一种误用和异常技术结合的网络入侵检测模型
开篇:润墨网以专业的文秘视角,为您筛选了一篇一种误用和异常技术结合的网络入侵检测模型范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:针对误用检测技术漏报率高和异常检测技术误报率高等问题,本文根据两种检测技术各自的优缺点及其互补性,取长补短地将两种检测技术相结合,采用模式匹配误用检测技术和神经网络异常检测技术建立新模型,降低了单一使用某种入侵检测技术时的漏报率和误报率,从而提高系统检查效率和安全性。
关键词:入侵检测误用检测异常检测模式匹配神经网络
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 12-0000-02
一、引言
入侵在字面意思是未经许可或者是未经邀请,强行进入的意思。而对于计算机网络安全而言,入侵是指:未经授权,而强行进入别人系统危及资源的完整性、可用性和机密性的非法活动。而入侵检测,就是指对这中非法活动通过技术分析进行及时的发现,它的主要原理是通过在计算机系统或者是计算机网络中分布若干个监测点收集各种信息,并及时对收集的信息进行判定和分析,通过对这些信息的判定和分析计算机系统和信息网络是否有被攻击迹象或者是违反安全策略的行为发生。完成入侵检测功能的软件和硬件组合便是入侵检测系统(Intrusion Detection System,IDS) 。
误用检测和异常检测技术是目前入侵检测系统所采用的主要技术[2]。其中,误用检测是根据对已知的攻击或入侵的特征做出确定性的描述,形成相应的规则并汇总成一个特征库,然后将网络采集的数据与特征库中的汇总的已知攻击和入侵特征规则进行一一对比,如果在一一对比的过程中发现与特征库的规则想匹配,那么就表明这是一个入侵行为。误用检测能准确检测已知的攻击或入侵,但对新攻击或入侵确无能为力,其查全率完全依赖于规则库的覆盖范围,因此会产生较高的漏报率,且需不断更新特征库,该检测方式与计算机病毒的检测方式类似;异常检测则是先将计算机系统和信息网络等正常的符合正常操作的特征进行归纳和汇总,然后储存在特征库中,存入特征库完成后就把用户在计算机系统和信息网络中的操作进行与特征库进行一一比对,符合特征库所储存的特征,则说明没有入侵行为,一旦发现与特征库的偏离达到一定程度,则表明其是一个入侵行为。异常检测虽然可以检测到新型攻击或入侵,但是误检率较高却是它不可回避的问题,并且还不能描述攻击或入侵行为的类别。
根据这两种检测技术各自的优点和缺点,以及它们的互补性,本文将两种检测技术结合起来,建立采用模式匹配误用检测技术检测已知入侵,采用神经网络异常检测技术检测未知入侵并自动学习和更新模式特征库,使系统既能高效地检测出已知攻击,又能对新型攻击有效地发出警报,降低单纯使用某种入侵检测技术时的漏报率和误报率高的问题,提高了系统的检查效率和安全性。
二、误用入侵检测
提前对计算机系统和信息网络的入侵活动或者行为进行定义,然后对系统的运行详细情况进行监控,并从中用预先定义的入侵行为进行一一对比,符合即视为入侵行为[3],这是误用入侵检测技术的主要工作原理。根据我国公安部计算机信息系统安全产品质量监督检验中心的报告可以看出,国内送检的入侵检测产品中95%是属于使用入侵检测模板进行模式匹配的误用入侵检测产品 [4] 。本文采用基于模式匹配的误用检测技术,此技术事先假定所有已知的入侵行为和手段都能描述表达为一种模式或特征,并汇集建立了一个入侵行为攻击特征模式的专家知识库,模式匹配误用检测模块将收集到的信息与攻击特征模式专家知识库进行比较,从而发现违背安全策略的行为并作出及时响应。那么所有己知的入侵方法都可以用模式匹配的方法发现,而且该方法只需收集相关的数据集合,所以系统负担明显减少,该方法也类似于计算机病毒检测系统,其检测效率和准确率都比较高。其功能检测原理图如图1所示:
根据检查原理得知,模式匹配检测能准确识别模式库中已知的入侵并正确报告入侵类别,其误报率低。但其缺点就是不能检测未知的入侵行为,查全率完全依赖于特征库的覆盖范围,因此其漏报率比较高。
三、异常入侵检测
异常检测技术是通过建立主体的正常行为模型,来发现其异常行为,从而达到发现未知攻击的目的[5]。本文采用基于神经网络的异常入侵检测技术,此技术假定所有的入侵行为与正常行为都是不同的,然后利用庞大的神经网络对正常行为进行学习,从而来检测和判断是否入侵。其模型如图2:
该模型首先将网络数据或操作行为经过预处理转换成神经网络可识别的输入,进入神经网络分类引擎,若数据是训练样本集,则作为算法输入,从该样本集中提取入侵攻击模型或者特征;执行数据收集和预处理过程,得到评估数据集,用来评估新得到的模型或特征的准确性。
因神经网络具有并行处理、分布式存储及强容错等结构特征和自学习、自组织、自适应等能力,所以可有效地发现新型的或变种的攻击,有效地弥补误用入侵检测不能检测未知的入侵行为的缺点,提高了整体检测能力和降低了漏报率。四、误用和异常技术相结合的系统模型总体构架设计
在分析了两种入侵检测技术的优缺点的基础上,本文设计了一种结合误用和异常检测技术的入侵检测系统模型,该系统模型框架如图3所示。
从系统的整体来看,由3个大的模块组成,分别是信息收集、信息分析和报警与响应模块。首先信息收集是由数据包获取和解码模块通过各种协议的解码器解译成能被信息分析模块识别的数据结构;然后信息分析模块根据收集模块提供的数据结构进行分析,分别调用不同的检测引擎进行入侵检测,其中信息分析首先为了降低对计算机系统和信息网络侵入等攻击行为的误报率,采用误用检测技术;其次就是异常检测技术来确保计算机系统和信息网络的各种数据的安全性和合法性,已达到预防未知攻击行为和降低漏报的目的;最后就是响应模块,根据分析引擎的分析结果作出相应的决策响应。通过相结合的检测方法,可较低系统被攻击的威胁,提高了检测效率,增加了系统安全性。
五、结束语
根据设计方案和实际运用,可以得出知道本系统使用了两者检测相结合的方式方法,这样做的目的不仅可以对已知攻击进行有效检测,同时对未知攻击也有强大的检测能力,这样有效地提高了系统检查效率和安全性检测率,较低的漏报率。本文仅采用模式匹配误用检测技术和神经网络异常检测技术建立新模型,且仅从理论上进行了阐述,还有待于实践的近一步检验。在实际应用中可将异常入侵检测的各种方法综合起来考虑,同时也要与误用入侵检测的各种手段有效综合利用,利用资格的长处来弥补自己的短板,建立一个准确、强力和高效的检测系统,来维护和提高计算机系统或者信息网络的安全,这才是最终目的。
参考文献:
[1]罗守山.入侵检测.北京:北京邮电大学出版社,2003,13
[2]蒋建春,马恒太,任党恩,等.网络安全入侵检测:研究综述.软件学报,2000,11(11):1460-1466
[3]韩东海,王超,李群.入侵检测系统及实例剖析.北京:清华大学出版社,2002.
[4]李剑.入侵检测技术.北京:高等教育出版社,2008.6,8-11
[5]胡昌振.入侵检测原理与技术(第2版).北京:北京理工大学出版社,2010.6,11