一種檢測(cè)模式過(guò)濾器的研究與設(shè)計(jì)

摘 要：簡(jiǎn)要介紹了入侵檢測(cè)系統(tǒng)模型及人工免疫在入侵檢測(cè)技術(shù)上的應(yīng)用，分析了影響LISYS系統(tǒng)的檢測(cè)元檢測(cè)效率的原因，提出了一個(gè)設(shè)置過(guò)濾器的解決方案，詳細(xì)描述了過(guò)濾算法，并以具體實(shí)驗(yàn)結(jié)果作了定量分析。

關(guān)鍵詞：入侵檢測(cè)；人工免疫；檢測(cè)元；模式過(guò)濾

0 引言

傳統(tǒng)入侵檢測(cè)模型大體上可以分為基于誤用的入侵檢測(cè)模型和基于異常的入侵檢測(cè)模型兩種。

異常檢測(cè)系統(tǒng)試圖發(fā)現(xiàn)一些未知的入侵行為，異常檢測(cè)根據(jù)使用者的行為或資源使用狀況來(lái)判斷是否入侵，而不依據(jù)具體行為是否出現(xiàn)作判斷，其主要缺陷在于誤檢率很高，尤其在用戶數(shù)目眾多或工作行為經(jīng)常改變的環(huán)境中。

誤用檢測(cè)系統(tǒng)則用來(lái)發(fā)現(xiàn)一些已知的入侵行為。誤用檢測(cè)又稱特征檢測(cè)，依據(jù)具體特征庫(kù)進(jìn)行判斷，從而檢測(cè)出入侵行為。其主要缺陷是只能檢測(cè)特征庫(kù)中已知的入侵，漏檢率很高。本文在模型分析的基礎(chǔ)上，通過(guò)模式過(guò)濾器設(shè)置，來(lái)提高系統(tǒng)檢測(cè)效率。

1 兩種模型的整合

為使檢測(cè)系統(tǒng)達(dá)到較好的檢測(cè)效果，目前普遍的解決方式是同時(shí)在系統(tǒng)中采用兩種檢測(cè)模型，實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)。通常采用的兼用兩種模型的辦法是并行地施行兩套檢測(cè)措施(即對(duì)待檢信息分別進(jìn)行誤用和異常檢測(cè))，而采用的檢測(cè)算法大致包括：基于誤用的，專家系統(tǒng)、模型推理方法、狀態(tài)轉(zhuǎn)換分析；基于異常的，統(tǒng)計(jì)學(xué)方法、神經(jīng)網(wǎng)絡(luò)方法。這些方法都存在一定的缺陷，尤其是在效率上；而且每一種方法都獨(dú)成一體：很難整合。

針對(duì)上述問(wèn)題，Homfmeyr和Forrest模擬人體免疫系統(tǒng)提出了基于免疫原理的負(fù)選擇模型：首先定義一個(gè)Self集(簡(jiǎn)單的正常模式集，其中所有模式可以理解為正常網(wǎng)絡(luò)行為)，隨機(jī)產(chǎn)生若干檢測(cè)元(抗體)，清除會(huì)對(duì)Self集產(chǎn)生警報(bào)的檢測(cè)元(此過(guò)程稱為陰性選擇)，然后通過(guò)陰性選擇的檢測(cè)元開(kāi)始探查網(wǎng)絡(luò)上的信息(此時(shí)可以理解為在做異常檢測(cè))。如發(fā)現(xiàn)屬于Nonself集的事件則預(yù)警，檢查系統(tǒng)是否發(fā)生損害，若無(wú)則可理解為正常事件，將此事件記入Self集，該檢測(cè)元自行消亡(這樣就避免了誤檢的產(chǎn)生)；反之，則視為遭受入侵，激活該檢測(cè)元，將入侵行為特征計(jì)入特征庫(kù)，檢測(cè)元升級(jí)為誤用(記憶)檢測(cè)元，檢測(cè)具有該特征的入侵行為。這樣既解決了誤檢的問(wèn)題又將異常和誤用兩種檢測(cè)模型完美地結(jié)合起來(lái)。

其檢測(cè)元生成算法可以歸結(jié)如下(見(jiàn)圖1)：

(1)定義一個(gè)自我模式集作為生成有效檢測(cè)元的訓(xùn)練集；

(2)產(chǎn)生候選檢測(cè)元。通過(guò)一個(gè)隨機(jī)過(guò)程來(lái)產(chǎn)生一個(gè)長(zhǎng)度為49位的位串作為候選檢測(cè)元；

(3)產(chǎn)生有效檢測(cè)元集合R，將產(chǎn)生的候選檢測(cè)元與自我集中的模式進(jìn)行匹配試驗(yàn)。若匹配，則丟棄該候選串，返回(2)；否則該候選檢測(cè)元就是一個(gè)有效的檢測(cè)元，進(jìn)入R集合，返回(2)；

(4)重復(fù)(2)，(3值到產(chǎn)生一定數(shù)量的有效檢測(cè)元為止。

算法產(chǎn)生的有效檢測(cè)元集能夠保證其中的每個(gè)檢測(cè)元都不與自我集的任何模式相匹配。系統(tǒng)將流經(jīng)網(wǎng)絡(luò)的報(bào)文抽取出的數(shù)據(jù)特征組成模式集合，稱為待檢測(cè)模式集。

2 檢測(cè)效率分析

在上述算法的基礎(chǔ)上，Homfmeyr提出了一個(gè)分布式網(wǎng)絡(luò)入侵檢測(cè)模型LISYS。系統(tǒng)將流經(jīng)網(wǎng)絡(luò)的報(bào)文抽取出的數(shù)據(jù)特征組成模式集合，稱為待檢測(cè)模式集。LISYS的每一個(gè)節(jié)點(diǎn)上的檢測(cè)系統(tǒng)是通過(guò)該節(jié)點(diǎn)的檢測(cè)元與待檢測(cè)模式之間的匹配來(lái)完成模式識(shí)別或檢測(cè)功能。

待檢測(cè)模式從流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包抽取取得，分為正常模式(非入侵行為)和異常模式兩種。在通常情況下，網(wǎng)絡(luò)中絕大部分?jǐn)?shù)據(jù)都是正常數(shù)據(jù)，異?；蛉肭中袨橹徽忌贁?shù)。而有效檢測(cè)元是使用類似于免疫細(xì)胞自我耐受過(guò)程的否定選擇算法來(lái)產(chǎn)生的，且這些檢測(cè)元還具有一定的生命周期，因此由檢測(cè)元構(gòu)成的檢測(cè)元集具有動(dòng)態(tài)性。檢測(cè)元集的動(dòng)態(tài)性決定了其中的檢測(cè)元是順序存儲(chǔ)的，識(shí)別時(shí)只能將待檢測(cè)模式與檢測(cè)元集中的檢測(cè)元進(jìn)行順序比較。

從否定選擇算法中可以看出，檢測(cè)元在生成過(guò)程中要經(jīng)歷一個(gè)類似于人體免疫耐受的審查過(guò)程，只有與自我集的任何模式都不匹配的檢測(cè)元才會(huì)成為有效檢測(cè)元，這樣，正常模式一定不與檢測(cè)元集中的元素匹配。使每一個(gè)正常模式都必須與每一個(gè)成熟檢測(cè)元進(jìn)行比較、試驗(yàn)匹配，是一種無(wú)效冗佘，將嚴(yán)重降低系統(tǒng)的檢測(cè)效率。

3 模式過(guò)濾器

針對(duì)正常模式無(wú)效比較的問(wèn)題，本文提出統(tǒng)計(jì)出現(xiàn)頻率高的正常模式集，設(shè)置一個(gè)過(guò)濾器將大部分正常模式預(yù)先過(guò)濾掉，然后再由有效檢測(cè)元對(duì)剩下的模式進(jìn)行匹配，從而達(dá)到提升系統(tǒng)效率的目的。

模式過(guò)濾器算法如下：

算法1：正常模式收集算法

(1)采集正常模式；

(2)將采集到的正常模式NP加入正常模式集NormalSet。

If NormalSet.size

If NP∈NormalSet

該NP的訪問(wèn)計(jì)數(shù)AccessCount增1

Else

將NP加入NormalSet，該NP的訪問(wèn)計(jì)數(shù)AccessCount增1

end

else

If NP∈NormalSet

該NP的訪問(wèn)計(jì)數(shù)AccessCount增1

用該NP替換NP={NPINP∈NormalSet∩Min(AccessCount)]

end

end

(3)對(duì)NormalSet的記錄按AccessCount的進(jìn)行降序排序；

(4)轉(zhuǎn)(1)。

算法2：正常模式過(guò)濾算法

(1)采集數(shù)據(jù)模式P；

(2)令P與NormalSet中AccessCount最大的N個(gè)NP進(jìn)行匹配，

if匹配成功

丟棄P

else

通過(guò)過(guò)濾器

end

(3)轉(zhuǎn)(1)。

4 實(shí)驗(yàn)數(shù)據(jù)

通過(guò)對(duì)202.113.76網(wǎng)段的82，83，99三個(gè)節(jié)點(diǎn)3天的實(shí)驗(yàn)，取得如下數(shù)據(jù)：

統(tǒng)計(jì)策略：統(tǒng)計(jì)正常模式(NP)，對(duì)MaxSize個(gè)NP賦匹配計(jì)數(shù)，過(guò)濾計(jì)數(shù)最大的前S個(gè)NP，以減少NP與成熟檢測(cè)元的匹配次數(shù)，提高系統(tǒng)效率。實(shí)驗(yàn)數(shù)據(jù)如表1，其中MaxSize=50，S=10，節(jié)點(diǎn)檢測(cè)元總數(shù)=500。

其中：

Filted NP=Second Day NP Filted Number-First Day NPFilted Number

Mature Detectors=Min(First Day MD number，Second Day MD number)

Normal BIPS Match Cost=Filted NP*Mature DetectorsFilter Cost=Filted NP*S，Ratio=Filter Cost/Normal BIPSMatch Cost*100%

5 結(jié)束語(yǔ)

由實(shí)驗(yàn)數(shù)據(jù)分析可以看出，過(guò)濾器過(guò)濾正常模式的開(kāi)銷與成熟(有效)檢測(cè)元對(duì)正常模式的匹配操作的開(kāi)銷比率ratio不超過(guò)5％。說(shuō)明，通過(guò)設(shè)置模式過(guò)濾器，可以有效降低系統(tǒng)因正常模式的匹配操作而產(chǎn)生的開(kāi)銷。