本站小編為你精心準備了電子商務安全入侵檢測參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《計算機安全雜志》2014年第六期

1基于數據挖掘的多入侵檢測

1.1總體目標通過上述的論述，我們在基于主機的入侵檢測系統上引入多（Multi-Agent）和數據挖掘技術，與已開發的訪問控制系統、日志管理系統協同工作，并且結合電子商務實際情況，提出基于數據挖掘（DataMining）的多（Multi-Agent）入侵檢測系統（DMMAS）（如圖2）。在良好適合電子商務的實際環境要求這個核心思想下，我們設計的目標是：(1)面向應用領域；(2)采用多（Multi-Agent）；(3)應用數據挖掘技術。該系統使用中間件和Java技術，實現收集（CollectAgent）的收集信息通用化、組件化。系統面向應用領域，在理論和實踐中找到最佳平衡點，使部署簡單，并且小而輕，在用戶的統一控制下。該系統具有簡單的自學習能力，能夠在情況不斷變化下做出正確判斷。使用數據挖掘和OLAP等相關技術對電子商務下的日志信息建立良好模型和展示。

1.2模型框架從圖中看出，DMMAS通過傳感器捕獲原始數據，保持數據源收集和主體應用程序開發上的獨立性，但要使在控制臺集中控制下。原始數據按協議進行預處理加工后，一方面發送給檢測器，另一方面存入到數據庫中。由于日志種類繁多，存入數據庫中需要提供一個通用日志格式，而且要求它涵蓋日志大多信息，但又不能導致數據冗余等等問題，所以通用日志數據格式的定義將是一個難點。然后，一方面檢測器利用XML分析文件，運用模型庫中的規則進行分析信息的安全威脅性，發現異常和誤用，及時提醒管理員并報警；另一方面，分析后的信息存入數據庫后，使用數據挖掘器從數據庫中挖掘知識，不斷迭代更新檢測模型庫，而且進行數據挖掘的聯機分析處理（OLAP），提供生成HTML報表、多維分析、圖形顯示等功能，這些功能滿足企業業務上要求。

1.3多技術（Multi-Agent）在具體實踐上述模型時，充分考慮到分布式應用，對傳感器、預處理器、挖掘器和檢測器采用IA技術。我們設計的分為：收集（CollectAgent）數據整合（DataIntegrateAgent）數據分析（DataAnalysisAgent）監控（WatchAgent）檢測（DetectAgent）

1.3.1收集CA其中CA在宿主系統捕獲審計日志信息，把應用系統日志以及系統審計日志集中返回給DA，另外CA受到IA控制，對于某些檢測，控制可發送警告信息給CA，讓其在宿主機器實現報警或警告提醒。目前我們的收集分為三種：Windows、Linux和應用系統。其中Linux是通過加載內核模塊實現截獲系統調用，Windows為Windows后臺進程截獲Windows日志信息，應用系統通過后臺進程截獲應用系統日志信息。

1.3.2數據整合DIADIA負責將信息進行整合、清理，并把整合和清理好的數據發送給DAA和DA。部分代碼如下：

1.3.4數據分析DAADAA是一個重量級，負責計算和維護程序和用戶的規則，將其分離到一個計算能力強的服務器上，提高速度。DAA從數據庫中取出數據，生成arff文件格式（一種數據挖掘分析格式），實現為ARFFGenerator類。部分代碼如下：模型的產生是在Xelopes數據挖掘平臺下實現的，先讀入arff文件作為數據源，然后配置相關元數據屬性，再使用DecisionTreeAlgorithm算法產生模型。部分代碼如下：

1.3.5檢測DADA為檢測，它接收DAA產生的規則，并使用該規則檢測信息。DA使用檢測技術分別處理各自日志信息，給出統計分析報告。也就是說，采用分布式檢測管理策略，DA的檢測負擔大大減少，可以分布到多臺機器完成，具體實踐上DA也可以考慮用CA來完成，在CA中整合DA完成的功能。另外，學習的同時，DA能夠比較新的記錄條目與攻擊特征，并檢查不應該改變的系統文件的校驗和分析系統是否被侵入或者被攻擊。如果發現與攻擊模式匹配，IDS系統通過向管理員報警和其他呼叫行為來響應。其主要目的是在事件發生后提供足夠的分析來阻止進一步的攻擊。

1.3.6監控WAWA為用戶接口，主要用來圖形化顯示日志信息，并且負責實現用戶和各之間的溝通，用戶可以通過WA向其他發命令，控制CA、DIA、DAA、DA。實現的自動升級，打開或關閉，讓CA做一些預定義好的簡單事件，例如在宿主機器上報警，也可以控制檢測器的檢測范圍等；在控制DAA時，可以調整挖掘學習的參數，優化生成的模型和規則。我們開發的WA具有生成主機日志拓撲圖能力（如圖4），動態拓撲圖描述了有關主機和用戶之間的交互情況，圖中心為“網絡”節點，以它為中心周圍有正活動的主機，主機周圍是主機上正在活動的用戶，每個用戶都有很多操作在進行。例如，如圖中有一臺主機WML200，在這臺機器上有兩個用戶（SYSTEM、Administrator）在活動，其中SYSTEM用戶進行了四項操作（登錄和注銷、賬戶登錄、對象訪問、詳細追蹤）。

1.4數據源通用類數據源通用類實現成可以裝載各種不同格式的日志，其中系統級日志例如syslog、NTeventlog等，還有應用級日志，使得把不同日志格式統一成為可能，并且可擴展性也好。數據源通用類將數據整合，如表1所示。數據源通用類以日志數據為輸入，提供通用接口協議，只要收集遵守這個協議組織數據，通用接口都可以識別為有用信息。但是大部分廠商的操作系統日志記錄功能非常不規范，還沒有形成一套比較完整的日志記錄標準解決方案，因此，要建立日志標準，這個日志標準要綜合各類日志具體情況而定。目前建立數據源通用類LogModel定義包括三類日志的公共信息，Windows日志、Linux日志、應用程序日志分別從該類繼承，如圖5所示。

1.5數據挖掘技術從上面可以看出，通過收集收集來的審計日志信息會非常龐大，把數據挖掘技術引入到入侵檢測當中就是為了解決這個問題。數據挖掘方法有多種，其中可用于對日志信息進行挖掘，比較典型的有關聯分析（Association）、序列模式分析(Sequentialpattern)、分類分析(Classifier)、聚類分析(Clustering)等。關聯規則挖掘的目標是從數據庫表中得出屬性(features或attributes)之間的關聯關系。關聯規則形式如下X->Y[c,s]，這里X∩Y=Ф,s=support(XUY)是支持度(表中同時包含X和Y的記錄所占的百分數)。c是該規則的置信度，定義為s(XUY)/s(X)。序列模式分析和關聯分析相似，序列分析的目標是在事務數據庫中發掘出序列模式(largesequences)，即滿足用戶指定的最小支持度要求的大序列，并且該序列模式必須是最高序列（maximalsequence）。序列規則形式如下：X,Y->Z[c,s,w]，X,Y和Z是項集，s=support(XUYUZ)是規則支持度，c=support(XUYUZ)/support(XUY)是置信度，w為時間長度。分類分析是通過分析示例數據庫中的數據為每個類別做出準確的描述建立分析模型，挖掘出分類規則能夠把數據集中的數據映射到某個給定的類上。與分類分析不同，聚類分析輸入的是一組未分類的數據，并且這些數據的分類情況事先未知，通過聚類分析后把數據劃分到不同的組中組之間的差別盡可能大而組內的差別盡可能小。令S為由d維度量空間的點代表的n個數據對象的集合，將S分成k個子集的一個劃分稱為K－聚類，其中每個Ci稱為一個簇，兩個數據對象之間的距離通過一定的度量方法來確定，度量函數的選取與具體的應用息息相關，最廣泛使用的是歐幾里得距離。我們的Linux收集的日志為系統調用，針對系統調用的數據挖掘一般有兩種：系統調用的關聯分析和系統調用的序列分析。對于系統調用的關聯分析，從關聯分析的角度看，與系統調用相關的各個變量具有很強的相關性，如果將一次系統調用表示為（進程號、系統調用號、用戶、訪問對象訪問權限），不難發現，這五個變量都具有很強的關聯關系，特別適合利用數據挖掘算法進行分析。

2結束語

在本文中，本文將主要從入侵檢測安全角度上分析目前電子商務安全體系結構，從網絡情況、安全威脅對象、事故評估和追究事后責任、攻擊預測與事前警告等各個層次分析得出結論，在目前電子商務領域里，基于主機的入侵檢測具有廣闊的發展空間，基于網絡的入侵檢測并不能發揮較大作用。根據上述分析和結論，本文提出了符合電子商務要求的基于數據挖掘的集中式入侵檢測模型。本文設計的模型主要三部分：數據源通用類、多、數據挖掘。從整體上看是分布式的。在未來的工作中，計劃繼續完善和細化模型，進一步對模型進行優化。

作者：甘雨單位：上海房盟信息技術有限公司