数据挖掘技术在网络安全中的应用

　　随着互联网的飞速发展，网络给走进了人们的生活、娱乐和工作中，但互联网的开放性和安全性是一对矛盾体，因此由于互联网的无主管性、跨I目性、不设防性，网络给人们带来便利的同时，网络安全问题越来越突出。网络入侵检测是网络安全系统的重要组成部分，其对未经授权的使用、滥用网络资源的行为进行检测，具有保护信息完整性、机密性作用。

　　网络入侵检测方法包括异常入侵检测和误用入侵检测方法。误用入侵检测方法认为异常行为和正常行为之间的交集很大，其检测结果与检测知识库完备性密切相关，不能发现新入侵行为，检测结果没有实际意义，因此异常入侵检测方法是当前网络入侵检测要研究方向。基于异常入侵检测系统采用技术主要有统计法、贝叶斯网络、神经网络和数据挖掘等方法。基于统计的异常入侵检测是最为传统的网络入侵检测技术，其只能对小规模网络检测，对大大规模网络存在检测速度，效率低的缺陷。贝叶斯网络、神经网络检测速度快，但是误警率较高，自适应能力较差，不适合于现代入侵手段多样化互联网。数据挖掘技术主要对互联网导审计纪录进行分析，从中挖掘隐含的、实现未知的潜在有用信息，并用这些信息去检测异常入侵和已知的入侵，成为当前最主要的网络入侵检测工具。其中人工免疫是近些年发展起来的新的数据挖掘方法，是受到生物免疫启发发展而来的，具有布式计算，自适应和自我监控、动态学习能力，能够克服传统技术中存在的一些缺陷，能够其动态性适合系统环境变化，从而实现对未知攻击的实时防御，因此人工免疫算法为网络入侵异常检测提供了一个崭新思路和有效的方法。

著名猎头机构推荐金领职位 企业 职位 经理人 专访 社区 会员 军工仪器研发制造--电子工程师/项目经理 36-45万 北京 TOP5国内氢能源存储公司--俄罗斯客户经理 30-60万 莫斯科 军用AI分布式智能仿真系统（军棋战略推演）-销售总监/售前顾问 60-120万 北京 成都 西安 著名光电通信芯片--外延工艺资深专家 80-150万 北京 深圳 核生化军工企业--产品经理 （VR/AR)/研发经理 60-70万 北京 山东 上市公司-80G微波器件/组件-技术研发总监（军用） 40-60万 成都 西安 FT500智慧制造ICT/ERP解决方案销售VP 150-200万 天津 北京 互联网保险公司-区块链工程师 40-60万 北京 无锡

　　由于网络入侵检测系统与人工免疫系统工作原理具有很大的相似性，针对网络入侵检测的特点，本文提出一种人工免疫网络入侵检测方法，将其应用于网络安全防范中。

　　2.网络入侵检测原理

　　网络入侵检测是一种主动的安全防护措施，它从系统内部和各种网络资源中主动采集信息，分析可能的入侵攻击行为，有效地扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。网络入侵检测系统模型如图1所示。

　　图1 网络入侵检测系统模型

　　网络入侵检测系统就是防止内部和外部的入侵行为对网络系统的侵害。而人工免疫系统足识别自体和非自体，保护人体不受外来病原侵害，其角色类似于网络系统中的入侵检测系统，而其它方法没有这样优越性，因此，本文将人工免疫系统引入到网络入侵检测系统中，建立一种基于人工免疫的网络入侵检测系统，很好的解决网络统中发生频繁的、形式变化多样的入侵和攻击检测问题，从而提高网络系统的安全性。人工免疫和网络入侵检测系统的映射关系如图2所示。

　　图2 人工免疫和网络检测系统的映射关系

　　3.人工免疫的网络入侵检测系统

　　3.1 网络入侵检测模型设计

　　3.1.1 抗体/抗原

　　在网络入侵检测系统中，抗原(Ag)为网络中对外来入侵的免疫，即表示网络中待检测的网络数据，抗原集合定义为：

　　Ag=(Ag1，Ag2，…，Agi)，(i=1，2，…，n) (1)

　　在网络入侵检测系统中，抗体表示入侵检测系统，抗体集合定义为：

　　Ab=(Abl，Ab2，…，Abi)，(i=1，2，…，n) (2)

　　3.1.2 自我/非自我

　　在基于人工免疫的网络入侵检测系统，首先面临问题是如何定义自我和非自我，对于不I司的领域，其定义不同。对于网络入侵检测系统，自我表尔计算机网络中正常的连接集合，而非自我表示自网络攻击的IP数据包，客户越权使用网络服务，违反信任机制，非法网络服务访问，通过绕过网络安全设备，冒充合法客户等。

　　3.1.3人工免疫系统的编码

　　在人工免疫系统中，对抗体和抗原表示方式，目前有二进制和实值向嚣两种表示方法。对于网络入侵检测系统，由于每一个网络数据样本包含多个特征属性，其中一些是离散数据，另一些是连续数据，由于二进制编码方式比较成熟，且编码方式录活，因此本文采用二进制编码方式对抗体和抗原进行编码。

　　3.1.4 检测器构造

　　基于人工免疫机制入侵检测系统中，检测器相当免疫系统的淋巴细胞，主要足对外来人侵进行检测。

　　1)检测器集合的产生。在网络入侵检测系统中，由多个检测器组成检测器集合。首先产生一个自我的字符集合，即正常的网络连接。然后根据免疫系统的阴性选择原则，得到成熟检测器集合。因此产生的成熟检测器集合和自我的字符集合不匹配，两者是互补的，即这个过程叫入侵“审查”。成熟检测器的产生过程如图3所示。

　　图3 成熟检测器的产生过程

　　2)检测器的构成。在网络入侵检测系统中，检测器是用固定长度的二进制字符串来表示，是通过r连续位匹配来实现对异常入侵的检测。因此每一个检测器由检测字符串、生成时间、属性域、匹配域四个部分组成。

　　3)检测器的生命周期。在网络入侵检测系统中，网络状态具有时变性，因此检测器必须能够对网络时变性进行检测。在基于人工免疫的入侵检测系统中，每个检测器生命周期主要包括产生、成熟、检测和死亡4个阶段，同时检测器分为未成熟的、成熟和记忆检测器3类。检测器的生命周期如图4所示。

　　图4 检测器的生命周期

　　采用伪随机序列随机产生新的检测器，在阴性选择前保持未成熟状态，这是未成熟检测器与“自我”中的每一个字符进行匹配，若相匹配，那么丢掉该未成熟检测器，否则，就将其加入到成熟检测器中。

　　3.1.5 自我规则生成

　　在网络入侵检测系统中，由于自我集不可能覆盖系统所有的正常连接状态，只是正常状态部分抽样，因此需要采用一定规则进行架构来提高覆盖率。本文采用Hamming生成规则。其根据抽样集合和位串间的Hamming距离来得构原始集合。(如下图所示，其中，T为阈值，x表示位串。)

　　图5 Hamming生成规则

　　3.1.6 亲和度计算

　　亲和度义称为匹配度，设网络入侵检测器中含有Ⅳ个抗体，第i个抗体含有Li位串，那么抗原和抗体之间的亲和度为(图6所示)。

　　图6 亲和度计算公式

　　3.1.7 克隆和变异

　　对每个抗体的克隆复本进行计算，而且克隆的数量与匹配度成正比，具体计算公式为(图7所示)。

　　图7 克隆和变异计算公式

　　根据匹配度的大小对抗体进行变异操作，变异公式为(图8所示)。

　　图8 变异公式

　　3.2 网络入检测的工作步骤

　　基于人工免疫的网络榆测系统的工作步骤如下：

　　1)对网络入侵检测系统进行训练，此时系统没有任何入侵行为发生，处于安全状态，系统不断的收集正常网络活动的模式字符串，组成自我字符集。

　　2)检测器将收集到的模式字符串发送到网络入侵检测系统(IDS)的主机，与自我集中的字符串进行全长度匹配，若匹配，表法自我集有该字符串，那么将该字符串丢弃，否则，就加入到自我集中，当系统中的自我集达到一定数目后，但进行网络入检测阶段。

　　3)检测器对网络活动的状态进行提取，将其与检测器集中的每一个检测器进行匹配，匹配的顺序为：记忆、未成熟和成熟检测器。

　　4)如果检测器集中有两个以上检测器与该字符串相匹配，那么表示可能是入侵行为，就立即向IDS主系统报警。

　　5)如果只有一个检测与该字符串相匹配，检测器就向IDS主系统发送协同刺激请求信号，并将该字符串一起发过去。

　　6)IDS主系统将该字符串与自身的检测器集进行匹配，如果匹配，则确认是入侵，向控制台报警，I司时将其加入到非自我集中。

　　4.仿真研究

　　4.1实验数据集的选取

　　仿真数据来自KDD CUP 1999异常入侵检测数据集，数据集在一个模拟的网络环境中收集的，其包括扫描攻击(Probe)、拒绝服务攻击(DOS)、远程用户未授权访问攻击(U2L)、未授权使用本地超级权限访问攻击(U2R)等四种类型攻击方式。在KDD CUP 1999数据集中，每个网络连接由41个特征属性和1个标记组成，其中7个离散型的特征属性，34个连续型特征属性。本文采用的数据如表1所示。

　　表1 仿真数据中各种攻击的数目

　　4.2数据预处理

　　在网络入侵检测中，原始数据受到噪声、不一致性等因素的干扰，同时数据可能采用不同的单位，数据集中属性存在关系或冗余，这些因素都会对检测结果产生不利影响。为了解决该问题，本文采用数据清洗技术噪声数据，采用主成分析提取特征，采用归一化技术对数据单位不一样数据进行处理。

　　4.3仿真结果与分析

　　4.3.1对网络入侵的检测结果

　　首先时数据集进行训练，然后进行检测，3个数据集的平均检测结果如表2所示。从表2的检测结果可知，检测的正确率相当高，误撤半率比较低，检测时间短，结果表明基于人工免疫的网络入侵检测算法能够很好的保证网络的安全，满足网络入侵检测的实时性，是一种有效的网络安全保护措施。

　　表2 基于人工免疫的检测结果

　　4.3.2 与其它模型的检测性能对比

　　为了对人工免疫算法的优越性进行测试，本文采用支持向品机、贝叶斯网络算法对为对比算法，对异常入侵进行榆测。采用检测正确和漏报率作衡量指标，支持向量机、贝叶斯网络对表1数据的检测结果如图5和6所示。从图5的检测正确对比可知，基于人工免疫的网络人侵检测系统的检测正确率远远高于支持向量机和贝叶斯网络，从图6的漏报率对比结果可知，丁人工免疫的网络入侵检测系统漏报率最低，同时检测时间最短，对比结果可知，基于人工免疫网络人侵检测系统采用免疫检侧机制，很好的防范了网络异常人侵，检测结果的正确率高，漏报率低，实时性强，是一种优异的网络人入侵检测工具。

　　图9 3种算法的异常入侵检测正确率

　　图10 3种算法的异常入侵检测漏报率

　　5.结束语

　　人工免疫系统足一种模拟生物免疫原理的数据挖掘技术，是继神经网络、支持向量机后的研究热点，具有是一个自适应、自学习、并行处理复杂系统，本文通过研究人工免疫系统信息处理机制，建立了一种基于人工免疫的网络异常人侵检测系统。最后通过仿真验证该算法的有效性。仿真结果表明。基于人工免疫的网络入侵检测系统加快了网络入侵的检测速度，得到了性能更加优异的网络入侵检测器，减少的漏报率，提高了网络入侵的检测正确率，检测的结果更加可靠，克服了当前网络入侵检测算法的缺陷，是一种有效的网络安全防范工具。