智能入侵檢測技術

[摘要]網絡安全問題的日益嚴峻使得傳統的檢測方法難以適應新的網絡環境，而采用智能化的入侵檢測技術是將來的發展方向，本文論述了采用智能入侵檢測技術在入侵檢測系統中的應用。

[關鍵詞]入侵檢測 專家系統 數據挖掘 神經網絡

前言

入侵檢測技術是近20年來出現的一種新型網絡安全技術，能夠檢測出多種形式入侵行為，是現代計算機網絡安全體系的一個重要組成部分，入侵檢測的研究可以追溯到JamesP.Anderson在1980年的工作，首次提出了利用審計數據發現入侵行為的思想。1987年DorothyE. Denning首次給出一個入侵檢測的抽象模型，并將入侵檢測作為一個新的安全防御措施提出。后來，隨著對入侵檢測技術的廣泛和深入的研究，科研人員提出了多種入侵檢測方法，從早期的日志審計、文件的完整性檢查和異常行為的統計檢測等方法[1]，到現在智能化檢測技術的研究都體現了網絡安全問題的日益重要和嚴峻。

智能入侵檢測技術

1.專家系統。傳統的采用模式匹配的特征檢測算法沒有邏輯推理和判斷能力，對一些有變化的攻擊就無能為力，而采用專家系統的入侵檢測系統具有適應性強、可靠性強、相應快和穩定等優點，用專家系統對入侵進行檢測，經常是針對有特征入侵行為，專家系統的建立依賴知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。而入侵特征的抽取與表達，是入侵檢測專家系統的關鍵。在系統實現中，將有關入侵的知識化為if-then結構，條件部分為入侵特征，then部分是系統防范措施，系統防范有特征入侵行為的有效性完全取決于知識庫的完備性。系統通過監測系統、事件、安全記錄以及系統記錄和原始IP數據包的截獲來獲取數據。當采集到的數據顯示有可疑活動時，就會觸發規則，當可疑超過一定門限時，即判斷發生入侵行為。

專家系統可有針對性地建立高效的入侵檢測系統，檢測準確度高，但是在具體實現中，有如下問題：（1）專家知識獲取問題：即由于專家系統的檢測規則依賴于安全專家知識，因此難以全面的構建知識庫；（2）規則動態更新問題：因為用戶行為的動態性也要求專家系統有自學習、自適應的功能。

2.數據挖掘技術。1999年，Wenke Lee[2]給出了用數據挖掘技術建立入侵檢測模型的過程。數據挖掘是從海量數據中抽取、“挖掘”出未知的、有價值的模式和知識的復雜過程。而入侵檢測正是從大量的網絡數據中提取和發現異常的入侵行為，因此，數據挖掘中的多種技術都可以應用于入侵檢測系統，例如：分類、聚類、關聯分析、序列分析等。

分類技術把觀察到的事件映射到預先定義好的類別中去。常見的分類算法包括:判定樹、貝葉斯分類器等。使用分類技術進行入侵檢測的基本思想是首先使用帶類標的訓練數據集對分類器進行訓練，使其能夠對正常和異常至少兩類事件進行區分，然后使用訓練好的分類器對需要檢測的事件進行分類，從中發現異常行為。

聚類是將物理或抽象對象的集合分組成為由類似的對象組成的多個簇的過程。同分類不同的是，聚類對要劃分的類是未知的。分類器的訓練通常需要大量的有類標示的訓練數據，但在實際情況下，提供這樣的數據集是相當困難的。基于聚類的無監督異常檢測方法的基本思想就是假設入侵行為和正常行為的差異很大并且數量較少，因此它們能夠在檢測到的數據中呈現出比較特殊的屬性。Portnoy和Eskin等人提出了一種使用無類標示數據的基于聚類的無監督異常入侵檢測方法，其方法是使用一個簡單的基于距離的度量[3]方法來形成簇。該方法的優點在于對不需要對訓練集進行分類，但漏報率較高，主要原因是該方法的性能主要依賴于訓練集的好壞。

關聯規則挖掘的目的就是為了發現大量數據中項集之間的關聯或相關聯系。用于入侵檢測系統中，關聯規則挖掘可以分析標示用戶的行為特征，發現正常行為數據之間的關聯，并將其作為用戶正常行為的輪廓，可以對異常行為進行檢測。

3.神經網絡技術。目前許多入侵檢測系統是基于Dorothy Denning的入侵檢測模型。隨著時間的推移，這些傳統的入侵檢測模型的缺陷逐漸暴露[4]。其誤警率高、檢測速度慢、自適應能力差等，而神經網絡入侵檢測系統的優點在于它并不會受到程序員的關于入侵知識的限制。能夠從已有的入侵行為中進行學習，從而掌握入侵行為的一些共性的特征。因此，通過神經網絡來構建IDS，那么IDS就會變得更加高效，尤其是它將具有一定的自適應能力，去適應和跟蹤入侵行為的變化，從而有效地檢測出新型的入侵模式和入侵行為。

它的主要優點表現在:(1)神經網絡適用于不精確模型，而傳統的統計方法很大程度上依賴于用戶行為的主觀設計，因而，描述偏差是引起誤報的重要因素。(2)基于神經網絡的檢測方法具有普適性，可以對多個用戶采用相同的檢測措施。(3)基于神經網絡的檢測方法不必對大量的數據進行存取，精簡了系統。神經網絡具有自適應、自組織和自學習能力，可以處理一些環境信息十分復雜、背景知識不詳的問題，允許樣本有較大的缺陷和不足。

國內外已經在神經網絡入侵檢測方面取得的一些成果。K.Fox使用神經網絡來進行攻擊檢測，對異常檢測和誤用檢測采用多層BP神經網絡模型，取得了不錯的實驗效果.A.Ghosh和A.Schwartzhard使用神經網絡用于異常檢測和誤用檢測的應用，他們的實驗結果表明基于神經網絡的入侵檢測模型在誤用檢測中工作良好。

然而，如何提高神經網絡的訓練速度，選用合適的方法對輸入向量進行降維和神經網絡的語義問題也是神經網絡需要進一步研究的地方。

4.人工免疫技術。人工免疫算法在入侵檢測中的應用。免疫系統的主要目的是識別體內的所有細胞，并將它們分為自我與非自我。將免疫系統應用于異常檢測時，將自我定義為系統行為的正常模式，因此，觀測數據中任何超過允許變化值的偏離均被看作是行為模式中的異常行為。根據信息處理的觀點，免疫系統是一個非凡的平行及分布式自適應系統，它可用于學習、記憶、聯想檢索、解決識別與分類等問題。如果把網絡系統看做一個生理系統，那么檢測系統實質就是實現這一系統的免疫功能與自愈功能。

Forrest等人[5]基于免疫系統中自我與非自我差異的原則，為免疫系統開發了一個逆向選擇算法，用它來檢測計算機系統內的惡意攻擊。因此異常檢測問題可簡化為檢測所觀察的數據模式是否已經變化的問題，因為數據模式的變化意味著正常行為模式的變化。這種方法可概括為：(1)收集充分顯示系統正常行為的時間序列數據；(2)仔細審查這些數據，決定數據模式的變化范圍，并根據所需的精度選擇編碼參數；(3)在觀察的數據范圍內用二進制對每個數值進行編碼；(4)選擇適當的能獲取數據模式規律的窗口大小；(5)將窗口沿著時間序列進行滑移，并將每個窗口的編碼儲存；(6)產生一個能與任何一種自我匹配的探測器。一旦正常數據模式的探測器產生，它就能夠盡可能地從未出現的時間序列數據的模式中檢測出任何變化，即非正常行為。

基于免疫系統的學習方法不需要中心控制器且學習時間短，本身具有的自調節和最優化功能，能根據接收到的數據作出決策。但是，它需要足夠的能代表系統行為的正常數據序列樣本。

5.基于agent的檢測技術。隨著網絡環境的日益復雜，人們提出了用分布式的入侵檢測系統來增強檢測處理能力。然而，盡管分布式入侵檢測系統改善了網絡抗攻擊的能力，但這種系統也存在很多的局限性，比如局部故障會影響整體，難以動態配置和跨異構平臺工作等等。一些學者提出了基于agent的入侵檢測技術，因為Agent技術具備分布式協同處理和智能化的特點，將之引入入侵檢測領域，正好可以彌補傳統入侵檢測系統的不足。

但是，目前agent的協同工作問題，適合于入侵檢測系統的agent平臺問題，基于agent的入侵檢測系統的標準化的問題也需要進一步的研究。

結束語

隨著研究工作者的不斷努力，基于專家系統、數據挖掘、神經網絡和免疫算法等技術的智能化的入侵檢測技術已經顯示出它的優越性，這些技術都是優化技術或是模式識別技術在入侵檢測領域的發展，是下一步入侵檢測技術的發展趨勢。顯然，只有不斷地完善入侵檢測技術，才能開發出性能更加強大、功能更加完善的入侵檢測系統，以確保網絡的真正安全。

中圖分類號TP309文獻標識碼A

參考文獻：

[1]崔蔚，任繼念，徐永紅.入侵檢測系統的研究現狀及發展趨勢[J]，西安郵電學院學報，2006，11，66-69.

[2]Wenke Lee ，Stolfo S J， Mok K W. A Data Mining Framework for Building Intrusion Detection Models[J]. In: Proceedings of the 1999 IEEE Symposium on Security and Privacy，1999.

[3]Portnoy L，Eskin E，Stolfo S J. Intrusion Detection with Unla2 beled Data Using Clustering[J]. In:Proceedings of ACM CSS Work2 shop on Data Mining Applied to Security， 2001.

[4]蔣建春，馮登國.網絡入侵檢測原理與技術[M]北京 國防工業出版社，2001:25-27.

[5]Forrests， Perelsona， Allenl，etal.Self-nonselfdiscrimi-nation in a computer: proceedings of IEEE Symp. on Research in Se-curity and Privacy[C]， 1994.

作者單位：洛陽理工學院