一種檢測模式過濾器的研究與設計

摘 要：簡要介紹了入侵檢測系統模型及人工免疫在入侵檢測技術上的應用，分析了影響LISYS系統的檢測元檢測效率的原因，提出了一個設置過濾器的解決方案，詳細描述了過濾算法，并以具體實驗結果作了定量分析。

關鍵詞：入侵檢測；人工免疫；檢測元；模式過濾

0 引言

傳統入侵檢測模型大體上可以分為基于誤用的入侵檢測模型和基于異常的入侵檢測模型兩種。

異常檢測系統試圖發現一些未知的入侵行為，異常檢測根據使用者的行為或資源使用狀況來判斷是否入侵，而不依據具體行為是否出現作判斷，其主要缺陷在于誤檢率很高，尤其在用戶數目眾多或工作行為經常改變的環境中。

誤用檢測系統則用來發現一些已知的入侵行為。誤用檢測又稱特征檢測，依據具體特征庫進行判斷，從而檢測出入侵行為。其主要缺陷是只能檢測特征庫中已知的入侵，漏檢率很高。本文在模型分析的基礎上，通過模式過濾器設置，來提高系統檢測效率。

1 兩種模型的整合

為使檢測系統達到較好的檢測效果，目前普遍的解決方式是同時在系統中采用兩種檢測模型，實現優勢互補。通常采用的兼用兩種模型的辦法是并行地施行兩套檢測措施(即對待檢信息分別進行誤用和異常檢測)，而采用的檢測算法大致包括：基于誤用的，專家系統、模型推理方法、狀態轉換分析；基于異常的，統計學方法、神經網絡方法。這些方法都存在一定的缺陷，尤其是在效率上；而且每一種方法都獨成一體：很難整合。

針對上述問題，Homfmeyr和Forrest模擬人體免疫系統提出了基于免疫原理的負選擇模型：首先定義一個Self集(簡單的正常模式集，其中所有模式可以理解為正常網絡行為)，隨機產生若干檢測元(抗體)，清除會對Self集產生警報的檢測元(此過程稱為陰性選擇)，然后通過陰性選擇的檢測元開始探查網絡上的信息(此時可以理解為在做異常檢測)。如發現屬于Nonself集的事件則預警，檢查系統是否發生損害，若無則可理解為正常事件，將此事件記入Self集，該檢測元自行消亡(這樣就避免了誤檢的產生)；反之，則視為遭受入侵，激活該檢測元，將入侵行為特征計入特征庫，檢測元升級為誤用(記憶)檢測元，檢測具有該特征的入侵行為。這樣既解決了誤檢的問題又將異常和誤用兩種檢測模型完美地結合起來。

其檢測元生成算法可以歸結如下(見圖1)：

(1)定義一個自我模式集作為生成有效檢測元的訓練集；

(2)產生候選檢測元。通過一個隨機過程來產生一個長度為49位的位串作為候選檢測元；

(3)產生有效檢測元集合R，將產生的候選檢測元與自我集中的模式進行匹配試驗。若匹配，則丟棄該候選串，返回(2)；否則該候選檢測元就是一個有效的檢測元，進入R集合，返回(2)；

(4)重復(2)，(3值到產生一定數量的有效檢測元為止。

算法產生的有效檢測元集能夠保證其中的每個檢測元都不與自我集的任何模式相匹配。系統將流經網絡的報文抽取出的數據特征組成模式集合，稱為待檢測模式集。

2 檢測效率分析

在上述算法的基礎上，Homfmeyr提出了一個分布式網絡入侵檢測模型LISYS。系統將流經網絡的報文抽取出的數據特征組成模式集合，稱為待檢測模式集。LISYS的每一個節點上的檢測系統是通過該節點的檢測元與待檢測模式之間的匹配來完成模式識別或檢測功能。

待檢測模式從流經網絡的數據包抽取取得，分為正常模式(非入侵行為)和異常模式兩種。在通常情況下，網絡中絕大部分數據都是正常數據，異常或入侵行為只占少數。而有效檢測元是使用類似于免疫細胞自我耐受過程的否定選擇算法來產生的，且這些檢測元還具有一定的生命周期，因此由檢測元構成的檢測元集具有動態性。檢測元集的動態性決定了其中的檢測元是順序存儲的，識別時只能將待檢測模式與檢測元集中的檢測元進行順序比較。

從否定選擇算法中可以看出，檢測元在生成過程中要經歷一個類似于人體免疫耐受的審查過程，只有與自我集的任何模式都不匹配的檢測元才會成為有效檢測元，這樣，正常模式一定不與檢測元集中的元素匹配。使每一個正常模式都必須與每一個成熟檢測元進行比較、試驗匹配，是一種無效冗佘，將嚴重降低系統的檢測效率。

3 模式過濾器

針對正常模式無效比較的問題，本文提出統計出現頻率高的正常模式集，設置一個過濾器將大部分正常模式預先過濾掉，然后再由有效檢測元對剩下的模式進行匹配，從而達到提升系統效率的目的。

模式過濾器算法如下：

算法1：正常模式收集算法

(1)采集正常模式；

(2)將采集到的正常模式NP加入正常模式集NormalSet。

If NormalSet.size

If NP∈NormalSet

該NP的訪問計數AccessCount增1

Else

將NP加入NormalSet，該NP的訪問計數AccessCount增1

end

else

If NP∈NormalSet

該NP的訪問計數AccessCount增1

用該NP替換NP={NPINP∈NormalSet∩Min(AccessCount)]

end

end

(3)對NormalSet的記錄按AccessCount的進行降序排序；

(4)轉(1)。

算法2：正常模式過濾算法

(1)采集數據模式P；

(2)令P與NormalSet中AccessCount最大的N個NP進行匹配，

if匹配成功

丟棄P

else

通過過濾器

end

(3)轉(1)。

4 實驗數據

通過對202.113.76網段的82，83，99三個節點3天的實驗，取得如下數據：

統計策略：統計正常模式(NP)，對MaxSize個NP賦匹配計數，過濾計數最大的前S個NP，以減少NP與成熟檢測元的匹配次數，提高系統效率。實驗數據如表1，其中MaxSize=50，S=10，節點檢測元總數=500。

其中：

Filted NP=Second Day NP Filted Number-First Day NPFilted Number

Mature Detectors=Min(First Day MD number，Second Day MD number)

Normal BIPS Match Cost=Filted NP*Mature DetectorsFilter Cost=Filted NP*S，Ratio=Filter Cost/Normal BIPSMatch Cost*100%

5 結束語

由實驗數據分析可以看出，過濾器過濾正常模式的開銷與成熟(有效)檢測元對正常模式的匹配操作的開銷比率ratio不超過5％。說明，通過設置模式過濾器，可以有效降低系統因正常模式的匹配操作而產生的開銷。