《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 一種基于免疫的入侵檢測關(guān)聯(lián)報警模型
一種基于免疫的入侵檢測關(guān)聯(lián)報警模型
來源:電子技術(shù)應(yīng)用2013年第7期
彭凌西1,楊 進2,胡 曉3,曾金全4,劉才銘2
1.廣州大學 計算機科學與教育軟件學院,廣東 廣州510006; 2.樂山師范學院 計算機學院,四川 樂山614000; 3.廣州大學 機械與電氣工程學院,廣東 廣州510006; 4.電子科技大學 計算機科學與工程學院,四川 成都610054
摘要: 在入侵檢測系統(tǒng)Snort的基礎(chǔ)上,結(jié)合網(wǎng)絡(luò)實時危險評估技術(shù),提出了一種基于免疫的網(wǎng)絡(luò)入侵檢測報警模型SAIM。給出了網(wǎng)絡(luò)環(huán)境下記憶細胞的表示方法,以及記憶細胞實時危險計算過程,建立了主機分類及總體實時危險計算方程,在此基礎(chǔ)上給出了網(wǎng)絡(luò)入侵檢測報警模型。理論分析和試驗結(jié)果均表明,SAIM模型能有效進行關(guān)聯(lián)報警,提高報警質(zhì)量。
中圖分類號: TP301
文獻標識碼: A
文章編號: 0258-7998(2013)07-0060-03
An artificial immune-inspired alert model in network intrusion detection
Peng Lingxi1,Yang Jin2,Hu Xiao3,Zeng Jinquan4,Liu Caiming2
1.Department of Computer and Education Software, Guangzhou University,Guangzhou 510006,China; 2.Department of Computer Science, Leshan Normal University,Leshan 614000,China; 3.School of Mechanical and Electric Engineering, Guangzhou University, Guangzhou 510006,China; 4.School of Computer Science & Engineering, University of Electronic Science and Technology of China,Chengdu 610054,China
Abstract: Based on the Snort intrusion detection system and combing with the real-time network risk evaluation theory, a new artificial immune-inspired intrusion detection alarm model, referred as SAIM, is presented. The definition of memory cell in the network security domain is depicted, and the real-time network risk calculation of memory cell is given. The risk of each type network attack, as well as holistic risk degrees of the host, can be calculated quantificationally and in real time. Finally, the network intrusion detection alarm model is built. Both the theory analysis and experimental results show that SAIM can associate the related alarm information and improve the alarm quality.
Key words : intrusion detection;artificial immune;alarm association

    現(xiàn)有的入侵檢測系統(tǒng)中存在虛假報警、報警量巨大、不相關(guān)報警多等問題,極大地限制了它的應(yīng)用。因此,報警信息的關(guān)聯(lián)是目前入侵檢測領(lǐng)域一個重要的發(fā)展方向。在這些研究中,HU W M等[1]提出了一種基于AdaBoost算法通過機器學習進行報警的方法。GIACINTO G等[2]提出了一種基于多個分類系統(tǒng)的方法,降低了誤報率并提高了檢測率。TSANG C H等[3]提出了一種基于基因和模型規(guī)則的方法,取得了較好的檢測率,并降低了誤報率。SHON T等[4]提出了一種基于支持向量機以及遺傳算法的混合異常檢測算法。劉利軍等[5]提出了一種基于二級決策進行報警過濾從而消除誤報、濫報問題的方法,設(shè)計實現(xiàn)了一種基于報警緩沖池的報警優(yōu)化過濾算法。肖云等[6]提出了一種基于粗糙集、支持向量機理論的過濾誤報警的方法。穆成坡等[7]提出了一種基于模糊綜合評判的方法來處理入侵檢測系統(tǒng)的報警信息、關(guān)聯(lián)報警事件,并引入有監(jiān)督的確信度學習方法,通過確信度來對報警信息進行進一步的過濾。

    總體說來,現(xiàn)有絕大多數(shù)入侵檢測關(guān)聯(lián)模型或方法都是在所有的事件發(fā)生后再對所有的事件進行報警關(guān)聯(lián)分析,相當于“事后諸葛亮”。另外,這些模型或算法難以判斷或計算所面臨的網(wǎng)絡(luò)危險,因此實際應(yīng)用中受到了一定的限制。目前,超過90%商業(yè)運營的入侵檢測系統(tǒng)都是在Snort檢測引擎的基礎(chǔ)上進行二次開發(fā)而來。盡管Snort獲得了巨大的成功,但作為通過攻擊特征進行檢測的入侵檢測系統(tǒng),Snort存在傳統(tǒng)入侵檢測系統(tǒng)的缺陷。
    目前,基于人工免疫AIS(Artificial Immune System)的網(wǎng)絡(luò)安全技術(shù)具有多樣性、自適應(yīng)、魯棒性等特點,并被認為是一條非常重要且有意義的研究方向[8]。參考文獻[8]依據(jù)人體發(fā)燒時抗體濃度增加的原理,提出了一種基于免疫的網(wǎng)絡(luò)安全危險檢測模型。該方法能對網(wǎng)絡(luò)系統(tǒng)所面臨的攻擊進行準確的實時危險評估,被證實了為網(wǎng)絡(luò)安全風險在線檢測提供了一種有效的新途徑。基于人工免疫原理,本文提出一種基于Snort的入侵檢測關(guān)聯(lián)報警模型(A Snort-based Associated Intrusion Alarm model,SAIM),理論分析和實驗結(jié)果均表明,SAIM模型為網(wǎng)絡(luò)入侵關(guān)聯(lián)報警提供了一種有效的新途徑。

 


    在主機實時危險計算過程中,先統(tǒng)計出每類攻擊的總危險性,然后與對應(yīng)的該類攻擊的危險權(quán)重進行乘積和運算,據(jù)此分別計算出主機的分類攻擊和主機整體危險性。
1.4 危險報警模型
    基于實時網(wǎng)絡(luò)的&ldquo;危險&rdquo;報警模型依據(jù)2個條件進行報警,即網(wǎng)絡(luò)實時危險與攻擊強度。對主機中報警信號的產(chǎn)生,主要來自2個方面:對主機m,(1)主機的整體危險rm(t)大于&gamma;1(0<&gamma;1<1),并且主機遭遇的所有的攻擊(假設(shè)主機中包含了I類攻擊)的攻擊強度大于n;(2)主機遭遇的某類攻擊的網(wǎng)絡(luò)危險rm,t(t)大于&omega;1,i(0<&omega;1,i<1),并且主機遭遇的該類攻擊(第i類攻擊)的攻擊強度大于Ni。對于檢測的一些報警信息,例如入侵者對所有端口進行的掃描探測活動,當網(wǎng)絡(luò)危險達到一定數(shù)值時,模型就進行報警,SAIM將所有的報警信息關(guān)聯(lián)起來,這有助于解決當前入侵檢測系統(tǒng)模型中海量的報警信息關(guān)聯(lián)的問題。
2 報警實驗
    為證明SAIM能有效減少虛假警報、提高報警質(zhì)量,采用1999年DARPA入侵檢測系統(tǒng)測試數(shù)據(jù)集[9]對模型進行了測試。該數(shù)據(jù)集是麻省理工學院的林肯實驗室在實際網(wǎng)絡(luò)環(huán)境中進行攻擊而產(chǎn)生的真實數(shù)據(jù),用于評估入侵檢測系統(tǒng)的性能。DARPA 1999年評測數(shù)據(jù)包括覆蓋了Probe、DoS、R2L、U2R和Data等五大類攻擊,是目前最為全面的攻擊測試數(shù)據(jù)集。測試過程中使用的Snort規(guī)則庫中有5 991條規(guī)則,采用第4周周五為試驗數(shù)據(jù)。
    圖1給出了Snort在檢測過程中的報警數(shù)。其中總報警數(shù)3 496條,虛警2 814條(80.5%),真實報警682條(19.5%)。采用SAIM模型,當主機總體實時危險報警閾值取值為0.3時,報警數(shù)共20個,虛警率為45%,檢測結(jié)果表明了本文所提出的報警模型在減小虛假報警、合并同類無關(guān)報警、提高報警質(zhì)量上是可行的。

    實驗結(jié)果表明,SAIM模型能實時定量地計算出主機當前所面臨攻擊的類別、數(shù)量、強度及危險數(shù)值等;另外,模型根據(jù)檢測的網(wǎng)絡(luò)實時危險強度進行報警,有助于減小入侵檢測的誤報率和報警數(shù)量,從而提高報警質(zhì)量。
    與同類報警相關(guān)研究[1-7]相比,本文所提出的報警方法不需要先驗報警知識訓練,更不是事后根據(jù)所有的報警記錄來進行分析,同時可查看主機和網(wǎng)絡(luò)當前所面臨的攻擊類別、數(shù)量、強度及具體的網(wǎng)絡(luò)實時危險數(shù)值數(shù)據(jù),這有助于網(wǎng)絡(luò)安全管理員掌握實時的網(wǎng)絡(luò)安全態(tài)勢,因此本文所提出的方法具有一定的實用價值。
參考文獻
[1] HU W M,HU W,MAYBANK S.AdaBoost-based algorithm for network intrusion detection[J].IEEE Transactions on Systems Man and Cybernetics Part B-Cybernetics,2008,38(2):577-583.
[2] GIORGIO G,ROBERTO P,MAURO D,et al.Intrusion detection in computer networks by a modular ensemble of  one-class classifiers[J].Information Fusion,2008,9(1):69-82.
[3] TSANG C H,KWONG S,WANG H L.Genetic-fuzzy rule  mining approach and evaluation of feature selection  techniques for anomaly intrusion detection[J].Pattern Recognition,2007,40(9):2373-2391.
[4] SHON T,MOON J.A hybrid machine learning approach to network anomaly detection[J].Information Sciences,2007,177(18):3799-3821.
[5] 劉利軍,懷進鵬.一種IDS報警過濾算法及實現(xiàn)架構(gòu)研究[J].高技術(shù)通訊,2005,15(6):1-4.
[6] 肖云,韓崇昭,鄭慶華,等.基于粗糙集-支持向量機理論的過濾誤報警方法[J].電子與信息學報,2007,29(12):3011-3014.
[7] 穆成坡,黃厚寬,田盛豐,等.基于模糊綜合評判的入侵檢測報警信息處理[J].計算機研究與發(fā)展,2005,42(10):1679-1685.
[8] LI T.An immunity based network security risk estimation[J].Science in China Series F-Information Sciences,2005,48(5):557-578.
[9] HAINES J W,LPPMANN R P,F(xiàn)RIED D J,et al.DARPA intrusion detection system evaluation:design and procedures[R].Lexington:MIT Lincoln Laboratory,1999.

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。