劉佳

摘要：傳統(tǒng)的入侵檢測(cè)系統(tǒng)只能檢測(cè)已知入侵行為，對(duì)于新型入侵行為難以監(jiān)測(cè)及采取應(yīng)對(duì)策略?；诰W(wǎng)絡(luò)預(yù)警的自適性入侵檢測(cè)系統(tǒng)，能夠從網(wǎng)絡(luò)流量方面防護(hù)重點(diǎn)設(shè)備，根據(jù)周圍設(shè)備的異常情況識(shí)別新型入侵并進(jìn)行安全策略升級(jí)。采用C4.5決策樹作為入侵檢測(cè)器核心算法。仿真實(shí)驗(yàn)表明，網(wǎng)絡(luò)預(yù)警自適性入侵檢測(cè)系統(tǒng)理論上擁有74.23%的檢出率和92.21%的有效檢測(cè)率（檢出率+入侵類型錯(cuò)誤率）。

關(guān)鍵詞：自適性入侵檢測(cè)；入侵檢測(cè)系統(tǒng)；決策樹；新型入侵檢測(cè)；基于網(wǎng)絡(luò)入侵檢測(cè)

DOIDOI：10.11907/rjdk.172537

中圖分類號(hào)：TP399

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)文章編號(hào)：16727800（2018）003021004

英文摘要Abstract：Traditional intrusion detection system is based on the known intrusion signatures， which is weak in detecting new type intrusions. The networkalarmed intrusion detection system has the ability to build whole environment security belief through gathering anomaly situations of surrounded equipment. The system defends important equipment through detecting the data flowing into this equipment. According to the whole environment security belief， the system updates the security policy. The system applies the C4.5 decision tree as key detection algorithm， and realizes the algorithm. The simulation results show that the system has 74.23% detection rate and 92.21% effective detection rate （detection rate+false intrusion type rate）.

英文關(guān)鍵詞Key Words：adaptive intrusion detection； intrusion detection system； decision tree； new pattern intrusion detection； intrusion detection based on Network

0引言

入侵檢測(cè)技術(shù)是一種檢測(cè)入侵情況的預(yù)防措施，能夠在損害發(fā)生之前將入侵識(shí)別并將其與系統(tǒng)阻隔起來。隨著網(wǎng)絡(luò)的普及與智能化，入侵行為越來越難以監(jiān)測(cè)，各種新型入侵行為層出不窮。傳統(tǒng)的入侵檢測(cè)系統(tǒng)是在先驗(yàn)異常行為的基礎(chǔ)上進(jìn)行異常行為的對(duì)比識(shí)別，缺乏識(shí)別新型入侵類型的能力，難以應(yīng)對(duì)現(xiàn)今多樣化的入侵模式。為了彌補(bǔ)入侵檢測(cè)系統(tǒng)難以識(shí)別新型入侵行為的缺陷，研究人員提出了能夠識(shí)別新型入侵行為的檢測(cè)系統(tǒng)。

1相關(guān)工作

2003年，D Nojiri、 J Rowe、 K Levitt[1] 提出通過一種協(xié)作減輕反應(yīng)機(jī)制抑制大規(guī)模網(wǎng)絡(luò)蠕蟲攻擊，系統(tǒng)設(shè)備采用一種被稱作“朋友機(jī)制”的協(xié)作機(jī)制進(jìn)行相互交流，向可能的被攻擊點(diǎn)發(fā)送攻擊報(bào)告。

2006年，Intel公司開發(fā)了稱作“自治企業(yè)安全”的方案[2] ，檢測(cè)本地系統(tǒng)突然偏離日常行為模式的各種細(xì)微線索，向其它主機(jī)通報(bào)異常活動(dòng)，如果異?；顒?dòng)超過給定閾值則判定為新型攻擊。

2008年，MA Rajab、 F Monrose、 A Terzis[3] 利用分布式優(yōu)點(diǎn)進(jìn)行分布式入侵檢測(cè)，提出了一種新的蠕蟲繁殖模型，檢查潛在的脆弱性存在點(diǎn)預(yù)測(cè)蠕蟲攻擊。實(shí)驗(yàn)表明，在相同規(guī)模的入侵檢測(cè)器下，分布式入侵檢測(cè)器比一般入侵檢測(cè)器速度提高4倍，易受攻擊點(diǎn)的局部密度分布信息能用來提高檢測(cè)器布置方案效果。

2013年，NA Elfeshawy、OS Faragallah[4] 提出了一種采用劃分兩部分的自適性入侵檢測(cè)系統(tǒng)降低誤報(bào)率的方法，具有偵測(cè)可疑行為和確定入侵行為的高度自治，應(yīng)用徑向基函數(shù)的自學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)達(dá)到自適性檢測(cè)入侵的目的。其將入侵檢測(cè)分為兩個(gè)部分：①部署在防火墻上，偵測(cè)每個(gè)進(jìn)入者的流量包是否是攻擊；②部署在防火墻之后，偵測(cè)通過防火墻的攻擊行為，實(shí)驗(yàn)證明該方法具有較好性能。

2016年，M Ajabi、I Boukhris、Z Elouedi[5]首次提出信任決策樹，采用信任函數(shù)理論和建立信任決策樹進(jìn)行大數(shù)據(jù)的入侵檢測(cè)，將MapReduce編程模型和求平均值作為不確定情況下的分類方法。

2017年，WL AlYaseen、ZA Othman、MZA Nazri[6]提出了一種多層次混合SVM與ELM方法監(jiān)測(cè)正常行為和已知入侵。自適性SVM模型能監(jiān)測(cè)與實(shí)時(shí)學(xué)習(xí)新型攻擊。實(shí)驗(yàn)表明，該模型大大降低了監(jiān)測(cè)未知入侵行為的時(shí)間。

2系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

2.1決策樹生成

分類（Classification）[11] 是指提取數(shù)據(jù)集相關(guān)信息，從中提取數(shù)據(jù)集各類特征，形成分類數(shù)學(xué)模型，進(jìn)行分類與預(yù)測(cè)。決策樹算法分類在入侵檢測(cè)中具有快速與準(zhǔn)確性高的特點(diǎn)，因此采用決策樹作為核心入侵檢測(cè)器。決策樹算法有ID3、C4.5、CART[7] 等，本文采用ID3的改進(jìn)算法——C4.5算法[8] ，以減少ID3算法的過度擬合現(xiàn)象。

遞歸選擇出當(dāng)前對(duì)D的劃分具有最大貢獻(xiàn)度的屬性，直至所有類別為同一類別或達(dá)到某一個(gè)閾值后，結(jié)束決策樹構(gòu)造。具體步驟[8] 如下：①采用Intrusion_type作為相應(yīng)的入侵類標(biāo)號(hào)，D為訓(xùn)練元組和相應(yīng)類標(biāo)號(hào)的完全集，計(jì)算D中各屬性的增益率，選取具有最大增益率的屬性作為分類屬性，將D分為v1類；②分別計(jì)算v1類的各自增益率，選擇具有最大增益率的屬性作為分類屬性；③各分支節(jié)點(diǎn)的祖先屬性不作為本次分支的分裂屬性；④依次遞歸構(gòu)造具有最大增益率的屬性作為當(dāng)前分裂屬性；⑤如果當(dāng)前的分裂屬性將數(shù)據(jù)分為同一個(gè)類別或到達(dá)一個(gè)閾值，則此類別作為一個(gè)葉子，結(jié)束此分支分類；⑥如果當(dāng)前分裂屬性將元組劃分為純類別，則以各類別作為葉子，節(jié)點(diǎn)名為各分類名字，分類結(jié)束。

多次遞歸后，每次分類都是當(dāng)前最優(yōu)分類，得到全局最優(yōu)解幾率很大，即形成能夠考慮全部屬性給出入侵類型的最優(yōu)分類決策樹，達(dá)到較高的準(zhǔn)確率。

2.2信任度建立及信息預(yù)警

通過入侵檢測(cè)傳感器進(jìn)行數(shù)據(jù)收集，缺失屬性值的類采用樸素貝葉斯預(yù)測(cè)[9] 補(bǔ)全，收集信息包括連接各層協(xié)議類型、發(fā)生時(shí)間、近期一定時(shí)間內(nèi)連接情況等信息，并在發(fā)現(xiàn)異常信息后將異常信息相關(guān)數(shù)據(jù)向周圍入侵檢測(cè)點(diǎn)發(fā)送，各入侵檢測(cè)點(diǎn)根據(jù)到達(dá)其它入侵檢測(cè)點(diǎn)距離的遠(yuǎn)近建立距離表，根據(jù)距離異常情況發(fā)生的節(jié)點(diǎn)遠(yuǎn)近及危險(xiǎn)程度，得到全局網(wǎng)絡(luò)安全情況信任度，見表1、表2。當(dāng)全局網(wǎng)絡(luò)安全情況信任度在一定時(shí)間內(nèi)到達(dá)一定閾值時(shí)，則認(rèn)為入侵檢測(cè)模型無力，無法檢測(cè)相應(yīng)入侵情況。這時(shí)建立異常信息預(yù)警并向周圍節(jié)點(diǎn)發(fā)送，提升周圍結(jié)點(diǎn)入侵防護(hù)等級(jí)，并向策略實(shí)施點(diǎn)（PEP）發(fā)送預(yù)警報(bào)告，報(bào)告檢測(cè)到的入侵信息相關(guān)流量與連接特征。

根據(jù)各入侵檢測(cè)點(diǎn)偵測(cè)到的異常信息數(shù)據(jù)，統(tǒng)計(jì)異常信息發(fā)生時(shí)的屬性信息，計(jì)算異常程度值，并將異常信息及數(shù)據(jù)發(fā)送到周圍入侵檢測(cè)點(diǎn)。周圍入侵檢測(cè)點(diǎn)根據(jù)異常屬性權(quán)重表和異常程度值，計(jì)算各權(quán)重異常值。根據(jù)接收到信息的機(jī)器與發(fā)生異常的機(jī)器的距離計(jì)算周圍各設(shè)備異常值，建立全局網(wǎng)絡(luò)安全情況信任度。超出閾值則認(rèn)為發(fā)生了新型入侵行為，向策略實(shí)施點(diǎn)（PEP）發(fā)送異常報(bào)告，包括識(shí)別的異常數(shù)據(jù)及異常發(fā)生位置。將識(shí)別的異常信息標(biāo)注新型入侵標(biāo)識(shí)，并將收集的異常信息發(fā)送到策略實(shí)施點(diǎn)（PEP）進(jìn)行處理。

2.3自適性入侵檢測(cè)系統(tǒng)架構(gòu)

基于決策樹入侵檢測(cè)器，提出了一種分布式入侵檢測(cè)系統(tǒng)架構(gòu)。該架構(gòu)分為反饋信息收集點(diǎn)（PFP）、信息處理節(jié)點(diǎn)（DPP）、全局網(wǎng)絡(luò)安全情況信任度建立節(jié)點(diǎn)（OSCP）、自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)（AIDP）、分布式入侵檢測(cè)點(diǎn)（IDP）、設(shè)備分類管理中間件（IDM'S）、全局設(shè)備管理節(jié)點(diǎn)（MOM）、管理員系統(tǒng)（MPS）8大部分。其中信息處理節(jié)點(diǎn)、全局情況建立節(jié)點(diǎn)、自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)、全局設(shè)備管理節(jié)點(diǎn)共同組成了中央處理系統(tǒng)。在重點(diǎn)設(shè)備之前布設(shè)網(wǎng)絡(luò)流量傳感器，重點(diǎn)監(jiān)控流向重點(diǎn)設(shè)備的網(wǎng)絡(luò)流量信息，見圖1。網(wǎng)絡(luò)預(yù)警自適性入侵檢測(cè)系統(tǒng)見圖2。

（1）分布式入侵檢測(cè)點(diǎn)（IDP）：將入侵檢測(cè)與防護(hù)系統(tǒng)安裝到設(shè)備內(nèi)部，部署相應(yīng)的入侵防護(hù)措施。建立全局網(wǎng)絡(luò)安全情況信任度，并在全局網(wǎng)絡(luò)安全情況信任度到達(dá)閾值時(shí)向反饋信息收集點(diǎn)（PFP）發(fā)送預(yù)警報(bào)告。

（2）反饋信息收集點(diǎn)（PFP）：收集來自各分布式入侵檢測(cè)點(diǎn)（IDP）和IDM'S的平臺(tái)信息以及預(yù)警報(bào)告，將相應(yīng)信息發(fā)送給信息處理節(jié)點(diǎn)（DPP）。

（3）信息處理節(jié)點(diǎn)（DPP）：將收集到的反饋信息進(jìn)行整理，將處理后的數(shù)據(jù)傳送給信任度節(jié)點(diǎn)（OSCP）及自適應(yīng)入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)（AIDP）。

（4）全局網(wǎng)絡(luò)安全情況信任度建立節(jié)點(diǎn)（OSCP）：根據(jù)信息處理節(jié)點(diǎn)（DPP）傳送的信息，提取各異常情況發(fā)生位置，建立全局網(wǎng)絡(luò)安全情況信任度，對(duì)異常位置進(jìn)行定位。如果全局網(wǎng)絡(luò)安全情況信任度超過預(yù)先設(shè)置的閾值，就向全局設(shè)備管理節(jié)點(diǎn)（MOM）發(fā)送提升網(wǎng)絡(luò)整體安全防護(hù)等級(jí)命令。

（5）自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)（AIDP）：根據(jù)信息處理節(jié)點(diǎn)（DPP）反饋的信息，假定當(dāng)前入侵為同一種新型入侵行為，則根據(jù)數(shù)據(jù)重新適應(yīng)性生成決策樹。

（6）全局設(shè)備管理節(jié)點(diǎn)（MOM）：主要負(fù)責(zé)全局設(shè)備的分類及管理。

（7）設(shè)備分類管理中間件（IDM'S）：負(fù)責(zé)接收來自全局設(shè)備管理節(jié)點(diǎn)（MOM）的命令，并將這些命令部署到對(duì)應(yīng)類別的分布式入侵檢測(cè)點(diǎn)（IDP）中。

（8）管理員系統(tǒng)（MPS）：為管理員對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行整體管理與溝通交流的平臺(tái)。

2.4架構(gòu)運(yùn)作流程

網(wǎng)絡(luò)預(yù)警自適性入侵檢測(cè)系統(tǒng)運(yùn)作流程：①生成初始入侵檢測(cè)器，并通過MOM與IDM′S推送到各個(gè)IDP；②設(shè)備分類管理中間件（IDM′S）將各安全策略及安全防護(hù)等級(jí)推送入設(shè)備；③各分布式入侵檢測(cè)點(diǎn)（IDP）設(shè)備根據(jù)對(duì)應(yīng)設(shè)備分類管理中間件（IDM′S）推送的安全策略與決策樹入侵檢測(cè)模型，將安全策略部署在系統(tǒng)，設(shè)置初始安全防護(hù)等級(jí)，確定安全防護(hù)的寬松程度；④網(wǎng)絡(luò)運(yùn)行過程中，若分布式入侵檢測(cè)點(diǎn)（IDP）檢測(cè)到異常情況，就向其它設(shè)備發(fā)送預(yù)警信息，其它設(shè)備接收到預(yù)警信息后建立全局網(wǎng)絡(luò)安全情況信任度；⑤當(dāng)入侵檢測(cè)點(diǎn)（IDP）計(jì)算出的閾值達(dá)到一個(gè)數(shù)值時(shí)，就向周圍設(shè)備和分布式入侵檢測(cè)點(diǎn)（IDP）發(fā)布入侵警報(bào)，提升設(shè)備安全防護(hù)等級(jí)，采取相對(duì)寬松的安全防護(hù)策略，持續(xù)監(jiān)測(cè)入侵情況并向反饋信息收集點(diǎn)（PFP）發(fā)送入侵預(yù)警報(bào)告；⑥信息處理節(jié)點(diǎn)（DPP）將數(shù)據(jù)發(fā)送到全局網(wǎng)絡(luò)安全情況信任度建立節(jié)點(diǎn)（OSCP）和自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)（AIDP）；⑦全局網(wǎng)絡(luò)安全情況信任度建立節(jié)點(diǎn)（OSCP）提取預(yù)警報(bào)告中的安全威脅發(fā)生位置，建立全局網(wǎng)絡(luò)安全情況信息，并根據(jù)設(shè)備的安全防護(hù)等級(jí)建立全局網(wǎng)絡(luò)安全情況信任度，如果全局網(wǎng)絡(luò)安全情況信任度超過一定閾值，則向全局設(shè)備管理節(jié)點(diǎn)（MOM）發(fā)送安全防護(hù)等級(jí)提升命令；⑧自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)（AIDP）根據(jù)接收的信息進(jìn)行決策樹自適重新生成，將生成的新決策樹驗(yàn)證準(zhǔn)確度后發(fā)送給全局設(shè)備管理節(jié)點(diǎn)（MOM）；⑨全局設(shè)備管理節(jié)點(diǎn)（MOM）根據(jù)信任度建立節(jié)點(diǎn)（OSCP）發(fā)送的命令和自適性入侵檢測(cè)模型改進(jìn)節(jié)點(diǎn)（AIDP）發(fā)送的自適決策樹，向設(shè)備分類管理中間件（IDM′S）發(fā)送命令、對(duì)應(yīng)策略與自適應(yīng)決策樹；⑩各設(shè)備分類管理中間件（IDM′S）驗(yàn)證信息來源，將全局設(shè)備管理節(jié)點(diǎn)（MOM）發(fā)送來的命令、策略發(fā)送到對(duì)應(yīng)的分布式入侵檢測(cè)點(diǎn)（IDP），各分布式入侵檢測(cè)點(diǎn)（IDP）根據(jù)相應(yīng)命令與策略部署安全策略。

3仿真實(shí)驗(yàn)

采用國(guó)際通用的評(píng)估數(shù)據(jù)集KDD CUP99進(jìn)行實(shí)驗(yàn)仿真及決策樹的建立與測(cè)試。初始決策樹訓(xùn)練數(shù)據(jù)采用KDD CUP99數(shù)據(jù)集中的10%訓(xùn)練數(shù)據(jù)集的10%數(shù)據(jù)量。測(cè)試數(shù)據(jù)采用KDD CUP99數(shù)據(jù)集中的10%測(cè)試數(shù)據(jù)集，將檢出率（DR%）、誤報(bào)率（FP%）、漏報(bào)率（FN%）與數(shù)據(jù)檢測(cè)不出率（DN%）、入侵類型錯(cuò)誤率（FI%）作為評(píng)估入侵檢測(cè)模型性能的重要依據(jù)，得出結(jié)果見表3、圖3、圖4。

在實(shí)驗(yàn)結(jié)果中，訓(xùn)練數(shù)據(jù)集中存在0.06%的新型入侵?jǐn)?shù)據(jù)，決策樹檢出率為74.23%，有效檢測(cè)率為92.21%（檢出率+入侵類型錯(cuò)誤率），具有較高的檢測(cè)水平。

4結(jié)語

網(wǎng)絡(luò)預(yù)警自適性入侵檢測(cè)系統(tǒng)，能夠在網(wǎng)絡(luò)環(huán)境設(shè)備相互交流的情況下識(shí)別異常情況，從而識(shí)別新型入侵行為，對(duì)重點(diǎn)設(shè)備進(jìn)行網(wǎng)絡(luò)流量防護(hù)。采用決策樹作為入侵檢測(cè)器，在識(shí)別新型入侵類型的基礎(chǔ)上重新自適應(yīng)生成決策樹，利用決策樹檢測(cè)快速與準(zhǔn)確率較高的特點(diǎn)，理論上達(dá)到74.23%的檢出率和92.21%的有效檢測(cè)率，檢測(cè)水平較高。

參考文獻(xiàn)參考文獻(xiàn)：

[1]NOJIRI D， ROWE J， LEVITT K. Cooperative response strategies for large scale attack mitigation[C]. DARPA Information Survivability Conference and Exposition，2003.Proceedings. IEEE，2003：293302.

[2]JM AGOSTA， CT GROUP，I CORPORATION. Towards autonomic enterprise security： selfdefending platforms， distributed detection， and adaptive feedback[J].Intel Technology Journal，2006，10（4）：284299.

[3]RAJAB M A， MONROSE F， TERZIS A. On the effectiveness of distributed worm monitoring[EB/OL]. http：//www.doc88.com/p1834503832735.html.

[4]ELFESHAWY N A， FARAGALLAH O S. Divided twopart adaptive intrusion detection system[M]. SpringerVerlag New York， Inc，2013.

[5]AJABI M， BOUKHRIS I， ELOUEDI Z. Big data classification using belief decision trees： application to Intrusion Detection[C]. The International Symposium on Advanced Intelligent Systems and Informatics， Aisi，2016：149150.

[6]ALYASEEN W L， OTHMAN Z A， NAZRI M Z A. Realtime multiagent system for an adaptive intrusion detection system[J]. Pattern Recognition Letters，2017（85）：5664.

[7]BREIMAN L， FRIEDMAN J H， OLSHEN R， et al. Classification and regression trees[J]. Biometrics，1984，40（3）：358359.

[8]QUINLAN J R. C4.5： programs for machine learning[EB/OL]. http：//wenku.it168.com/d_000256407.shtml.

[9]WILLIAMSTALLINGS， LAWRIEBROWN.計(jì)算機(jī)安全：原理與實(shí)踐[M].北京：電子工業(yè)出版社，2015：120122.

[10]JIAWEIHAN， MICHELINEKAMBER.數(shù)據(jù)挖掘：概念與技術(shù)[M].北京：機(jī)械工業(yè)出版社，2007：211213.

責(zé)任編輯（責(zé)任編輯：杜能鋼）