網(wǎng)絡(luò)入侵異常檢測(cè)技術(shù)研究.pdf

1、近幾十年來,隨著網(wǎng)絡(luò)的普及和快速發(fā)展,網(wǎng)絡(luò)用戶面臨著日益嚴(yán)重的安全問題,而其主要原因來自于網(wǎng)絡(luò)入侵.入侵檢測(cè)系統(tǒng)是對(duì)傳統(tǒng)計(jì)算機(jī)安全機(jī)制的一種補(bǔ)充,它增大了對(duì)系統(tǒng)和網(wǎng)絡(luò)安全的保護(hù)范圍.自上世紀(jì)80年代以來,入侵檢測(cè)系統(tǒng)雖有長(zhǎng)足的進(jìn)步,但還未成為網(wǎng)絡(luò)和系統(tǒng)的主要保護(hù)措施.入侵檢測(cè)的兩種基本方法是異常檢測(cè)和誤用檢測(cè).其中,異常檢測(cè)技術(shù)以其能檢測(cè)新型攻擊的優(yōu)勢(shì)吸引了大批學(xué)者的研究興趣,但它離實(shí)用還有一定差距. 在本質(zhì)上,異常檢測(cè)是利用審

2、計(jì)數(shù)據(jù)中內(nèi)在的規(guī)則性.Maxion提出使用條件熵來度量離散事件數(shù)據(jù)流的規(guī)則性,但是它還不適用于使用其它入侵特征異常檢測(cè)的分析.同時(shí),目前異常檢測(cè)算法在實(shí)用性方面還存在著一些不足,主要體現(xiàn)在算法仍需要完全正常數(shù)據(jù)用于訓(xùn)練,以及在適應(yīng)環(huán)境變化上能力不足,算法的時(shí)間和空間復(fù)雜度較高.本論文的工作主要體現(xiàn)在如下四個(gè)方面: 第一,使用信息論對(duì)異常檢測(cè)進(jìn)行了分析.首先,在Maxion工作的基礎(chǔ)上,比較合理地給出了異常檢測(cè)中正常行為數(shù)據(jù)的絕對(duì)

3、信息增益,然后定義了相對(duì)信息增益,由此引出規(guī)則比的定義,能較合理度量正常行為的規(guī)則程度.通過基于系統(tǒng)調(diào)用序列異常檢測(cè)實(shí)例,從理論上解釋了采用何種方法可降低規(guī)則比提高檢測(cè)效果.其次,以信息熵為度量標(biāo)準(zhǔn),對(duì)系統(tǒng)調(diào)用序列數(shù)據(jù)進(jìn)行了詳細(xì)地分析,通過比較增加序列的熵增可以較好地檢測(cè)異常,并可實(shí)現(xiàn)無指導(dǎo)的異常檢測(cè).最后,使用交叉熵來度量正常行為分布和異常行為分布的信息量差異. 第二,提出了一種基于系統(tǒng)調(diào)用序列的異常檢測(cè)算法.此算法使用了被稱

4、為權(quán)值樹的數(shù)據(jù)結(jié)構(gòu),用來綜合不同長(zhǎng)度調(diào)用序列的信息；并且能對(duì)權(quán)值樹使用過時(shí)的序列進(jìn)行修剪,在反映最新正常行為的同時(shí)又可以消除訓(xùn)練數(shù)據(jù)中的雜質(zhì),從而實(shí)現(xiàn)無指導(dǎo)的異常檢測(cè).檢測(cè)實(shí)驗(yàn)中還對(duì)檢測(cè)結(jié)果的可視化作了一定的工作.整個(gè)檢測(cè)算法的時(shí)間和空間復(fù)雜度均為O(N),容易實(shí)現(xiàn)實(shí)時(shí)檢測(cè).此外,還提出攻擊指紋的概念,可作為一種誤用檢測(cè)方案. 第三,提出一種新的免疫算法:多級(jí)反向選擇算法.在分析了Forrest提出的反向選擇算法不足后,考慮到在

5、要解決的異常識(shí)別問題中正常行為在空間中往往是高度聚集的,因此在反向選擇算法中使用了多個(gè)級(jí)別的探測(cè)子,并且在反向選擇過程中加入了克隆選擇過程.這樣在新算法中探測(cè)子的生成效率上有了提高,并且可以有效地縮小洞,能比較好地克服原有算法的不足.最后對(duì)算法進(jìn)行了實(shí)驗(yàn)驗(yàn)證.第四,將孤立點(diǎn)挖掘技術(shù)引入到異常檢測(cè)中,能夠?qū)崿F(xiàn)無指導(dǎo)的異常檢測(cè). 文中主要研究了一種基于距離的孤立點(diǎn)挖掘算法,其中的孤立點(diǎn)定義很適合網(wǎng)絡(luò)入侵檢測(cè).能夠高效處理高維的異構(gòu)數(shù)