入侵检测;人工智能;专家系统;神经网;误用检测,异常 ….docVIP

人工智能在入侵检测技术中的应用 耿国华，康 华 （西北大学 计算机科学系 ，陕西 西安 710069） 摘 要：针对网络服务不断扩大造成的入侵行为日益复杂多样的情况，对人工智能技术在入侵检测中的运用进行了研究，主要讨论了专家系统和神经网络技术在入侵监测的规则管理和入侵行为分类方面的应用，同时给出了入侵检测实践证明人工智能技术确实能够提高入侵监测系统发现入侵的实时性和检测入侵正确性。 关 键 词：入侵检测；人工智能；专家系统；神经网；误用检测异常检测 中图分类号：TP391.4 文献标识码：A 文章编号：1000-274X(2003)00-09 1 入侵检测及其通用模型 入侵检测技术以探测入侵为中心，目的是为系统提供实时发现入侵行为并及时采取相应防护手段。具体包括数据收集、行为分类、报告错误和响应反击等方面，其中用到的数据可以由专门的网络管理系统(NMS)或网络和系统的日志文件中得到，而数据推导和数据分类是其中的核心。数据分类是定义攻击和识别攻击的过程，具体实现这个过程的技术多种多样，如模式匹配统计分析完整性分析等方法，其本质大多是比较正常状态和考察状态之间的差异，以此来判断系统是否受到了入侵。 首先给出入侵检测通用模型[1]。这个通用模型广泛应用于IDS(入侵检测系统)：它有3个基本的协作组件——事件产生器（vent generator）活动记录（ctivity profile）和规则集（ule set）。工作关系见图1。事件产生器是用来产生有关系统活动的信息，利用这些信息来检测入侵行为。这些信息事件可以由网络监控服务来发出，比如可以从防火墙NMS、日志文件，或由系统执行记录（udit trails）中得到信息。 规则集其实就是一个探测（etection engine）,它利用各种规则来检查由事件产生器送来数据的合法性，判断是否有入侵行为发生。具体可用概率统计模型、匹配规则等方法。 活动记录是保存那些被检测系统或网络密切相关的状态信息，其中的信息变量是由事件产生器送来的信息事件或是由规则集发出的动作来执行维护和更新的，规则集的有些动作还可以填加新的观察变量。 事件产生器规则集和活动记录在整个系统中的有机结合，活动记录中变量的定义、规则集的判断方法以及事件产生器的及时信息送发一并决定了系统的探测能力。在此我们关心的主要问题集中在规则集部分，也就是探测中如何应用人工智能来判断入侵。 2人工智能是一种模拟人类思维来解决复杂问题的技术，它使得机器可进行类似于人类“思考”的行为。人工智能的优势就是可用来处理那些烦琐而复杂工作，利用它的学习和推导方法可以提高解决问题的效率这是个很大的技术领域，一端是神经网络——将计算机系统设计成模拟人类神经系统的底层机构和功能，另一端是专家系统——将计算机模拟成类似于智囊团的高层认知结构。在入侵检测系统中有效发现入侵行为相当烦琐复杂，专家系统在管理检测规则方面要比传统的判断语句更有效，利用神经网络来分类入侵行为方便准确，利用人工智能中的神经网络技术、专家系统技术检测入侵行为具有应用特色。2.1 专家系统的应用 首先给出基于规则的专家系统（ule-based expert system）在误用检测（isuse detection）中的应用分析。按探测技术可将ID（ntrusion detection）分成误用探测和异常探测两大类误用探测通过把那些已知的攻击行为抽象成为模式或签名patterns ；signatures，如果发现符合这些模式的行为，就认为它是攻击这类似于病毒防范软件——只能去发现已知的病毒；异常探测则利用攻击行为往往和合法行为在过程上有明显区别，如果先抽象归纳出合法行为的基本特征，就可以认为那些与合法行为抽象特征有行为是攻击行为[]。误用检测见图２。 由于误用检测是基于对已有规则的检测，适合使用专家系统，专家系统将攻击行为定义成相应的规则集合，如果发现用户行为符合某种攻击规则集合，被看成这种规则集合对应的是入侵行为。2.1.1 专家系统的优点 采用专家系统，由于新规则的加入是完全独立的，不需要改变已存在的规则，同时与规则对应的推理行为也是集中定义的，非常利于规则和推理行为的管理，最大化方便了对系统的进化。 通常使用的从证据到结论的专家系统属于前推型（orward-chaining）系统，这种形式很适合于事件流为主的系统，由数据驱动一旦事实(facts)满足就会产生一个新的事实（facts）或是新的结论，这种链条式的推导，模拟了人的思维推理，使分析过程清晰完整，可以观测推导链中每个“节点”，得到它的来龙去脉。因此前推形式往往用于数据监控、控制领域，IDS便是它的典型应用。 2.1.2[3] 专家系统应用于入侵检测，其组成大致有以下3部分行为记录(facts b