关键字贝叶斯;核密度;入侵检测;分类
1前言
在入侵检测系统中,为了提高系统的性能,包括降低误报率和漏报率,缩短反应时间等,学者们引入了许多方法,如专家系统、神经网络、遗传算法和数据挖掘中的聚类,分类等各种算法。例如:Cooper&Herkovits提出的一种基于贪心算法的贝叶斯信念网络,而Provan&SinghProvan,G.M&SinghM和其他学者报告了这种方法的优点。贝叶斯网络说明联合条件概率分布,为机器学习提供一种因果关系的图形,能有效的处理某些问题,如诊断:贝叶斯网络能正确的处理不确定和有噪声的问题,这类问题在任何检测任务中都很重要。
然而,在分类算法的比较研究发现,一种称作朴素贝叶斯分类的简单贝叶斯算法给人印象更为深刻。尽管朴素贝叶斯的分类器有个很简单的假定,但从现实数据中的实验反复地表明它可以与决定树和神经网络分类算法相媲美[1]。
在本文中,我们研究朴素贝叶斯分类算法,用来检测入侵审计数据,旨在开发一种更有效的,检验更加准确的算法。
2贝叶斯分类器
贝叶斯分类是统计学分类方法。它们可以预测类成员关系的可能性,如给定样本属于一个特定类的概率。
朴素贝叶斯分类[2]假定了一个属性值对给定类的影响独立于其它属性的值,这一假定称作类条件独立。
设定数据样本用一个n维特征向量X={x1,x2,,xn}表示,分别描述对n个属性A1,A2,,An样本的n个度量。假定有m个类C1,C2,,Cm。给定一个未知的数据样本X(即没有类标号),朴素贝叶斯分类分类法将预测X属于具有最高后验概率(条件X下)的类,当且仅当P(Ci|X)>P(Cj|X),1≤j≤m,j≠i这样,最大化P(Ci|X)。其中P(Ci|X)最大类Ci称为最大后验假定,其原理为贝叶斯定理:
公式(1)
由于P(X)对于所有类为常数,只需要P(X|Ci)P(Ci)最大即可。并据此对P(Ci|X)最大化。否则,最大化P(X|Ci)P(Ci)。如果给定具有许多属性的数据集,计算P(X|Ci)P(Ci)的开销可能非常大。为降低计算P(X|Ci)的开销,可以做类条件独立的朴素假定。给定样本的类标号,假定属性值相互条件独立,即在属性间,不存在依赖关系,这样,
公式(2)
概率,可以由训练样本估值:
(1)如果Ak是分类属性,则P(xk|Ci)=sik/si其中sik是Ak上具有值xk的类Ci的训练样本数,而si是Ci中的训练样本数。
(2)如果Ak是连续值属性,则通常假定该属性服从高斯分布。因而
公式(3)
其中,给定类Ci的训练样本属性Ak的值,是属性Ak的高斯密度函数,而分别为平均值和标准差。
朴素贝叶斯分类算法(以下称为NBC)具有最小的出错率。然而,实践中并非如此,这是由于对其应用假定(如类条件独立性)的不确定性,以及缺乏可用的概率数据造成的。主要表现为:
①不同的检测属性之间可能存在依赖关系,如protocol_type,src_bytes和dst_bytes三种属性之间总会存在一定的联系;
②当连续值属性分布是多态时,可能产生很明显的问题。在这种情况下,考虑分类问题涉及更加广泛,或者我们在做数据分析时应该考虑另一种数据分析。
后一种方法我们将在以下章节详细讨论。
3朴素贝叶斯的改进:核密度估计
核密度估计是一种普便的朴素贝叶斯方法,主要解决由每个连续值属性设为高斯分布所产生的问题,正如上一节所提到的。在[3]文中,作者认为连续属性值更多是以核密度估计而不是高斯估计。
朴素贝叶斯核密度估计分类算法(以下称K-NBC)十分类似如NBC,除了在计算连续属性的概率时:NBC是使用高斯密度函数来评估该属性,而K-NBC正如它的名字所说得一样,使用高斯核密度函数来评估属性。它的标准核密度公式为
公式(4)
其中h=σ称为核密度的带宽,K=g(x,0,1),定义为非负函数。这样公式(4)变形为公式(5)
公式(5)
在K-NBC中采用高斯核密度为数据分析,这是因为高斯密度有着更理想的曲线特点。图1说明了实际数据的概率分布更接近高斯核密度曲线。
图1两种不同的概率密度对事务中数据的评估,其中黑线代表高斯密度,虚线为核估计密度并有两个不同值的带宽朴素贝叶斯算法在计算μc和σc时,只需要存储观测值xk的和以及他们的平方和,这对一个正态分布来说是已经足够了。而核密度在训练过程中需要存储每一个连续属性的值(在学习过程中,对名词性属性只需要存储它在样本中的频率值,这一点和朴素贝叶斯算法一样)。而为事例分类时,在计算连续值属性的概率时,朴素贝叶斯算法只需要评估g一次,而核密度估计算法需要对每个c类中属性X每一个观察值进行n次评估,这就增加计算存储空间和时间复杂度,表1中对比了两种方法的时间复杂度和内存需求空间。
4实验研究与结果分析
本节的目标是评价我们提出核密度评估分类算法对入侵审计数据分类的效果,主要从整体检测率、检测率和误检率上来分析。
表1在给定n条训练事务和m个检测属性条件下,
NBC和K-NBC的算法复杂度
朴素贝叶斯核密度
时间空间时间空间
具有n条事务的训练数据O(nm)O(m)O(nm)O(nm)
具有q条事务的测试数据O(qm)O(qnm)
4.1实验建立
在实验中,我们使用NBC与K-NBC进行比较。另观察表1两种算法的复杂度,可得知有效的减少检测属性,可以提高他们的运算速度,同时删除不相关的检测属性还有可以提高分类效率,本文将在下一节详细介绍对称不确定方法[4]如何对入侵审计数据的预处理。我们也会在实验中进行对比分析。
我们使用WEKA来进行本次实验。采用KDDCUP99[5]中的数据作为入侵检测分类器的训练样本集和测试样本集,其中每个记录由41个离散或连续的属性(如:持续时间,协议类型等)来描述,并标有其所属的类型(如:正常或具体的攻击类型)。所有数据分类23类,在这里我们把这些类网络行为分为5大类网络行为(Normal、DOS、U2R、R2L、Probe)。
在实验中,由于KDDCUP99有500多万条记录,为了处理的方便,我们均匀从kddcup.data.gz中按照五类网络行为抽取了5万条数据作为训练样本集,并把他们分成5组,每组数据为10000条,其中normal数据占据整组数据中的98.5%,这一点符合真实环境中正常数据远远大于入侵数据的比例。我们首
先检测一组数据中只有同类的入侵的情况,共4组数据(DOS中的neptune,Proble中的Satan,U2R中的buffer_overflow,R2l中的guess_passwd),再检测一组数据中有各种类型入侵数据的情况。待分类器得到良好的训练后,再从KDD99数据中抽取5组数据作为测试样本,分别代表Noraml-DOS,Normal-Probe,Normal-U2R,Normal-R2L,最后一组为混后型数据,每组数据为1万条。
4.2数据的预处理
由于朴素贝叶斯有个假定,即假定所有待测属性对给定类的影响独立于其他属性的值,然而现实中的数据不总是如此。因此,本文引入对称不确定理论来对数据进行预处理,删除数据中不相关的属性。
对称不确定理论是基于信息概念论,首先我们先了解一下信息理论念,属性X的熵为:
公式(6)
给定一个观察变量Y,变量X的熵为:
公式(7)
P(xi)是变量X所有值的先验概率,P(xi|yi)是给定观察值Y,X的后验概率。这些随着X熵的降低反映在条件Y下,X额外的信息,我们称之为信息增益,
公式(8)
按照这个方法,如果IG(X|Y)>IG(X|Y),那么属性Y比起属性Z来,与属性X相关性更强。
定理:对两个随机变量来说,它们之间的信息增益是对称的。即
公式(9)
对测量属性之间相关性的方法来说,对称性是一种比较理想的特性。但是在计算有很多值的属性的信息增益时,结果会出现偏差。而且为了确保他们之间可以比较,必须使这些值离散化,同样也会引起偏差。因此我们引入对称不确定性,
公式(10)
通过以下两个步骤来选择好的属性:
①计算出所有被测属性与class的SU值,并把它们按降序方式排列;
②根据设定的阈值删除不相关的属性。
最后决定一个最优阈值δ,这里我们通过分析NBC和K-NBC计算结果来取值。
4.3实验结果及分析
在试验中,以记录正确分类的百分比作为分类效率的评估标准,表2为两种算法的分类效率。
表2对应相同入侵类型数据进行检测的结果
数据集
算法DOS
(neptune)Proble
(satan)R2L
(guess_passwd)U2R
(buffer_overflow)
检测率误检率整体检测率检测率误检率整体检测率检测率误检率整体检测率检测率误检率整体检测率
NBC99.50.299.7998.30.199.8497.30.899.2951.898.21
K-NBC99.50.299.9698.3099.9697.30.299.81710.199.76
SU+NBC99.5099.9698.30.199.85980.799.2491.198.84
SU+K-NBC99.5099.9698.3099.9698.70.299.76850.199.81
根据表2四组不同类别的入侵检测结果,我们从以下三个方面分析:
(1)整体检测率。K-NBC的整体检测率要比NBC高,这是因为K-NBC在对normal这一类数据的检测率要比NBC高,而normal这一类数据又占整个检测数据集数的95%以上,这也说明了在上一节提到的normal类的数据分布曲线更加接近核密度曲线。
(2)检测率。在对DOS和PROBLE这两组数据检测结果,两个算法的检测率都相同,这是因为这两类入侵行为在实现入侵中占绝大部分,而且这一类数据更容易检测,所以两种算法的检测效果比较接近;针对R2L检测,从表2可以看到,在没有进行数据预处理之前,两者的的检测率相同,但经过数据预处理后的两个算法的检测率都有了提高,而K-NBC的效率比NBC更好点;而对U2R的检测结果,K-NBC就比NBC差一点,经过数据预处理后,K-NBC的检测率有一定的提高,但还是比NBC的效果差一些。
(3)误检率。在DOS和Proble这两种组数据的误检率相同,在其他两组数据的中,K-NBC的误检率都比NBC的低。
根据表3的结果分析,我们也可以看到的检测结果与表2的分组检测的结果比较类似,并且从综合角度来说,K-NBC检测效果要比NBC的好。在这里,我们也发现,两种算法对R2L和U2L这两类入侵的检测效果要比DOS和Proble这两类入侵的差。这主要是因为这两类入侵属于入侵行为的稀有类,检测难度也相应加大。在KDD99竞赛中,冠军方法对这两类的检测效果也是最差的。但我们可以看到NBC对这种稀有类的入侵行为检测更为准确一点,这应该是稀有类的分布更接近正态分布。
从上述各方面综合分析,我们可以证明K-NBC作为的入侵检测分类算法的是有其优越性的。
表3对混合入侵类型数据进行检测的结果
数据集
算法整体检测分类检测
NormalDosProbleR2LU2R
检测率误检率检测率误检率检测率误检率检测率误检率检测率误检率检测率误检率
NBC98.141.898.20.899.8099.8090086.71.8
K-NBC99.780.299.82.399.8099.8096073.30.1
SU+NBC97.992.0980.899.8099.8090086.71.9
SU+K-NBC99.790.299.81.999.8099.80960800.1
5结论
在本文中,我们用高斯核密度函数代替朴素贝叶斯中的高斯函数,建立K-NBC分类器,对入侵行为进行检测,另我们使用对称不确定方法来删除检测数据的中与类不相关的属性,从而进一步改进核密度朴素贝叶斯的分类效率,实验表明,对预处理后的审计数据,再结合K-NBC来检测,可以达到更好的分类效果,具有很好的实用性。同时我们也注意到,由于入侵检测的数据中的入侵行为一般为稀有类,特别是对R2L和U2R这两类数据进行检测时,NBC有着比较理想的结果,所以在下一步工作中,我们看是否能把NBC和K-NBC这两种分类模型和优点联合起来,并利用对称不确定理论来删除检测数据与类相关的属性中的冗余属性,进一步提高入侵检测效率。
参考文献
[1]Langley.P.,Iba,W.&Thompson,K.AnanalysisofBayesianclassifiers[A],in“ProceedingsoftheTenthNationalConferenceonArtificialIntelligence”[C]MenloPark,1992.223-228
[2]HanJ.,KamberM..数据挖掘概念与技术[M].孟小峰,等译.北京:机械工业出版社.2005.196201
[3]JohnG.H..EnhancementstotheDataMiningProcess[D].Ph.D.Thesis,ComputerScienceDept.,StanfordUniversity,1997
关键词:无线传感器网络;入侵检测;机器学习;博弈论
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)13-3004-03
Survey on Intrusion Detection System in Wireless Sensor Networks
DUAN Xiao-yang1, MA Hui-fang2, HAN Zhi-jie1, WANG Guan-nan1
(1.School of Computer and Information Engineering Henan University, Kaifeng 475004, China; 2.Kaifeng Institute of Education, Kaifeng 475004, China)
Abstract: Recently, wireless sensor networks has an increasingly wide range of applications in intelligent environmental monitoring, disaster control, battlefield surveillance and security monitoring. It caused growing concern. So the wireless sensor network security appears particularly important. The paper firstly depicted the intrusion and intrusion detection. Then the current intrusion detection techniques in wireless sensor networks as well as their advantages and disadvantages are described and analyzed in detail by classification. Finally the paper stated the possible intrusion detection technology in wireless sensor networks.
Key words: WSN; intrusion detection; machine learning; game theory
无线传感器网络(wireless sensor network,简称WSN )的相关研究已经成为现阶段国内外研究的热点[1-4]。与目前常见的无线网络相比,无线传感器网络具有以下特征:网络的自组织性,动态变化的网络拓扑结构,分布式控制,多条无线网络,节点功能的局限性,无线网络的局限性,安全性差,数量多、规模大,数据冗余与汇聚等。
有关安全的研究和历史表明,不管在网络中采取多么先进的安全措施,攻击者总有可能找到网络系统的弱点,实施攻击。单独使用预防技术(如加密、身份认证等)难以达到预期的安全目标,这些技术可以降低网络被攻击的可能性,但是不能完全杜绝攻击,因此,安全的防御措施也是不可或缺的,入侵检测系统(IDS Instruction Detection System)是近年来出现的新型网络安全技术,它弥补了上述防范措施的不足,可以为网络安全提供实时的入侵检测及采取相应的保护。
本文主要对入侵检测系统和现阶段的入侵检测技术进行分类介绍和分析,并对比各自的优缺点,最后提出自己对无线传感器网络入侵检测技术发展的展望。
1 入侵和入侵检测
入侵行为被定义为任何试图破坏目标资源的完整性、机密性和可访问性的动作。入侵一般可简单分为外部入侵和内部入侵。Denning在1987年发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络风暴或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警同质系统管理员并进行相关的处理措施。为达成这个目的,入侵检测系统应包含3个必要功能的组件(信息收集、检测引擎和相应组件),如图1所示。
2 入侵检测系统的分类
1) 根据数据信息来源进行分类
基于主机的IDS(HIDS):在操作系统、应用程序或内核层次上对攻击进行检测。系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机,通过监视和分析主机的审计记录和日志文件来检测入侵。
基于网络的IDS(NIDS):系统获取数据的来源是网络传输的原始数据包,NIDS放置在网络基础设施的关键区域,通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务,保护的目标是网路的运行。
混合型的IDS:它是基于主机和基于网络的的入侵检测系统的结合,在网络中配置NIDS以检测整个网络的安全情况,同时在那些关键的主机上配置HIDS,这可以提供比采用单一的入侵检测方案更为安全的保护。
2) 根据响应方式的不同进行分类
主动响应IDS:如果检测出入侵后,能够主动重新配置防火墙、关闭适当的服务或反击入侵者,那么就被称为主动响应。
被动响应IDS:若检测到入侵后仅仅给出警报或记录日志,就是被动响应。
3) 根据系统各个模块运行的分布式方式不同进行分类
集中式入侵检测:它有一个中心计算机负责监控、检测和响应等工作,这种适用于网络比较简单的情况下。
分布式入侵检测:他它用一个移动的方式监视和检测,每个分析点都有响应的能力。
4) 根据分析方法的不同进行分类
异常入侵检测:这种方法首先总结出正常操作应该具有的特征,在得出正常操作的模型后,对后续的操作进行监视,一旦发现偏离正常统计学意义上的操作模式,即进行报警。
误用入侵检测:这种方法首先收集非正常操作也即入侵行为的特征,建立相关的特征库,在后续的检测过程中,将收集到的数据与特征库中的特征代码相比较,得出是否入侵的结论。
混合型入侵检测:即异常检测和误用检测的结合,基于异常的入侵检测可以发现一些未知的的攻击,对具体系统的依赖性相对较小,但误报率很高,配置和实现也相对困难;基于误用的入侵检测能比较准确地检测到已经标识的入侵行为,但是对具体的系统依赖性很大,移植性差,而且不能检测到新的攻击类型。所以,只有把二者有机结合起来,才能达到最佳的系统性能,如图2是一个通用的将二者结合起来的检测方法。
3 入侵检测技术
传感器网络的资源局限性和应用相关性等特点,决定了对其入侵检测机制的研究是一个极具挑战性的课题,一个行之有效的传感器网络入侵检测系统须要具有简单性、实时性和检测准确性三个特性。下面主要介绍一下目前的无线传感器网络检入侵检测技术方法及其各自的优缺点:
1) 基于多Agent的入侵检测。
王培等在文献[5]中针对分簇式无线传感器网络提出了基于多的入侵检测方法,其系统结构如图3所示。
通过让节点和簇头分别执行不同检测任务,结合本地检测和联合检测,并采用多个模块分别实现数据收集、分析检测和入侵响应和管理的任务,以便使系统具有操作简单、易于扩展、能耗降低、安全性提高的特点。但是该方案中每个节点中都需要配备监视Agent、检测Agent、响应Agent和管理Agent,会占用节点的大量存储空间,而且也会增加节点的能源消耗。
这种方法可以减少网络负载,克服网络延迟和良好的可扩展性,高安全性,但是每个节点都有多个功能,较大的能量消耗,在其测试活动过程重叠时,准确率将大大低和较低的自适应性。
2) 基于机器学习和数据挖掘的入侵检测。
基于机器学习的入侵检测整体架构如图4所示。
文献[6]提出基于免疫遗传算法的异常检测,节点从它的邻居节点偷听信标包并提取称为抗原的关键参数,如果匹配的抗原数量比在一个探测器的寿命预先定义的阈值高时,该探测器将失效并产生一个新的探测器。反之,如果匹配的抗原数量比探测器的寿命阈值少时,探测器将触发入侵报警,对于探测器更新机制,使建议的IDS更加健壮;文献[7]针对选择性转发攻击提出了基于支持向量机的异常检测,使用SVM针对入侵数据的健壮分类方法。SVM克服传统机器学习方法大样本的缺陷,根据有限的样本信息在模型的复杂性和学习能力之间寻求最佳折衷,能获得最好的范化能力。
这种方法将异常检测作为分类或者聚类问题,借助机器学习的有效学习能力,构建具有一定精度的异常检测模型,具有较高的准确率,但是,不足之处是需要的样本量较大,训练时间长。
3) 基于网络流量分析的入侵检测
基于流量分析的入侵检测模型的基本结构如图5所示。
文献[8]采用Markov线性预测模型,为无线传感器网络设计了一种基于流量预测的拒绝服务攻击检测方案――MPDD。在该方案中,每个节点基于流量预测判断和检测异常网络流量,无需特殊的硬件支持和节点之间的合作;提出了一种报警评估机制,有效提高方案的检测准确度.减少了预测误差或信道误码所带来的误报。文献[9] 等提出了基于流量分析的入侵检测方案,通过对邻居节点的行为进行统计分析,阀值技术分析,然后应用到选定参数,即一定长度的时间窗下所接收的数据包数和数据包的间隔时间,它不需要任何额外的硬件安装和额外的通讯费用,其计算代价也比较低。
这种方法相对比较简单,直观,实时性高,但要求流量输入要具备一定的统计特性,因此不具有通用性,误报率高。
4) 基于博弈论模型的入侵检测。
基于博弈论的入侵检测系统基本模型如图6所示,分布在网络中的入侵检测器采用某种检测手段审计网络数据,检测入侵,并提交检测结果。然后博弈模型模拟攻防双方的互动行为,并权衡来自入侵检测器的检测结果和其检测效率,得出纳什均衡以辅助IDS做出合理正确的响应策略。
Mohsen Estiri等人在文献[10]中针对无线传感器网络的丢包攻击提出基于博弈论的入侵检测方案,提出了重复博弈理论模型来进行入侵检测,在该模型中,将无线传感器网络中的攻击者与入侵检测系统作为非协作、非零和的博弈双方,并利用平均折扣因子收益来显示节点在博弈当前阶段所达到的比下一阶段所得到的更有价值。而且最终系统将达到纳什均衡,形成无线传感器网络的防御策略。
这种方法方法可以帮助管理者权衡检测效率和网络资源,但是检测的人为干预是必须的,而且具有较差的系统适应能力。
5)基于信任机制的入侵检测。
Min Lin[11]等提出了基于信任模型的动态入侵检测方案,利用具有较高信任度的节点来交替地检测簇内节点,提出了非参数CUSUM的检测改进算法,报警响应也借助信任模型中的信任级划分,有效减少节点的能源消耗,减小节点的计算开销。Long Ju[12]等提出了基于加权信任机制的入侵检测方法,在系统开始就给每个传感器节点分配权重,每个周期当节点发送与其他节点不同的报告时进行更新,这样当节点的权重低于某一阈值时就被检测出是恶意检点。
这种方法具有低功耗,高安全性等优点,但当簇头节点入侵,或遇到Sybil攻击时检测精确度降低,而且其阈值设置会影响算法的精度,而且如何找到一个合适的阈值是一个棘手的问题。
4 结论
由以上分析可以看到,目前的各种异常检测技术还不能实时、准确地对各种入侵进行检测。近年来,分形理论与无线网络数据流分形特性和自相似特性为异常检测提供了新的理论基础。无线传感器网络数据流呈现出一定的分形特性,具有长相关性、具有较宽的类似白噪声的频谱特性、具有混沌吸引子等,基于此,根据网络数据流具有的分形指数(Hurst参数,分形维数、李雅普诺夫指数)可以建立客观检测模型,从而根据网络数据客观内在规律异常检测。此外,由于小波分析在信号处理中具有独特的频谱多分辨率优势,基于频谱、小波分析的异常检测被证实适合实时的异常检测,因此,研究分形理论与小波分析的无线传感器网络异常检测模型与方法将是一个新的发展方向。
参考文献:
[1] 孙利民,李建中,陈渝,朱红松.无线传感器网络[M].北京:清华大学出版社,2005.
[2] 周贤伟,覃伯平,徐福华.无线传感器网络与安全[M].北京:国防工业出版社,2007.
[3] 陈林星.无线传感器网络技术与应用[M].北京:电子工业出版社,2009.
[4] Onat I,Miri A.An intrusion detection system for wireless sensor networks[C]//Montreal,Canada:Proceedings of the IEEE International Conference on Wireless and Mobile Computing,Networking and Communications (WiMOB’05),2005:253-259.
[5] 王培,周贤伟.基于多的无线传感器网络入侵检测系统研究[J].传感技术学报,2007,20(3):677-681.
[6] Liu Yang,Yu Fengqi.Immunity-based intrusion detection for wireless sensor networks[C]//Hong Kong,China:Proc Int Jt Conf Neural Networks,2008:439-444.
[7] Tian Jingwen,Gao Meijuan,Zhou Shiru.Wireless Sensor Network for Community Intrusion Detection System Based on Classify Support Vector Machine[C]//Zhuhai,China:Proceedings of the 2009 IEEE International Conference on Information and Automation,2009:1217-1221.
[8] 韩志杰,张玮玮,陈志国.基于Markov的无线传感器网络入侵检测机制[J].计算机工程与科学,2010,32(9):27-29.
[9] Ponomarchuk Yulia. Seo Dae-Wha.Intrusion Detection Based on Traffic Analysis in Wireless Sensor Networks[C]//Shanghai,China:19th Annual Wireless and Optical Communications Conference,2010.
[10] Estiri M,Khademzadeh A.A Game-theoretical Model For Intrusion Detection In Wireless Sensor Networks[C]//Calgary,AB:Electrical and Computer Engineering (CCECE),2010 23rd Canadian Conference on,2010:1-5.
[11] Min Lin,Shi Nan.An Intrusion Detection Algorithm for Wireless Sensor Network Based on Trust Management Module[C]//Wuhan,China:Internet Technology and Applications,2010 International Conference on,2010:1-4.
关键词:入侵检测异常检测误用检测
在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
1 防火墙
目前防范网络攻击最常用的方法是构建防火墙。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。
(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。
(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点,对于层出不穷的网络攻击技术来说是至关重要的。
因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。
由于传统防火墙存在缺陷,引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。
2 入侵检测
2.1 入侵检测
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。
入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文 已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 检测技术
入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:
收集系统、网络、数据及用户活动的状态和行为的信息
入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。
入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。
(2)根据收集到的信息进行分析
常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。
3 分类及存在的问题
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。
3.1 异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。
阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。
由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
关键词: 网络安全; 入侵检测; 关联规则; 数据挖掘
中图分类号: TN915.08?34; TP391 文献标识码: A 文章编号: 1004?373X(2017)09?0086?03
Abstract: In order to solve the shortcomings existing in the current network intrusion detection algorithm effectively, and improve the network security, a network intrusion detection algorithm based on fuzzy association rules mining is proposed. The network data is collected to extract the features of the network intrusion behavior. The fuzzy association rules algorithm is used to mine the intrusion behavior features, select the most effective feature of intrusion behavior, and reduce the correlation among the features. The support vector machine is used to establish the classifier of the network intrusion detection according to the thought of "one?to?many". The KDD CUP data is taken as an instance to analyze the performance of network intrusion detection. The results show that the network intrusion detection accuracy of this algorithm is higher than 95%, its detection result is obviously better than that of other detection algorithms, the algorithm is simple to implement, and can be used to the online intrusion detection analysis of the large?scale network.
Keywords: network security; intrusion detection; association rule; data mining
0 引 言
随着网络技术的不断普及以及应用的不断深入,网络安全事件发生的概率日益增加,网络安全问题成为困扰人们生活和工作的一个难题[1?2]。为了解决网络入侵带来的安全问题,最初有学者采用网络加密、水印技术、杀毒软件等措施保证网络的正常工作,但它们只能对非法网络行为进行主动防范,当入侵行为发生变化时,它们就无能为力,缺陷十分明显,实际应用价值低[3?5]。在该背景下,入侵检测应运而生,其可以对网络的历史数据以及当前数据进行对比和分析,发现其中的非法行为,并进行实时拦截,成为当前一个重要研究课题[6]。
为了防止非法用户进入网络系统,研究人员设计了许多种类型的网络入侵检测算法,在一定程度上保护了网络的安全,使人们能够正常、放心的工作和学习[7]。在网络入侵检测过程中,要收集数据和提取特征,由于网络数据增长的速度非常快,使得特征之间的重复十分严重,影响入侵的检测效果,网络入侵的实时性也相当差,因此需要对特征之间的关联进行有效挖掘,分析特征之间的关系,但传统挖掘算法很难准确找到特征之间的联系,不适合于网络入侵检测的研究[8]。模糊关联规则算法通过引入模糊理论建立入侵检测行为规则,有效提高了特征之间的关联,具有较强的适应性,为网络入侵检测特征分析提供了一种新的研究工具[9]。在网络入侵过程中,还需要设计入侵行为的分类器,当前主要基于支持向量机、神经网络等[10?11]进行设计,神经网络的结构十分复杂,尤其当特征的数量大时,易出现“维数灾”等难题,入侵检测结果变得很差,而且检索结果不可靠;支持向量机可以较好地克服神经网络的不足,入侵行为检测效果明显增强,但检测效率低,这是因为特征太多,入侵行为分类过程太复杂[12]。
为了提高网络的安全性,提出基于模糊关联规则挖掘的网络入侵检测算法。首先提取网络入侵行为的特征,并采用模糊关联规则算法对特征进行挖掘,减少特征之间的关联度,然后用支持向量机建立网络入侵检测的分类器,KDD CUP数据的测试结果表明,本文算法的网络入侵检测结果要明显好于其他检测算法,能够满足大规模网络的在线入侵检测分析。
1 网络入侵检测的基本原理
在网络入检测系统中,包括硬件系统和软件系统两部分。其中软件系统是网络入侵检测的重点,直接决定了网络系统的工作性,而软件系统中网络入侵检测算法最为关键,网络入侵检测算法包括数据采集、特征提取、入侵分类、输出入侵检测结果,并根据入侵检测采取相应的措施,其工作原理如图1所示。
2 模糊关联规则和支持向量机
2.1 模糊关联规则
由于传统挖掘算法很难对数据进行有效分析,无法有效找出数据之间的关联,因此普遍存在检测正确率低等不足。模糊关联规则挖掘技术能够从海量数据中发现规律,找出一些对问题求解结果有重要贡献的数据,为此,本文将其引入到网络入侵检测的特征分析中,提取重要的入侵行为特征,以获得更好的入侵检测结果。模糊关联规则挖掘首先引入模糊理论对入侵检测数据的特征进行处理,然后给每个特征赋一个模糊值,并根据模糊隶属度函数得到每一个特征的模糊隶属值,工作流程如图2所示。
模糊关联规则算法的网络入侵检测数据挖掘过程如下:
Step1:根据相应研究以及有关专家设置最小置信度和最小支持度
Step2:计算网络入侵检测数据集特征的模糊隶属度参数值。
Step3:构建模糊隶属度函数,并根据模糊隶属度函数得到相应的隶属度。
Step4:估计各模糊属性的支持度,得到频繁1?项目集
Step5:根据生成项目集从而得到候选项目集根据得到频繁集
Step6:若为空,增加否则进入下一步。
Step7:根据最大的得到置信度值,得到网络入侵检测特征之间的关联规则。
2.2 支持向量机
对于一个两分类问题,设满足条件那么正类和负类分别定义为:
(1) 正类,个正类样本的集合为对于全部均有
(2) 负类,个负类样本的集合为,对于全部均有。
3 模糊关联规则挖掘的入侵检测步骤
Step1:收集网络状态信息,提取网络的状态特征。
Step2:采用模糊关联规则挖掘算法对原始特征进行处理,得到每一种特征的模糊隶属度函数值。
Step3:根据隶属度函数值对网络入侵的特征进行处理,减少学习样本的规模。
Step4:支持向量机对训练样本进行学习,建立最优网络入侵检测的分类器。
Step5:采用测试样本对网络入侵检测分类器的性能进行分析。
4 实验结果与分析
采用当前通用的网络安全分析数据集――KDD CUP 99作为实验对象,该数据集中包括四种网络入侵行为,分别为:Probe,DOS,U2R,R2L,它们包含了大量的数据记录,每一条记录均含有41个特征属性,其中有离散的,也有连续特征,因此对它们要进行预处理,使支持向量机可以直接识别和学习数据。选择传统数据挖掘算法的入侵检测算法进行对比实验,对平均检测正确率、误报率和平均执行时间进行测试与分析。
网络入侵检测的正确率和误报率如图4,图5所示。从图4和图5可知,与传统数据挖掘算法的入侵检测算法相比,模糊关联规则挖掘算法的网络入侵检测正确率得到了显著改善,平均检测正确率超过95%,而且网络入侵检测的误报率也得到了降低,这是因为通过引入模糊理论对网络入侵数据之间的关系进行分析,找出它们之间存在的一些关联规则,获得了更加理想的W络入侵检测结果。
从表1可以看出,模糊关联规则挖掘算法的执行时间更短,加快了网络入侵的检测速度,这主要是因为通过模糊关联规则挖掘,减少数据量,支持向量机的分类器结构更加简单,网络入侵的应用范围更广。
5 结 语
为了解决网络入侵检测中的数据量大,执行效率低的难题,本文提出了基于模糊关联规则挖掘的网络入侵检测算法,通过引入模糊关联规则挖掘算法对网络入侵检测样本数据进行分析,提取最有效的特征,去除大量无用的特征,通过具体实验可知,相对于其他网络入侵检测算法,本文算法的网络入侵检测正确率提高了3%左右,远远超过实际应用的85%,同时网络入侵的平均漏检率也有了大幅下降,加快了网络入侵的检测速度,能迅速对网络入侵做出响应,有效保证了网络的正常工作,具有良好的实用价值。
参考文献
[1] 唐正军,李建华.入侵检测技术[M].北京:清华大学出版社,2004.
[2] 井小沛,汪厚祥,聂凯,等.面向入侵检测的基于IMGA和MKSVM的特征选择算法[J].计算机科学,2012,39(7):96?99.
[3] DENNING D E. An intrusion detection model [J]. IEEE transactions on software engineering, 2010, 13(2): 222?232.
[4] HANG C L, WANG C J. A GA?based feature selection and parameters optimization for support vector machines [J]. Expert systems with applications, 2009, 36(2): 231?240.
[5] 何绍荣,梁金明,何志勇.基于互信息和关系积理论的特征选择方法[J].计算机工程,2010,36(13):257?259.
[6] 陈友,程学旗,李洋,等.基于特征选择的轻量级入侵检测系统[J].软件学报,2007(7):1639?1651.
[7] 郭文忠,陈国龙,陈庆良,等.基于粒子群优化算法和相关性分析的特征子集选择[J].计算机科学,2008,35(2):144?146.
[8] 高海华,杨辉华,王行愚.基于BPSO?SVM的网络入侵特征选择和检测[J].计算机工程,2006,32(8):37?39.
[9] 陈仕涛,陈国龙,郭文忠,等.基于粒子群优化和邻域约简的入侵检测日志数据特征选择[J].计算机研究与发展,2010,47(7):1261?1267.
[10] HONG J, SU M Y, CHEN Y H, et a1. A novel intrusion detection system based on hierarchical clustering and support vector machines [J]. Expert systems with applications, 2011, 38(1): 306?313.
【关键词】数据库入侵;检测技术
1数据库入侵检测技术
计算机数据库能够安全有效的使用。入侵技术的检测具有如下功能:(1)能有效的对用户的行为进行监控与分析;(2)对计算机系统运行的变化弱点进行审计分析;(3)在检测到入侵并识别之后进行预警;(4)对计算机系统的异常信息进行分析,并对关键的信息进行评估分析;(5)对检测到操作系统的异常情况进行跟踪处理。一般的计算机入侵系统主要包括如图1所示。
1.1数据库入侵检测技术
计算机入侵检测技术是在互联网技术快速发展的时代背景下,为了保证计算机数据库的安全而产生的。可以在计算机运行的过程中,对一些有可能危害计算机运行安全的网站或者病毒进行阻拦,防止出现病毒入侵计算机数据库的情况,保证计算机数据库的安全。利用入侵检测技术,但计算机出现病毒即将入侵的情况时,检测系统就会自动响起报警系统,这些计算机管理人员就会通过报警声得知计算机出现安全问题,可以立即采取促使,阻止并且的入侵行为,保护计算机数据库的安全。入侵检测技术还可以对计算机内部自带的一些系统出现的入侵行为进行防范,入侵检测技术对一些可以收集一些没有授权的信息,可以提前这些信息进行入侵的防范工作,当在计算机运行时出现入侵行为以后能够及时的做出反应。将入侵检测系统应用在计算机数据库的安全管理之中,可以起到对计算机安全的监控作用,通过对计算机运行的实时监控和监测,保证能够第一时间发展其中的问题。利用计算机监测系统,还可以减轻计算机检测人员的工作量,能够使他们有更多的时间去制定解决入侵病毒,提高计算机数据安全管理的效率。
1.2入侵检测常用的两种方法
1.2.1误用检测方法误用检测是入侵检测技术中最常用的的一种检测方法,利用误用检测的方法,可以总结过去入侵的经验教训,分析过去对计算机数据库出现入侵的具体情况的解决措施,总结出入侵的主要规律。通过对这些入侵规律的不断了解,并且对计算机的运行情况进行监测,就可以发展计算机是否存在病毒入侵的情况。如果发现计算机数据库存在着病毒入侵的情况,通过误用检测的方法,可以快速的分析出入侵的原因和情况,以至于能够快速准的制定解决方案。但是误用检测对系统内部的入侵情况不能及时的做出反应,因为误用方法不可能独立的应用,职能依靠于一种具体的系统来进行,这就会影响系统的移植性,造成不能对一些从未出现过的病毒进行检测,降低了检测的准确性。1.2.2异常检测方法异常检测方法是在计算机运行的基础上,通过对计算机运行是否存在入侵情况的假设来进行的。在利用异常检测的方法进行系统的监测时,通过将一些正常使用的模式和非正常使用的模式进行对比分析,从对比出的不同结果来发现系统中存在的入侵行为。这种异常检测的方法和误用检测方法不同,不用依赖系统进行操作,降低了对系统入侵行为的局限性,可以检测出新型入侵行为。但是异常检测方法也存在着一些问题,例如异常检测方法虽然能够检测出入侵行为,但是不能对入侵行为进行具体的描述,就会导致系统在检测的过程中容易发生失误问题。
2数据挖掘技术在数据库入侵检测中的应用
为了防止数据库数据的额损失,防止出现数据库入侵问题,计算机数据管理专家不断的根据先进的互联网数据库的特点进行研究和分析。将入侵检测技术应用到计算机数据库的数据安全管理中,可以有效的对计算机运行时出现的一些病毒或者是一些非正常的访问进行阻挡,防止出现恶意软件入侵数据库的情况,保护了数据库数据的安全。2.1数据挖掘技术概述在对数据库的入侵情况进行检测时,可以利用数据挖掘技术。可以对数据库之中的一些不完整的数据和正常完整的数据进行区分,并且可以将不完整的数据信息进行彻底的清除。
2.2数据库入侵检测中常用的数据挖掘方法
2.2.1关联规则的挖掘使用关联规则的挖掘首先要在数据库中找出记录集合,通过对记录集合分析和检测,发现其中数据之间存在的相似之处,借助频繁项集生成的规则,对数据进行挖掘。2.2.2序列模式的挖掘使用序列模式的挖掘也是为了发展数据库之中的数据存在的相似点。利用序列模式的挖掘的优势,主要就是体现在可以对数据库记录之间时间窗口的挖掘,可以在对数据库中的数据进行审计时找出其中存在的规律。
3结语
近几年,随着社会经济的快速发展,已经进去到了互联网时代。网络技术被广泛到生产生活中。为企业的发展了巨大的作用,但是在网络技术快速发展的背景下,也为企业的发展带来了巨大的安全隐患。网络操作存在着病毒入侵的风险,随时可能对数据库中的企业的信息安全造成威胁,病毒入侵可能导致企业的商业机密泄露,影响企业在市场中的竞争力。为了提高对计算机数据库的安全管理,本论文对数据库入侵检测技术进行了分析,希望能够对入侵检测技术的推广起到借鉴作用,保障网络信息的基本安全。
参考文献
[1]张岚.计算机数据库入侵检测技术分析[J].信息与电脑(理论版),2014(06):120.
关键词:网络安全;入侵检测;入侵检测技术;入侵检测系统
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2012) 01-0000-02
Intrusion Detection Technology Study
Gu Xiaoning
(Jining Teachers College Computer Science Department,Wulanchabu012000,China)
Abstract:With the application of the computer net-work increasing, the problem about net-work security is more and more serious day by day. The concept of the incursion detecting system was introduced in this thesis,and simply analyzed incursion detecting technology while the mostly used detecting technology nowadays was discussed.In the last,the development trend and main research direct of the technology was viewed.
Keywords:Network security;Intrusion detection;Detection technology;
Intrusion detection system
一、引言
伴随着计算机网络技术和互联网的飞速发展,各种网络攻击和入侵事件时有发生,所造成的破坏性和损失日益严重。网络安全威胁愈加被人们所重视。
传统的信息安全方法都是静态的安全防御技术,面对现今复杂多变的入侵手段难以应付。而入侵检测是一种动态安全的核心技术,它通过对入侵行为的发觉,收集信息进行分析,并做出实时的响应,从中发现是否有违反安全策略的行为和被攻击击的迹象,在不影响网络性能的情况下对网络进行监测,提供对系统的实时保护[1]。
二、入侵检测系统
入侵检测系统是传统操作系统加固和防火墙隔离技术的合理补充,它的功能是监控并分析系统及用户活动,检查系统的配置和漏洞,发现已知的攻击行为以及分析异常行为,对系统日志进行管理并识别非正常活动,对发现的入侵行为进行告警和响应等。它能够保护网络安全策略,可以提高系统管理员的安全管理能力和信息安全基础结构的完整性。理想的入侵检测系统应该管理方便、配置简单,扩展性强、保护范围广。应该具备动态自适应性,应能够根据网络的规模、系统的构造和安全需求的改变而改变。
(一)入侵检测系统的工作模式
入侵检测的工作过程一般分四个方面:
(1)对信息进行采集。(2)分析该信息,试图寻找入侵活动的特征。(3)对检测到的行为自动作出响应。(4)记录并处理结果。
(二)入侵检测系统的分类[2]
1.根据目标系统的类型来看,可以分为两类
(1)基于主机(Host-Based)的入侵检测系统。通常,基于主机的入侵检测系统可监测系统事件和操作系统下的安全记录以及系统记录。它通过监视并分析主机系统的日志、端口调用和安全审计记录等来检测入侵,保护主机的系统安全。
(2)基于网络(Network-Based)的入侵检测系统。该类型的入侵检测系统主要作用是针对保护网络。该系统由混杂模式下的网络适配器组成,用来识别网络中的原始数据包,实时监视并分析通过网络的所有通信业务。
2.根据入侵检测系统分析的数据来源
入侵检测系统分析的数据可以是主机系统日志、网络数据包、应用程序的日志、防火墙报警日志以其他入侵检测系统的报警信息等
3.根据入侵检测方法可以分为两类
(1)异常入侵检测检测。该类型的系统基于正常状态数据特征判断主体系统是否入侵。
(2)误用入侵检测。该检测系统收集非正常数据特征通过匹配来确定系统中是否有入侵和攻击。
4.根据系统各个模块运行的分布方式
(1)集中式入侵检测系统;(2)分布式入侵检测系统。
(三)入侵检测的系统的数据源
1.基于主机的数据源
(1)系统运行状态信息;(2)系统记帐信息;(3)系统日志。
2.基于网络的数据源
(1)SNMP信息;(2)网络通信包
3.应用程序日志文件
4.其他入侵检测系统的报警信息
三、入侵检测技术
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它在系统内部和各种网络资源中主动采集信息,从中发现内部、外部攻击与合法用户是否滥用特权。入侵检测技术可以根据用户的历史行为或的当前操作,完成对入侵的检测,根据系统入侵的痕迹,来恢复和处理数据[1]。
(一)入侵检测的过程。入侵检测的过程分为三步:信息收集、信息分析以及告警与响应[5]。
1.信息收集。想要入侵检测就必须有信息收集,具体内容包括系统、网络、数据以及用户活动的状态和行为等。信息收集要尽可能的扩大范围,从一个信息源来的信息可能看不出什么,但是从多个信息源收集到的不同信息能够最大限度的识别可疑行为或入侵。
2.信息分析。入侵检测系统收集到的信息量非常大,而且大部分都是正常的信息。想要从庞大的信息中找出少部分的异常入侵信息,就要通过信息分析。所以说信息分析是入侵检测过程的核心环节。
3.告警与响应。入侵检测发现系统发生变更后,产生警告并采取响应措施,告诉管理员有入侵发生或者直接处理。
(二)入侵分析的模型。入侵分析是入侵检测的核心。在这里,我们把入侵分析的处理过程分为三个阶段:构建分析器、对现场数据进行分析、反馈和提炼[2]。
1.构建分析器
分析器可以执行预处理、分类和后处理的核心功能
(1)可以收集并生成事件信息;(2)分析预处理信息;(3)建立一个行为分析引擎。
2.对现场数据进行分析
(1)输入事件记录;(2)进行预处理;(3)比较事件记录和知识库;(4)产生响应。
3.反馈和提炼
(三)入侵检测的分析方法
1.误用检测。误用入侵检测的技术基础是分析各种类型的攻击手段,建立相关的特征库。对当前的数据源来源进行各种处理后,再进行特征匹配或者规则匹配工作,如果发现满足条件的匹配,则认为发生了一次攻击行为[4]。
2.异常检测。异常入侵检测通过观察当前活动与系统历史正常活动情况之间的差异来实现。首先建立一个关于系统正常活动的状态模型并不断进行更新,当用户活动与正常行为有重大偏离时,则指示发现了非法攻击行为[9]。
(四)告警与响应
在完成系统安全状况的分析并确定出系统问题以后,就应该让人们知道这些问题的存在,这个阶段就叫做响应期。响应又可以分为两种模式:被动响应和主动响应。
被动响应就是系统只简单的记录和报告所检测出来的问题,而主动响应则是系统主动阻断攻击防止入侵[5]。
四、入侵检测技术的发展趋势
前面介绍了入侵检测系统和入侵检测技术的基本概念和功能,并对典型入侵检测技术进行了分析。通过这些介绍和分析,可以得出结论:入侵检测技术是网络安全解决方案的一个重要组成部分。虽然入侵检测的研究已经取得了相当的进展,但是由于现阶段信息技术不断进步,入侵检测技术已不能满足需要。今后的入侵检测技术主要朝以下几个方向发展:
(一)宽带高速实时的检测技术。网络带宽迅速增长,宽带接入手段种类繁多,如何实时检测高速网络下的入侵行为成为必须解决的问题。因此对入侵检测的处理能力提出更高的要求。
(二)大规模分布式的检测技术。统一集中式入侵检测方式存在明显的缺陷。首先,对于大规模的分布式攻击会造成大量的信息处理遗漏,导致漏报率的增高。其次,由于网络传输的延时问题,收集到的数据信息不能实时的反映当前的网络状态[7]。为了解决这些问题,大部分系统采用了分布式的结构。
(三)智能化入侵检测。使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨认与泛化。从某种程度上讲,入侵检测技术一直领先与安全技术的发展,两者相互推动、互相促进。随着网络的日益普及和各种黑客工具的蔓延,入侵的复杂化趋势也越来越明显,向着分布式、隐蔽化方向发展。因此,为了适应新的发展形式,智能化入侵检测具有更广泛的应用前景。
(四)多种分析方法并存。对于入侵检测系统,分析方法是系统的核心。现在的入侵检测系统有很多入侵检测分析方法,但大部分分析方法只适应某些种类的入侵。所以在目前情况下,多种分析方法综合运用是一个值得研究的问题。
五、结论
入侵检测作为一种主动性地安全防护技术,最大的优势是提供了对内部攻击、外部攻击和误操作的实时保护,预先对入侵活动进行拦截和响应。在网络信息安全立体纵深、多重防御的发展趋势下,未来的入侵检测系统可以软硬件结合,配合其他网络管理软件,提供更加及时、准确的检测手段。
参考文献:
[[1]Rebecca Gurley Bace.入侵检测[M].北京:人民邮电出版社,2001
[2]蒋建春,冯登国.网络入侵检测原理与技术[M].北京:国防工业出版社,2002
[3]Paul E.Proctor,邓琦皓等译.入侵检测实用手册[M].北京:中国电力出版社,2002
[4]韩东海,王超,李群.入侵检测系统实例剖析[M].北京:清华大学出版社,2002
[5]戴英侠,连一峰等.系统安全与入侵检测[M].北京:清华大学出版,2002
[6]薛静锋,宁宇鹏,阎慧.IDS入侵检测技术[M].北京:机械工业出版社,2004
[7]宋劲松.网络入侵检测的分析、发现和报告攻击[M].北京:国防工业出版社,2004
关键词:计算机;数据库;入侵检测技术;概念;问题;发展
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 12-0000-02
随着科学技术的发展和人们生活水平的提高,计算机成了人们生活中必不可少的一部分,无论办公还是休闲娱乐,计算机都有着它不可代替的作用,它的使用,能够大大的提高人们的工作效率,因此,人们对计算机的依赖程度也随之越来越深,为了方便,很多人习惯把资料存放在计算机上,然而,计算机在给人们带来方便的同时,它自身也存在着很大的安全隐患,一旦受到外部非法势力的入侵或者本身病毒所致,计算机的数据就有可能流失,这样,也许就会造成不可估量的后果,所以,为了保护计算机的数据库系统,防止病毒的入侵,计算机数据库的入侵检测技术就显得非常的重要,本文就计算机数据库的入侵检测技术做了简要的分析。
一、计算机数据库入侵检测技术的含义
计算机数据库入侵检测技术就是对计算机网络资源的恶意使用进行识别并做相应处理测的过程。这是一种为保证计算机的系统安全而设计并且能够发现并报告系统中的异常现象和检测计算机网络中违反安全策略行为的技术,该技术不仅能够检测到系统外部的入侵。同时也能够处理内部用户的非授权行为,入侵检测技术在计算机信息系统中显得尤为重要,它不仅能够保证计算机网络系统及整个信息基础设施的安全,同时也关系整个国家的安全和社会的稳定。
二、数据库入侵检测技术的分类
(一)反常入侵的检测
所谓反常检测,就是把用户平时习惯用的储存在数据库中的行为特征和数据库中的特征进行比较,若二者相差太大,则表明用户储存在数据库特征中的行为特征出现了反常,反之,就是正常的。反常检测有着多方面的优点,其中最主要的优点有以下几点:(1)能够在拥有大量数据的入侵检测系统中掌握检测的规则和知识(2)用户能够凭借它想要的信息。(3)能够弥补误用检测无法对未知根据类型进行比较的不足
(二)误用入侵的检测
所谓误用检测,就是把储存在误用知识库特征里面的已经知道的攻击特征和用户所做的行为进行比较,若有知识库里的入侵特征一致的现象出现时,就说明出现了入侵行为,反之则没有。当然,知识库里面的入侵规则是可以随时修改或者添加的,因为这些入侵规则都是由专业人士来定义的。误用检测跟反常检测一样,也具有多方面的优点,其中最主要的是它的检测的准确率很高,然而,每个事物斗殴有它的缺陷和不足,误用检测也不例外,它只能对已经知道的攻击入侵特征进行比较检测,无法对未知的攻击进行检测,除此之外,由于误用检测是依靠专家来编码和匹配攻击特征,而这些都需要解释规则集,所以运行时费用就很高,鉴于误用检测的这些不足,所以把误用检测和反常检测结合使用是最好的方法。
三、入侵检测的意义
(一)有利于保障计算机网络系统及整个信息基础设施的安全
在信息化的今天,计算机网络系统及信息基础设施的安全保障工作显得尤为重要,因为它关系的不仅是个人重要信息的安全,甚至关系到国家的安全和社会的稳定,一个国家入侵检测技术的完善,能够为国家的各项安全提供技术保障和支持。
(二)能够解决防火墙所不能解决的问题
大家都知道,目前人们使用的计算机都安装了防火墙,利用防火墙充当外部网和内部网之间的屏障,然而,并不是所有的外部访问都要通过防火墙,有的安全威胁就来自计算机内部,那么,针对这样的防火墙不能解决的威胁问题,我们就可以通过入侵检测技术来完成,除此之外,针对某些来自外部黑客的攻击问题,由于防火墙自身性能的限制,防火墙不能及时发现外部非法势力的入侵,因此也就没有办法成功阻止网络黑客的入侵,而这些问题,入侵检测技术就可以办得到。不仅如此,入侵检测技术还能够在事后对入侵进行分析,查明系统漏洞并及时进行修补。
四、入侵检测技术中所面临的问题
人无完人,金无足赤,更何况是靠人类智力发展起来的入侵检测技术,那么,我国当前的入侵检测技术主要存在哪些问题呢,在此,列举出以下最主要的几点:
(一)检测效率较低
在计算机与网络中,每一项编程与数据的入侵与反入侵,都是需要计算机经过二进制编码进行庞大的数据计算才能够有效的进行,因此,入侵检测不仅需要大量的时间,同时运行时费用也很高。
(二)误报及漏报率较高
由于入侵检测技术检测的范围较广,而每个入侵检测系统在进行设计时的关卡比较严格------“宁可错杀三千,不能放过一个”,这样,就会错误的检测出很多不是外界的攻击和病毒,从而降低了系统的效率和服务质量。
(三)自身防护性能较差
在限制的入侵检测技术中,由于系统的性能问题和设计人员自身知识的局限等多方面的问题,使得入侵检测技术缺乏一定的自我防御功能,这样,在进行入侵检测时,一旦入侵检测技术受到病毒或外部非法势力的攻击时,就会使入侵检测系统本身陷入瘫痪,从而带来一些不好的后果。
(四)可扩展性不够好,缺乏机动性
关键词:入侵检测;粗糙集;网络安全;属性约简
中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2010) 04-0000-01
Research of Intrusion Detection System Model Based on Rough Set Theory
Su Hang,Li Yanqing
(DalianTransportation University,Education Technical Center Network Technology Department,Dalian116028,China)
Abstract:The Intrusion Detection System as a key technology and important means to protect network security has become a hot research area.Rough sets as a new mathematical tool to deal with the fuzzy and uncertain knowledge.It has important practical significance to use it in intrusion detection.
Keywords:Intrusion detection;Rough sets;Network security;Attribute reduction
一、引言
随着计算机网络和信息技术的发展,人们对互联网的使用越来越频繁,这也使得网络安全问题变得越发重要[1]。入侵检测系统作为保护网络系统安全的关键技术和重要手段,已经成为当前网络安全方面研究的热点和重要方向。
二、粗糙集理论
(一)粗糙集基本概念
1.知识分类的概念
知识是人类通过实践认识到的客观世界的规律性的东西,是人类实践经验的总结和提炼,具有抽象和普遍的特性。人工智能研究中的一个重要概念是智能需要知识。从认知科学的观点来看,可以认为知识来源于人类以及其他物种的分类能力,知识即是将对象进行分类的能力。设 是我们感兴趣的对象组成的有限集合,称为论域。以分类为基础,可以将分类理解为等价关系,而这些等价关系对论域 进行划分。
2.粗糙集及其近似
定义1 设 是对象集, 是 上的等价关系[2]。
(1)称 为近似空间,由 产生的等价类为 ,其中 。
(2)对于任意 ,记 , ,称 为 的下近似, 为 的上近似。
(3)若 ,称 为可定义的集合,否则称 为粗糙集(图1)。
(4) 的 边界域定义为
(5)集合 称为 的 正域, 称为 的 负域。
(二)近似精度与粗糙度
定义设集合 是论域 上的一个关于 的粗糙集,定义 关于 的近似精度为 ,其中 ; 表示集合中所包含元素的数目,称集合的基数或势。
定义 设集合 是论域 上的一个关于 的粗糙集,定义 的 粗糙度为 。如果 ,则集合 关于 是普遍集合;如果 ,则集合 关于 是粗糙集合。
(三)核与约简
属性约简包括两个概念:约简(reduce)和核(core)。属性约简是指关系的最小不可省略子集,而属性的核则是指最重要的关系集。
定义* 对于一给定的决策系统 ,条件属性集合 的约简是 的一个非空子集 。它满足:1, 都是 不可省略的 2则称 是 的一个约简, 中所有约简的集合记作 。
三、入侵检测模型
(一)入侵检测系统
入侵检测系统全称为Intrusion Detection System,简称IDS。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是入侵检测是防火墙之后的第二道安全闸门。
(二)粗糙集理论在入侵检测中的应用
本文主要探讨判断当前的网络连接是正常连接还是入侵,实现这个功能的系统模型分为四个部分。第一,数据预处理。主要包括删除重复记录,决策表缺失内容修正,数据离散化。第二,属性约简。采集到的大量数据里面包含了多种信息,但是所有的信息并不是同等重要的,有些时候是冗余的,通过属性约简可以有效去掉冗余信息以便得到更为简捷的决策规则。第三,根据约简结果得到逻辑规则。本文入侵检测系统体系结构如图2所示。
(三)基于信息熵的属性约简改进算法
属性约简部分是基于粗糙集理论的入侵系统模型中非常重要的部分,本文对一种基于信息熵的属性约简算法进行改进,使得算法更高效。文献[3]提出的cebarkcc算法是一种比较典型的基于信息熵的属性约简算法,该算法是建立在决策属性集相对于条件属性集额条件熵的基础上的,以 作为启发式信息,以 作为算法的终止条件。它以决策表核属性集为起点,逐次选择使 最小的非核条件属性 添加到核属性集中,直到满足终止条件 。该算法步骤文献[44]中有详细说明,本文不在细述,现将改进算法步骤描述如下:
Cebarkcc的改进算法:
输入:一个决策表 ,其中, 为论域, 和 分别为条件属性集和决策属性集;
输出:决策表 的一个相对约简 ;
Step1:计算决策表 中决策属性集 相对条件属性集 的条件熵 ;
Step2:计算条件属性集 中相对于决策属性集 的核属性 ,并令 , ;
Step3:
Step3.1:计算条件信息熵 ,转Step3.4;
Step3.2:对 , 中的每个属性计算条件熵 ,求 得到属性 的重要度 ;
Step3.3:选择使 最大的属性 (若同时有多个属性达到最小值,则从中选取一个与 的属性值组合数最少的属性),把 从 中删除,并把 增加到 的尾部;同时从 中删除使 的值为零的属性 ;
Step3.4:如果 ,则转Step4,否则转Step3.2;
Step4:从 的尾部开始,从后向前判别每个属性的 是否可约。如果 ,则从 开始向前的属性都是核属性,不可约,算法终止;否则,如果 ,则 是可约简的,把 从 中删除。
四、结论
一个完善的入侵检测系统是对系统防火墙有益的补充,能够在网络系统受到危害之前拦截和响应入侵。但是现今网络数据量非常大,环境复杂,这就需要入侵检测系统更加智能,能够适应复杂多变的环境。粗糙集能够不需要任何附加信息和先验知识的情况下,对数据进行分析从而得出人们想要的结果。所以将粗糙集理论应用于入侵检测系统是可行而且有效的,本文同时给出了改进的约简算法,该算法较先前算法效率更高,约简效果更好。
参考文献:
[1]肖晓春.基于模型的网络安全风险评估的研究,复旦大学,2008
关键词:网络入侵;检测系统;数据挖掘;运用研究
数据挖掘技术在计算机数据库领域广泛受关注和运用,使得它迅速发展起来。数据挖掘是手指从数据库中自动提取潜在的、有用的一种新技术,其主要用来寻找数据与数据之前的内在关联,从而做出合理与恰当的归纳推理,由此而做出提取数据的预测判断。
一、入侵检测模型的内涵
随着数据挖掘技术的推广、深入,这一技术也因其独特特点而运用入侵检测系统领域,形成入侵检测模型。这一理论内涵是:根据数据之间的关联而自动提取感兴趣的,隐含的、事先未知的潜在信息为我所用,而提取的信息又具有概念、规则、模式、规律等外在的形式,而通过这些已知的关联知识来检测异常入侵和已知入侵,达到审计数据的目的,它的英文名称为Wenke Lee和Salvatore J.Stolfo。与传统入侵检测系统相比,数据挖掘技术引入到检测系统后,改革了以往只靠手工编写特征库。有时,当新的入侵发生时,系统必须迅速人工来添加特征库条目来达到实现检测系统的升级,面对新的入侵,旧的入侵检测系统无能为力,只有挖掘技术才能即时解决这一难题。具体地讲,数据挖掘技术的引入解决了传统入侵检测系统的只能依赖手工编写特征库的问题而变为机器自动来检测选择修改特征库,迅速增长了,效率也提高了,能快速地发现入侵行为,而迅速地做出反馈。
二、入侵检测系统在数据挖掘中的步骤程序
关联分析方法是入侵检测数据挖掘的重点方式,它通过发现网络连接记录各属性之间存在的内在关系,从网络原始数据里有效地进行分析,分析出正常行为与非正常行为,然后在此基础上生成入侵规则。可见关联分析方法是入侵检测数据挖掘的关键所在,与之相关联的还是聚类分析数据挖掘算法,也可以分析得到正常行为与非正常行为,这样两者结合主要用于非正常的入侵检测。
具体地来分析入侵检测系统在数据挖掘中的步骤:第一步是使用关联分析方法与聚类分析数据挖掘算法,从原始网络数据里通过对数据采集预处理得到连接记录,然后收集训练数据,得到正常行为的模式,用于非正常入侵检测。第二步是再第一步里得到的正常行为模式对训练数据进行数据过滤,得到较为纯净的训练数据。第三步是再通过分类算法对训练数据进行规则挖掘,这样分析区别出正常行为与非正常行为,在此基础上生成了基于误用检测的规则,同时继续使用分析数据挖掘对入侵数据集进行挖掘,提取入侵模式,构造入侵数据特征检测模型,并不断根据新获得的数据更新这一模型,以用于误用检测。
三、入侵检测系统体系管理决策中心功能
管理决策中心功能是由四个部分构成:控制台、控制台管理、数据库管理、数据库。另外数据分析与控制单元是其辅助部分,其各部分的作用如下。
控制台:处于管理决策中心的核心部位。其主要作用是既可以接收各模块发来的信息,又可以通过控制台管理模块向其它的部分发出指令,控制台管理向他发出请求,它根据请求再向控制台管理做出响应,这是一个交互式过程。
控制台管理:这个管理决策中心的一个桥梁,它连接着控制台与其它模块,接受向控制台发来的请求信息,再传递给控制台,同时也向控制单元和下级数据库发出一样的请求指令,控制单元控制这些请求,接收从数据库管理模块传递来的数据指令,经分析处理后再传递给控制台。
数据库管理:这是控制台访问数据库的接口中心,数据库中的一切数据都是由此模块来管理控制传递完成的。它先接受其它模块中心发来的请求指令,经过中心部分的分析,解析,再生成标准的SQL语句,再此基础上再传递给数据库驱动模块,由它来完成与具体数据库平台中要做的一系列操纵功能,其驱动模块是由标准的ODBE语言构成。
数据库:这是一个存储中心,它主要存储分析来自主机各部分传递来的入侵信息指令。这此指令中有入侵警报、网络数据包、网络入侵数据等信息。数据库对这些数据进行简单的冗余处理,由此再传递给上面的数据库管理模块来存储,但对网络数据包,此模块运用统计分析与神经网络等方式来处理它,最后把处理的结果提交给控制单元来响应。
控制单元:这是管理决策中心功能的辅助部分,它主要是用来辅助管理决策中心四模块的控制与管理工作,对来自控制台管理的各种信息进行解析,然后把解析所得的数据指令再传递给其它功能模块。
把数据挖掘技术运用到入侵检测系统之中,发挥了多方面的功能,近年来,数据挖掘技术在计算机数据库领域广泛受关注和运用,使得它迅速发展起来,这方面的研究也越来越多。本文主要分析了一种数据挖掘的分布式入侵检测系统,该系统的核心内容是主机和管理决策中心。它不仅为我们提供了理论依据,为入侵检测奠定了可信赖的理论基础,而且在实际工程建设中具有广泛的应用价值和现实意义。
【参考文献】
[1]王杰,李冬梅.数据挖掘在网络入侵检测系统中的应用.微计算机信息.2006,4-3:73-75.
购物车(0)