工程技術(shù)大學(xué)學(xué)報(bào)

入侵檢測系統(tǒng)利用信息熵檢測網(wǎng)絡(luò)攻擊的方法

夏秦，王志文，盧柯

摘要：目的：入侵檢測系統(tǒng) IDS主要用于檢測網(wǎng)絡(luò)和/或系統(tǒng)行為中是否存在惡意或違反策略行為，雖然目前IDS具有強(qiáng)大的攻擊監(jiān)測能力，但多數(shù)IDS仍然存在報(bào)警事件數(shù)量較大和誤報(bào)率較高的問題，針對IDS產(chǎn)生的大量報(bào)警事件，探索利用信息熵提高IDS命中率和降低誤報(bào)率的網(wǎng)絡(luò)攻擊檢測方法。方法：在IDS產(chǎn)生的報(bào)警事件中，選擇源IP地址、目標(biāo)IP地址、源IP地址威脅度、目標(biāo)IP地址威脅度以及數(shù)據(jù)報(bào)大小等5個(gè)關(guān)鍵屬性作為報(bào)警事件特征，使用各特征的香濃熵表示當(dāng)前時(shí)間窗口的網(wǎng)絡(luò)狀態(tài)。首先手工選取多個(gè)正常時(shí)間窗口，然后計(jì)算這些時(shí)間窗口的網(wǎng)絡(luò)狀態(tài)，并將其均值表示為正常時(shí)間集合的網(wǎng)絡(luò)狀態(tài)，通過計(jì)算當(dāng)前時(shí)間窗口和正常時(shí)間集合的網(wǎng)絡(luò)狀態(tài)的互雷尼信息熵對網(wǎng)絡(luò)是否遭受攻擊進(jìn)行判斷，即如果計(jì)算結(jié)果大于檢測閾值，則認(rèn)為發(fā)生網(wǎng)絡(luò)攻擊。檢測閾值與網(wǎng)絡(luò)有關(guān)，由管理員根據(jù)基礎(chǔ)閾值和經(jīng)驗(yàn)設(shè)置。實(shí)驗(yàn)使用報(bào)警工具Snort在某日對校園網(wǎng)進(jìn)行監(jiān)測，將其在某時(shí)段所產(chǎn)生的170516條報(bào)警事件作為訓(xùn)練數(shù)據(jù)，將另一時(shí)段產(chǎn)生的578389條報(bào)警事件作為測試數(shù)據(jù)。先在訓(xùn)練數(shù)據(jù)中通過計(jì)算相鄰時(shí)間窗口的網(wǎng)絡(luò)狀態(tài)的互雷尼熵標(biāo)識異常時(shí)間窗口，再剔除異常時(shí)間窗口中貢獻(xiàn)最大的IP地址產(chǎn)生的可疑報(bào)警事件，得到常規(guī)訓(xùn)練數(shù)據(jù)。再根據(jù)互雷尼信息熵的分布情況，確定基礎(chǔ)閾值和正常窗口數(shù)的取值范圍，并計(jì)算兩者各種不同組合情況下ROC（receiver operating characteristic）的曲線下方面積AUC（area under curve），最后由獲得的最大的 AUC值反過來確定最合適的基礎(chǔ)閾值和正常窗口數(shù)。為了避免真實(shí)數(shù)據(jù)中攻擊事件數(shù)量較少且各類攻擊分布不均，實(shí)驗(yàn)還利用掃描工具SuperScan人工合成了主機(jī)掃描、端口掃描、DoS攻擊、蠕蟲攻擊和主機(jī)入侵等各種攻擊，并將所產(chǎn)生的相應(yīng)報(bào)警事件隨機(jī)插入到常規(guī)測試數(shù)據(jù)中。結(jié)果：實(shí)驗(yàn)首先分析了該方法的有效性，真實(shí)攻擊和合成攻擊兩種環(huán)境中的測試結(jié)果表明：該方法的命中率大于 90%，誤報(bào)率小于 1%。通過改變5種不同合成攻擊的強(qiáng)度，實(shí)驗(yàn)還分析了該方法的敏感度，可以看出：與基于報(bào)警特征香農(nóng)熵的攻擊檢測方法相比，該方法對攻擊更敏感，最易檢測出DoS攻擊和主機(jī)入侵，其次是主機(jī)掃描和端口掃描，對蠕蟲攻擊的檢測敏感度稍差。此外，還與對比系統(tǒng)進(jìn)行了比較，測試結(jié)果表明：該方法除了對端口掃描合成攻擊的命中率略低于對比系統(tǒng)外，對真實(shí)攻擊和其他4種合成攻擊的命中率均高于對比系統(tǒng)，在誤報(bào)率方面的優(yōu)勢更加明顯。結(jié)論：提出的網(wǎng)絡(luò)攻擊檢測方法綜合考慮了報(bào)警事件屬性以及報(bào)警工具自身特點(diǎn)，使用源 IP地址，目標(biāo)IP地址，源IP地址威脅度，目標(biāo)IP地址威脅度以及數(shù)據(jù)報(bào)大小能夠說明報(bào)警事件特征，利用報(bào)警事件特征的香濃熵能夠刻畫網(wǎng)絡(luò)狀態(tài)，利用網(wǎng)絡(luò)狀態(tài)的互雷尼信息熵能夠識別網(wǎng)絡(luò)狀態(tài)的變化。有效性和敏感度實(shí)驗(yàn)說明：該方法在提高IDS命中率的同時(shí)，還能有效降低誤報(bào)率。

來源出版物：西安交通大學(xué)學(xué)報(bào), 2013, 47(2): 14-19

入選年份：2016

瀝青混合料疲勞自愈性能關(guān)鍵影響因素

楊軍，王昊鵬，廖輝

摘要：目的：瀝青混合料的自愈能力可以定義為：在行車荷載和環(huán)境變化的反復(fù)作用下，瀝青膠結(jié)料或混合料產(chǎn)生的裂縫可以部分或全部愈合的能力。研究表明，瀝青混合料的疲勞自愈性能影響因素主要包括瀝青混合料內(nèi)部條件和外部環(huán)境。內(nèi)部條件具體為瀝青混合料的材料性狀（集料、填料、瀝青、級配等）和受損程度；外部環(huán)境包括荷載、溫度、濕度和時(shí)間（恢復(fù)期或休息期長短）等。方法：通過灰色關(guān)聯(lián)分析，研究不同自愈影響因素的顯著水平，并探討各因素的影響機(jī)理，并將瀝青混合料的自愈潛能考慮到瀝青路面的設(shè)計(jì)與施工中。為了研究不同瀝青混合料疲勞自愈性能影響因素的顯著水平，進(jìn)行有休息期和無休息期的瀝青混合料室內(nèi)四點(diǎn)彎曲疲勞試驗(yàn)。通過比較在有/無休息期下的勁度比與循環(huán)加載次數(shù)的關(guān)系曲線，定義在不同損傷程度下的瀝青混合料愈合指數(shù)。對不同因素條件下的瀝青混合料疲勞試驗(yàn)結(jié)果進(jìn)行灰色關(guān)聯(lián)分析，分別研究了瀝青種類、瀝青含量、空隙率、溫度、休息期、損傷程度6種因素對瀝青混合料疲勞自愈性能的影響程度。結(jié)果：根據(jù)所定義愈合指數(shù)，可得到即時(shí)的瀝青混合料自愈合率，不需等待疲勞試驗(yàn)結(jié)束?；谊P(guān)聯(lián)分析表明瀝青種類、休息期、損傷程度的灰關(guān)聯(lián)系數(shù)分別為0.715，0.660，0.640，均大于 0.6，說明其對瀝青混合料疲勞自愈性能影響顯著。瀝青的物理化學(xué)性質(zhì)直接決定了瀝青的自愈能力；休息期的存在提升了瀝青混合料的自愈速率；瀝青混合料的損傷程度越低，其自愈合能力越強(qiáng)?？障堵?、溫度、瀝青用量的灰關(guān)聯(lián)系數(shù)分別為0.599，0.585，0.529?？障堵实拇笮⒂绊?zhàn)そY(jié)愈合和內(nèi)聚愈合在總愈合中所占的比例，從而影響其愈合效果；提高溫度可以提升愈合的速率；瀝青用量對瀝青混合料自愈性能的影響依賴于其他因素，提升參與愈合的有效瀝青含量，可以提升瀝青混合料的自愈合能力。結(jié)論：在工程實(shí)踐中，可以從以下4個(gè)方面提高瀝青混合料的自愈合能力，進(jìn)而延長其疲勞壽命：（1）選擇自愈合能力強(qiáng)的瀝青膠結(jié)料；（2）通過控制交通量或者分散車道車流來增加休息期；（3）嚴(yán)格控制車輛超載，降低瀝青路面損傷程度；（4）在氣溫較高的季節(jié)進(jìn)行路面裂縫的修補(bǔ)及養(yǎng)護(hù)。此外，瀝青的自愈能力和瀝青材料自愈合能力增強(qiáng)技術(shù)將是未來自愈合技術(shù)研究的主要方向。

來源出版物：東南大學(xué)學(xué)報(bào)（自然科學(xué)版）, 2016, 46(1):196-201

入選年份：2016