一种误用和异常技术结合网络入侵检测模型.docVIP

一种误用和异常技术结合网络入侵检测模型 　　摘要：针对误用检测技术漏报率高和异常检测技术误报率高等问题，本文根据两种检测技术各自的优缺点及其互补性，取长补短地将两种检测技术相结合，采用模式匹配误用检测技术和神经网络异常检测技术建立新模型，降低了单一使用某种入侵检测技术时的漏报率和误报率，从而提高系统检查效率和安全性。 　　关键词：入侵检测误用检测异常检测模式匹配神经网络 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 (2012) 12-0000-02 　　一、引言 　　入侵在字面意思是未经许可或者是未经邀请，强行进入的意思。而对于计算机网络安全而言，入侵是指：未经授权，而强行进入别人系统危及资源的完整性、可用性和机密性的非法活动。而入侵检测，就是指对这中非法活动通过技术分析进行及时的发现，它的主要原理是通过在计算机系统或者是计算机网络中分布若干个监测点收集各种信息，并及时对收集的信息进行判定和分析，通过对这些信息的判定和分析计算机系统和信息网络是否有被攻击迹象或者是违反安全策略的行为发生。完成入侵检测功能的软件和硬件组合便是入侵检测系统(Intrusion Detection System，IDS) 。 　　误用检测和异常检测技术是目前入侵检测系统所采用的主要技术[2]。其中，误用检测是根据对已知的攻击或入侵的特征做出确定性的描述，形成相应的规则并汇总成一个特征库，然后将网络采集的数据与特征库中的汇总的已知攻击和入侵特征规则进行一一对比，如果在一一对比的过程中发现与特征库的规则想匹配，那么就表明这是一个入侵行为。误用检测能准确检测已知的攻击或入侵，但对新攻击或入侵确无能为力，其查全率完全依赖于规则库的覆盖范围，因此会产生较高的漏报率，且需不断更新特征库，该检测方式与计算机病毒的检测方式类似；异常检测则是先将计算机系统和信息网络等正常的符合正常操作的特征进行归纳和汇总，然后储存在特征库中，存入特征库完成后就把用户在计算机系统和信息网络中的操作进行与特征库进行一一比对，符合特征库所储存的特征，则说明没有入侵行为，一旦发现与特征库的偏离达到一定程度??则表明其是一个入侵行为。异常检测虽然可以检测到新型攻击或入侵，但是误检率较高却是它不可回避的问题，并且还不能描述攻击或入侵行为的类别。 　　根据这两种检测技术各自的优点和缺点,以及它们的互补性,本文将两种检测技术结合起来，建立采用模式匹配误用检测技术检测已知入侵，采用神经网络异常检测技术检测未知入侵并自动学习和更新模式特征库，使系统既能高效地检测出已知攻击，又能对新型攻击有效地发出警报，降低单纯使用某种入侵检测技术时的漏报率和误报率高的问题，提高了系统的检查效率和安全性。 　　二、误用入侵检测 　　提前对计算机系统和信息网络的入侵活动或者行为进行定义，然后对系统的运行详细情况进行监控，并从中用预先定义的入侵行为进行一一对比，符合即视为入侵行为[3]，这是误用入侵检测技术的主要工作原理。根据我国公安部计算机信息系统安全产品质量监督检验中心的报告可以看出，国内送检的入侵检测产品中95%是属于使用入侵检测模板进行模式匹配的误用入侵检测产品 [4] 。本文采用基于模式匹配的误用检测技术，此技术事先假定所有已知的入侵行为和手段都能描述表达为一种模式或特征，并汇集建立了一个入侵行为攻击特征模式的专家知识库，模式匹配误用检测模块将收集到的信息与攻击特征模式专家知识库进行比较，从而发现违背安全策略的行为并作出及时响应。那么所有己知的入侵方法都可以用模式匹配的方法发现，而且该方法只需收集相关的数据集合，所以系统负担明显减少，该方法也类似于计算机病毒检测系统，其检测效率和准确率都比较高。其功能检测原理图如图1所示： 　　 　　根据检查原理得知，模式匹配检测能准确识别模式库中已知的入侵并正确报告入侵类别，其误报率低。但其缺点就是不能检测未知的入侵行为，查全率完全依赖于特征库的覆盖范围，因此其漏报率比较高。 　　三、异常入侵检测 　　异常检测技术是通过建立主体的正常行为模型，来发现其异常行为，从而达到发现未知攻击的目的[5]。本文采用基于神经网络的异常入侵检测技术，此技术假定所有的入侵行为与正常行为都是不同的，然后利用庞大的神经网络对正常行为进行学习，从而来检测和判断是否入侵。其模型如图2： 　　 　　该模型首先将网络数据或操作行为经过预处理转换成神经网络可识别的输入，进入神经网络分类引擎，若数据是训练样本集，则作为算法输入，从该样本集中提取入侵攻击模型或者特征；执行数据收集和预处理过程，得到评估数据集，用来评估新得到的模型或特征的准确性。 　　因神经网络具有并行处理、分布式存储及强容错等结构特征和自学习、自组织、自适应等能力，所以可有效地发现新型的或变种的攻击，有效地弥