張?jiān)弃Q

（安徽電子信息職業(yè)技術(shù)學(xué)院，安徽 蚌埠 233000）

所謂入侵檢測，顧名思義，就是檢測入侵行為，即面向安全日志、審計(jì)數(shù)據(jù)及其他互聯(lián)網(wǎng)及計(jì)算機(jī)系統(tǒng)中的關(guān)鍵點(diǎn)進(jìn)行信息收集，在對信息進(jìn)行分析的基礎(chǔ)之上確定網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中是否存在與安全策略不相符的行為或攻擊跡象.

具有入侵檢測功能的相關(guān)軟件及硬件構(gòu)成了入侵檢測系統(tǒng).以所采取的分析方法為依據(jù)，可以將入侵檢測行為劃分為異常檢測及誤用檢測兩種.其中異常檢測，指的是借助定量方法對可接受行為特征進(jìn)行描述，將非正常行為與正常行為區(qū)分開來，從而達(dá)到檢測入侵行為的目的.

1 網(wǎng)絡(luò)異常入侵檢測模型

異常檢測模型具有動(dòng)態(tài)性，根據(jù)檢測對象的不同，模塊的結(jié)構(gòu)也有所區(qū)別.根據(jù)上圖可知，異常檢測模型主要包括函數(shù)庫、跟蹤器、檢測器、強(qiáng)序列構(gòu)造器、決策模塊、響應(yīng)模塊以及控制模塊等幾部分.

跟蹤器的作用主要是對程序運(yùn)動(dòng)過程中出現(xiàn)的派生進(jìn)程進(jìn)行跟蹤，并對該進(jìn)程對系統(tǒng)的調(diào)用序列進(jìn)行收集；函數(shù)庫作為一個(gè)數(shù)據(jù)庫，其作用主要是對系統(tǒng)函數(shù)進(jìn)行存儲(chǔ).系統(tǒng)調(diào)用集主要取決于系統(tǒng)版本，在本文中，設(shè)該系統(tǒng)調(diào)用集為I，并將強(qiáng)函數(shù)集與調(diào)用函數(shù)集同時(shí)引入該模型中，分別設(shè)為Pi和Ui，其中，i表示功能子序列編號(hào)，則系統(tǒng)調(diào)用集、強(qiáng)函數(shù)集和調(diào)用函數(shù)集之間的關(guān)系可以表示為：Pi哿Ui哿I；強(qiáng)序列構(gòu)造器包括函數(shù)集合強(qiáng)序列兩部分，其作用主要是有效解決滑動(dòng)窗口大小無法調(diào)整的問題；檢測器的作用就是對進(jìn)程序列是否存在異常進(jìn)行劃定；決策模塊的作用是針對預(yù)處理及檢測器所發(fā)出的異常狀況警報(bào)進(jìn)行處理；控制模塊的作用主要有：完成函數(shù)集的構(gòu)建，并進(jìn)行實(shí)時(shí)更新；根據(jù)實(shí)際情況對檢測器及預(yù)處理中的閥值進(jìn)行設(shè)置；調(diào)度模塊能夠?qū)崿F(xiàn)對子檢測模塊的動(dòng)態(tài)性創(chuàng)建及調(diào)度，同時(shí)檢測來自于主跟蹤模塊的子進(jìn)程；預(yù)處理的任務(wù)主要是針對跟蹤器發(fā)出的數(shù)據(jù)進(jìn)行初步處理，并將處理之后的數(shù)據(jù)傳輸?shù)綑z測器.具體來講包括以下三項(xiàng)內(nèi)容：第一，根據(jù)實(shí)際情況及需求分解原始數(shù)據(jù)，在此過程中將有誤數(shù)據(jù)去除，同時(shí)將無法被檢測器所識(shí)別的符號(hào)字段進(jìn)行轉(zhuǎn)化處理；第二步，為最大限度的避免因記錄間字段數(shù)據(jù)懸殊影響網(wǎng)絡(luò)訓(xùn)練，需要進(jìn)行歸一化處理；最后，對單位時(shí)間內(nèi)調(diào)用函數(shù)集中的內(nèi)容進(jìn)行審查，并作出有誤超出預(yù)設(shè)閥值的情況；響應(yīng)模塊借助防火墻以及路由器等中斷模塊實(shí)現(xiàn)對異常進(jìn)程的有效處理.

2 網(wǎng)絡(luò)安全的實(shí)現(xiàn)

上面所介紹的面向程序行為的異常檢測模型中的函數(shù)集庫主要涉及調(diào)用函數(shù)集以及強(qiáng)函數(shù)集兩部分.

調(diào)用函數(shù)集的作用主要是對功能子序列中系統(tǒng)調(diào)用函數(shù)及相關(guān)信息進(jìn)行存儲(chǔ).在具體操作中一項(xiàng)重要環(huán)節(jié)就是對各個(gè)功能子序列中最小系統(tǒng)調(diào)用函數(shù)，這一步極為關(guān)鍵，原因在于，程序?qū)ο到y(tǒng)函數(shù)的調(diào)用，從本質(zhì)上講，就是調(diào)用系統(tǒng)資源，對于與功能子序列相對應(yīng)的進(jìn)程而言，當(dāng)其超出該最小系統(tǒng)調(diào)用函數(shù)的情況出現(xiàn)，基本可以斷定發(fā)生了系統(tǒng)異常.對函數(shù)全部參數(shù)進(jìn)行梳理，確定參數(shù)最長的值，并在最大參數(shù)長度中對其進(jìn)行記錄.受編譯系統(tǒng)及程序自身缺陷的影響，部分程序比較容易遭受來自于緩沖區(qū)溢出攻擊，緩沖區(qū)溢出需要記錄shell code，與正常參數(shù)相比較而言，shell code的長度更長，因此，對該類型攻擊的一項(xiàng)有效途徑就是對最大參數(shù)長度進(jìn)行記錄.

所謂后繼個(gè)數(shù)，具體是指在函數(shù)后面能夠跟隨其他系統(tǒng)的函數(shù)的數(shù)量.后繼個(gè)數(shù)會(huì)對檢測器收斂性造成一定程度的影響，對于這一問題，實(shí)踐中比較常見的處理措施主要有兩種，一種是將該函數(shù)去除，另外一種就是添加一個(gè)隱藏層.

強(qiáng)函數(shù)集.對于某一計(jì)算機(jī)程序而言，在其處于運(yùn)行狀態(tài)的情況下，受其所處環(huán)境及交互過程的影響，無法事先知曉系統(tǒng)調(diào)用次數(shù)；然而，對于部分調(diào)用而言，則必須嚴(yán)格按照順序進(jìn)行，例如對于某一文件而言，必須嚴(yán)格按照打開、讀寫的順序進(jìn)行.強(qiáng)函數(shù)集的作用就是對這種具有嚴(yán)格順序要求的函數(shù)進(jìn)行存儲(chǔ).

當(dāng)前有關(guān)程序行為的異常檢測中所使用的檢測器主要有狀態(tài)機(jī)、隱馬爾可夫鏈以及神經(jīng)網(wǎng)絡(luò)等.其中，狀態(tài)機(jī)主要是以進(jìn)程為依據(jù)調(diào)用系統(tǒng)函數(shù)，同時(shí)完成有限主動(dòng)機(jī)的構(gòu)建進(jìn)行檢測；隱馬爾可夫鏈則以統(tǒng)計(jì)學(xué)相關(guān)理論為依據(jù)，按照進(jìn)程轉(zhuǎn)移系統(tǒng)調(diào)用狀態(tài)，從而達(dá)到異常檢測目的.

利用面向程序行為的異常檢測模型對網(wǎng)絡(luò)異常進(jìn)行檢測需要經(jīng)歷以下幾個(gè)步驟：第一步，訓(xùn)練檢測器.在訓(xùn)練檢測器的同時(shí)需要完成調(diào)用函數(shù)集的構(gòu)建操作，并統(tǒng)計(jì)表項(xiàng)中的最大參數(shù)長度及后繼個(gè)數(shù)；第二步，以專家知識(shí)為依據(jù)，面向調(diào)用函數(shù)集進(jìn)行選擇，以確定重要性程度最高、具有明確順序要求的函數(shù)，并根據(jù)所挑選出的函數(shù)構(gòu)建強(qiáng)函數(shù)集；最后，生成強(qiáng)序列，具體也以上一步所構(gòu)建的強(qiáng)函數(shù)集為依據(jù).

借助本文所構(gòu)建的面向程序行為的異常檢測模型實(shí)施網(wǎng)絡(luò)入侵檢測，需要在預(yù)處理階段對跟蹤器中系統(tǒng)調(diào)用函數(shù)位置進(jìn)行檢查，確定其具體位置以及參數(shù)的長度；判斷引用數(shù)加一的情況下是否會(huì)越出警戒線；一旦出現(xiàn)上述情況，就會(huì)進(jìn)行異常報(bào)警.

在相關(guān)預(yù)處理完成之后就進(jìn)入到檢測器檢測階段，與此同時(shí)以強(qiáng)函數(shù)集為依據(jù)，完成強(qiáng)序列的構(gòu)建；在實(shí)現(xiàn)完整的功能子序列檢測之后，向檢測器中輸入強(qiáng)序列進(jìn)行檢測，經(jīng)過檢測若發(fā)現(xiàn)存在異常情況，則向決策模塊發(fā)出警報(bào).

3 結(jié)語

綜上所述，計(jì)算機(jī)信息技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)影響范圍的逐步擴(kuò)大，網(wǎng)絡(luò)安全性問題也日益嚴(yán)重，有效防范黑客等攻擊，維護(hù)網(wǎng)絡(luò)安全成為一大研究熱點(diǎn).作為防火墻之后維護(hù)網(wǎng)絡(luò)安全的有效途徑，入侵檢測技術(shù)也逐漸引起廣泛關(guān)注.本文主要介紹了一種面向程序行為的異常檢測模型，并對函數(shù)庫、跟蹤器、檢測器、強(qiáng)序列構(gòu)造器、決策模塊、響應(yīng)模塊以及控制模塊等的作用以及依托于該模型的網(wǎng)絡(luò)安全的實(shí)現(xiàn)進(jìn)行闡述.

〔1〕王新志,孫樂昌,陸余良,張旻.一種面向軟件行為可信性的入侵檢測方法[J].中國科學(xué)技術(shù)大學(xué)學(xué)報(bào)，2011(07).

〔2〕董迎亮,玄雪花,王德民.基于 WM算法改進(jìn)的多模式匹配算法 [J].吉林大學(xué)學(xué)報(bào) (信息科學(xué)版)，2011(04).

〔3〕王蘇南.高速復(fù)雜網(wǎng)絡(luò)環(huán)境下異常流量檢測技術(shù)研究[D].解放軍信息工程大學(xué)，2012.

〔4〕E.C.Claudino,Z.Abdelouahab,M.M.Teixeira.Management and integration of information in intrusion detection system:Data integration system for IDS based multi-agent systems.Pro 2006 IEEE/W IC/ACM Inter.Conf.2006.

〔5〕Wei Zhang,,Shaohua Teng,Xiufen Fu,Lin Wang.Research on communication mechanism among cooperating multi-Intrusion Detection Agents.5th IEEE international conference on cognitive informatics ICCI.2006.

〔6〕沈?qū)W利,張紀(jì)鎖.基于BP網(wǎng)絡(luò)與改進(jìn)的PSO算法的入侵檢測研究[J].計(jì)算機(jī)工程與科學(xué)，2010(06).