基于目標(biāo)預(yù)判的網(wǎng)絡(luò)入侵檢測(cè)頻率自調(diào)整算法

楊忠明　梁本來(lái)　秦勇　蔡昭權(quán)

摘要：

在集群環(huán)境中，入侵者攻擊特定目標(biāo)是提高攻擊效率一種常規(guī)手段，有針對(duì)性地調(diào)度計(jì)算資源可有效提高檢測(cè)效率。提出一種基于攻擊目標(biāo)預(yù)判的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）的檢測(cè)頻率自調(diào)整算法DFSATP，檢測(cè)分析采集到的數(shù)據(jù)，將發(fā)往潛在被攻擊目標(biāo)范圍的數(shù)據(jù)列為高危數(shù)據(jù)，其余數(shù)據(jù)為低危數(shù)據(jù)，指引網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)高頻檢測(cè)發(fā)往預(yù)測(cè)目標(biāo)的高危數(shù)據(jù)包，低頻檢測(cè)低危數(shù)據(jù)包，從而提高NIDS的檢測(cè)效率，保障在有限的計(jì)算資源情況下提高異常數(shù)據(jù)的檢出率。模擬實(shí)驗(yàn)結(jié)果表明，在高速網(wǎng)絡(luò)環(huán)境下，DFSATP對(duì)NIDS檢測(cè)頻率的調(diào)整，使得異常數(shù)據(jù)的檢出率得到了一定程度的提升。

關(guān)鍵詞：

入侵檢測(cè)；檢測(cè)頻率；攻擊目標(biāo)預(yù)判；檢出率；高危數(shù)據(jù)；低危數(shù)據(jù)

中圖分類號(hào)：

TP393

文獻(xiàn)標(biāo)志碼：A

Abstract：

In cluster， it is a conventional method to increase attack efficiency for intruder by attacking the specific target， so it is effective to improve the detection efficiency by scheduling the computing resource contrapuntally. A frequency selfadjusting algorithm for Network Intrusion Detection System （NIDS） based on target prediction， named DFSATP， was proposed. By detecting and analyzing the collected data packets， the data packets sent to potentially attacked targets were marked as high risk data and the other packets were marked as low risk data. The efficiency of NIDS was improved by high frequency detection of high risk data packets and low frequency detection of low risk packets， thus the detection rate of abnormal data was also increased to some extent in limited computing resource circumstances. The simulation results show that the detection rate of abnormal data packets is increased because of the detection frequency adjustment of NIDS by using DFSATP.

英文關(guān)鍵詞Key words：

intrusion detection； detection frequency； target predetection； detection rate； high risk data； low risk data

0引言

入侵檢測(cè)（Intrusion Detection）是指通過(guò)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵節(jié)點(diǎn)采集大規(guī)模數(shù)據(jù)，從中分析是否存在違反安全策略的行為[1]。從采集數(shù)據(jù)的對(duì)象區(qū)分，入侵檢測(cè)系統(tǒng)（Intrusion Detection System， IDS）可分為基于主機(jī)的入侵檢測(cè)系統(tǒng)（Host Intrusion Detection System， HIDS）和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（Network Intrusion Detection System， NIDS），HIDS以主機(jī)系統(tǒng)作為檢測(cè)對(duì)象，而NIDS通過(guò)采集網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)進(jìn)行協(xié)議分析和特征匹配。近年來(lái)，NIDS成為學(xué)者的研究熱點(diǎn)。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展，局域網(wǎng)已進(jìn)入千兆速率時(shí)代，主干網(wǎng)絡(luò)中也早已實(shí)現(xiàn)萬(wàn)兆速率。高速網(wǎng)絡(luò)的特征是數(shù)據(jù)流量大，要求入侵檢測(cè)系統(tǒng)的數(shù)據(jù)處理性能高，處理能力的缺乏必然會(huì)導(dǎo)致入侵事件的漏報(bào)，國(guó)外學(xué)者Schaelicke等[2]就提出當(dāng)今網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）的主要問(wèn)題就是處理性能跟不上網(wǎng)絡(luò)帶寬的快速增長(zhǎng)。為提高NIDS的處理性能，國(guó)內(nèi)外學(xué)者近年來(lái)進(jìn)行了深入研究，主要研究方向可分為兩類：一種方法是采用可擴(kuò)展的多引擎并行處理技術(shù)，另一種方法是提高單個(gè)檢測(cè)引擎的處理能力和提高入侵檢測(cè)算法的效率[3]。本文研究的方法為提高入侵檢測(cè)算法的效率。

高速網(wǎng)絡(luò)下的大規(guī)模數(shù)據(jù)，致使傳統(tǒng)的NIDS捕獲全部數(shù)據(jù)包并進(jìn)行詳細(xì)分析存在相當(dāng)大的難度[4]。在數(shù)據(jù)采集后，要對(duì)其進(jìn)行協(xié)議解析并提取出特征（如源、目的IP地址及協(xié)議類型、端口號(hào)等），然后采用模式匹配等方法對(duì)提取的特征進(jìn)行分析，不同的分析方法對(duì)NIDS的效率影響不同。對(duì)于基于規(guī)則的NIDS，模式匹配過(guò)程是NIDS中最耗時(shí)的部分[5]。

在NIDS硬件處理性能及入侵檢測(cè)算法效率有限的情況下，需要采用有效手段在流量高峰期保證符合要求的異常數(shù)據(jù)檢出率。學(xué)者們提出通過(guò)對(duì)數(shù)據(jù)采樣的方法降低檢測(cè)系統(tǒng)的數(shù)據(jù)處理量以解決入侵檢測(cè)算法效率不高的問(wèn)題，典型的有隨機(jī)采樣、等距采樣、變長(zhǎng)采樣、分層采樣、周期采樣等策略[6]。如文獻(xiàn)[7]提出了一種過(guò)采樣方法，通過(guò)生成人工樣本來(lái)對(duì)小類樣本向上采樣；文獻(xiàn)[8]提出了一種降采樣方法，利用Kmeans方法對(duì)大類樣本進(jìn)行聚類并提取聚類中心，獲得與較小樣本集樣本數(shù)目近似的樣本，組成新的樣本集用以訓(xùn)練；文獻(xiàn)[9]對(duì)這些經(jīng)典采樣算法進(jìn)行了對(duì)比實(shí)驗(yàn)，已知攻擊的檢出率在35%～70%，檢出率受數(shù)據(jù)源及算法策略影響較大，檢出率穩(wěn)定性較低；文獻(xiàn)[10]引入風(fēng)險(xiǎn)管理思想對(duì)建立在博弈模型上的采樣策略進(jìn)行優(yōu)化，有效克服單一采樣策略的不足，但在保護(hù)節(jié)點(diǎn)較多的情況下不可用。

采樣策略的檢出率欠缺穩(wěn)定性，文獻(xiàn)[11]從攻擊行為模式上分析，得出90%以上攻擊信息集中在數(shù)據(jù)流的前30個(gè)包，設(shè)置當(dāng)流量過(guò)載發(fā)生的時(shí)候只檢測(cè)數(shù)據(jù)流的前30個(gè)包。這樣的規(guī)則設(shè)定雖避免了采樣的漏檢可能性，但只適用于已知的部分攻擊行為，具有應(yīng)用的一定局限性。文獻(xiàn)[12]提出了感知威脅后啟動(dòng)對(duì)網(wǎng)絡(luò)流量進(jìn)行異常識(shí)別的思路，雖然該文討論的是無(wú)線傳感器節(jié)點(diǎn)的入侵檢測(cè)，但其中根據(jù)受保護(hù)目標(biāo)的威脅情況啟動(dòng)更高級(jí)別安全檢測(cè)的思想值得借鑒。

利用云計(jì)算架構(gòu)也是提高入侵檢測(cè)效率的手段之一。文獻(xiàn)[13]提出一種云架構(gòu)的入侵檢測(cè)系統(tǒng)，將待檢測(cè)數(shù)據(jù)預(yù)處理后生成樣本空間傳輸?shù)皆贫诉M(jìn)行建模分析，該方法提高了入侵檢測(cè)的效率和精度，但未討論樣本空間傳輸?shù)皆贫诉M(jìn)行計(jì)算所帶來(lái)的額外流量消耗及計(jì)算時(shí)間的增加；文獻(xiàn)[14]提出基于人工免疫理論的分布式入侵檢測(cè)模型，在提高入侵檢測(cè)效率的同時(shí)解決了單點(diǎn)失效問(wèn)題，證明了分布式檢測(cè)的有效性，但僅針對(duì)TCPSYN洪泛攻擊作了對(duì)比實(shí)驗(yàn)。

在服務(wù)器集群環(huán)境中，通過(guò)攻擊特定目標(biāo)是提高攻擊效率一種常規(guī)手段，本文借鑒NIDS的采樣思路，提出一種基于攻擊目標(biāo)預(yù)判的NIDS檢測(cè)頻率自調(diào)整算法（Detection Frequency Selfadjusting Algorithm for NIDS based on Target Predetection， DFSATP），通過(guò)采集大規(guī)模數(shù)據(jù)流量，匯總分析大規(guī)模數(shù)據(jù)，將發(fā)往潛在被攻擊目標(biāo)范圍的數(shù)據(jù)列為高危數(shù)據(jù)，其余數(shù)據(jù)為低危數(shù)據(jù)，指引NIDS高頻檢測(cè)高危數(shù)據(jù)，低頻檢測(cè)低危數(shù)據(jù)，從而提高NIDS的檢測(cè)效率。

DFSATP算法通過(guò)實(shí)時(shí)檢測(cè)數(shù)據(jù)的發(fā)送目標(biāo)，與潛在被攻擊目標(biāo)范圍作匹配，利用式（10）和（11），每間隔時(shí)間周期tj重新計(jì)算高?；虻臀?shù)據(jù)的檢測(cè)頻率atcpratei和sfcpratei，指導(dǎo)NIDS調(diào)整相應(yīng)的檢測(cè)頻率。對(duì)單個(gè)被檢數(shù)據(jù)包而言，DDFSATP算法的時(shí)間復(fù)雜度為O（n），空間復(fù)雜度O（k*n）。其中n為服務(wù)器群數(shù)量，k為算法中出現(xiàn)的變量參數(shù)個(gè)數(shù)，本算法中k為7。

由于NIDS檢測(cè)數(shù)據(jù)具有實(shí)時(shí)性和連續(xù)性的特點(diǎn)，DFSATP算法是每間隔周期tj重新計(jì)算并調(diào)整NIDS的檢測(cè)頻率。因此，分析NIDS的實(shí)際性能，空間時(shí)間的消耗應(yīng)是與數(shù)據(jù)包的數(shù)量直接相關(guān)，在高速網(wǎng)絡(luò)環(huán)境下，DFSATP算法的計(jì)算頻率也會(huì)增加。因此，算法復(fù)雜度的數(shù)學(xué)分析僅具有一定的理論參考價(jià)值，具體的算法運(yùn)行性能還需要真實(shí)實(shí)驗(yàn)環(huán)境的綜合驗(yàn)證。

4模擬實(shí)驗(yàn)與結(jié)果分析

4.1實(shí)驗(yàn)環(huán)境

本實(shí)驗(yàn)采用基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)架構(gòu)，將NIDS部署到核心交換機(jī)上，Attacker在外網(wǎng)模擬發(fā)起攻擊，NIDS可以采集到所有經(jīng)過(guò)核心交換機(jī)的數(shù)據(jù)。模擬實(shí)驗(yàn)拓?fù)淙鐖D1所示。

實(shí)驗(yàn)采用KDD CUP99 DATA完整數(shù)據(jù)集進(jìn)行測(cè)試，該數(shù)據(jù)集是對(duì)Lincoln實(shí)驗(yàn)室1998年提出的DARPA入侵檢測(cè)評(píng)估數(shù)據(jù)集的擴(kuò)充。完整集有近500萬(wàn)條記錄，包含22種攻擊類型，所有攻擊行為基本上被分為四大類：DoS，U2R，R2L和Probe。模擬實(shí)驗(yàn)過(guò)程根據(jù)測(cè)試數(shù)據(jù)量要求從數(shù)據(jù)集內(nèi)抽取。模擬實(shí)驗(yàn)已經(jīng)提前對(duì)實(shí)驗(yàn)數(shù)據(jù)進(jìn)行了分類，將正常類數(shù)據(jù)及監(jiān)視和其他探測(cè)活動(dòng)類數(shù)據(jù)定義為低危數(shù)據(jù)，遠(yuǎn)程設(shè)備的非法訪問(wèn)及普通用戶對(duì)超級(jí)用戶特權(quán)的非法訪問(wèn)定義為高危數(shù)據(jù)。

4.2DFSATP對(duì)NIDS檢測(cè)頻率的調(diào)整

基于上述實(shí)驗(yàn)環(huán)境，設(shè)定模擬實(shí)驗(yàn)參數(shù)值見(jiàn)表1，DFSATP對(duì)NIDS檢測(cè)頻率的調(diào)整過(guò)程如圖2所示。

從圖2中可以看出，一開(kāi)始所有數(shù)據(jù)均為低危數(shù)據(jù)，發(fā)往三個(gè)不同目標(biāo)的數(shù)據(jù)檢測(cè)頻率均為8000；隨后在10～20s檢測(cè)出發(fā)往S1的數(shù)據(jù)存在異常數(shù)據(jù)，將發(fā)往S1的數(shù)據(jù)列為高危數(shù)據(jù)，則在下一個(gè)時(shí)間段20～30s將高危數(shù)據(jù)的檢測(cè)頻率提升為10000，而低危數(shù)據(jù)的檢測(cè)頻率則降低為7000；隨著發(fā)往S2的數(shù)據(jù)在30～40s檢測(cè)出異常，也被列為高危數(shù)據(jù)，并且在下一個(gè)時(shí)間段40～50s，將發(fā)往S1和S2的數(shù)據(jù)檢測(cè)頻率都提升為105000，發(fā)往S3的低危數(shù)據(jù)的檢測(cè)頻率則降到受檢測(cè)頻率最低值30000。綜上可以發(fā)現(xiàn)，前一時(shí)間段的異常數(shù)據(jù)檢測(cè)率，直接關(guān)系到下一個(gè)時(shí)間段發(fā)往該目標(biāo)的數(shù)據(jù)的檢出率，具體調(diào)整關(guān)系參見(jiàn)式（10）和（11），通過(guò)實(shí)驗(yàn)結(jié)果可以看到FSATP對(duì)NIDS檢測(cè)頻率的動(dòng)態(tài)調(diào)整效果。

4.3DFSATP與傳統(tǒng)NIDS的實(shí)驗(yàn)結(jié)果對(duì)比

采用上述網(wǎng)絡(luò)環(huán)境，分別采用傳統(tǒng)NIDS和DFSATP進(jìn)行模擬實(shí)驗(yàn)，將目標(biāo)S1、S2的實(shí)驗(yàn)結(jié)果列入表2。

分析表2可以看出，異常數(shù)據(jù)包數(shù)目在2000左右時(shí)，傳統(tǒng)NIDS與DFSATP的性能相差不大，但隨著異常數(shù)據(jù)包數(shù)目的增加，兩種方法的異常數(shù)據(jù)包的檢出率開(kāi)始不同：比如10～20s，對(duì)發(fā)往S1的異常數(shù)據(jù)，傳統(tǒng)NIDS的檢出率為95.9%，但DFSATP仍能完全檢測(cè)出；再隨著異常數(shù)據(jù)包的增加，比如20～30s階段，發(fā)往目標(biāo)S1的異常數(shù)據(jù)達(dá)到4613時(shí)，傳統(tǒng)NIDS與DFSATP的性能均出現(xiàn)較明顯的下降，但DFSATP仍能保持80.2%的檢出率，而傳統(tǒng)NIDS的檢出率則降到了60.5%。

總體來(lái)看，在6個(gè)階段總共10次異常數(shù)據(jù)檢測(cè)的實(shí)驗(yàn)對(duì)比中，傳統(tǒng)NIDS只有2次達(dá)到了100%的檢出率，有6次達(dá)到了90%以上的檢出率，有2次60%以上的檢出率，平均的檢出率為87.65%；而DFSATP有6次達(dá)到了100%的檢出率，2次90%以上的檢出率，2次80%以上的檢出率，平均檢出率為94.9%。實(shí)驗(yàn)結(jié)果表明，在高速網(wǎng)絡(luò)環(huán)境下，DFSATP對(duì)NIDS檢測(cè)頻率的調(diào)整，使得NIDS對(duì)異常數(shù)據(jù)的檢出率得到了一定程度的提升。

5結(jié)語(yǔ)

在集群環(huán)境中，攻擊特定目標(biāo)是提高攻擊效率一種常規(guī)手段，本文借鑒NIDS的采樣思路，提出一種基于攻擊目標(biāo)預(yù)判的NIDS檢測(cè)頻率自調(diào)整算法DFSATP，動(dòng)態(tài)調(diào)整高危數(shù)據(jù)和低危數(shù)據(jù)的檢測(cè)頻率。模擬實(shí)驗(yàn)結(jié)果表明，在高速網(wǎng)絡(luò)環(huán)境下，DFSATP對(duì)NIDS檢測(cè)頻率的調(diào)整，使得NIDS的檢測(cè)性能得到了一定程度的提升，本文的算法思想為實(shí)際NIDS的性能優(yōu)化提供了理論參考價(jià)值。但網(wǎng)絡(luò)入侵檢測(cè)是一個(gè)系統(tǒng)復(fù)雜的過(guò)程，攻擊者的攻擊行為趨向于隱蔽化和多樣化，如何智能地識(shí)別出這些異常數(shù)據(jù)，并進(jìn)行分類和推理，是作者今后的研究重點(diǎn)。

參考文獻(xiàn)：

[1]

楊雅輝，黃海珍，沈晴霓，等.基于增量式GHSOM神經(jīng)網(wǎng)絡(luò)模型的入侵檢測(cè)研究[J].計(jì)算機(jī)學(xué)報(bào)， 2014， 37（5）： 1216-1224.（YANG Y H， HUANG H Z， SHEN Q N， et al. Research on intrusion detection based on incremental GHSOM [J]. Chinese Journal of Computers， 2014， 37（5）： 1216-1224.）

[2]

SCHAELICKE L， WHEELER K， FREELAND C. SPANIDS： a scalable network intrusion detection load balancer [C] //CF 05： Proceedings of the 2nd Conference on Computing Frontiers. New York： ACM， 2005：315- 322.

[3]

史志才，夏永祥.高速網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)技術(shù)研究綜述[J].計(jì)算機(jī)應(yīng)用研究，2010，27（5）：1606-1610.（SHI Z C， XIA Y X. Survey on intrusion detection techniques for highspeed networks [J]. Application Research of Computers， 2010， 27（5）： 1606-1610.）

[4]

IHEAGWARA C， BLYTH A， SINGHAL M. A comparative experimental evaluation study of intrusion detection system performance in a gigabit environment [J]. Journal of Computer Security， 2003， 11（1）： 1-33.

[5]

唐謙，張大方.入侵檢測(cè)中模式匹配算法的性能分析[J].計(jì)算機(jī)工程與應(yīng)用， 2005， 41（17）： 136-138.（TANG Q， ZHANG D F. Performance analysis of pattern matching algorithms for intrusion detection [J]. Computer Engineering and Applications， 2005， 41（17）： 136-138.）

[6]

PATCHA A， PARK J M. An overview of anomaly detection techniques： existing solutions and latest technological trends [J]. Computer Networks， 2007， 51（12）： 3448-3470.