基于目標預判的網絡入侵檢測頻率自調整算法

楊忠明　梁本來　秦勇　蔡昭權

摘要：

在集群環境中，入侵者攻擊特定目標是提高攻擊效率一種常規手段，有針對性地調度計算資源可有效提高檢測效率。提出一種基于攻擊目標預判的網絡入侵檢測系統（NIDS）的檢測頻率自調整算法DFSATP，檢測分析采集到的數據，將發往潛在被攻擊目標范圍的數據列為高危數據，其余數據為低危數據，指引網絡入侵檢測系統高頻檢測發往預測目標的高危數據包，低頻檢測低危數據包，從而提高NIDS的檢測效率，保障在有限的計算資源情況下提高異常數據的檢出率。模擬實驗結果表明，在高速網絡環境下，DFSATP對NIDS檢測頻率的調整，使得異常數據的檢出率得到了一定程度的提升。

關鍵詞：

入侵檢測；檢測頻率；攻擊目標預判；檢出率；高危數據；低危數據

中圖分類號：

TP393

文獻標志碼：A

Abstract：

In cluster， it is a conventional method to increase attack efficiency for intruder by attacking the specific target， so it is effective to improve the detection efficiency by scheduling the computing resource contrapuntally. A frequency selfadjusting algorithm for Network Intrusion Detection System （NIDS） based on target prediction， named DFSATP， was proposed. By detecting and analyzing the collected data packets， the data packets sent to potentially attacked targets were marked as high risk data and the other packets were marked as low risk data. The efficiency of NIDS was improved by high frequency detection of high risk data packets and low frequency detection of low risk packets， thus the detection rate of abnormal data was also increased to some extent in limited computing resource circumstances. The simulation results show that the detection rate of abnormal data packets is increased because of the detection frequency adjustment of NIDS by using DFSATP.

英文關鍵詞Key words：

intrusion detection； detection frequency； target predetection； detection rate； high risk data； low risk data

0引言

入侵檢測（Intrusion Detection）是指通過網絡系統中的關鍵節點采集大規模數據，從中分析是否存在違反安全策略的行為[1]。從采集數據的對象區分，入侵檢測系統（Intrusion Detection System， IDS）可分為基于主機的入侵檢測系統（Host Intrusion Detection System， HIDS）和基于網絡的入侵檢測系統（Network Intrusion Detection System， NIDS），HIDS以主機系統作為檢測對象，而NIDS通過采集網絡系統的數據進行協議分析和特征匹配。近年來，NIDS成為學者的研究熱點。

隨著計算機網絡的高速發展，局域網已進入千兆速率時代，主干網絡中也早已實現萬兆速率。高速網絡的特征是數據流量大，要求入侵檢測系統的數據處理性能高，處理能力的缺乏必然會導致入侵事件的漏報，國外學者Schaelicke等[2]就提出當今網絡入侵檢測系統（NIDS）的主要問題就是處理性能跟不上網絡帶寬的快速增長。為提高NIDS的處理性能，國內外學者近年來進行了深入研究，主要研究方向可分為兩類：一種方法是采用可擴展的多引擎并行處理技術，另一種方法是提高單個檢測引擎的處理能力和提高入侵檢測算法的效率[3]。本文研究的方法為提高入侵檢測算法的效率。

高速網絡下的大規模數據，致使傳統的NIDS捕獲全部數據包并進行詳細分析存在相當大的難度[4]。在數據采集后，要對其進行協議解析并提取出特征（如源、目的IP地址及協議類型、端口號等），然后采用模式匹配等方法對提取的特征進行分析，不同的分析方法對NIDS的效率影響不同。對于基于規則的NIDS，模式匹配過程是NIDS中最耗時的部分[5]。

在NIDS硬件處理性能及入侵檢測算法效率有限的情況下，需要采用有效手段在流量高峰期保證符合要求的異常數據檢出率。學者們提出通過對數據采樣的方法降低檢測系統的數據處理量以解決入侵檢測算法效率不高的問題，典型的有隨機采樣、等距采樣、變長采樣、分層采樣、周期采樣等策略[6]。如文獻[7]提出了一種過采樣方法，通過生成人工樣本來對小類樣本向上采樣；文獻[8]提出了一種降采樣方法，利用Kmeans方法對大類樣本進行聚類并提取聚類中心，獲得與較小樣本集樣本數目近似的樣本，組成新的樣本集用以訓練；文獻[9]對這些經典采樣算法進行了對比實驗，已知攻擊的檢出率在35%～70%，檢出率受數據源及算法策略影響較大，檢出率穩定性較低；文獻[10]引入風險管理思想對建立在博弈模型上的采樣策略進行優化，有效克服單一采樣策略的不足，但在保護節點較多的情況下不可用。

采樣策略的檢出率欠缺穩定性，文獻[11]從攻擊行為模式上分析，得出90%以上攻擊信息集中在數據流的前30個包，設置當流量過載發生的時候只檢測數據流的前30個包。這樣的規則設定雖避免了采樣的漏檢可能性，但只適用于已知的部分攻擊行為，具有應用的一定局限性。文獻[12]提出了感知威脅后啟動對網絡流量進行異常識別的思路，雖然該文討論的是無線傳感器節點的入侵檢測，但其中根據受保護目標的威脅情況啟動更高級別安全檢測的思想值得借鑒。

利用云計算架構也是提高入侵檢測效率的手段之一。文獻[13]提出一種云架構的入侵檢測系統，將待檢測數據預處理后生成樣本空間傳輸到云端進行建模分析，該方法提高了入侵檢測的效率和精度，但未討論樣本空間傳輸到云端進行計算所帶來的額外流量消耗及計算時間的增加；文獻[14]提出基于人工免疫理論的分布式入侵檢測模型，在提高入侵檢測效率的同時解決了單點失效問題，證明了分布式檢測的有效性，但僅針對TCPSYN洪泛攻擊作了對比實驗。

在服務器集群環境中，通過攻擊特定目標是提高攻擊效率一種常規手段，本文借鑒NIDS的采樣思路，提出一種基于攻擊目標預判的NIDS檢測頻率自調整算法（Detection Frequency Selfadjusting Algorithm for NIDS based on Target Predetection， DFSATP），通過采集大規模數據流量，匯總分析大規模數據，將發往潛在被攻擊目標范圍的數據列為高危數據，其余數據為低危數據，指引NIDS高頻檢測高危數據，低頻檢測低危數據，從而提高NIDS的檢測效率。

DFSATP算法通過實時檢測數據的發送目標，與潛在被攻擊目標范圍作匹配，利用式（10）和（11），每間隔時間周期tj重新計算高危或低危數據的檢測頻率atcpratei和sfcpratei，指導NIDS調整相應的檢測頻率。對單個被檢數據包而言，DDFSATP算法的時間復雜度為O（n），空間復雜度O（k*n）。其中n為服務器群數量，k為算法中出現的變量參數個數，本算法中k為7。

由于NIDS檢測數據具有實時性和連續性的特點，DFSATP算法是每間隔周期tj重新計算并調整NIDS的檢測頻率。因此，分析NIDS的實際性能，空間時間的消耗應是與數據包的數量直接相關，在高速網絡環境下，DFSATP算法的計算頻率也會增加。因此，算法復雜度的數學分析僅具有一定的理論參考價值，具體的算法運行性能還需要真實實驗環境的綜合驗證。

4模擬實驗與結果分析

4.1實驗環境

本實驗采用基于網絡的入侵檢測系統架構，將NIDS部署到核心交換機上，Attacker在外網模擬發起攻擊，NIDS可以采集到所有經過核心交換機的數據。模擬實驗拓撲如圖1所示。

實驗采用KDD CUP99 DATA完整數據集進行測試，該數據集是對Lincoln實驗室1998年提出的DARPA入侵檢測評估數據集的擴充。完整集有近500萬條記錄，包含22種攻擊類型，所有攻擊行為基本上被分為四大類：DoS，U2R，R2L和Probe。模擬實驗過程根據測試數據量要求從數據集內抽取。模擬實驗已經提前對實驗數據進行了分類，將正常類數據及監視和其他探測活動類數據定義為低危數據，遠程設備的非法訪問及普通用戶對超級用戶特權的非法訪問定義為高危數據。

4.2DFSATP對NIDS檢測頻率的調整

基于上述實驗環境，設定模擬實驗參數值見表1，DFSATP對NIDS檢測頻率的調整過程如圖2所示。

從圖2中可以看出，一開始所有數據均為低危數據，發往三個不同目標的數據檢測頻率均為8000；隨后在10～20s檢測出發往S1的數據存在異常數據，將發往S1的數據列為高危數據，則在下一個時間段20～30s將高危數據的檢測頻率提升為10000，而低危數據的檢測頻率則降低為7000；隨著發往S2的數據在30～40s檢測出異常，也被列為高危數據，并且在下一個時間段40～50s，將發往S1和S2的數據檢測頻率都提升為105000，發往S3的低危數據的檢測頻率則降到受檢測頻率最低值30000。綜上可以發現，前一時間段的異常數據檢測率，直接關系到下一個時間段發往該目標的數據的檢出率，具體調整關系參見式（10）和（11），通過實驗結果可以看到FSATP對NIDS檢測頻率的動態調整效果。

4.3DFSATP與傳統NIDS的實驗結果對比

采用上述網絡環境，分別采用傳統NIDS和DFSATP進行模擬實驗，將目標S1、S2的實驗結果列入表2。

分析表2可以看出，異常數據包數目在2000左右時，傳統NIDS與DFSATP的性能相差不大，但隨著異常數據包數目的增加，兩種方法的異常數據包的檢出率開始不同：比如10～20s，對發往S1的異常數據，傳統NIDS的檢出率為95.9%，但DFSATP仍能完全檢測出；再隨著異常數據包的增加，比如20～30s階段，發往目標S1的異常數據達到4613時，傳統NIDS與DFSATP的性能均出現較明顯的下降，但DFSATP仍能保持80.2%的檢出率，而傳統NIDS的檢出率則降到了60.5%。

總體來看，在6個階段總共10次異常數據檢測的實驗對比中，傳統NIDS只有2次達到了100%的檢出率，有6次達到了90%以上的檢出率，有2次60%以上的檢出率，平均的檢出率為87.65%；而DFSATP有6次達到了100%的檢出率，2次90%以上的檢出率，2次80%以上的檢出率，平均檢出率為94.9%。實驗結果表明，在高速網絡環境下，DFSATP對NIDS檢測頻率的調整，使得NIDS對異常數據的檢出率得到了一定程度的提升。

5結語

在集群環境中，攻擊特定目標是提高攻擊效率一種常規手段，本文借鑒NIDS的采樣思路，提出一種基于攻擊目標預判的NIDS檢測頻率自調整算法DFSATP，動態調整高危數據和低危數據的檢測頻率。模擬實驗結果表明，在高速網絡環境下，DFSATP對NIDS檢測頻率的調整，使得NIDS的檢測性能得到了一定程度的提升，本文的算法思想為實際NIDS的性能優化提供了理論參考價值。但網絡入侵檢測是一個系統復雜的過程，攻擊者的攻擊行為趨向于隱蔽化和多樣化，如何智能地識別出這些異常數據，并進行分類和推理，是作者今后的研究重點。

參考文獻：

[1]

楊雅輝，黃海珍，沈晴霓，等.基于增量式GHSOM神經網絡模型的入侵檢測研究[J].計算機學報， 2014， 37（5）： 1216-1224.（YANG Y H， HUANG H Z， SHEN Q N， et al. Research on intrusion detection based on incremental GHSOM [J]. Chinese Journal of Computers， 2014， 37（5）： 1216-1224.）

[2]

SCHAELICKE L， WHEELER K， FREELAND C. SPANIDS： a scalable network intrusion detection load balancer [C] //CF 05： Proceedings of the 2nd Conference on Computing Frontiers. New York： ACM， 2005：315- 322.

[3]

史志才，夏永祥.高速網絡環境下的入侵檢測技術研究綜述[J].計算機應用研究，2010，27（5）：1606-1610.（SHI Z C， XIA Y X. Survey on intrusion detection techniques for highspeed networks [J]. Application Research of Computers， 2010， 27（5）： 1606-1610.）

[4]

IHEAGWARA C， BLYTH A， SINGHAL M. A comparative experimental evaluation study of intrusion detection system performance in a gigabit environment [J]. Journal of Computer Security， 2003， 11（1）： 1-33.

[5]

唐謙，張大方.入侵檢測中模式匹配算法的性能分析[J].計算機工程與應用， 2005， 41（17）： 136-138.（TANG Q， ZHANG D F. Performance analysis of pattern matching algorithms for intrusion detection [J]. Computer Engineering and Applications， 2005， 41（17）： 136-138.）

[6]

PATCHA A， PARK J M. An overview of anomaly detection techniques： existing solutions and latest technological trends [J]. Computer Networks， 2007， 51（12）： 3448-3470.