1、1基于主机和网络入侵检测的数据挖掘技术【摘要】数据挖掘指从存储数据中识别出隐藏的固定模式或异常现象的高级处理过程,由于数据挖掘技术能够发现隐藏在数据背后的用户模式和特征,因此,在基于主机和网络的入侵检测中,基于数据挖掘的检测方法是重要的研究课题,也存在着来自统计、模式识别、机器学习等多个领域的数据挖掘算法。使用元学习的方法来进行分布式事务模式挖掘,元学习是一种用于处理从大型分布式数据库中计算全局分类器的技术,元学习首先在分布式数据库中使用学习程序并行的计算独立的分类器,然后再使用另一个学习程序在这些分类器上集成元分类器。在使用元学习得出异常或偏差事务模型后,使用模式指导的推理系统来检测欺骗事务
2、 【关键词】网络入侵;检测数据;挖掘技术 一、数据库常见缺陷概述 虽然大多数数据库管理系统都提供了安全管理机制,使对数据库安全的需求得到了一定程度的满足,但在很多方面仍然存在大量的问题。首先,是数据库账户和权限的滥用存在缺陷,数据库账户和权限的滥用缺少针对数据库管理员的监控机制。数据库管理员拥有数据库系统管理、账号管理、权限分配等系统最高权限。如果数据库管理员利用工作之便,窃取敏感信息、篡改毁坏重要业务数据,对用户数据库安全的打击将是致命的;其次,是数据库自身日志审计的缺陷,此缺陷难以实时监测发2现问题,数据库系统自身的日志审计功能可以记录各种数据库系统修改、权限使用等日志信息,并不能帮助管理
3、者及时发现定位问题;同时由于不能实时监测报警,因此在数据库异常安全事件发生时,无法第一时间报告给管理者,导致管理者不能及时采取有效措施;第三是数据库身份认证的缺陷,数据库系统虽然提供用户身份认证机制,但是用户只有提供了正确的登录账号和登录口令才能进入数据库服务器进行操作。如果一个用户通过非法手段取得一个账号和口令,则此非法用户可以进入数据库服务器进行操作,用户认证机制对此则有可能无能为力。对数据库来说,仅仅依靠在文件和系统命令级的底层操作系统和网络入侵检测系统无法保证检测的效率和精度。比如 SQL 注入技术是一种入侵者使用精心伪造恶意 SQL 语句来获取用户特权的方法,SQL 注入常常利用数据
4、库应用程序的漏洞,这种入侵是操作系统和网络入侵检测系统所难以检测的。因此,对他们的非法行为往往很难检测。数据库入侵检测作为一种动态的网络安全防卫技术,能同其他安全部件一起构成纵深的、多层次的计算机和网络安全防御系统,对数据库运行系统的状态和活动进行检测,分析出非授权的访问和恶意行为,发现入侵行为和企图,为入侵防范提供有效的手段,提高检测的准确度和有效性。 二、目前流行的几种数据库入侵检测技术 首先,是对存储篡改的检测,对数据库的存储篡改是一种恶意修改数据库中的存储数据以降低数据质量的行为,存储篡改的目的是以错误或低质量数据误导和妨碍对手的行为,存储篡改是一种内部滥用行为,检测物是一种检测篡改数
5、据的恶意行为的抽象机制,在数据库中,检测3物一般是不被正常用户和应用所使用,但篡改者又无法将其与正常数据区分开的伪造数据,如果发现检测物不在正常或可预期的状态则表示可能发生了数据篡改行为,对防止和检测企图绕过数据库管理系统在磁盘级破坏数据的入侵者,通过将数据库加密和在小块可信存储中保存的散列,验证数据库正确性的方法来检测不可信程序,对数据库的非法读取和修改是有效的;其次,在许多场合中,独立于应用语义对数据库事务或用户进行检测并不足以识别用户的异常行为,如某个管理员突然将自己每月工资增加一万元,在正常情况下这是不可能的,但对建立在独立于应用语义上的检测方法如对表存取统计、数据文件存取统计、会话统
6、计或上述的各种检测方法并不能发现异常,这种异常检测只能建立在数据库的应用语义上;再次,数据库具有自己独特的事务处理机制和 SQL语言查询,对用户使用 SQL 语句的模式进行检测是数据库入侵检测的一项重要内容。指印是一种基于 SQL 语句的入侵检测方法,指印是从合法事务中的 SQL 语句中推出的正则表达式,它代表用户正常的行为,用户的事务语句如果偏离指印集则表示可能的异常行为。指印技术特别适应类似于对互联网上的数据库入侵检测,比如 SQL 语句注入,因为在这些应用中往往使用数据库应用来查询数据库,而这些应用只通过一定接口使用固定的几种查询格式,不允许用户自构查询,在这种情况下即使事务较大用户较多
7、误警率也较低。 三、数据挖掘技术未来的发展趋势 在未来的数据挖掘入侵检测技术中,最有可能采用的是分布式入侵检测技术和高级智能检测技术。分布式入侵检测技术不仅能对网络入侵4攻击行为进行检测,同时也能检测分布式攻击,能对关键技术中的监测信息进行协同处理和对入侵攻击的区局信息进行提取。分布式入侵检测技术的出现,改变了传统入侵技术。在不久的将来,其将成为未来的入侵检测技术主流;高级智能检测技术,就是根据不同的检测机理或方式进行检测,此技术是基于免疫机理、基于数据挖掘、基于智能体和基于遗传算法等四种检测法进行的。基于免疫机理入侵检测技术是以生物免疫系统为基础的技术,这种技术是从面积系统中抽象出来的与计算
8、机安全相关的原理、结构和算法,可以对其进行基因选择、阴性选择及克隆选择等机制应用于入侵检测技术中。这是因为,基于数据挖掘入侵检测技术是一种不断可以发现的技术,依据该技术可以从大量的信息中提出客户对客户有用的信息,为正常用户的活动及各种侵入行为建立精确的行为模式来检测异常入侵或是已知入侵。其最大的优势就是不需要人工分析和编码入侵模式等就都能对大量的信息进行筛选,同时也能发出有效数据挖掘算法和正确的体系结构。基于智能入侵检测技术是一种那个自主性、交互性及反应性都能高度自治的软件实体,每个智能体都能独立完成各自的工作。这种技术适于复杂多变的网络环境,能通过自我学习或自我进化提高自身的入侵检测能力,且能利用网络资源协同完成入侵检测任务。 四、结语 随着计算机网络技术的不断发展,各种数据库非法入侵手段在不断的增多。入侵检测挖掘技术虽能弥补了防护墙技术的不足,但是其在发展中也存在一定的问题。要想保证计算机系统正常运行,还要加大对入5侵技术的研究力度 参考文献: 1乔佩利,冯心任.基于 CMAC 网络的异常入侵检测技术J.哈尔滨理工大学学报,2010.5 2常红梅.计算机数据库的入侵检测技术实现J.信息安全与技术,2011(10):99-101 作者简介: 邓淮水(1991.10) ,男,汉族,湖南娄底人,本科,研究方向:计算机科学与技术专业。
