姜立

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，單獨(dú)地依靠主機(jī)審計(jì)信息進(jìn)行入侵檢測(cè)難以適應(yīng)網(wǎng)絡(luò)安全的需求，于是人們提出了基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)，這種檢測(cè)系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、單臺(tái)或多臺(tái)主機(jī)的審計(jì)數(shù)據(jù)檢測(cè)入侵。本文將主要探討計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中入侵檢測(cè)技術(shù)的運(yùn)用。

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)安全；入侵檢測(cè)技術(shù)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)流量，它實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)，檢測(cè)范圍是整個(gè)網(wǎng)絡(luò)，由于網(wǎng)絡(luò)數(shù)據(jù)是規(guī)范的TCP/IP協(xié)議數(shù)據(jù)包，所以基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)比較易于實(shí)現(xiàn)[1]。但它只能檢測(cè)出遠(yuǎn)程入侵，對(duì)于本地入侵它是看不到的。

1入侵檢測(cè)技術(shù)概述

探測(cè)器一般由過(guò)濾器、網(wǎng)絡(luò)接口引擎器以及過(guò)濾規(guī)則決策器構(gòu)成，其功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，然后傳遞給分析引擎器進(jìn)行安全分析判斷。分析引擎器將從探測(cè)器上接收到的包結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)進(jìn)行分析，把分析的結(jié)果傳遞給配置構(gòu)造器。配置構(gòu)造器根據(jù)分析引擎的結(jié)果構(gòu)造出探測(cè)器所需要的配置規(guī)則。分析引擎器是它的一個(gè)重要部件，用來(lái)分析網(wǎng)絡(luò)數(shù)據(jù)中的異?，F(xiàn)象或可疑跡象，并提取出異常標(biāo)志。分析引擎器的分析和判斷決定了具有什么樣特征的網(wǎng)絡(luò)數(shù)據(jù)流是非正常的網(wǎng)絡(luò)行為，它常用的4種入侵和攻擊識(shí)別技術(shù)包括根據(jù)模式、表達(dá)式或字節(jié)匹配；利用出現(xiàn)頻率或穿越閥值；根據(jù)次要事件的相關(guān)性；統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測(cè)[2]。

2計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀

在新系統(tǒng)的設(shè)計(jì)中，利用數(shù)據(jù)挖掘技術(shù)從系統(tǒng)日志、系統(tǒng)調(diào)用序列、網(wǎng)絡(luò)流等大量數(shù)據(jù)中提取與安全相關(guān)的系統(tǒng)特征屬性，為了高效地利用特征屬性，采用特征向量集代替特征屬性變量集，設(shè)計(jì)中采用遺傳算法選擇其特征子集，以降低入侵檢測(cè)系統(tǒng)的負(fù)荷。進(jìn)行數(shù)據(jù)挖掘時(shí)，所選用的安全審計(jì)數(shù)據(jù)須具備以下特點(diǎn)：

（1）相對(duì)于正常的用戶和系統(tǒng)行為，攻擊事件的發(fā)生概率很小[2]。

（2）在正常情況下所選用的安全審計(jì)數(shù)據(jù)非常穩(wěn)定。

（3）攻擊事件的發(fā)生會(huì)使安全審計(jì)數(shù)據(jù)的某些特征變量明顯偏離正常值。

特權(quán)程序一般都具有最高權(quán)限，因此特權(quán)程序一直是攻擊者的主要目標(biāo)。通過(guò)研究發(fā)現(xiàn)，對(duì)特權(quán)程序，系統(tǒng)調(diào)用序列較好地滿足了數(shù)據(jù)挖掘?qū)Π踩珜徲?jì)數(shù)據(jù)提出的要求，是理想的挖掘數(shù)據(jù)源。國(guó)外有關(guān)研究機(jī)構(gòu)還提供了大量的有關(guān)系統(tǒng)調(diào)用序列的數(shù)據(jù)供IDS的研究者下載使用，基本上滿足了完備性的要求。

系統(tǒng)調(diào)用序列檢測(cè)的工作主要流程如下：

（1）準(zhǔn)備訓(xùn)練數(shù)據(jù)集，該數(shù)據(jù)集中數(shù)據(jù)記錄具有廣泛的代表性，即具有較高的支持度；所有數(shù)據(jù)已經(jīng)被準(zhǔn)確標(biāo)識(shí)為正?；虍惓?，采用有關(guān)系統(tǒng)調(diào)用序列的數(shù)據(jù)作為分類(lèi)器的訓(xùn)練數(shù)據(jù)集。

（2）用RIPPER算法分析訓(xùn)練數(shù)據(jù)集，提取特征屬性，生成規(guī)則。

（3）基于所生成的規(guī)則，用滑動(dòng)窗口法分析待檢測(cè)系統(tǒng)調(diào)用序列[3]。

3入侵檢測(cè)系統(tǒng)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用

為進(jìn)一步提高IDS的性能，減少I(mǎi)DS組件對(duì)被保護(hù)系統(tǒng)的負(fù)荷，所設(shè)計(jì)的新人侵檢測(cè)系統(tǒng)采用特征向量集代替特征屬性變量集（短序列集），在數(shù)據(jù)挖掘時(shí)產(chǎn)生了更簡(jiǎn)單、準(zhǔn)確的入侵判別規(guī)則集。在此基礎(chǔ)上進(jìn)一步研究用特征向量子集代替特征向量集，采用遺傳算法優(yōu)化特征向量子集的選擇過(guò)程，使IDS的性能得到進(jìn)一步的提升[3]。

在系統(tǒng)調(diào)用序列數(shù)據(jù)的挖掘過(guò)程中使用特征向量法，用特征向量的一位標(biāo)識(shí)一個(gè)短序列，用挖掘算法能從特征向量集中找出檢測(cè)入侵的規(guī)則來(lái)。由于短序列的數(shù)量較大，導(dǎo)致特征向量位數(shù)過(guò)大，特征向量集也相應(yīng)過(guò)大。為了更高效可行地使用數(shù)據(jù)挖掘算法，采用遺傳算法對(duì)特征向量集進(jìn)行優(yōu)化，尋找特征子集，利于后續(xù)的數(shù)據(jù)挖掘[4]。

該最優(yōu)個(gè)體必然是0、1交替的位串，將其所有1所在位置進(jìn)行分析，可以得到1所在位置代表的短序列集，即為尋找的特征子集。后續(xù)挖掘算法根據(jù)該特征子集中的短序列，對(duì)訓(xùn)練數(shù)據(jù)進(jìn)行分類(lèi)等挖掘工作。

采用標(biāo)準(zhǔn)交叉算子和變異算子，交叉概率取0.6，變異概率取0.001。遺傳過(guò)程中，個(gè)體的選擇比較復(fù)雜。因?yàn)檫@里是針對(duì)入侵檢測(cè)進(jìn)行的優(yōu)化，所以在選擇個(gè)體時(shí)，是將該個(gè)體代表的入選子集的短序列應(yīng)用到數(shù)據(jù)分類(lèi)算法（RIPPER），該算法訓(xùn)練數(shù)據(jù)并應(yīng)用規(guī)則得到測(cè)試數(shù)據(jù)，根據(jù)檢測(cè)的性能來(lái)確定上述要選擇的個(gè)體的適應(yīng)度值。根據(jù)個(gè)體的適應(yīng)度值就可以對(duì)其進(jìn)行選擇，繼續(xù)遺傳優(yōu)化工作。研究表明，個(gè)體的適應(yīng)值可以取決于有多少攻擊被正確檢測(cè)和正常使用連接被誤判為攻擊，同時(shí)考慮個(gè)體中置1位的數(shù)目，本系統(tǒng)設(shè)計(jì)的適應(yīng)度函數(shù)為[4]：

[F（xi）=[（a/A）-（b/B）]δm]

式中：[xi]為某個(gè)個(gè)體，a為正確檢測(cè)到的攻擊數(shù)目；A為總有攻擊數(shù)目；b為被誤判為攻擊的連接數(shù)；B為總的正常連接數(shù)；m為[xi]中1的個(gè)數(shù)；[δm]為m對(duì)于該適應(yīng)度函數(shù)的相關(guān)系數(shù)，即高檢出率低誤報(bào)率使適應(yīng)度函數(shù)值高，低檢出率高誤報(bào)率使適應(yīng)度函數(shù)值低。個(gè)體中置l的位數(shù)越少，適應(yīng)度值越大，這是出于尋找最小特征子集的考慮，其影響的強(qiáng)弱由相關(guān)系數(shù)d去控制。

if

{

一個(gè)網(wǎng)絡(luò)連接有如下特征：

源IP地址d2.Of.**.**；

目標(biāo)IP地址c0.a8.a*.**；

源端口號(hào)43226；

目標(biāo)端口號(hào)80；

持續(xù)時(shí)間482 s；

終止?fàn)顟B(tài)（由發(fā)起連接的人終止連接）11；

使用協(xié)議（TCP協(xié)議）2；

發(fā)送方發(fā)送了7341B；

接收方接收了37761B；

}

then

{

終止該連接；

}

結(jié)論

總之，入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行人侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。

參考文獻(xiàn)：

[1]楊嶺. 基于網(wǎng)絡(luò)安全維護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究[J]. 信息系統(tǒng)工程，2015，01：77.

[2]張旭東. 基于混合數(shù)據(jù)挖掘方法的入侵檢測(cè)算法研究[J]. 信息安全與技術(shù)，2015，02：31-33.

[3]代新穎. 計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及其防范措施[J]. 電子制作，2015，02：169-170.

[4]孫福兆. 基于改進(jìn)加權(quán)關(guān)聯(lián)規(guī)則算法的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)[J]. 科技與創(chuàng)新，2015，04：84.endprint