标题 | 网络预警自适性入侵检测系统设计与实现 |
范文 | 刘佳 摘要:传统的入侵检测系统只能检测已知入侵行为,对于新型入侵行为难以监测及采取应对策略。基于网络预警的自适性入侵检测系统,能够从网络流量方面防护重点设备,根据周围设备的异常情况识别新型入侵并进行安全策略升级。采用C4.5决策树作为入侵检测器核心算法。仿真实验表明,网络预警自适性入侵检测系统理论上拥有74.23%的检出率和92.21%的有效检测率(检出率+入侵类型错误率)。 关键词:自适性入侵检测;入侵检测系统;决策树;新型入侵检测;基于网络入侵检测 DOIDOI:10.11907/rjdk.172537 中图分类号:TP399 文献标识码:A文章编号文章编号:16727800(2018)003021004 英文摘要Abstract:Traditional intrusion detection system is based on the known intrusion signatures, which is weak in detecting new type intrusions. The networkalarmed intrusion detection system has the ability to build whole environment security belief through gathering anomaly situations of surrounded equipment. The system defends important equipment through detecting the data flowing into this equipment. According to the whole environment security belief, the system updates the security policy. The system applies the C4.5 decision tree as key detection algorithm, and realizes the algorithm. The simulation results show that the system has 74.23% detection rate and 92.21% effective detection rate (detection rate+false intrusion type rate). 英文关键词Key Words:adaptive intrusion detection; intrusion detection system; decision tree; new pattern intrusion detection; intrusion detection based on Network 0引言 入侵检测技术是一种检测入侵情况的预防措施,能够在损害发生之前将入侵识别并将其与系统阻隔起来。随着网络的普及与智能化,入侵行为越来越难以监测,各种新型入侵行为层出不穷。传统的入侵检测系统是在先验异常行为的基础上进行异常行为的对比识别,缺乏识别新型入侵类型的能力,难以应对现今多样化的入侵模式。为了弥补入侵检测系统难以识别新型入侵行为的缺陷,研究人员提出了能够识别新型入侵行为的检测系统。 1相关工作 2003年,D Nojiri、 J Rowe、 K Levitt[1] 提出通过一种协作减轻反应机制抑制大规模网络蠕虫攻击,系统设备采用一种被称作“朋友机制”的协作机制进行相互交流,向可能的被攻击点发送攻击报告。 2006年,Intel公司开发了称作“自治企业安全”的方案[2] ,检测本地系统突然偏离日常行为模式的各种细微线索,向其它主机通报异常活动,如果异常活动超过给定阈值则判定为新型攻击。 2008年,MA Rajab、 F Monrose、 A Terzis[3] 利用分布式優点进行分布式入侵检测,提出了一种新的蠕虫繁殖模型,检查潜在的脆弱性存在点预测蠕虫攻击。实验表明,在相同规模的入侵检测器下,分布式入侵检测器比一般入侵检测器速度提高4倍,易受攻击点的局部密度分布信息能用来提高检测器布置方案效果。 2013年,NA Elfeshawy、OS Faragallah[4] 提出了一种采用划分两部分的自适性入侵检测系统降低误报率的方法,具有侦测可疑行为和确定入侵行为的高度自治,应用径向基函数的自学习神经网络达到自适性检测入侵的目的。其将入侵检测分为两个部分:①部署在防火墙上,侦测每个进入者的流量包是否是攻击;②部署在防火墙之后,侦测通过防火墙的攻击行为,实验证明该方法具有较好性能。 2016年,M Ajabi、I Boukhris、Z Elouedi[5]首次提出信任决策树,采用信任函数理论和建立信任决策树进行大数据的入侵检测,将MapReduce编程模型和求平均值作为不确定情况下的分类方法。 2017年,WL AlYaseen、ZA Othman、MZA Nazri[6]提出了一种多层次混合SVM与ELM方法监测正常行为和已知入侵。自适性SVM模型能监测与实时学习新型攻击。实验表明,该模型大大降低了监测未知入侵行为的时间。 2系统设计与实现 2.1决策树生成 分类(Classification)[11] 是指提取数据集相关信息,从中提取数据集各类特征,形成分类数学模型,进行分类与预测。决策树算法分类在入侵检测中具有快速与准确性高的特点,因此采用决策树作为核心入侵检测器。决策树算法有ID3、C4.5、CART[7] 等,本文采用ID3的改进算法——C4.5算法[8] ,以减少ID3算法的过度拟合现象。 递归选择出当前对D的划分具有最大贡献度的属性,直至所有类别为同一类别或达到某一个阈值后,结束决策树构造。具体步骤[8] 如下:①采用Intrusion_type作为相应的入侵类标号,D为训练元组和相应类标号的完全集,计算D中各属性的增益率,选取具有最大增益率的属性作为分类属性,将D分为v1类;②分别计算v1类的各自增益率,选择具有最大增益率的属性作为分类属性;③各分支节点的祖先属性不作为本次分支的分裂属性;④依次递归构造具有最大增益率的属性作为当前分裂属性;⑤如果当前的分裂属性将数据分为同一个类别或到达一个阈值,则此类别作为一个叶子,结束此分支分类;⑥如果当前分裂属性将元组划分为纯类别,则以各类别作为叶子,节点名为各分类名字,分类结束。 多次递归后,每次分类都是当前最优分类,得到全局最优解几率很大,即形成能够考虑全部属性给出入侵类型的最优分类决策树,达到较高的准确率。 2.2信任度建立及信息预警 通过入侵检测传感器进行数据收集,缺失属性值的类采用朴素贝叶斯预测[9] 补全,收集信息包括连接各层协议类型、发生时间、近期一定时间内连接情况等信息,并在发现异常信息后将异常信息相关数据向周围入侵检测点发送,各入侵检测点根据到达其它入侵检测点距离的远近建立距离表,根据距离异常情况发生的节点远近及危险程度,得到全局网络安全情况信任度,见表1、表2。当全局网络安全情况信任度在一定时间内到达一定阈值时,则认为入侵检测模型无力,无法检测相应入侵情况。这时建立异常信息预警并向周围节点发送,提升周围结点入侵防护等级,并向策略实施点(PEP)发送预警报告,报告检测到的入侵信息相关流量与连接特征。 根据各入侵检测点侦测到的异常信息数据,统计异常信息发生时的属性信息,计算异常程度值,并将异常信息及数据发送到周围入侵检测点。周围入侵检测点根据异常属性权重表和异常程度值,计算各权重异常值。根据接收到信息的机器与发生异常的机器的距离计算周围各设备异常值,建立全局网络安全情况信任度。超出阈值则认为发生了新型入侵行为,向策略实施点(PEP)发送异常报告,包括识别的异常数据及異常发生位置。将识别的异常信息标注新型入侵标识,并将收集的异常信息发送到策略实施点(PEP)进行处理。 2.3自适性入侵检测系统架构 基于决策树入侵检测器,提出了一种分布式入侵检测系统架构。该架构分为反馈信息收集点(PFP)、信息处理节点(DPP)、全局网络安全情况信任度建立节点(OSCP)、自适性入侵检测模型改进节点(AIDP)、分布式入侵检测点(IDP)、设备分类管理中间件(IDM'S)、全局设备管理节点(MOM)、管理员系统(MPS)8大部分。其中信息处理节点、全局情况建立节点、自适性入侵检测模型改进节点、全局设备管理节点共同组成了中央处理系统。在重点设备之前布设网络流量传感器,重点监控流向重点设备的网络流量信息,见图1。网络预警自适性入侵检测系统见图2。 (1)分布式入侵检测点(IDP):将入侵检测与防护系统安装到设备内部,部署相应的入侵防护措施。建立全局网络安全情况信任度,并在全局网络安全情况信任度到达阈值时向反馈信息收集点(PFP)发送预警报告。 (2)反馈信息收集点(PFP):收集来自各分布式入侵检测点(IDP)和IDM'S的平台信息以及预警报告,将相应信息发送给信息处理节点(DPP)。 (3)信息处理节点(DPP):将收集到的反馈信息进行整理,将处理后的数据传送给信任度节点(OSCP)及自适应入侵检测模型改进节点(AIDP)。 (4)全局网络安全情况信任度建立节点(OSCP):根据信息处理节点(DPP)传送的信息,提取各异常情况发生位置,建立全局网络安全情况信任度,对异常位置进行定位。如果全局网络安全情况信任度超过预先设置的阈值,就向全局设备管理节点(MOM)发送提升网络整体安全防护等级命令。 (5)自适性入侵检测模型改进节点(AIDP):根据信息处理节点(DPP)反馈的信息,假定当前入侵为同一种新型入侵行为,则根据数据重新适应性生成决策树。 (6)全局设备管理节点(MOM):主要负责全局设备的分类及管理。 (7)设备分类管理中间件(IDM'S):负责接收来自全局设备管理节点(MOM)的命令,并将这些命令部署到对应类别的分布式入侵检测点(IDP)中。 (8)管理员系统(MPS):为管理员对入侵检测系统进行整体管理与沟通交流的平台。 2.4架构运作流程 网络预警自适性入侵检测系统运作流程:①生成初始入侵检测器,并通过MOM与IDM′S推送到各个IDP;②设备分类管理中间件(IDM′S)将各安全策略及安全防护等级推送入设备;③各分布式入侵检测点(IDP)设备根据对应设备分类管理中间件(IDM′S)推送的安全策略与决策树入侵检测模型,将安全策略部署在系统,设置初始安全防护等级,确定安全防护的宽松程度;④网络运行过程中,若分布式入侵检测点(IDP)检测到异常情况,就向其它设备发送预警信息,其它设备接收到预警信息后建立全局网络安全情况信任度;⑤当入侵检测点(IDP)计算出的阈值达到一个数值时,就向周围设备和分布式入侵检测点(IDP)发布入侵警报,提升设备安全防护等级,采取相对宽松的安全防护策略,持续监测入侵情况并向反馈信息收集点(PFP)发送入侵预警报告;⑥信息处理节点(DPP)将数据发送到全局网络安全情况信任度建立节点(OSCP)和自适性入侵检测模型改进节点(AIDP);⑦全局网络安全情况信任度建立节点(OSCP)提取预警报告中的安全威胁发生位置,建立全局网络安全情况信息,并根据设备的安全防护等级建立全局网络安全情况信任度,如果全局网络安全情况信任度超过一定阈值,则向全局设备管理节点(MOM)发送安全防护等级提升命令;⑧自适性入侵检测模型改进节点(AIDP)根据接收的信息进行决策树自适重新生成,将生成的新决策树验证准确度后发送给全局设备管理节点(MOM);⑨全局设备管理节点(MOM)根据信任度建立节点(OSCP)发送的命令和自适性入侵检测模型改进节点(AIDP)发送的自适决策树,向设备分类管理中间件(IDM′S)发送命令、对应策略与自适应决策树;⑩各设备分类管理中间件(IDM′S)验证信息来源,将全局设备管理节点(MOM)发送来的命令、策略发送到对应的分布式入侵检测点(IDP),各分布式入侵检测点(IDP)根据相应命令与策略部署安全策略。 3仿真实验 采用国际通用的评估数据集KDD CUP99进行实验仿真及决策树的建立与测试。初始决策树训练数据采用KDD CUP99数据集中的10%训练数据集的10%数据量。测试数据采用KDD CUP99数据集中的10%测试数据集,将检出率(DR%)、误报率(FP%)、漏报率(FN%)与数据检测不出率(DN%)、入侵类型错误率(FI%)作为评估入侵检测模型性能的重要依据,得出结果见表3、图3、图4。 在实验结果中,训练数据集中存在0.06%的新型入侵数据,决策树检出率为74.23%,有效检测率为92.21%(检出率+入侵类型错误率),具有较高的检测水平。 4结语 网络预警自适性入侵检测系统,能够在网络环境设备相互交流的情况下识别异常情况,从而识别新型入侵行为,对重点设备进行网络流量防护。采用决策树作为入侵检测器,在识别新型入侵类型的基础上重新自适应生成决策树,利用决策树检测快速与准确率较高的特点,理论上达到74.23%的检出率和92.21%的有效检测率,检测水平较高。 参考文献参考文献: [1]NOJIRI D, ROWE J, LEVITT K. Cooperative response strategies for large scale attack mitigation[C]. DARPA Information Survivability Conference and Exposition,2003.Proceedings. IEEE,2003:293302. [2]JM AGOSTA, CT GROUP,I CORPORATION. Towards autonomic enterprise security: selfdefending platforms, distributed detection, and adaptive feedback[J].Intel Technology Journal,2006,10(4):284299. [3]RAJAB M A, MONROSE F, TERZIS A. On the effectiveness of distributed worm monitoring[EB/OL]. http://www.doc88.com/p1834503832735.html. [4]ELFESHAWY N A, FARAGALLAH O S. Divided twopart adaptive intrusion detection system[M]. SpringerVerlag New York, Inc,2013. [5]AJABI M, BOUKHRIS I, ELOUEDI Z. Big data classification using belief decision trees: application to Intrusion Detection[C]. The International Symposium on Advanced Intelligent Systems and Informatics, Aisi,2016:149150. [6]ALYASEEN W L, OTHMAN Z A, NAZRI M Z A. Realtime multiagent system for an adaptive intrusion detection system[J]. Pattern Recognition Letters,2017(85):5664. [7]BREIMAN L, FRIEDMAN J H, OLSHEN R, et al. Classification and regression trees[J]. Biometrics,1984,40(3):358359. [8]QUINLAN J R. C4.5: programs for machine learning[EB/OL]. http://wenku.it168.com/d_000256407.shtml. [9]WILLIAMSTALLINGS, LAWRIEBROWN.計算机安全:原理与实践[M].北京:电子工业出版社,2015:120122. [10]JIAWEIHAN, MICHELINEKAMBER.数据挖掘:概念与技术[M].北京:机械工业出版社,2007:211213. 责任编辑(责任编辑:杜能钢) |
随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。