張虎 王利巧

摘要：伴隨著網(wǎng)絡(luò)的應(yīng)用普及，網(wǎng)絡(luò)安全問題也不斷表現(xiàn)出來。在防火墻、認(rèn)證技術(shù)等傳統(tǒng)安防技術(shù)日趨成熟的同時(shí)，作為主動(dòng)防御技術(shù)之一的入侵檢測(cè)技術(shù)為網(wǎng)絡(luò)安全提供了新的有力的支持。在如前檢測(cè)識(shí)別過程中引入基于知識(shí)的、有自學(xué)習(xí)能力的案例推理機(jī)制，能夠?yàn)榫W(wǎng)絡(luò)管理者提供可靠的、有針對(duì)性的入侵響應(yīng)處理方法。

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測(cè)；案例推理；案例庫(kù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）25-5861-02

互聯(lián)網(wǎng)的普及給人們帶來了便利的同時(shí)，因?yàn)槠浒踩越o人們帶來的煩惱也隨之增加，甚至對(duì)網(wǎng)絡(luò)信息安全造成巨大的威脅。所以，網(wǎng)絡(luò)安全問題成為提高網(wǎng)絡(luò)服務(wù)要求之一，同時(shí)也引領(lǐng)了網(wǎng)絡(luò)技術(shù)的一個(gè)方向——網(wǎng)絡(luò)安全。現(xiàn)在廣泛使用的防火墻技術(shù)、加密技術(shù)和認(rèn)證技術(shù)雖然成熟，但由于其靜態(tài)、被動(dòng)的特點(diǎn)，在日趨復(fù)雜的網(wǎng)絡(luò)應(yīng)用環(huán)境中顯得力不從心。所以，需要有更為有效的防御技術(shù)來對(duì)現(xiàn)在的網(wǎng)絡(luò)安全進(jìn)行防護(hù)，融入智能化的更為綜合的主動(dòng)防御技術(shù)成為人們關(guān)注的焦點(diǎn)。入侵檢測(cè)技術(shù)的應(yīng)用作為網(wǎng)絡(luò)安全防范的重要手段之一，在網(wǎng)絡(luò)安全中的地位越來越重要。

1 入侵檢測(cè)的概念

入侵檢測(cè)是網(wǎng)絡(luò)安全重要的組成部分，是根據(jù)一定的安全策略，對(duì)網(wǎng)絡(luò)和系統(tǒng)的運(yùn)行進(jìn)行監(jiān)視，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行綜合分析并進(jìn)行的異常檢測(cè)，對(duì)系統(tǒng)資源的非授權(quán)使用做出及時(shí)判斷和報(bào)警，并能夠識(shí)別入侵者和入侵行為、檢測(cè)和監(jiān)視已經(jīng)成功的入侵，并進(jìn)行入侵響應(yīng)。目前已經(jīng)成為計(jì)算機(jī)安全策略的核心技術(shù)之一。

入侵檢測(cè)融合數(shù)據(jù)挖掘的歸納總結(jié)能力，以數(shù)據(jù)為中心，對(duì)系統(tǒng)日志和審計(jì)數(shù)據(jù)進(jìn)行分析，從中抽取規(guī)則和知識(shí)，自動(dòng)的構(gòu)建檢測(cè)模型，大大的減輕了對(duì)系統(tǒng)日志和審計(jì)數(shù)據(jù)進(jìn)行人工分析的負(fù)擔(dān)。

根據(jù)入侵檢測(cè)系統(tǒng)的應(yīng)用技術(shù)和特點(diǎn)，可將其歸納為以下幾類：

1） 基于目標(biāo)系統(tǒng)的入侵檢測(cè)系統(tǒng)：包括基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)兩大類；

2） 基于數(shù)據(jù)來源的入侵檢測(cè)系統(tǒng)；

3） 基于入侵檢測(cè)方法的入侵檢測(cè)系統(tǒng)：包括異常和誤用兩大系統(tǒng)；

4） 基于模塊運(yùn)行分布方式的入侵檢測(cè)系統(tǒng)：包括集中式和分布式兩大系統(tǒng)；

5） 基于不同入侵響應(yīng)處理方式的入侵檢測(cè)系統(tǒng)：包括主動(dòng)的入侵檢測(cè)系統(tǒng)和被動(dòng)的入侵檢測(cè)系統(tǒng)。

2 案例推理理論的概念

案例推理（Case Based Reasoning，簡(jiǎn)稱CBR），又稱作實(shí)例推理。推理機(jī)制源自人類在現(xiàn)實(shí)生活中解決問題的一般過程。即生活中遇到問題時(shí)先在記憶中遍歷搜索已經(jīng)歷過的、類似的問題處理過程，從而得到解決辦法，若沒有找到解決辦法，就記錄下該問題，生成一個(gè)新的條目，并分析判斷產(chǎn)生新的解決辦法，待問題成功解決后進(jìn)行記錄并生成新的記錄。案例推理過程就是采用上述類比的過程，把當(dāng)前所遇到問題通過以往已經(jīng)解決的相同或相似案例來作為指導(dǎo)，并將新的問題保存下來作為以后求解指導(dǎo)的案例，從而充實(shí)案例庫(kù)、知識(shí)庫(kù)。但案例庫(kù)、知識(shí)庫(kù)的不斷擴(kuò)充直接導(dǎo)致檢索時(shí)間的無(wú)限延長(zhǎng)，推理效率下降。

3 案例推理過程及其優(yōu)點(diǎn)

3.1 案例推理的一般過程

案例推理的一般過程包含四個(gè)步驟：案例的檢索（CASE RETRIEVE）、案例的復(fù)用（CASE REUSE）、案例的修正（CASE REVISE）、案例的保存（CASE RETAIN）

案例推理的一般處理過程：

1） 新問題的分析，在遇到問題后首先進(jìn)行問題的分析，即找出問題的關(guān)鍵特征，以這些特征在已有的案例庫(kù)中進(jìn)行檢索、匹配，根據(jù)檢索和匹配的條件得到的匹配結(jié)果往往不是唯一的。所以，檢索的結(jié)果數(shù)量應(yīng)該盡可能的少，并盡量縮短檢索、匹配所用的時(shí)間。

2） 應(yīng)用檢索、匹配的結(jié)果進(jìn)新問題求解的過程。在上一步檢索、匹配到結(jié)果后，將新問題與庫(kù)中原有的案例進(jìn)行比較，針對(duì)二者的異同，直接或間接作用于新問題之上。

3） 案例修正，在問題處理完成后，將處理結(jié)果進(jìn)行指標(biāo)評(píng)價(jià)，對(duì)上一步檢索、匹配并用于新問題求解的案例在用于新問題求解過程中無(wú)法得到正確結(jié)果，則要根據(jù)產(chǎn)生的偏差對(duì)所存儲(chǔ)的案例進(jìn)行修正，修正過程要依據(jù)實(shí)際運(yùn)行結(jié)果的反饋進(jìn)行。

4） 問題解決后，將該問題生成案例，并將其保存，以充實(shí)案例庫(kù)。

3.2 案例推理機(jī)制的優(yōu)點(diǎn)

1） 案例推理機(jī)制依據(jù)的是過去以存儲(chǔ)的案例，不需要準(zhǔn)確的規(guī)則和模型；

2） 案例推理機(jī)制對(duì)方法知識(shí)獲取過程簡(jiǎn)單，簡(jiǎn)單易懂，求解效率高；

3） 案例推理機(jī)制有很好的自學(xué)習(xí)能力，它通過執(zhí)行案例的修正和案例的保存來擴(kuò)充案例庫(kù)，從而實(shí)現(xiàn)案例庫(kù)的有機(jī)靈活性。

4 案例推理在網(wǎng)絡(luò)入侵識(shí)別中的應(yīng)用

將案例推理應(yīng)用到入侵識(shí)別過程的基本思想是將檢測(cè)到的網(wǎng)絡(luò)入侵作為新的案例問題進(jìn)行保存，并開始在案例庫(kù)中進(jìn)行檢索、匹配，查找與之類似的案例，在得到匹配結(jié)果后開始新問題的求解，即比照檢索、匹配的結(jié)果進(jìn)行處理。在實(shí)際的網(wǎng)絡(luò)應(yīng)用中，網(wǎng)絡(luò)入侵行為均已網(wǎng)絡(luò)安全漏洞為目標(biāo)，雖然網(wǎng)絡(luò)的入侵行為差異性很大，但還是有一定的規(guī)律的。網(wǎng)絡(luò)入侵作為網(wǎng)絡(luò)行為也要適應(yīng)相應(yīng)的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)類型，這就為檢索和匹配提供了直接的依據(jù)。即使每次入侵行為的表現(xiàn)及其特征不同，但可以根據(jù)相似度進(jìn)行判斷，從而得到檢索、匹配的結(jié)果。若相似度過低，則認(rèn)為是新案例，可以將其充實(shí)進(jìn)案例庫(kù)，若相似度較高，則說明有可參考的同類案例，即檢索、匹配成功。

5 案例庫(kù)的維護(hù)

案例庫(kù)的建立、檢索、維護(hù)是基于數(shù)據(jù)庫(kù)和數(shù)據(jù)挖掘技術(shù)之上的。建庫(kù)時(shí)要科學(xué)設(shè)定索引關(guān)鍵詞，以盡量減少索引時(shí)間。在建立索引案例時(shí)，要對(duì)相同、類似的案例進(jìn)行標(biāo)記、處理，避免出現(xiàn)不必要的冗余。但無(wú)論是關(guān)鍵詞的設(shè)定和冗余的避免策略如何應(yīng)用，隨著案例庫(kù)容量的絕對(duì)增加，檢索速度還是會(huì)有所降低的。所以，要對(duì)案例庫(kù)進(jìn)行周期性的維護(hù)。維護(hù)過程主要完成冗余案例的處理、案例的組織管理、不必要案例的刪減，以保證案例庫(kù)始終處于效率較高的規(guī)模。通常采用隨機(jī)刪除法、效用度量刪除法、選擇刪除法等。

1） 隨機(jī)刪除法：隨機(jī)刪除法是一種最簡(jiǎn)單的管理策略，即在案例庫(kù)維護(hù)時(shí)隨機(jī)刪減某些案例，以降低案例庫(kù)的規(guī)模，以提高檢索效率。隨即刪除的方法雖然簡(jiǎn)單，但由于其刪除的隨機(jī)性，容易刪除一些重要、常用的案例，反而影響的案例的檢索效率。

2） 效用度量刪除法：建庫(kù)時(shí)為每個(gè)案例建立效用值字段，在案例檢索成功是修改效用值，以判斷其使用頻率，在維護(hù)時(shí)根據(jù)該字段值進(jìn)行刪除。這種方法能夠很好的保留常用的案例，但也會(huì)刪除一些使用頻率低但較為重要的案例，導(dǎo)致對(duì)這些案例要重新加載、更新，增加庫(kù)的維護(hù)工作量。

3） 選擇刪除法：選擇刪除的方法是用戶根據(jù)相應(yīng)的指標(biāo)來進(jìn)行庫(kù)的維護(hù)。比如在效用度量的選擇設(shè)置方法上，可以根據(jù)進(jìn)庫(kù)的歷史時(shí)間和使用頻率綜合考慮，也可以比較案例檢索的時(shí)間花費(fèi)和匹配代價(jià)等。選擇刪除方法的使用最為靈活，效率也較前兩種方法高，但對(duì)維護(hù)人員的要求較高。若規(guī)則設(shè)置存在欠缺，則會(huì)導(dǎo)致維護(hù)過程的缺陷。

6 結(jié)束語(yǔ)

入侵檢測(cè)技術(shù)是在網(wǎng)絡(luò)運(yùn)行過程中，通過收集網(wǎng)絡(luò)中的信息并通過過濾檢測(cè)來發(fā)現(xiàn)違反安全策略的入侵行為，在現(xiàn)有網(wǎng)絡(luò)安全防范體系中，是對(duì)防火墻、認(rèn)證、加密等靜態(tài)保護(hù)機(jī)制的補(bǔ)。同時(shí)，案例推理過程作為一種基于知識(shí)的問題求解和學(xué)習(xí)方法，在入侵檢測(cè)過程中引入案例推理機(jī)制，可以在檢測(cè)到入侵行為后進(jìn)行入侵識(shí)別分類，從而為網(wǎng)絡(luò)管理者提供可靠的、有針對(duì)性的入侵響應(yīng)處理方法。對(duì)于案例庫(kù)的建立和維護(hù)，以及案例推理機(jī)制，都還需要進(jìn)一步改進(jìn)，但案例推理機(jī)制在今后的應(yīng)用領(lǐng)域是一個(gè)大的發(fā)展方向，有著很好的發(fā)展前景。

參考文獻(xiàn)：

[1] 李漢彪，劉淵.一種SVM入侵檢測(cè)的融合新策略[J].計(jì)算機(jī)工程與應(yīng)用，2012，2，1.

[2] 齊潤(rùn)泉.校園網(wǎng)安全工程分析與研究[J].信息技術(shù)與信息化，2006，6，15.

[3] 齊潤(rùn)泉.安全工程理論在教育城域網(wǎng)中的應(yīng)用研究[J].山東科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2005，6，30.