專利名稱：一種網(wǎng)絡(luò)入侵的檢測方法
一種網(wǎng)絡(luò)入侵的檢測方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計算機(jī)技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)入侵的檢測方法。背景技術(shù)：
目前已有許多網(wǎng)絡(luò)入侵檢測系統(tǒng)被開發(fā)出來，但大部分采用基于知識工程的方 法。常用的檢測技術(shù)包括(1)專家系統(tǒng)采用一系列的檢測規(guī)則分析入侵的特征行為。所謂的規(guī)則，即是知 識，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于 知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取 與表達(dá)，是入侵檢測專家系統(tǒng)的關(guān)鍵。在系統(tǒng)實現(xiàn)中，將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié) 構(gòu)(也可以是復(fù)合結(jié)構(gòu))，條件部分為入侵特征，then部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng) 防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。(2)基于模型的入侵檢測方法入侵者在攻擊一個系統(tǒng)時往往采用一定的行為序 列，如猜測口令的行為序列。這種行為序列構(gòu)成了具有一定行為特征的模型，根據(jù)這種模型 所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖?；谀Ｐ偷娜肭謾z測 方法可以僅監(jiān)測一些主要的審計事件。當(dāng)這些事件發(fā)生后，再開始記錄詳細(xì)的審計，從而 減少審計事件處理負(fù)荷。這種檢測方法的另外一個特點是可以檢測組合攻擊(coordinate attack)禾口多層攻擊(multi -stage attack)。(3)簡單模式匹配(Pattern Matching)基于模式匹配的入侵檢測方法將已知的 入侵特征編碼成為與審計記錄相符合的模式。當(dāng)新的審計事件產(chǎn)生時，這一方法將尋找與 它相匹配的已知入侵模式。(4)軟計算方法軟計算方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。上述現(xiàn)有技術(shù)中的各種方法的缺點普遍在于系統(tǒng)的靈活性和準(zhǔn)確性不夠，不能有 效識別新型攻擊，自適應(yīng)能力不足。

發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題是，提供一種網(wǎng)絡(luò)入侵的檢測方法，降低入侵檢測得 開銷，提高入侵檢測系統(tǒng)的效率。為了解決上述問題，本發(fā)明提供了一種網(wǎng)絡(luò)入侵的檢測方法，包括如下步驟構(gòu)建 系統(tǒng)模型，所述系統(tǒng)模型中包括表現(xiàn)型模式和基因型模式；將模型中的表現(xiàn)型模式映射成 基因型模式；提供入侵的檢測和被檢測模式，并表示為向量，根據(jù)所表示的向量結(jié)構(gòu)設(shè)計算 法，以檢測網(wǎng)絡(luò)入侵。作為可選的技術(shù)方案，所述系統(tǒng)的基因型模式采用多階模式，所述多階模式為四 階。作為可選的技術(shù)方案，將基因型模式中的數(shù)值型屬性離散化為區(qū)間值，以便于模 式間的比較。
作為可選的技術(shù)方案，所述向量為八維向量，分為服務(wù)類型、源地址、源端口、目的 地址、時延、源端發(fā)送字節(jié)數(shù)、目的端發(fā)送字節(jié)數(shù)和狀態(tài)八部分。本發(fā)明的優(yōu)點在于，將二進(jìn)制位轉(zhuǎn)化為對應(yīng)的模糊集大大縮短了抗體的長度，將 克隆選擇和否定選擇相結(jié)合，使抗體進(jìn)行否定選擇時時空開銷降低，提高了入侵檢測的效率。

附圖1所示是本發(fā)明所述基于免疫原理的入侵檢測模型的概念級描述示意圖；附圖2所示是本發(fā)明所述抗體的二進(jìn)制表示模型示意圖。
具體實施方式下面結(jié)合附圖對本發(fā)明提供的一種網(wǎng)絡(luò)入侵的檢測方法具體實施方式
做詳細(xì)說 明。本具體實施方式
所述方法包括如下步驟步驟S10，構(gòu)建系統(tǒng)模型，所述系統(tǒng)模型 中包括表現(xiàn)型模式和基因型模式；步驟S11，將模型中的表現(xiàn)型模式映射成基因型模式；步 驟S12，提供入侵的檢測和被檢測模式，并表示為向量，根據(jù)所表示的向量結(jié)構(gòu)設(shè)計算法，以 檢測網(wǎng)絡(luò)入侵。參考步驟S10，構(gòu)建系統(tǒng)模型，所述系統(tǒng)模型中包括表現(xiàn)型模式和基因型模式。對人工免疫原理的應(yīng)用是功能上的模擬而非所有部件的實現(xiàn)。在生物體中，抗體 對抗原物質(zhì)的識別是依靠抗體表面的受體與特定抗原的抗原決定基問化學(xué)健的“結(jié)合”，安 全系統(tǒng)中的檢測是指檢測模式和被檢測模式間的匹配。我們在原來建立的入侵檢測系統(tǒng)模 型時基礎(chǔ)上引入人工免疫的概念，構(gòu)建了一個更加精確合理的模型。模型綜合考慮精確性 和效率，對模型的概念級描述請參考附圖1中的內(nèi)容。克隆選擇和否定選擇是抗體生成和演化過程中兩個重要過程，也是現(xiàn)代免疫學(xué)中 比較完善的兩個理論學(xué)說?？寺∵x擇學(xué)說認(rèn)為機(jī)體免疫系統(tǒng)事先就存在能識別各種抗原的 細(xì)胞克隆，每個克隆細(xì)胞表面都有針對不同特定抗原的受體，不同抗原選擇與之相適應(yīng)的 受體結(jié)合，從而刺激該細(xì)胞克隆的增殖分化，產(chǎn)生免疫應(yīng)答而生成多樣性的各種抗體。該學(xué) 說說明了抗體形成的機(jī)制，解釋了免疫系統(tǒng)對抗原的識別、免疫記憶等形成的原因。說明抗 體的生成演化向著接近已有抗原的方向進(jìn)行。利用這一原理可以約簡入侵檢測中入侵行為 規(guī)則集，使檢測器的構(gòu)造不是盲目的進(jìn)行。否定選擇學(xué)說認(rèn)為機(jī)體內(nèi)先產(chǎn)生大量隨機(jī)抗體， 其中對“自己”抗原物質(zhì)產(chǎn)生破壞的將被清除(否則將導(dǎo)致自身免疫功能疾病)，剩余的抗 體可以檢測一切外來抗原物質(zhì)。在我們的系統(tǒng)中分階段使用兩個過程根據(jù)保留數(shù)據(jù)挖掘 出異常模式，并根據(jù)經(jīng)驗知識補(bǔ)充之，以這些模式作為父代抗原，經(jīng)編碼后利用遺傳算子對 它們進(jìn)行變異和增殖，生成一個大的候選抗體庫，對其中每一個個體要進(jìn)行適應(yīng)度測定，計 算與現(xiàn)有抗原的相似度，這樣做是因為假設(shè)所有新生成的個體都是以現(xiàn)有異常模式為基礎(chǔ) 的，而非一種不可能存在的模式，這樣做有利于保障檢測效率，節(jié)約存儲空間；再進(jìn)行否定 選擇，刪除其中的自體模式。最后生成一個較完備的異己模式庫。本發(fā)明利用數(shù)據(jù)挖掘方法挖掘出訓(xùn)練數(shù)據(jù)中的使用模式，建立起“自體模式集”和 “異己模式集”。這些模式是對8個屬性的描述，即服務(wù)類型(service)、源地址(srcjwst)、源端口(Src_port)、目的地址(dstjiost)、時延(dur)、源端發(fā)送字節(jié)數(shù)(src_bytes)、目的 端發(fā)送字節(jié)數(shù)(dst_bytes)和狀態(tài)(flag)。為了便于描述和理解，下面給出一些與頻繁序列模式相關(guān)的定義。定義1 一階模式(一階染色體)包含一個項目集的頻繁模式。模式中的項目(屬性)來自于一個網(wǎng)絡(luò)聯(lián)接，如(service = http, flag = SO)或 (service = icmp_echo, flag = SF, src_host = host2, dst_host = hostl).我們約定，一 階模式中的屬性按其重要程度排列，即service，flag, src_host, src_port, dst_host, dur, src_bytes, dst_bytes等屬性在決定一個聯(lián)接時，重要性依次降低.定義2完整一階模式模式中包含了所有屬性值描述，即包含了完整的通過將缺失屬性值補(bǔ)為零可以將非完整模式轉(zhuǎn)變?yōu)橥暾Ｊ?定義3多階模式(多階染色體)包含了多個項目集的頻繁序列模式.模式中的項目集來自于多個聯(lián)接，這些項目集描述了一種頻繁的操作序列，如 (service = http, flag = SO) — (service = http, flag = SO) — (service = http, flag =SO).定義4基因模式中的各個屬性.定義5基因鏈將系統(tǒng)中每個屬性的取值組織成為一個鏈表，標(biāo)記該屬性的取值 情況，鏈表入口項表不為 Glist (number，attribute value).也就是說，系統(tǒng)中存在有8條基因鏈，分別對應(yīng)了 8種屬性的所有取值。這8條基 因鏈組成了一個基因庫，隨著系統(tǒng)的運(yùn)行有新的屬性值產(chǎn)生，需要更新基因庫。本具體實施方式
采用的四階的多階模式。實驗表明，有意義的多階模式主要集中 在三階，有部分的二階和四階模式。一階頻繁模式由于不具有統(tǒng)計意義而被忽略。編碼過 程中我們將超過四階的模式截取為四階處理。即如有模式Xl — X2 — X3 — X4 — X5···，則 轉(zhuǎn)化為Xl — X2 — X3 — X4。實驗證明這種截取不影響系統(tǒng)的檢測結(jié)果。參考步驟S11，將模型中的表現(xiàn)型模式映射成基因型模式。本步驟的關(guān)鍵在于編碼。系統(tǒng)中使用的模式具有“表現(xiàn)型”和“基因型”，前者指可 讀的、由聯(lián)接記錄直接得到的規(guī)則，后者指“抗體演化、否定選擇和克隆選擇”時使用的一種 內(nèi)部表現(xiàn)形式.由于運(yùn)算必須對群體中具有某種結(jié)構(gòu)形式的個體施加結(jié)構(gòu)重組、挑選和量 化計算來完成，因此需要一種直接的數(shù)字化表示形式。將表現(xiàn)型映射成基因型的過程稱為 編碼。為了便于模式間比較，我們將數(shù)值型屬性離散化為區(qū)間值.屬性dur (時延)分別 按照其長短離散化為短、一般、長、很長；同理，將源和目的端發(fā)送字節(jié)分為少、一般、多和很 多.這樣我們可以將網(wǎng)絡(luò)入侵中占用字節(jié)數(shù)較多的dur(時延)和源和目的端發(fā)送字節(jié)三 個屬性可以轉(zhuǎn)化為模糊集形式，只分別用倆位二進(jìn)制即可表示出來，大大縮短了我們二進(jìn) 制表示抗體的長度。把二進(jìn)制基因位轉(zhuǎn)化為對應(yīng)模糊集，如下表所示
權(quán)利要求
1.一種網(wǎng)絡(luò)入侵的檢測方法，其特征在于，包括如下步驟構(gòu)建系統(tǒng)模型，所述系統(tǒng)模型中包括表現(xiàn)型模式和基因型模式； 將模型中的表現(xiàn)型模式映射成基因型模式；提供入侵的檢測和被檢測模式，并表示為向量，根據(jù)所表示的向量結(jié)構(gòu)設(shè)計算法，以檢 測網(wǎng)絡(luò)入侵。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)入侵的檢測方法，其特征在于，所述系統(tǒng)的基因型模式 采用多階模式。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)入侵的檢測方法，其特征在于，所述多階模式為四階。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)入侵的檢測方法，其特征在于，將基因型模式中的數(shù)值 型屬性離散化為區(qū)間值，以便于模式間的比較。
5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)入侵的檢測方法，其特征在于，所述向量為八維向量，分 為服務(wù)類型、源地址、源端口、目的地址、時延、源端發(fā)送字節(jié)數(shù)、目的端發(fā)送字節(jié)數(shù)和狀態(tài) 八部分。
全文摘要
本發(fā)明提供了一種網(wǎng)絡(luò)入侵的檢測方法，包括如下步驟構(gòu)建系統(tǒng)模型，所述系統(tǒng)模型中包括表現(xiàn)型模式和基因型模式；將模型中的表現(xiàn)型模式映射成基因型模式；提供入侵的檢測和被檢測模式，并表示為向量，根據(jù)所表示的向量結(jié)構(gòu)設(shè)計算法，以檢測網(wǎng)絡(luò)入侵。本發(fā)明的優(yōu)點在于，將二進(jìn)制位轉(zhuǎn)化為對應(yīng)的模糊集大大縮短了抗體的長度，將克隆選擇和否定選擇相結(jié)合，使抗體進(jìn)行否定選擇時時空開銷降低，提高了入侵檢測的效率。
文檔編號H04L12/26GK102082700SQ20091019962
公開日2011年6月1日 申請日期2009年11月27日 優(yōu)先權(quán)日2009年11月27日
發(fā)明者孫強(qiáng), 趙孟德 申請人:上海電機(jī)學(xué)院