胡萬志封 旭賓哲桂

(1.廣西現(xiàn)代職業(yè)技術(shù)學(xué)院,廣西 河池547000;2.柳州城市職業(yè)學(xué)院,廣西 柳州545036;3.柳州職業(yè)技術(shù)學(xué)院,廣西 柳州545006)

0 引言

隨著人們對(duì)網(wǎng)絡(luò)安全的重視程度越來越高,入侵檢測(cè)技術(shù)作為一種行之有效的被動(dòng)防護(hù)技術(shù),一直受到學(xué)術(shù)界和工業(yè)界的廣泛重視.[1-2]在過去的一二十年的網(wǎng)絡(luò)安全實(shí)踐過程中,入侵檢測(cè)技術(shù)在防護(hù)網(wǎng)絡(luò)入侵、攔截網(wǎng)絡(luò)攻擊行為過程中發(fā)揮了極其重要的作用.[3-4]人們對(duì)入侵檢測(cè)技術(shù)的研究也持續(xù)地關(guān)注,在這其中,比較有代表性的研究成果主要有：佟桓夫、霍美希等人提出的網(wǎng)絡(luò)入侵檢測(cè)模型,對(duì)網(wǎng)絡(luò)入侵檢測(cè)方法進(jìn)行了抽象與建模.[5]楊雅輝、姜電波等人提出了一種基于改進(jìn)的GHSOM的入侵檢測(cè)研究,詳細(xì)分析了GHSOM的入侵檢測(cè)方法及改進(jìn)策略和效果.[6]李文提出了一種基于特征選擇的網(wǎng)絡(luò)入侵檢測(cè)模型,將入侵檢測(cè)過程中的特征選取與建模分析結(jié)合起來.[7]

入侵檢測(cè)技術(shù)中最為關(guān)鍵的是如何定義入侵行為,并準(zhǔn)確地刻畫入侵行為的特征.傳統(tǒng)的基于特征匹配的入侵檢測(cè)模式,通過采集和提取各種入侵檢測(cè)行為的特征,以此作為檢測(cè)的依據(jù),具有檢測(cè)速度快,檢測(cè)精度高的優(yōu)點(diǎn).[8]但是,基于特征匹配的入侵檢測(cè)行為存在最大的問題時(shí)樣本特征如何提取,過去對(duì)于已知樣本的入侵檢測(cè)過程,往往是通過對(duì)攻擊程序的代碼特征作為樣本特征.[9-10]然而,隨著攻擊樣本變異、加殼、編譯多樣化等技術(shù)的應(yīng)用,攻擊樣本的特征已經(jīng)變得模糊化、多樣化和不確定化等發(fā)展趨勢(shì),這直接導(dǎo)致傳統(tǒng)的基于特征匹配的入侵檢測(cè)模式的有效性受到極大的挑戰(zhàn).[11]除此之外,基于特征匹配的檢測(cè)模式還有一個(gè)共性的問題,即檢測(cè)的滯后性,[12]由于這種檢測(cè)模式是基于預(yù)先采集并提取的特征才能進(jìn)行檢測(cè),因此,對(duì)于一些未知的入侵行為,無法進(jìn)行有效的檢測(cè).[13]

為了解決傳統(tǒng)入侵檢測(cè)模式存在的不足,筆者設(shè)計(jì)一種基于通信行為的入侵檢測(cè)模式,力圖通過對(duì)入侵行為進(jìn)行建模與分析,建立入侵行為的共性特征,以一種模糊化的方式對(duì)入侵行為進(jìn)行描述或概況,無論攻擊樣本如何加殼或變異,只要其具有入侵的行為目的,都能夠?qū)崿F(xiàn)對(duì)入侵行為的檢測(cè),這種檢測(cè)方式也能夠?qū)崿F(xiàn)對(duì)一些未知攻擊行為的檢測(cè).

1 通信行為屬性分析

網(wǎng)絡(luò)通信行為是一個(gè)抽象籠統(tǒng)的概念,為了能夠設(shè)計(jì)并實(shí)現(xiàn)入侵檢測(cè)分類算法,需要對(duì)網(wǎng)絡(luò)通信行為進(jìn)行特征抽取與建模,將抽象的網(wǎng)絡(luò)通信行為特征量化表示.本文通過網(wǎng)絡(luò)通信行為的建模分析,建立了網(wǎng)絡(luò)通信行為屬性結(jié)構(gòu),如圖1所示.

圖1 網(wǎng)絡(luò)通信行為屬性結(jié)構(gòu)Fig.1 Network communication behavior attribute structure

樣本數(shù)據(jù)的通信行為特征按通信對(duì)象特征、通信數(shù)據(jù)特征和通信過程特征分為三大類.其中通信對(duì)象特征主要用于描述通信對(duì)象的相關(guān)信息特征,是區(qū)分通信實(shí)體屬性的一類特征.由于有些惡意程序在部署、分布等方面具有一定特殊性,因此以通信對(duì)象特征進(jìn)行屬性特征提取具有合理性.通信數(shù)據(jù)特征是通信行為特征中的主要特征,惡意程序網(wǎng)絡(luò)通信過程中所呈現(xiàn)出來的特征和規(guī)律相當(dāng)一部分是在數(shù)據(jù)層面表示出來,因此,對(duì)于通信數(shù)據(jù)的特征規(guī)律需要進(jìn)行深度的挖掘.通信過程特征是從通信行為的整體上描述通信的規(guī)律,前兩類的通信屬性特征都具有局部性的特征,往往只關(guān)注了通信行為的一個(gè)單點(diǎn)的特點(diǎn)或規(guī)律,不能對(duì)整個(gè)通信過程的特征進(jìn)行記錄,通信過程特征則專門關(guān)注這一類的屬性特征.

通信對(duì)象特征主要包括：IP地址、端口號(hào)、特殊名單對(duì)象(白名單對(duì)象、黑名單對(duì)象)、對(duì)象所屬邏輯區(qū)域、對(duì)象所屬地理區(qū)域、對(duì)象操作系統(tǒng)類型、對(duì)象進(jìn)程類型等類型.通信數(shù)據(jù)特征主要包括：應(yīng)用協(xié)議號(hào)、上傳下載比、數(shù)據(jù)包大小、會(huì)話包總個(gè)數(shù)、小包個(gè)數(shù)、大包個(gè)數(shù).通信過程特征主要包括：建立連接方式、心跳間隔、會(huì)話時(shí)長(zhǎng).

2 入侵檢測(cè)識(shí)別分類算法

入侵檢測(cè)識(shí)別分類算法有多種,比較常見的主要有基于決策樹的分類算法、基于聚類的分類算法等等.其中,基于決策樹的分類算法簡(jiǎn)單易于理解,通過構(gòu)建與被檢測(cè)對(duì)象完全匹配的檢測(cè)判別決策樹,能夠快速地檢測(cè)出預(yù)期要檢測(cè)的對(duì)象.基于聚類的分類算法,采用聚類算法,對(duì)被檢測(cè)對(duì)象進(jìn)行分析和計(jì)算,實(shí)現(xiàn)過程相對(duì)更復(fù)雜,檢測(cè)結(jié)果主要取決于分類算法的計(jì)算能力.從目前對(duì)聚類算法的研究來看,對(duì)于單變量或變量較少的問題時(shí),采用聚類算法能夠取得較理想的處理效果,對(duì)于復(fù)雜的分類問題,變量數(shù)量很多時(shí),聚類算法的處理能力難以滿足分類的需求,對(duì)樣本的分類效果也不理想.

本文研究的基于網(wǎng)絡(luò)通信行為的入侵檢測(cè)技術(shù),其待分類問題的屬性變量多,不適合用聚類算法進(jìn)行分類處理.以本文構(gòu)建的網(wǎng)絡(luò)通信行為屬性特征模型為例,其包括的網(wǎng)絡(luò)通信行為特征達(dá)十多個(gè)變量,屬于復(fù)雜分類對(duì)象的問題.另一方面,對(duì)網(wǎng)絡(luò)入侵程序的網(wǎng)絡(luò)通信行為分析可以發(fā)現(xiàn),入侵程序的通信行為具有一定的特征,但這類特征一般都是比較模糊的,難以定量地判定該程序就是網(wǎng)絡(luò)入侵程序.以網(wǎng)絡(luò)入侵程序的心跳數(shù)據(jù)為例,這是一個(gè)典型的入侵程序具有的行為特征,然而,心跳周期究竟定多長(zhǎng)?心跳的頻度究竟定多少?才能滿足入侵程序的行為特征,這并沒有統(tǒng)一的答案.尤其是,隨著的技術(shù)和網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展,現(xiàn)在已經(jīng)出現(xiàn)了一些常規(guī)的C/S應(yīng)用系統(tǒng),其工作過程中也具有心跳數(shù)據(jù)規(guī)律.而一些真正的惡意入侵程序,其心跳的間隔和頻度都在朝變長(zhǎng)、隨機(jī)化的方向發(fā)展,這種現(xiàn)狀導(dǎo)致網(wǎng)絡(luò)入侵行為的檢測(cè)很難用單一、量化的參數(shù)或條件進(jìn)行檢測(cè)與判斷.為此,本文提出了基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵行為檢測(cè)識(shí)別分類算法.

本文設(shè)計(jì)的基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)識(shí)別分類算法,通過大量樣本數(shù)據(jù)的訓(xùn)練,提高入侵檢測(cè)識(shí)別分類算法的精度.選用的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示.神經(jīng)網(wǎng)絡(luò)總共分為三層,分別是數(shù)據(jù)輸入層、隱含層和數(shù)據(jù)輸出層.其中數(shù)據(jù)輸入層的單元數(shù)與通信行為屬性特征的數(shù)量相同,有多少個(gè)通信行為的屬性特征,則設(shè)計(jì)多少個(gè)神經(jīng)網(wǎng)絡(luò)輸入層,從而使得神經(jīng)網(wǎng)絡(luò)能夠接受所有通信行為屬性特征參數(shù),隱含層的單元數(shù)量是輸入層的2倍.由于神經(jīng)網(wǎng)絡(luò)是通過構(gòu)建線性多項(xiàng)式逼近非線性問題,因此設(shè)計(jì)隱含層的單元數(shù)大于輸入層,可以訓(xùn)練出表示能力更強(qiáng)、更能逼近現(xiàn)實(shí)問題的多項(xiàng)式.輸出層包含兩個(gè)單元,分別對(duì)應(yīng)網(wǎng)絡(luò)通信行為檢測(cè)的輸出結(jié)果,判斷所輸入的網(wǎng)絡(luò)通信行為數(shù)據(jù)是否屬于入侵行為.

圖2 入侵檢測(cè)識(shí)別中的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)Fig.2 Neural network structure in intrusion detection and recognition

神經(jīng)網(wǎng)絡(luò)訓(xùn)練時(shí),首先構(gòu)建樣本數(shù)據(jù)集,采集有代表性的大量網(wǎng)絡(luò)入侵樣本數(shù)據(jù),以典型的木馬、惡意程序等攻擊程序的通信數(shù)據(jù)流作為樣本數(shù)據(jù).按照網(wǎng)絡(luò)入侵行為檢測(cè)數(shù)據(jù)屬性特征模型,對(duì)所有的樣本數(shù)據(jù)進(jìn)行特征采集與分類,構(gòu)建出每個(gè)網(wǎng)絡(luò)入侵行為的樣本參數(shù)項(xiàng).通過多個(gè)樣本的采集與特征抽取,建立訓(xùn)練樣本庫(kù).與此同時(shí),對(duì)正常的網(wǎng)絡(luò)通信流量也進(jìn)行采樣,同樣安裝網(wǎng)絡(luò)通信行為屬性特征模型,對(duì)每一種特征不一樣的正常通信流量分析,采集正常通信條件下的網(wǎng)絡(luò)通信流量,建立起正常網(wǎng)絡(luò)通信流量中的樣本庫(kù).之后設(shè)定神經(jīng)網(wǎng)絡(luò)初始參數(shù),將網(wǎng)絡(luò)入侵行為的通信流量和正常網(wǎng)絡(luò)通信行為的流量分別輸入至神經(jīng)網(wǎng)絡(luò),開始對(duì)神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練.在訓(xùn)練過程中,可以根據(jù)訓(xùn)練的結(jié)果對(duì)訓(xùn)練過程進(jìn)行干預(yù),包括提前終止訓(xùn)練過程,根據(jù)訓(xùn)練結(jié)果驗(yàn)證訓(xùn)練效果等等.

3 基于網(wǎng)絡(luò)通信行為分析的入侵檢測(cè)模型

目前網(wǎng)絡(luò)攻擊程序絕大多數(shù)仍然采用C/S的控制模式,這種控制模式的根源是進(jìn)入到目標(biāo)計(jì)算機(jī)中的攻擊程序需要與外部控制端進(jìn)行通信與數(shù)據(jù)交換.以傳統(tǒng)的木馬為例,其一般都包括植入到目標(biāo)計(jì)算機(jī)中的前段程序與遠(yuǎn)程的后端程序兩部分,其中前段程序可以有多個(gè),分布在不同的計(jì)算機(jī)中,這就形成了典型的服務(wù)器-客戶端的工作模式.前端程序工作時(shí),需要接收后端控制程序的指令,并依據(jù)控制指令完成一定的執(zhí)行動(dòng)作,之后將執(zhí)行結(jié)果反饋給控制端程序.在這一過程,需要多次傳輸控制命令、數(shù)據(jù)交換等通信操作.隨著技術(shù)的發(fā)展,這種木馬的工作方式有了一些新的變形,比如有些木馬的前端程序中加入了智能決策模塊,能夠自主地分析周圍網(wǎng)絡(luò)的情況,并做出后續(xù)的執(zhí)行動(dòng)作,減少了前端程序與后端控制的信息交互次數(shù).但是,無論怎么發(fā)展和創(chuàng)新,只是對(duì)木馬的控制實(shí)現(xiàn)方式進(jìn)行了一些變化,并沒有徹底打破攻擊程序的這種C/S控制模式.因此,這類網(wǎng)絡(luò)攻擊程序在通信行為上依然存在很多的共性特征.

本文設(shè)計(jì)的基于網(wǎng)絡(luò)通信行為分析的入侵檢測(cè)模型,則是針對(duì)網(wǎng)絡(luò)攻擊程序的特性行為特征進(jìn)行建模與分析,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵行為的檢測(cè)目的.入侵檢測(cè)模型結(jié)構(gòu)如圖3所示.入侵檢測(cè)模型主要有三部分組成,分別是入侵行為特征采集模塊、入侵行為特征訓(xùn)練模塊、入侵行為檢測(cè)模塊.其中,入侵行為的檢測(cè)結(jié)果可以進(jìn)行人工干預(yù),干預(yù)后的數(shù)據(jù)可以重新送入入侵行為特征訓(xùn)練模塊,對(duì)之前得到的訓(xùn)練規(guī)則進(jìn)行修正,從而實(shí)現(xiàn)了自動(dòng)學(xué)習(xí)和進(jìn)化的檢測(cè)能力,使得所設(shè)計(jì)的入侵檢測(cè)模型不僅能夠檢測(cè)到未知的入侵行為,還能夠自動(dòng)升級(jí)更新檢測(cè)規(guī)則,實(shí)現(xiàn)更優(yōu)的檢測(cè)效果.

圖3 基于網(wǎng)絡(luò)通信行為分析的入侵檢測(cè)模型Fig.3 Intrusion Detection Model Based on Network Communication Behavior Analysis

4 總結(jié)

網(wǎng)絡(luò)入侵檢測(cè)是對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)及預(yù)警的重要途徑,隨著攻擊技術(shù)的提升和攻擊手段的不斷變化,入侵檢測(cè)技術(shù)面臨極大的技術(shù)挑戰(zhàn).研究和設(shè)計(jì)基于通信行為分析的網(wǎng)絡(luò)入侵檢測(cè)跳出了傳統(tǒng)基于特征匹配的檢測(cè)模式,是一種智能化的檢測(cè)模型,通過對(duì)通信行為的抽取與建模,構(gòu)建的檢測(cè)系統(tǒng)不僅能夠?qū)σ阎粜袨檫M(jìn)行檢測(cè),還能夠?qū)ξ粗木W(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè).