計算機網絡安全維護中入侵檢測技術的運用實踐

姜立

摘要：隨著計算機網絡技術的發展，單獨地依靠主機審計信息進行入侵檢測難以適應網絡安全的需求，于是人們提出了基于網絡的入侵檢測系統體系結構，這種檢測系統根據網絡流量、單臺或多臺主機的審計數據檢測入侵。本文將主要探討計算機網絡安全維護中入侵檢測技術的運用。

關鍵詞：計算機；網絡安全；入侵檢測技術

基于網絡的入侵檢測系統的數據源是網絡流量，它實時監視并分析通過網絡的所有通信業務，檢測范圍是整個網絡，由于網絡數據是規范的TCP/IP協議數據包，所以基于網絡的入侵檢測系統比較易于實現[1]。但它只能檢測出遠程入侵，對于本地入侵它是看不到的。

1入侵檢測技術概述

探測器一般由過濾器、網絡接口引擎器以及過濾規則決策器構成，其功能是按一定的規則從網絡上獲取與安全事件相關的數據包，然后傳遞給分析引擎器進行安全分析判斷。分析引擎器將從探測器上接收到的包結合網絡安全數據庫進行分析，把分析的結果傳遞給配置構造器。配置構造器根據分析引擎的結果構造出探測器所需要的配置規則。分析引擎器是它的一個重要部件，用來分析網絡數據中的異?，F象或可疑跡象，并提取出異常標志。分析引擎器的分析和判斷決定了具有什么樣特征的網絡數據流是非正常的網絡行為，它常用的4種入侵和攻擊識別技術包括根據模式、表達式或字節匹配；利用出現頻率或穿越閥值；根據次要事件的相關性；統計學意義上的非常規現象檢測[2]。

2計算機網絡安全的現狀

在新系統的設計中，利用數據挖掘技術從系統日志、系統調用序列、網絡流等大量數據中提取與安全相關的系統特征屬性，為了高效地利用特征屬性，采用特征向量集代替特征屬性變量集，設計中采用遺傳算法選擇其特征子集，以降低入侵檢測系統的負荷。進行數據挖掘時，所選用的安全審計數據須具備以下特點：

（1）相對于正常的用戶和系統行為，攻擊事件的發生概率很小[2]。

（2）在正常情況下所選用的安全審計數據非常穩定。

（3）攻擊事件的發生會使安全審計數據的某些特征變量明顯偏離正常值。

特權程序一般都具有最高權限，因此特權程序一直是攻擊者的主要目標。通過研究發現，對特權程序，系統調用序列較好地滿足了數據挖掘對安全審計數據提出的要求，是理想的挖掘數據源。國外有關研究機構還提供了大量的有關系統調用序列的數據供IDS的研究者下載使用，基本上滿足了完備性的要求。

系統調用序列檢測的工作主要流程如下：

（1）準備訓練數據集，該數據集中數據記錄具有廣泛的代表性，即具有較高的支持度；所有數據已經被準確標識為正?；虍惓＃捎糜嘘P系統調用序列的數據作為分類器的訓練數據集。

（2）用RIPPER算法分析訓練數據集，提取特征屬性，生成規則。

（3）基于所生成的規則，用滑動窗口法分析待檢測系統調用序列[3]。

3入侵檢測系統在計算機網絡安全維護中的應用

為進一步提高IDS的性能，減少IDS組件對被保護系統的負荷，所設計的新人侵檢測系統采用特征向量集代替特征屬性變量集（短序列集），在數據挖掘時產生了更簡單、準確的入侵判別規則集。在此基礎上進一步研究用特征向量子集代替特征向量集，采用遺傳算法優化特征向量子集的選擇過程，使IDS的性能得到進一步的提升[3]。

在系統調用序列數據的挖掘過程中使用特征向量法，用特征向量的一位標識一個短序列，用挖掘算法能從特征向量集中找出檢測入侵的規則來。由于短序列的數量較大，導致特征向量位數過大，特征向量集也相應過大。為了更高效可行地使用數據挖掘算法，采用遺傳算法對特征向量集進行優化，尋找特征子集，利于后續的數據挖掘[4]。

該最優個體必然是0、1交替的位串，將其所有1所在位置進行分析，可以得到1所在位置代表的短序列集，即為尋找的特征子集。后續挖掘算法根據該特征子集中的短序列，對訓練數據進行分類等挖掘工作。

采用標準交叉算子和變異算子，交叉概率取0.6，變異概率取0.001。遺傳過程中，個體的選擇比較復雜。因為這里是針對入侵檢測進行的優化，所以在選擇個體時，是將該個體代表的入選子集的短序列應用到數據分類算法（RIPPER），該算法訓練數據并應用規則得到測試數據，根據檢測的性能來確定上述要選擇的個體的適應度值。根據個體的適應度值就可以對其進行選擇，繼續遺傳優化工作。研究表明，個體的適應值可以取決于有多少攻擊被正確檢測和正常使用連接被誤判為攻擊，同時考慮個體中置1位的數目，本系統設計的適應度函數為[4]：

[F（xi）=[（a/A）-（b/B）]δm]

式中：[xi]為某個個體，a為正確檢測到的攻擊數目；A為總有攻擊數目；b為被誤判為攻擊的連接數；B為總的正常連接數；m為[xi]中1的個數；[δm]為m對于該適應度函數的相關系數，即高檢出率低誤報率使適應度函數值高，低檢出率高誤報率使適應度函數值低。個體中置l的位數越少，適應度值越大，這是出于尋找最小特征子集的考慮，其影響的強弱由相關系數d去控制。

if

{

一個網絡連接有如下特征：

源IP地址d2.Of.**.**；

目標IP地址c0.a8.a*.**；

源端口號43226；

目標端口號80；

持續時間482 s；

終止狀態（由發起連接的人終止連接）11；

使用協議（TCP協議）2；

發送方發送了7341B；

接收方接收了37761B；

}

then

{

終止該連接；

}

結論

總之，入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行人侵檢測的軟件與硬件的組合便是入侵檢測系統。

參考文獻：

[1]楊嶺. 基于網絡安全維護的計算機網絡安全技術應用研究[J]. 信息系統工程，2015，01：77.

[2]張旭東. 基于混合數據挖掘方法的入侵檢測算法研究[J]. 信息安全與技術，2015，02：31-33.

[3]代新穎. 計算機網絡安全問題及其防范措施[J]. 電子制作，2015，02：169-170.

[4]孫福兆. 基于改進加權關聯規則算法的入侵檢測系統的設計[J]. 科技與創新，2015，04：84.endprint