智能入侵检测技术
来源:用户上传
作者:
[摘要]网络安全问题的日益严峻使得传统的检测方法难以适应新的网络环境,而采用智能化的入侵检测技术是将来的发展方向,本文论述了采用智能入侵检测技术在入侵检测系统中的应用。
[关键词]入侵检测 专家系统 数据挖掘 神经网络
前言
入侵检测技术是近20年来出现的一种新型网络安全技术,能够检测出多种形式入侵行为,是现代计算机网络安全体系的一个重要组成部分,入侵检测的研究可以追溯到JamesP.Anderson在1980年的工作,首次提出了利用审计数据发现入侵行为的思想。1987年DorothyE. Denning首次给出一个入侵检测的抽象模型,并将入侵检测作为一个新的安全防御措施提出。后来,随着对入侵检测技术的广泛和深入的研究,科研人员提出了多种入侵检测方法,从早期的日志审计、文件的完整性检查和异常行为的统计检测等方法[1],到现在智能化检测技术的研究都体现了网络安全问题的日益重要和严峻。
智能入侵检测技术
1.专家系统。传统的采用模式匹配的特征检测算法没有逻辑推理和判断能力,对一些有变化的攻击就无能为力,而采用专家系统的入侵检测系统具有适应性强、可靠性强、相应快和稳定等优点,用专家系统对入侵进行检测,经常是针对有特征入侵行为,专家系统的建立依赖知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。而入侵特征的抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识化为if-then结构,条件部分为入侵特征,then部分是系统防范措施,系统防范有特征入侵行为的有效性完全取决于知识库的完备性。系统通过监测系统、事件、安全记录以及系统记录和原始IP数据包的截获来获取数据。当采集到的数据显示有可疑活动时,就会触发规则,当可疑超过一定门限时,即判断发生入侵行为。
专家系统可有针对性地建立高效的入侵检测系统,检测准确度高,但是在具体实现中,有如下问题:(1)专家知识获取问题:即由于专家系统的检测规则依赖于安全专家知识,因此难以全面的构建知识库;(2)规则动态更新问题:因为用户行为的动态性也要求专家系统有自学习、自适应的功能。
2.数据挖掘技术。1999年,Wenke Lee[2]给出了用数据挖掘技术建立入侵检测模型的过程。数据挖掘是从海量数据中抽取、“挖掘”出未知的、有价值的模式和知识的复杂过程。而入侵检测正是从大量的网络数据中提取和发现异常的入侵行为,因此,数据挖掘中的多种技术都可以应用于入侵检测系统,例如:分类、聚类、关联分析、序列分析等。
分类技术把观察到的事件映射到预先定义好的类别中去。常见的分类算法包括:判定树、贝叶斯分类器等。使用分类技术进行入侵检测的基本思想是首先使用带类标的训练数据集对分类器进行训练,使其能够对正常和异常至少两类事件进行区分,然后使用训练好的分类器对需要检测的事件进行分类,从中发现异常行为。
聚类是将物理或抽象对象的集合分组成为由类似的对象组成的多个簇的过程。同分类不同的是,聚类对要划分的类是未知的。分类器的训练通常需要大量的有类标示的训练数据,但在实际情况下,提供这样的数据集是相当困难的。基于聚类的无监督异常检测方法的基本思想就是假设入侵行为和正常行为的差异很大并且数量较少,因此它们能够在检测到的数据中呈现出比较特殊的属性。Portnoy和Eskin等人提出了一种使用无类标示数据的基于聚类的无监督异常入侵检测方法,其方法是使用一个简单的基于距离的度量[3]方法来形成簇。该方法的优点在于对不需要对训练集进行分类,但漏报率较高,主要原因是该方法的性能主要依赖于训练集的好坏。
关联规则挖掘的目的就是为了发现大量数据中项集之间的关联或相关联系。用于入侵检测系统中,关联规则挖掘可以分析标示用户的行为特征,发现正常行为数据之间的关联,并将其作为用户正常行为的轮廓,可以对异常行为进行检测。
3.神经网络技术。目前许多入侵检测系统是基于Dorothy Denning的入侵检测模型。随着时间的推移,这些传统的入侵检测模型的缺陷逐渐暴露[4]。其误警率高、检测速度慢、自适应能力差等,而神经网络入侵检测系统的优点在于它并不会受到程序员的关于入侵知识的限制。能够从已有的入侵行为中进行学习,从而掌握入侵行为的一些共性的特征。因此,通过神经网络来构建IDS,那么IDS就会变得更加高效,尤其是它将具有一定的自适应能力,去适应和跟踪入侵行为的变化,从而有效地检测出新型的入侵模式和入侵行为。
它的主要优点表现在:(1)神经网络适用于不精确模型,而传统的统计方法很大程度上依赖于用户行为的主观设计,因而,描述偏差是引起误报的重要因素。(2)基于神经网络的检测方法具有普适性,可以对多个用户采用相同的检测措施。(3)基于神经网络的检测方法不必对大量的数据进行存取,精简了系统。神经网络具有自适应、自组织和自学习能力,可以处理一些环境信息十分复杂、背景知识不详的问题,允许样本有较大的缺陷和不足。
国内外已经在神经网络入侵检测方面取得的一些成果。K.Fox使用神经网络来进行攻击检测,对异常检测和误用检测采用多层BP神经网络模型,取得了不错的实验效果.A.Ghosh和A.Schwartzhard使用神经网络用于异常检测和误用检测的应用,他们的实验结果表明基于神经网络的入侵检测模型在误用检测中工作良好。
然而,如何提高神经网络的训练速度,选用合适的方法对输入向量进行降维和神经网络的语义问题也是神经网络需要进一步研究的地方。
4.人工免疫技术。人工免疫算法在入侵检测中的应用。免疫系统的主要目的是识别体内的所有细胞,并将它们分为自我与非自我。将免疫系统应用于异常检测时,将自我定义为系统行为的正常模式,因此,观测数据中任何超过允许变化值的偏离均被看作是行为模式中的异常行为。根据信息处理的观点,免疫系统是一个非凡的平行及分布式自适应系统,它可用于学习、记忆、联想检索、解决识别与分类等问题。如果把网络系统看做一个生理系统,那么检测系统实质就是实现这一系统的免疫功能与自愈功能。
Forrest等人[5]基于免疫系统中自我与非自我差异的原则,为免疫系统开发了一个逆向选择算法,用它来检测计算机系统内的恶意攻击。因此异常检测问题可简化为检测所观察的数据模式是否已经变化的问题,因为数据模式的变化意味着正常行为模式的变化。这种方法可概括为:(1)收集充分显示系统正常行为的时间序列数据;(2)仔细审查这些数据,决定数据模式的变化范围,并根据所需的精度选择编码参数;(3)在观察的数据范围内用二进制对每个数值进行编码;(4)选择适当的能获取数据模式规律的窗口大小;(5)将窗口沿着时间序列进行滑移,并将每个窗口的编码储存;(6)产生一个能与任何一种自我匹配的探测器。一旦正常数据模式的探测器产生,它就能够尽可能地从未出现的时间序列数据的模式中检测出任何变化,即非正常行为。
基于免疫系统的学习方法不需要中心控制器且学习时间短,本身具有的自调节和最优化功能,能根据接收到的数据作出决策。但是,它需要足够的能代表系统行为的正常数据序列样本。
5.基于agent的检测技术。随着网络环境的日益复杂,人们提出了用分布式的入侵检测系统来增强检测处理能力。然而,尽管分布式入侵检测系统改善了网络抗攻击的能力,但这种系统也存在很多的局限性,比如局部故障会影响整体,难以动态配置和跨异构平台工作等等。一些学者提出了基于agent的入侵检测技术,因为Agent技术具备分布式协同处理和智能化的特点,将之引入入侵检测领域,正好可以弥补传统入侵检测系统的不足。
但是,目前agent的协同工作问题,适合于入侵检测系统的agent平台问题,基于agent的入侵检测系统的标准化的问题也需要进一步的研究。
结束语
随着研究工作者的不断努力,基于专家系统、数据挖掘、神经网络和免疫算法等技术的智能化的入侵检测技术已经显示出它的优越性,这些技术都是优化技术或是模式识别技术在入侵检测领域的发展,是下一步入侵检测技术的发展趋势。显然,只有不断地完善入侵检测技术,才能开发出性能更加强大、功能更加完善的入侵检测系统,以确保网络的真正安全。
中图分类号TP309文献标识码A
参考文献:
[1]崔蔚,任继念,徐永红.入侵检测系统的研究现状及发展趋势[J],西安邮电学院学报,2006,11,66-69.
[2]Wenke Lee ,Stolfo S J, Mok K W. A Data Mining Framework for Building Intrusion Detection Models[J]. In: Proceedings of the 1999 IEEE Symposium on Security and Privacy,1999.
[3]Portnoy L,Eskin E,Stolfo S J. Intrusion Detection with Unla2 beled Data Using Clustering[J]. In:Proceedings of ACM CSS Work2 shop on Data Mining Applied to Security, 2001.
[4]蒋建春,冯登国.网络入侵检测原理与技术[M]北京 国防工业出版社,2001:25-27.
[5]Forrests, Perelsona, Allenl,etal.Self-nonselfdiscrimi-nation in a computer: proceedings of IEEE Symp. on Research in Se-curity and Privacy[C], 1994.
作者单位:洛阳理工学院
转载注明来源:https://www.xzbu.com/9/view-9499129.htm
