常大俊++李杰++劉舒婷++劉立輝

摘 要

網(wǎng)絡(luò)攻擊已經(jīng)成為嚴(yán)重威脅網(wǎng)絡(luò)安全的重要手段，識別和防范網(wǎng)絡(luò)攻擊已經(jīng)成為網(wǎng)絡(luò)安全研究的重要趨勢。例如TCP SYN拒絕服務(wù)攻擊、ICMP洪水攻擊和UDP洪水攻擊等多種攻擊方式，因此針對網(wǎng)絡(luò)攻擊識別與防范已經(jīng)成為網(wǎng)絡(luò)研究人員的一個重要的研究領(lǐng)域。本文就是以Snort入侵檢測系統(tǒng)作為基礎(chǔ)，利用網(wǎng)絡(luò)規(guī)劃識別技術(shù)進(jìn)行網(wǎng)絡(luò)攻擊行為監(jiān)測系統(tǒng)結(jié)構(gòu)研究。

【關(guān)鍵詞】網(wǎng)絡(luò)攻擊 入侵檢測 規(guī)劃識別 結(jié)構(gòu)研究

網(wǎng)絡(luò)安全對于網(wǎng)絡(luò)用戶來說至關(guān)重要，它關(guān)系到個人隱私安全、個人數(shù)據(jù)安全，而網(wǎng)絡(luò)與人們?nèi)粘Ｉ罹o密相關(guān)，因此對于網(wǎng)絡(luò)安全研究也逐漸成為研究的重點內(nèi)容。網(wǎng)絡(luò)安全研究從傳輸數(shù)據(jù)加密到網(wǎng)絡(luò)攻擊防范與預(yù)防等經(jīng)歷的不同發(fā)展階段。當(dāng)前主要采用的網(wǎng)絡(luò)安全技術(shù)就是入侵檢測技術(shù)，也就是通過監(jiān)聽在網(wǎng)絡(luò)傳輸中的數(shù)據(jù)包，利用相關(guān)算法或技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的攻擊行為。本文是以網(wǎng)絡(luò)規(guī)劃識別作為研究理論，將其應(yīng)用到基于Snort入侵檢測系統(tǒng)中，從而利用統(tǒng)計與智能方式來搜索或獲得攻擊行為，達(dá)到有效的防范和預(yù)防措施。

1 入侵檢測與規(guī)劃識別簡介

1.1 入侵檢測

入侵檢測對網(wǎng)絡(luò)安全來說是至關(guān)重要，檢測過程和檢測結(jié)果如何關(guān)系到防范和預(yù)測網(wǎng)絡(luò)攻擊效果。在當(dāng)前較多的入侵檢測技術(shù)中，頻繁使用的入侵檢測技術(shù)是基于Snort入侵檢測技術(shù)及其系統(tǒng)。Snort檢測體系結(jié)構(gòu)主要是由嗅探器、數(shù)據(jù)包預(yù)處理、檢索引擎和規(guī)則庫等多個模塊來構(gòu)成。其中，嗅探器的作用是來捕獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包和數(shù)據(jù)流；數(shù)據(jù)包預(yù)處理模塊則是對捕獲到的數(shù)據(jù)進(jìn)行預(yù)處理分析，如采用統(tǒng)計分析方式、專家系統(tǒng)方式等；檢索引擎作用則是利用預(yù)處理后得到的數(shù)據(jù)特征等相關(guān)信息與規(guī)則庫中的數(shù)據(jù)特征進(jìn)行比對根據(jù)其比對結(jié)果來評判數(shù)據(jù)是否具有攻擊性。

1.2 網(wǎng)絡(luò)規(guī)劃識別簡介

在1978年由Schmidt、Sridharan和Goodson提出規(guī)劃識別用于推理其它智能體的規(guī)劃及目標(biāo)，到2003年，Yin MingHao在Hong Jun的目標(biāo)圖為基礎(chǔ)上提出了利用回歸圖進(jìn)行的規(guī)劃識別。在規(guī)劃發(fā)展過程中主要出現(xiàn)如下幾種規(guī)劃識別方法，即基于Kautz理論的規(guī)劃識別、基于邏輯的規(guī)劃識別和基于概率方法的規(guī)劃識別等方法。經(jīng)過40多年的發(fā)展，規(guī)劃識別已經(jīng)成為人工智能研究領(lǐng)域中重要的研究內(nèi)容。

網(wǎng)絡(luò)規(guī)劃識別就是以規(guī)劃識別作為理論基礎(chǔ)，然后將其運用在網(wǎng)絡(luò)上的一種技術(shù)。其主要內(nèi)容是從網(wǎng)絡(luò)中傳輸數(shù)據(jù)包或數(shù)據(jù)流中通過特征提取方式來獲得特征數(shù)據(jù)信息，利用規(guī)劃識別推導(dǎo)出智能目標(biāo)或規(guī)劃過程。其推導(dǎo)過程為首先收集來自于網(wǎng)絡(luò)中的傳輸數(shù)據(jù)，然后利用規(guī)劃識別原理對傳輸數(shù)據(jù)進(jìn)行推導(dǎo)，最后計算出該數(shù)據(jù)攻擊可能的最大概率。

2 基于規(guī)劃識別的入侵檢測結(jié)構(gòu)研究

2.1 規(guī)劃識別的貝葉斯網(wǎng)絡(luò)模型結(jié)構(gòu)分析

網(wǎng)絡(luò)攻擊往往會給用戶帶來極大的麻煩或損失，因此組建較好的入侵檢測結(jié)構(gòu)對于網(wǎng)絡(luò)攻擊預(yù)防是至關(guān)重要的環(huán)節(jié)。當(dāng)遭受網(wǎng)絡(luò)攻擊時候，往往需要識別攻擊者的意圖，因此本文以規(guī)劃識別與貝葉斯算法結(jié)合建立一個入侵過程分析與模擬建模，即通過檢索數(shù)據(jù)包中的數(shù)據(jù)特征來發(fā)現(xiàn)攻擊對象和攻擊過程。也就是將攻擊者最終意圖作為根節(jié)點，攻擊節(jié)點之間采用“與”、“或”等邏輯運算來進(jìn)行節(jié)點之間關(guān)系建立，然后發(fā)現(xiàn)最終目標(biāo)。在入侵檢測系統(tǒng)中，攻擊者會實施相關(guān)攻擊過程且具有順序性，利用貝葉斯網(wǎng)絡(luò)就可以推理入侵者意圖，即對接受數(shù)據(jù)包進(jìn)行關(guān)聯(lián)分析，從而發(fā)現(xiàn)攻擊目標(biāo)和攻擊意圖。

2.2 貝葉斯二次回歸規(guī)劃識別在入侵檢測中的結(jié)構(gòu)研究

基于Snort入侵檢測系統(tǒng)是當(dāng)前正在使用的一種檢測系統(tǒng)，在進(jìn)行攻擊者進(jìn)行網(wǎng)絡(luò)入侵過程中，由Snort在檢測中產(chǎn)生相應(yīng)的數(shù)據(jù)包信息，將得到的數(shù)據(jù)信息進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析，從而就會得到兩種分析結(jié)果：一是有攻擊意圖；二是無攻擊意圖或無法判斷攻擊意圖。而入侵過程中Snort對數(shù)據(jù)進(jìn)行規(guī)劃識別與采用貝葉斯算法設(shè)計的智能網(wǎng)絡(luò)結(jié)構(gòu)相似，因此可以考慮將貝葉斯理論引入到入侵檢測中，然后在此基礎(chǔ)上進(jìn)行二次回歸來具體判斷攻擊者是否發(fā)生攻擊以及攻擊的目標(biāo)和路徑。其基本結(jié)構(gòu)如圖1所示。

3 結(jié)束語

通過對以往入侵檢測系統(tǒng)、網(wǎng)絡(luò)規(guī)劃識別技術(shù)分析與研究，在本文中提出了一種以原有的貝葉斯網(wǎng)絡(luò)攻擊入侵檢測模型為基礎(chǔ)，進(jìn)行了二次回歸的網(wǎng)絡(luò)攻擊入侵檢測模型及其算法的改進(jìn)，并且對此結(jié)構(gòu)進(jìn)行分析。

參考文獻(xiàn)

[1]谷文祥，李麗，李丹丹.規(guī)劃識別的研究及其應(yīng)用[J].智能系統(tǒng)學(xué)報，2007.

[2]李偉生，王寶樹.實現(xiàn)規(guī)劃識別的一種貝葉斯網(wǎng)絡(luò)[J].西安電子科技大學(xué)學(xué)報，2002.

作者簡介

常大?。?976-），男，現(xiàn)為長春建筑學(xué)院電氣信息學(xué)院講師。主要研究方向為計算機軟件與理論。

作者單位

長春建筑學(xué)院電氣信息學(xué)院 吉林省長春市 130607