《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 一種基于免疫的入侵檢測(cè)關(guān)聯(lián)報(bào)警模型
一種基于免疫的入侵檢測(cè)關(guān)聯(lián)報(bào)警模型
來(lái)源:電子技術(shù)應(yīng)用2013年第7期
彭凌西1,楊 進(jìn)2,胡 曉3,曾金全4,劉才銘2
1.廣州大學(xué) 計(jì)算機(jī)科學(xué)與教育軟件學(xué)院,廣東 廣州510006; 2.樂(lè)山師范學(xué)院 計(jì)算機(jī)學(xué)院,四川 樂(lè)山614000; 3.廣州大學(xué) 機(jī)械與電氣工程學(xué)院,廣東 廣州510006; 4.電子科技大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院,四川 成都610054
摘要: 在入侵檢測(cè)系統(tǒng)Snort的基礎(chǔ)上,結(jié)合網(wǎng)絡(luò)實(shí)時(shí)危險(xiǎn)評(píng)估技術(shù),提出了一種基于免疫的網(wǎng)絡(luò)入侵檢測(cè)報(bào)警模型SAIM。給出了網(wǎng)絡(luò)環(huán)境下記憶細(xì)胞的表示方法,以及記憶細(xì)胞實(shí)時(shí)危險(xiǎn)計(jì)算過(guò)程,建立了主機(jī)分類及總體實(shí)時(shí)危險(xiǎn)計(jì)算方程,在此基礎(chǔ)上給出了網(wǎng)絡(luò)入侵檢測(cè)報(bào)警模型。理論分析和試驗(yàn)結(jié)果均表明,SAIM模型能有效進(jìn)行關(guān)聯(lián)報(bào)警,提高報(bào)警質(zhì)量。
中圖分類號(hào): TP301
文獻(xiàn)標(biāo)識(shí)碼: A
文章編號(hào): 0258-7998(2013)07-0060-03
An artificial immune-inspired alert model in network intrusion detection
Peng Lingxi1,Yang Jin2,Hu Xiao3,Zeng Jinquan4,Liu Caiming2
1.Department of Computer and Education Software, Guangzhou University,Guangzhou 510006,China; 2.Department of Computer Science, Leshan Normal University,Leshan 614000,China; 3.School of Mechanical and Electric Engineering, Guangzhou University, Guangzhou 510006,China; 4.School of Computer Science & Engineering, University of Electronic Science and Technology of China,Chengdu 610054,China
Abstract: Based on the Snort intrusion detection system and combing with the real-time network risk evaluation theory, a new artificial immune-inspired intrusion detection alarm model, referred as SAIM, is presented. The definition of memory cell in the network security domain is depicted, and the real-time network risk calculation of memory cell is given. The risk of each type network attack, as well as holistic risk degrees of the host, can be calculated quantificationally and in real time. Finally, the network intrusion detection alarm model is built. Both the theory analysis and experimental results show that SAIM can associate the related alarm information and improve the alarm quality.
Key words : intrusion detection;artificial immune;alarm association

    現(xiàn)有的入侵檢測(cè)系統(tǒng)中存在虛假報(bào)警、報(bào)警量巨大、不相關(guān)報(bào)警多等問(wèn)題,極大地限制了它的應(yīng)用。因此,報(bào)警信息的關(guān)聯(lián)是目前入侵檢測(cè)領(lǐng)域一個(gè)重要的發(fā)展方向。在這些研究中,HU W M等[1]提出了一種基于AdaBoost算法通過(guò)機(jī)器學(xué)習(xí)進(jìn)行報(bào)警的方法。GIACINTO G等[2]提出了一種基于多個(gè)分類系統(tǒng)的方法,降低了誤報(bào)率并提高了檢測(cè)率。TSANG C H等[3]提出了一種基于基因和模型規(guī)則的方法,取得了較好的檢測(cè)率,并降低了誤報(bào)率。SHON T等[4]提出了一種基于支持向量機(jī)以及遺傳算法的混合異常檢測(cè)算法。劉利軍等[5]提出了一種基于二級(jí)決策進(jìn)行報(bào)警過(guò)濾從而消除誤報(bào)、濫報(bào)問(wèn)題的方法,設(shè)計(jì)實(shí)現(xiàn)了一種基于報(bào)警緩沖池的報(bào)警優(yōu)化過(guò)濾算法。肖云等[6]提出了一種基于粗糙集、支持向量機(jī)理論的過(guò)濾誤報(bào)警的方法。穆成坡等[7]提出了一種基于模糊綜合評(píng)判的方法來(lái)處理入侵檢測(cè)系統(tǒng)的報(bào)警信息、關(guān)聯(lián)報(bào)警事件,并引入有監(jiān)督的確信度學(xué)習(xí)方法,通過(guò)確信度來(lái)對(duì)報(bào)警信息進(jìn)行進(jìn)一步的過(guò)濾。

    總體說(shuō)來(lái),現(xiàn)有絕大多數(shù)入侵檢測(cè)關(guān)聯(lián)模型或方法都是在所有的事件發(fā)生后再對(duì)所有的事件進(jìn)行報(bào)警關(guān)聯(lián)分析,相當(dāng)于“事后諸葛亮”。另外,這些模型或算法難以判斷或計(jì)算所面臨的網(wǎng)絡(luò)危險(xiǎn),因此實(shí)際應(yīng)用中受到了一定的限制。目前,超過(guò)90%商業(yè)運(yùn)營(yíng)的入侵檢測(cè)系統(tǒng)都是在Snort檢測(cè)引擎的基礎(chǔ)上進(jìn)行二次開發(fā)而來(lái)。盡管Snort獲得了巨大的成功,但作為通過(guò)攻擊特征進(jìn)行檢測(cè)的入侵檢測(cè)系統(tǒng),Snort存在傳統(tǒng)入侵檢測(cè)系統(tǒng)的缺陷。
    目前,基于人工免疫AIS(Artificial Immune System)的網(wǎng)絡(luò)安全技術(shù)具有多樣性、自適應(yīng)、魯棒性等特點(diǎn),并被認(rèn)為是一條非常重要且有意義的研究方向[8]。參考文獻(xiàn)[8]依據(jù)人體發(fā)燒時(shí)抗體濃度增加的原理,提出了一種基于免疫的網(wǎng)絡(luò)安全危險(xiǎn)檢測(cè)模型。該方法能對(duì)網(wǎng)絡(luò)系統(tǒng)所面臨的攻擊進(jìn)行準(zhǔn)確的實(shí)時(shí)危險(xiǎn)評(píng)估,被證實(shí)了為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)在線檢測(cè)提供了一種有效的新途徑?;谌斯っ庖咴?,本文提出一種基于Snort的入侵檢測(cè)關(guān)聯(lián)報(bào)警模型(A Snort-based Associated Intrusion Alarm model,SAIM),理論分析和實(shí)驗(yàn)結(jié)果均表明,SAIM模型為網(wǎng)絡(luò)入侵關(guān)聯(lián)報(bào)警提供了一種有效的新途徑。

 


    在主機(jī)實(shí)時(shí)危險(xiǎn)計(jì)算過(guò)程中,先統(tǒng)計(jì)出每類攻擊的總危險(xiǎn)性,然后與對(duì)應(yīng)的該類攻擊的危險(xiǎn)權(quán)重進(jìn)行乘積和運(yùn)算,據(jù)此分別計(jì)算出主機(jī)的分類攻擊和主機(jī)整體危險(xiǎn)性。
1.4 危險(xiǎn)報(bào)警模型
    基于實(shí)時(shí)網(wǎng)絡(luò)的&ldquo;危險(xiǎn)&rdquo;報(bào)警模型依據(jù)2個(gè)條件進(jìn)行報(bào)警,即網(wǎng)絡(luò)實(shí)時(shí)危險(xiǎn)與攻擊強(qiáng)度。對(duì)主機(jī)中報(bào)警信號(hào)的產(chǎn)生,主要來(lái)自2個(gè)方面:對(duì)主機(jī)m,(1)主機(jī)的整體危險(xiǎn)rm(t)大于&gamma;1(0<&gamma;1<1),并且主機(jī)遭遇的所有的攻擊(假設(shè)主機(jī)中包含了I類攻擊)的攻擊強(qiáng)度大于n;(2)主機(jī)遭遇的某類攻擊的網(wǎng)絡(luò)危險(xiǎn)rm,t(t)大于&omega;1,i(0<&omega;1,i<1),并且主機(jī)遭遇的該類攻擊(第i類攻擊)的攻擊強(qiáng)度大于Ni。對(duì)于檢測(cè)的一些報(bào)警信息,例如入侵者對(duì)所有端口進(jìn)行的掃描探測(cè)活動(dòng),當(dāng)網(wǎng)絡(luò)危險(xiǎn)達(dá)到一定數(shù)值時(shí),模型就進(jìn)行報(bào)警,SAIM將所有的報(bào)警信息關(guān)聯(lián)起來(lái),這有助于解決當(dāng)前入侵檢測(cè)系統(tǒng)模型中海量的報(bào)警信息關(guān)聯(lián)的問(wèn)題。
2 報(bào)警實(shí)驗(yàn)
    為證明SAIM能有效減少虛假警報(bào)、提高報(bào)警質(zhì)量,采用1999年DARPA入侵檢測(cè)系統(tǒng)測(cè)試數(shù)據(jù)集[9]對(duì)模型進(jìn)行了測(cè)試。該數(shù)據(jù)集是麻省理工學(xué)院的林肯實(shí)驗(yàn)室在實(shí)際網(wǎng)絡(luò)環(huán)境中進(jìn)行攻擊而產(chǎn)生的真實(shí)數(shù)據(jù),用于評(píng)估入侵檢測(cè)系統(tǒng)的性能。DARPA 1999年評(píng)測(cè)數(shù)據(jù)包括覆蓋了Probe、DoS、R2L、U2R和Data等五大類攻擊,是目前最為全面的攻擊測(cè)試數(shù)據(jù)集。測(cè)試過(guò)程中使用的Snort規(guī)則庫(kù)中有5 991條規(guī)則,采用第4周周五為試驗(yàn)數(shù)據(jù)。
    圖1給出了Snort在檢測(cè)過(guò)程中的報(bào)警數(shù)。其中總報(bào)警數(shù)3 496條,虛警2 814條(80.5%),真實(shí)報(bào)警682條(19.5%)。采用SAIM模型,當(dāng)主機(jī)總體實(shí)時(shí)危險(xiǎn)報(bào)警閾值取值為0.3時(shí),報(bào)警數(shù)共20個(gè),虛警率為45%,檢測(cè)結(jié)果表明了本文所提出的報(bào)警模型在減小虛假報(bào)警、合并同類無(wú)關(guān)報(bào)警、提高報(bào)警質(zhì)量上是可行的。

    實(shí)驗(yàn)結(jié)果表明,SAIM模型能實(shí)時(shí)定量地計(jì)算出主機(jī)當(dāng)前所面臨攻擊的類別、數(shù)量、強(qiáng)度及危險(xiǎn)數(shù)值等;另外,模型根據(jù)檢測(cè)的網(wǎng)絡(luò)實(shí)時(shí)危險(xiǎn)強(qiáng)度進(jìn)行報(bào)警,有助于減小入侵檢測(cè)的誤報(bào)率和報(bào)警數(shù)量,從而提高報(bào)警質(zhì)量。
    與同類報(bào)警相關(guān)研究[1-7]相比,本文所提出的報(bào)警方法不需要先驗(yàn)報(bào)警知識(shí)訓(xùn)練,更不是事后根據(jù)所有的報(bào)警記錄來(lái)進(jìn)行分析,同時(shí)可查看主機(jī)和網(wǎng)絡(luò)當(dāng)前所面臨的攻擊類別、數(shù)量、強(qiáng)度及具體的網(wǎng)絡(luò)實(shí)時(shí)危險(xiǎn)數(shù)值數(shù)據(jù),這有助于網(wǎng)絡(luò)安全管理員掌握實(shí)時(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì),因此本文所提出的方法具有一定的實(shí)用價(jià)值。
參考文獻(xiàn)
[1] HU W M,HU W,MAYBANK S.AdaBoost-based algorithm for network intrusion detection[J].IEEE Transactions on Systems Man and Cybernetics Part B-Cybernetics,2008,38(2):577-583.
[2] GIORGIO G,ROBERTO P,MAURO D,et al.Intrusion detection in computer networks by a modular ensemble of  one-class classifiers[J].Information Fusion,2008,9(1):69-82.
[3] TSANG C H,KWONG S,WANG H L.Genetic-fuzzy rule  mining approach and evaluation of feature selection  techniques for anomaly intrusion detection[J].Pattern Recognition,2007,40(9):2373-2391.
[4] SHON T,MOON J.A hybrid machine learning approach to network anomaly detection[J].Information Sciences,2007,177(18):3799-3821.
[5] 劉利軍,懷進(jìn)鵬.一種IDS報(bào)警過(guò)濾算法及實(shí)現(xiàn)架構(gòu)研究[J].高技術(shù)通訊,2005,15(6):1-4.
[6] 肖云,韓崇昭,鄭慶華,等.基于粗糙集-支持向量機(jī)理論的過(guò)濾誤報(bào)警方法[J].電子與信息學(xué)報(bào),2007,29(12):3011-3014.
[7] 穆成坡,黃厚寬,田盛豐,等.基于模糊綜合評(píng)判的入侵檢測(cè)報(bào)警信息處理[J].計(jì)算機(jī)研究與發(fā)展,2005,42(10):1679-1685.
[8] LI T.An immunity based network security risk estimation[J].Science in China Series F-Information Sciences,2005,48(5):557-578.
[9] HAINES J W,LPPMANN R P,F(xiàn)RIED D J,et al.DARPA intrusion detection system evaluation:design and procedures[R].Lexington:MIT Lincoln Laboratory,1999.

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。