[摘要]網(wǎng)絡(luò)安全問(wèn)題的日益嚴(yán)峻使得傳統(tǒng)的檢測(cè)方法難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境，而采用智能化的入侵檢測(cè)技術(shù)是將來(lái)的發(fā)展方向，本文論述了采用智能入侵檢測(cè)技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用。

[關(guān)鍵詞]入侵檢測(cè) 專家系統(tǒng) 數(shù)據(jù)挖掘 神經(jīng)網(wǎng)絡(luò)

前言

入侵檢測(cè)技術(shù)是近20年來(lái)出現(xiàn)的一種新型網(wǎng)絡(luò)安全技術(shù)，能夠檢測(cè)出多種形式入侵行為，是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)安全體系的一個(gè)重要組成部分，入侵檢測(cè)的研究可以追溯到JamesP.Anderson在1980年的工作，首次提出了利用審計(jì)數(shù)據(jù)發(fā)現(xiàn)入侵行為的思想。1987年DorothyE. Denning首次給出一個(gè)入侵檢測(cè)的抽象模型，并將入侵檢測(cè)作為一個(gè)新的安全防御措施提出。后來(lái)，隨著對(duì)入侵檢測(cè)技術(shù)的廣泛和深入的研究，科研人員提出了多種入侵檢測(cè)方法，從早期的日志審計(jì)、文件的完整性檢查和異常行為的統(tǒng)計(jì)檢測(cè)等方法[1]，到現(xiàn)在智能化檢測(cè)技術(shù)的研究都體現(xiàn)了網(wǎng)絡(luò)安全問(wèn)題的日益重要和嚴(yán)峻。

智能入侵檢測(cè)技術(shù)

1.專家系統(tǒng)。傳統(tǒng)的采用模式匹配的特征檢測(cè)算法沒(méi)有邏輯推理和判斷能力，對(duì)一些有變化的攻擊就無(wú)能為力，而采用專家系統(tǒng)的入侵檢測(cè)系統(tǒng)具有適應(yīng)性強(qiáng)、可靠性強(qiáng)、相應(yīng)快和穩(wěn)定等優(yōu)點(diǎn)，用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征入侵行為，專家系統(tǒng)的建立依賴知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。而入侵特征的抽取與表達(dá)，是入侵檢測(cè)專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)化為if-then結(jié)構(gòu)，條件部分為入侵特征，then部分是系統(tǒng)防范措施，系統(tǒng)防范有特征入侵行為的有效性完全取決于知識(shí)庫(kù)的完備性。系統(tǒng)通過(guò)監(jiān)測(cè)系統(tǒng)、事件、安全記錄以及系統(tǒng)記錄和原始IP數(shù)據(jù)包的截獲來(lái)獲取數(shù)據(jù)。當(dāng)采集到的數(shù)據(jù)顯示有可疑活動(dòng)時(shí)，就會(huì)觸發(fā)規(guī)則，當(dāng)可疑超過(guò)一定門(mén)限時(shí)，即判斷發(fā)生入侵行為。

專家系統(tǒng)可有針對(duì)性地建立高效的入侵檢測(cè)系統(tǒng)，檢測(cè)準(zhǔn)確度高，但是在具體實(shí)現(xiàn)中，有如下問(wèn)題：（1）專家知識(shí)獲取問(wèn)題：即由于專家系統(tǒng)的檢測(cè)規(guī)則依賴于安全專家知識(shí)，因此難以全面的構(gòu)建知識(shí)庫(kù)；（2）規(guī)則動(dòng)態(tài)更新問(wèn)題：因?yàn)橛脩粜袨榈膭?dòng)態(tài)性也要求專家系統(tǒng)有自學(xué)習(xí)、自適應(yīng)的功能。

2.數(shù)據(jù)挖掘技術(shù)。1999年，Wenke Lee[2]給出了用數(shù)據(jù)挖掘技術(shù)建立入侵檢測(cè)模型的過(guò)程。數(shù)據(jù)挖掘是從海量數(shù)據(jù)中抽取、“挖掘”出未知的、有價(jià)值的模式和知識(shí)的復(fù)雜過(guò)程。而入侵檢測(cè)正是從大量的網(wǎng)絡(luò)數(shù)據(jù)中提取和發(fā)現(xiàn)異常的入侵行為，因此，數(shù)據(jù)挖掘中的多種技術(shù)都可以應(yīng)用于入侵檢測(cè)系統(tǒng)，例如：分類(lèi)、聚類(lèi)、關(guān)聯(lián)分析、序列分析等。

分類(lèi)技術(shù)把觀察到的事件映射到預(yù)先定義好的類(lèi)別中去。常見(jiàn)的分類(lèi)算法包括:判定樹(shù)、貝葉斯分類(lèi)器等。使用分類(lèi)技術(shù)進(jìn)行入侵檢測(cè)的基本思想是首先使用帶類(lèi)標(biāo)的訓(xùn)練數(shù)據(jù)集對(duì)分類(lèi)器進(jìn)行訓(xùn)練，使其能夠?qū)φ：彤惓Ｖ辽賰深?lèi)事件進(jìn)行區(qū)分，然后使用訓(xùn)練好的分類(lèi)器對(duì)需要檢測(cè)的事件進(jìn)行分類(lèi)，從中發(fā)現(xiàn)異常行為。

聚類(lèi)是將物理或抽象對(duì)象的集合分組成為由類(lèi)似的對(duì)象組成的多個(gè)簇的過(guò)程。同分類(lèi)不同的是，聚類(lèi)對(duì)要?jiǎng)澐值念?lèi)是未知的。分類(lèi)器的訓(xùn)練通常需要大量的有類(lèi)標(biāo)示的訓(xùn)練數(shù)據(jù)，但在實(shí)際情況下，提供這樣的數(shù)據(jù)集是相當(dāng)困難的?；诰垲?lèi)的無(wú)監(jiān)督異常檢測(cè)方法的基本思想就是假設(shè)入侵行為和正常行為的差異很大并且數(shù)量較少，因此它們能夠在檢測(cè)到的數(shù)據(jù)中呈現(xiàn)出比較特殊的屬性。Portnoy和Eskin等人提出了一種使用無(wú)類(lèi)標(biāo)示數(shù)據(jù)的基于聚類(lèi)的無(wú)監(jiān)督異常入侵檢測(cè)方法，其方法是使用一個(gè)簡(jiǎn)單的基于距離的度量[3]方法來(lái)形成簇。該方法的優(yōu)點(diǎn)在于對(duì)不需要對(duì)訓(xùn)練集進(jìn)行分類(lèi)，但漏報(bào)率較高，主要原因是該方法的性能主要依賴于訓(xùn)練集的好壞。

關(guān)聯(lián)規(guī)則挖掘的目的就是為了發(fā)現(xiàn)大量數(shù)據(jù)中項(xiàng)集之間的關(guān)聯(lián)或相關(guān)聯(lián)系。用于入侵檢測(cè)系統(tǒng)中，關(guān)聯(lián)規(guī)則挖掘可以分析標(biāo)示用戶的行為特征，發(fā)現(xiàn)正常行為數(shù)據(jù)之間的關(guān)聯(lián)，并將其作為用戶正常行為的輪廓，可以對(duì)異常行為進(jìn)行檢測(cè)。

3.神經(jīng)網(wǎng)絡(luò)技術(shù)。目前許多入侵檢測(cè)系統(tǒng)是基于Dorothy Denning的入侵檢測(cè)模型。隨著時(shí)間的推移，這些傳統(tǒng)的入侵檢測(cè)模型的缺陷逐漸暴露[4]。其誤警率高、檢測(cè)速度慢、自適應(yīng)能力差等，而神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)在于它并不會(huì)受到程序員的關(guān)于入侵知識(shí)的限制。能夠從已有的入侵行為中進(jìn)行學(xué)習(xí)，從而掌握入侵行為的一些共性的特征。因此，通過(guò)神經(jīng)網(wǎng)絡(luò)來(lái)構(gòu)建IDS，那么IDS就會(huì)變得更加高效，尤其是它將具有一定的自適應(yīng)能力，去適應(yīng)和跟蹤入侵行為的變化，從而有效地檢測(cè)出新型的入侵模式和入侵行為。

它的主要優(yōu)點(diǎn)表現(xiàn)在:(1)神經(jīng)網(wǎng)絡(luò)適用于不精確模型，而傳統(tǒng)的統(tǒng)計(jì)方法很大程度上依賴于用戶行為的主觀設(shè)計(jì)，因而，描述偏差是引起誤報(bào)的重要因素。(2)基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)方法具有普適性，可以對(duì)多個(gè)用戶采用相同的檢測(cè)措施。(3)基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)方法不必對(duì)大量的數(shù)據(jù)進(jìn)行存取，精簡(jiǎn)了系統(tǒng)。神經(jīng)網(wǎng)絡(luò)具有自適應(yīng)、自組織和自學(xué)習(xí)能力，可以處理一些環(huán)境信息十分復(fù)雜、背景知識(shí)不詳?shù)膯?wèn)題，允許樣本有較大的缺陷和不足。

國(guó)內(nèi)外已經(jīng)在神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)方面取得的一些成果。K.Fox使用神經(jīng)網(wǎng)絡(luò)來(lái)進(jìn)行攻擊檢測(cè)，對(duì)異常檢測(cè)和誤用檢測(cè)采用多層BP神經(jīng)網(wǎng)絡(luò)模型，取得了不錯(cuò)的實(shí)驗(yàn)效果.A.Ghosh和A.Schwartzhard使用神經(jīng)網(wǎng)絡(luò)用于異常檢測(cè)和誤用檢測(cè)的應(yīng)用，他們的實(shí)驗(yàn)結(jié)果表明基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型在誤用檢測(cè)中工作良好。

然而，如何提高神經(jīng)網(wǎng)絡(luò)的訓(xùn)練速度，選用合適的方法對(duì)輸入向量進(jìn)行降維和神經(jīng)網(wǎng)絡(luò)的語(yǔ)義問(wèn)題也是神經(jīng)網(wǎng)絡(luò)需要進(jìn)一步研究的地方。

4.人工免疫技術(shù)。人工免疫算法在入侵檢測(cè)中的應(yīng)用。免疫系統(tǒng)的主要目的是識(shí)別體內(nèi)的所有細(xì)胞，并將它們分為自我與非自我。將免疫系統(tǒng)應(yīng)用于異常檢測(cè)時(shí)，將自我定義為系統(tǒng)行為的正常模式，因此，觀測(cè)數(shù)據(jù)中任何超過(guò)允許變化值的偏離均被看作是行為模式中的異常行為。根據(jù)信息處理的觀點(diǎn)，免疫系統(tǒng)是一個(gè)非凡的平行及分布式自適應(yīng)系統(tǒng)，它可用于學(xué)習(xí)、記憶、聯(lián)想檢索、解決識(shí)別與分類(lèi)等問(wèn)題。如果把網(wǎng)絡(luò)系統(tǒng)看做一個(gè)生理系統(tǒng)，那么檢測(cè)系統(tǒng)實(shí)質(zhì)就是實(shí)現(xiàn)這一系統(tǒng)的免疫功能與自愈功能。

Forrest等人[5]基于免疫系統(tǒng)中自我與非自我差異的原則，為免疫系統(tǒng)開(kāi)發(fā)了一個(gè)逆向選擇算法，用它來(lái)檢測(cè)計(jì)算機(jī)系統(tǒng)內(nèi)的惡意攻擊。因此異常檢測(cè)問(wèn)題可簡(jiǎn)化為檢測(cè)所觀察的數(shù)據(jù)模式是否已經(jīng)變化的問(wèn)題，因?yàn)閿?shù)據(jù)模式的變化意味著正常行為模式的變化。這種方法可概括為：(1)收集充分顯示系統(tǒng)正常行為的時(shí)間序列數(shù)據(jù)；(2)仔細(xì)審查這些數(shù)據(jù)，決定數(shù)據(jù)模式的變化范圍，并根據(jù)所需的精度選擇編碼參數(shù)；(3)在觀察的數(shù)據(jù)范圍內(nèi)用二進(jìn)制對(duì)每個(gè)數(shù)值進(jìn)行編碼；(4)選擇適當(dāng)?shù)哪塬@取數(shù)據(jù)模式規(guī)律的窗口大??；(5)將窗口沿著時(shí)間序列進(jìn)行滑移，并將每個(gè)窗口的編碼儲(chǔ)存；(6)產(chǎn)生一個(gè)能與任何一種自我匹配的探測(cè)器。一旦正常數(shù)據(jù)模式的探測(cè)器產(chǎn)生，它就能夠盡可能地從未出現(xiàn)的時(shí)間序列數(shù)據(jù)的模式中檢測(cè)出任何變化，即非正常行為。

基于免疫系統(tǒng)的學(xué)習(xí)方法不需要中心控制器且學(xué)習(xí)時(shí)間短，本身具有的自調(diào)節(jié)和最優(yōu)化功能，能根據(jù)接收到的數(shù)據(jù)作出決策。但是，它需要足夠的能代表系統(tǒng)行為的正常數(shù)據(jù)序列樣本。

5.基于agent的檢測(cè)技術(shù)。隨著網(wǎng)絡(luò)環(huán)境的日益復(fù)雜，人們提出了用分布式的入侵檢測(cè)系統(tǒng)來(lái)增強(qiáng)檢測(cè)處理能力。然而，盡管分布式入侵檢測(cè)系統(tǒng)改善了網(wǎng)絡(luò)抗攻擊的能力，但這種系統(tǒng)也存在很多的局限性，比如局部故障會(huì)影響整體，難以動(dòng)態(tài)配置和跨異構(gòu)平臺(tái)工作等等。一些學(xué)者提出了基于agent的入侵檢測(cè)技術(shù)，因?yàn)锳gent技術(shù)具備分布式協(xié)同處理和智能化的特點(diǎn)，將之引入入侵檢測(cè)領(lǐng)域，正好可以彌補(bǔ)傳統(tǒng)入侵檢測(cè)系統(tǒng)的不足。

但是，目前agent的協(xié)同工作問(wèn)題，適合于入侵檢測(cè)系統(tǒng)的agent平臺(tái)問(wèn)題，基于agent的入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化的問(wèn)題也需要進(jìn)一步的研究。

結(jié)束語(yǔ)

隨著研究工作者的不斷努力，基于專家系統(tǒng)、數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)和免疫算法等技術(shù)的智能化的入侵檢測(cè)技術(shù)已經(jīng)顯示出它的優(yōu)越性，這些技術(shù)都是優(yōu)化技術(shù)或是模式識(shí)別技術(shù)在入侵檢測(cè)領(lǐng)域的發(fā)展，是下一步入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)。顯然，只有不斷地完善入侵檢測(cè)技術(shù)，才能開(kāi)發(fā)出性能更加強(qiáng)大、功能更加完善的入侵檢測(cè)系統(tǒng)，以確保網(wǎng)絡(luò)的真正安全。

中圖分類(lèi)號(hào)TP309文獻(xiàn)標(biāo)識(shí)碼A

參考文獻(xiàn)：

[1]崔蔚，任繼念，徐永紅.入侵檢測(cè)系統(tǒng)的研究現(xiàn)狀及發(fā)展趨勢(shì)[J]，西安郵電學(xué)院學(xué)報(bào)，2006，11，66-69.

[2]Wenke Lee ，Stolfo S J， Mok K W. A Data Mining Framework for Building Intrusion Detection Models[J]. In: Proceedings of the 1999 IEEE Symposium on Security and Privacy，1999.

[3]Portnoy L，Eskin E，Stolfo S J. Intrusion Detection with Unla2 beled Data Using Clustering[J]. In:Proceedings of ACM CSS Work2 shop on Data Mining Applied to Security， 2001.

[4]蔣建春，馮登國(guó).網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)[M]北京 國(guó)防工業(yè)出版社，2001:25-27.

[5]Forrests， Perelsona， Allenl，etal.Self-nonselfdiscrimi-nation in a computer: proceedings of IEEE Symp. on Research in Se-curity and Privacy[C]， 1994.

作者單位：洛陽(yáng)理工學(xué)院