基于異常檢測的網絡安全技術研究

張云鶴

（安徽電子信息職業技術學院，安徽 蚌埠 233000）

所謂入侵檢測，顧名思義，就是檢測入侵行為，即面向安全日志、審計數據及其他互聯網及計算機系統中的關鍵點進行信息收集，在對信息進行分析的基礎之上確定網絡或計算機系統中是否存在與安全策略不相符的行為或攻擊跡象.

具有入侵檢測功能的相關軟件及硬件構成了入侵檢測系統.以所采取的分析方法為依據，可以將入侵檢測行為劃分為異常檢測及誤用檢測兩種.其中異常檢測，指的是借助定量方法對可接受行為特征進行描述，將非正常行為與正常行為區分開來，從而達到檢測入侵行為的目的.

1 網絡異常入侵檢測模型

異常檢測模型具有動態性，根據檢測對象的不同，模塊的結構也有所區別.根據上圖可知，異常檢測模型主要包括函數庫、跟蹤器、檢測器、強序列構造器、決策模塊、響應模塊以及控制模塊等幾部分.

跟蹤器的作用主要是對程序運動過程中出現的派生進程進行跟蹤，并對該進程對系統的調用序列進行收集；函數庫作為一個數據庫，其作用主要是對系統函數進行存儲.系統調用集主要取決于系統版本，在本文中，設該系統調用集為I，并將強函數集與調用函數集同時引入該模型中，分別設為Pi和Ui，其中，i表示功能子序列編號，則系統調用集、強函數集和調用函數集之間的關系可以表示為：Pi哿Ui哿I；強序列構造器包括函數集合強序列兩部分，其作用主要是有效解決滑動窗口大小無法調整的問題；檢測器的作用就是對進程序列是否存在異常進行劃定；決策模塊的作用是針對預處理及檢測器所發出的異常狀況警報進行處理；控制模塊的作用主要有：完成函數集的構建，并進行實時更新；根據實際情況對檢測器及預處理中的閥值進行設置；調度模塊能夠實現對子檢測模塊的動態性創建及調度，同時檢測來自于主跟蹤模塊的子進程；預處理的任務主要是針對跟蹤器發出的數據進行初步處理，并將處理之后的數據傳輸到檢測器.具體來講包括以下三項內容：第一，根據實際情況及需求分解原始數據，在此過程中將有誤數據去除，同時將無法被檢測器所識別的符號字段進行轉化處理；第二步，為最大限度的避免因記錄間字段數據懸殊影響網絡訓練，需要進行歸一化處理；最后，對單位時間內調用函數集中的內容進行審查，并作出有誤超出預設閥值的情況；響應模塊借助防火墻以及路由器等中斷模塊實現對異常進程的有效處理.

2 網絡安全的實現

上面所介紹的面向程序行為的異常檢測模型中的函數集庫主要涉及調用函數集以及強函數集兩部分.

調用函數集的作用主要是對功能子序列中系統調用函數及相關信息進行存儲.在具體操作中一項重要環節就是對各個功能子序列中最小系統調用函數，這一步極為關鍵，原因在于，程序對系統函數的調用，從本質上講，就是調用系統資源，對于與功能子序列相對應的進程而言，當其超出該最小系統調用函數的情況出現，基本可以斷定發生了系統異常.對函數全部參數進行梳理，確定參數最長的值，并在最大參數長度中對其進行記錄.受編譯系統及程序自身缺陷的影響，部分程序比較容易遭受來自于緩沖區溢出攻擊，緩沖區溢出需要記錄shell code，與正常參數相比較而言，shell code的長度更長，因此，對該類型攻擊的一項有效途徑就是對最大參數長度進行記錄.

所謂后繼個數，具體是指在函數后面能夠跟隨其他系統的函數的數量.后繼個數會對檢測器收斂性造成一定程度的影響，對于這一問題，實踐中比較常見的處理措施主要有兩種，一種是將該函數去除，另外一種就是添加一個隱藏層.

強函數集.對于某一計算機程序而言，在其處于運行狀態的情況下，受其所處環境及交互過程的影響，無法事先知曉系統調用次數；然而，對于部分調用而言，則必須嚴格按照順序進行，例如對于某一文件而言，必須嚴格按照打開、讀寫的順序進行.強函數集的作用就是對這種具有嚴格順序要求的函數進行存儲.

當前有關程序行為的異常檢測中所使用的檢測器主要有狀態機、隱馬爾可夫鏈以及神經網絡等.其中，狀態機主要是以進程為依據調用系統函數，同時完成有限主動機的構建進行檢測；隱馬爾可夫鏈則以統計學相關理論為依據，按照進程轉移系統調用狀態，從而達到異常檢測目的.

利用面向程序行為的異常檢測模型對網絡異常進行檢測需要經歷以下幾個步驟：第一步，訓練檢測器.在訓練檢測器的同時需要完成調用函數集的構建操作，并統計表項中的最大參數長度及后繼個數；第二步，以專家知識為依據，面向調用函數集進行選擇，以確定重要性程度最高、具有明確順序要求的函數，并根據所挑選出的函數構建強函數集；最后，生成強序列，具體也以上一步所構建的強函數集為依據.

借助本文所構建的面向程序行為的異常檢測模型實施網絡入侵檢測，需要在預處理階段對跟蹤器中系統調用函數位置進行檢查，確定其具體位置以及參數的長度；判斷引用數加一的情況下是否會越出警戒線；一旦出現上述情況，就會進行異常報警.

在相關預處理完成之后就進入到檢測器檢測階段，與此同時以強函數集為依據，完成強序列的構建；在實現完整的功能子序列檢測之后，向檢測器中輸入強序列進行檢測，經過檢測若發現存在異常情況，則向決策模塊發出警報.

3 結語

綜上所述，計算機信息技術的迅猛發展，網絡影響范圍的逐步擴大，網絡安全性問題也日益嚴重，有效防范黑客等攻擊，維護網絡安全成為一大研究熱點.作為防火墻之后維護網絡安全的有效途徑，入侵檢測技術也逐漸引起廣泛關注.本文主要介紹了一種面向程序行為的異常檢測模型，并對函數庫、跟蹤器、檢測器、強序列構造器、決策模塊、響應模塊以及控制模塊等的作用以及依托于該模型的網絡安全的實現進行闡述.

〔1〕王新志,孫樂昌,陸余良,張旻.一種面向軟件行為可信性的入侵檢測方法[J].中國科學技術大學學報，2011(07).

〔2〕董迎亮,玄雪花,王德民.基于 WM算法改進的多模式匹配算法 [J].吉林大學學報 (信息科學版)，2011(04).

〔3〕王蘇南.高速復雜網絡環境下異常流量檢測技術研究[D].解放軍信息工程大學，2012.

〔4〕E.C.Claudino,Z.Abdelouahab,M.M.Teixeira.Management and integration of information in intrusion detection system:Data integration system for IDS based multi-agent systems.Pro 2006 IEEE/W IC/ACM Inter.Conf.2006.

〔5〕Wei Zhang,,Shaohua Teng,Xiufen Fu,Lin Wang.Research on communication mechanism among cooperating multi-Intrusion Detection Agents.5th IEEE international conference on cognitive informatics ICCI.2006.

〔6〕沈學利,張紀鎖.基于BP網絡與改進的PSO算法的入侵檢測研究[J].計算機工程與科學，2010(06).