面向入侵检测知识库系统研究.docVIP

面向入侵检测知识库系统研究 　　摘要：随着计算机互联网的迅速发展，网络的安全问题越来越受到人们的重视，传统的加密和防火墙技术已不能满足需求，入侵检测技术由此产生。虽然入侵检测系统（IDS）经过了20多年的发展，但仍然存在着许多问题需要解决。本文针对入侵检测系统的特点，提出了一个基于XML知识表示的知识库系统构架。本文采用XML来表示知识，重点阐述了如何将入侵检测系统中的规则和相关知识利用XML来描述。 　　关键词：入侵检测；知识库；XML；知识表示 　　中图分类号：TP393 文献标识码：A文章编号：1009-3044(2007)18-31595-04 　　System Research of Knowledge Base Based on Intrusion Detection 　　SHI Feng,PENG Hong 　　(South China University of Technology,Guangzhou 510635,China) 　　Abstract:With the rapid evolution of the Internet, the network security gets more and more attention.Traditional encryption techniques and firewall can not meet the requirement. The IDS (Intrusion Detection System) come into being. Although the IDS has been developed twenty years, but it still has a lot of problems to be resolved. This article, aim at the IDS’ characteristic, describe a Knowledge Base System based on XML data structure. This article explains how to use XML to describe the rules and related knowledge of IDS. 　　Key words:Intrusion Detection;Knowledge Base;XML;Knowledge Description 　　 　　1 研究背景 　　 　　随着Internet的应用范围日益广泛，对网络的各种攻击与日俱增，无论政府、商务，还是金融、媒体等的网络都在不同程度上受到入侵和破坏。近年来，网络安全事件呈爆炸性增长，安全问题日益突出。根据CERT／CC的统计[2]，从2000年开始，安全事件急剧增加，而2003年这一数字就己经达到137529件，详细统计数据报表如图1所示。网络安全已经成为了人们一个无法回避的问题，提到网络安全，很多人首先想到的是防火墙，防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外，但不能检查出经过它的合法流量中是否包含着恶意的入侵代码。在这种需求背景下，入侵检测系统(IDS)应运而生。 　　图1 CERT／CC安全事件统计 　　入侵检测系统(IDS，Intrusion Detection System)作为对常规安全措施和安全产品的补充，已被越来越多的人所认识。自从James P. Anderson[1]于1980年提出入侵检测概念以来，经过二十多年的发展，入侵检测系统的研究已初具规模，并有众多的商业产品出现，但与其他的一些成熟的网络系统产品来说，入侵检测系统还存在着许多问题。目前，IDS处在高速发展的阶段，国内外已有大量的产品，但基本上不同的产品都采用不同的数据结构，而且各IDS系统之间也没有一个标准的信息表达和传输的标准，不同的产品之间无法交互信息，需要一个统一的标准。而使用XML来存储数据在目前来说，是非常便利而且很有发展潜力的，因而，利用XML来表示入侵检测的知识，不仅可以适应不同的系统平台，而且使得不同的IDS之间能进行信息交换，对IDS的发展有很大的帮助。 　　近年来对IDS的研究已成为当前计算机网络安全领域研究中的一个热点，各种新型技术和其他分支学科都被引入和借鉴到IDS的研究中来。这些技术有的尚处于理论研究阶段，有的已趋于完善，有的已得到广泛的应用。尽管IDS的研究已经取得了长足的发展，入侵检测系统还是存在着相当多的问题。并且很多问题是目前入侵检测系统结构很难以克服的，而且这些矛盾也可能越来越尖锐。针对目前IDS所提出的挑战的一些主要因素[3]有：攻击者不断增加的知