網(wǎng)絡(luò)入侵檢測方法

近年來，入侵檢測技術(shù)以其強有力的安全保護(hù)功能進(jìn)入了人們的視野，也在研究領(lǐng)域形成了熱點。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計并配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)現(xiàn)象或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)和系統(tǒng)中違反安全策略行為的技術(shù)。

目前通常說的入侵就是指對系統(tǒng)資源的非授權(quán)操作，可造成系統(tǒng)數(shù)據(jù)的丟失和破壞、甚至?xí)斐上到y(tǒng)拒絕對合法用戶服務(wù)等問題。Smaha從分類的角度將入侵描述成嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄露、拒絕服務(wù)、惡意使用等六類。入侵者通常可分為外部入侵者，例如黑客等系統(tǒng)的非法用戶，和內(nèi)部入侵者，即越權(quán)使用系統(tǒng)資源的用戶。

下面給出幾種主要的異常檢測方法：

一、基于概率統(tǒng)計的異常檢測方法

概率統(tǒng)計方法是基于行為的入侵檢測技術(shù)中應(yīng)用最早也是最多的一種方法。其工作過程如下：檢測器根據(jù)用戶對象的動作為每個用戶分別建立一個用戶特征表，通過比較當(dāng)前特征與已存儲的典型特征來判斷是否為異常行為。用戶特征表根據(jù)審計記錄情況不斷更新。這種方法的優(yōu)越性在于能應(yīng)用成熟的概率統(tǒng)計理論。但也有一些不足之處，如統(tǒng)計檢測對事件發(fā)生的次序不敏感，也就是說，完全依靠統(tǒng)計理論可能漏檢那些利用彼此關(guān)聯(lián)事件的入侵行為;其次，判斷是否入侵的閾值很難確定，閾值太低則誤檢率提高，閾值太高則漏檢率提高。

二、基于特征選擇的異常檢測方法

基于特征選擇的異常檢測方法是通過從一組度量指標(biāo)中挑選能檢測出入侵的度量指標(biāo)構(gòu)成子集預(yù)測或分類已檢測到的行為模式。異常入侵檢測的一個基本問題是異常活動和入侵活動有時很難區(qū)分。判斷符合實際的度量指標(biāo)比較復(fù)雜，因為不同的入侵其度量指標(biāo)子集往往不同，很難找到一個度量集對所有的入侵類型都能合適。用預(yù)先確定的特定度量指標(biāo)來檢測入侵行為可能會錯過個別入侵行為模式。

三、基于貝葉斯推理的異常檢測方法

基于貝葉斯推理的異常檢測方法是通過在任意給定的時刻，用度量指標(biāo)A1，A2，A3，…，An來推斷系統(tǒng)是否有入侵事件發(fā)生。其中每Ai變量表示系統(tǒng)的某個特征（如磁盤I/O的活動數(shù)量，或者系統(tǒng)中頁面出錯的數(shù)量）。

四、基于貝葉斯網(wǎng)絡(luò)的異常檢測

貝葉斯網(wǎng)絡(luò)是實現(xiàn)貝葉斯定理揭示的學(xué)習(xí)功能，發(fā)現(xiàn)大量變量之間的關(guān)系，進(jìn)行預(yù)測、分類等的有力工具。采用貝葉斯網(wǎng)絡(luò)能以閣行方式表示變量之間上網(wǎng)因果關(guān)系，并通過一個僅與鄰居節(jié)點相關(guān)的概率集計算出隨即變量之間的聯(lián)合概率分布。這個概率集包括所有根節(jié)點的先驗概率和所有非根節(jié)點在其父節(jié)點的所有組合概率下的條件概率。

五、基于模式預(yù)測的異常檢測方法

基于模式預(yù)測的異常檢測方法的假設(shè)條件是事件序列不是隨機的而是遵循可識別的模式，這種檢測方法的特點是考慮了事件的序列及相互聯(lián)系。一種實現(xiàn)方法采用了基于時間的推理，利用時間規(guī)律來識別用戶行為正常模式的特征。通過歸納學(xué)習(xí)產(chǎn)生這些規(guī)則集，并能動態(tài)地修改系統(tǒng)中的這些規(guī)則，使之具有較高的預(yù)測性、準(zhǔn)確性和可信度。如果規(guī)則大部分時間使正確的，并能夠成功的預(yù)測所觀察到的數(shù)據(jù)，那么規(guī)則就具有高可信度。

六、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測

與統(tǒng)計理論相比，神經(jīng)網(wǎng)絡(luò)更好地表達(dá)了變量間的非線性關(guān)系，并且能自動學(xué)習(xí)與更新。利用神經(jīng)網(wǎng)絡(luò)檢測入侵的基本思想是用以系列用戶的合法行為訓(xùn)練神經(jīng)網(wǎng)絡(luò)確定網(wǎng)絡(luò)結(jié)構(gòu)和神經(jīng)元，由此在給定一組輸入后，就可能預(yù)測輸出。

上面討論了入侵檢測方法中的異常檢測技術(shù)。基于異常的檢測技術(shù)雖然無法準(zhǔn)確判別出攻擊的手法，但可以（至少在理論上可以）判別更廣泛、甚至未察覺的攻擊。在實際應(yīng)用中可將誤用檢測方法和異常檢測方法結(jié)合進(jìn)行檢測。

基于概率統(tǒng)計的異常檢測方法示例：

本文中采用的檢測技術(shù)期望得到3個特征值的概率分布。而這3個特征值是應(yīng)用數(shù)據(jù)挖掘技術(shù)中的聚類分析得到的。聚類是把數(shù)據(jù)按照相似性歸納成若干類別，同一類中的數(shù)據(jù)彼此相似，不同類中的數(shù)據(jù)相異。聚類分析可以建立宏觀的概念，發(fā)現(xiàn)數(shù)據(jù)的分布模式，以及可能的數(shù)據(jù)屬性之間的相互關(guān)系。

一個時間序列的熵是一個用于揭示該信號變化程度的量。最大熵方法的基本思想是：在一個封閉的系統(tǒng)中，熵總是達(dá)到一個穩(wěn)定值。最大熵分布就是指一個孤立的或穩(wěn)定狀態(tài)系統(tǒng)在長時間后達(dá)到的狀態(tài)。一般情況下，如果造成一個變量的變化原因十分復(fù)雜，就有理由認(rèn)為其符合一定限定條件下的最大熵分布。這種方法已經(jīng)成功的應(yīng)用于語言文字和信號處理等方面。

首先將系統(tǒng)特征表示為時間的變化函數(shù)，希望通過計算信號來分析這一系統(tǒng)特征的行為。若將這一信號的變化范圍離散化為個預(yù)先定義的單元：

Q[i]

其中，Q[i+1]-Q[i]，i=1，2，…v對應(yīng)于不同的單元。則信號位于單元中的概為Pi（T）=■■[θ（f（t）-Q（i））-θ（f（t）-Q[i+1]）]

其中，函數(shù)θ（t）定義為

θ（t-t）=1 " " "t-t>00.5 " t=t0 " " "t-t<0

圖2-3正常行為出現(xiàn)概率分布

以特征為例，在實驗中將定為100，其位于各個區(qū)間的概率如圖2-3中實際曲線所示。

首先這種分布必須滿足限定條件■Pi=1下最大化熵。另外，還要添加額外的限定條件（通常由專家知識給出）■PiEi=ε，然后采用拉格朗日乘子法得到在這些限定條件下的最大熵分布。即L=■Pilnpi-A（■Pi-1）β（■PiEi-ε）

并最大化得

Pi=e-A-1e-βEi=■

上式即為限定條件下的最大熵分布。根據(jù)先驗知識，對于S1這一特征，將其離散化為S1[i]，長時間看其平均值應(yīng)該是一定值。因此，可以得到如下限定條件：

■PiS[i]=109.3 " " " （1）

其分布為

Pi=6.82×10-2×（93.18×10-2）

i=0，1，…，v

如圖2-3中理論1曲線所示。由圖2-3可見，理論與實際的分布是比較吻合的。另外注意到由25%的時段S1的值都為0，這也符合另一個先驗知識：網(wǎng)絡(luò)在某些時段是沒有流量的。

因此，又添加了另一個限定條件：

P0=0.25 " " " " （2）

使用兩個限定條件式（1）、（2），得到的最大熵分布為

P0=0.25

Pi=5.05×10-2×（93.62×10-2）i

如圖2-3中理論2曲線所示。在樣本數(shù)目（為4010）不是很多的條件下，這樣的概率分布擬合是很好的。

在概率論中有一個基本的結(jié)論，即發(fā)生小概率事件是不正常的。這樣，只需設(shè)定一個判斷異常的界限即可。對于的理論分布，設(shè)定異常事件發(fā)生的條件（或規(guī)則）為：S1>1500，由圖2-3中理論2分布曲線計算得到這一事件發(fā)生的概率為■Pi=3×10-3

該值對應(yīng)理論上的誤報率（也就是正常行為被錯誤分類為異常的概率）。

廣義地講，上述異常檢測方法可稱為基于數(shù)據(jù)挖掘（Data Mining）的檢測方法。由于計算機聯(lián)網(wǎng)而導(dǎo)致大量審計記錄，從這些海量審計數(shù)據(jù)中提取出程序和用戶行為的知識，并表示為概念、規(guī)則、規(guī)律、模式等形式，進(jìn)而用這些知識去檢測異常入侵，即是一個典型的數(shù)據(jù)挖掘及其應(yīng)用的過程。數(shù)據(jù)挖掘技術(shù)是一項通用的知識發(fā)現(xiàn)技術(shù)，其目的是要從海量數(shù)據(jù)中提取對用戶有用的數(shù)據(jù)。將該技術(shù)用于入侵檢測領(lǐng)域，利用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析、聚類分析（如貝葉斯聚類法）、分類、預(yù)測、時序模式和偏差法分析等算法提取相關(guān)的用戶行為特征，并根據(jù)這些特征生成安全事件的分類模型，應(yīng)用于安全事件的自動鑒別。

（作者單位：甘肅省白銀市職業(yè)中等專業(yè)學(xué)校）