一种基于免疫检测器集的高速网络自适应入侵检测系统
2016-02-06杨忠明秦勇蔡昭权
杨忠明秦 勇蔡昭权
(1.广东科学技术职业学院计算机工程技术学院 广东 519090;2.东莞理工大学计算机学院 广东 523808;3.惠州学院教育技术中心 广东 516007)
一种基于免疫检测器集的高速网络自适应入侵检测系统
杨忠明1秦 勇2蔡昭权3
(1.广东科学技术职业学院计算机工程技术学院 广东 519090;2.东莞理工大学计算机学院 广东 523808;3.惠州学院教育技术中心 广东 516007)
网络安全类产品的入侵检测方法主流的特征检测和异常检测均存在着如序列数据处理能力缺乏、规则库及时更新等问题,而智能算法由于运行效率问题无法在高速网络中实时检测。本文提出了一种基于免疫检测器集的高速网络自适应入侵检测系统设计方法,人工免疫算法的自我与非自我识别机制可检测新型变种的入侵行为与网络异常,针对该算法的执行效率提出自体集规模约束方法产生检测器,可以实时检测网络数据,适用于高速网络中发现未知入侵行为。
入侵检测; 免疫检测器集;高速网络;人工免疫;规模约束
0 引言
防御来自网络攻击,主要采用入侵检测技术,基于专家经验的预定义规则推理系统,被广泛应用于目前较成熟的商业产品中。在拒绝服务攻击中有死亡之ping、泪滴攻击、UDP洪水攻击、SYN洪水攻击等攻击方式,其中DDoS(分布式拒绝服务攻击)以及DRDoS(分布式反射拒绝服务)则在高速网络中展现了其凶悍的破坏能力。口令猜测、后门木马、缓冲区溢出等利用型攻击也是较为常见的网络攻击方式。而面向地址、端口的扫描更是随处可见。
入侵检测技术开创者之一的Marcus Ranum于1996年成立了NFR公司并研发了一种基于规则检测的网络入侵检测系统,通过提供N-Code脚本语言为工具使得用户可以自由创建入侵检测的规则库。ISS的RealSecure系列产品以一种混合的方式将基于网络和主机的入侵检测技术以及分布式技术等融合在一起,可为主机以及其网络环境提供全方位的防护,简洁而廉价是其特色。Cisco公司也在网络安全方面取得不错的成绩,CiscoSecureIDS通过控制器、传感器、和入侵检测系统三大模块完成网络信息和主机信息的收集和分析处理,利用自身的硬件技术优势协同入侵检测系统达到维护网络安全的目的。
在国内,华三同样利用自身的硬件技术优势开发了一套网络入侵检测系统,综合基于状态的内容特征匹配、协议跟踪分析、流量异常探测三大技术进行入侵检测。而联想的网络防御入侵检测系统采用的是分布式技术架构,利用模式匹配、协议分析等手段发现异常行为并采取相应应急措施。彭义春提出将RBF神经网络与克隆选择算法结合以进一步提高检测器的检测率。郭建华将通过定义规则匹配的可变阈值将否定选择算法与克隆选择算法结合在一起,有效降低了漏检率。
然而基于特征检测的规则推理系统是依据专家经验而实现定义的,存在序列数据处理能力缺乏、规则库难于维护等缺陷,难以发现未知攻击行为与网络异常。而针对异常行为检测的网络数据建模也存在着无法实时在线检测和高速网络中实时计算等问题。因此,当前入侵检测技术的研究主要关注机器学习中无法避免大量样本训练而难以应用于实际网络环境的问题、分布式入侵检测架构中中央代理与本地代理之间相互协作和统筹处理的问题、多终端数据融合中的多格式数据描述及融合问题、高速网络中提高检测效率和降低误报率的问题。
目前应用在入侵检测中的人工免疫匹配算法主要有否定选择算法,如在高维环境下的网络异常检测方法;通过移动检测器控制检测器覆盖情况,取得了较高的检测率和较低的误报率;克隆选择算法,通过引入反向选择算子,从而应用于实际的入侵检测当中;免疫遗传算法,通过引入生物学的特性,产生较好的识别器,实现了用较小的识别器覆盖较大范围的入侵检测等等。
1 系统研究过程
1.1 技术思路
图1 研究流程图
根据当前主流的入侵检测技术分析研究,可知提升入侵检测技术应是提高预设规则的匹配速率、改进检测器的检测方法、优化报警算法,从而做到更快速的匹配网络数据、更准确的判断攻击行为、更高效的报警危险行为。本文从以下几个方面提出改进方法:
(1)设计一种新的决策树匹配算法提高优秀检测器检测速率;
(2)研究免疫自体检测器集规模约束方法提高匹配速率;
(3)降低免疫检测器漏报率的优化算法研究。
1.2 实验过程
(1)自主开发的网络流量发送模拟系统
①使用自编的程序实现复杂规则数据包的装配发送,实验中采用美国麻省理工学院林肯实验室(MIT Lincoln Lab)提供的1999 DARPA入侵检测数据集为数据原型,同时加入了多种目前较新的攻击特征数据对系统进行功能与性能的仿真测试。
②采用测试网络吞吐量软件Chariot完成大流量数据仿真实验,以设定速率及预设数据包发送背景流量达到仿真效果。对自带的流量测试脚本做了一定的修改,使其可以按照一定的速率和预先选择的包大小来发送背景流量,主要完成64B和512B包长的大流量测试。
(2)利用骨干网络流量进行大规模数据测试
①利用骨干网交换机搭建一套骨干网络镜像端口流量环境,采集Gbps级别流量验证项目算法性能。
②利用集群计算环境进行免疫检测器的样本训练,采用收集的各类网络数据完成免疫检测器自体集、非自体集的训练工作。
2 研究成果
2.1 技术成果
(1)自体集映射分类技术
在对自体集的收集和匹配检测过程中,使用了多叉树分类映射技术。该技术是利用多叉树的存储结构,通过对网络中的数据进行特征提取,把网络中的多种信息的数据转换成构建多叉树需要的特征属性,之后将每类属性作为每层结点的主属性,从而构造自体集和在此基础上进行匹配检测。
图2 自体集映射流程图
(2)基于自体集内容特征提取编码技术
采用了一种新的压缩编码技术,该技术把一个任意长度的字节串变换成一定长的大整数,这种变换只与字节的值有关,与字符集或编码方式无关,而且变换是不可逆的。这种“数字指纹”是独一无二的,与文件自身的大小和格式无关,如果任何人对文件做了任何改动,经过压缩的最终值也就是对应的“数字指纹”都会发生变化。
图3 概率队列寻优流程图
(3)基于概率队列的匹配寻优技术
在实际的自体集中,记录集被匹配到的概率不尽相同,这就需要在技术上对其进行优化,从提高检测效率出发,在传统的排序方法基础上采用了基于概率队列的方式,从而极大的提高了匹配速度,提高了系统的检测效率。
2.2 入侵检测系统
采用自主研发的自体集映射分类技术等技术,构建基于免疫检测器集的高速网络自适应入侵检测系统,经过实验过程验证,能全面监视和分析网络安全状况,防御已知的和新出现的各种攻击,能对攻击数据进行跟踪、统计和详细的解析,同时具有内网扫描监控、系统自身监控、加密数据库连接设置等功能,符合当前网络入侵检测的实时性、准确性、防御未知入侵等要求。
3 总结
本文通过对国内外入侵检测技术应用情况的研究,比对这类技术的优缺点,提出了一种基于免疫检测器集的高速网络自适应入侵检测系统,通过优化人工免疫入侵检测算法,针对性提出的自体集规模约束方法以产生检测器,可达到该算法实时检测网络数据的效果,发现未知攻击行为及网络异常,使得人工免疫算法可应用于高速骨干网络。
[1]袁志. 一种抵御HTTP洪水攻击的方法[J]. 计算机应用与软件, 2012.
[2]Mirkovic J, Reiher P. A taxonomy of DDoS attack and DDoS defense mechanisms[J]. Acm Sigcomm Computer Communication Review, 2010.
[3]谢汶兵, 马晓东, 李中升,等. 基于备份控制流信息的缓冲区溢出监测技术[J]. 计算机工程与应用, 2016.
[4]王龙业, 罗杰. 互联网端口扫描攻击的安全检测方法[J].信息安全与技术, 2016.
[5]Ramaki A A, Amini M, Atani R E. RTECA: Real time episode correlation algorithm for multi-step attack scenarios detection[J]. Computers & Security, 2014.
[6]Chakrabarti S, Wasserman M, Thubert P, et al. IPv6 Neighbor Discovery Optimizations for Wired and Wireless Networks[J]. 2015.
[7]Peng Yichun. Research on Intrusion Detection System Based on IRBF. Computational Intelligence and Security (CIS), 2012 Eighth International Conference on, 17-18 Nov. 2012.
[8]Guo Jianhua. A Negative Selection Algorithm Integrated with Immune Network Theory. Natural Computation (ICNC), 2012 Eighth International Conference on, 29-31 May 2012.
[9]金章赞, 廖明宏, 肖刚. 否定选择算法综述[J]. 通信学报, 2013.
[10]杨智君, 田地, 马骏骁, 隋欣, 周斌.入侵检测技术研究综述[J]. 计算机工程与设计, 2006.
[11]吴泽俊, 钱立进, 梁意文. 入侵检测系统中基于免疫的克隆选择算法[J]. 计算机工程, 2004.
[12]刘 赛, 徐 斌, 梁意文. 入侵检测系统中的一种免疫遗传算法[J]. 计算机工程, 2004.
[13]Kannan.A. Genetic Algorithm Based Feature Selection Algorithm for Effective Intrusion Detection in Cloud Networks.Data Mining Workshops (ICDMW), 2012 IEEE 12th International Conference on, 10-10 Dec. 2012.
国家自然科学基金项目(61170193),广东省工业高新技术领域科技计划项目(2013B010401036),广东省高等学校优秀青年教师培养计划项目(YQ2014187),广东省高等职业教育品牌专业建设项目(粤教高函[2016]gzpp007)。