网络安全中的数据挖掘技术（3）

4.1 入侵检测技术

（1）误用检测
误用检测又称为特征检测，它将已知的入侵活动用一种模式来表示，形成网络攻击特征库，或称为网络攻击规则库。该方法对输入的待分析数据源进行适当处理，提取其特征，并将这些特征与网络攻击特征库中的特征进行比较，如果发现匹配的特征，则指示发生了一次入侵行为。
优点：误报率低、能够准确的识别已知的攻击，并详细地报告出网络攻击类型。
缺点：漏报率高、对新的入侵方法无能为力
（2）异常检测
异常检测收集正常活动的规律，将待检测的活动与这些正常活动的规律进行比较，对于违反正常活动统计规律的活动，认为该活动可能是入侵行为。
优点：漏报率低、不需要对每种入侵行为进行定义，可以检测到未知的入侵行为。
缺点：误报率高、可能无法明确入侵行为的类型。

4.2 入侵检测系统

入侵检测系统（IDS)是指执行入侵检测任务和功能的系统，它将入侵检测技术植入到可部署的系统中，对计算机网络或系统中违反安全策略的行为进行识别和相应处理。
（1）基于主机的入侵检测系统
基于主机的入侵检测系统分析的数据源来自主机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录等，它一般保护所在的主机系统。
优点：不需要额外硬件，对网络流量不敏感，入侵检测效率高并且能准确定位入侵位置并做出反应。
缺点：依赖主机可靠性，可移植性差，所能检测的攻击类型有限，并影响主机运行性能和服务效率。
（2）基于网络的入侵检测系统
基于网络的入侵检测系统分析的数据源来自网络上传输的原始能量，它保护其所处网段的计算机网络，担负着整个网段是否被入侵的任务。
优点：不依赖操作系统作为待检测数据的来源，可以检测协议攻击、特定环境的攻击等，不影响主机性能。
缺点：无法检测发生在应用级别的入侵行为，无法得到主机系统的实时状态，精确度较差。
（3）混合入侵检测系统
该系统结合了上述两种系统，检测效果更加准确，但实现难度较大和成本 较高。

4.3 数据挖掘在入侵检测中的应用

4.3.1 基于分类方法的入侵检测

4.3.2 基于关联分析方法的入侵检测

4.3.3 基于聚类分析方法的入侵检测

4.3.4 数据挖掘在入侵检测规避和反规避中的应用

入侵检测的规避（Evasion)是指对网络攻击的表现形式进行伪装转换，致使IDS无法识别，从而逃避IDS检测的活动。
（1）入侵检测规避与反规避技术
（2）数据挖掘技术在入侵检测规避中的应用
（3）数据挖掘技术在入侵检测反规避中的应用