前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的基于網(wǎng)絡(luò)的入侵檢測主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:入侵檢測;免疫原理;r連續(xù)位匹配;檢測集生成
中圖分類號(hào):TP18文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2012)26-6348-03
Network Intrusion Detection Based on Immune Theory
WU Xiang1, HAN Liang2
(1.Naval Headquarters, Beijing 100841, China; 2.The East China Sea Fleet of Navy, Ningbo 315122, China)
Abstract: After analysis of the immune algorithm characteristics, the metaphor mechanism which is associated with the intrusion detection is extracted and studied in-depth. And then on the basis of artificial immune system, intrusion Detection system based on immune mechanism is built and the definition of system self and system non-self, immune matching rules set, and also the generation and life cycle of the immune detector are explained. Finally, the model is validated by the simulation experiments. The establishment of the immune intrusion detection system and the simulation work is the cornerstone of this research.
Key words: intrusion detection; immune theory; r contiguous bits matching; detector set generation
人體的免疫系統(tǒng)功能是通過大量不同類型的細(xì)胞之間的相互作用實(shí)現(xiàn)的[1-2]。在這些不同類型的細(xì)胞主要作用是區(qū)分“自體”和“非自體”。“自體”是指人體自身的細(xì)胞,而“非自體”是指病原體、毒性有機(jī)物和內(nèi)源的突變細(xì)胞或衰老細(xì)胞。淋巴細(xì)胞能對(duì)“非自體”成分產(chǎn)生應(yīng)答,以消除它們對(duì)機(jī)體的危害;但對(duì)“自體”成分,則不產(chǎn)生應(yīng)答,以保持內(nèi)環(huán)境動(dòng)態(tài)穩(wěn)定,維持機(jī)體健康。
可以看出入侵檢測系統(tǒng)和免疫系統(tǒng)具有一定程度的相似性。對(duì)于一個(gè)入侵檢測系統(tǒng),特別是網(wǎng)絡(luò)入侵檢測系統(tǒng),免疫系統(tǒng)的組成、結(jié)構(gòu)、特征、免疫機(jī)理、算法等都為入侵檢測系統(tǒng)設(shè)計(jì)有著重要的借鑒意義。它們要解決的問題都可以被描述為:識(shí)別“自體”和“非自體”,并消除“非自體”。
1自體和非自體的定義
計(jì)算機(jī)安全的免疫系統(tǒng)保護(hù)的是計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)文件,所以將“自體”定義為計(jì)算機(jī)中合法的數(shù)據(jù),這些數(shù)據(jù)包括合法用戶、授權(quán)活動(dòng)、原始源代碼、未被欺詐的數(shù)據(jù)等;將“非自體”定義為其它一切非法數(shù)據(jù),這些數(shù)據(jù)包括自身遭受非法篡改的數(shù)據(jù)、病毒感染的數(shù)據(jù)以及外來數(shù)據(jù)等。
2免疫匹配規(guī)則
在計(jì)算機(jī)中,所有的數(shù)據(jù)都是以二進(jìn)制來表示的,這就表明在進(jìn)行仿真的過程中,使用免疫匹配規(guī)則的對(duì)象都應(yīng)該是針對(duì)二進(jìn)制字符串的,因此需要采用二進(jìn)制的匹配算法。采用何種二進(jìn)制字符串的匹配算法,這是一個(gè)十分關(guān)鍵的問題,因?yàn)橹挥胁捎昧撕线m的匹配算法,才能有效的構(gòu)造免疫檢測器集[4]。目前有很多的近似匹配算法,如r連續(xù)位的匹配算法、海明距離匹配算法等。r連續(xù)位匹配規(guī)則能更好地反映抗體綁定的真實(shí)提取,即能更真實(shí)地反映檢測器字符串與被檢測字符串的匹配情況,所以它比海明匹配規(guī)則更常用,因此文章采用r連續(xù)位的匹配算法。
r連續(xù)位的匹配規(guī)則可以描述如下:對(duì)于任意的兩個(gè)字符串x,y,如果兩個(gè)字符串x,y在相應(yīng)位置上至少連續(xù)r位相同,那么這兩個(gè)字符串是r連續(xù)位匹配的,即Match(x,y)|r=true。例如,如果設(shè)定r=5,字符串x=“10111010”和字符串y=“11011010”,由于它們?cè)谙鄳?yīng)位置4-8位上都為“11010”,因此這兩個(gè)字符串是匹配的。
在訓(xùn)練階段,首先隨機(jī)生成候選檢測器集合,然后讓候選檢測器與自體集進(jìn)行匹配,這個(gè)過程也叫陰性選擇過程。在匹配的過程中,那些與與自體集相匹配的候選檢測器就被丟棄,而不與自體集匹配的候選檢測器則作為成熟檢測器,存儲(chǔ)于檢測器集合中。
[1] Oscar A,Fabio A G, Fernando N,et al.Search and Optimization:A Solution Concept for Artificial Immune Networks: A Coevo? lutionary Perspective [C].Proceedings of 6th international conference on Artificial Immune systems,Brazil,2007:26-29.
[2] Hofmeyr, S, Forrest, S. Immunity by Design: An Artificial Immune System[C]//Proceedings of the 1999 Genetic and Evolution? ary Computation Conference,1999:1289-1296.
[3]楊進(jìn),劉曉潔,李濤,等.人工免疫中匹配算法研究[J].四川大學(xué)學(xué)報(bào):工程科學(xué)版,2008,40(3):126-131.
[4]馬莉.基于免疫原理的網(wǎng)絡(luò)入侵檢測器生成算法的研究[D].南京:南京理工大學(xué)碩士論文, 2006.
[5]卿斯?jié)h,蔣建春,馬恒太,等.入侵檢測技術(shù)研究綜述[J].通信學(xué)報(bào),2004,25(7):19-29.
[6]焦李成,杜海峰,劉芳,等.免疫優(yōu)化計(jì)算、學(xué)習(xí)與識(shí)別[M].北京:科學(xué)出版社, 2006.
[7] Dasgupta D,Gonzalez F.An Immunity-Based Technique to Characterize Intrusions in, Computer Networks [J].Special Issue on Artificial Immune Systems of the Journal IEEE Transactions on Evolutionary Comput- ation.2002,6(3):281-291.
【關(guān)鍵詞】 網(wǎng)絡(luò)運(yùn)行 安全 入侵檢測技術(shù)
隨著計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全問題的日益凸顯,入侵檢測技術(shù)作為一個(gè)新型的主動(dòng)防御網(wǎng)絡(luò)攻擊安全技術(shù)成為保護(hù)網(wǎng)絡(luò)運(yùn)行安全的重要措施之一。入侵檢測技術(shù)雖然利用傳統(tǒng)手段訪問者進(jìn)行檢查,但是可以進(jìn)一步擴(kuò)展系統(tǒng)管理員的安全管理能力,提高網(wǎng)絡(luò)系統(tǒng)安全基礎(chǔ)結(jié)構(gòu)的完整性,同時(shí)與防火墻合用還可彌補(bǔ)防火墻的缺陷,可共同抵御外網(wǎng)攻擊,保護(hù)網(wǎng)絡(luò)系統(tǒng)能夠正常運(yùn)行。
一、入侵檢測技術(shù)基本概念
入侵檢測技術(shù)主要針對(duì)非法或者未授權(quán)情況下的入侵行為進(jìn)行檢測,并對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或者網(wǎng)絡(luò)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息進(jìn)行全面采集、分析,并對(duì)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)中的違法安全策略行為或者被攻擊跡象進(jìn)行全面檢查[1]。如果在一個(gè)計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)中安裝了入侵檢測系統(tǒng)(IDS),便可對(duì)系統(tǒng)中某些特定范圍實(shí)現(xiàn)實(shí)時(shí)監(jiān)控,當(dāng)系統(tǒng)受到外網(wǎng)攻擊時(shí)可迅速檢測并作出響應(yīng)。具體的入侵檢測/響應(yīng)流程如圖1。
二、計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全中入侵檢測技術(shù)應(yīng)用策略
2.1 采集入侵信息策略
數(shù)據(jù)是入侵檢測技術(shù)發(fā)揮作用的重要因素之一,常規(guī)情況下檢測數(shù)據(jù)源主要涵蓋:系統(tǒng)、網(wǎng)絡(luò)日志、文件以及目錄中保密事項(xiàng)、執(zhí)行程序中的限制操作行為、入侵物理形式信息等等。
在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用進(jìn)程中,入侵檢測技術(shù)若需要采集所有相關(guān)信息,則需要在每個(gè)網(wǎng)段中部署一個(gè)以上的IDS,并根據(jù)對(duì)應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)特征運(yùn)用多樣連接形式的數(shù)據(jù)采集方式;同時(shí),可在交換機(jī)內(nèi)部或者防火墻的數(shù)據(jù)流入口或者出口處設(shè)置入侵檢測系統(tǒng),這樣便可以有效采集相應(yīng)的關(guān)鍵核心數(shù)據(jù)。
若需要采集網(wǎng)絡(luò)系統(tǒng)中不同類別的關(guān)鍵信息,一方面需要根據(jù)檢測對(duì)象合理擴(kuò)大檢測的范圍、設(shè)置截取網(wǎng)絡(luò)數(shù)據(jù)包;另一方面則需要對(duì)網(wǎng)絡(luò)系統(tǒng)中的薄弱環(huán)節(jié)進(jìn)行重點(diǎn)分析。而對(duì)于整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言,產(chǎn)生入侵行為相對(duì)較少,只需要建一個(gè)數(shù)據(jù)群進(jìn)行集中處理即可,重點(diǎn)應(yīng)加強(qiáng)對(duì)入侵行為的針對(duì)性分析能力。
2.2 分析、檢測入侵信息策略
在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全保護(hù)中,入侵檢測系統(tǒng)可對(duì)各類系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議等進(jìn)行全面分析,且在安全策略、原則基礎(chǔ)上利用自身的異常檢測、濫用檢測模型進(jìn)行分析過程模擬,科學(xué)辨識(shí)異常或者明顯的攻擊行為,最終構(gòu)建一個(gè)分析結(jié)果形成報(bào)警信息發(fā)送至管理控制中心。對(duì)于TCP/IP 協(xié)議網(wǎng)絡(luò)則運(yùn)用探測引擎技術(shù),利用旁路偵聽方式對(duì)流經(jīng)網(wǎng)絡(luò)的所有數(shù)據(jù)包實(shí)現(xiàn)動(dòng)態(tài)監(jiān)測,并根據(jù)用戶設(shè)置的相關(guān)安全策略進(jìn)行分析檢測,可有效辨識(shí)各類網(wǎng)絡(luò)安全事件,并將相關(guān)定位、報(bào)警信息發(fā)送至管理控制中心。
2.3 響應(yīng)入侵信息策略
對(duì)于入侵報(bào)警信息,入侵檢測系統(tǒng)將采取積極的響應(yīng)措施,主要操作包含:告警網(wǎng)絡(luò)引擎、告知管理控制平臺(tái)、給安全管理人員發(fā)生郵件、向控制中心通報(bào)實(shí)時(shí)對(duì)話情況,詳細(xì)記錄現(xiàn)場事件日志,并根據(jù)安全策略設(shè)置合理調(diào)整網(wǎng)絡(luò)配置,并終止不良入侵行為,對(duì)于部分特定用戶的相關(guān)程序仍然給予執(zhí)行[2]。同時(shí),在防御外網(wǎng)攻擊中還可以結(jié)合防火墻的優(yōu)勢,構(gòu)建一個(gè)協(xié)調(diào)模型以及網(wǎng)絡(luò)完全防御體系。當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)正常運(yùn)行時(shí),防火墻的過濾機(jī)制可對(duì)流經(jīng)的數(shù)據(jù)包進(jìn)行對(duì)比,對(duì)非授信數(shù)據(jù)包采取過濾處理,而對(duì)于繞過防火墻的數(shù)據(jù)包則可以利用入侵檢測技術(shù)及時(shí)對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測并迅速作出響應(yīng),從而實(shí)現(xiàn)有效防御各類網(wǎng)絡(luò)攻擊行為。
三、結(jié)語
計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全防范屬于是一個(gè)整體的系統(tǒng)行為,其涉及多個(gè)層次的多項(xiàng)防御策略、技術(shù),雖然入侵檢測技術(shù)作為現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)安全的防御體系中一個(gè)重要的組成部分,但是其主要功能在于發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中的安全問題。因此,在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全保護(hù)中,入侵檢測技術(shù)仍然需要聯(lián)合其他安全技術(shù),相互配合、協(xié)作,以此來增強(qiáng)自身的安全事件動(dòng)態(tài)監(jiān)測與響應(yīng)能力,從而為企業(yè)提供一個(gè)更為安全的網(wǎng)絡(luò)運(yùn)行環(huán)境。
參考文獻(xiàn)
關(guān)鍵詞:模糊神經(jīng)Petri網(wǎng);入侵檢測;神經(jīng)網(wǎng)絡(luò);知識(shí)學(xué)習(xí)
中圖分類號(hào):TP393.08
隨著網(wǎng)絡(luò)在人們的日常生活中應(yīng)用不斷增多,網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)性和機(jī)會(huì)也越來越多,網(wǎng)絡(luò)安全成為了人們無法回避的問題。入侵檢測技術(shù)已經(jīng)成為一項(xiàng)非常重要的技術(shù),得到越來越多的重視。目前,傳統(tǒng)的入侵檢測方法都是基于模式匹配的入侵檢測方法、基于統(tǒng)計(jì)分析的入侵檢測方法等,但它們都存在靈活性和適應(yīng)性差[1,2],檢測效率不高,尤其是對(duì)未知的入侵行為檢測存在困難。
針對(duì)上述問題,作者提出基于模糊神經(jīng)Petri網(wǎng)(fuzzyneuralPetrinets,F(xiàn)NPN)的網(wǎng)絡(luò)入侵檢測方法,將類似于神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)功能引入FPN中。利用FNPN的并行推理能力解決傳統(tǒng)檢測方法靈活性和適應(yīng)性差的問題,實(shí)驗(yàn)結(jié)果表明,本方法具有更高的檢測準(zhǔn)確率和更快的檢測速度。
1 基本概念
Petri網(wǎng)是對(duì)離散并行系統(tǒng)的數(shù)學(xué)表示。Petri網(wǎng)是1960年由Karl?A?Petri發(fā)明的,適合于描述異步的、并發(fā)的計(jì)算機(jī)系統(tǒng)模型。Petri網(wǎng)既有嚴(yán)格的數(shù)學(xué)表述方式,也有直觀的圖形表達(dá)方式,既有豐富的系統(tǒng)描述手段和系統(tǒng)行為分析技術(shù),又為計(jì)算機(jī)科學(xué)提供堅(jiān)實(shí)的概念基礎(chǔ)[3]。
2 基于FNPN的網(wǎng)絡(luò)入侵檢測方法
基于FNPN的入侵檢測原理如圖1所示:首先利用專家知識(shí)建立攻擊知識(shí)的初始FNPN模型,然后通過現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境采集含有入侵信息的數(shù)據(jù),利用學(xué)習(xí)算法對(duì)知識(shí)模型的參數(shù)進(jìn)行自動(dòng)調(diào)整,以提高知識(shí)模型的準(zhǔn)確度。將調(diào)整好后的模型作為模糊推理的知識(shí),通過模糊推理得到某攻擊發(fā)生的可能性。
基于FNPN的模糊推理過程是攻擊知識(shí)的FNPN模型從初始標(biāo)志開始,所有滿足條件的變遷按順序并行激發(fā)的過程。該過程與基于神經(jīng)網(wǎng)絡(luò)的推理過程相似,是一種并行推理過程,避免了傳統(tǒng)誤用入侵檢測(基于產(chǎn)生式規(guī)則推理)中的推理沖突、組合爆炸等問題,因此具有較高的推理效率;同時(shí),該方法中引入學(xué)習(xí)算法對(duì)初始知識(shí)的FNPN模型的參數(shù)進(jìn)行動(dòng)態(tài)調(diào)整,以提高知識(shí)模型的準(zhǔn)確度,從而提高系統(tǒng)的入侵檢測率[6]。
圖1 基于FNPN的入侵檢測原理
2.1 模糊規(guī)則的FNPN表示
一條模糊產(chǎn)生式‘與’規(guī)則對(duì)應(yīng)FNPN中的一個(gè)變遷,而一條模糊產(chǎn)生式‘或’規(guī)則對(duì)應(yīng)一組變遷。同樣一條模糊產(chǎn)生式非規(guī)則對(duì)應(yīng)FNPN中的一個(gè)變遷,規(guī)則中的命題與FNPN中的庫所一一對(duì)應(yīng),規(guī)則中的模糊命題的當(dāng)前隸屬度值為庫所中的標(biāo)記值,規(guī)則的信任度對(duì)應(yīng)變遷的一個(gè)映射函數(shù)[5]。
2.2 FNPN的訓(xùn)練算法
第1步:初始化,根據(jù)專家經(jīng)驗(yàn)輸入各權(quán)值和變遷信任度的初始值,并把輸入命題和中間命題的總個(gè)數(shù)送n,變遷的總個(gè)數(shù)送m,樣本總數(shù)N,i和j分別送1,學(xué)習(xí)步長送δ。
第2步:計(jì)算初始誤差,根據(jù)初始權(quán)值和信任度及前面的引發(fā)規(guī)則計(jì)算出一組系統(tǒng)可靠度,并根據(jù)計(jì)算出初始誤差值。判斷其是否小于規(guī)定的誤差限,若小于的話直接結(jié)束,否則進(jìn)入下一步。
第3步:依據(jù)學(xué)習(xí)步長對(duì)部件i的權(quán)值進(jìn)行調(diào)整,并判斷是否每個(gè)值都大于等于零,若都大于等于零,則進(jìn)行下一步,否則轉(zhuǎn)第6步。
第4步:計(jì)算出當(dāng)前系統(tǒng)的誤差值fi與fi-1比較,若fi
第5步:重新調(diào)回原權(quán)值,說明上一步的調(diào)整方向不正確。
第6步:令i=i+1,并判斷其是否大于n,若不大于n,轉(zhuǎn)第3步進(jìn)行下一部件的權(quán)值調(diào)整,否則進(jìn)入下一步。
第7步:判斷這時(shí)的fi是否小于等于要求的誤差限,若已達(dá)到規(guī)定的誤差限,則結(jié)束訓(xùn)練;否則,判斷訓(xùn)練次數(shù)是否超過規(guī)定權(quán)值訓(xùn)練次數(shù),若不超過,則把fi的值賦給f0并重新使i=1轉(zhuǎn)第3步,開始下一輪訓(xùn)練;若已超過權(quán)值訓(xùn)練次數(shù),則進(jìn)入下一步。
第8步:對(duì)信任度進(jìn)行訓(xùn)練,逐個(gè)調(diào)整信任度值但不能超過1,并逐次計(jì)算fj并判斷是否小于等于規(guī)定的誤差限,若已經(jīng)達(dá)到誤差限,則結(jié)束訓(xùn)練,否則,一直調(diào)整信任度直至達(dá)到規(guī)定的信任度訓(xùn)練次數(shù)為止。此時(shí),若還達(dá)不到要求的誤差限,則修改模糊規(guī)則,然后返回第一步重新學(xué)習(xí)。
2.3 FNPN的入侵檢測模型
通過專家知識(shí)得到FNPN的最優(yōu)初始權(quán)值,利用最優(yōu)初始權(quán)值的FNPN對(duì)入侵檢測數(shù)據(jù)進(jìn)行學(xué)習(xí)和訓(xùn)練,得到最優(yōu)的網(wǎng)絡(luò)入侵檢測模型。然后采用這個(gè)最優(yōu)網(wǎng)絡(luò)入侵模型對(duì)網(wǎng)絡(luò)上采集數(shù)據(jù)進(jìn)行在線檢測,對(duì)檢測結(jié)果進(jìn)行分析和判斷,最后根據(jù)分析結(jié)果進(jìn)行相應(yīng)的處理。
3 實(shí)例分析
為了對(duì)上述方法進(jìn)行效果分析,本文對(duì)BackDoS、BufferOverflow、Guess-Passwd、Imap、IpsweepProbe、Land攻擊、SYNFlooding攻擊共7類攻擊進(jìn)行基于FNPN和NN的對(duì)比識(shí)別實(shí)驗(yàn)[7]。
取其中100條包含有以上7類攻擊的記錄,80條作為訓(xùn)練,20條作為測試。其中正常連接19個(gè),攻擊連接81個(gè)。
令FNPN和NN的參數(shù)相同學(xué)習(xí)速率均為0.10,動(dòng)力因子為0.075,f(x)=1/(1+e-x)。
FNPN的初始權(quán)值和變遷信任度由專家系統(tǒng)根據(jù)其經(jīng)驗(yàn)的所得。用圖5所示的專家系統(tǒng)的FNPN模型作為網(wǎng)絡(luò)的入侵檢測模型,用所述的學(xué)習(xí)算法,用Matlab編制程序,并在假設(shè)專家知識(shí)的情況下給出一組初值:w11=w21=w31=w41=w51=w61=w71=w81=w91=wa1=0,w12=w22=w32=w42=w52=w62=w72=w82=w92=wa2=1,所有的信任度都取1,步長選為0.0001,用樣本中的80組數(shù)據(jù)對(duì)權(quán)值和信任度進(jìn)行訓(xùn)練。經(jīng)過179次學(xué)習(xí)后,達(dá)到規(guī)定的誤差范圍(
將FNPN和NN的訓(xùn)練結(jié)果對(duì)比如圖2所示。表明FNPN的最小平均誤差比NN的最小平均誤差小,且學(xué)習(xí)速度快。
圖2 FNPN和NN的訓(xùn)練曲線
最后,對(duì)訓(xùn)練好的參數(shù)用樣本中的其余20組數(shù)據(jù)進(jìn)行測試,平均誤差為0.0000154,表1為測試中所有攻擊的識(shí)別率統(tǒng)計(jì)。結(jié)果表明,基于FNPN的識(shí)別方法比基于相同結(jié)構(gòu)的NN對(duì)攻擊具有更高的識(shí)別率[9]。
表1 基于FNPN和NN的檢測率比較
攻擊類型 檢測率/%
FNPN NN
BackDoS 90.3 84.2
BufferOverflow 86.5 82.4
GuessPasswd 79.9 75.1
Imap 83.7 81.2
IpsweepProbe 88.6 85.8
Land 91.2 87.7
SYNFlooding 85.2 82.7
4 結(jié)論
本文提出的適合于網(wǎng)絡(luò)入侵檢測的模糊神經(jīng)Petri網(wǎng),既具有模糊Petri網(wǎng)自動(dòng)模糊推理的能力,又具有神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)能力。由于采用了基于專家經(jīng)驗(yàn)的系統(tǒng)結(jié)構(gòu),省去對(duì)實(shí)際系統(tǒng)建模的困難。與直接用神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測相比需要訓(xùn)練的參數(shù)更少,節(jié)省了存儲(chǔ)空間,且各參數(shù)具有明確的物理意義。該方法適用于基于結(jié)構(gòu)模糊推理的網(wǎng)絡(luò)入侵檢測。
參考文獻(xiàn):
[1]危勝軍,胡昌振,高秀峰.基于學(xué)習(xí)Petri網(wǎng)的網(wǎng)絡(luò)入侵檢測方法[J].兵工學(xué)報(bào),2006,27(2):269-272.
[2]趙俊閣,付鈺,劉玲艷.網(wǎng)絡(luò)系統(tǒng)可靠性評(píng)估的模糊神經(jīng)Petri網(wǎng)方法[J].火力與指揮控制,2010,35(3):55-57.
[3]ChenSM,KeJS,ChangJF.KnowledgeRepresentationUsingFuzzyPetriNets[J].IEEETransonKnowledgeDataEnergy,1990,2(3):311-319.
[4]原菊梅,侯朝楨,王小藝.復(fù)雜系統(tǒng)可靠性估計(jì)的模糊神經(jīng)Petri網(wǎng)方法[J].控制理論與應(yīng)用,2006,23(5):687-691.
[5]KoriemSM.AfuzzyPetriNetToolforModelingandVerificationofKnowledge-basedSystems[J].TheComputerJournal,2000,43(3):206-223.
[6]傅學(xué)彥,尹滄濤.神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].計(jì)算機(jī)仿真,2010,27(12):152-155.
[7]原菊梅,侯朝楨,王小藝.復(fù)雜系統(tǒng)可靠性估計(jì)的模糊神經(jīng)Petri網(wǎng)方法[J].控制理論與應(yīng)用,2006,23(5):687-691.
[8]危勝軍,胡昌振,孫明謙.基于模糊Petri網(wǎng)的誤用入侵檢測方法[J].北京理工大學(xué)學(xué)報(bào),2007,27(4):312-317.
[9]張白一,崔尚森.基于規(guī)則推理的FPN誤用入侵檢測方法[J].計(jì)算機(jī)工程,2006,32(14):119-121.
[9]李玲娟,翟雙燦,郭立瑋.用支持向量機(jī)預(yù)測中藥水提液膜分離過程[J].計(jì)算機(jī)與應(yīng)用化學(xué),2010,27(2):149-154.
【 關(guān)鍵詞 】 網(wǎng)絡(luò)安全;入侵檢測技術(shù);數(shù)據(jù)挖掘;孤立點(diǎn)
Intrusion Detection Technology Application in Network Security based on outlier Mining Technology
Li Jun
(Shantou Economic Trade Secondary Vocational and Technical School GuangdongShantou 515041)
【 Abstract 】 The computer network system faces different safety risks in actually using of process. Take the necessary security measures on the computer network system is very important. The article first introduced the intrusion detection technology, and then presented the concept of intrusion detection systems and working principle. Then investigated the intrusion detection system based on data mining technology, and gave a description of the mining algorithm based on similarity and isolated points.
【 Keywords 】 network security; intrusion detection; data mining; isolated point
0 引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)復(fù)雜性不斷增加,異構(gòu)性越來越高,計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性問題越來越嚴(yán)峻。惡意程序的種類和數(shù)量的爆發(fā)性增加,嚴(yán)重破壞了網(wǎng)絡(luò)運(yùn)行秩序,因此,關(guān)于網(wǎng)絡(luò)安全的問題已經(jīng)被越來越廣泛地研究。
網(wǎng)絡(luò)安全是一門涉及多種學(xué)科的綜合性學(xué)科,當(dāng)網(wǎng)絡(luò)的用戶來自社會(huì)各個(gè)階層與部門時(shí),大量在網(wǎng)絡(luò)中存儲(chǔ)和傳輸?shù)臄?shù)據(jù)就需要保護(hù),確保網(wǎng)絡(luò)中硬件、軟件資源及各種信息受到保護(hù),避免遭到惡意的篡改、截獲和偽造,使網(wǎng)絡(luò)服務(wù)正常,系統(tǒng)可靠運(yùn)行。
網(wǎng)絡(luò)安全的研究實(shí)質(zhì)上就是針對(duì)保密通信、安全協(xié)議的設(shè)計(jì)和訪問控制三項(xiàng)內(nèi)容的相關(guān)理論和技術(shù)的研究??梢酝ㄟ^流量分析檢測網(wǎng)絡(luò)流量的異常并做出有效的響應(yīng)來確保網(wǎng)絡(luò)的正常運(yùn)行?,F(xiàn)在應(yīng)用于網(wǎng)絡(luò)安全方面的技術(shù)有數(shù)字簽名、數(shù)據(jù)加密、防火墻等,這些技術(shù)作為保護(hù)網(wǎng)絡(luò)是有效的,但是有其自身的局限性,比如防火墻技術(shù)可以阻止外部攻擊但阻止不了內(nèi)部攻擊且不能提供實(shí)時(shí)監(jiān)測等。所以,建立一個(gè)基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)異常入侵檢測技術(shù)是有必要的,它可以作為防火墻的補(bǔ)充提供流量分析,能有效避免網(wǎng)絡(luò)黑客入侵,從多個(gè)方面準(zhǔn)確分析系統(tǒng)漏洞且采取措施處理。因而基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的研究可以有效保證網(wǎng)絡(luò)的安全運(yùn)行。
1 入侵檢測技術(shù)
1.1 概念
入侵檢測技術(shù)是一種用來檢測是否有入侵行為的一種技術(shù),它是入侵檢測系統(tǒng)(Intrusion Detection System, IDS)的核心技術(shù),可以抵抗來自網(wǎng)絡(luò)的入侵行為,保護(hù)自己免受攻擊,保證計(jì)算機(jī)系統(tǒng)的安全。入侵檢測技術(shù)通過將入侵行為的過程與網(wǎng)絡(luò)會(huì)話數(shù)據(jù)特征匹配,可以檢測到計(jì)算機(jī)網(wǎng)絡(luò)中的違反安全策略的行為并做出響應(yīng),采取相關(guān)措施應(yīng)對(duì)網(wǎng)絡(luò)攻擊。入侵檢測在網(wǎng)絡(luò)系統(tǒng)受到危害之前就對(duì)內(nèi)部攻擊、外部攻擊和誤操作等進(jìn)行攔截并響應(yīng)入侵,它作為一種積極主動(dòng)地安全防護(hù)技術(shù),為計(jì)算機(jī)系統(tǒng)提供實(shí)時(shí)保護(hù)。
1.2 入侵檢測技術(shù)的內(nèi)容
入侵檢測技術(shù)的任務(wù)執(zhí)行主要包括以下內(nèi)容:
(1)對(duì)重要的文件和系統(tǒng)資源進(jìn)行完整性評(píng)估和檢測;
(2)檢查系統(tǒng)構(gòu)造,評(píng)估系統(tǒng)是否存在漏洞,不斷檢測、監(jiān)視和分析用戶和系統(tǒng)的活動(dòng);
(3)對(duì)檢測的網(wǎng)絡(luò)攻擊行為進(jìn)行報(bào)警,便于用戶或管理者采取相應(yīng)的措施;
(4)對(duì)日常行為和異常行為進(jìn)行統(tǒng)計(jì),并將這兩種行為模式對(duì)比和分析;
(5)跟蹤管理操作系統(tǒng)日志,識(shí)別違反安全策略的用戶行為。
入侵檢測技術(shù)是安全審核的核心技術(shù)之一,可檢測出計(jì)算機(jī)網(wǎng)絡(luò)中破壞網(wǎng)絡(luò)運(yùn)行秩序的行為,這項(xiàng)技術(shù)可以及時(shí)檢測到系統(tǒng)中的異常行為和未授權(quán)的現(xiàn)象。對(duì)網(wǎng)絡(luò)正常運(yùn)行的破壞行為通常分為兩種,一種是非法用戶的違規(guī)入侵,另一種是合法用戶的濫用行為。通過對(duì)記錄的審核,入侵檢測系統(tǒng)可以識(shí)別并限制所有不希望存在的行為,保證系統(tǒng)的安全和網(wǎng)絡(luò)的正常運(yùn)行。在系統(tǒng)受到入侵攻擊時(shí),入侵檢測系統(tǒng)可以像管理者報(bào)警驅(qū)逐入侵攻擊,進(jìn)而保護(hù)系統(tǒng)免受傷害,并且在系統(tǒng)被入侵攻擊之后,入侵檢測系統(tǒng)可以對(duì)攻擊信息進(jìn)行收集和分析,將信息填充到系統(tǒng)特征庫,升級(jí)系統(tǒng)的防范能力。
1.3 入侵檢測技術(shù)的分類
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)安全;入侵檢測
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2012) 12-0100-01
一、入侵檢測技術(shù)在維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用
(一)網(wǎng)絡(luò)入侵檢測
網(wǎng)絡(luò)入侵檢測有基于硬件和軟件的,二者的工作流程是基本相同的。需將網(wǎng)絡(luò)接口的模式設(shè)置為混雜模式,以便對(duì)流經(jīng)該網(wǎng)段的全部數(shù)據(jù)進(jìn)行實(shí)時(shí)的監(jiān)控,做出分析,再和數(shù)據(jù)庫中預(yù)定義的具備攻擊特征屬性做出比較,從而把有害的攻擊數(shù)據(jù)包識(shí)別出來,進(jìn)行響應(yīng),并記錄日志[1]。
1.體系結(jié)構(gòu)。網(wǎng)絡(luò)入侵檢測的體系結(jié)構(gòu)通常由三大部分組成,分別為Agent、Console以及Manager。其中,Agent的作用是對(duì)網(wǎng)段以內(nèi)的數(shù)據(jù)包進(jìn)行監(jiān)視,發(fā)現(xiàn)攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送到管理器;Console的主要作用是負(fù)責(zé)收集處信息,顯示所受攻擊信息,把攻擊信息及相關(guān)數(shù)據(jù)發(fā)送到管理器;Manager的作用則主要是響應(yīng)配置攻擊警告信息,控制臺(tái)所的命令也由Manager來執(zhí)行,再把所發(fā)出的攻擊警告發(fā)送至控制臺(tái)。
2.工作模式。網(wǎng)絡(luò)入侵檢測,每個(gè)網(wǎng)段都部署多個(gè)入侵檢測的,按網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的不同,的連接形式也不相同。利用交換機(jī)核心芯片中的調(diào)試端口,將入侵檢測系統(tǒng)與該端口相連接。或者把它放在數(shù)據(jù)流的關(guān)鍵點(diǎn)上,就可以獲取幾乎全部的關(guān)鍵數(shù)據(jù)。
3.攻擊響應(yīng)及升級(jí)攻擊特征庫、自定義攻擊特征。入侵檢測系統(tǒng)檢測到惡意攻擊信息,響應(yīng)方式多種多樣,比如發(fā)送電子郵件、切斷會(huì)話、通知管理員、記錄日志、通知管理員、查殺進(jìn)程、啟動(dòng)觸發(fā)器以及開始執(zhí)行預(yù)設(shè)命令、取消用戶賬號(hào)以及創(chuàng)建報(bào)告等等[2]。升級(jí)攻擊特征庫是把攻擊特征庫文件通過手動(dòng)或者自動(dòng)的形式從相關(guān)站點(diǎn)中下載下來,再利用控制臺(tái)實(shí)時(shí)添加進(jìn)攻擊特征庫。
(二)主機(jī)入侵檢測
主機(jī)入侵檢測會(huì)設(shè)置在被重點(diǎn)檢測的主機(jī)上,從而對(duì)本主機(jī)的系統(tǒng)審計(jì)日志、網(wǎng)絡(luò)實(shí)時(shí)連接等信息并做出智能化的分析與判斷。如果發(fā)展可疑情形,則入侵檢測系統(tǒng)就會(huì)有針對(duì)性的采用措施?;谥鳈C(jī)的入侵檢測系統(tǒng)可以具體實(shí)現(xiàn)以下功能:對(duì)操作系統(tǒng)及其所做的所有行為進(jìn)行全程監(jiān)控;持續(xù)評(píng)估系統(tǒng)、應(yīng)用以及數(shù)據(jù)的完整性,并進(jìn)行主動(dòng)的維護(hù);創(chuàng)建全新的安全監(jiān)控策略,實(shí)時(shí)更新;對(duì)于未經(jīng)授權(quán)的行為進(jìn)行檢測,并發(fā)出報(bào)警,同時(shí)也可以執(zhí)行預(yù)設(shè)好的響應(yīng)措施;將所有日志收集起來并加以保護(hù),留作后用。主機(jī)入侵檢測系統(tǒng)對(duì)于主機(jī)的保護(hù)很全面細(xì)致,但要在網(wǎng)絡(luò)中全面部署則成本太高。并且主機(jī)入侵檢測系統(tǒng)工作時(shí)要占用被保護(hù)主機(jī)的CPU處理資源,所以可能會(huì)降低被保護(hù)主機(jī)的性能[3]。
二、高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的問題
(一)高校網(wǎng)絡(luò)環(huán)境入侵檢測方案
伴隨網(wǎng)絡(luò)技術(shù)的高速發(fā)展,網(wǎng)絡(luò)安全已經(jīng)成為不能不考慮的問題。入侵檢測方案正是利用網(wǎng)絡(luò)平臺(tái),通過與遠(yuǎn)程服務(wù)器交換,將終端數(shù)據(jù)庫分布實(shí)現(xiàn)入侵檢測監(jiān)控。設(shè)計(jì)應(yīng)盡量符合人的感知和認(rèn)知。多數(shù)高校網(wǎng)絡(luò)環(huán)境采用基于WEB的數(shù)據(jù)庫的轉(zhuǎn)換和數(shù)據(jù)交換監(jiān)控,數(shù)據(jù)庫相對(duì)簡單,入侵檢測方式單一,但可靠性低。面對(duì)平臺(tái)和數(shù)據(jù)容量的增加,客觀上要求基于自動(dòng)檢測,要對(duì)數(shù)據(jù)庫進(jìn)行分析、聚類、糾錯(cuò)的高效網(wǎng)絡(luò),才能處理,實(shí)現(xiàn)用戶交互,優(yōu)化平臺(tái)數(shù)據(jù)的可擴(kuò)展性[4]。
(二)高校網(wǎng)絡(luò)環(huán)境入侵檢測的關(guān)鍵點(diǎn)
高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的關(guān)鍵點(diǎn)就是要充分利用高校網(wǎng)絡(luò)資源平臺(tái),整合數(shù)據(jù)庫、角色管理的安全模型、校園無縫監(jiān)控、多方位反饋與應(yīng)對(duì)系統(tǒng)等資源,預(yù)測或?qū)崟r(shí)處理高校網(wǎng)絡(luò)入侵時(shí)間的發(fā)生。
三、高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案思考
(一)建立適合高校網(wǎng)絡(luò)環(huán)境的檢測系統(tǒng)平臺(tái)
高校網(wǎng)絡(luò)環(huán)境的入侵檢測,可采納“云計(jì)算技術(shù)”,實(shí)現(xiàn)檢測方案系統(tǒng)。利用其高速傳輸能力,將計(jì)算、存儲(chǔ)、軟件、服務(wù)等資源從分散的個(gè)人計(jì)算機(jī)或服務(wù)器移植到互聯(lián)網(wǎng)中集中管理的大規(guī)模分布的高性能計(jì)算機(jī)、個(gè)人計(jì)算機(jī)、虛擬計(jì)算機(jī)中,從而使用戶像使用電能一樣使用這些資源。大量計(jì)算資源構(gòu)成資源池,用于動(dòng)態(tài)創(chuàng)建高度虛擬化的資源提供用戶使用。改變了資源提供商需要獨(dú)立、分散建造機(jī)房、運(yùn)營系統(tǒng)、維護(hù)安全的困難,降低了整體的能源消耗。
(二)入侵檢測機(jī)制
入侵檢測體系結(jié)構(gòu)須依據(jù)網(wǎng)絡(luò)NIDS模塊,構(gòu)建檢測管理平臺(tái):模塊組成主要有:應(yīng)用任務(wù)模塊;入侵檢測與分析模塊;數(shù)據(jù)庫交換模塊(負(fù)責(zé)數(shù)據(jù)包的嗅探、數(shù)據(jù)包預(yù)處理過濾和固定字段的模式匹配)。實(shí)現(xiàn)實(shí)時(shí)的流量分析與入侵檢測功能。針對(duì)硬件邏輯和核心軟件邏輯采用高效的檢測策略規(guī)則。檢測模型包括三個(gè)主要流程步驟:
1.調(diào)度平臺(tái)從用戶的請(qǐng)求隊(duì)列中首先取出優(yōu)先級(jí)最高的用戶請(qǐng)求R。R讀取元數(shù)據(jù)庫,根據(jù)請(qǐng)求的硬件資源判斷是否能被當(dāng)前空閑資源滿足。如果滿足,轉(zhuǎn)向步驟2;如果不滿足,判斷是否可以通過平臺(tái)虛擬機(jī)的遷移,釋放相關(guān)資源;如果可以,則執(zhí)行遷移操作,轉(zhuǎn)步驟2;如果遷移也無法完成,則退出,并報(bào)告無法完成請(qǐng)求。
2.如果資源請(qǐng)求可以滿足,調(diào)度服務(wù)器可從存儲(chǔ)結(jié)點(diǎn)中選擇與用戶請(qǐng)求相對(duì)應(yīng)的虛擬機(jī)模板T(新建立的虛擬機(jī))或虛擬機(jī)鏡像I。
3.調(diào)度服務(wù)器將I遷入相對(duì)應(yīng)的物理機(jī),并創(chuàng)建相對(duì)應(yīng)的虛擬機(jī)實(shí)例V。
四、總結(jié)
要提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性,不但要靠技術(shù)支持,更需要依靠高校自身良好的維護(hù)與管理。高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的思考,適應(yīng)高校檢測環(huán)境的發(fā)展要求,必須把握其發(fā)展方向和關(guān)鍵技術(shù),實(shí)現(xiàn)高效入侵檢測。
參考文獻(xiàn):
[1]胥瓊丹.入侵檢測技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].電腦知識(shí)與技術(shù),2010,11
[2]劉明.試析計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)及其安全防范[J].計(jì)算機(jī)與網(wǎng)絡(luò),2011,1
關(guān)鍵詞: 網(wǎng)絡(luò)入侵; 信號(hào)檢測; 譜分析; 經(jīng)驗(yàn)?zāi)B(tài)分解
中圖分類號(hào): TN911.23?34; TP393 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào): 1004?373X(2017)03?0058?04
Design and optimization of signal detection system after network intrusion
LI Wei, GU Hailin, HUANG Xing
(Information and Communication Engineering Center, Information Communication Branch Company of
State Grid Liaoning Electric Power Co., Ltd., Shenyang 110006, China)
Abstract: Since the accuracy of the current network intrusion anomaly detection is low, the optimization design for the abnormal signal detection system after network intrusion was performed, and the network intrusion abnormal signal detection algorithm based on higher?order time?spectrum analysis is proposed. The improvement design for the signal detection algorithm was conducted, and the network intrusion signal model was constructed to decompose the non?stationary signal empirical mode and extract the higher?order time?spectrum feature of the network anomaly signal after network intrusion. The signal detection system was developed, and its performance was test with simulation experiment. The simulation results show that the signal detection system can accurately detect the abnormal signal after network intrusion, and its accurate detection probability is higher than that of the traditional method.
Keywords: network intrusion; signal detection; spectrum analysis; empirical mode decomposition
0 引 言
S著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)運(yùn)行的速度不斷增快,網(wǎng)絡(luò)傳輸和處理的數(shù)據(jù)信息不斷增多,網(wǎng)絡(luò)安全受到管理者和用戶的重視[1?2]。網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全等。網(wǎng)絡(luò)入侵通過病毒植入,實(shí)現(xiàn)非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用等,達(dá)到攻擊用戶私密信息的目的。網(wǎng)絡(luò)被入侵后會(huì)出現(xiàn)異常信號(hào),通過對(duì)網(wǎng)絡(luò)被入侵后的入侵信號(hào)進(jìn)行檢測,保障網(wǎng)絡(luò)安全,研究相關(guān)的信號(hào)檢測算法和系統(tǒng)受到人們的極大關(guān)注[3?4]。
針對(duì)當(dāng)前對(duì)網(wǎng)絡(luò)入侵異常檢測精度不高的問題,提出基于高階時(shí)頻譜分析的網(wǎng)絡(luò)入侵異常信號(hào)檢測算法,并通過仿真實(shí)驗(yàn)進(jìn)行性能測試。
1 算法設(shè)計(jì)
1.1 信號(hào)模型構(gòu)建與分析
首先對(duì)網(wǎng)絡(luò)被入侵后的異常信號(hào)模型進(jìn)行構(gòu)建和特征分析,網(wǎng)絡(luò)被入侵后的數(shù)據(jù)傳輸節(jié)點(diǎn)分布為一個(gè)寬平穩(wěn)的隨機(jī)信道模型,異常信號(hào)分布在一個(gè)多徑時(shí)變的非平穩(wěn)傳輸信道中,采用短時(shí)傅里葉變換構(gòu)建網(wǎng)絡(luò)被入侵后的異常信號(hào)傳輸?shù)男诺滥P兔枋鰹閇5?6]:
[x(t)=Rean(t)e-j2πfcτn(t)slt-τn(t)e-j2πfct] (1)
式中:網(wǎng)絡(luò)被入侵后異常信號(hào)的加窗函數(shù)[x(t)]在時(shí)間[t]的短時(shí)傅里葉變換就是[x(t)]乘上一個(gè)以[t]為中心的“分析窗”,由于短時(shí)傅里葉變換,在所有窗函數(shù)里建立時(shí)間窗。
當(dāng)短時(shí)傅里葉變換為一種線性變換,輸出的信號(hào)沖激響應(yīng)為[γ*(t-t),]根據(jù)網(wǎng)絡(luò)被入侵后異常信號(hào)的時(shí)頻分辨率不變性,信號(hào)短時(shí)譜定義為:
[STFT(γ)x(t, f)=-∞∞[x(t)γ*(t-t)]e-j2πftdt] (2)
采用短時(shí)傅里葉變換使得網(wǎng)絡(luò)入侵信號(hào)的短時(shí)傅里葉基數(shù)STFT保持信號(hào)[x(t)]的頻移特性,網(wǎng)絡(luò)被入侵的時(shí)間尺度脈沖響應(yīng)為:
[c(τ,t)=nan(t)e-j2πfcτn(t)δ(t-τn(t))] (3)
式中:[an(t)]是第[n]條網(wǎng)絡(luò)傳輸信道上的異常信號(hào)的單分量主頻特征;[τn(t)]為第[n]條垂直無窮長窗函數(shù)的時(shí)延;[fc]為網(wǎng)絡(luò)被入侵的信道調(diào)制頻率。
設(shè)網(wǎng)絡(luò)被入侵?jǐn)?shù)據(jù)傳輸節(jié)點(diǎn)的傳遞路徑有[P]條,采用頻率分辨率調(diào)制濾波[7],得到網(wǎng)絡(luò)被入侵后的異常信號(hào)傳輸?shù)亩鄰叫诺纻鬟f函數(shù)為:
[h(t)=i=1Paip(t-τi)] (4)
式中:[ai]和[τi]分別是時(shí)間分辨率和傳播損失。
網(wǎng)絡(luò)被入侵后數(shù)據(jù)傳輸?shù)男诺捞卣鞣植己瘮?shù)為:
[y(t)=x(t-t0)?Wy(t,v)=Wx(t-t0,v)y(t)=x(t)ej2πv0t?Wy(t,v)=Wx(t,v-v0)] (5)
對(duì)于兩個(gè)能量相同的信號(hào),定義窗函數(shù)的時(shí)寬[Δt]為:
[Δt2=t2G(t)2dtG(t)2dt] (6)
通過時(shí)頻伸縮,可得網(wǎng)絡(luò)被入侵后異常信號(hào)的頻譜特征為:
[y(t)=kx(kt), k>0,Wy(t,v)=Wx(kt,vk)] (7)
式中:[k]表示時(shí)間分辨采樣頻率;[v]表示網(wǎng)絡(luò)被入侵后輸出信道的帶寬;[Wx]為時(shí)間窗口函數(shù),式(7)表示網(wǎng)絡(luò)被入侵的信道中的時(shí)域和頻域的伸縮尺度。時(shí)間分辨率和頻率分辨率在頻譜寬度一致性特征的情況下,構(gòu)建網(wǎng)絡(luò)入侵的異常信號(hào)模型為:
[z(t)=x(t)+iy(t)=a(t)eiθ(t)] (8)
式中:[z(t)]表示入侵后的異常信號(hào);[x(t)]表示殘余函數(shù);[y(t)]表示網(wǎng)絡(luò)入侵后異常信號(hào)的殘余量;[a(t)]表示非線性、非平穩(wěn)的多分量信號(hào)的上下包絡(luò)線;[θ(t)]表示入侵偏移相位。
通過單分量信號(hào)的尺度分解將原始信號(hào)分解為多個(gè)低頻分量之和,得到網(wǎng)絡(luò)入侵后的異常信號(hào)的包絡(luò)特征為:
[a(t)=x2(t)+y2(t), θ(t)=arctany(t)x(t)] (9)
式中:[a(t)]和[θ(t)]分別是網(wǎng)絡(luò)被入侵后異常信號(hào)的高頻特征分量的包絡(luò)和相位。
1.2 信號(hào)檢測算法實(shí)現(xiàn)
定義[D=(dγ)γ∈Γ]為網(wǎng)絡(luò)入侵異常信號(hào)分布特征空間[H]中的入侵?jǐn)?shù)據(jù)向量組成的基函數(shù)集,在對(duì)受到強(qiáng)雜波背景干擾下入侵后的網(wǎng)絡(luò)異常信號(hào)[x(t)]進(jìn)行經(jīng)驗(yàn)?zāi)B(tài)分解,每層分解的誤差分量表示為:
[xmin, j=maxxmin, j,xg, j-ρ(xmax, j-xmin, j)] (10)
[xmax, j=minxmax, j,xg, j+ρ(xmax, j-xmin, j)] (11)
入侵特征檢測的偏移量頻譜區(qū)間在[[xmin, j,xmax, j]]內(nèi)構(gòu)成局部時(shí)間尺度分量的滑動(dòng)時(shí)間窗口,[ρ]為網(wǎng)絡(luò)入侵異常信號(hào)屬性特征調(diào)整系數(shù),定義為:
[ρ=o∈Nk-dist(p)lrdk(o)lrdk(p)Nk-dist(p)] (12)
采用頻率調(diào)制對(duì)信號(hào)進(jìn)行高階譜特征提取,以過零點(diǎn)定義的IMF函數(shù)為一個(gè)采樣特征區(qū)間,表示為:[Yk=yk1,yk2,…,ykj,…,ykJ, k=1,2,…,N] (13)
通過頻率調(diào)制去除網(wǎng)絡(luò)被入侵后異常信號(hào)的虛假分量,在對(duì)網(wǎng)絡(luò)入侵后異常信號(hào)的局部均值進(jìn)行后置聚焦檢測后,采用時(shí)頻特征分析方法進(jìn)行網(wǎng)絡(luò)被入侵后的異常信號(hào)的時(shí)域特征分解,得到頻譜偏移量為:
[fi(n)=ln[λi(n)]2πΔt] (14)
式中[Δt]表示信號(hào)采樣時(shí)間間隔。
由此計(jì)算網(wǎng)絡(luò)被入侵后異常信號(hào)的穩(wěn)態(tài)概率:
[WDx(t,f)=xt+τ2x*t-τ2e-j2πftdτ] (15)
式中:[f]表示異常信號(hào)的頻域瞬態(tài)函數(shù);[x*]表示υ始信號(hào)取卷積。
選擇時(shí)間?頻率聯(lián)合特征匹配方法,得到網(wǎng)絡(luò)被入侵后的異常信號(hào)差異函數(shù)[f]和基[dγ0]之間的匹配程度為:
[λn(dγ0)=-∞+∞f(t)d*γ0(t)dt] (16)
采用自適應(yīng)級(jí)聯(lián)濾波方法進(jìn)行信號(hào)濾波,得到異常信號(hào)檢測的一組極大線性無關(guān)組,[dγ]的邊緣特性解向量[L2(R)]是稠密的,得到網(wǎng)絡(luò)入侵后的異常信號(hào)的能量密度滿足:
[f,dγ0≥asupγ∈Γf,dγ] (17)
準(zhǔn)確檢測概率滿足:
[f=f,dγ0dγ0+Rf] (18)
2 系統(tǒng)硬件設(shè)計(jì)與軟件開發(fā)
2.1 信號(hào)檢測系統(tǒng)的硬件設(shè)計(jì)
系統(tǒng)的模塊化設(shè)計(jì)主要包括濾波電路模塊、信號(hào)采樣A/D電路模塊、DSP集成處理主控模塊和檢測輸出模塊等,首先構(gòu)建信號(hào)濾波器電路,進(jìn)行網(wǎng)絡(luò)被入侵后異常信號(hào)的檢測濾波,濾波結(jié)構(gòu)模型如圖1所示。
以網(wǎng)絡(luò)被入侵后異常信號(hào)的A/D數(shù)據(jù)采集作為原始輸入,給出級(jí)聯(lián)自適應(yīng)濾波器形式為:
[H(z)=N(z)D(z)] (19)
式中:[N(z)]是異常信號(hào)檢測系統(tǒng)的低通信道函數(shù),它的零點(diǎn)在[z=e±jω0]處;[D(z)]為盲源分離狀態(tài)函數(shù)。
由濾波器的控制篩分參數(shù)[a]和帶寬參數(shù)[r]確定自適應(yīng)級(jí)聯(lián)濾波器的階數(shù)和調(diào)制頻率,初始頻率為:
[ω0=arccos(-a2)] (20)
在前饋放大約束下,通過抽頭加權(quán)得到入侵后的異常信號(hào)檢測濾波器低通響應(yīng)特征函數(shù)為:
[ejπ=V(ejω0)=sinθ2+sinθ1(1+sinθ2)ejω0+ej2ω01+sinθ1(1+sinθ2)ejω0+sinθ2ej2ω0] (21)
網(wǎng)絡(luò)被入侵后異常信號(hào)檢測系統(tǒng)的信號(hào)濾波器的傳遞函數(shù)為:
[H(z)=121+V(z)V(ejω)+ejΦ(ω)] (22)
根據(jù)濾波傳遞函數(shù),采用DSP信號(hào)處理器和PCI總線進(jìn)行電路設(shè)計(jì),得到濾波電路設(shè)計(jì)如圖2所示。
信號(hào)采樣A/D電路模塊實(shí)現(xiàn)網(wǎng)絡(luò)入侵后的異常信號(hào)檢測原始數(shù)據(jù)采樣和數(shù)模轉(zhuǎn)換功能,采用16位定點(diǎn)DSP作為控制芯片,采用FLASH中的應(yīng)用程序bootloader自動(dòng)調(diào)整系統(tǒng)的放大倍數(shù),從片內(nèi)ROM的0FF80H起執(zhí)行程序,控制A/D轉(zhuǎn)換器進(jìn)行正常采樣,得到信號(hào)檢測系統(tǒng)的信號(hào)采樣A/D電路設(shè)計(jì)如圖3所示。
DSP集成處理主控模塊是網(wǎng)絡(luò)被入侵后異常信號(hào)檢測系統(tǒng)的核心模塊,主控模塊的時(shí)鐘頻率為33 MHz或66 MHz,DSP集成處理環(huán)境下異常信號(hào)處理程序是在CCS 2.20開發(fā)平臺(tái)下進(jìn)行,DSP通過雙端口RAM(IDT70V28)進(jìn)行數(shù)據(jù)通信,DSP信號(hào)處理器設(shè)計(jì)主要包括5409A引腳設(shè)置、JTAG設(shè)計(jì),地址總線LA[16:1],檢測輸出模塊選擇引腳、時(shí)鐘信號(hào)輸入引腳,通過CPLD編程ADM706SAR進(jìn)行系統(tǒng)復(fù)位,得到主控模塊的DSP接口連線如圖4所示。
2.2 系統(tǒng)的軟件開發(fā)實(shí)現(xiàn)
網(wǎng)絡(luò)被入侵后異常信號(hào)檢測系統(tǒng)的軟件開發(fā)處理程序在CCS 2.20開發(fā)平臺(tái)下進(jìn)行。采用C5409A XDS510 Emulator仿真器進(jìn)行檢測算法編程設(shè)計(jì),采用程序加載電路進(jìn)行異常信號(hào)檢測算法的寫入和數(shù)據(jù)讀取,處理程序都是用ASM語言編寫,與VB,VC等可視化開發(fā)平臺(tái)進(jìn)行匯編,鏈接生成.out文件,代碼設(shè)計(jì)時(shí)把應(yīng)用程序轉(zhuǎn)Q成.hex格式代碼,把loader和用戶程序都燒寫到FLASH中,在0FF81H處寫loader程序的入口地址,得到網(wǎng)絡(luò)被入侵后異常信號(hào)檢測系統(tǒng)的程序設(shè)計(jì)流程如圖5所示。
3 性能的測試
首先對(duì)SPCR1(串口接收控制寄存器)和SPCR2(串口發(fā)送控制寄存器)進(jìn)行復(fù)位串口配置,配置PCR(串口控制引腳寄存器)的FSXM=1,進(jìn)行網(wǎng)絡(luò)入侵采樣,采樣的樣本數(shù)為1 024,采用網(wǎng)絡(luò)爬蟲技術(shù)進(jìn)行病毒入侵的數(shù)據(jù)爬取,爬取次數(shù)為100 598次,啟動(dòng)串口0的采樣率,得到兩個(gè)幀同步之間的異常信號(hào)。網(wǎng)絡(luò)入侵異常信號(hào)的中心采用頻率為[f0=1 000]Hz,接收器和發(fā)送器的激活頻率為[fs=10] kHz,信號(hào)的采樣帶寬[B=1 000]Hz,其調(diào)頻率[k=BT=13.8] Hz,信號(hào)檢測過程中的干擾信噪比為-30 dB,根據(jù)上述仿真環(huán)境和參數(shù)設(shè)定,進(jìn)行網(wǎng)絡(luò)被入侵后的異常信號(hào)檢測仿真,得到采樣的原始網(wǎng)絡(luò)信號(hào)如圖6所示。
以上述采樣信號(hào)為測試對(duì)象,輸入到本文設(shè)計(jì)的異常信號(hào)檢測系統(tǒng)中,得到檢測輸出的高階時(shí)頻譜如圖7所示。
從圖7可見,本文設(shè)計(jì)的信號(hào)檢測系統(tǒng)能準(zhǔn)確檢測到異常信號(hào)的頻譜特征,對(duì)低頻干擾信號(hào)的抑制性能較好,檢測輸出的峰度聚焦性較好,展示了較高的檢測性能,為了對(duì)比,采用本文方法和傳統(tǒng)方法,以準(zhǔn)確檢測概率為測試指標(biāo),得到的結(jié)果如圖8所示。從圖8可見,采用本文系統(tǒng)進(jìn)行網(wǎng)絡(luò)入侵后異常信號(hào)檢測的準(zhǔn)確檢測概率較高,且性能優(yōu)于傳統(tǒng)方法。
4 結(jié) 語
網(wǎng)絡(luò)被入侵后會(huì)出現(xiàn)異常信號(hào),通過對(duì)網(wǎng)絡(luò)被入侵后的入侵信號(hào)檢測,保障網(wǎng)絡(luò)安全。本文提出基于高階時(shí)頻譜分析的網(wǎng)絡(luò)入侵異常信號(hào)檢測算法,仿真結(jié)果表明,本文算法的準(zhǔn)確檢測概率高于傳統(tǒng)方法,具有較高的應(yīng)用價(jià)值。
參考文獻(xiàn)
[1] 陸興華,陳平華.基于定量遞歸聯(lián)合熵特征重構(gòu)的緩沖區(qū)流量預(yù)測算法[J].計(jì)算機(jī)科學(xué),2015,42(4):68?71.
[2] 楊雷,李貴鵬,張萍.改進(jìn)的Wolf一步預(yù)測的網(wǎng)絡(luò)異常流量檢測[J].科技通報(bào),2014,30(2):47?49.
[3] 周煜,張萬冰,杜發(fā)榮,等.散亂點(diǎn)云數(shù)據(jù)的曲率精簡算法[J].北京理工大學(xué)學(xué)報(bào),2010,30(7):785?790.
[4] MERNIK M, LIU S H, KARABOGA M D, et al. On clarifying misconceptions when comparing variants of the Artificial Bee Colony Algorithm by offering a new implementation [J]. Information sciences, 2015, 291(C): 115?127.
[5] 沈淵.基于入侵關(guān)聯(lián)跟蹤的P2P網(wǎng)絡(luò)入侵檢測方法[J].科技通報(bào),2013,29(6):32?34.
Abstract: Network intrusion detection and early warning technology are the reasonable add to firewall which help the system work against network attacks and provide the real-time guard for internal and external attacks and misuse. Based on this system's design and implementation, the paper gives the detailed discussion.
關(guān)鍵詞:入侵檢測系統(tǒng);設(shè)計(jì);實(shí)現(xiàn)
Key words: intrusion detection system;designing;realization
中圖分類號(hào):TP30 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-4311(2010)24-0166-01
0引言
入侵檢測系統(tǒng)(Intrus Jon Detection system,IDS)為計(jì)算機(jī)系統(tǒng)的完整性??捎眯约翱尚判蕴峁┓e極主動(dòng)的保護(hù),并在計(jì)算機(jī)系統(tǒng)受到危害之前進(jìn)行攔截防衛(wèi)。IDS對(duì)網(wǎng)絡(luò)的控制手段有:黑名單斷開、灰名單報(bào)警、阻塞HTTP請(qǐng)求、通知防火墻阻斷和通過SN-MPTrap報(bào)警等。
1技術(shù)的分析
1.1 異常。異常發(fā)現(xiàn)技術(shù)的前提是假定所有入侵行為都是與正常行為不同的。首先通過訓(xùn)練過程建立起系統(tǒng)正常行為的軌跡,然后在實(shí)際運(yùn)用中把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑。
但異常發(fā)現(xiàn)技術(shù)的缺點(diǎn)是并非所有的入侵都表現(xiàn)為異常。
1.2 誤用。誤用發(fā)現(xiàn)技術(shù)的入侵檢測是指通過預(yù)先精確定義的入侵模式,對(duì)觀察到的用戶行為和資源使用情況進(jìn)行檢測。如入侵簽名說明了導(dǎo)致誤用事件弱點(diǎn)的特征、條件、序列和關(guān)系,還包含系統(tǒng)狀態(tài)。
1.3 模式。假定所有入侵行為和手段都能夠表達(dá)為一種模式或特征,那么所有已知的入侵方法都可以用匹配發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達(dá)入侵的模式,定義發(fā)現(xiàn)入侵的規(guī)則庫,把真正的入侵與正常行為區(qū)分開來。
2入分檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
2.1 實(shí)驗(yàn)系統(tǒng)的整體設(shè)計(jì)。本實(shí)驗(yàn)系統(tǒng)界面部分主要在Visual 2005開發(fā)環(huán)境中完成。實(shí)驗(yàn)系統(tǒng)使用的是其中Visual C#語言開發(fā) Web 應(yīng)用程序的方法。
將實(shí)驗(yàn)系統(tǒng)的實(shí)現(xiàn)主要分為9個(gè)子模塊,包括網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)歡迎和登陸、入侵檢測方式選擇、入侵檢測實(shí)驗(yàn)系統(tǒng)總體介紹、局域網(wǎng)的指定網(wǎng)段中正在嗅探主機(jī)程序流程圖的展現(xiàn)、檢測局域網(wǎng)的指定網(wǎng)段中正在嗅探主機(jī)的詳細(xì)信息、WinPcap驅(qū)動(dòng)介紹、局域網(wǎng)中正在進(jìn)行端口掃描主機(jī)程序流程圖展現(xiàn)、檢測局域網(wǎng)中正在進(jìn)行端口掃描主機(jī)的詳細(xì)信息、Libnids開發(fā)包介紹。
2.2 網(wǎng)絡(luò)嗅探檢測。
2.2.1 基本原理。下面以Windows系統(tǒng)為例說明。
FF-FF-FF-FF-FF-FF:這個(gè)是一個(gè)正規(guī)的廣播地址,不管是正常模式還是其他模式,都會(huì)被網(wǎng)卡接收并傳遞給系統(tǒng)核心。
FF-FF-FF-FF-FF-FE:這個(gè)地址對(duì)于網(wǎng)卡來說,不是一個(gè)廣播地址,在正常模式下會(huì)被網(wǎng)卡拋棄,但是系統(tǒng)核心是認(rèn)為這個(gè)地址同F(xiàn)F-FF-FF-FF-FF-FF是完全一樣的。如果處于混雜模式,將被系統(tǒng)核心接收,并認(rèn)為是一個(gè)廣播地址。所有的Windows操作系統(tǒng)都是如此。
FF-FF-00-00-00-00:Windows核心只對(duì)前面兩字節(jié)作判斷,核心認(rèn)為這是一個(gè)同F(xiàn)F-FF-FF-FF-FF-FF一樣的廣播地址。這就是為什么FF-FF-FF-FF-FF-00也是廣播地址的原因。
FF-00-00-00-00-00:對(duì)于Win9x或WinME,則是檢查前面的一個(gè)字節(jié)。因此會(huì)認(rèn)為這個(gè)是一個(gè)廣播地址。
所以,目的就要讓正常模式的網(wǎng)卡拋棄掉探測包,而讓混雜模式的系統(tǒng)核心能夠處理探測。發(fā)送一個(gè)目的地址為FF-FF-FF-FF-FF-FE(系統(tǒng)會(huì)認(rèn)為屬于廣播地址)的ARP請(qǐng)求,對(duì)于普通模式(廣播等)的網(wǎng)卡,這個(gè)地址不是廣播地址,就會(huì)直接拋棄,而如果處于混雜模式,那么ARP請(qǐng)求就會(huì)被系統(tǒng)核心當(dāng)作廣播地址處理,然后提交給嗅探器程序。系統(tǒng)核心就會(huì)應(yīng)答這個(gè)ARP請(qǐng)求。
2.2.2 主要數(shù)據(jù)結(jié)構(gòu)和函數(shù)。使用到WinPcap中的主要數(shù)據(jù)結(jié)構(gòu)和自定義的數(shù)據(jù)結(jié)構(gòu)PACKET、ETHDR、ARPHDR、IPHDR。
2.3 端口掃描檢測。
2.3.1 基本原理。一個(gè)端口掃描被定義為在T秒時(shí)間內(nèi)對(duì)目標(biāo)系統(tǒng)超過P個(gè)端口的TCP連接請(qǐng)求,或者是對(duì)應(yīng)的UDP數(shù)據(jù)包。因此可以采用異常檢測技術(shù)來檢測端口掃描,即定義為在TCP連接過程中,如果檢測到相同源地址掃描TCP端口的數(shù)目大于閾值就認(rèn)為發(fā)生了端口掃描攻擊,根據(jù)TCP的標(biāo)志位判斷掃描類型。在本實(shí)驗(yàn)系統(tǒng)中該部分功能的實(shí)現(xiàn)主要由Libnids開發(fā)包中默認(rèn)函數(shù)syslog()完成。本系統(tǒng)可以根據(jù)TCP的標(biāo)志位判斷掃描類型,可以檢測SYN、NULL、FIN三種標(biāo)志位變化的掃描。
2.3.2 主要數(shù)據(jù)結(jié)構(gòu)和函數(shù)。使用到的主要數(shù)據(jù)結(jié)構(gòu)有檢測掃描用的相關(guān)信息SCAN、HOST、IP_HDR、TCP_HDR。
2.4 短信發(fā)送通知。短信貓是一種內(nèi)嵌GSM無線通信模塊,插入移動(dòng)運(yùn)營商的手機(jī)SIM卡后,可以通過PC連接使計(jì)算機(jī)應(yīng)用系統(tǒng)與移動(dòng)運(yùn)營商的短信中心建立無線連接以實(shí)現(xiàn)自由的對(duì)外短信收發(fā)。
通過短信貓二次開發(fā)數(shù)據(jù)庫接口,使用者幾乎不需要了解任何有關(guān)數(shù)據(jù)通信方面的知識(shí),就可實(shí)現(xiàn)手機(jī)短信的收發(fā)等功能。在本實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)中,使用短信貓二次開發(fā)接口通過Access數(shù)據(jù)庫實(shí)現(xiàn)短信發(fā)送功能。
3結(jié)果分析
對(duì)系統(tǒng)進(jìn)行全面測試后,從以下兩方面分析系統(tǒng)性能。
3.1 系統(tǒng)的有效性。通過測試,系統(tǒng)在以下兩方面有效:①該系統(tǒng)可以檢測出共享式局域網(wǎng)中將網(wǎng)卡設(shè)為混雜模式的嗅探攻擊;②該系統(tǒng)可以檢測出共享式局域網(wǎng)正存在的以下三種正常速度的TCP端口掃描:SYN、NULL、FIN。
3.2 系統(tǒng)的局限性。通過測試,該系統(tǒng)也存在一些局限性:①除將網(wǎng)卡設(shè)為混雜模式的嗅探攻擊,該系統(tǒng)對(duì)其他種類的嗅探攻擊不起任何作用,該功能還有待完善;②由于該系統(tǒng)檢測端口掃描所使用算法(統(tǒng)計(jì)閾值檢測法)的局限性,掃描方如果采用慢速掃描,掃描時(shí)間間隔拉得夠長,低于所設(shè)的門限值,就會(huì)漏報(bào)。
參考文獻(xiàn):
[1]孫國梓,俞超,陳丹偉.一種入侵檢測實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[Z].
關(guān)鍵詞入侵檢測異常檢測誤用檢測
在網(wǎng)絡(luò)技術(shù)日新月異的今天,寫作論文基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet,全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而,近年來,網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長。因此,保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。
1防火墻
目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。
防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問,通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu),另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn),以防范外對(duì)內(nèi)的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時(shí)無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn),50%的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。
(3)由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測能力。寫作畢業(yè)論文而這一點(diǎn),對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。
因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對(duì)安全高度敏感部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。
由于傳統(tǒng)防火墻存在缺陷,引發(fā)了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門,是對(duì)防火墻的合理補(bǔ)充,在不影響網(wǎng)絡(luò)性能的情況下,通過對(duì)網(wǎng)絡(luò)的監(jiān)測,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。現(xiàn)在,入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動(dòng)的響應(yīng)。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知的攻擊行為模式的識(shí)別、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別。入侵檢測通過迅速地檢測入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識(shí)別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí),收集有關(guān)入侵的技術(shù)資料,用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。
入侵檢測可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀(jì)90年代至今,寫作英語論文已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2檢測技術(shù)
入侵檢測為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測及攻擊行為檢測,并采取相應(yīng)的防護(hù)手段。例如,實(shí)時(shí)檢測通過記錄證據(jù)來進(jìn)行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者,進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測的步驟如下:
收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息
入侵檢測一般采用分布式結(jié)構(gòu),在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息,一方面擴(kuò)大檢測范圍,另一方面通過多個(gè)采集點(diǎn)的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。
入侵檢測所利用的信息一般來自以下4個(gè)方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。
(2)根據(jù)收集到的信息進(jìn)行分析
常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為。
統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述,統(tǒng)計(jì)正常使用時(shí)的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí),就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇,閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告,閾值太大可能漏報(bào)一些入侵事件。
完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3分類及存在的問題
入侵檢測通過對(duì)入侵和攻擊行為的檢測,查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用。寫作工作總結(jié)根據(jù)不同的檢測方法,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。
3.1異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓,通過比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進(jìn)行檢測,是一種間接的方法。
常用的具體方法有:統(tǒng)計(jì)異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機(jī)器學(xué)習(xí)異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。
采用異常檢測的關(guān)鍵問題有如下兩個(gè)方面:
(1)特征量的選擇
在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí),選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。
(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準(zhǔn),因此,參考閾值的選定是非常關(guān)鍵的。
閾值設(shè)定得過大,那漏警率會(huì)很高;閾值設(shè)定的過小,則虛警率就會(huì)提高。合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素。
由此可見,異常檢測技術(shù)難點(diǎn)是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個(gè)因素的制約,異常檢測的虛警率很高,但對(duì)于未知的入侵行為的檢測非常有效。此外,由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的計(jì)算量很大,對(duì)系統(tǒng)的處理性能要求很高。
3.2誤用檢測
又稱為基于知識(shí)的檢測。其基本前提是:假定所有可能的入侵行為都能被識(shí)別和表示。首先,寫作留學(xué)生論文對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據(jù)已經(jīng)定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示。
誤用檢測是根據(jù)攻擊簽名來判斷入侵的,根據(jù)對(duì)已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種,同時(shí)又不會(huì)把非入侵行為包含進(jìn)來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關(guān)系,就可具體描述入侵行為的跡象。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助,而且對(duì)即將發(fā)生的入侵也有預(yù)警作用。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進(jìn)行比較,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù),這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測系統(tǒng),其檢測的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn)。
3.2.1不能檢測未知的入侵行為
由于其檢測機(jī)理是對(duì)已知的入侵方法進(jìn)行模式提取,對(duì)于未知的入侵方法就不能進(jìn)行有效的檢測。也就是說漏警率比較高。
3.2.2與系統(tǒng)的相關(guān)性很強(qiáng)
對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng),由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫。另外,誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為。
目前,由于誤用檢測技術(shù)比較成熟,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的。不過,為了增強(qiáng)檢測功能,不少產(chǎn)品也加入了異常檢測的方法。
4入侵檢測的發(fā)展方向
隨著信息系統(tǒng)對(duì)一個(gè)國家的社會(huì)生產(chǎn)與國民經(jīng)濟(jì)的影響越來越大,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化,信息戰(zhàn)已逐步被各個(gè)國家重視。近年來,入侵檢測有如下幾個(gè)主要發(fā)展方向:
4.1分布式入侵檢測與通用入侵檢測架構(gòu)
傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問題,需要采用分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。
4.2應(yīng)用層入侵檢測
許多入侵的語義只有在應(yīng)用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議,而不能處理LotusNotes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用,也需要應(yīng)用層的入侵檢測保護(hù)。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究,但是,這只是一些嘗試性的研究工作,需要對(duì)智能化的IDS加以進(jìn)一步的研究,以解決其自學(xué)習(xí)與自適應(yīng)能力。
4.4入侵檢測的評(píng)測方法
用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià),評(píng)價(jià)指標(biāo)包括IDS檢測范圍、系統(tǒng)資源占用、IDS自身的可靠性,從而設(shè)計(jì)出通用的入侵檢測測試與評(píng)估方法與平臺(tái),實(shí)現(xiàn)對(duì)多種IDS的檢測。
4.5全面的安全防御方案
結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來處理網(wǎng)絡(luò)安全問題,將網(wǎng)絡(luò)安全作為一個(gè)整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估,然后提出可行的全面解決方案。
綜上所述,入侵檢測作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為,為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測的研究與開發(fā),并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合,使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā),形成人侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化,從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。
參考文獻(xiàn)
l吳新民.兩種典型的入侵檢測方法研究.計(jì)算機(jī)工程與應(yīng)用,2002;38(10):181—183
2羅妍,李仲麟,陳憲.入侵檢測系統(tǒng)模型的比較.計(jì)算機(jī)應(yīng)用,2001;21(6):29~31
3李渙洲.網(wǎng)絡(luò)安全與入侵檢測技術(shù).四川師范大學(xué)學(xué)報(bào).2001;24(3):426—428
4張慧敏,何軍,黃厚寬.入侵檢測系統(tǒng).計(jì)算機(jī)應(yīng)用研究,2001;18(9):38—4l
關(guān)鍵詞:網(wǎng)絡(luò)入侵檢測;BP算法;入侵攻擊
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-8937(2012)11-0083-02
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)通信產(chǎn)業(yè)的高速發(fā)展,信息技術(shù)和網(wǎng)絡(luò)對(duì)當(dāng)今社會(huì)的科教、經(jīng)濟(jì)、文化和電子商務(wù)等各個(gè)領(lǐng)域具有非常大的貢獻(xiàn)。然而隨著社會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴越來越大,出現(xiàn)了越來越多關(guān)于影響計(jì)算機(jī)網(wǎng)絡(luò)安全的事件,目前有計(jì)算機(jī)殺毒軟件、木馬防御軟件以及網(wǎng)絡(luò)防火墻等軟件,都起到一定的防御作用,但是在新的網(wǎng)絡(luò)入侵攻擊方式下,卻常常無能為力。所以近些年來,計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)越來越受到歡迎,它可以適應(yīng)主動(dòng)性攻擊,有自主學(xué)習(xí)能力,能夠更新入侵攻擊規(guī)則庫等功能。
網(wǎng)絡(luò)入侵檢測技術(shù)的應(yīng)用,的確可以彌補(bǔ)防火墻、殺毒軟件的缺陷,提高計(jì)算機(jī)網(wǎng)絡(luò)安全的性能。但是傳統(tǒng)的網(wǎng)絡(luò)入侵檢測技術(shù)存在一些問題,例如漏/誤報(bào)率高、網(wǎng)絡(luò)實(shí)時(shí)檢測能力不高、檢測的速率較低等問題。
如何解決以上提出的問題,就需要對(duì)傳統(tǒng)的網(wǎng)絡(luò)入侵檢測技術(shù)進(jìn)行改進(jìn),提高新的網(wǎng)絡(luò)入侵檢測方法。本文提出了基于BP神經(jīng)網(wǎng)絡(luò)算法的網(wǎng)絡(luò)入侵檢測技術(shù),它是能夠很好適應(yīng)當(dāng)前海量數(shù)據(jù)檢測,較低入侵檢測漏/誤報(bào)率的方法。
1 傳統(tǒng)入侵檢測技術(shù)的模型與不足
1.1 傳統(tǒng)入侵檢測的發(fā)展
20世紀(jì)70年代后,隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)的大規(guī)模及超大規(guī)模集成電路的高速發(fā)展,計(jì)算機(jī)的性能變高體積變小,在社會(huì)上應(yīng)用計(jì)算機(jī)的用戶也越來越多,遍布全世界。傳統(tǒng)的防火墻開始不能夠滿足計(jì)算機(jī)安全的新需求,于是入侵檢測技術(shù)也登上了應(yīng)用舞臺(tái)。它的發(fā)展主要包括幾個(gè)時(shí)期,分別是:早期研究、基于主機(jī)入侵檢測系統(tǒng)研究、基于網(wǎng)絡(luò)入侵檢測系統(tǒng)研究和基于智能網(wǎng)絡(luò)入侵檢測系統(tǒng)研究。
早期研究主要是1983年,(Stanford Research Institue)用統(tǒng)計(jì)方法分析IBM大型機(jī)的 (System Management Facility)記錄,這就是網(wǎng)絡(luò)入侵檢測的雛形。
基于主機(jī)的入侵檢測系統(tǒng)出現(xiàn)在20世紀(jì)80年代初期,那時(shí)網(wǎng)絡(luò)規(guī)模還比較小,而且網(wǎng)絡(luò)之間也沒有完全互連。在此網(wǎng)絡(luò)環(huán)境下,檢查可疑行為的審計(jì)記錄相對(duì)比較容易,也比較簡單,通過對(duì)攻擊的事后分析就可以防止隨后的攻擊。
基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)需要原始的網(wǎng)絡(luò)數(shù)據(jù)源,它把服務(wù)器的網(wǎng)卡設(shè)為混雜模式,該服務(wù)器的主機(jī)能夠?qū)崟r(shí)接收和分析網(wǎng)絡(luò)中數(shù)據(jù)包,進(jìn)而能夠檢測是否存在入侵行為,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)需要隨機(jī)模式下的網(wǎng)絡(luò)適配器來實(shí)時(shí)檢測并分析通過網(wǎng)絡(luò)的所有的網(wǎng)絡(luò)通信業(yè)務(wù)數(shù)據(jù)。
基于智能網(wǎng)絡(luò)入侵檢測系統(tǒng)研究主要包括,神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘技術(shù)、人工免疫、容錯(cuò)技術(shù)等不斷滲透或融入到智能的入侵檢測技術(shù)中,將網(wǎng)絡(luò)入侵檢測系統(tǒng)的發(fā)展提高到一個(gè)新的臺(tái)階。
1.2 傳統(tǒng)入侵檢測的過程
傳統(tǒng)的入侵檢測的過程可以分為三個(gè)階段,網(wǎng)絡(luò)數(shù)據(jù)收集階段、數(shù)據(jù)分析處理階段及檢測響應(yīng)階段。
①網(wǎng)絡(luò)數(shù)據(jù)收集階段。從入侵檢測系統(tǒng)的信息源中收集網(wǎng)絡(luò)數(shù)據(jù),收集到的數(shù)據(jù)內(nèi)容包括網(wǎng)絡(luò)用戶活動(dòng)的行為和日志情況等。數(shù)據(jù)收集的網(wǎng)絡(luò)數(shù)據(jù)范圍廣,入侵檢測系統(tǒng)的檢查范圍也變得越大。一般情況下,基于網(wǎng)絡(luò)的入侵檢測的數(shù)據(jù)源,屬于多源數(shù)據(jù)源,數(shù)據(jù)量較大,而基于主機(jī)的入侵檢測系統(tǒng)的數(shù)據(jù)源屬于單一,數(shù)據(jù)量比較小。
②數(shù)據(jù)分析處理。入侵檢測系統(tǒng)從信息源中收集到大量的網(wǎng)絡(luò)包數(shù)據(jù),每秒鐘都有源源不斷的網(wǎng)絡(luò)包,從海量的網(wǎng)絡(luò)數(shù)據(jù)中,通過定好規(guī)則庫,把大量的屬于正常的網(wǎng)絡(luò)數(shù)據(jù)包給過濾掉,剩下的小部分疑似網(wǎng)絡(luò)攻擊的異常行為的數(shù)據(jù)信息。因此如何快速處理數(shù)據(jù),是當(dāng)今入侵檢測技術(shù)需要解決的熱點(diǎn)問題。
③檢測響應(yīng)。當(dāng)發(fā)現(xiàn)到網(wǎng)絡(luò)包里面包含異常事件時(shí),入侵檢測系統(tǒng)就會(huì)及時(shí)對(duì)攻擊情況作出類型判斷,采取相應(yīng)的響應(yīng)來處理。常見的響應(yīng)方式有:自動(dòng)終止攻擊、終止用戶連接、記錄事件的相關(guān)信息、向安全管理人員發(fā)出提示性電子郵件等。
1.3 傳統(tǒng)入侵檢測技術(shù)的特點(diǎn)
傳統(tǒng)的通用入侵檢測模型比較適合基于主機(jī)的入侵檢測系統(tǒng),對(duì)應(yīng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)來說,存在著許多問題:
①誤/漏報(bào)率高。由于傳統(tǒng)的入侵檢測系統(tǒng)在處理網(wǎng)絡(luò)數(shù)據(jù)包時(shí),檢測的方法比較傳統(tǒng),只能按照現(xiàn)有的規(guī)則來判斷是否是異常事件,但是一遇到基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),檢測海量數(shù)據(jù)包,就不是那么得心應(yīng)手了,有限的時(shí)間,要處理好大量的數(shù)據(jù),方法單一,使得最終檢測出來的結(jié)果誤/漏報(bào)率高。
②網(wǎng)絡(luò)實(shí)時(shí)檢測能力不高。傳統(tǒng)的入侵檢測技術(shù)方法比較單一,沒有比較靈活的檢查算法,所以在檢測的時(shí)候,很難及時(shí)把結(jié)果處理出來,因此在一定程度下,實(shí)時(shí)檢測性較差,影響了檢測效果。
③檢測的速率較低。傳統(tǒng)入侵檢測技術(shù)方法相關(guān)產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展,在大流量沖擊、多IP分片情況下都可能造入侵檢測系統(tǒng)的崩潰或丟包,所以檢測的速率也不是很理想。
2 BP神經(jīng)網(wǎng)絡(luò)算法概述
2.1 BP神經(jīng)網(wǎng)絡(luò)算法
人工神經(jīng)網(wǎng)絡(luò)是一種應(yīng)用類似于大腦神經(jīng)突觸聯(lián)接的結(jié)構(gòu)進(jìn)行信息處理的數(shù)學(xué)模型。神經(jīng)網(wǎng)絡(luò)是一種運(yùn)算模型,由大量的節(jié)點(diǎn)(或稱神經(jīng)元)和之間相互聯(lián)接構(gòu)成。
輸入:給定訓(xùn)練集Xtrain,其中每一個(gè)訓(xùn)練樣本都是由一組輸入和一組輸出構(gòu)成,所有的輸入和輸出都是[0,1]之間的浮點(diǎn)數(shù)據(jù)(如果不是,要首先通過數(shù)據(jù)變換把它們映射到[0,1]區(qū)間);神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu):隱含層節(jié)點(diǎn)數(shù)目;神經(jīng)網(wǎng)絡(luò)每個(gè)節(jié)點(diǎn)的、參數(shù)化了的特征函數(shù)。
輸出:神經(jīng)網(wǎng)絡(luò)每個(gè)節(jié)點(diǎn)特征函數(shù)的參數(shù)。
①按照有序?qū)?shù)計(jì)算公式計(jì)算總體誤差對(duì)于每個(gè)參數(shù)的有序?qū)?shù)公式(函數(shù))。
②任意選擇一組數(shù)據(jù)作為初始參數(shù),一般選?。?,0,…,0),把這組初始參數(shù)作為當(dāng)前參數(shù)。
③根據(jù)當(dāng)前參數(shù)和總體誤差計(jì)算公式計(jì)算總體誤差,如果誤差足夠小,就把當(dāng)前參數(shù)作為輸出,退出;否則,繼續(xù)下面的步驟。
④根據(jù)參數(shù)調(diào)整公式和當(dāng)前參數(shù)數(shù)值,計(jì)算總體誤差對(duì)于各參數(shù)的有序?qū)?shù)數(shù)值。
⑤計(jì)算各個(gè)參數(shù)的調(diào)整大小,并計(jì)算調(diào)整后的參數(shù)大小。把調(diào)整后的參數(shù)作為當(dāng)前參數(shù),回到第三步。
2.2 神經(jīng)網(wǎng)絡(luò)計(jì)算過程
BP神經(jīng)網(wǎng)絡(luò)算法在工作過程中,首先對(duì)神經(jīng)網(wǎng)絡(luò)的參數(shù)進(jìn)行初始化處理,然后計(jì)算出隱藏層單元的個(gè)數(shù)、計(jì)算輸出層單元的輸出個(gè)數(shù)、計(jì)算輸出層單元出現(xiàn)的誤差,當(dāng)誤差在允許范圍內(nèi),則結(jié)束,輸出相應(yīng)的結(jié)果;如果誤差不在允許范圍內(nèi),則要調(diào)整中間層到輸出層連接的權(quán)值和輸出層單元,再調(diào)整輸入層到中間層的連接權(quán)值和輸出單元,同時(shí)更新學(xué)習(xí)的次數(shù),當(dāng)學(xué)習(xí)次數(shù)大于上限值,則結(jié)束,輸出結(jié)果;如果還沒到上限值,則反復(fù)地進(jìn)行誤差調(diào)整,直至滿足算法的誤差要求。最終輸出結(jié)果。
3 網(wǎng)絡(luò)入侵檢測的結(jié)果
該設(shè)計(jì)方案已經(jīng)在廣東省潮州市某大型企業(yè)中應(yīng)用,具體實(shí)驗(yàn)情況包括以下幾個(gè)方面。
3.1 實(shí)驗(yàn)環(huán)境
該實(shí)驗(yàn)在真實(shí)網(wǎng)絡(luò)入侵環(huán)境下進(jìn)行檢測。該應(yīng)用平臺(tái)的硬件包括由1臺(tái)服務(wù)器和25臺(tái)客戶機(jī)構(gòu)成。
入侵檢測時(shí),以25臺(tái)主機(jī)同時(shí)對(duì)企業(yè)的內(nèi)部財(cái)務(wù)系統(tǒng)進(jìn)行訪問,對(duì)公司的服務(wù)器進(jìn)行。
3.2 實(shí)驗(yàn)結(jié)果
改進(jìn)前和改進(jìn)后的實(shí)驗(yàn)結(jié)果如下表1所示。
通過實(shí)驗(yàn)的結(jié)果比較,改過后的入侵檢測系統(tǒng)比改進(jìn)前入侵檢測系統(tǒng),提高了準(zhǔn)確率,同時(shí)也降低了誤報(bào)率和漏報(bào)。結(jié)論證明改進(jìn)后的基于BP神經(jīng)網(wǎng)絡(luò)入侵檢測系統(tǒng)達(dá)到預(yù)期目標(biāo)。
4 結(jié) 語
本文從實(shí)際出發(fā),通過科學(xué)改進(jìn),設(shè)計(jì)開發(fā)出一種基于BP算法網(wǎng)絡(luò)入侵檢測技術(shù)的有效方法,充分地利用了算法設(shè)計(jì)思想,并應(yīng)用到實(shí)際項(xiàng)目中,最終達(dá)到預(yù)期的效果??傮w來說,入侵檢測在網(wǎng)絡(luò)安全應(yīng)用中是越來越廣泛的,但是隨著海量網(wǎng)絡(luò)數(shù)據(jù)的發(fā)展,入侵檢測技術(shù)要不斷的更新檢測算法,來適應(yīng)網(wǎng)絡(luò)對(duì)技術(shù)的要求。
參考文獻(xiàn):
[1] 李秀改,候媛彬.基于神經(jīng)網(wǎng)絡(luò)BP算法的模糊自適應(yīng)控制器的研究與實(shí)現(xiàn)[J].電氣傳動(dòng)自動(dòng)化,2000,(4).
[2] 周川,董秀成.基于神經(jīng)網(wǎng)絡(luò)模型母線保護(hù)的運(yùn)用研究[J].成都紡織高等??茖W(xué)校學(xué)報(bào),2007,(3).
級(jí)別:省級(jí)期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)
級(jí)別:統(tǒng)計(jì)源期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:省級(jí)期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)