专利名称:一种基于危险模型的三级模块式入侵检测系统的制作方法
技术领域:
本发明涉及一种计算机网络的模块式自适应入侵检测系统,特别涉及一种利用生物免疫系统的免疫学原理的入侵检测系统。
背景技术:
在入侵检测方法和技术的研究中,人们发现生物免疫系统(immune system)与入侵检测系统具有惊人的相似性,前者保护机体不受诸如病菌、病毒等各种病原体的侵害,而后者保护网络中的计算机主机不受或少受入侵事件的危害或威胁,两者都是使受保护对象在不断变化的环境中维持系统的稳定性。
在实际的入侵检测应用中,计算机网络的活动会在使用过程中发生变化,导致入侵检测系统存在许多问题,如误报的数量增多,检测的准确度下降等。另外,新攻击层出不穷,而有的检测方法只能对已知攻击进行识别,对新攻击无能为力;有的方法虽然能检测未知攻击,但误报率高。面对已知和未知行为都经常变化的工作环境,大多数检测系统不得不定期进行更新,以适应新的数据特征。
发明内容
本发明提供一种建立入侵检测系统的方法,系统由初级检测模块、APC决策模板式检测模块和响应模块三级模块组成;检测前,预先根据已知的正常和攻击行为特征建立正常模板DT1和攻击模板DT2以及m个初级检测器MD1、MD2,…,MDm。收集网络中的各种行为,形成待测行为集合,并进行特征提取分组。检测时首先提取当前行为的q个特征,并分为m组;将m组特征分别输入到检测器MD1、MD2,…,MDm进行初级检测,初步判断当前行为是攻击行为还是正常行为,并输出当前行为的m个初步检测信号;当前行为的m个初级检测信号融合形成一个决策轮廓向量组DP(x);将当前行为的决策轮廓向量组DP(x)分别与正常模板DT1和攻击模板DT2进行比较,通过计算DP(x)与DT1和DT2的相似度判断DP(x)与两个模板的接近程度,得出正常、攻击或可疑信号;如果为正常信号或攻击信号,则直接进入步骤6输出最终检测信号;如果相似度为可疑信号,则通过检测有无危险信号,明确当前行为的性质;输出最终检测信号,如果是“攻击”,则发出警报;根据最终检测信号的类型调整相应模板。
本发明提供的三级模块式入侵检测系统可根据新的行为特征在线调整检测模板,因而使用过程中不需要经常更新,适用于已知和未知行为都经常变化的工作环境;对于利用现有知识难以给出检测结果的情况,系统可以根据是否有危险信号做出判断,即能够关联计算机网络或计算机系统中的常见异常现象,因而误报率和漏报率低,对未知攻击的检测能力强。
图1为本发明的三级模块式入侵检测系统结构图 图2为本发明的三级模块式入侵检测系统的检测过程流程图 图3为本发明模板可调式自适应决策融合过程的流程图
具体实施例方式 有关本发明的详细说明及技术内容,现结合
如下。
首先参见图1,图1是本发明的三级模块式入侵检测系统结构。系统收集网络中的各种行为,形成待测行为集合,并进行特征提取分组。初级检测模块包括若干个检测器,用于对待测试数据进行初步测试。可以将需要检测的特征分组进行测试,让每个检测器负责检测其中的部分特征,这样所有检测器可完成对整个特征空间的检测。每个检测器会根据检测结果给出初级检测信号(正常或攻击),再由模块分别将这些信号转换成对应的行向量输出到下一级模块。APC决策模板式检测模块,用于对初级检测结果以及危险信号进行关联。检测前,预先根据已知的正常和攻击行为特征建立检测模板。检测时,首先将接收到的来自上一级模块的初级检测信号进行融合以构建当前行为的决策轮廓向量组,然后将其与两个检测模板分别进行比较,根据比较结果可得到三种信号正常、攻击和可疑。
现参考图2,具体说明本发明的检测过程。
在开始检测之前,首先用训练数据建立正常模板DT1和攻击模板DT2以及m个初级检测器MD1、MD2,…,MDm。检测过程如下 步骤1提取当前行为的q个特征,并分为m组; 步骤2将m组特征分别输入到检测器MD1、MD2,…,MDm进行初级检测,初步判 断当前行为是攻击行为还是正常行为,并输当前行为的m个初步检测信号; 步骤3当前行为的m个初级检测信号融合形成一个决策轮廓向量组DP(x); 步骤4将当前行为的决策轮廓向量组DP(x)分别与正常模板DT1和攻击模板DT2进行比较,即通过计算DP(x)与DT1和DT2的相似度判断DP(x)与两个模板的接近程度,从而得出正常、攻击或可疑信号; 步骤5如果为正常信号或攻击信号,即,系统通过相似度计算能够确定当前连接数据的性质(“正常行为”或是“攻击行为”)时,则直接进入步骤6输出最终检测信号;如果为可疑信号,即,不能够明确当前行为的性质,则需进一步检测有无危险信号,直至能够明确当前行为的性质; 步骤6输出最终检测信号,如果是“攻击”,则发出警报; 步骤7根据最终检测信号的类型调整相应模板; 步骤8检测下一个行为,返回步骤1。
对于步骤步骤4可以通过下列方法判断产生的信号类型 若DP(x)与DT1和DT2的相似度比较接近或者都比较小,则输出可疑信号;若DP(x)与其中一个模板的相似度远大于另一个模板且大于一定的阈值,则认为当前行为属于相似度大的模板所代表的类型,直接输出相应的类型信号正常或攻击。
产生正常或攻击信号时,说明当前行为轮廓向量组DP(x)与正常模板DT1或攻击模板DT2的近似程度比较高,因此系统可据此直接给出明确的最终检测信号,即当前行为是正常的或是攻击的行为。产生可疑信号时,说明行为轮廓与已知模板相比得不到明确的结果,系统需要进一步判断,这一判断可以采用本领域普通技术人员熟知的各种方法和理论。通常,在出现未知攻击或已知行为发生较大改变时,多会出现可疑信号,即对于系统来说是难以判定的行为。危险信号为计算机网络或计算机系统中的常见异常现象,可通过本领域普通技术人员公知的任何一种方法来提取,不但可提醒用户注意,还可同时协助系统对当前行为做出正确判断。因此这种方法可降低误报率和漏报率,增加检测的准确度。
步骤7中,如果步骤6传来的是攻击信号,将发出报警信号,并将当前攻击行为的特征加入攻击模板,以对攻击模板进行调整;否则,如果步骤6传来的正常信号,则将特征加入正常模板,对正常模板进行调整。这样,当该行为再次出现时,由于其特征已知,检测模型会迅速给出检测结果,而不必再依赖危险信号。这种方法的好处是既提高了检测的准确度又加快了入侵检测系统对攻击做出反应的速度。
现参考图3说明步骤7对模板的调整过程。
首先,可以根据相似度通过递归调用来修正模板 计算当前决策轮廓向量组DP(x)与各个决策模板DTi(在本发明中是正常模板DT1和攻击模板DT2)的相似度Si(在本发明中是S1和S2); 比较各个Si,从中选择最大值Smax,则具有最大值的决策模板所对应的类别即为DP(x)中x的类别。也就是说,与DP(x)最相似的决策模板的类别就是x的类别。例如,本发明中S1>S2,则正常模板DT1与DP(x)最相似,当前行为x是正常行为; 将当前行为的特征加入到其所属的模板中,形成新的模板(例如,将正常行为的特征加入到正常模板中,形成新的正常模板) Ni=Ni+1 其中,Ni是用于建立决策模板的训练集中类别标签为i的元素个数。下次调整时分别用DTi′和Ni′代替式中的DTi和Ni。
也就是说,如果当前数据的轮廓向量组DP(x)与某个决策模板DTi的相似程度大于一定的阈值,且与其他决策模板的相似程度都比较低时,就用该轮廓特征调节与其最相似的模板。
通常情况下,训练数据都是有限的,不可能包含所有可能的数据特征,因此可以通过这种调节的方式,对模板进行修正。
其次,可以根据确定的类别调整模板 如果当前数据的轮廓向量组DP(x)与几个决策模板DTi的相似程度近似(d=|S1-S2|<St2)或者都小于某一个相似阈值(S1,S2<St1),就用该轮廓特征调节与其最相似的模板。
一旦确定当前数据的轮廓向量组DP(x)的真正类别,就可以用该决策轮廓向量组DP(x)加入到对应类的决策模板DTi形成新的决策模板DTi′(如式1的公式),而不管DP(x)与每个模板的相似度有多么低。
Ni′=Ni+1 例如,当入侵检测系统不能根据已有知识做出判断时,会将危险信号作为判断依据。因此当危险信号出现时,说明一次攻击来临,就应该用当前DP(x)调整攻击模板。
用这种方法,可以及时将新的模式特征加入到对应类的决策模板中,使模板不再需要被重新训练,就可以学习新的特征,有利于今后对这些特征的识别,从而提高了对具有这些特征的模式的分类精度。
原决策模板算法中决策模板是预先建立的,而在使用过程中,各种模式特征有可能随时间改变,如果模板不能够随之调整的话,将会降低识别的准确度。模板可调式自适应决策融合算法的特点在于决策模板能够根据实际数据自动获得更新或修正。这意味着在长期使用过程中决策模板不再需要重新建立,特别是对于未知模式,能够逐渐将其特征加入对应的模板,达到改善对未知模式融合效果的目的。
本发明的方法可用于一个计算机系统中,该计算机系统用于入侵检测,包括数据收集模块,数据挖掘及特征提取模块,特征存储模块,检测模块,通信模块,响应模块。其中除检测模块与响应模块由本文提出的方法实现外,其他模块均与一般入侵检测系统相同。
数据收集模块用于收集网络连接数据包; 数据挖掘及特征提取模块用于从收集到的大量网络连接数据中利用数据挖掘算法挑选出频繁出现的连接数据,并根据这些数据产生一套附加的特征,然后再将特征数据转换成为ASCII格式,即成为能够描述连接信息特征的多维向量; 特征存储模块用于存放各种数据,包括建立入侵检测模型时所需要的训练用数据集、测试用数据集以及检测模板等需要保存的数据; 通信模块用于实现本系统与其他网络设备之间的通信和数据交换。
检测模块用于对处理好的连接数据进行判断和识别以区分出数据的类型,由如前所述的入侵检测模型实现,即包括了三级模块式入侵检测模型中的初级检测模块、和APC决策模板式检测模块;响应模块用于根据检测结果进行相应处理,如报警、调整检测系统,由上述三级模块式入侵检测模型中的自适应响应模块实现。
权利要求
1.一种入侵检测系统,由三级模块组成,初级检测模块、APC决策模板式检测模块和响应模块,其特征在于APC决策模板式检测模块可通过对危险信号的关联检测未知攻击;响应模块除报警外还可根据最终检测信号自动调整检测模板。
2.一种入侵检测方法,检测前,预先根据已知的正常和攻击行为特征建立正常模板DT1和攻击模板DT2以及m个初级检测器MD1、MD2,…,MDm。收集网络中的各种行为,形成待测行为集合,并进行特征提取分组,其特征在于,包括
步骤1提取当前行为的q个特征,并分为m组;
步骤2将m组特征分别输入到检测器MD1、MD2,…,MDm进行初级检测,初步判断当前行为是攻击行为还是正常行为,并输当前行为的m个初步检测信号;
步骤3当前行为的m个初级检测信号融合形成一个决策轮廓向量组DP(x);
步骤4将当前行为的决策轮廓向量组DP(x)分别与正常模板DT1和攻击模板DT2进行比较,通过计算DP(x)与DT1和DT2的相似度判断DP(x)与两个模板的接近程度,得出正常、攻击或可疑信号;
步骤5如果为正常信号或攻击信号,则直接进入步骤6输出最终检测信号;如果相似度为可疑信号,则通过检测有无危险信号,明确当前行为的性质;
步骤6输出最终检测信号,如果是“攻击”,则发出警报;
步骤7根据最终检测信号调整相应模板;
步骤8检测下一个行为,返回步骤1。
3.如权利要求2所述的入侵检测方法,其中步骤4包括
如果当前行为轮廓向量组DP(x)与正常模板DT1或攻击模板DT2的近似程度大于某一阈值,则可判断当前行为是正常行为或是攻击行为。如果当前行为轮廓向量组DP(x)与正常模板DT1或攻击模板DT2的近似程度相似,或着都小于某一个阈值,则行为轮廓向量组DP(x)发出危险信号,系统进一步判断,最终发出相应的检测信号。
4.如权利要求2所述的入侵检测方法,其中步骤7包括
计算当前决策轮廓向量组DP(x)与各个决策模板DTi的相似度;
比较这些相似度,从中选择最大值,则具有最大值的决策模板所对应的类别为当前行为的类别;
如果当前数据的轮廓与某个决策模板的相似程度大于一定的阈值,且与其他决策模板的相似程度都比较低,则将当前行为的特征加入到其所属的模板中,形成新的决策模板。
5.如权利要求2所述的入侵检测方法,其中步骤7包括
计算当前决策轮廓向量组DP(x)与各个决策模板DTi的相似度;比较这些相似度,如果当前数据的轮廓向量组DP(x)与几个决策模板DTi的相似度近似或者都小于某一个相似阈值,但是能够通过危险信号明确当前行为的性质时,则将当前行为的特征加入到与其最相似的模板中,形成新的模板。
全文摘要
一种入侵检测系统,由三级模块组成,初级检测模块、APC决策模板式检测模块和响应模块,其特征在于APC决策模板式检测模块可通过对危险信号的关联检测未知攻击;响应模块除报警外还可根据最终检测信号自动调整检测模板。
文档编号G06F21/00GK101102314SQ20071011767
公开日2008年1月9日 申请日期2007年6月21日 优先权日2007年6月21日
发明者赵林惠 申请人:北京联合大学