論神經系統網絡在入侵檢測系統的應用

郭建新

摘要:隨著計算機技術的發展,傳統的技術手段已經不能滿足日益變化的網絡安全需要了。而另一項技術—入侵檢測技術則有效的彌補了這些不足。因此,本文對此進行相關探討。

關鍵詞:神經網絡系統 入侵檢測系統 網絡安全

入侵檢測作為一種主動防御技術,彌補了傳統安全技術的不足。其主要通過監控網絡與系統的狀態、用戶行為以及系統的使用情況,來檢測系統用戶的越權使用以及入侵者利用安全缺陷對系統進行入侵的企圖,并對入侵采取相應的措施。

一、入侵檢測系統概述

入侵檢測系統(Intrusion Detection System,簡稱IDS)可以認為是進行入侵檢測過程時所需要配置的各種軟件和硬件的組合。對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解計算機網絡系統(包括程序、文件和硬件設備等)的任何變更,還能給網絡安全策略的制訂提供指南。更為重要的一點是,對它的管理和配置應該更簡單,從而使非專業人員能非常容易地進行操作。而且,入侵檢測的規模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時做出響應,包括切斷網絡連接、記錄事件和報警等。

二、入侵檢測系統的功能

1. 檢測入侵。檢測入侵行為是入侵檢測系統的核心功能,主要包括兩個方面:一方面是對進出主機或者網絡的數據進行監控,檢查是否存在對系統的異常行為;另一方面是檢查系統關鍵數據和文件的完整性,看系統是否己經遭到入侵行為。前者的作用是在入侵行為發生時及時發現,使系統免受攻擊;后者一般是在系統遭到入侵時沒能及時發現和阻止,攻擊的行為已經發生,但可以通過攻擊行為留下的痕跡了解攻擊行為的一些情況,從而避免再次遭受攻擊。對系統資源完整性的檢查也有利于我們對攻擊者進行追蹤,對攻擊行為進行取證。

2. 抗欺騙。入侵檢測系統要識別入侵者,入侵者就會想方設法逃避檢測。逃避檢測的方法很多,總結起來可分為誤報和漏報兩大類。一種使入侵檢測系統誤報的實現形式,是快速告普信息的產生讓系統無法反應以致死機,這其實是通用的網絡攻擊方式一拒絕服務攻擊在入侵檢測系統上的體現。與誤報相比,漏報更具危險性,即躲過系統的檢測,使系統對某些攻擊方式失效。入侵檢測系統無法統一漏報和誤報的矛盾,目前的入侵檢測產品一般會在兩者間進行折衷,并且進行調整以適應不同的應用環境。

3. 記錄、報警和響應。入侵檢測系統在檢測到攻擊后,應該采取相應的措施來阻止攻擊或者響應攻擊。作為一種主動防御策略,它必然應該具備此功能。入侵檢測系統首先應該記錄攻擊的基本情況,其次應該能夠及時發出報警。好的入侵檢測系統,不僅應該把相關數據記錄在文件或數據庫中,還應該提供好的報表打印功能。必要時,系統還應該采取必要的響應行為,如拒絕接受所有來自某臺計算機的數據、追蹤入侵行為等。

三、神經系統網絡在入侵檢測系統中的應用

目前計算機入侵的現狀是入侵的數量日益增長、入侵個體的入侵手段和目標系統多種多樣,因此要確切的描述入侵特征非常困難,入侵規則庫和模式庫的更新要求難以得到滿足,這就要求入侵檢測應該具有相當大的智能性和靈活性,這是多項人工智能技術被相繼應用到入侵檢測中的原因。

1. 傳統入侵檢測中存在的問題。我們先來分析一下傳統IDS存在的問題。傳統IDS產品大多都是基于規則的,而這一傳統的檢測技術有一些難以逾越的障礙:

(1)在基于規則的入侵檢測系統中,所有的規則可理解為“IF一THEN”形式,也就是說,這一規則表述的是一種嚴格的線性關系,缺乏靈活性和適應性,當網絡數據出現信息不完整、變形失真或攻擊方法變化時,這種檢測方法將失效,因此引起較高的誤警率和漏報率。

(2)隨著攻擊類型的多樣化,必然導致規則庫中的規則不斷增多,當這些規則增加到一定程度,會引起系統檢測效率的顯著降低,在流量較高時,可造成丟包等現象。此外,攻擊方法的不斷發展,使得傳統的入侵檢測系統無法有效地預測和識別新的攻擊方法,使系統的適應性受到限制。

(3)傳統的用來描述用戶行為特征的度量一般是憑感覺和經驗的,這些度量是否能有效地描述用戶行為很難估計。有些度量當考慮所有用戶可能是無效的,但當考慮某些特別的用戶時,可能又非常有用。

2. 神經網絡在入侵檢測中的應用

作為人工智能(AD)的一個重要分支,神經網絡在入侵檢測領域得到了很好的應用。神經網絡技術在入侵檢測系統中用來構造分類器,主要用于資料特征的分析,以發現是否為一種入侵行為。如果是一種入侵行為,系統將與已知入侵行為的特征進行比較,判斷是否為一種新的攻擊行為,從而決定是進行丟棄還是進行存盤、報警、發送資料特征等工作。神經網絡在入侵檢測中的具體實現方法一般有兩種:

(1)系統或模式匹配系統合并在一起

這種方法不是像以前一樣在異常檢測中用神經網絡代替現有的統計分析部分,而是用神經網絡來過濾出數據當中的可疑事件,并把這些事件轉交給專家系統處理。這種結構可以通過減少專家系統的誤報來提高檢測系統的效用。因為神經網絡將確定某一特別事件具有攻擊跡象的概率,我們就可以確定一個閩值來決定事件是否轉交給專家系統作進一步分析,這樣一來,由于專家系統只接收可疑事件的數據,它的靈敏度就會大大增加(通常,專家系統以犧牲靈敏度來減少誤報率)。這種結構對那些投資專家系統技術的機構大有好處,因為它提高了系統的效用,同時還保護了在現有IDS上的投資。

(2)網絡作為一個獨立的特征檢測系統

在這個結構中,神經網絡從網絡流中接受數據,并對數據進行分析。任何被識別為帶有攻擊跡象的事件都將被轉交給安全管理員或自動入侵應答系統來處理。這種方法在速度方面超過了以前的方法,因為它只有一個單獨的分析層。另外,隨著神經網絡對攻擊特征的學習,這種結構的效用也會不斷提高,它不同于第一種方法,不會受專家系統分析能力的限制,而最終將超越專家系統基于規則的種種限制。

參考文獻:

[1]韓東海、王超、李群,入侵檢測系統及實例剖析.北京:清華大學出版社,2008.

[2]韓力群,人工神經網絡理論、設計及應用—人工神經細胞、人工神經網絡和人工神經系統.北京:化學工業出版社,2007.