1.引言
隨著互聯(lián)網的飛速發(fā)展,網絡給走進了人們的生活、娛樂和工作中,但互聯(lián)網的開放性和安全性是一對矛盾體,因此由于互聯(lián)網的無主管性、跨I目性、不設防性,網絡給人們帶來便利的同時,網絡安全問題越來越突出。網絡入侵檢測是網絡安全系統(tǒng)的重要組成部分,其對未經授權的使用、濫用網絡資源的行為進行檢測,具有保護信息完整性、機密性作用。
網絡入侵檢測方法包括異常入侵檢測和誤用入侵檢測方法。誤用入侵檢測方法認為異常行為和正常行為之間的交集很大,其檢測結果與檢測知識庫完備性密切相關,不能發(fā)現(xiàn)新入侵行為,檢測結果沒有實際意義,因此異常入侵檢測方法是當前網絡入侵檢測要研究方向;诋惓H肭謾z測系統(tǒng)采用技術主要有統(tǒng)計法、貝葉斯網絡、神經網絡和數(shù)據(jù)挖掘等方法。基于統(tǒng)計的異常入侵檢測是最為傳統(tǒng)的網絡入侵檢測技術,其只能對小規(guī)模網絡檢測,對大大規(guī)模網絡存在檢測速度,效率低的缺陷。貝葉斯網絡、神經網絡檢測速度快,但是誤警率較高,自適應能力較差,不適合于現(xiàn)代入侵手段多樣化互聯(lián)網。數(shù)據(jù)挖掘技術主要對互聯(lián)網導審計紀錄進行分析,從中挖掘隱含的、實現(xiàn)未知的潛在有用信息,并用這些信息去檢測異常入侵和已知的入侵,成為當前最主要的網絡入侵檢測工具。其中人工免疫是近些年發(fā)展起來的新的數(shù)據(jù)挖掘方法,是受到生物免疫啟發(fā)發(fā)展而來的,具有布式計算,自適應和自我監(jiān)控、動態(tài)學習能力,能夠克服傳統(tǒng)技術中存在的一些缺陷,能夠其動態(tài)性適合系統(tǒng)環(huán)境變化,從而實現(xiàn)對未知攻擊的實時防御,因此人工免疫算法為網絡入侵異常檢測提供了一個嶄新思路和有效的方法。
由于網絡入侵檢測系統(tǒng)與人工免疫系統(tǒng)工作原理具有很大的相似性,針對網絡入侵檢測的特點,本文提出一種人工免疫網絡入侵檢測方法,將其應用于網絡安全防范中。
2.網絡入侵檢測原理
網絡入侵檢測是一種主動的安全防護措施,它從系統(tǒng)內部和各種網絡資源中主動采集信息,分析可能的入侵攻擊行為,有效地擴展系統(tǒng)管理員的安全管理能力,提高信息安全基礎結構的完整性。網絡入侵檢測系統(tǒng)模型如圖1所示。
圖1 網絡入侵檢測系統(tǒng)模型
網絡入侵檢測系統(tǒng)就是防止內部和外部的入侵行為對網絡系統(tǒng)的侵害。而人工免疫系統(tǒng)足識別自體和非自體,保護人體不受外來病原侵害,其角色類似于網絡系統(tǒng)中的入侵檢測系統(tǒng),而其它方法沒有這樣優(yōu)越性,因此,本文將人工免疫系統(tǒng)引入到網絡入侵檢測系統(tǒng)中,建立一種基于人工免疫的網絡入侵檢測系統(tǒng),很好的解決網絡統(tǒng)中發(fā)生頻繁的、形式變化多樣的入侵和攻擊檢測問題,從而提高網絡系統(tǒng)的安全性。人工免疫和網絡入侵檢測系統(tǒng)的映射關系如圖2所示。
圖2 人工免疫和網絡檢測系統(tǒng)的映射關系
3.人工免疫的網絡入侵檢測系統(tǒng)
3.1 網絡入侵檢測模型設計
3.1.1 抗體/抗原
在網絡入侵檢測系統(tǒng)中,抗原(Ag)為網絡中對外來入侵的免疫,即表示網絡中待檢測的網絡數(shù)據(jù),抗原集合定義為:
Ag=(Ag1,Ag2,...,Agi),(i=1,2,...,n) (1)
在網絡入侵檢測系統(tǒng)中,抗體表示入侵檢測系統(tǒng),抗體集合定義為:
Ab=(Abl,Ab2,...,Abi),(i=1,2,...,n) (2)
3.1.2 自我/非自我
在基于人工免疫的網絡入侵檢測系統(tǒng),首先面臨問題是如何定義自我和非自我,對于不I司的領域,其定義不同。對于網絡入侵檢測系統(tǒng),自我表爾計算機網絡中正常的連接集合,而非自我表示自網絡攻擊的IP數(shù)據(jù)包,客戶越權使用網絡服務,違反信任機制,非法網絡服務訪問,通過繞過網絡安全設備,冒充合法客戶等。
3.1.3人工免疫系統(tǒng)的編碼
在人工免疫系統(tǒng)中,對抗體和抗原表示方式,目前有二進制和實值向囂兩種表示方法。對于網絡入侵檢測系統(tǒng),由于每一個網絡數(shù)據(jù)樣本包含多個特征屬性,其中一些是離散數(shù)據(jù),另一些是連續(xù)數(shù)據(jù),由于二進制編碼方式比較成熟,且編碼方式錄活,因此本文采用二進制編碼方式對抗體和抗原進行編碼。
3.1.4 檢測器構造
基于人工免疫機制入侵檢測系統(tǒng)中,檢測器相當免疫系統(tǒng)的淋巴細胞,主要足對外來人侵進行檢測。
1)檢測器集合的產生。在網絡入侵檢測系統(tǒng)中,由多個檢測器組成檢測器集合。首先產生一個自我的字符集合,即正常的網絡連接。然后根據(jù)免疫系統(tǒng)的陰性選擇原則,得到成熟檢測器集合。因此產生的成熟檢測器集合和自我的字符集合不匹配,兩者是互補的,即這個過程叫入侵“審查”。成熟檢測器的產生過程如圖3所示。
圖3 成熟檢測器的產生過程
2)檢測器的構成。在網絡入侵檢測系統(tǒng)中,檢測器是用固定長度的二進制字符串來表示,是通過r連續(xù)位匹配來實現(xiàn)對異常入侵的檢測。因此每一個檢測器由檢測字符串、生成時間、屬性域、匹配域四個部分組成。
3)檢測器的生命周期。在網絡入侵檢測系統(tǒng)中,網絡狀態(tài)具有時變性,因此檢測器必須能夠對網絡時變性進行檢測。在基于人工免疫的入侵檢測系統(tǒng)中,每個檢測器生命周期主要包括產生、成熟、檢測和死亡4個階段,同時檢測器分為未成熟的、成熟和記憶檢測器3類。檢測器的生命周期如圖4所示。
圖4 檢測器的生命周期
采用偽隨機序列隨機產生新的檢測器,在陰性選擇前保持未成熟狀態(tài),這是未成熟檢測器與“自我”中的每一個字符進行匹配,若相匹配,那么丟掉該未成熟檢測器,否則,就將其加入到成熟檢測器中。
3.1.5 自我規(guī)則生成
在網絡入侵檢測系統(tǒng)中,由于自我集不可能覆蓋系統(tǒng)所有的正常連接狀態(tài),只是正常狀態(tài)部分抽樣,因此需要采用一定規(guī)則進行架構來提高覆蓋率。本文采用Hamming生成規(guī)則。其根據(jù)抽樣集合和位串間的Hamming距離來得構原始集合。(如下圖所示,其中,T為閾值,x表示位串。)
圖5 Hamming生成規(guī)則
3.1.6 親和度計算
親和度義稱為匹配度,設網絡入侵檢測器中含有Ⅳ個抗體,第i個抗體含有Li位串,那么抗原和抗體之間的親和度為(圖6所示)。
圖6 親和度計算公式
3.1.7 克隆和變異
對每個抗體的克隆復本進行計算,而且克隆的數(shù)量與匹配度成正比,具體計算公式為(圖7所示)。
圖7 克隆和變異計算公式
根據(jù)匹配度的大小對抗體進行變異操作,變異公式為(圖8所示)。
圖8 變異公式
3.2 網絡入檢測的工作步驟
基于人工免疫的網絡榆測系統(tǒng)的工作步驟如下:
1)對網絡入侵檢測系統(tǒng)進行訓練,此時系統(tǒng)沒有任何入侵行為發(fā)生,處于安全狀態(tài),系統(tǒng)不斷的收集正常網絡活動的模式字符串,組成自我字符集。
2)檢測器將收集到的模式字符串發(fā)送到網絡入侵檢測系統(tǒng)(IDS)的主機,與自我集中的字符串進行全長度匹配,若匹配,表法自我集有該字符串,那么將該字符串丟棄,否則,就加入到自我集中,當系統(tǒng)中的自我集達到一定數(shù)目后,但進行網絡入檢測階段。
3)檢測器對網絡活動的狀態(tài)進行提取,將其與檢測器集中的每一個檢測器進行匹配,匹配的順序為:記憶、未成熟和成熟檢測器。
4)如果檢測器集中有兩個以上檢測器與該字符串相匹配,那么表示可能是入侵行為,就立即向IDS主系統(tǒng)報警。
5)如果只有一個檢測與該字符串相匹配,檢測器就向IDS主系統(tǒng)發(fā)送協(xié)同刺激請求信號,并將該字符串一起發(fā)過去。
6)IDS主系統(tǒng)將該字符串與自身的檢測器集進行匹配,如果匹配,則確認是入侵,向控制臺報警,I司時將其加入到非自我集中。
4.仿真研究
4.1實驗數(shù)據(jù)集的選取
仿真數(shù)據(jù)來自KDD CUP 1999異常入侵檢測數(shù)據(jù)集,數(shù)據(jù)集在一個模擬的網絡環(huán)境中收集的,其包括掃描攻擊(Probe)、拒絕服務攻擊(DOS)、遠程用戶未授權訪問攻擊(U2L)、未授權使用本地超級權限訪問攻擊(U2R)等四種類型攻擊方式。在KDD CUP 1999數(shù)據(jù)集中,每個網絡連接由41個特征屬性和1個標記組成,其中7個離散型的特征屬性,34個連續(xù)型特征屬性。本文采用的數(shù)據(jù)如表1所示。
表1 仿真數(shù)據(jù)中各種攻擊的數(shù)目
4.2數(shù)據(jù)預處理
在網絡入侵檢測中,原始數(shù)據(jù)受到噪聲、不一致性等因素的干擾,同時數(shù)據(jù)可能采用不同的單位,數(shù)據(jù)集中屬性存在關系或冗余,這些因素都會對檢測結果產生不利影響。為了解決該問題,本文采用數(shù)據(jù)清洗技術噪聲數(shù)據(jù),采用主成分析提取特征,采用歸一化技術對數(shù)據(jù)單位不一樣數(shù)據(jù)進行處理。
4.3仿真結果與分析
4.3.1對網絡入侵的檢測結果
首先時數(shù)據(jù)集進行訓練,然后進行檢測,3個數(shù)據(jù)集的平均檢測結果如表2所示。從表2的檢測結果可知,檢測的正確率相當高,誤撤半率比較低,檢測時間短,結果表明基于人工免疫的網絡入侵檢測算法能夠很好的保證網絡的安全,滿足網絡入侵檢測的實時性,是一種有效的網絡安全保護措施。
表2 基于人工免疫的檢測結果
4.3.2 與其它模型的檢測性能對比
為了對人工免疫算法的優(yōu)越性進行測試,本文采用支持向品機、貝葉斯網絡算法對為對比算法,對異常入侵進行榆測。采用檢測正確和漏報率作衡量指標,支持向量機、貝葉斯網絡對表1數(shù)據(jù)的檢測結果如圖5和6所示。從圖5的檢測正確對比可知,基于人工免疫的網絡人侵檢測系統(tǒng)的檢測正確率遠遠高于支持向量機和貝葉斯網絡,從圖6的漏報率對比結果可知,丁人工免疫的網絡入侵檢測系統(tǒng)漏報率最低,同時檢測時間最短,對比結果可知,基于人工免疫網絡人侵檢測系統(tǒng)采用免疫檢側機制,很好的防范了網絡異常人侵,檢測結果的正確率高,漏報率低,實時性強,是一種優(yōu)異的網絡人入侵檢測工具。
圖9 3種算法的異常入侵檢測正確率
圖10 3種算法的異常入侵檢測漏報率
5.結束語
人工免疫系統(tǒng)足一種模擬生物免疫原理的數(shù)據(jù)挖掘技術,是繼神經網絡、支持向量機后的研究熱點,具有是一個自適應、自學習、并行處理復雜系統(tǒng),本文通過研究人工免疫系統(tǒng)信息處理機制,建立了一種基于人工免疫的網絡異常人侵檢測系統(tǒng)。最后通過仿真驗證該算法的有效性。仿真結果表明;谌斯っ庖叩木W絡入侵檢測系統(tǒng)加快了網絡入侵的檢測速度,得到了性能更加優(yōu)異的網絡入侵檢測器,減少的漏報率,提高了網絡入侵的檢測正確率,檢測的結果更加可靠,克服了當前網絡入侵檢測算法的缺陷,是一種有效的網絡安全防范工具。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.ezxoed.cn/