網(wǎng)絡(luò)協(xié)議異常檢測模型的研究與應(yīng)用.pdf

1、隨著計算機技術(shù)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，帶來的網(wǎng)絡(luò)安全問題也日益突出。目前，人們在網(wǎng)絡(luò)上采取的安全手段少，方法單一，很多網(wǎng)絡(luò)只限于安裝防火墻和反病毒軟件，并不足以保護(hù)網(wǎng)絡(luò)安全，因此具有主動防御特征的入侵檢測系統(tǒng)受到人們的重視。入侵檢測系統(tǒng)通過主動監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)和用戶行為，發(fā)現(xiàn)異常數(shù)據(jù)或攻擊行為，從而對網(wǎng)絡(luò)和系統(tǒng)提供保護(hù)。根據(jù)檢測原理，入侵檢測可分為誤用檢測和異常檢測。在過去十多年間，廣泛使用的入侵檢測產(chǎn)品大多基于誤用檢測。盡管該技術(shù)易于

2、實現(xiàn)，但頻繁的更新攻擊規(guī)則庫需要耗費大量的系統(tǒng)資源。異常檢測具有檢測到新型攻擊的能力，但是高誤報率影響了該技術(shù)的實際應(yīng)用。
　　 目前，多數(shù)網(wǎng)絡(luò)攻擊是通過通信協(xié)議完成的，入侵引起的異常也表現(xiàn)為協(xié)議的異常。作為異常檢測新的發(fā)展方向，協(xié)議異常檢測對協(xié)議的正常數(shù)據(jù)建模，檢測違反協(xié)議規(guī)定的行為或異常數(shù)據(jù)。本文在協(xié)議異常檢測模型的構(gòu)造、檢測技術(shù)的綜合應(yīng)用以及檢測算法的設(shè)計等方面進(jìn)行了深入研究，取得了一些創(chuàng)新性的研究成果，主要內(nèi)容包括：

3、r>　　 1.將隱馬爾科夫模型(Hidden Markov Model，HMM)用于基于網(wǎng)絡(luò)的異常檢測，建立基于 HMM的協(xié)議異常檢測模型。該模型量化數(shù)據(jù)包的標(biāo)志位，得到的十進(jìn)制數(shù)字序列作為模型輸入，極大減小了網(wǎng)絡(luò)數(shù)據(jù)流對模型性能帶來的壓力，提高了模型的檢測效率。其次，模型的建立和參數(shù)設(shè)定符合網(wǎng)絡(luò)協(xié)議中標(biāo)志位之間的關(guān)系，很好描述和代表了所對應(yīng)的協(xié)議。在DARPA1999入侵檢測數(shù)據(jù)集上對模型進(jìn)行測試，與基于馬爾科夫鏈的協(xié)議異常檢測算法

4、相比，我們建立模型的性能要高于前者。
　　 2.研究網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)移特性和頻率特性，提出一個基于支持向量機的協(xié)議異常檢測模型。不同于單獨使用數(shù)據(jù)轉(zhuǎn)移特性或頻率特性所建立的模型，我們建立的模型結(jié)合了數(shù)據(jù)的兩種特性。該模型使用Viterbi算法推導(dǎo)訓(xùn)練數(shù)據(jù)的最優(yōu)狀態(tài)序列，根據(jù)最優(yōu)狀態(tài)序列建立狀態(tài)模式庫，以少量短序列描述協(xié)議的正常狀態(tài)轉(zhuǎn)移規(guī)律，有利于處理海量數(shù)據(jù)。通過用短序列中標(biāo)志位的頻率分布訓(xùn)練模型和檢測時計算觀測序列的偏離度，使模型

5、在保持較高檢測率的同時有效控制了誤報率。與單一使用轉(zhuǎn)移特性的 HMM檢測模型相比，結(jié)合了轉(zhuǎn)移特性和頻率特性的協(xié)議異常檢測模型具有更高的檢測率，同時有效地控制了誤報率，其綜合檢測能力達(dá)到令人滿意的效果。
　　 3.將基于字符串核函數(shù)的協(xié)議異常檢測算法用于網(wǎng)絡(luò)異常檢測。目前基于核函數(shù)的入侵檢測方法大多使用主機數(shù)據(jù)，在網(wǎng)絡(luò)方面的應(yīng)用還處于初始階段。我們研究了如何使用字符串核函數(shù)保留協(xié)議的狀態(tài)信息，并應(yīng)用于協(xié)議異常檢測。在此基礎(chǔ)上，我們

6、通過削弱或減少攻擊中正常數(shù)據(jù)對檢測結(jié)果的影響，進(jìn)一步提高了檢測率。在DARPA1999入侵檢測數(shù)據(jù)集上的實驗結(jié)果顯示，基于馬爾科夫核的檢測算法在誤報率為0的情況下，獲得了98％的檢測率，高于其它幾種核函數(shù)。此外，基于變長度加權(quán)核的檢測算法突顯了異常數(shù)據(jù)，降低了大量正常數(shù)據(jù)對檢測效果的影響。在此基礎(chǔ)上，基于變長度加權(quán)一次核函數(shù)的檢測算法進(jìn)一步忽略了重復(fù)出現(xiàn)的正常數(shù)據(jù)對檢測效果的影響，提高了檢測率。
　　 4.提出一個基于條件隨機場

7、的協(xié)議異常檢測模型。這種方法將網(wǎng)絡(luò)連接中的數(shù)據(jù)包作為觀測序列，量化數(shù)據(jù)包首部的標(biāo)志位，計算標(biāo)志位在連接中的出現(xiàn)頻率作為觀測序列的特征，有效利用了多個特征，避免了 HMM的獨立性假設(shè)。模型的訓(xùn)練和檢測使用DARPA1999入侵檢測數(shù)據(jù)集，實驗結(jié)果驗證了所建立模型的準(zhǔn)確性，同基于隱馬爾科夫模型的檢測方法相比，提出的方法在各個衡量標(biāo)準(zhǔn)上都要高于后者。
　　 我們根據(jù)核電廠實時信息系統(tǒng)中的網(wǎng)絡(luò)情況，提出分布式的入侵檢測與管理系統(tǒng)框架，并