劉佳

摘要：傳統(tǒng)的入侵檢測系統(tǒng)只能檢測已知入侵行為，對于新型入侵行為難以監(jiān)測及采取應(yīng)對策略?；诰W(wǎng)絡(luò)預(yù)警的自適性入侵檢測系統(tǒng)，能夠從網(wǎng)絡(luò)流量方面防護重點設(shè)備，根據(jù)周圍設(shè)備的異常情況識別新型入侵并進行安全策略升級。采用C4.5決策樹作為入侵檢測器核心算法。仿真實驗表明，網(wǎng)絡(luò)預(yù)警自適性入侵檢測系統(tǒng)理論上擁有74.23%的檢出率和92.21%的有效檢測率（檢出率+入侵類型錯誤率）。

關(guān)鍵詞：自適性入侵檢測；入侵檢測系統(tǒng)；決策樹；新型入侵檢測；基于網(wǎng)絡(luò)入侵檢測

DOIDOI：10.11907/rjdk.172537

中圖分類號：TP399

文獻標(biāo)識碼：A文章編號文章編號：16727800（2018）003021004

英文摘要Abstract：Traditional intrusion detection system is based on the known intrusion signatures， which is weak in detecting new type intrusions. The networkalarmed intrusion detection system has the ability to build whole environment security belief through gathering anomaly situations of surrounded equipment. The system defends important equipment through detecting the data flowing into this equipment. According to the whole environment security belief， the system updates the security policy. The system applies the C4.5 decision tree as key detection algorithm， and realizes the algorithm. The simulation results show that the system has 74.23% detection rate and 92.21% effective detection rate （detection rate+false intrusion type rate）.

英文關(guān)鍵詞Key Words：adaptive intrusion detection； intrusion detection system； decision tree； new pattern intrusion detection； intrusion detection based on Network

0引言

入侵檢測技術(shù)是一種檢測入侵情況的預(yù)防措施，能夠在損害發(fā)生之前將入侵識別并將其與系統(tǒng)阻隔起來。隨著網(wǎng)絡(luò)的普及與智能化，入侵行為越來越難以監(jiān)測，各種新型入侵行為層出不窮。傳統(tǒng)的入侵檢測系統(tǒng)是在先驗異常行為的基礎(chǔ)上進行異常行為的對比識別，缺乏識別新型入侵類型的能力，難以應(yīng)對現(xiàn)今多樣化的入侵模式。為了彌補入侵檢測系統(tǒng)難以識別新型入侵行為的缺陷，研究人員提出了能夠識別新型入侵行為的檢測系統(tǒng)。

1相關(guān)工作

2003年，D Nojiri、 J Rowe、 K Levitt[1] 提出通過一種協(xié)作減輕反應(yīng)機制抑制大規(guī)模網(wǎng)絡(luò)蠕蟲攻擊，系統(tǒng)設(shè)備采用一種被稱作“朋友機制”的協(xié)作機制進行相互交流，向可能的被攻擊點發(fā)送攻擊報告。

2006年，Intel公司開發(fā)了稱作“自治企業(yè)安全”的方案[2] ，檢測本地系統(tǒng)突然偏離日常行為模式的各種細微線索，向其它主機通報異?；顒?，如果異?；顒映^給定閾值則判定為新型攻擊。

2008年，MA Rajab、 F Monrose、 A Terzis[3] 利用分布式優(yōu)點進行分布式入侵檢測，提出了一種新的蠕蟲繁殖模型，檢查潛在的脆弱性存在點預(yù)測蠕蟲攻擊。實驗表明，在相同規(guī)模的入侵檢測器下，分布式入侵檢測器比一般入侵檢測器速度提高4倍，易受攻擊點的局部密度分布信息能用來提高檢測器布置方案效果。

2013年，NA Elfeshawy、OS Faragallah[4] 提出了一種采用劃分兩部分的自適性入侵檢測系統(tǒng)降低誤報率的方法，具有偵測可疑行為和確定入侵行為的高度自治，應(yīng)用徑向基函數(shù)的自學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)達到自適性檢測入侵的目的。其將入侵檢測分為兩個部分：①部署在防火墻上，偵測每個進入者的流量包是否是攻擊；②部署在防火墻之后，偵測通過防火墻的攻擊行為，實驗證明該方法具有較好性能。

2016年，M Ajabi、I Boukhris、Z Elouedi[5]首次提出信任決策樹，采用信任函數(shù)理論和建立信任決策樹進行大數(shù)據(jù)的入侵檢測，將MapReduce編程模型和求平均值作為不確定情況下的分類方法。

2017年，WL AlYaseen、ZA Othman、MZA Nazri[6]提出了一種多層次混合SVM與ELM方法監(jiān)測正常行為和已知入侵。自適性SVM模型能監(jiān)測與實時學(xué)習(xí)新型攻擊。實驗表明，該模型大大降低了監(jiān)測未知入侵行為的時間。

2系統(tǒng)設(shè)計與實現(xiàn)

2.1決策樹生成

分類（Classification）[11] 是指提取數(shù)據(jù)集相關(guān)信息，從中提取數(shù)據(jù)集各類特征，形成分類數(shù)學(xué)模型，進行分類與預(yù)測。決策樹算法分類在入侵檢測中具有快速與準(zhǔn)確性高的特點，因此采用決策樹作為核心入侵檢測器。決策樹算法有ID3、C4.5、CART[7] 等，本文采用ID3的改進算法——C4.5算法[8] ，以減少ID3算法的過度擬合現(xiàn)象。

遞歸選擇出當(dāng)前對D的劃分具有最大貢獻度的屬性，直至所有類別為同一類別或達到某一個閾值后，結(jié)束決策樹構(gòu)造。具體步驟[8] 如下：①采用Intrusion_type作為相應(yīng)的入侵類標(biāo)號，D為訓(xùn)練元組和相應(yīng)類標(biāo)號的完全集，計算D中各屬性的增益率，選取具有最大增益率的屬性作為分類屬性，將D分為v1類；②分別計算v1類的各自增益率，選擇具有最大增益率的屬性作為分類屬性；③各分支節(jié)點的祖先屬性不作為本次分支的分裂屬性；④依次遞歸構(gòu)造具有最大增益率的屬性作為當(dāng)前分裂屬性；⑤如果當(dāng)前的分裂屬性將數(shù)據(jù)分為同一個類別或到達一個閾值，則此類別作為一個葉子，結(jié)束此分支分類；⑥如果當(dāng)前分裂屬性將元組劃分為純類別，則以各類別作為葉子，節(jié)點名為各分類名字，分類結(jié)束。

多次遞歸后，每次分類都是當(dāng)前最優(yōu)分類，得到全局最優(yōu)解幾率很大，即形成能夠考慮全部屬性給出入侵類型的最優(yōu)分類決策樹，達到較高的準(zhǔn)確率。

2.2信任度建立及信息預(yù)警

通過入侵檢測傳感器進行數(shù)據(jù)收集，缺失屬性值的類采用樸素貝葉斯預(yù)測[9] 補全，收集信息包括連接各層協(xié)議類型、發(fā)生時間、近期一定時間內(nèi)連接情況等信息，并在發(fā)現(xiàn)異常信息后將異常信息相關(guān)數(shù)據(jù)向周圍入侵檢測點發(fā)送，各入侵檢測點根據(jù)到達其它入侵檢測點距離的遠近建立距離表，根據(jù)距離異常情況發(fā)生的節(jié)點遠近及危險程度，得到全局網(wǎng)絡(luò)安全情況信任度，見表1、表2。當(dāng)全局網(wǎng)絡(luò)安全情況信任度在一定時間內(nèi)到達一定閾值時，則認為入侵檢測模型無力，無法檢測相應(yīng)入侵情況。這時建立異常信息預(yù)警并向周圍節(jié)點發(fā)送，提升周圍結(jié)點入侵防護等級，并向策略實施點（PEP）發(fā)送預(yù)警報告，報告檢測到的入侵信息相關(guān)流量與連接特征。

根據(jù)各入侵檢測點偵測到的異常信息數(shù)據(jù)，統(tǒng)計異常信息發(fā)生時的屬性信息，計算異常程度值，并將異常信息及數(shù)據(jù)發(fā)送到周圍入侵檢測點。周圍入侵檢測點根據(jù)異常屬性權(quán)重表和異常程度值，計算各權(quán)重異常值。根據(jù)接收到信息的機器與發(fā)生異常的機器的距離計算周圍各設(shè)備異常值，建立全局網(wǎng)絡(luò)安全情況信任度。超出閾值則認為發(fā)生了新型入侵行為，向策略實施點（PEP）發(fā)送異常報告，包括識別的異常數(shù)據(jù)及異常發(fā)生位置。將識別的異常信息標(biāo)注新型入侵標(biāo)識，并將收集的異常信息發(fā)送到策略實施點（PEP）進行處理。

2.3自適性入侵檢測系統(tǒng)架構(gòu)

基于決策樹入侵檢測器，提出了一種分布式入侵檢測系統(tǒng)架構(gòu)。該架構(gòu)分為反饋信息收集點（PFP）、信息處理節(jié)點（DPP）、全局網(wǎng)絡(luò)安全情況信任度建立節(jié)點（OSCP）、自適性入侵檢測模型改進節(jié)點（AIDP）、分布式入侵檢測點（IDP）、設(shè)備分類管理中間件（IDM'S）、全局設(shè)備管理節(jié)點（MOM）、管理員系統(tǒng)（MPS）8大部分。其中信息處理節(jié)點、全局情況建立節(jié)點、自適性入侵檢測模型改進節(jié)點、全局設(shè)備管理節(jié)點共同組成了中央處理系統(tǒng)。在重點設(shè)備之前布設(shè)網(wǎng)絡(luò)流量傳感器，重點監(jiān)控流向重點設(shè)備的網(wǎng)絡(luò)流量信息，見圖1。網(wǎng)絡(luò)預(yù)警自適性入侵檢測系統(tǒng)見圖2。

（1）分布式入侵檢測點（IDP）：將入侵檢測與防護系統(tǒng)安裝到設(shè)備內(nèi)部，部署相應(yīng)的入侵防護措施。建立全局網(wǎng)絡(luò)安全情況信任度，并在全局網(wǎng)絡(luò)安全情況信任度到達閾值時向反饋信息收集點（PFP）發(fā)送預(yù)警報告。

（2）反饋信息收集點（PFP）：收集來自各分布式入侵檢測點（IDP）和IDM'S的平臺信息以及預(yù)警報告，將相應(yīng)信息發(fā)送給信息處理節(jié)點（DPP）。

（3）信息處理節(jié)點（DPP）：將收集到的反饋信息進行整理，將處理后的數(shù)據(jù)傳送給信任度節(jié)點（OSCP）及自適應(yīng)入侵檢測模型改進節(jié)點（AIDP）。

（4）全局網(wǎng)絡(luò)安全情況信任度建立節(jié)點（OSCP）：根據(jù)信息處理節(jié)點（DPP）傳送的信息，提取各異常情況發(fā)生位置，建立全局網(wǎng)絡(luò)安全情況信任度，對異常位置進行定位。如果全局網(wǎng)絡(luò)安全情況信任度超過預(yù)先設(shè)置的閾值，就向全局設(shè)備管理節(jié)點（MOM）發(fā)送提升網(wǎng)絡(luò)整體安全防護等級命令。

（5）自適性入侵檢測模型改進節(jié)點（AIDP）：根據(jù)信息處理節(jié)點（DPP）反饋的信息，假定當(dāng)前入侵為同一種新型入侵行為，則根據(jù)數(shù)據(jù)重新適應(yīng)性生成決策樹。

（6）全局設(shè)備管理節(jié)點（MOM）：主要負責(zé)全局設(shè)備的分類及管理。

（7）設(shè)備分類管理中間件（IDM'S）：負責(zé)接收來自全局設(shè)備管理節(jié)點（MOM）的命令，并將這些命令部署到對應(yīng)類別的分布式入侵檢測點（IDP）中。

（8）管理員系統(tǒng)（MPS）：為管理員對入侵檢測系統(tǒng)進行整體管理與溝通交流的平臺。

2.4架構(gòu)運作流程

網(wǎng)絡(luò)預(yù)警自適性入侵檢測系統(tǒng)運作流程：①生成初始入侵檢測器，并通過MOM與IDM′S推送到各個IDP；②設(shè)備分類管理中間件（IDM′S）將各安全策略及安全防護等級推送入設(shè)備；③各分布式入侵檢測點（IDP）設(shè)備根據(jù)對應(yīng)設(shè)備分類管理中間件（IDM′S）推送的安全策略與決策樹入侵檢測模型，將安全策略部署在系統(tǒng)，設(shè)置初始安全防護等級，確定安全防護的寬松程度；④網(wǎng)絡(luò)運行過程中，若分布式入侵檢測點（IDP）檢測到異常情況，就向其它設(shè)備發(fā)送預(yù)警信息，其它設(shè)備接收到預(yù)警信息后建立全局網(wǎng)絡(luò)安全情況信任度；⑤當(dāng)入侵檢測點（IDP）計算出的閾值達到一個數(shù)值時，就向周圍設(shè)備和分布式入侵檢測點（IDP）發(fā)布入侵警報，提升設(shè)備安全防護等級，采取相對寬松的安全防護策略，持續(xù)監(jiān)測入侵情況并向反饋信息收集點（PFP）發(fā)送入侵預(yù)警報告；⑥信息處理節(jié)點（DPP）將數(shù)據(jù)發(fā)送到全局網(wǎng)絡(luò)安全情況信任度建立節(jié)點（OSCP）和自適性入侵檢測模型改進節(jié)點（AIDP）；⑦全局網(wǎng)絡(luò)安全情況信任度建立節(jié)點（OSCP）提取預(yù)警報告中的安全威脅發(fā)生位置，建立全局網(wǎng)絡(luò)安全情況信息，并根據(jù)設(shè)備的安全防護等級建立全局網(wǎng)絡(luò)安全情況信任度，如果全局網(wǎng)絡(luò)安全情況信任度超過一定閾值，則向全局設(shè)備管理節(jié)點（MOM）發(fā)送安全防護等級提升命令；⑧自適性入侵檢測模型改進節(jié)點（AIDP）根據(jù)接收的信息進行決策樹自適重新生成，將生成的新決策樹驗證準(zhǔn)確度后發(fā)送給全局設(shè)備管理節(jié)點（MOM）；⑨全局設(shè)備管理節(jié)點（MOM）根據(jù)信任度建立節(jié)點（OSCP）發(fā)送的命令和自適性入侵檢測模型改進節(jié)點（AIDP）發(fā)送的自適決策樹，向設(shè)備分類管理中間件（IDM′S）發(fā)送命令、對應(yīng)策略與自適應(yīng)決策樹；⑩各設(shè)備分類管理中間件（IDM′S）驗證信息來源，將全局設(shè)備管理節(jié)點（MOM）發(fā)送來的命令、策略發(fā)送到對應(yīng)的分布式入侵檢測點（IDP），各分布式入侵檢測點（IDP）根據(jù)相應(yīng)命令與策略部署安全策略。

3仿真實驗

采用國際通用的評估數(shù)據(jù)集KDD CUP99進行實驗仿真及決策樹的建立與測試。初始決策樹訓(xùn)練數(shù)據(jù)采用KDD CUP99數(shù)據(jù)集中的10%訓(xùn)練數(shù)據(jù)集的10%數(shù)據(jù)量。測試數(shù)據(jù)采用KDD CUP99數(shù)據(jù)集中的10%測試數(shù)據(jù)集，將檢出率（DR%）、誤報率（FP%）、漏報率（FN%）與數(shù)據(jù)檢測不出率（DN%）、入侵類型錯誤率（FI%）作為評估入侵檢測模型性能的重要依據(jù)，得出結(jié)果見表3、圖3、圖4。

在實驗結(jié)果中，訓(xùn)練數(shù)據(jù)集中存在0.06%的新型入侵?jǐn)?shù)據(jù)，決策樹檢出率為74.23%，有效檢測率為92.21%（檢出率+入侵類型錯誤率），具有較高的檢測水平。

4結(jié)語

網(wǎng)絡(luò)預(yù)警自適性入侵檢測系統(tǒng)，能夠在網(wǎng)絡(luò)環(huán)境設(shè)備相互交流的情況下識別異常情況，從而識別新型入侵行為，對重點設(shè)備進行網(wǎng)絡(luò)流量防護。采用決策樹作為入侵檢測器，在識別新型入侵類型的基礎(chǔ)上重新自適應(yīng)生成決策樹，利用決策樹檢測快速與準(zhǔn)確率較高的特點，理論上達到74.23%的檢出率和92.21%的有效檢測率，檢測水平較高。

參考文獻參考文獻：

[1]NOJIRI D， ROWE J， LEVITT K. Cooperative response strategies for large scale attack mitigation[C]. DARPA Information Survivability Conference and Exposition，2003.Proceedings. IEEE，2003：293302.

[2]JM AGOSTA， CT GROUP，I CORPORATION. Towards autonomic enterprise security： selfdefending platforms， distributed detection， and adaptive feedback[J].Intel Technology Journal，2006，10（4）：284299.

[3]RAJAB M A， MONROSE F， TERZIS A. On the effectiveness of distributed worm monitoring[EB/OL]. http：//www.doc88.com/p1834503832735.html.

[4]ELFESHAWY N A， FARAGALLAH O S. Divided twopart adaptive intrusion detection system[M]. SpringerVerlag New York， Inc，2013.

[5]AJABI M， BOUKHRIS I， ELOUEDI Z. Big data classification using belief decision trees： application to Intrusion Detection[C]. The International Symposium on Advanced Intelligent Systems and Informatics， Aisi，2016：149150.

[6]ALYASEEN W L， OTHMAN Z A， NAZRI M Z A. Realtime multiagent system for an adaptive intrusion detection system[J]. Pattern Recognition Letters，2017（85）：5664.

[7]BREIMAN L， FRIEDMAN J H， OLSHEN R， et al. Classification and regression trees[J]. Biometrics，1984，40（3）：358359.

[8]QUINLAN J R. C4.5： programs for machine learning[EB/OL]. http：//wenku.it168.com/d_000256407.shtml.

[9]WILLIAMSTALLINGS， LAWRIEBROWN.計算機安全：原理與實踐[M].北京：電子工業(yè)出版社，2015：120122.

[10]JIAWEIHAN， MICHELINEKAMBER.數(shù)據(jù)挖掘：概念與技術(shù)[M].北京：機械工業(yè)出版社，2007：211213.

責(zé)任編輯（責(zé)任編輯：杜能鋼）