李 淵

(太原學(xué)院 計(jì)算機(jī)工程系，山西 太原 030032)

1 入侵檢測(cè)系統(tǒng)

目前，網(wǎng)絡(luò)系統(tǒng)在我國(guó)的發(fā)展越來(lái)越迅速，一些安全隱患也隨之浮出水面，為了解決這些問(wèn)題，有關(guān)專家提出了兩個(gè)解決的方案，一個(gè)是入侵檢測(cè)，另一個(gè)是安全保護(hù)。

所謂的安全保護(hù)就是傳統(tǒng)意義上的由授權(quán)、認(rèn)證、加密以及訪問(wèn)控制等相關(guān)機(jī)制來(lái)增加計(jì)算機(jī)的安全性，但是這只能保證一些敏感數(shù)據(jù)的安全問(wèn)題，對(duì)于由于硬件缺失而闖入到計(jì)算機(jī)系統(tǒng)中的問(wèn)題并沒(méi)有辦法起到很好的作用，當(dāng)然對(duì)有些已經(jīng)授權(quán)的計(jì)算機(jī)用戶并沒(méi)有聽(tīng)從警告而濫用系統(tǒng)所造成一些列問(wèn)題安全保護(hù)也無(wú)能為力。我們?cè)诜乐挂恍┚W(wǎng)路攻擊時(shí)采用的防火墻技術(shù)一般都是采用應(yīng)用層網(wǎng)、包過(guò)濾以及虛擬技術(shù)等，然而如果一些應(yīng)用設(shè)計(jì)具有很大缺陷或者這些攻擊所通過(guò)的通路有一定的加密系統(tǒng)，那么這種防火墻技術(shù)就會(huì)無(wú)用武之地[1]。為了解決這個(gè)問(wèn)題，一種新的技術(shù)能夠及時(shí)發(fā)現(xiàn)計(jì)算機(jī)中的異常情況以及一些并未得到授權(quán)的用戶，這種技術(shù)就是本文重點(diǎn)描述的入侵檢測(cè)系統(tǒng)。

在計(jì)算機(jī)系統(tǒng)中有一些具備機(jī)密性、完整性以及可用性的資源，然而有一些活動(dòng)卻試圖對(duì)這些數(shù)據(jù)進(jìn)行破壞，這就是所謂的入侵。而對(duì)這些入侵活動(dòng)進(jìn)行檢索并且采取相應(yīng)措施的活動(dòng)就是入侵檢測(cè)。一般我們所用的檢測(cè)方式有兩種，一種是異常檢測(cè)，一種是濫用檢測(cè)。

計(jì)算機(jī)用戶進(jìn)行異常操作或者是非正常使用計(jì)算機(jī)系統(tǒng)的資源，我們將這種行為稱之為異常入侵[2]。而異常檢測(cè)就是針對(duì)這種入侵建立一種模型，這種模型的建立需要有一定的目標(biāo)系統(tǒng)，所建立的范圍包括用戶的所有正?；顒?dòng)，模型一旦建立成功就可以對(duì)所有用戶進(jìn)行審查，找到系統(tǒng)有所危害的因素并剔除，保證整個(gè)網(wǎng)絡(luò)環(huán)境的安全性。其實(shí)，異常入侵檢測(cè)最早的提出者是Anderson，他在1980年就已經(jīng)引進(jìn)這種方式。他將計(jì)算機(jī)的入侵行為劃分成三種類型，即授權(quán)用戶中存在的內(nèi)部人員對(duì)計(jì)算機(jī)的越權(quán)使用，外部人員對(duì)系統(tǒng)的侵入以及對(duì)系統(tǒng)的濫用，同時(shí)他還提出對(duì)這種入侵行為進(jìn)行跟蹤監(jiān)測(cè)。Denning在1987年帶來(lái)一個(gè)比較經(jīng)典的異常檢測(cè)模型，這也是第一次將入侵檢測(cè)劃入到計(jì)算機(jī)系統(tǒng)安全保護(hù)中。目前，這種異常檢測(cè)給我們的計(jì)算機(jī)安全帶來(lái)很多方便之處，而這種檢測(cè)方式最大的優(yōu)點(diǎn)就是適應(yīng)性比較強(qiáng)，當(dāng)然它還具有一定的缺陷，比如說(shuō)在提取用戶的完整信息時(shí)非常困難。

還有一種檢測(cè)方式，將已知的入侵方法以及系統(tǒng)缺陷利用到對(duì)系統(tǒng)危害的檢測(cè)中，這就是所謂的濫用檢測(cè)。這種檢測(cè)方式有它自身的優(yōu)勢(shì)也有其缺點(diǎn)，它的優(yōu)勢(shì)在于在進(jìn)行入侵檢測(cè)的時(shí)候可以針對(duì)特定的危害，以此提高整個(gè)檢測(cè)活動(dòng)的效率，缺點(diǎn)也在其針對(duì)性上，這種檢測(cè)方式只能檢測(cè)出特定的系統(tǒng)入侵，對(duì)于未知以及變種的入侵行為則無(wú)能為力。

目前所使用的入侵檢測(cè)系統(tǒng)可以分為兩大類，這兩種系統(tǒng)一種是以網(wǎng)絡(luò)為基礎(chǔ)，一種以主機(jī)為基礎(chǔ)[3]。前者在采集數(shù)據(jù)以及偵查時(shí)都是通過(guò)網(wǎng)絡(luò)進(jìn)行，一般情況下很少會(huì)消耗到主機(jī)的資源，而且所采用的網(wǎng)絡(luò)協(xié)議具備一定的標(biāo)準(zhǔn)，因此這種形式所采用的保護(hù)措施并不會(huì)因?yàn)橹鳈C(jī)的不同而有所差異;后者在監(jiān)視入侵系統(tǒng)并對(duì)其進(jìn)行審查的時(shí)候主要依靠主機(jī)來(lái)進(jìn)行，這種系統(tǒng)在獲取入侵事件的時(shí)候可以根據(jù)不同的操作系統(tǒng)來(lái)進(jìn)行，然而它最大的缺點(diǎn)就是過(guò)于依賴主機(jī)，并不具備很好的實(shí)時(shí)性。

為了能夠滿足入侵檢測(cè)系統(tǒng)自身所具備的特殊性，必須確保我們所建立的入侵檢測(cè)系統(tǒng)具備全局性、可伸縮性、準(zhǔn)確性、可擴(kuò)展性，同時(shí)還要保證其自身的健壯性以及對(duì)環(huán)境的適應(yīng)性。經(jīng)過(guò)研究人員的不懈努力，已經(jīng)試驗(yàn)了很多的辦法，但是沒(méi)有一種可以達(dá)到要求。設(shè)計(jì)一套系統(tǒng)并不是一件簡(jiǎn)單的事情，它對(duì)設(shè)計(jì)人員的要求非常高，所有參與的設(shè)計(jì)人員不僅要具備豐富的專業(yè)知識(shí)，還必須對(duì)所有的攻擊進(jìn)行了解。因此所設(shè)計(jì)的入侵檢測(cè)系統(tǒng)如何完全取決于設(shè)計(jì)人員，如此一來(lái)所設(shè)計(jì)的系統(tǒng)會(huì)受到一定的局限性，一旦出現(xiàn)新的攻擊方式所設(shè)計(jì)的系統(tǒng)就會(huì)產(chǎn)生漏洞。

因此，有相關(guān)的設(shè)計(jì)人員就將異常檢測(cè)與濫用檢測(cè)結(jié)合到一起，從而將網(wǎng)絡(luò)系統(tǒng)與主機(jī)系統(tǒng)融合在一起，這就是在信息安全的前提才所開(kāi)發(fā)的數(shù)據(jù)挖掘的智能化入侵檢測(cè)系統(tǒng)，簡(jiǎn)稱DMIDS[4]。這種系統(tǒng)可以最大程度的滿足入侵檢測(cè)系統(tǒng)所具備的條件，它可以根據(jù)新出現(xiàn)的攻擊等來(lái)自動(dòng)充實(shí)自身的規(guī)則庫(kù)，增加系統(tǒng)的擴(kuò)展性以及適應(yīng)性;一旦檢測(cè)的環(huán)境有所變動(dòng)，它也無(wú)需做比較大的變動(dòng)來(lái)解決問(wèn)題。

2 DMIDS系統(tǒng)結(jié)構(gòu)

本文所提出的智能化入侵檢測(cè)系統(tǒng)主要采用一種分布式的結(jié)構(gòu)，它是由8各部分所組成，其中包括移動(dòng)Agent、活動(dòng)監(jiān)測(cè)Agent、數(shù)據(jù)挖掘引擎、決策引擎、事件序列生成器、事件庫(kù)、檢測(cè)引擎以及規(guī)則庫(kù)，其系統(tǒng)關(guān)系結(jié)構(gòu)如圖，這種系統(tǒng)可以對(duì)上文所提的入侵方式進(jìn)行檢測(cè)。

DMIDS系統(tǒng)結(jié)構(gòu)圖

對(duì)DMIDS系統(tǒng)的原理進(jìn)行簡(jiǎn)要分析可以明白這種系統(tǒng)可以分成4部分進(jìn)行:(1)最先開(kāi)始活動(dòng)的就是系統(tǒng)中的事件序列生成器，通過(guò)這種生成器我們可以處理計(jì)算機(jī)中的一些遺留數(shù)據(jù)，對(duì)其產(chǎn)生的事件進(jìn)行排序，這些遺留數(shù)據(jù)包括系統(tǒng)的審計(jì)數(shù)據(jù)、網(wǎng)絡(luò)的流量數(shù)據(jù)以及系統(tǒng)的調(diào)用數(shù)據(jù)等，為了在形成的事件序列中找出需要的規(guī)則并將其并入到我們的規(guī)則庫(kù)中，必須利用數(shù)據(jù)挖掘引擎對(duì)數(shù)據(jù)進(jìn)行分析;(2)分析好數(shù)據(jù)之后我們就要對(duì)其進(jìn)行清洗，在此步驟中我們只是進(jìn)行初步清洗，所利用的工具就是活動(dòng)監(jiān)測(cè)Agent，平時(shí)它的主要工作就是留在計(jì)算機(jī)中對(duì)其進(jìn)行保護(hù)，一旦進(jìn)行清洗它就會(huì)出來(lái)對(duì)系統(tǒng)中的調(diào)用序列進(jìn)行俘獲，對(duì)日志中的數(shù)據(jù)進(jìn)行設(shè)計(jì);(3)初步整理數(shù)據(jù)之后就要對(duì)信息進(jìn)行收集并傳遞，收集數(shù)據(jù)的是一些活動(dòng)的監(jiān)測(cè)Agent，然后由移動(dòng)Agent將采集到的數(shù)據(jù)傳送給相關(guān)的序列生成器，同時(shí)必須對(duì)其進(jìn)行簡(jiǎn)單的處理;(4)對(duì)其進(jìn)行簡(jiǎn)單處理之后傳給進(jìn)行證據(jù)發(fā)現(xiàn)的發(fā)掘引擎，發(fā)現(xiàn)證據(jù)之后將其傳送給檢測(cè)引擎，同時(shí)評(píng)估目前規(guī)則中所具有的相似性，最后必須以此對(duì)規(guī)則庫(kù)進(jìn)行維護(hù)，同時(shí)將決策引擎所決定的結(jié)果經(jīng)由移動(dòng)A-gent傳達(dá)給各個(gè)相關(guān)的活動(dòng)監(jiān)測(cè)Agent。

3 對(duì)數(shù)據(jù)的采集以及事件的生成

在整個(gè)DMIDS系統(tǒng)中掌管數(shù)據(jù)采集的是移動(dòng)Agent以及活動(dòng)監(jiān)測(cè)Agent，這份工作需要由這兩部分共同來(lái)完成。其中分工如下:

對(duì)活動(dòng)監(jiān)測(cè)Agent的工作安排:(1)將系統(tǒng)中的日志數(shù)據(jù)抽取出來(lái)進(jìn)行初步的選擇以及清洗活動(dòng)，清洗完后必須將其編碼，其中的數(shù)據(jù)抽取活動(dòng)根據(jù)一定的策略來(lái)進(jìn)行;(2)按照以上的方式對(duì)待系統(tǒng)中的調(diào)用序列數(shù)據(jù);(3)按照以上方式對(duì)待系統(tǒng)中的IP數(shù)據(jù)包數(shù)據(jù);(4)根據(jù)移動(dòng)Agent所傳達(dá)的指令進(jìn)行活動(dòng)來(lái)保護(hù)我們的計(jì)算機(jī)系統(tǒng)。

移動(dòng)Agent的工作內(nèi)容主要是在各個(gè)計(jì)算機(jī)中進(jìn)行巡視，監(jiān)視并且掌控所有活動(dòng)監(jiān)測(cè)Agent，所有經(jīng)過(guò)編碼的數(shù)據(jù)也是經(jīng)由其傳給序列生成器。同時(shí)決策引擎所決定散步的指令必須由其轉(zhuǎn)達(dá)給執(zhí)行的活動(dòng)監(jiān)測(cè)Agent。由此可見(jiàn)，移動(dòng)Agent起到的是中間傳遞的作用。

事件的生成主要是由事件序列生成器來(lái)進(jìn)行，系統(tǒng)中遺留的數(shù)據(jù)以及移動(dòng)Agent帶來(lái)的數(shù)據(jù)全部由其接收，并且將其解碼之后按照一定格式生成事件序列，并將其保存到事件庫(kù)中。

DMIDS系統(tǒng)作為一種檢測(cè)系統(tǒng)核心就是對(duì)入侵行為進(jìn)行檢測(cè)。進(jìn)行檢測(cè)之前必須要建立一個(gè)完整的規(guī)則庫(kù)，此規(guī)則庫(kù)的建立主要是根據(jù)從事件序列生成器中所挖掘出的規(guī)則來(lái)進(jìn)行。然后根據(jù)所建立的規(guī)則庫(kù)，再加上由挖掘引擎找到的證據(jù)，就可以從整個(gè)系統(tǒng)中進(jìn)行入侵檢測(cè)。

在此要注意，在進(jìn)行規(guī)則的挖掘過(guò)程中一定要按照為題的屬性進(jìn)行挖掘，將必須的屬性稱之為軸屬性，并且在進(jìn)行規(guī)則數(shù)據(jù)的挖掘過(guò)程中，一般采用的方法都是人機(jī)交互方法。

運(yùn)用關(guān)聯(lián)規(guī)則挖掘技術(shù)首先要確定問(wèn)題域，其次要按照規(guī)則的屬性對(duì)問(wèn)題域的編序關(guān)系進(jìn)一步的選擇出并排序?qū)傩?，其三要確定初始最小支持度和初始最小置信度的閥值，第四要根據(jù)最小支持度閥值以及最小置信度閥值找出滿足條件的頻繁項(xiàng)集，在此可以運(yùn)用Dpriori算法進(jìn)行計(jì)算，第五要根據(jù)上步所定頻繁項(xiàng)集計(jì)算關(guān)聯(lián)規(guī)則，第六需要對(duì)這些關(guān)聯(lián)規(guī)則進(jìn)行選擇，挑剔出非我用規(guī)則，然后根據(jù)規(guī)則屬性進(jìn)行分類，建立分類模型，最后將新生成的規(guī)則按照判斷樹(shù)的方法插入到模式庫(kù)中。

比如以下用基本算法生成的關(guān)聯(lián)規(guī)則:

Src_bytes=200，Src_bytes=200→Dst_bytes=300.Src_bytes=200[0.2，0.7，2s]和 Src_bytes=200→tlaj=SF[0.2，0.6，2s]

從上述數(shù)據(jù)可得規(guī)則形式為:X，Y→Z[support，confidence，windiw]

比如由頻繁項(xiàng)集生產(chǎn)關(guān)聯(lián)規(guī)則:

Src_host=202.116.137.219，Dst_host=202.116.137.100→Srv=http[0.1449541，0.93342s]或 if Scr_host－“202116137219”and DST+host=“202116137100”then Srv=http

4 規(guī)則庫(kù)的建立以及維護(hù)

規(guī)則庫(kù)在整個(gè)DMIDS系統(tǒng)中的作用就是描述包括IP數(shù)據(jù)包、應(yīng)用層系統(tǒng)調(diào)用中所有的正常以及非正常的的數(shù)據(jù)以及序列，并且對(duì)用戶所進(jìn)行的所有正常以及非正常的行為進(jìn)行描述。

由上文可以得知，在規(guī)則庫(kù)中存在著兩大規(guī)則，即正常以及異常規(guī)則，這種做法也能夠?qū)⑾到y(tǒng)的性能提升到最大程度。在的規(guī)則庫(kù)中所存在的異常規(guī)則只是一些已經(jīng)得知的模式。在此規(guī)則庫(kù)中所存在的異常模式并不是一成不變的，它會(huì)隨著攻擊的增加有所擴(kuò)展，然而擴(kuò)充之后還是會(huì)有新的攻擊出現(xiàn)，所以規(guī)則庫(kù)一直處于不完整中，而且在檢測(cè)入侵時(shí)只能檢測(cè)到已經(jīng)存在的入侵行為。在建立這個(gè)系統(tǒng)的時(shí)候就是為了檢測(cè)到所有已知或者未知的入侵，所以規(guī)則庫(kù)中不能只存在一些異常模式，應(yīng)該適當(dāng)增加一些正常的模式。DMIDS系統(tǒng)就能夠達(dá)到這個(gè)要求，在此系統(tǒng)進(jìn)行檢測(cè)的時(shí)候不僅僅能夠?qū)σ恍┊惓ＤＪ竭M(jìn)行監(jiān)控，它還可以檢測(cè)到一些正常模式。平時(shí)并不會(huì)將正常模式作為危險(xiǎn)項(xiàng)進(jìn)行處理，只有與某一非正常規(guī)則達(dá)到一定相似度之后才會(huì)進(jìn)行處理。

在規(guī)則庫(kù)中所有的異常規(guī)則都是通過(guò)已知的攻擊方法以及系統(tǒng)中存在的缺陷構(gòu)成，在將其編入到規(guī)則庫(kù)的時(shí)候采取的是編碼方式，這樣一來(lái)最初的規(guī)則庫(kù)就建立成功。系統(tǒng)運(yùn)行之后我們會(huì)遇到更多的攻擊，這些攻擊中可能有一些不在規(guī)則庫(kù)之中，就可以將其編入到異常規(guī)則庫(kù)中，使其成為規(guī)則庫(kù)中的一員，用于以后的檢測(cè)中。

用于系統(tǒng)檢測(cè)的數(shù)據(jù)來(lái)源成千上萬(wàn)，考慮到這種因素之后所設(shè)計(jì)的DMIDS系統(tǒng)建立起了各種各樣的規(guī)則?；顒?dòng)檢測(cè)Agent的主要作用就是收集來(lái)自于網(wǎng)絡(luò)系統(tǒng)以及主機(jī)操作中的信息，在被保護(hù)的主機(jī)中很容易可以發(fā)現(xiàn)它的身影，由于收集數(shù)據(jù)的地方有主機(jī)、有網(wǎng)絡(luò)，使得整個(gè)系統(tǒng)不僅具有一定的網(wǎng)絡(luò)特性，還具備一定的主機(jī)操作性。

5 結(jié)語(yǔ)

目前，隨著社會(huì)的發(fā)展，網(wǎng)絡(luò)的應(yīng)用也開(kāi)始頻繁起來(lái)。為了使整個(gè)網(wǎng)絡(luò)有一個(gè)比較健康的發(fā)展必須保證其安全性，在整個(gè)信息安全方面所占比最重的就是入侵檢測(cè)系統(tǒng)，因此越來(lái)越多的研究人員投入到入侵檢測(cè)系統(tǒng)的開(kāi)發(fā)中。在本文中所提出的DMIDS系統(tǒng)是在信息安全的前提下的所建立的智能化入侵檢測(cè)系統(tǒng)，在此系統(tǒng)的核心技術(shù)當(dāng)屬挖掘技術(shù)。在此系統(tǒng)模型中可以發(fā)現(xiàn)其具備有辨識(shí)、規(guī)則發(fā)現(xiàn)以及擴(kuò)展等功能，因此，它不僅可以檢測(cè)到已知的攻擊，對(duì)于未知攻擊也具備一定檢測(cè)性。

[1]仇榮成.數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用[D].南京郵電大學(xué)，2011.

[2]楊紅巖，陳永泰.基于入侵檢測(cè)技術(shù)的研究[J].城市建設(shè)理論研究，2011(32).

[3]黃金土.數(shù)據(jù)挖掘在入侵檢測(cè)領(lǐng)域的應(yīng)用研究[J].機(jī)電技術(shù)，2011(5).

[4]余玉涵.基于數(shù)據(jù)挖掘和復(fù)雜事件處理的分布式入侵檢測(cè)系統(tǒng)的研究[D].安徽大學(xué)，2011.