随着计算机网络的全球化和网上各种新业务的兴起，信息安全问题变得越来越重要。传统的安全保护技术和防火墙技术已经远远不够，迫切需要一种能够及时发现并报告系统入侵的技术，即入侵检测系统(ids)。入侵检测系统作为一种积极主动的安全防护措施，能检测未授权对象对系统的恶意攻击，并监控授权对象对系统资源的非法操作，阻止入侵行为。随着网络信息的丰富和带宽的扩大，收集的审计数据和网络数据包的数量将是非常巨大的，要想从大量的审计数据和网络数据包中发现有意义的信息将变得非常困难，因此需要利用数据库方面的新技术--数据挖掘。本文研究了基于数据挖掘技术的入侵检测系统。

1 系统框架和模块功能

本系统是由数据采集模块、入侵检测模块、应急措施模块、规则扩充器等4个模块和3个数据库构成的系统框架，如图1所示。

1．1 系统模块的功能

(1)数据采集模块

该模块负责提取与被保护系统相关的运行数据，并对其简单过滤。采集的内容包括系统、网络及用户活动的状态和行为。数据采集的信息来自系统和网络的日志文件、目录及文件中的异常改变、程序执行中的异常行为等信息。

(2)入侵检测模块

该模块主要进行数据分析，即在采集的数据中找到入侵痕迹。先从审计数据中提取特征，再将这些特征用于模式匹配或异常监测模型，若检测到入侵，则根据系统配置发出不同级别的应急措施；若检测到异常数据信息，则将其送人异常数据检测数据仓库。系统在设定的条件下，利用数据挖掘技术(如关联规则)寻找出数据仓库中相关连的异常数据，并将决策的结果添加到攻击检测规则库，从而提高整个系统的检测智能，降低了异常监测的误报率。为确保人侵检测的效率和实时性，入侵分析需在系统的性能和检测能力间权衡后再决策。必要时要牺牲部分检测能力来保证系统可靠、稳定地运行、快速地响应。

(3)应急措施模块

应急措施模块是在检测到入侵行为后被触发，系统跟据管理员对系统安全的配置措施进行及时响应，如切断月络连接、记录事件、报警、向管理员提示等。响应一般分为主动响应和被动响应2种。主动响应是阻止、影响或改变攻击进程，由系统自动执行，可对入侵者采取行动、镕正系统环境或收集有用信息；被动响应只报告所检测出的问题。

(4)规则扩充器

主要功能是从规则扩充器异常检测数据仓库中分析多个检测引擎提交的审计数据，运用多种关联方法进行挖屈，产生新的检测规则，经管理员决策确认后进入攻击检则规则库。

2三个数据库

(1)系统配置库

根据检测系统的需求而建立的数据库，主要用于系统的安全审计策略、启用规则扩充器的手段和时间间隔等。

(2)攻击检测规则库

入侵检测依据规则库是提供与正常行为模型的比对规则和与异常行为模型的匹配规则。例如对于输人用户名与密码的正常行为，当某用户连续(如在半小时以内)输人8次以上，则认为有入侵的倾向，可以提示管理员重点是注该用户。这里的输入次数是一个表示频度的阀值，管哩员可以进行手工配置。对于arp欺骗的异常行为，将其关键特征参数放入检测规则库，当出现类似的入侵过程和关键特征参数时，则认为有arp欺骗入侵。

攻击检测规则库的数据主要来自于系统管理员的配置、系统的缺省(目前常用的正常行为模型和异常入侵特征模型)、规则扩充器挖掘的异常入侵特征模型。

(3)异常检测数据仓库

主要存放经入侵检测模块过滤的大量的异常检测信息，为规则扩充器提供数据来源。

2系统的实现原理

本系统将数据采集模块通过定时／实时采集的数据，经接口传送到入侵检测模块，在系统配置库和攻击检测规则库的支持下，利用电子数据处理、安全审计、模式匹配、异常检测术、统计等技术，分析被检测系统的审计数据。若发现与正常行为相违背的行为或与异常数据相匹配的行为，则启动应急措施模块进行不同安全策略级别的应急处理；其余的异常信息则送入数据仓库，等待进一步挖掘。在一定条件下，启动规则扩充器，以数据仓库的数据为基础，分析挖掘并形成新的规则，经管理员认同，加入到攻击检测规则库中，指导以后的入侵检测行为。
3采用的主要技术

3．1数据采集

数据采集是入侵检测的基础，数据采集按照检测数据的来源分为基于网络的数据采集和基于主机的数据采集。基于网络的ids，主要是从网络上提取数据进行监测，例如网络层通过的原始ip包、链路层的数据帧等，由于在局域网中普遍使用的是ieee802．3协议，主机之间传送数据l时采用子网内广播的方式，即任何一台主机向子网内的某台主机发送数据时，该数据均会在其子网内广播，也就是说该数据会被任何一台主机接受(只要将网卡设置为混杂模式)。优点数据的采集不会影响到主机和网络的性能。基于主机的ids，主要是对主机的被保护系统进行监测，通过查看主机的系统日志数据来寻找入侵。他很难发现来自底层的网络攻击，而且在数据提取的实