網絡預警自適性入侵檢測系統設計與實現

劉佳

摘要：傳統的入侵檢測系統只能檢測已知入侵行為，對于新型入侵行為難以監測及采取應對策略。基于網絡預警的自適性入侵檢測系統，能夠從網絡流量方面防護重點設備，根據周圍設備的異常情況識別新型入侵并進行安全策略升級。采用C4.5決策樹作為入侵檢測器核心算法。仿真實驗表明，網絡預警自適性入侵檢測系統理論上擁有74.23%的檢出率和92.21%的有效檢測率（檢出率+入侵類型錯誤率）。

關鍵詞：自適性入侵檢測；入侵檢測系統；決策樹；新型入侵檢測；基于網絡入侵檢測

DOIDOI：10.11907/rjdk.172537

中圖分類號：TP399

文獻標識碼：A文章編號文章編號：16727800（2018）003021004

英文摘要Abstract：Traditional intrusion detection system is based on the known intrusion signatures， which is weak in detecting new type intrusions. The networkalarmed intrusion detection system has the ability to build whole environment security belief through gathering anomaly situations of surrounded equipment. The system defends important equipment through detecting the data flowing into this equipment. According to the whole environment security belief， the system updates the security policy. The system applies the C4.5 decision tree as key detection algorithm， and realizes the algorithm. The simulation results show that the system has 74.23% detection rate and 92.21% effective detection rate （detection rate+false intrusion type rate）.

英文關鍵詞Key Words：adaptive intrusion detection； intrusion detection system； decision tree； new pattern intrusion detection； intrusion detection based on Network

0引言

入侵檢測技術是一種檢測入侵情況的預防措施，能夠在損害發生之前將入侵識別并將其與系統阻隔起來。隨著網絡的普及與智能化，入侵行為越來越難以監測，各種新型入侵行為層出不窮。傳統的入侵檢測系統是在先驗異常行為的基礎上進行異常行為的對比識別，缺乏識別新型入侵類型的能力，難以應對現今多樣化的入侵模式。為了彌補入侵檢測系統難以識別新型入侵行為的缺陷，研究人員提出了能夠識別新型入侵行為的檢測系統。

1相關工作

2003年，D Nojiri、 J Rowe、 K Levitt[1] 提出通過一種協作減輕反應機制抑制大規模網絡蠕蟲攻擊，系統設備采用一種被稱作“朋友機制”的協作機制進行相互交流，向可能的被攻擊點發送攻擊報告。

2006年，Intel公司開發了稱作“自治企業安全”的方案[2] ，檢測本地系統突然偏離日常行為模式的各種細微線索，向其它主機通報異常活動，如果異常活動超過給定閾值則判定為新型攻擊。

2008年，MA Rajab、 F Monrose、 A Terzis[3] 利用分布式優點進行分布式入侵檢測，提出了一種新的蠕蟲繁殖模型，檢查潛在的脆弱性存在點預測蠕蟲攻擊。實驗表明，在相同規模的入侵檢測器下，分布式入侵檢測器比一般入侵檢測器速度提高4倍，易受攻擊點的局部密度分布信息能用來提高檢測器布置方案效果。

2013年，NA Elfeshawy、OS Faragallah[4] 提出了一種采用劃分兩部分的自適性入侵檢測系統降低誤報率的方法，具有偵測可疑行為和確定入侵行為的高度自治，應用徑向基函數的自學習神經網絡達到自適性檢測入侵的目的。其將入侵檢測分為兩個部分：①部署在防火墻上，偵測每個進入者的流量包是否是攻擊；②部署在防火墻之后，偵測通過防火墻的攻擊行為，實驗證明該方法具有較好性能。

2016年，M Ajabi、I Boukhris、Z Elouedi[5]首次提出信任決策樹，采用信任函數理論和建立信任決策樹進行大數據的入侵檢測，將MapReduce編程模型和求平均值作為不確定情況下的分類方法。

2017年，WL AlYaseen、ZA Othman、MZA Nazri[6]提出了一種多層次混合SVM與ELM方法監測正常行為和已知入侵。自適性SVM模型能監測與實時學習新型攻擊。實驗表明，該模型大大降低了監測未知入侵行為的時間。

2系統設計與實現

2.1決策樹生成

分類（Classification）[11] 是指提取數據集相關信息，從中提取數據集各類特征，形成分類數學模型，進行分類與預測。決策樹算法分類在入侵檢測中具有快速與準確性高的特點，因此采用決策樹作為核心入侵檢測器。決策樹算法有ID3、C4.5、CART[7] 等，本文采用ID3的改進算法——C4.5算法[8] ，以減少ID3算法的過度擬合現象。

遞歸選擇出當前對D的劃分具有最大貢獻度的屬性，直至所有類別為同一類別或達到某一個閾值后，結束決策樹構造。具體步驟[8] 如下：①采用Intrusion_type作為相應的入侵類標號，D為訓練元組和相應類標號的完全集，計算D中各屬性的增益率，選取具有最大增益率的屬性作為分類屬性，將D分為v1類；②分別計算v1類的各自增益率，選擇具有最大增益率的屬性作為分類屬性；③各分支節點的祖先屬性不作為本次分支的分裂屬性；④依次遞歸構造具有最大增益率的屬性作為當前分裂屬性；⑤如果當前的分裂屬性將數據分為同一個類別或到達一個閾值，則此類別作為一個葉子，結束此分支分類；⑥如果當前分裂屬性將元組劃分為純類別，則以各類別作為葉子，節點名為各分類名字，分類結束。

多次遞歸后，每次分類都是當前最優分類，得到全局最優解幾率很大，即形成能夠考慮全部屬性給出入侵類型的最優分類決策樹，達到較高的準確率。

2.2信任度建立及信息預警

通過入侵檢測傳感器進行數據收集，缺失屬性值的類采用樸素貝葉斯預測[9] 補全，收集信息包括連接各層協議類型、發生時間、近期一定時間內連接情況等信息，并在發現異常信息后將異常信息相關數據向周圍入侵檢測點發送，各入侵檢測點根據到達其它入侵檢測點距離的遠近建立距離表，根據距離異常情況發生的節點遠近及危險程度，得到全局網絡安全情況信任度，見表1、表2。當全局網絡安全情況信任度在一定時間內到達一定閾值時，則認為入侵檢測模型無力，無法檢測相應入侵情況。這時建立異常信息預警并向周圍節點發送，提升周圍結點入侵防護等級，并向策略實施點（PEP）發送預警報告，報告檢測到的入侵信息相關流量與連接特征。

根據各入侵檢測點偵測到的異常信息數據，統計異常信息發生時的屬性信息，計算異常程度值，并將異常信息及數據發送到周圍入侵檢測點。周圍入侵檢測點根據異常屬性權重表和異常程度值，計算各權重異常值。根據接收到信息的機器與發生異常的機器的距離計算周圍各設備異常值，建立全局網絡安全情況信任度。超出閾值則認為發生了新型入侵行為，向策略實施點（PEP）發送異常報告，包括識別的異常數據及異常發生位置。將識別的異常信息標注新型入侵標識，并將收集的異常信息發送到策略實施點（PEP）進行處理。

2.3自適性入侵檢測系統架構

基于決策樹入侵檢測器，提出了一種分布式入侵檢測系統架構。該架構分為反饋信息收集點（PFP）、信息處理節點（DPP）、全局網絡安全情況信任度建立節點（OSCP）、自適性入侵檢測模型改進節點（AIDP）、分布式入侵檢測點（IDP）、設備分類管理中間件（IDM'S）、全局設備管理節點（MOM）、管理員系統（MPS）8大部分。其中信息處理節點、全局情況建立節點、自適性入侵檢測模型改進節點、全局設備管理節點共同組成了中央處理系統。在重點設備之前布設網絡流量傳感器，重點監控流向重點設備的網絡流量信息，見圖1。網絡預警自適性入侵檢測系統見圖2。

（1）分布式入侵檢測點（IDP）：將入侵檢測與防護系統安裝到設備內部，部署相應的入侵防護措施。建立全局網絡安全情況信任度，并在全局網絡安全情況信任度到達閾值時向反饋信息收集點（PFP）發送預警報告。

（2）反饋信息收集點（PFP）：收集來自各分布式入侵檢測點（IDP）和IDM'S的平臺信息以及預警報告，將相應信息發送給信息處理節點（DPP）。

（3）信息處理節點（DPP）：將收集到的反饋信息進行整理，將處理后的數據傳送給信任度節點（OSCP）及自適應入侵檢測模型改進節點（AIDP）。

（4）全局網絡安全情況信任度建立節點（OSCP）：根據信息處理節點（DPP）傳送的信息，提取各異常情況發生位置，建立全局網絡安全情況信任度，對異常位置進行定位。如果全局網絡安全情況信任度超過預先設置的閾值，就向全局設備管理節點（MOM）發送提升網絡整體安全防護等級命令。

（5）自適性入侵檢測模型改進節點（AIDP）：根據信息處理節點（DPP）反饋的信息，假定當前入侵為同一種新型入侵行為，則根據數據重新適應性生成決策樹。

（6）全局設備管理節點（MOM）：主要負責全局設備的分類及管理。

（7）設備分類管理中間件（IDM'S）：負責接收來自全局設備管理節點（MOM）的命令，并將這些命令部署到對應類別的分布式入侵檢測點（IDP）中。

（8）管理員系統（MPS）：為管理員對入侵檢測系統進行整體管理與溝通交流的平臺。

2.4架構運作流程

網絡預警自適性入侵檢測系統運作流程：①生成初始入侵檢測器，并通過MOM與IDM′S推送到各個IDP；②設備分類管理中間件（IDM′S）將各安全策略及安全防護等級推送入設備；③各分布式入侵檢測點（IDP）設備根據對應設備分類管理中間件（IDM′S）推送的安全策略與決策樹入侵檢測模型，將安全策略部署在系統，設置初始安全防護等級，確定安全防護的寬松程度；④網絡運行過程中，若分布式入侵檢測點（IDP）檢測到異常情況，就向其它設備發送預警信息，其它設備接收到預警信息后建立全局網絡安全情況信任度；⑤當入侵檢測點（IDP）計算出的閾值達到一個數值時，就向周圍設備和分布式入侵檢測點（IDP）發布入侵警報，提升設備安全防護等級，采取相對寬松的安全防護策略，持續監測入侵情況并向反饋信息收集點（PFP）發送入侵預警報告；⑥信息處理節點（DPP）將數據發送到全局網絡安全情況信任度建立節點（OSCP）和自適性入侵檢測模型改進節點（AIDP）；⑦全局網絡安全情況信任度建立節點（OSCP）提取預警報告中的安全威脅發生位置，建立全局網絡安全情況信息，并根據設備的安全防護等級建立全局網絡安全情況信任度，如果全局網絡安全情況信任度超過一定閾值，則向全局設備管理節點（MOM）發送安全防護等級提升命令；⑧自適性入侵檢測模型改進節點（AIDP）根據接收的信息進行決策樹自適重新生成，將生成的新決策樹驗證準確度后發送給全局設備管理節點（MOM）；⑨全局設備管理節點（MOM）根據信任度建立節點（OSCP）發送的命令和自適性入侵檢測模型改進節點（AIDP）發送的自適決策樹，向設備分類管理中間件（IDM′S）發送命令、對應策略與自適應決策樹；⑩各設備分類管理中間件（IDM′S）驗證信息來源，將全局設備管理節點（MOM）發送來的命令、策略發送到對應的分布式入侵檢測點（IDP），各分布式入侵檢測點（IDP）根據相應命令與策略部署安全策略。

3仿真實驗

采用國際通用的評估數據集KDD CUP99進行實驗仿真及決策樹的建立與測試。初始決策樹訓練數據采用KDD CUP99數據集中的10%訓練數據集的10%數據量。測試數據采用KDD CUP99數據集中的10%測試數據集，將檢出率（DR%）、誤報率（FP%）、漏報率（FN%）與數據檢測不出率（DN%）、入侵類型錯誤率（FI%）作為評估入侵檢測模型性能的重要依據，得出結果見表3、圖3、圖4。

在實驗結果中，訓練數據集中存在0.06%的新型入侵數據，決策樹檢出率為74.23%，有效檢測率為92.21%（檢出率+入侵類型錯誤率），具有較高的檢測水平。

4結語

網絡預警自適性入侵檢測系統，能夠在網絡環境設備相互交流的情況下識別異常情況，從而識別新型入侵行為，對重點設備進行網絡流量防護。采用決策樹作為入侵檢測器，在識別新型入侵類型的基礎上重新自適應生成決策樹，利用決策樹檢測快速與準確率較高的特點，理論上達到74.23%的檢出率和92.21%的有效檢測率，檢測水平較高。

參考文獻參考文獻：

[1]NOJIRI D， ROWE J， LEVITT K. Cooperative response strategies for large scale attack mitigation[C]. DARPA Information Survivability Conference and Exposition，2003.Proceedings. IEEE，2003：293302.

[2]JM AGOSTA， CT GROUP，I CORPORATION. Towards autonomic enterprise security： selfdefending platforms， distributed detection， and adaptive feedback[J].Intel Technology Journal，2006，10（4）：284299.

[3]RAJAB M A， MONROSE F， TERZIS A. On the effectiveness of distributed worm monitoring[EB/OL]. http：//www.doc88.com/p1834503832735.html.

[4]ELFESHAWY N A， FARAGALLAH O S. Divided twopart adaptive intrusion detection system[M]. SpringerVerlag New York， Inc，2013.

[5]AJABI M， BOUKHRIS I， ELOUEDI Z. Big data classification using belief decision trees： application to Intrusion Detection[C]. The International Symposium on Advanced Intelligent Systems and Informatics， Aisi，2016：149150.

[6]ALYASEEN W L， OTHMAN Z A， NAZRI M Z A. Realtime multiagent system for an adaptive intrusion detection system[J]. Pattern Recognition Letters，2017（85）：5664.

[7]BREIMAN L， FRIEDMAN J H， OLSHEN R， et al. Classification and regression trees[J]. Biometrics，1984，40（3）：358359.

[8]QUINLAN J R. C4.5： programs for machine learning[EB/OL]. http：//wenku.it168.com/d_000256407.shtml.

[9]WILLIAMSTALLINGS， LAWRIEBROWN.計算機安全：原理與實踐[M].北京：電子工業出版社，2015：120122.

[10]JIAWEIHAN， MICHELINEKAMBER.數據挖掘：概念與技術[M].北京：機械工業出版社，2007：211213.

責任編輯（責任編輯：杜能鋼）