2023年7月8日发(作者:)
《 《 嚣 魏 璧蓑 一种基于网络交全风险评估的入侵检测方法 陈恢明,陈文,梁刚 (四川I大学计算机学院,四JIl成都610065) 摘要:针对传统的入侵检测系统存在报警数量大、误报率高等缺陷,提出了一种基于网络安全风险评估的入侵检测方法,该 方法基于入侵检测结果,引入抗体浓度随入侵强度动态变化这一人工免疫理论的最新研究成果进行网络安全风险的计算,然 后根据当前网络面临的实时安全风险动态设置报警策略。实验结果表明,该方法能够实时、定量地计算主机和网络所面临的 风险,并极大地降低报警数量和误报率。 关键词:入侵检测系统;报警数量;风险评估;网络安全;误报率;人工免疫 A Method of Intrusion Detection based on Network Security Risk Assessment CHEN Hui—ming,CHEN Wen,LIANG Gang (Co//ege of Eomputer Science,S/bhuan Un/wrs#y,Chengdu,S/bhuan 610065,China) Abstract:Traditional intrusion detection system faces the defects of huge alarm quantity and high false positives rate.In order tO overcome the defects.a network security risk assessment based intrusion detection method iS proposed in this article.The method calculates network security risk uses the latest research results of artificial immune theory,which mainly include that the antibody concentration changes dynamic with strength of invasion Then dynamicly set the alarm strategy based on real-time security risks faced by the current network.The experimental results show that the model can calculate host and network risk in Pea】time and quantitative.the alarm quantity and the false positives rate is greatly reduced. Key words:intrusion detection system;alarm quantity;risk assessment;network security;false positives rate;artificial immune 0引言 网络入侵检测系统(NIDS)是一种对网络中传 输的数据包进行即时监视和分析,从丽对网络攻击 行为进行检测和报警的网络安全设备…。随着计算 机网络技术的飞速发展,网络攻击与入侵事件与日 俱增,曾经作为网络安全主要手段的防火墙已经不 能满足人们对网络安全的需求,作为防火墙之后的 第一道安全闸门,IDS正成为必不可少的安全防护 工具。然而传统的IDS捕获到的数据包特征与任意 IDS规则相匹配都会触发报警,连续运行的IDS报 警数量非常大,据统计,最多的时候有99%以上是 无关报警 。这些报警信息大部分都是误报,即把 正常的网络活动当成是入侵行为,误报率高是IDS 等通过对IDS中alert信息的过滤处理提出一种降 低误报率的方法,该方法对报警信息进行特征统计 分析并提取真正攻击产生的报警的特征,但是由于 该方法仅针对IDS的alert信息进行后期处理,所 以缺乏实时性。Dewan 等提出了使用NBTFee 提高IDS检测率和降低误报率的方案,该方案将 混合了决策树和贝叶斯分类器的自适应贝叶斯树 NBTree应用于IDS,结合了决策树在复杂、动态 的大规模入侵检测数据集环境下的高检测效率和 贝叶斯分类器在其他环境下的良好分类效果的优 点,实验证明该方案能够有效降低IDS的误报率。 Gang Wang 等提出一种基于人工神经网络和模糊 聚类的入侵检测方法,基于该方法的入侵检测系统 的一个普遍问题。如何实时定量地描述网络所面临 的威胁状况,减少虚假报警数量、降低IDS的误报 率有重要的实用意义 。 有较高的检测率、小误报率和良好的稳定性。上述 方法均集中于IDS检测规则本身进行优化以降低误 报率和报警数量,忽略了网络面临的实时风险,因 而对IDS检测性能的提升有限。研究表明 当网络 目前国内外专家学者对IDS报警量大、误报率 高这・问题进行r深入的研究和探讨。Georgioss 安全风险较低时,入侵检测的误报数量较多,因此 基金项目:教育部重大项目培育基金708075 国家自然科学基金61 1 751 59;四川大学青年教师科研启动基金201 1 SCU1 1 086 2 0 j 2 0 7圈圈题圈。 0 , S ‘ f 根据网络面临的实时安全风险动态设置IDS的报警 策略,将有效地降低报警数量和误报率。 实时的网络安全风险评估作为下一代网络安全 防御的关键技术受到国内外专家学者的普遍关注。 Yacov 对风险评估和风险管理模型做了综述,提 出了层次化全息风险评估模型和多对象决策树分析 等风险分析方法。Haslum 等基于分布式入侵防御 系统,提出一种基于模糊逻辑的在线风险评估模型, 运用隐马尔可夫模型预测网络风险,以保护本地资 产不被攻击和滥用,然而上述方法缺乏定量地计算 网络安全风险的手段。文献[10】通过分析基于隐马 尔卡夫模型的实时网络安全风险量化方法配置复杂、 评估容易出现误差等问题,提出了利用遗传算法来 自动求解隐马尔卡夫模型中的矩阵参数的优化方法, 然而这种方法计算量大而且实现复杂。 本文针对传统IDS报警数量大、误报率高的 缺点 ”提出了一种基于网络安全风险评估的入 侵检测方法(A Method of Intrusion Detection Based Oil Network Security Risk Assessment, MNSRA),该方法运用人工免疫理论中的抗体浓度 模型进行网络安全风险的实时计算,然后根据当前 网络面临的实时安全风险动态设置报警策略,以降 低报警数量和误报率。 1风险评估模型理论要素 1.1免疫模型的基本定义 定义1记忆细胞 本模型将IDS的检测规则抽象为记忆细胞,记 忆细胞依据其识别的入侵种类被划分为不同的类别, 由此建立记忆细胞种类与网络风险类别之间的对应 关系。把IDS每类规则抽象成人工免疫模型 里 的记忆细胞。 定义2抗体浓度 记忆细胞的浓度值。每个记忆细胞的初始浓度定 义为,7l,如果IDS的规则被匹配,那么这条规则对 应的记忆细胞的抗体浓度增加,否则进行浓度衰减。 定义3衰减周期 《 《》 藿j 囊j 如果记忆细胞在 周期内没有被再次克隆,相 应的抗体浓度要逐渐衰减至0,表明危险已解除, 这类威胁被清除。 定义4风险值 根据人工免疫理论,运用免疫模型计算出的主 机和网络的量化风险值,有助于网络管理员理解网 络的安全趋势和规律,以便做出相应的响应措施。 1.2 MNSRA体系架构 本文所涉及的MNSRA的体系结构如图1所示。 主要由五部分组成:数据包捕获模块、预处理模块、 数据包检测模块、网络风险实时评估和报警模块。 其中数据包捕获模块负责接收网络主干道上流经的 网络数据包;预处理模块对数据包进行IP分片重组、 TCP流重组等预处理工作;数据包检测模块把预先 定义的规则和数据包进行模式匹配;网络风险实时 评估模块根据数据包检测模块的检测结果,运用人 工免疫理论实时定量地计算整个网络所面临的风险, 此模块是整个系统的核心模块;报警模块根据风险 评估的计算结果,运用阈值报警策略进行报警操作。 图1 MNSgA体系结构图 耋 2网络安全风险评估流程 网络安全风险评估的总体流程如图2所示。 I 盾 数据包捕获H.—— 二二j[二二 J植测 j擎L~…。 :如厂— —一 浓度值计算【 IL丁 风险值计算 风险值输出 ]二二 。 。~ L一— 目值过滤 图2网络安全风险评估总体流程图 总流程分为两个并行的子模块:包处理模块和 2 0 1 2.1 0 蕊 i=I豳 8 www nscor9 c 麓 j 风险评估模块。包处理模块对数据包进行特征检测, 主要负责循环抓取数据包并进行特征匹配。风险评 估模块根据包处理模块的检测结果每隔 计算网络 风险,根据计算结果报警。初始化阶段完成以下工 作:设置初始浓度 ,奖励因子 ,衰减周期 的初始值,配置每类攻击的危害性权重 和每台主 机的资产权重 ,把每类攻击的初始浓度值和衰减 步长初始化为0。除此之外,IDS还要完成检测数 据包前的所有准备工作,如检测引擎初始化、命令 行解析等。 当包检测模块检测到一条攻击,就会触发对 该类攻击信息的标记,记录下数据包的攻击特征 sh/ c ,,其中IP是攻击包的目的IP地址, sic/是攻击匹配到的规则号,C是攻击类别。这个 攻击特征三元组供风险评估模块使用。 浓度计算模块每隔 进行抗体浓度计算,该 模型存储网络中每个主机的所有攻击类型的浓度 值,其初始浓度值都为零。进行浓度计算时,对存 储的每个主机的每类攻击进行扫描,如果这类攻击 在厂.内被包处理模块检测到而且被标记,就根据公 式(1)进行浓度增加操作,同时利用公式(2)把衰 减步长数清零。其中p(t)为t时刻记忆细胞的浓度, step(t)为 时刻抗体浓度衰减步长。 i ( )=,7:+,7:’p(t一1) (1) 1 , ㈤:0 (2) 否则用公式(3)进行浓度衰减操作,同时利用 公式(4)将攻击衰减步长累加l,其中 是抗体浓 度的衰减周期。 (3) f4) 风险值的计算是在浓度计算完成以后,根据公 式(5)和公式(6)计算主机力在 时刻第/类攻击风 险值NR 和主机12的整体风险值ra(t)。其中 + 表示主机上第 类攻击的危害性。 (fJ-=0表明主机 当前处于正常状态,rnft) 1表明主机处于极度危险 U l l U 9圈I==|=I圈 4 r C 0{ 3(’、 状态。 r∽ 斋一 (5) -’ )=一÷一一 1+P暑 f6) 在 时刻网络所面临的第 类攻击风险值蝴 和网络整体风险 ( )根据公式(7)和公式(8)计算 得来。其中 表示第 个主机的资产重要性, ) 表示第七个主机的第 类风险值, )是第五个主 机的整体风险值。 2 ( =—— 一1 『 ”r。 } l e (,):一— —一一1 1上口 =, “ (8)\u, 网络风险的计算过程是首先计算各个主机遭受 每类攻击的风险值,然后计算主机的整体风险值, 进而计算子网、总网的分类风险值和总体风险值, 从下到上层次化计算。风险计算完成以后对把风险 值输出到前台,同时写入风险历史记录,方便系统 管理员根据风险值对入侵行为进行响应。 3 ID¥报警策略 为了有效解决IDS报警数量大、误报率高的问 题,本文提出一种基于网络安全风险评估结果的报 警策略。 定义报警阈值 作为报警模块闽值报警策略的依据。如果第 类攻击的风险值超过报警阈值,报警模块对该类攻 击进行报警;否则如果风险值低于此阈值,不对此 类攻击进行报警,表示系统对此类攻击的容忍度。 记主机h的网络风险阈值为R ,记网络力的网络风 险阂值为R 。 公式(9)用于描述主机白的报警策略,当主机 h的整体风险值,_h(,大于R 而且主机的第 类风险 值 ∽大于主机所有攻击风险的平均值,表明主机 的危险度已经威胁到了主机的正常运行,而且主机 中第 类攻击已经对主机产生威胁,对满足条件 的攻击进行报警,否则忽略此次攻击行为不对其进 0M《 P匿J|髓] : 曩鬻 | _■匮e:曩 ■ 行报警。其中I表示攻击分类种数。 j (,)≥咫(0<R <1).Aatd 一( 。 ,(f)) J 一一 Else Pdss (9) 其中三— 表示主机中分类风险的平均值, Alert表示对主机的这类攻击进行报警, ss表示 忽略这类攻击。 类似的,对于整个网络,报警策略如下:网络 n的整体风险值 ㈦大于霞 而且网络的第i类风险 值NR (0大于此网络所有攻击风险的平均值,表明网 络的危险度已经威胁到了网络的正常运行,而且网 络//中第 类攻击已经对网络整体产生威胁,对满 足条件的攻击进行报警,否则忽略此次攻击行为不 对其进行报警。具体定义见公式(10)。 f NR(O 2R (0<R 1)And NR ( ) (10) lNR(,) — ——一Tho} { 一 , El5e Pas s i 其中 w e,,表示网络中分类风险的平均值, Alert表示对网络的这类攻击进行报警,Pass表示 忽略这类攻击。 阈值过滤模块根据风险评估模块的风险值计算 结果对IDS的报警信息过滤,对于低于阈值的攻击, 将不会报警,否则会写一条报警信息到alert文件。 此模块能够有效减少IDS的虚假报警数量,从而降 低系统的误报率。 4实验与分析 本文将sno rt的规则抽象为记忆细胞并给每条 规则增加一个浓度域,IDS的规则按照其匹配攻 击的类别分为overflow、scan、dos和icmp等34 类。为验证本文提出的MNSRA的有效性,运用 x86架构PC机搭建模拟实验平台,该平台运行 ubuntu 10.10操作系统,包含intel双核CPU,主 频2.93GHZ,2G内存,320G硬盘,运行网络安 全风险评估系统。实验中有两台受保护主机A和 B,其中A运行ubuntu 1 1.04,运行有Telnet和 Apache服务,主机B是运行CentOS5.0的普通个 人P C,A和B处于同一个子网。主机A的资产权 重。.=o 6,主机B的资产权重设为 0 4。另有一台主 机C装有Windows XP系统,其上运行BLADE software公司的Blade IDS Informer 4.0程序, 负责向两台受保护主机发送攻击数据包。在实验的 网络环境中,初始浓度、奖励因子和衰减周期分别 设定如下:玑=0 002, o 998,) ̄=1000,这三个参数 根据实验调整所得。风险计算时间间隔 设为1秒。 实验的评价标准误报率如式(I I)所示: FPR=cl一 Ⅳ 。o0。 (1I)“, 定义误报率FPR为入侵检测系统中虚假报警 数量占总报警数量的百分比,其中Ls Ⅳ(True Alarm Number)为正确的报警数量,即会对系 统产生威胁的报警数量, (T0tal Alarift Number)为IDS的报警总数量。 攻击机C向受保护的主机A、B同时发送 BackDoor和HTTP攻击,这两类攻击的权重分别 设为 。l5, O.3。攻击持续两分钟,实验测得 主机A的总体风险和A和B所在的整个网络的风 险结果见图3。 图5攻击曲线和风险值曲线 从图3可知,主机A和主机A、B所在的网络 的风险值随着攻击强度的增加而上升,随着攻击强 度的减小而下降,而且风险值在0到l问不断变化,其 中0表示安全状态,l表示极度危险状态。这说明系统 能够实时定量计算主机和网络当前面临的风险。 为了验证本文提出的风险评估模型减少报警数 量、降低误报率的能力,针对受保护主机A进行攻 2 0 1 2 1 0 厨翻 图l10 WWW nsC Of9 cn C 》髓P 《’ 击测试。在模拟实验平台A上安装两个IDS,一个 添加风险评估模块,采用本文提出的MNSRA方法 并动态阈值设置策略,记为MNSRA版本。一个为 标准版本STD,没有添加风险评估模块,以作为对 比。把它们都设置为混杂模式使两者都能够捕获到 主机A上昕有的数据包,设主机A整体风险的阈 值RA和网络的整体风险的阈值R1"1都设置为0.1, 连续运行60分钟,前20分钟不发送攻击包,这时 报警信息来自网络环境本身少量报警,20分钟到 40分钟用blade向主机A持续发送BackDoor攻击 包,每秒发送100个攻击包,最后20分钟停止发包。 两者产生的报警数量如图4所示。 图4报警数量对比图 由图4可知,在0-20分钟和40-60分钟这两 段时间内,没有发生攻击行为,相对于没有阈值报 警策略模块的STD版本的IDS,采用闽值报警策 略的MNSRA版本的IDS也存在虚假报警,但是 其虚假报警数量低于STD版本,所以其报警质量 高1二前者。在20-40分钟内持续发送BackDoor攻 击,2O分钟一共发送l20000个攻击包,每次攻击 发送254个包,所以一共约473次攻击,根据图 4中两者的报警记录和公式(11)可以计算出STD 版本的FPR为95.4%,MNSRA版本的FPR为 l0.2%。实验表明该模型能够大幅度降低入侵检测 系统的误报率,同时采取阈值报警策略的IDS能够 大幅度减少报警数量。 ~一一 一一一5结束语 传统的入侵检测系统对激活任意检测规则的数 据包都进行报警,从而产生大量的虚假报警信息 和误报。针对此问题,本文提出了MNSRA方法。 ^一 … 11 弱 瓤嘲 。一“n 一tHq C - MNSRA根据IDS的入侵检测结果,运用人工免疫 理论抗体浓度模型计算网络所面临的实时风险,动 态设置报警。实验结果表明,MNSRA能够实时定 量地计算整个网络所面临的风险,并有效地降低虚 假报警的数量和误报率。 【8]Y一 a cov Y.H一一 aim e s.gi~ sk ~Mo 一de1i一n g, A s s一 e s s r~r lent,一 an d Management[M】.Wiley Setie s in Sy st em s E nginee ring a nd Management,2009,5:90--426 f9】Kjetil Ha slum,Ajit h Ab raham and Svein K napsk og. Fu z zy o nIi n e ri sk a s s e s sme nt fo r di st ribut e d i nt r u si o n prediction and prevention systems[J].Computer Modeling and 一~一《》激 嚣 :嘲Simulation.2008:21 6—22 . fntrusion Detection System Based on Artificial immune Model[j】. [1 0]LI Wei—Ming,LEI Jie,DONG Jing,L】Zhi—Tang. A n 0Ptimf zed Method fo r Rea J Time Netwo rk Secu rfty Journal of Jilin uniVersfty(science Edition),2 0 1 0,48(1):6 7—72. [胡亮,王程明,赵阔,努尔布力,姜千.基于人工免疫模 型的入侵检测系统中检测器生成算法的分析与改进[J].吉 林大学学报:理学版,201 0,48(1):67—72.】 [1 4]PENG Ling—xi,CHEN Yue—Feng,LIU Cai—ming,ZENG Jin--quan,LIU Sun--jun,ZHAO Hui.Danger Theory Based Network Quantification[J】.Chinese journal of computers.2009,32(4):791— 803.[李伟明,雷杰,董静,等.一种优化的实时网络安全 风险量化方法[J].计算机学报,2009,32(4):791—803.】 [1 1】CHEN Tian—ping,XU Shi—jun,ZHANG Chuan--rong,ZHENG Lian-qing.Eisk Assessment Method for Network Security Based on gisk Evaluation Model[J】.Journal of University of Electronic Intrusion Detection System[J].Computer Science,20 1 0,48(1):94--9 6.[陈天平,许世军,张串绒,郑连清.基于攻击检测的网 络安全风险评估方法[J].计算机科学,201 0,48(1):94—96.】 【1 2]XU Bin,ZHUANG Yi.Adaptive Immune Algorithm Based on Danger Theory[J].Journal of Sichuan University:Engineering Science and Technology of China,2007,56(6):1 998--2O01.[彭 凌西,陈月峰等.基于危险理论的网络风险评估模型[J]. 电子科技大学学报,2007,36(6):1 998--2001.】 作者简介:陈恢明(1 987一),男,硕士研究生,主要研究 领域为信息安全与并行计算;陈文(1 983一),男,博士, 讲师,研究方向为计算机网络安全;梁刚(1 9 76一),男, 博士,讲师,研究方向为计算机网络安全。 Science Edition,201 1,48(1):1 25—1 52.[许斌,庄毅.基于危 险理论的自适应免疫算法[J].四川大学学报:工程科学 版,2011,48(1):1 25—1 32.J [1 5】HU Liang,WANG Cheng—rain,ZHAO Kuo,Nurbol,JIANG Qian. gesearch and Improvement of Detector Generation Algorithm in 收稿日期:20{2-06—04 (上接第6页) 概念与设计[M】.北京:机械工业出版社,2OO4.21—1 52. [1 1]刘仕一, 李涛, 刘哲奇,李峰. 异地备份系统 数据一致性检测方法[J】.计算机工程与设计,201 0, 51(1 7):5766--3768.(LIU S hj—Yi,Ll Ta o、LIU Z h e— ge Lf Feng.Data consistency checking method in remote [5]Marko Boger.Java与分布式系统[M】.北京:机械工业出版 社.2005.51--59. [6]J Manchester,D Saha,S.K Tripathi.Guest editorial- Protection,restoration,and disaster recovery[J】.IEEE Network, 2004,1 8(2):3-4. [7]LAWLEg C M,SZYGENDA S A,TH0gNTON M A.Techniques backup system[J].Computer Engineering and Design,2O 1 0, 5】(1 7):3766--3768.) [1 2]陈鹏,杨频,赵奎,李雯,吕若楠,仲慧慧.一种远 程容灾系统的设计与实现. 计算机工程与设计,2O1 1年 1 0期.(CHEN Peng,YANG Pin,ZHAO Kui,LI Wen,LV guo- nan.ZHONG Huj—hui.Design and Implementation of a gemote Disaster Tolerant System,Computer Engineering and Designf o r di sa ste r tole ra nt info rmation technology sy st ems[C]. Proceedings of the 1 st Annual 2 0 0 7 IEEE Systems ConferenceHonolulu,HI,United States,2007:355-538. . [8]Chad L,Michael H.C omponent s of disa ste r—t ole rant computing:analysis of disaster recovery.1T application downtime , 201 1,1 0) and executive visibility[J】.International Journal of Business Information Systems.2008.3(3):5 1 7-33 1. 作者简介:王鸿(1 987一),男,硕士研究生,主要研究方 向为计算机网络与信息安全杨频(1 967),男,副教授, 硕士生导师,主要研究方向为计算机网络与安全。 [9]Testa S,Chou W.The Distributed Data Center:Front end Solutions[J].IT Professional,2004,6(3):26—52. [1 0]Pete r Falla ra.Di sa ste r P ̄ecove ry Pla n ni ng[J].1EEk Communications Magazine,2004,22(5):42--44. 收稿日期:201 2~06一O4 2 0{2,1 O 闹口圈豳 2 www nsC O rg CD
发布者:admin,转转请注明出处:http://www.yc00.com/xiaochengxu/1688820882a173176.html
评论列表(0条)