杨忠明　梁本来　秦勇　蔡昭权

摘要：

在集群环境中，入侵者攻击特定目标是提高攻击效率一种常规手段，有针对性地调度计算资源可有效提高检测效率。提出一种基于攻击目标预判的网络入侵检测系统（NIDS）的检测频率自调整算法DFSATP，检测分析采集到的数据，将发往潜在被攻击目标范围的数据列为高危数据，其余数据为低危数据，指引网络入侵检测系统高频检测发往预测目标的高危数据包，低频检测低危数据包，从而提高NIDS的检测效率，保障在有限的计算资源情况下提高异常数据的检出率。模拟实验结果表明，在高速网络环境下，DFSATP对NIDS检测频率的调整，使得异常数据的检出率得到了一定程度的提升。

关键词：

入侵检测；检测频率；攻击目标预判；检出率；高危数据；低危数据

中图分类号：

TP393

文献标志码：A

Abstract：

In cluster， it is a conventional method to increase attack efficiency for intruder by attacking the specific target， so it is effective to improve the detection efficiency by scheduling the computing resource contrapuntally. A frequency selfadjusting algorithm for Network Intrusion Detection System （NIDS） based on target prediction， named DFSATP， was proposed. By detecting and analyzing the collected data packets， the data packets sent to potentially attacked targets were marked as high risk data and the other packets were marked as low risk data. The efficiency of NIDS was improved by high frequency detection of high risk data packets and low frequency detection of low risk packets， thus the detection rate of abnormal data was also increased to some extent in limited computing resource circumstances. The simulation results show that the detection rate of abnormal data packets is increased because of the detection frequency adjustment of NIDS by using DFSATP.

英文关键词Key words：

intrusion detection； detection frequency； target predetection； detection rate； high risk data； low risk data

0引言

入侵检测（Intrusion Detection）是指通过网络系统中的关键节点采集大规模数据，从中分析是否存在违反安全策略的行为[1]。从采集数据的对象区分，入侵检测系统（Intrusion Detection System， IDS）可分为基于主机的入侵检测系统（Host Intrusion Detection System， HIDS）和基于网络的入侵检测系统（Network Intrusion Detection System， NIDS），HIDS以主机系统作为检测对象，而NIDS通过采集网络系统的数据进行协议分析和特征匹配。近年来，NIDS成为学者的研究热点。

隨着计算机网络的高速发展，局域网已进入千兆速率时代，主干网络中也早已实现万兆速率。高速网络的特征是数据流量大，要求入侵检测系统的数据处理性能高，处理能力的缺乏必然会导致入侵事件的漏报，国外学者Schaelicke等[2]就提出当今网络入侵检测系统（NIDS）的主要问题就是处理性能跟不上网络带宽的快速增长。为提高NIDS的处理性能，国内外学者近年来进行了深入研究，主要研究方向可分为两类：一种方法是采用可扩展的多引擎并行处理技术，另一种方法是提高单个检测引擎的处理能力和提高入侵检测算法的效率[3]。本文研究的方法为提高入侵检测算法的效率。

高速网络下的大规模数据，致使传统的NIDS捕获全部数据包并进行详细分析存在相当大的难度[4]。在数据采集后，要对其进行协议解析并提取出特征（如源、目的IP地址及协议类型、端口号等），然后采用模式匹配等方法对提取的特征进行分析，不同的分析方法对NIDS的效率影响不同。对于基于规则的NIDS，模式匹配过程是NIDS中最耗时的部分[5]。

在NIDS硬件处理性能及入侵检测算法效率有限的情况下，需要采用有效手段在流量高峰期保证符合要求的异常数据检出率。学者们提出通过对数据采样的方法降低检测系统的数据处理量以解决入侵检测算法效率不高的问题，典型的有随机采样、等距采样、变长采样、分层采样、周期采样等策略[6]。如文献[7]提出了一种过采样方法，通过生成人工样本来对小类样本向上采样；文献[8]提出了一种降采样方法，利用Kmeans方法对大类样本进行聚类并提取聚类中心，获得与较小样本集样本数目近似的样本，组成新的样本集用以训练；文献[9]对这些经典采样算法进行了对比实验，已知攻击的检出率在35%～70%，检出率受数据源及算法策略影响较大，检出率稳定性较低；文献[10]引入风险管理思想对建立在博弈模型上的采样策略进行优化，有效克服单一采样策略的不足，但在保护节点较多的情况下不可用。

采样策略的检出率欠缺稳定性，文献[11]从攻击行为模式上分析，得出90%以上攻击信息集中在数据流的前30个包，设置当流量过载发生的时候只检测数据流的前30个包。这样的规则设定虽避免了采样的漏检可能性，但只适用于已知的部分攻击行为，具有应用的一定局限性。文獻[12]提出了感知威胁后启动对网络流量进行异常识别的思路，虽然该文讨论的是无线传感器节点的入侵检测，但其中根据受保护目标的威胁情况启动更高级别安全检测的思想值得借鉴。

利用云计算架构也是提高入侵检测效率的手段之一。文献[13]提出一种云架构的入侵检测系统，将待检测数据预处理后生成样本空间传输到云端进行建模分析，该方法提高了入侵检测的效率和精度，但未讨论样本空间传输到云端进行计算所带来的额外流量消耗及计算时间的增加；文献[14]提出基于人工免疫理论的分布式入侵检测模型，在提高入侵检测效率的同时解决了单点失效问题，证明了分布式检测的有效性，但仅针对TCPSYN洪泛攻击作了对比实验。

在服务器集群环境中，通过攻击特定目标是提高攻击效率一种常规手段，本文借鉴NIDS的采样思路，提出一种基于攻击目标预判的NIDS检测频率自调整算法（Detection Frequency Selfadjusting Algorithm for NIDS based on Target Predetection， DFSATP），通过采集大规模数据流量，汇总分析大规模数据，将发往潜在被攻击目标范围的数据列为高危数据，其余数据为低危数据，指引NIDS高频检测高危数据，低频检测低危数据，从而提高NIDS的检测效率。

DFSATP算法通过实时检测数据的发送目标，与潜在被攻击目标范围作匹配，利用式（10）和（11），每间隔时间周期tj重新计算高危或低危数据的检测频率atcpratei和sfcpratei，指导NIDS调整相应的检测频率。对单个被检数据包而言，DDFSATP算法的时间复杂度为O（n），空间复杂度O（k*n）。其中n为服务器群数量，k为算法中出现的变量参数个数，本算法中k为7。

由于NIDS检测数据具有实时性和连续性的特点，DFSATP算法是每间隔周期tj重新计算并调整NIDS的检测频率。因此，分析NIDS的实际性能，空间时间的消耗应是与数据包的数量直接相关，在高速网络环境下，DFSATP算法的计算频率也会增加。因此，算法复杂度的数学分析仅具有一定的理论参考价值，具体的算法运行性能还需要真实实验环境的综合验证。

4模拟实验与结果分析

4.1实验环境

本实验采用基于网络的入侵检测系统架构，将NIDS部署到核心交换机上，Attacker在外网模拟发起攻击，NIDS可以采集到所有经过核心交换机的数据。模拟实验拓扑如图1所示。

实验采用KDD CUP99 DATA完整数据集进行测试，该数据集是对Lincoln实验室1998年提出的DARPA入侵检测评估数据集的扩充。完整集有近500万条记录，包含22种攻击类型，所有攻击行为基本上被分为四大类：DoS，U2R，R2L和Probe。模拟实验过程根据测试数据量要求从数据集内抽取。模拟实验已经提前对实验数据进行了分类，将正常类数据及监视和其他探测活动类数据定义为低危数据，远程设备的非法访问及普通用户对超级用户特权的非法访问定义为高危数据。

4.2DFSATP对NIDS检测频率的调整

基于上述实验环境，设定模拟实验参数值见表1，DFSATP对NIDS检测频率的调整过程如图2所示。

从图2中可以看出，一开始所有数据均为低危数据，发往三个不同目标的数据检测频率均为8000；随后在10～20s检测出发往S1的数据存在异常数据，将发往S1的数据列为高危数据，则在下一个时间段20～30s将高危数据的检测频率提升为10000，而低危数据的检测频率则降低为7000；随着发往S2的数据在30～40s检测出异常，也被列为高危数据，并且在下一个时间段40～50s，将发往S1和S2的数据检测频率都提升为105000，发往S3的低危数据的检测频率则降到受检测频率最低值30000。综上可以发现，前一时间段的异常数据检测率，直接关系到下一个时间段发往该目标的数据的检出率，具体调整关系参见式（10）和（11），通过实验结果可以看到FSATP对NIDS检测频率的动态调整效果。

4.3DFSATP与传统NIDS的实验结果对比

采用上述网络环境，分别采用传统NIDS和DFSATP进行模拟实验，将目标S1、S2的实验结果列入表2。

分析表2可以看出，异常数据包数目在2000左右时，传统NIDS与DFSATP的性能相差不大，但随着异常数据包数目的增加，两种方法的异常数据包的检出率开始不同：比如10～20s，对发往S1的异常数据，传统NIDS的检出率为95.9%，但DFSATP仍能完全检测出；再随着异常数据包的增加，比如20～30s阶段，发往目标S1的异常数据达到4613时，传统NIDS与DFSATP的性能均出现较明显的下降，但DFSATP仍能保持80.2%的检出率，而传统NIDS的检出率则降到了60.5%。

总体来看，在6个阶段总共10次异常数据检测的实验对比中，传统NIDS只有2次达到了100%的检出率，有6次达到了90%以上的检出率，有2次60%以上的检出率，平均的检出率为87.65%；而DFSATP有6次达到了100%的检出率，2次90%以上的检出率，2次80%以上的检出率，平均检出率为94.9%。实验结果表明，在高速网络环境下，DFSATP对NIDS检测频率的调整，使得NIDS对异常数据的检出率得到了一定程度的提升。

5结语

在集群环境中，攻击特定目标是提高攻击效率一种常规手段，本文借鉴NIDS的采样思路，提出一种基于攻击目标预判的NIDS检测频率自调整算法DFSATP，动态调整高危数据和低危数据的检测频率。模拟实验结果表明，在高速网络环境下，DFSATP对NIDS检测频率的调整，使得NIDS的检测性能得到了一定程度的提升，本文的算法思想为实际NIDS的性能优化提供了理论参考价值。但网络入侵检测是一个系统复杂的过程，攻击者的攻击行为趋向于隐蔽化和多样化，如何智能地识别出这些异常数据，并进行分类和推理，是作者今后的研究重点。

参考文献：

[1]

杨雅辉，黄海珍，沈晴霓，等.基于增量式GHSOM神经网络模型的入侵检测研究[J].计算机学报， 2014， 37（5）： 1216-1224.（YANG Y H， HUANG H Z， SHEN Q N， et al. Research on intrusion detection based on incremental GHSOM [J]. Chinese Journal of Computers， 2014， 37（5）： 1216-1224.）

[2]

SCHAELICKE L， WHEELER K， FREELAND C. SPANIDS： a scalable network intrusion detection load balancer [C] //CF 05： Proceedings of the 2nd Conference on Computing Frontiers. New York： ACM， 2005：315- 322.

[3]

史志才，夏永祥.高速網络环境下的入侵检测技术研究综述[J].计算机应用研究，2010，27（5）：1606-1610.（SHI Z C， XIA Y X. Survey on intrusion detection techniques for highspeed networks [J]. Application Research of Computers， 2010， 27（5）： 1606-1610.）

[4]

IHEAGWARA C， BLYTH A， SINGHAL M. A comparative experimental evaluation study of intrusion detection system performance in a gigabit environment [J]. Journal of Computer Security， 2003， 11（1）： 1-33.

[5]

唐谦，张大方.入侵检测中模式匹配算法的性能分析[J].计算机工程与应用， 2005， 41（17）： 136-138.（TANG Q， ZHANG D F. Performance analysis of pattern matching algorithms for intrusion detection [J]. Computer Engineering and Applications， 2005， 41（17）： 136-138.）

[6]

PATCHA A， PARK J M. An overview of anomaly detection techniques： existing solutions and latest technological trends [J]. Computer Networks， 2007， 51（12）： 3448-3470.