专利名称:一种网络入侵的检测方法
一种网络入侵的检测方法
技术领域:
本发明涉及计算机技术领域,尤其涉及一种网络入侵的检测方法。背景技术:
目前已有许多网络入侵检测系统被开发出来,但大部分采用基于知识工程的方 法。常用的检测技术包括(1)专家系统采用一系列的检测规则分析入侵的特征行为。所谓的规则,即是知 识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于 知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取 与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为if-then结 构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。运用专家系统 防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。(2)基于模型的入侵检测方法入侵者在攻击一个系统时往往采用一定的行为序 列,如猜测口令的行为序列。这种行为序列构成了具有一定行为特征的模型,根据这种模型 所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。基于模型的入侵检测 方法可以仅监测一些主要的审计事件。当这些事件发生后,再开始记录详细的审计,从而 减少审计事件处理负荷。这种检测方法的另外一个特点是可以检测组合攻击(coordinate attack)禾口多层攻击(multi -stage attack)。(3)简单模式匹配(Pattern Matching)基于模式匹配的入侵检测方法将已知的 入侵特征编码成为与审计记录相符合的模式。当新的审计事件产生时,这一方法将寻找与 它相匹配的已知入侵模式。(4)软计算方法软计算方法包含了神经网络、遗传算法与模糊技术。上述现有技术中的各种方法的缺点普遍在于系统的灵活性和准确性不够,不能有 效识别新型攻击,自适应能力不足。
发明内容本发明所要解决的技术问题是,提供一种网络入侵的检测方法,降低入侵检测得 开销,提高入侵检测系统的效率。为了解决上述问题,本发明提供了一种网络入侵的检测方法,包括如下步骤构建 系统模型,所述系统模型中包括表现型模式和基因型模式;将模型中的表现型模式映射成 基因型模式;提供入侵的检测和被检测模式,并表示为向量,根据所表示的向量结构设计算 法,以检测网络入侵。作为可选的技术方案,所述系统的基因型模式采用多阶模式,所述多阶模式为四 阶。作为可选的技术方案,将基因型模式中的数值型属性离散化为区间值,以便于模 式间的比较。
作为可选的技术方案,所述向量为八维向量,分为服务类型、源地址、源端口、目的 地址、时延、源端发送字节数、目的端发送字节数和状态八部分。本发明的优点在于,将二进制位转化为对应的模糊集大大缩短了抗体的长度,将 克隆选择和否定选择相结合,使抗体进行否定选择时时空开销降低,提高了入侵检测的效率。
附图1所示是本发明所述基于免疫原理的入侵检测模型的概念级描述示意图;附图2所示是本发明所述抗体的二进制表示模型示意图。
具体实施方式下面结合附图对本发明提供的一种网络入侵的检测方法具体实施方式
做详细说 明。本具体实施方式
所述方法包括如下步骤步骤S10,构建系统模型,所述系统模型 中包括表现型模式和基因型模式;步骤S11,将模型中的表现型模式映射成基因型模式;步 骤S12,提供入侵的检测和被检测模式,并表示为向量,根据所表示的向量结构设计算法,以 检测网络入侵。参考步骤S10,构建系统模型,所述系统模型中包括表现型模式和基因型模式。对人工免疫原理的应用是功能上的模拟而非所有部件的实现。在生物体中,抗体 对抗原物质的识别是依靠抗体表面的受体与特定抗原的抗原决定基问化学健的“结合”,安 全系统中的检测是指检测模式和被检测模式间的匹配。我们在原来建立的入侵检测系统模 型时基础上引入人工免疫的概念,构建了一个更加精确合理的模型。模型综合考虑精确性 和效率,对模型的概念级描述请参考附图1中的内容。克隆选择和否定选择是抗体生成和演化过程中两个重要过程,也是现代免疫学中 比较完善的两个理论学说。克隆选择学说认为机体免疫系统事先就存在能识别各种抗原的 细胞克隆,每个克隆细胞表面都有针对不同特定抗原的受体,不同抗原选择与之相适应的 受体结合,从而刺激该细胞克隆的增殖分化,产生免疫应答而生成多样性的各种抗体。该学 说说明了抗体形成的机制,解释了免疫系统对抗原的识别、免疫记忆等形成的原因。说明抗 体的生成演化向着接近已有抗原的方向进行。利用这一原理可以约简入侵检测中入侵行为 规则集,使检测器的构造不是盲目的进行。否定选择学说认为机体内先产生大量随机抗体, 其中对“自己”抗原物质产生破坏的将被清除(否则将导致自身免疫功能疾病),剩余的抗 体可以检测一切外来抗原物质。在我们的系统中分阶段使用两个过程根据保留数据挖掘 出异常模式,并根据经验知识补充之,以这些模式作为父代抗原,经编码后利用遗传算子对 它们进行变异和增殖,生成一个大的候选抗体库,对其中每一个个体要进行适应度测定,计 算与现有抗原的相似度,这样做是因为假设所有新生成的个体都是以现有异常模式为基础 的,而非一种不可能存在的模式,这样做有利于保障检测效率,节约存储空间;再进行否定 选择,删除其中的自体模式。最后生成一个较完备的异己模式库。本发明利用数据挖掘方法挖掘出训练数据中的使用模式,建立起“自体模式集”和 “异己模式集”。这些模式是对8个属性的描述,即服务类型(service)、源地址(srcjwst)、源端口(Src_port)、目的地址(dstjiost)、时延(dur)、源端发送字节数(src_bytes)、目的 端发送字节数(dst_bytes)和状态(flag)。为了便于描述和理解,下面给出一些与频繁序列模式相关的定义。定义1 一阶模式(一阶染色体)包含一个项目集的频繁模式。模式中的项目(属性)来自于一个网络联接,如(service = http, flag = SO)或 (service = icmp_echo, flag = SF, src_host = host2, dst_host = hostl).我们约定,一 阶模式中的属性按其重要程度排列,即service,flag, src_host, src_port, dst_host, dur, src_bytes, dst_bytes等属性在决定一个联接时,重要性依次降低.定义2完整一阶模式模式中包含了所有属性值描述,即包含了完整的通过将缺失属性值补为零可以将非完整模式转变为完整模式.定义3多阶模式(多阶染色体)包含了多个项目集的频繁序列模式.模式中的项目集来自于多个联接,这些项目集描述了一种频繁的操作序列,如 (service = http, flag = SO) — (service = http, flag = SO) — (service = http, flag =SO).定义4基因模式中的各个属性.定义5基因链将系统中每个属性的取值组织成为一个链表,标记该属性的取值 情况,链表入口项表不为 Glist (number,attribute value).也就是说,系统中存在有8条基因链,分别对应了 8种属性的所有取值。这8条基 因链组成了一个基因库,随着系统的运行有新的属性值产生,需要更新基因库。本具体实施方式
采用的四阶的多阶模式。实验表明,有意义的多阶模式主要集中 在三阶,有部分的二阶和四阶模式。一阶频繁模式由于不具有统计意义而被忽略。编码过 程中我们将超过四阶的模式截取为四阶处理。即如有模式Xl — X2 — X3 — X4 — X5···,则 转化为Xl — X2 — X3 — X4。实验证明这种截取不影响系统的检测结果。参考步骤S11,将模型中的表现型模式映射成基因型模式。本步骤的关键在于编码。系统中使用的模式具有“表现型”和“基因型”,前者指可 读的、由联接记录直接得到的规则,后者指“抗体演化、否定选择和克隆选择”时使用的一种 内部表现形式.由于运算必须对群体中具有某种结构形式的个体施加结构重组、挑选和量 化计算来完成,因此需要一种直接的数字化表示形式。将表现型映射成基因型的过程称为 编码。为了便于模式间比较,我们将数值型属性离散化为区间值.属性dur (时延)分别 按照其长短离散化为短、一般、长、很长;同理,将源和目的端发送字节分为少、一般、多和很 多.这样我们可以将网络入侵中占用字节数较多的dur(时延)和源和目的端发送字节三 个属性可以转化为模糊集形式,只分别用俩位二进制即可表示出来,大大缩短了我们二进 制表示抗体的长度。把二进制基因位转化为对应模糊集,如下表所示
权利要求
1.一种网络入侵的检测方法,其特征在于,包括如下步骤构建系统模型,所述系统模型中包括表现型模式和基因型模式; 将模型中的表现型模式映射成基因型模式;提供入侵的检测和被检测模式,并表示为向量,根据所表示的向量结构设计算法,以检 测网络入侵。
2.根据权利要求1所述的网络入侵的检测方法,其特征在于,所述系统的基因型模式 采用多阶模式。
3.根据权利要求2所述的网络入侵的检测方法,其特征在于,所述多阶模式为四阶。
4.根据权利要求1所述的网络入侵的检测方法,其特征在于,将基因型模式中的数值 型属性离散化为区间值,以便于模式间的比较。
5.根据权利要求1所述的网络入侵的检测方法,其特征在于,所述向量为八维向量,分 为服务类型、源地址、源端口、目的地址、时延、源端发送字节数、目的端发送字节数和状态 八部分。
全文摘要
本发明提供了一种网络入侵的检测方法,包括如下步骤构建系统模型,所述系统模型中包括表现型模式和基因型模式;将模型中的表现型模式映射成基因型模式;提供入侵的检测和被检测模式,并表示为向量,根据所表示的向量结构设计算法,以检测网络入侵。本发明的优点在于,将二进制位转化为对应的模糊集大大缩短了抗体的长度,将克隆选择和否定选择相结合,使抗体进行否定选择时时空开销降低,提高了入侵检测的效率。
文档编号H04L12/26GK102082700SQ20091019962
公开日2011年6月1日 申请日期2009年11月27日 优先权日2009年11月27日
发明者孙强, 赵孟德 申请人:上海电机学院