張常有， 曹元大，王玉梅 ，于 炯

(1．石家莊鐵道學院計算機與信息工程分院，河北 石家莊 050043；2．北京理工大學計算機科學技術學院//智能信息技術北京市重點實驗室，北京 100081)

入侵檢測系統(IDS，Intrusion Detection System)的目標是通過收集和分析系統信息，進而監(jiān)控、探測、標識對網絡和計算機系統的有害行為和有害企圖。這樣，IDS能辨別系統的狀態(tài)是“正?！保€是“異?！盵1]。所以，一個IDS被定義為警戒系統。它自動探測主機或網絡中的惡意活動[2]。當系統發(fā)現對主機或系統的有害行為時，就產生一個警戒信號向系統中的安全設備報警。入侵檢測系統分為兩類：異常檢測和誤用檢測[3]。對于一個入侵檢測系統，正確性和實時性是兩個重要因素。當前網絡發(fā)展的高速化、復雜化等特性對入侵檢測系統的數據處理性能提出了新的挑戰(zhàn)。因為當網絡速度超過了數據處理速度時，入侵檢測分析的速度也必須相應加快，需要改進傳統的分析方法。

解決這一問題有兩種基本思路：①提高入侵檢測系統的處理能力，包括數據處理的能力和數據采集能力。②采用新的算法或預處理，降低數據處理的難度。

依照第2種思路，針對網絡行為模式的正常樣本集合和異常樣本集合，降低網絡行為向量的維度，從而提高數據處理效率。流形學習(Manifold learning)是一種通過從高維數據中發(fā)現低維結構的方法，來簡化高維數據。算法目標是將一套給定的高維數據點映射到替代的低維空間[4]。Animesh Patcha[5]提出了一個稱為SCAN(Stochastic Clustering Algorithm for Network Anomaly Detection)的異常檢測方案。該算法有能力高精度檢測入侵行為，甚至使用不完整的審計數據。面向網絡環(huán)境，很多研究者提出了一些新的入侵檢測方法[6-10]。

此外，考慮到訓練數據的局限性，用遺傳算法和免疫算法相結合，對正常行為樣本集合和異常行為樣本集合作優(yōu)化處理。對新采集的網絡行為數據，分別計算其到正常行為樣本集合和異常樣本行為集合的距離，并視為縱、橫坐標。這樣，行為樣本被映射為二維空間的點。依據點的位置，系統判斷該行為的入侵概率。降維處理有效提高了入侵檢測的實時處理效率。

1 網絡行為的相似距離

1.1 行為建模

網絡行為的相關度較高的屬性主要有：服務類型(srvType), 源地址(srcIP)，源端口(srvPort)，目的地址(dstIP)，目的端口(dstPort)，時延(dur)，源端發(fā)送字節(jié)數(srcBytes)，目的端發(fā)送字節(jié)數(dstBytes)，狀態(tài)(flag)等。因此，每一個網絡行為向量可用如下9維(或多于9維)的向量表示：

X= [srvType,srcIP,srvPort,dstIP ,

注意到，從數據類型上看，向量X的分量有兩類：①字符型。其匹配計算就是嚴格的相等與否。這類分量適合于上文所述的類比相似度算法。本模型中的字符型分量有服務類型(srvType)、源地址(srcIP)、源端口(srvPort)、目的地址(dstIP)、目的端口(dstPort)、狀態(tài)(flag)等。②數值型。這類數據的取值是一個能用大小度量的數。他們之間的差別能夠用差額來度量。對于這類分量，如直接使用式(1)計算，結果不理想。本模型中這類數據有時延(dur)，源端發(fā)送字節(jié)數(srcBytes)，目的端發(fā)送字節(jié)數(dstBytes)等。

對于數值型分量，必須預先處理，使其適合相反性綜合距離模型。具體的離散化方法，可參考文獻[11]。離散化以后的數值型分量轉化為字符型分量，向量X可整體用于相似距離計算。

1.2 綜合距離模型

本文中，距離用向量之間的相似度來表示。相似度算法采用類比推理的相反性綜合模型。該模型同時考慮了相同分量和相異分量對相似度結果的不同貢獻。行為向量X=[x1,x2,…,xn]與兩個行為樣本集合之間的相似距離作為入侵檢測的基礎。兩個網絡行為向量之間的相似度代表了他們的差異程度。為了方便闡述，我們給出如下定義，

(1)定義1 (行為向量之間的相似度)： 設X與Y表示任意兩個行為向量，它們之間的相似度按式(1)計算。

(1)

式(1)中，f(X∩Y)表示兩者之間的相同分量對相似度的貢獻，f(X-Y)表示兩者之間的相異分量對相似度的貢獻，α≥0表示相異分量的貢獻系數，其值不小于0。明顯，Sim(X,Y)是一個0到1之間的數。

(2)定義2 (行為向量與行為集合之間的相似度)： 設有行為集合A，則X與A之間的相似度為

Sim(X,A)=max{Sim(X,Aj),

Aj∈A,j=0,1,…,m}

(2)

式(2)中，Sim(X,Aj)為行為X與集合A中的元素Aj之間的相似度。最終取最大相似度作為相似結果。

1.3 基于人工免疫的樣本集合優(yōu)化

人工免疫系統模仿自然免疫系統，提供了一種解決潛在問題的神奇途徑。免疫網絡的數學框架由Jerne在20世紀70年代提出。隨后的研究者[12-13]隨又進一步從不同的側面提出了新的AIS理論，完善了其模型、算法和應用。

考慮到訓練數據集可能存在的片面性，采用人工免疫方法與遺傳算法相結合，優(yōu)化異常行為樣本集合AI0，優(yōu)化過程如圖1。

圖1主要闡明了異常行為樣本庫AI的生成優(yōu)化過程。首先，采用數據挖掘方法生成初始集合AI0，可以根據經驗知識加以補充。然后用遺傳算子對它們進行變異和增殖，生成一個更大的候選樣本集合AI0’。對個體進行親和度測定，計算與初始AI0的相似度，篩選出優(yōu)秀樣本；再進行否定選擇，即刪除其中與AN中相等(或非常相近)的元素。最后產生優(yōu)化過的異常行為樣本集合(AI)。優(yōu)化過程分為兩步：

圖1 行為樣本集合的產生和優(yōu)化過程

(1)克隆選擇。

克隆選擇算法的目的是擴大異常樣本量，或者優(yōu)化抗體在該樣本空間的分布特性。這些分布特性包括樣本的密度、樣本分布的均勻度等。本節(jié)采用的克隆選擇算法以AI0為原始參數，采用多點交叉，隨機變異的方法，擴大樣本空間，提高這些樣本在該空間分布的均勻度。擴大異常行為樣本空間的大小和優(yōu)化樣本在該空間分布的均勻度有利于降低IDS的漏報率。

(2)否定選擇。

否定選擇的目的是保護自體細胞不受到誤損。也就是說，AI中不能存在與AN中相同或相近的行為向量。否定選擇的算法與上節(jié)中的克隆選擇類似，要分別計算AI0'中元素與集合AN的相似度，排除其相似度為 1 和非常接近 1 的向量，避免誤報。

正常行為樣本集合AN采用類似的步驟優(yōu)化處理。

2 綜合距離模型

2.1 數學模型

本文將網絡行為抽象為一個n維向量，如X=[x1,x2,…,xn]。其中xi為該向量的一個分量，表示行為的一個側面。這個n維向量稱為行為空間的一個點。全部網絡行為集合構成了行為曲面。具有不同屬性的行為集合的全部，將構成不同的曲面。在入侵檢測系統中，我們關心異常行為集合和正常行為集合。為了畫圖方便，不失一般性，設正常行為集合和異常行為集合分別在三維空間構成“異常平面”和“正常平面”，如圖2示。其中，P和Q分別為兩個行為向量所代表的空間點。

圖2(a)中，|AC|為P點到“異常平面”的距離；|BD|為Q點到“異常平面”的距離；

圖2 行為向量的簡單距離模型

|UV|為閾值。

《電信網絡詐騙意見》第3條第五項亦指出，實施所列舉方式予以轉賬、套現、取現的，同時構成其他犯罪的，依照處罰較重的規(guī)定定罪處罰，但是法律和司法解釋另有規(guī)定的除外，這與前述分析所得結論是相符的。

∵|AC| < |UV|，且|BD| < |UV|

∴P、Q均為異常

設fp(x)為向量x的異常概率函數，則有

fp(P) = |UV|-|AC|和

fp(Q) = |UV|-|BD|

分別代表點P和Q的異常概率。

又∵ |AC| < |BD|

即，P點異常概率大于Q點異常概率。

再看圖2(b)，|AE|為P點到“正常平面”的距離；|BF|為Q點到“正常平面”的距離；有，fp(P) = |AE|，fp(Q) = |BF|。

又∵ |AE| < |BF|

∴fp(P)

即，P點異常概率小于Q點異常概率。

兩個圖中得到了相矛盾的結論。為了達到判斷結果的一致性，令

2.2 綜合距離模型

綜合考慮“正常平面”和“異常平面”的距離，如圖3所示。

2.3 綜合降維模型

根據分析，定義綜合降維模型如下。

=max{Sim(X,ANj),ANj∈AN,

j= 0,1,…,m}

(3)

圖3 行為向量的綜合距離模型

=max{Sim(X,AIj),AIj∈AI,

j= 0,1,…,m}

(4)

綜合考慮行為X的正常度和異常度，定義其入侵概率為P(X,AN,AI)。入侵概率的值由式(5)計算。

(5)

式(5)中，β是X的正常度對入侵概率的貢獻系數。β是一個不小于0的值。

3 行為樣本向量降維方法

3.1 行為樣本到二維平面的映射

考慮到u∈[0,1]，v∈[0,1]，網絡行為X將被映射到坐標系中(0，0)到(1，1)的區(qū)域中的一個點。如圖4所示。其中，(u1,v1)和(u2,v2)分別表示行為向量X1和X2在平面上映射得到的兩個點。

3.2 行為檢測方法

判定行為的入侵性是IDS的根本任務。為了確定一個行為X是否為異常行為，需要定義一個閾函數u=f(v)，其對應的曲線在v∈[0,1]時，落在(0,0)-(1,1)區(qū)域內，如圖4中粗實線所示。理想情況下，該域函數曲線把整個空間分成兩個區(qū)域D1和D2。直觀上看，D1在曲線的左上方，D2在曲線的右下方。點(u1,v1)落在區(qū)域D1，(u2,v2)落在區(qū)域D2。

圖4 行為向量到平面點的映射模型

設ux表示行為X的u值，vx表示行為X的v值，這時，

ux

表示點(ux,vx)落在D2區(qū)，判定X為入侵行為。同樣，判定X2為異常行為。當系統發(fā)現異常，則按照既定的策略報警。

4 結 語

本文針對網絡入侵檢測系統面臨的海量審計數據處理問題，根據關聯規(guī)則挖掘結果，得到網絡行為模式。對網絡行為模型，計算其正常性和異常性，映射到平面上的點。從多維降到兩維問題，綜合考慮兩維上的投影，得到入侵與否的一致性評判結果。這種方法能適應并行處理，有利于提高高速分布式網絡中的入侵檢測的效率。

參考文獻：

[1] FORREST S, PERELSON A S, ALLEN L, et al. Self-Nonself discrimination in a computer[C]// Proceedings of the 1994 IEEE Symposium on Research in Security and Privacy. Los Alamitos: IEEE Computer Society Press, 1994: 202-212.

[2] KEMMERER R A, VIGNA G. Intrusion detection: a brief history and overview [J]. Computer, 2002, 35 (4): 27-30.

[3] 蔣建春, 馬恒太, 任黨恩,等. 網絡安全入侵檢測: 研究綜述[J]. 軟件學報, 2000, 11(11):1460-1407.

JIANG Jianchun, MA Hengtai, REN Dangen, et al. A survey of intrusion detection research on network security[J]. Journal of Software, 2000, 11(11):1460-1466.

[4] SEUNG H S, LEE D D. The manifold ways of perception[J]. Sience,2000, 22:2268-2269.

[5] PATCHA P, PARK J. Network anomaly detection with incomplete audit data[J]. Computer Networks, 2007, 51 (5): 3935-3955.

[6] FUGATE M, GATTIKER J R. Anomaly detection enhanced classification in computer intrusion detection[C]// LNCS 2388. Berlin, Heidelberg:Springer-Verlag, 2002:186-197.

[7] KIM D, PARK J. Network-based intrusion detection with support vector machines[C]// LNCS 2662.Berlin, Heidelberg: Springer-Verlag, 2003:747-756.

[8] PARK J, SHAZZAD K, KIM D. Toward modeling lightweight intrusion detection system through correlation-based hybrid featureselection[C]// FENG D, LIN D, YUNG M. Proceedings of the CISC. Heidelberg: Springer-Verlag, 2005: 279-289.

[9] TAYLOR C, ALVES-FOSS J. NATE: Network analysis of anomalous traffic events, a low-cost approach[C]//Proceedings of the 2001 Workshop on New Security Paradigms. New Mexico: ACM, 2001: 89-96.

[10] HORNG S, FAN P, CHOU Y, et al. A feasible intrusion detector for recognizing IIS attacks based on neural networks[J]. Computers & Security, 2008, 27 (3-4):84-100.

[11] ZHANG Changyou, CAO Yuanda, Yang Minghua, et al. The immune recognition method based on analogy reasoning in IDS[J]. Wuhai University Journal of Natural Sciences,2006, 11(6): 1839-1843.

[12] 焦李成, 杜海峰. 人工免疫系統進展與展望[J]. 電子學報, 2003, 31(10): 1540-1548.

JIAO Licheng, DU Haifeng. Development and prospect of the artificial immune system[J]. Acta Electronica Sinica, 2003, 31 (10): 1540-1548.

[13] 肖人彬, 王磊. 人工免疫系統: 原理、模型、分析及展望[J]. 計算機學報, 2002, 25(12): 1281-1293.

XIAO Renbin, WANG Lei. Artificial immune system: principle, models, analysis and perspectives[J]. Chinese Journal of Computers, 2002, 25(12): 1281-1293.