基于本体的入侵检测研究.pdfVIP

基于本体的 爨蕊一 。气 ．：¨¨0熬隳嬲 ．一擎一一 入。滁 检。濑 呵p黧器、撇。 囊一氢一一 侵∥一一 测爨糍一 摘要：对入侵行为之间的相关性进行清楚的描述雾从而对协同式入侵撒漶辫断，降低误警率，是入侵检测领域的重点和 热点问题，本文在概要分据了误警产生的原因的基础上，重点讨论了基于本体的入侵检测框架。 关键词：入侵检测；协同；误警；本体 “ 蔓萎 誊 iji辩群蕊F 一∽一 一一 ”蕊鬟： 0弓I言 j。誉i鬈爹 ?。 的荔交遣义≮Di麓≥结橇。；(D是特≤螽域，R是D中相关的关系 Detection 入侵检测系统IDS(IntrusionSystem)通过分集合)把本体定义减””共掌概念化的形式的、明确地规范”，因 析审计记录，识别系统中任何不应该发生的活动，并采取相应的 此能够很好地表现出本体的本质特性。作为一项新兴的知识表示 措施报告与制止入侵活动，已经成为网络安全中一个重要的研究 技术，本体通过对概念的严格定义和概念之间的关系来确定概念 方向。误警是入侵检测最突出的问题之一，入侵检测系统的误警 精确含义，表示共同认可的、可共享的知识。本体既可以用来描 极大的妨碍了入侵检测系统的应用。用户往往需要花费很大精力 述简单的事实，又可以用来描述信念、假设、预测等抽象的概念； 去解决误警问题，从而很可能造成对来自系统和网络的真正威胁 既可以描述静态的实体，又可以描述与时间推移相关的概念，如 无暇顾及。在入侵检测的概念日益被用户接受、网络入侵检测系 事件、活动、过程等。其目标是捕获相关的领域的知识，提供对 统的市场份额的不断扩展的今天，误警问题成为制约入侵检测系 该领域知识的共同理解，确定该领域内共同认可的词汇，并从不 统深入发展的瓶颈。基于异常的检测，依赖于正常行为模式的描 同层次的形式化模式上给出这些词汇(术语)和词汇之间相互关 述，该检测分析方法对未知的攻击模式具有一定的检测能力，但 系的明确定义。经过众多研究人员的努力，本体技术近年来得到 存在较大的虚警率。误用检测分析方法以攻击知识库为核心，攻 了长足的发展，在以逻辑描述语言为基础的本体描述语言支持 击知识库一般根据已知攻击方法、已知安全漏洞采用确定性知识 下，本体对领域中的概念问相互关系的表示能力得到充分发挥。 Victor 表达方式建立，该检测分析方法会因表示能力的不足而舍弃事物 Raskin等人于2001年开始对本体在信息安全领域的 的某些重要特性，导致漏警。 可用性进行了研究，指出本体可以将入侵事件的所有表象系统化 网络攻击知识一部分是容易表示成计算机能够理解的知识 并组织起来，从而可以大量减少所需描述的特征，提高入侵检测 的，如：网络协议栈状态，系统调用序列，内存使用、CPU使用系统的效率 情况或攻击的特征码等。而另一部分则是不容易加以表示的，如： 目前IDS的中心管理控制平台只能起到管理检测引擎的作 各种攻击之间的协同关系。研究表明，对这部分网络攻击知识的 用，检测引擎独立进行入侵行为的检测。即使IDS检测到了入侵 忽视是入侵检测系统产生误警的重要原因。目前，研究人员已经 行为，IDS本身也不能对入侵行为之间的相关性做出清楚的描述， 在这一方向上取得了一定成果，但是，由于所用的知识表示方法 对一些复杂的攻击行为，更是很难准确判断，因此，还需要在此 的局限，这些关系并未充分被表示出来，存在失真。即便是被表 基础上分析多个IDS提交的数据以发现更为复杂的入侵行为。为 示出来的部分，也较难让计算机理解，因而造成系统实现困难、效 提高入侵检测系统之间进行事件通知、信息共享，业界权威组织 率低。