专利名称:基于熵运算的网络入侵检测方法和装置的制作方法
技术领域:
本发明涉及计算机网络安全技术领域,特别涉及一种基于熵运算的网络入侵检测方法。
背景技术:
随着网络的开放性、共享性及互联程度的扩大,特别是因特网的出现,网络的重要性以及对社会的影响也越来越大。互联网Internet是一种开放的面向所有用户的技术,资源共享和信息安全是一对矛盾。互联网在提供信息共享并给我们带来极大便利的同时,其自身的安全问题也日益突显。根据计算机紧急情况响应组(Computer Emergency Response Teen,简称CERT)的统计数字显示,随着互联网的发展,安全事件数量不断上升。尤其是近两三年,出现了成倍增长的急剧上升趋势。根据粗略的统计,目前攻击手段大约有两三千种之多,常见的攻击手段有后门程序、木马、缓冲区溢出攻击、扫描、密码破解攻击、拒绝服务攻击、分布式拒绝服务攻击、FINGER、FTP服务攻击、TELNET服务攻击、RPC服务攻击、DNS 服务攻击、ICMP协议攻击、WEB服务攻击等等。以上这些只是部分常见攻击类型,每种攻击类型又包括了很多种不同的攻击方法,例如拒绝服务攻击就包括Syn-Flood、UDP-Flood、 Ping-Flood、Land-based-Attack、Smurf Attack、Ping Of Death 等多种攻击方法。由于 Internet的开放互联性、网络协议自身的缺陷以及操作系统漏洞、系统应用程序漏洞等多方面因素导致了网络环境下的计算机系统存在很多的安全问题。网络安全问题主要源于黑客的攻击、管理的欠缺、网络的缺陷、软件的漏洞、网络内部的攻击等几个方面。为了尽量保障计算机和网络系统特别是关键部门的信息安全,市场上涌现出了各种安全技术和产品, 包括防火墙、安全路由器、身份认证系统、VPN设备等,这些技术和产品对系统有一定的保护作用,但都属于静态安全技术范畴,不能主动跟踪入侵者,也不能积极有效地防止来自网络内部的非法行为。为了确保网络的安全,网络系统中拥有的网络安全性分析系统应该能对系统进行漏洞扫描,同时还要能对网络安全进行实时监控、攻击与反攻击,因而,入侵检测应运而生,入侵检测的诞生是网络安全需求发展的必然,它的出现给计算机安全领域注入了新的活力。入侵检测是一种通过收集和分析计算机系统或网络中关键点的信息,以检查计算机或网络中是否存在违反安全策略的行为和被攻击的迹象,并对此做出反应,从而保护网络和主机安全的系统。通过入侵检测能识别外部对计算机或者网络资源的恶意企图和行为,以及内部合法用户超越使用权限的非法行为入侵检测作为动态安全技术的核心技术之一,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性,是安全防御体系的一个重要组成部分。常规入侵检测方法首先收集系统和网络中的信息,然后对收集到的数据进行分析,并采取相应处置措施,其总体上包括以下三个步骤,如图I所示I)信息收集信息收集包括收集系统、网络、数据及用户活动的状态和行为,而且需要在计算机网络的若干关键网络节点(如不同网段和不同主机)收集信息。这除了要尽可能扩大收集范围以外,还要对来自不同源的信息进行综合分析,比较之后得出问题的关键所在。收集信息的可靠性和正确性对入侵检测系统非常重要。入侵检测利用的信息来自系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行等方面。2)信息分析信息分析是对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,通过一定的技术手段进行分析,如常用的模式匹配、统计分析和完整性分析等。其中,前两种方法常用于实时的入侵检测,而完整性检测常用于事后分析。入侵检测是一个典型的数据处理过程,它通过对大量的收集到的数据进行分析,来判断被监控的系统或网络是否被入侵。系统的检测机制,起始就是一个系统主体行为的分类系统,它需要把对系统具有恶意的行为从大量的系统行为中辨别出来,而解决问题的关键就是如何从已知数据中获得系统的正常行为模式和有关入侵行为模式(如何定义、描述系统的行为)。3)结果处理结果处理指控制台根据报警产生预定义的响应,采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的报警。而根据数据源的不同,可以将入侵检测系统分为三类基于主机的检测系统、基于网络(Network-Based)的检测系统和混合型检测系统。本发明入侵检测主要是针对基于网络的检测系统进行的。基于网络的入侵检测模型如图2,其所针对的数据主要是来自网络上的数据包,以原始的网络数据作为数据源,通过分析流过网络适配器的数据包来实时地监视并分析通过网络进行传输的所有通信业务。近年来,为适应网络规模的伸缩性,各种各样的新技术不断被应用到基于网络的入侵检测领域,免疫原理的应用提高了入侵检测系统的适应能力,自治代理的应用提高了入侵检测的可伸缩性、可维护性、效率和容错性。但随着网络环境的日益复杂化,导致现有入侵检测方法计算量大、计算过程复杂、误报率高,不能及时发现关键网络节点,不能满足入侵检测要求。
发明内容
本发明针对网络环境的日益复杂以及现有的入侵检测技术计算量大、计算过程复杂、误报率高,不能及时发现关键网络节点等问题,提出基于图熵的网络入侵检测方法和装置。本发明基于熵运算的网络入侵检测方法,包括捕获网络节点数据包,经预处理后得到目标数据;利用目标数据构建关系图;计算所有网络节点的交叉熵;对所有网络节点的交叉熵进行排序,找出活跃度高的关键网络节点;所述网络节点为受监控的服务器、终端或者路由设备中的任意一种或者任意几种的组合。所述捕获网络节点数据包采用普通网卡并结合Libpcap软件,所述Libpcap软件提供了一整套数据包捕获函数库。所述预处理包括数据清洗,数据格式转换,数据集成中的任意一种或任意几种操作的组合。所述利用目标数据构建关系图包括通过提取数据特定片段,包括网络节点的源IP地址IPs,目标IP地址IPd以及网关信息,建立IPs与IPd之间的关系图,即将IP地址为 IPs的网络节点和IP地址为IPd的网络节点之间存在的关系用图的方式描述。所述计算所有网络节点的交叉熵,包括203-1、计算每个网络节点i的熵;E(i) = p(i)\og—^—
Pi})其中,p(i)表示网络节点i在整个图中的概率分布;203-2、丢弃网络节点i,以及与网络节点i相连的所有的边,计算去除网络节点i 后的关系图的图熵
M-丨IH(G,p)= X p(j)\og—-
M,j*iPU)式中|V|表示图中节点个数,j表示网络节点序号;203-3、计算网络节点i的交叉熵;
Effect(J) = ~~H、H(G,p)
E(i)E⑴是网络节点i的熵,H(G,p)是去除网络节点i后的关系图的图熵。203-4、判断是否所有网络节点都已计算,若是,则得到所有网络节点的交叉熵,否则,重复步骤203-1至步骤203-4。本发明基于熵运算的网络入侵检测装置,包括目标数据获取模块50,用于捕获网络节点数据包,对网络节点数据包进行预处理, 得到目标数据;关系图构建模块60,用于利用目标数据构建关系图;交叉熵计算模块70,用于计算所有网络节点的交叉熵;关键网络节点检测模块80,用于对所有网络节点的交叉熵进行排序,找出活跃度闻的关键网络节点。优选的,目标数据获取模块(50)所述捕获网络节点数据包采用普通网卡并结合 Libpcap软件,所述Libpcap软件提供了一整套数据包捕获函数库;所述预处理包括数据清洗,数据格式转换,数据集成中的任意一种或任意几种操作的组合。交叉熵计算模块70所述计算所有网络节点的交叉熵,包括203-1、计算每个网络节点i的熵;E(i) = P(P)Iog--
P(I)其中,p(i)表示网络节点i在整个图中的概率分布;203-2、丢弃网络节点i,以及与网络节点i相连的所有边,计算去除网络节点i后的关系图的图熵
lf/HIH(G,p> J p(j)\og——
H,MPU)式中|V|表示图中节点个数,j表示网络节点序号;
203-3、计算网络节点i的交叉熵;
权利要求
1.基于熵运算的网络入侵检测方法,其特征在于包括捕获网络节点数据包,经预处理后得到目标数据;利用目标数据构建关系图;计算所有网络节点的交叉熵;对所有网络节点的交叉熵进行排序,找出活跃度高的关键网络节点;所述网络节点为受监控的服务器、 终端或者路由设备中的任意一种或者任意几种的组合。
2.根据权利要求I所述的基于熵运算的网络入侵检测方法,其特征在于所述捕获网络节点数据包采用普通网卡并结合Libpcap软件,所述Libpcap软件提供了一整套数据包捕获函数库。
3.根据权利要求I所述的基于熵运算的网络入侵检测方法,其特征在于所述预处理包括数据清洗,数据格式转换,数据集成中的任意一种或任意几种操作的组合。
4.根据权利要求I所述的基于熵运算的网络入侵检测方法,其特征在于所述利用目标数据构建关系图包括通过提取数据特定片段,包括网络节点的源IP地址IPS,目标IP地址IPd以及网关信息,建立IPs与IPd之间的关系图,即将IP地址为IPs的网络节点和IP地址为IPd的网络节点之间存在的关系用图的方式描述。
5.根据权利要求I所述的基于熵运算的网络入侵检测方法,其特征在于所述计算所有网络节点的交叉熵,包括203-1、计算每个网络节点i的熵;
6.根据权利要求I所述的基于熵运算的网络入侵检测方法,其特征在于所述对所有网络节点的交叉熵进行排序,找出活跃度高的关键网络节点为对所有网络节点的交叉熵进行从大到小排序,交叉熵大的一个或者几个网络节点为活跃度高的关键网络节点。
7.根据权利要求I所述的基于熵运算的网络入侵检测方法,其特征在于所述对所有网络节点的交叉熵进行排序,找出活跃度高的关键网络节点为对所有网络节点的交叉熵进行比较,交叉熵最大的网络节点即为活跃度高的关键网络节点。
8.基于熵运算的网络入侵检测装置,其特征在于包括目标数据获取模块(50),用于捕获网络节点数据包,对网络节点数据包进行预处理,得到目标数据;关系图构建模块(60),用于利用目标数据构建关系图;交叉熵计算模块(70),用于计算所有网络节点的交叉熵;关键网络节点检测模块(80),用于对所有网络节点的交叉熵进行排序,找出活跃度高的关键网络节点;所述网络节点为受监控的服务器、终端、或者路由设备中的任意一种或者任意几种的组合。
9.根据权利要求8所述的基于熵运算的网络入侵检测装置,其特征在于目标数据获取模块(50)所述捕获网络节点数据包采用普通网卡并结合Libpcap软件,所述Libpcap软件提供了一整套数据包捕获函数库;所述预处理包括数据清洗,数据格式转换,数据集成中的任意一种或任意几种操作的组合。
10.根据权利要求8所述的基于熵运算的网络入侵检测装置,其特征在于交叉熵计算模块(70)所述计算所有网络节点的交叉熵,包括203-1、计算每个网络节点i的熵;
全文摘要
本发明实施例公开了一种基于熵运算的网络入侵检测方法,包括捕获网络节点数据包,经预处理后得到目标数据;利用目标数据构建关系图;计算所有网络节点的交叉熵;对所有网络节点的交叉熵进行排序,找出活跃度高的关键网络节点;本发明实施例还公开了一种基于熵运算的网络入侵检测装置;本发明将网络结构转化为图结构,并根据图中网络节点的属性特征,利用图熵理论找出网络节点在图结构中的影响大小,并以此作排序,可以很容易得到活跃度最大的关键网络节点,以便于进一步对网络节点信息分析,以确定是否发生网络入侵行为,或者采取相应的措施。
文档编号H04L12/24GK102611713SQ20121010332
公开日2012年7月25日 申请日期2012年4月10日 优先权日2012年4月10日
发明者徐毅, 朱振国, 王勇, 米波 申请人:重庆交通大学