摘  要：為了提高入侵檢測系統(tǒng)檢測的實時性，提出了一種基于智能流量預測的入侵檢測方法。該方法擬合了智能Agent的智能性、自主性和自適應性的優(yōu)點以及灰色預測對不確定資源的科學預測的優(yōu)點，用流量預測智能Agent預測得到的流量序列來代替未來一段時間段內(nèi)的實際流量，并把這個預測序列作為檢測對象集的一部分。然后用人工方法模擬了流量處理Agent與預測智能Agent的活動，并通過對實際的采集數(shù)據(jù)進行仿真，實驗證明了預測智能Agent的預測活動的科學性。
關鍵詞：灰色預測；小波變換；數(shù)據(jù)處理智能Agent；預測智能Agent

　由于分布式入侵檢測系統(tǒng)和被監(jiān)聽流量的分布性，將智能Agent引入到網(wǎng)絡流量預測單元，可以增強系統(tǒng)的智能性、自主性和自適應性[1-2]。且網(wǎng)絡流量的預測是入侵檢測系統(tǒng)預警機制的基礎，當有大流量沖擊時，即攻擊者向被保護網(wǎng)絡發(fā)送大量的數(shù)據(jù)，超過NIDS的處理能力，將會發(fā)生丟包的情況，從而可能導致入侵行為漏報。為此，在IDS中增加智能網(wǎng)流預測處理功能，即將預測處理后所得數(shù)據(jù)傳送到IDS的智能決策器，智能決策器根據(jù)事先設定的規(guī)則來判斷是否有入侵即將發(fā)生，進而降低入侵行為漏報率。分布式入侵檢測系統(tǒng)(DIDS)雖然利用分布計算技術克服了集中處理問題的缺點，但是還不能消除從收集攻擊信息到發(fā)出響應這一段時延對系統(tǒng)實時性所帶來的不良影響。
　正是基于以上原因，本文將智能Agent和基于灰色小波的網(wǎng)絡流量組合預測[3-4]方法引入到分布式入侵檢測系統(tǒng)，提出了基于智能流量預測的入侵檢測方法。
1 入侵檢測中的智能Agent
　由于網(wǎng)絡流量時間序列逐漸呈現(xiàn)出非線性和多尺度變換的特性，加之受到多種復雜隨機因素的影響，加劇了網(wǎng)絡流量行為的復雜多變。如果以非平穩(wěn)性的流量序列作為初始訓練輸入可以降低模型的訓練精度和延長訓練周期，但非平穩(wěn)的流量序列經(jīng)小波變換后將被分解成為若干個平穩(wěn)性較好的分量[5-8]，灰色資源預測就是對不確定資源的預測[9-10]，其能夠從系統(tǒng)的一個或幾個離散數(shù)列中找出系統(tǒng)的變化關系，建立系統(tǒng)的連續(xù)變化關系。所以本設計中數(shù)據(jù)處理智能Agent采用了小波技術，而預測智能Agent采用了灰色預測方法。
1.1 數(shù)據(jù)處理智能Agent
　數(shù)據(jù)處理智能Agent的工作是預測前對原始流量的處理，以平穩(wěn)化數(shù)據(jù)。具體工作如下：
　(1)平穩(wěn)化原始流量序列，即用Mallat算法對{x(k)}進行小波分解，并且對分解過程中各層產(chǎn)生的分量序列分別進行重構，便可得到某層的計算信號量x：

1.3智能流量預測單元涉及的因素
   智能流量預測單元各類型的智能Agent所涉及的因素如表1所示。

2 智能預測預報模塊總體構架
　在智能預測預報模塊中，由信息搜集智能Agent、數(shù)據(jù)處理智能Agent、預測智能Agent、數(shù)據(jù)分析智能Agent、決策智能Agent五種類型的智能Agent相互協(xié)作，共同完成對網(wǎng)絡流量的預測。智能預測預報模塊的總框架如圖1所示。

3 基于流量預測預報的入侵檢測模型的構建
　本模型由流量分析機制、流量預測預報、數(shù)據(jù)庫(database)和決策模塊組成，其結構如圖2所示。

　各部分功能說明如下：
　(1)流量分析機制：其功能類似于普通的入侵檢測系統(tǒng)功能，具有四級響應機制，只是檢測對象有所不同，其檢測對象不僅包含原始流量序列，還包含基于原始流量預測得到的預測序列。
　(2)流量預測預報模塊：本模塊設計的目的為彌補檢測捕捉數(shù)據(jù)實時性的不足與單點失效(將信息捕獲、預處理和簡單的分析判斷分散在各個探測節(jié)點上進行，極大地提高了入侵檢測的效率，但由于所有探測節(jié)點需要以中央處理器為核心協(xié)同工作，容易出現(xiàn)單點失效的問題)。其主要思想是利用小波技術與數(shù)據(jù)平移對原始流量序列進行處理，然后進行較為精確的組合預測，并將此預測序列(代替未來某一段時間內(nèi)的流量序列)與前面提及的原始流量序列共同作為檢測對象。需要強調的是，基于分布入侵檢測系統(tǒng)的數(shù)據(jù)捕獲與處理機制——在網(wǎng)絡中的相關位置安裝探測節(jié)點，按照一定的規(guī)則捕獲原始信息，進行簡單預處理和分析判斷，再統(tǒng)一提交給中央處理器，由中央處理器進行檢測判斷。
　(3)數(shù)據(jù)庫：由檢測對象集(原始流量序列與基于原始流量預測得到的預測序列的合集)、特征集兩部分組成。需要強調的是特征集也是可變的，隨著對新型入侵的深入學習與識別，其值不斷變大。
   (4)決策模塊：根據(jù)流量預測送來的預測值與事先設定的預警觸發(fā)閾值決定是否進行入侵預警。
　4 人工辦法對流量預測智能Agent采用的技術及方法進行仿真實驗
從上面設計的入侵檢測系統(tǒng)模型可得出：如果預測流量能夠準確地替代原始流量，那么本設計將會改善入侵檢測系統(tǒng)的時延性。為此，有必要對流量處理智能Agent與流量預測智能Agent采用的技術及方法的科學性進行論證。
4.1 數(shù)據(jù)處理
　按照數(shù)據(jù)處理Agent與流量預測智能Agent構建的算法，對實際的采集數(shù)據(jù)進行仿真實驗。
其中，作為信號數(shù)據(jù)S的網(wǎng)絡流量來源于參考文獻[15]，從2006年7月1日到7月11日，11天中的網(wǎng)絡每小時通過的流量，即264個實驗數(shù)據(jù)，把這264個實驗數(shù)據(jù)表述成了一個初始網(wǎng)絡流量時間序列{s(t)，t=1，2，…，264}，以前10天的數(shù)據(jù)共240個數(shù)據(jù)建立小波灰色無偏模型的信號輸入S，當進行預測檢驗時，后24個數(shù)據(jù)與前面的240個數(shù)據(jù)共同作為信號輸入S[16-17]。
　由上面的信號分解程序對信號數(shù)據(jù)S進行多尺度分解[18]，可得到流量信號經(jīng)小波分解系數(shù)處理的序列為｛d1(k)，d2(k)，d3(k)，a3(k)｝，如圖3所示。

　需要指出的是：為了防止流量處理智能Agent在對原始流量處理的過程中對輸入數(shù)據(jù)的裁剪，在Matlab程序中，用4個“save′*.txt′*-ascii；”語句將分解的數(shù)據(jù)直接進行保存。這樣保證了后續(xù)的平移處理的數(shù)據(jù)個數(shù)與原始網(wǎng)絡流量序列的長度是一樣的。
4.2 仿真效果分析
　針對以上信號數(shù)據(jù)S按照小波預測模型和組合模型對網(wǎng)絡流量序列預測分別進行仿真，得到如圖4和圖5所示的預測效果。

　對比以上預測結果，充分表明該方法具有較好的預測效果，能夠較準確地預測出下一時間段的網(wǎng)絡流量。
把預測智能Agent送來的預測序列值作為檢測對象集的一部分來實現(xiàn)對入侵的提前預警的方法，應用到分布式入侵檢測領域，將會極大地改善現(xiàn)有分布式入侵檢測系統(tǒng)的時延性。
參考文獻
[1] 王帥．基于移動Agent的分布式網(wǎng)絡入侵免疫系統(tǒng)的設計與實現(xiàn)[D]．武漢：武漢大學，2004．
[2] 王汝傳，徐小龍，黃海平．智能Agent及其在信息網(wǎng)絡中的應用[M]．北京：北京郵電大學出版社，2006．
[3] 劉淵．基于遞歸神經(jīng)網(wǎng)絡的網(wǎng)絡流量組合預測模型[J]．計算機工程與設計，2008，29(3)：700-703．
[4] 陳華友．組合預測方法有效性理論及其應用[M]．北京：科學出版社，2008．
[5] 呂林濤，李軍懷．時間序列模式及其預測模型算法應用[J]．計算機工程，2004，17(4)：3-4．
[6] 楊曉波，胡黎偉．時間序列理論在電信行業(yè)預測決策系統(tǒng)中的應用[J]．計算機工程與應用，2004，28(4)：2-3．
[7] RETCARI G， CLINKLER T. Practical OSPF traffic engineering [J]． IEEE Communication Letters， 2004(11)： 689-691．
[8] BROCKWELL P J， DAVIS R A.時間序列的理論與方法[M]．北京：高等教育出版社，2001．
[9] 鄧聚龍．灰色數(shù)理資源科學導論[M]．武漢：華中科技大學出版社，2007．
[10] 劉思峰．灰色系統(tǒng)理論及應用[M]．北京：科學出版社，2008．
[11] 洪飛，吳志美．基于小波的多尺度網(wǎng)絡流量預測模型[J]．計算機學報，2006，29(1)：166-170．
[12] 程光，龔儉，丁偉．基于小波的網(wǎng)絡流量分解模型[J]．小型微型計算機系統(tǒng)，2005，26(3)：400-401．
[13] 葛哲學．小波分析理論與MATLAB2007實現(xiàn)[M]．北京：電子工業(yè)出版社，2007．
[14] 趙洋．一種基于小波分析理論的灰色預測方法[J]．西南民族大學學報，2005，31(4)：448-501．
[15] 流量文庫.http：//newsfeed.ntcu.net/~news/2006/，2010-09-01.
[16] 陳淑燕．交通量的灰色神經(jīng)網(wǎng)絡預測方法[J]．東南大學學報：自然科學版，2004，34(4)：541-544．
[17] 鄭成興．網(wǎng)絡流量預測方法和實際預測分析[J]．計算機工程與應用，2006(23)：129-130．
[18] QIAO Y， SKICEWICZ J， DINDAP. An empirical study of the multiscale predictability of network traffic[C]． IEEE Proceedings of High Performance Distributed Computing， 2003．