計算機網(wǎng)絡(luò)安全維護中入侵檢測技術(shù)的運用實踐

姜立

摘要：隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，單獨地依靠主機審計信息進行入侵檢測難以適應(yīng)網(wǎng)絡(luò)安全的需求，于是人們提出了基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)體系結(jié)構(gòu)，這種檢測系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、單臺或多臺主機的審計數(shù)據(jù)檢測入侵。本文將主要探討計算機網(wǎng)絡(luò)安全維護中入侵檢測技術(shù)的運用。

關(guān)鍵詞：計算機；網(wǎng)絡(luò)安全；入侵檢測技術(shù)

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)流量，它實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)，檢測范圍是整個網(wǎng)絡(luò)，由于網(wǎng)絡(luò)數(shù)據(jù)是規(guī)范的TCP/IP協(xié)議數(shù)據(jù)包，所以基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)比較易于實現(xiàn)[1]。但它只能檢測出遠程入侵，對于本地入侵它是看不到的。

1入侵檢測技術(shù)概述

探測器一般由過濾器、網(wǎng)絡(luò)接口引擎器以及過濾規(guī)則決策器構(gòu)成，其功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，然后傳遞給分析引擎器進行安全分析判斷。分析引擎器將從探測器上接收到的包結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進行分析，把分析的結(jié)果傳遞給配置構(gòu)造器。配置構(gòu)造器根據(jù)分析引擎的結(jié)果構(gòu)造出探測器所需要的配置規(guī)則。分析引擎器是它的一個重要部件，用來分析網(wǎng)絡(luò)數(shù)據(jù)中的異?，F(xiàn)象或可疑跡象，并提取出異常標(biāo)志。分析引擎器的分析和判斷決定了具有什么樣特征的網(wǎng)絡(luò)數(shù)據(jù)流是非正常的網(wǎng)絡(luò)行為，它常用的4種入侵和攻擊識別技術(shù)包括根據(jù)模式、表達式或字節(jié)匹配；利用出現(xiàn)頻率或穿越閥值；根據(jù)次要事件的相關(guān)性；統(tǒng)計學(xué)意義上的非常規(guī)現(xiàn)象檢測[2]。

2計算機網(wǎng)絡(luò)安全的現(xiàn)狀

在新系統(tǒng)的設(shè)計中，利用數(shù)據(jù)挖掘技術(shù)從系統(tǒng)日志、系統(tǒng)調(diào)用序列、網(wǎng)絡(luò)流等大量數(shù)據(jù)中提取與安全相關(guān)的系統(tǒng)特征屬性，為了高效地利用特征屬性，采用特征向量集代替特征屬性變量集，設(shè)計中采用遺傳算法選擇其特征子集，以降低入侵檢測系統(tǒng)的負(fù)荷。進行數(shù)據(jù)挖掘時，所選用的安全審計數(shù)據(jù)須具備以下特點：

（1）相對于正常的用戶和系統(tǒng)行為，攻擊事件的發(fā)生概率很小[2]。

（2）在正常情況下所選用的安全審計數(shù)據(jù)非常穩(wěn)定。

（3）攻擊事件的發(fā)生會使安全審計數(shù)據(jù)的某些特征變量明顯偏離正常值。

特權(quán)程序一般都具有最高權(quán)限，因此特權(quán)程序一直是攻擊者的主要目標(biāo)。通過研究發(fā)現(xiàn)，對特權(quán)程序，系統(tǒng)調(diào)用序列較好地滿足了數(shù)據(jù)挖掘?qū)Π踩珜徲嫈?shù)據(jù)提出的要求，是理想的挖掘數(shù)據(jù)源。國外有關(guān)研究機構(gòu)還提供了大量的有關(guān)系統(tǒng)調(diào)用序列的數(shù)據(jù)供IDS的研究者下載使用，基本上滿足了完備性的要求。

系統(tǒng)調(diào)用序列檢測的工作主要流程如下：

（1）準(zhǔn)備訓(xùn)練數(shù)據(jù)集，該數(shù)據(jù)集中數(shù)據(jù)記錄具有廣泛的代表性，即具有較高的支持度；所有數(shù)據(jù)已經(jīng)被準(zhǔn)確標(biāo)識為正?；虍惓＃捎糜嘘P(guān)系統(tǒng)調(diào)用序列的數(shù)據(jù)作為分類器的訓(xùn)練數(shù)據(jù)集。

（2）用RIPPER算法分析訓(xùn)練數(shù)據(jù)集，提取特征屬性，生成規(guī)則。

（3）基于所生成的規(guī)則，用滑動窗口法分析待檢測系統(tǒng)調(diào)用序列[3]。

3入侵檢測系統(tǒng)在計算機網(wǎng)絡(luò)安全維護中的應(yīng)用

為進一步提高IDS的性能，減少IDS組件對被保護系統(tǒng)的負(fù)荷，所設(shè)計的新人侵檢測系統(tǒng)采用特征向量集代替特征屬性變量集（短序列集），在數(shù)據(jù)挖掘時產(chǎn)生了更簡單、準(zhǔn)確的入侵判別規(guī)則集。在此基礎(chǔ)上進一步研究用特征向量子集代替特征向量集，采用遺傳算法優(yōu)化特征向量子集的選擇過程，使IDS的性能得到進一步的提升[3]。

在系統(tǒng)調(diào)用序列數(shù)據(jù)的挖掘過程中使用特征向量法，用特征向量的一位標(biāo)識一個短序列，用挖掘算法能從特征向量集中找出檢測入侵的規(guī)則來。由于短序列的數(shù)量較大，導(dǎo)致特征向量位數(shù)過大，特征向量集也相應(yīng)過大。為了更高效可行地使用數(shù)據(jù)挖掘算法，采用遺傳算法對特征向量集進行優(yōu)化，尋找特征子集，利于后續(xù)的數(shù)據(jù)挖掘[4]。

該最優(yōu)個體必然是0、1交替的位串，將其所有1所在位置進行分析，可以得到1所在位置代表的短序列集，即為尋找的特征子集。后續(xù)挖掘算法根據(jù)該特征子集中的短序列，對訓(xùn)練數(shù)據(jù)進行分類等挖掘工作。

采用標(biāo)準(zhǔn)交叉算子和變異算子，交叉概率取0.6，變異概率取0.001。遺傳過程中，個體的選擇比較復(fù)雜。因為這里是針對入侵檢測進行的優(yōu)化，所以在選擇個體時，是將該個體代表的入選子集的短序列應(yīng)用到數(shù)據(jù)分類算法（RIPPER），該算法訓(xùn)練數(shù)據(jù)并應(yīng)用規(guī)則得到測試數(shù)據(jù)，根據(jù)檢測的性能來確定上述要選擇的個體的適應(yīng)度值。根據(jù)個體的適應(yīng)度值就可以對其進行選擇，繼續(xù)遺傳優(yōu)化工作。研究表明，個體的適應(yīng)值可以取決于有多少攻擊被正確檢測和正常使用連接被誤判為攻擊，同時考慮個體中置1位的數(shù)目，本系統(tǒng)設(shè)計的適應(yīng)度函數(shù)為[4]：

[F（xi）=[（a/A）-（b/B）]δm]

式中：[xi]為某個個體，a為正確檢測到的攻擊數(shù)目；A為總有攻擊數(shù)目；b為被誤判為攻擊的連接數(shù)；B為總的正常連接數(shù)；m為[xi]中1的個數(shù)；[δm]為m對于該適應(yīng)度函數(shù)的相關(guān)系數(shù)，即高檢出率低誤報率使適應(yīng)度函數(shù)值高，低檢出率高誤報率使適應(yīng)度函數(shù)值低。個體中置l的位數(shù)越少，適應(yīng)度值越大，這是出于尋找最小特征子集的考慮，其影響的強弱由相關(guān)系數(shù)d去控制。

if

{

一個網(wǎng)絡(luò)連接有如下特征：

源IP地址d2.Of.**.**；

目標(biāo)IP地址c0.a8.a*.**；

源端口號43226；

目標(biāo)端口號80；

持續(xù)時間482 s；

終止?fàn)顟B(tài)（由發(fā)起連接的人終止連接）11；

使用協(xié)議（TCP協(xié)議）2；

發(fā)送方發(fā)送了7341B；

接收方接收了37761B；

}

then

{

終止該連接；

}

結(jié)論

總之，入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進行人侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。

參考文獻：

[1]楊嶺. 基于網(wǎng)絡(luò)安全維護的計算機網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究[J]. 信息系統(tǒng)工程，2015，01：77.

[2]張旭東. 基于混合數(shù)據(jù)挖掘方法的入侵檢測算法研究[J]. 信息安全與技術(shù)，2015，02：31-33.

[3]代新穎. 計算機網(wǎng)絡(luò)安全問題及其防范措施[J]. 電子制作，2015，02：169-170.

[4]孫福兆. 基于改進加權(quán)關(guān)聯(lián)規(guī)則算法的入侵檢測系統(tǒng)的設(shè)計[J]. 科技與創(chuàng)新，2015，04：84.endprint