基于異常檢測的網絡安全技術研究

張云鶴

（安徽電子信息職業(yè)技術學院，安徽 蚌埠 233000）

所謂入侵檢測，顧名思義，就是檢測入侵行為，即面向安全日志、審計數(shù)據(jù)及其他互聯(lián)網及計算機系統(tǒng)中的關鍵點進行信息收集，在對信息進行分析的基礎之上確定網絡或計算機系統(tǒng)中是否存在與安全策略不相符的行為或攻擊跡象.

具有入侵檢測功能的相關軟件及硬件構成了入侵檢測系統(tǒng).以所采取的分析方法為依據(jù)，可以將入侵檢測行為劃分為異常檢測及誤用檢測兩種.其中異常檢測，指的是借助定量方法對可接受行為特征進行描述，將非正常行為與正常行為區(qū)分開來，從而達到檢測入侵行為的目的.

1 網絡異常入侵檢測模型

異常檢測模型具有動態(tài)性，根據(jù)檢測對象的不同，模塊的結構也有所區(qū)別.根據(jù)上圖可知，異常檢測模型主要包括函數(shù)庫、跟蹤器、檢測器、強序列構造器、決策模塊、響應模塊以及控制模塊等幾部分.

跟蹤器的作用主要是對程序運動過程中出現(xiàn)的派生進程進行跟蹤，并對該進程對系統(tǒng)的調用序列進行收集；函數(shù)庫作為一個數(shù)據(jù)庫，其作用主要是對系統(tǒng)函數(shù)進行存儲.系統(tǒng)調用集主要取決于系統(tǒng)版本，在本文中，設該系統(tǒng)調用集為I，并將強函數(shù)集與調用函數(shù)集同時引入該模型中，分別設為Pi和Ui，其中，i表示功能子序列編號，則系統(tǒng)調用集、強函數(shù)集和調用函數(shù)集之間的關系可以表示為：Pi哿Ui哿I；強序列構造器包括函數(shù)集合強序列兩部分，其作用主要是有效解決滑動窗口大小無法調整的問題；檢測器的作用就是對進程序列是否存在異常進行劃定；決策模塊的作用是針對預處理及檢測器所發(fā)出的異常狀況警報進行處理；控制模塊的作用主要有：完成函數(shù)集的構建，并進行實時更新；根據(jù)實際情況對檢測器及預處理中的閥值進行設置；調度模塊能夠實現(xiàn)對子檢測模塊的動態(tài)性創(chuàng)建及調度，同時檢測來自于主跟蹤模塊的子進程；預處理的任務主要是針對跟蹤器發(fā)出的數(shù)據(jù)進行初步處理，并將處理之后的數(shù)據(jù)傳輸?shù)綑z測器.具體來講包括以下三項內容：第一，根據(jù)實際情況及需求分解原始數(shù)據(jù)，在此過程中將有誤數(shù)據(jù)去除，同時將無法被檢測器所識別的符號字段進行轉化處理；第二步，為最大限度的避免因記錄間字段數(shù)據(jù)懸殊影響網絡訓練，需要進行歸一化處理；最后，對單位時間內調用函數(shù)集中的內容進行審查，并作出有誤超出預設閥值的情況；響應模塊借助防火墻以及路由器等中斷模塊實現(xiàn)對異常進程的有效處理.

2 網絡安全的實現(xiàn)

上面所介紹的面向程序行為的異常檢測模型中的函數(shù)集庫主要涉及調用函數(shù)集以及強函數(shù)集兩部分.

調用函數(shù)集的作用主要是對功能子序列中系統(tǒng)調用函數(shù)及相關信息進行存儲.在具體操作中一項重要環(huán)節(jié)就是對各個功能子序列中最小系統(tǒng)調用函數(shù)，這一步極為關鍵，原因在于，程序對系統(tǒng)函數(shù)的調用，從本質上講，就是調用系統(tǒng)資源，對于與功能子序列相對應的進程而言，當其超出該最小系統(tǒng)調用函數(shù)的情況出現(xiàn)，基本可以斷定發(fā)生了系統(tǒng)異常.對函數(shù)全部參數(shù)進行梳理，確定參數(shù)最長的值，并在最大參數(shù)長度中對其進行記錄.受編譯系統(tǒng)及程序自身缺陷的影響，部分程序比較容易遭受來自于緩沖區(qū)溢出攻擊，緩沖區(qū)溢出需要記錄shell code，與正常參數(shù)相比較而言，shell code的長度更長，因此，對該類型攻擊的一項有效途徑就是對最大參數(shù)長度進行記錄.

所謂后繼個數(shù)，具體是指在函數(shù)后面能夠跟隨其他系統(tǒng)的函數(shù)的數(shù)量.后繼個數(shù)會對檢測器收斂性造成一定程度的影響，對于這一問題，實踐中比較常見的處理措施主要有兩種，一種是將該函數(shù)去除，另外一種就是添加一個隱藏層.

強函數(shù)集.對于某一計算機程序而言，在其處于運行狀態(tài)的情況下，受其所處環(huán)境及交互過程的影響，無法事先知曉系統(tǒng)調用次數(shù)；然而，對于部分調用而言，則必須嚴格按照順序進行，例如對于某一文件而言，必須嚴格按照打開、讀寫的順序進行.強函數(shù)集的作用就是對這種具有嚴格順序要求的函數(shù)進行存儲.

當前有關程序行為的異常檢測中所使用的檢測器主要有狀態(tài)機、隱馬爾可夫鏈以及神經網絡等.其中，狀態(tài)機主要是以進程為依據(jù)調用系統(tǒng)函數(shù)，同時完成有限主動機的構建進行檢測；隱馬爾可夫鏈則以統(tǒng)計學相關理論為依據(jù)，按照進程轉移系統(tǒng)調用狀態(tài)，從而達到異常檢測目的.

利用面向程序行為的異常檢測模型對網絡異常進行檢測需要經歷以下幾個步驟：第一步，訓練檢測器.在訓練檢測器的同時需要完成調用函數(shù)集的構建操作，并統(tǒng)計表項中的最大參數(shù)長度及后繼個數(shù)；第二步，以專家知識為依據(jù)，面向調用函數(shù)集進行選擇，以確定重要性程度最高、具有明確順序要求的函數(shù)，并根據(jù)所挑選出的函數(shù)構建強函數(shù)集；最后，生成強序列，具體也以上一步所構建的強函數(shù)集為依據(jù).

借助本文所構建的面向程序行為的異常檢測模型實施網絡入侵檢測，需要在預處理階段對跟蹤器中系統(tǒng)調用函數(shù)位置進行檢查，確定其具體位置以及參數(shù)的長度；判斷引用數(shù)加一的情況下是否會越出警戒線；一旦出現(xiàn)上述情況，就會進行異常報警.

在相關預處理完成之后就進入到檢測器檢測階段，與此同時以強函數(shù)集為依據(jù)，完成強序列的構建；在實現(xiàn)完整的功能子序列檢測之后，向檢測器中輸入強序列進行檢測，經過檢測若發(fā)現(xiàn)存在異常情況，則向決策模塊發(fā)出警報.

3 結語

綜上所述，計算機信息技術的迅猛發(fā)展，網絡影響范圍的逐步擴大，網絡安全性問題也日益嚴重，有效防范黑客等攻擊，維護網絡安全成為一大研究熱點.作為防火墻之后維護網絡安全的有效途徑，入侵檢測技術也逐漸引起廣泛關注.本文主要介紹了一種面向程序行為的異常檢測模型，并對函數(shù)庫、跟蹤器、檢測器、強序列構造器、決策模塊、響應模塊以及控制模塊等的作用以及依托于該模型的網絡安全的實現(xiàn)進行闡述.

〔1〕王新志,孫樂昌,陸余良,張旻.一種面向軟件行為可信性的入侵檢測方法[J].中國科學技術大學學報，2011(07).

〔2〕董迎亮,玄雪花,王德民.基于 WM算法改進的多模式匹配算法 [J].吉林大學學報 (信息科學版)，2011(04).

〔3〕王蘇南.高速復雜網絡環(huán)境下異常流量檢測技術研究[D].解放軍信息工程大學，2012.

〔4〕E.C.Claudino,Z.Abdelouahab,M.M.Teixeira.Management and integration of information in intrusion detection system:Data integration system for IDS based multi-agent systems.Pro 2006 IEEE/W IC/ACM Inter.Conf.2006.

〔5〕Wei Zhang,,Shaohua Teng,Xiufen Fu,Lin Wang.Research on communication mechanism among cooperating multi-Intrusion Detection Agents.5th IEEE international conference on cognitive informatics ICCI.2006.

〔6〕沈學利,張紀鎖.基于BP網絡與改進的PSO算法的入侵檢測研究[J].計算機工程與科學，2010(06).