检测的审计数据属于可疑行为,对可疑行为进行标记并且通知审计管理员,审计员将判别的结果添加到滥用检测规则库或者异常检测规则库。

对新规则加入至规则库,且更新数据源。

四、系统安全性设计
建立审计维护模块,产生出事件检测报告和总结报告。

事件检测检测的低层次的详细信息,记录了所有入侵
和异常的具体情况的检测报告,总结报告是对每一种入侵
或异常在某一单位时间内发生的次数进行统计,便于系统
管理员进行事后的分析,帮助分析员了解攻击趋势,对制
定安全策略也是不可缺少的信息数据。

随着网络应用的普及,数据库系统的数据信息的安全
问题越来越重要,数据挖掘作为一种规则挖掘手。

应用 Apriori 算法以提升规
段被引入到了入侵检测中
则挖掘效率;使用异常检测与滥用检测相结合的复合式搜索引擎,提高入侵检测系统规则挖
掘速度。

参考文献:
[1]莫乐群,郭庚麒.基于聚类挖掘的入侵检测方法的研究[J].计算机应用与软件,2010, 27( 4): 134-136.
[2]石少敏.基于数据挖掘的混合式入侵检测模型
及分析[J].通信技术,2009, (08): 42-47
[3]孙利,陈萍,陈华丽.关联规则挖掘在网络教学评价中的应用 [J]. 电脑开发与应用, 2007, 01 期
[4]李金凤,姜利群.基于微软云计算平台的海量数据挖掘系统[J].电脑知识与技术,2011, 34: 8766-8768。