入侵檢測系統(tǒng)利用信息熵檢測網(wǎng)絡(luò)攻擊的方法

夏秦，王志文，盧柯

摘要：目的：入侵檢測系統(tǒng) IDS主要用于檢測網(wǎng)絡(luò)和/或系統(tǒng)行為中是否存在惡意或違反策略行為，雖然目前IDS具有強大的攻擊監(jiān)測能力，但多數(shù)IDS仍然存在報警事件數(shù)量較大和誤報率較高的問題，針對IDS產(chǎn)生的大量報警事件，探索利用信息熵提高IDS命中率和降低誤報率的網(wǎng)絡(luò)攻擊檢測方法。方法：在IDS產(chǎn)生的報警事件中，選擇源IP地址、目標(biāo)IP地址、源IP地址威脅度、目標(biāo)IP地址威脅度以及數(shù)據(jù)報大小等5個關(guān)鍵屬性作為報警事件特征，使用各特征的香濃熵表示當(dāng)前時間窗口的網(wǎng)絡(luò)狀態(tài)。首先手工選取多個正常時間窗口，然后計算這些時間窗口的網(wǎng)絡(luò)狀態(tài)，并將其均值表示為正常時間集合的網(wǎng)絡(luò)狀態(tài)，通過計算當(dāng)前時間窗口和正常時間集合的網(wǎng)絡(luò)狀態(tài)的互雷尼信息熵對網(wǎng)絡(luò)是否遭受攻擊進行判斷，即如果計算結(jié)果大于檢測閾值，則認(rèn)為發(fā)生網(wǎng)絡(luò)攻擊。檢測閾值與網(wǎng)絡(luò)有關(guān)，由管理員根據(jù)基礎(chǔ)閾值和經(jīng)驗設(shè)置。實驗使用報警工具Snort在某日對校園網(wǎng)進行監(jiān)測，將其在某時段所產(chǎn)生的170516條報警事件作為訓(xùn)練數(shù)據(jù)，將另一時段產(chǎn)生的578389條報警事件作為測試數(shù)據(jù)。先在訓(xùn)練數(shù)據(jù)中通過計算相鄰時間窗口的網(wǎng)絡(luò)狀態(tài)的互雷尼熵標(biāo)識異常時間窗口，再剔除異常時間窗口中貢獻最大的IP地址產(chǎn)生的可疑報警事件，得到常規(guī)訓(xùn)練數(shù)據(jù)。再根據(jù)互雷尼信息熵的分布情況，確定基礎(chǔ)閾值和正常窗口數(shù)的取值范圍，并計算兩者各種不同組合情況下ROC（receiver operating characteristic）的曲線下方面積AUC（area under curve），最后由獲得的最大的 AUC值反過來確定最合適的基礎(chǔ)閾值和正常窗口數(shù)。為了避免真實數(shù)據(jù)中攻擊事件數(shù)量較少且各類攻擊分布不均，實驗還利用掃描工具SuperScan人工合成了主機掃描、端口掃描、DoS攻擊、蠕蟲攻擊和主機入侵等各種攻擊，并將所產(chǎn)生的相應(yīng)報警事件隨機插入到常規(guī)測試數(shù)據(jù)中。結(jié)果：實驗首先分析了該方法的有效性，真實攻擊和合成攻擊兩種環(huán)境中的測試結(jié)果表明：該方法的命中率大于 90%，誤報率小于 1%。通過改變5種不同合成攻擊的強度，實驗還分析了該方法的敏感度，可以看出：與基于報警特征香農(nóng)熵的攻擊檢測方法相比，該方法對攻擊更敏感，最易檢測出DoS攻擊和主機入侵，其次是主機掃描和端口掃描，對蠕蟲攻擊的檢測敏感度稍差。此外，還與對比系統(tǒng)進行了比較，測試結(jié)果表明：該方法除了對端口掃描合成攻擊的命中率略低于對比系統(tǒng)外，對真實攻擊和其他4種合成攻擊的命中率均高于對比系統(tǒng)，在誤報率方面的優(yōu)勢更加明顯。結(jié)論：提出的網(wǎng)絡(luò)攻擊檢測方法綜合考慮了報警事件屬性以及報警工具自身特點，使用源 IP地址，目標(biāo)IP地址，源IP地址威脅度，目標(biāo)IP地址威脅度以及數(shù)據(jù)報大小能夠說明報警事件特征，利用報警事件特征的香濃熵能夠刻畫網(wǎng)絡(luò)狀態(tài)，利用網(wǎng)絡(luò)狀態(tài)的互雷尼信息熵能夠識別網(wǎng)絡(luò)狀態(tài)的變化。有效性和敏感度實驗說明：該方法在提高IDS命中率的同時，還能有效降低誤報率。

來源出版物：西安交通大學(xué)學(xué)報, 2013, 47(2): 14-19

入選年份：2016

瀝青混合料疲勞自愈性能關(guān)鍵影響因素

楊軍，王昊鵬，廖輝

摘要：目的：瀝青混合料的自愈能力可以定義為：在行車荷載和環(huán)境變化的反復(fù)作用下，瀝青膠結(jié)料或混合料產(chǎn)生的裂縫可以部分或全部愈合的能力。研究表明，瀝青混合料的疲勞自愈性能影響因素主要包括瀝青混合料內(nèi)部條件和外部環(huán)境。內(nèi)部條件具體為瀝青混合料的材料性狀（集料、填料、瀝青、級配等）和受損程度；外部環(huán)境包括荷載、溫度、濕度和時間（恢復(fù)期或休息期長短）等。方法：通過灰色關(guān)聯(lián)分析，研究不同自愈影響因素的顯著水平，并探討各因素的影響機理，并將瀝青混合料的自愈潛能考慮到瀝青路面的設(shè)計與施工中。為了研究不同瀝青混合料疲勞自愈性能影響因素的顯著水平，進行有休息期和無休息期的瀝青混合料室內(nèi)四點彎曲疲勞試驗。通過比較在有/無休息期下的勁度比與循環(huán)加載次數(shù)的關(guān)系曲線，定義在不同損傷程度下的瀝青混合料愈合指數(shù)。對不同因素條件下的瀝青混合料疲勞試驗結(jié)果進行灰色關(guān)聯(lián)分析，分別研究了瀝青種類、瀝青含量、空隙率、溫度、休息期、損傷程度6種因素對瀝青混合料疲勞自愈性能的影響程度。結(jié)果：根據(jù)所定義愈合指數(shù)，可得到即時的瀝青混合料自愈合率，不需等待疲勞試驗結(jié)束?；谊P(guān)聯(lián)分析表明瀝青種類、休息期、損傷程度的灰關(guān)聯(lián)系數(shù)分別為0.715，0.660，0.640，均大于 0.6，說明其對瀝青混合料疲勞自愈性能影響顯著。瀝青的物理化學(xué)性質(zhì)直接決定了瀝青的自愈能力；休息期的存在提升了瀝青混合料的自愈速率；瀝青混合料的損傷程度越低，其自愈合能力越強?？障堵?、溫度、瀝青用量的灰關(guān)聯(lián)系數(shù)分別為0.599，0.585，0.529?？障堵实拇笮⒂绊?zhàn)そY(jié)愈合和內(nèi)聚愈合在總愈合中所占的比例，從而影響其愈合效果；提高溫度可以提升愈合的速率；瀝青用量對瀝青混合料自愈性能的影響依賴于其他因素，提升參與愈合的有效瀝青含量，可以提升瀝青混合料的自愈合能力。結(jié)論：在工程實踐中，可以從以下4個方面提高瀝青混合料的自愈合能力，進而延長其疲勞壽命：（1）選擇自愈合能力強的瀝青膠結(jié)料；（2）通過控制交通量或者分散車道車流來增加休息期；（3）嚴(yán)格控制車輛超載，降低瀝青路面損傷程度；（4）在氣溫較高的季節(jié)進行路面裂縫的修補及養(yǎng)護。此外，瀝青的自愈能力和瀝青材料自愈合能力增強技術(shù)將是未來自愈合技術(shù)研究的主要方向。

來源出版物：東南大學(xué)學(xué)報（自然科學(xué)版）, 2016, 46(1):196-201

入選年份：2016