網絡協(xié)議異常檢測模型的研究與應用.pdf

1、隨著計算機技術不斷發(fā)展，網絡規(guī)模不斷擴大，帶來的網絡安全問題也日益突出。目前，人們在網絡上采取的安全手段少，方法單一，很多網絡只限于安裝防火墻和反病毒軟件，并不足以保護網絡安全，因此具有主動防御特征的入侵檢測系統(tǒng)受到人們的重視。入侵檢測系統(tǒng)通過主動監(jiān)控網絡數(shù)據(jù)和用戶行為，發(fā)現(xiàn)異常數(shù)據(jù)或攻擊行為，從而對網絡和系統(tǒng)提供保護。根據(jù)檢測原理，入侵檢測可分為誤用檢測和異常檢測。在過去十多年間，廣泛使用的入侵檢測產品大多基于誤用檢測。盡管該技術易于

2、實現(xiàn)，但頻繁的更新攻擊規(guī)則庫需要耗費大量的系統(tǒng)資源。異常檢測具有檢測到新型攻擊的能力，但是高誤報率影響了該技術的實際應用。
　　 目前，多數(shù)網絡攻擊是通過通信協(xié)議完成的，入侵引起的異常也表現(xiàn)為協(xié)議的異常。作為異常檢測新的發(fā)展方向，協(xié)議異常檢測對協(xié)議的正常數(shù)據(jù)建模，檢測違反協(xié)議規(guī)定的行為或異常數(shù)據(jù)。本文在協(xié)議異常檢測模型的構造、檢測技術的綜合應用以及檢測算法的設計等方面進行了深入研究，取得了一些創(chuàng)新性的研究成果，主要內容包括：

3、r>　　 1.將隱馬爾科夫模型(Hidden Markov Model，HMM)用于基于網絡的異常檢測，建立基于 HMM的協(xié)議異常檢測模型。該模型量化數(shù)據(jù)包的標志位，得到的十進制數(shù)字序列作為模型輸入，極大減小了網絡數(shù)據(jù)流對模型性能帶來的壓力，提高了模型的檢測效率。其次，模型的建立和參數(shù)設定符合網絡協(xié)議中標志位之間的關系，很好描述和代表了所對應的協(xié)議。在DARPA1999入侵檢測數(shù)據(jù)集上對模型進行測試，與基于馬爾科夫鏈的協(xié)議異常檢測算法

4、相比，我們建立模型的性能要高于前者。
　　 2.研究網絡數(shù)據(jù)的轉移特性和頻率特性，提出一個基于支持向量機的協(xié)議異常檢測模型。不同于單獨使用數(shù)據(jù)轉移特性或頻率特性所建立的模型，我們建立的模型結合了數(shù)據(jù)的兩種特性。該模型使用Viterbi算法推導訓練數(shù)據(jù)的最優(yōu)狀態(tài)序列，根據(jù)最優(yōu)狀態(tài)序列建立狀態(tài)模式庫，以少量短序列描述協(xié)議的正常狀態(tài)轉移規(guī)律，有利于處理海量數(shù)據(jù)。通過用短序列中標志位的頻率分布訓練模型和檢測時計算觀測序列的偏離度，使模型

5、在保持較高檢測率的同時有效控制了誤報率。與單一使用轉移特性的 HMM檢測模型相比，結合了轉移特性和頻率特性的協(xié)議異常檢測模型具有更高的檢測率，同時有效地控制了誤報率，其綜合檢測能力達到令人滿意的效果。
　　 3.將基于字符串核函數(shù)的協(xié)議異常檢測算法用于網絡異常檢測。目前基于核函數(shù)的入侵檢測方法大多使用主機數(shù)據(jù)，在網絡方面的應用還處于初始階段。我們研究了如何使用字符串核函數(shù)保留協(xié)議的狀態(tài)信息，并應用于協(xié)議異常檢測。在此基礎上，我們

6、通過削弱或減少攻擊中正常數(shù)據(jù)對檢測結果的影響，進一步提高了檢測率。在DARPA1999入侵檢測數(shù)據(jù)集上的實驗結果顯示，基于馬爾科夫核的檢測算法在誤報率為0的情況下，獲得了98％的檢測率，高于其它幾種核函數(shù)。此外，基于變長度加權核的檢測算法突顯了異常數(shù)據(jù)，降低了大量正常數(shù)據(jù)對檢測效果的影響。在此基礎上，基于變長度加權一次核函數(shù)的檢測算法進一步忽略了重復出現(xiàn)的正常數(shù)據(jù)對檢測效果的影響，提高了檢測率。
　　 4.提出一個基于條件隨機場

7、的協(xié)議異常檢測模型。這種方法將網絡連接中的數(shù)據(jù)包作為觀測序列，量化數(shù)據(jù)包首部的標志位，計算標志位在連接中的出現(xiàn)頻率作為觀測序列的特征，有效利用了多個特征，避免了 HMM的獨立性假設。模型的訓練和檢測使用DARPA1999入侵檢測數(shù)據(jù)集，實驗結果驗證了所建立模型的準確性，同基于隱馬爾科夫模型的檢測方法相比，提出的方法在各個衡量標準上都要高于后者。
　　 我們根據(jù)核電廠實時信息系統(tǒng)中的網絡情況，提出分布式的入侵檢測與管理系統(tǒng)框架，并