智能入侵检测技术的研究

随着 网络技术的飞速发展 ， 网络攻击技术的快速更新 ， 网络 络和基于主机的入侵行为 ，它能够按照系统和网络 的异常使用 安全也 日益成为关注的焦点 ，而现有 的入侵检测技术如统计分 模式 的不同特征和环境差异 ， 利用不同的 Ａ ｅｔ ｇｎ 进行检测 ， Ａ 各 —
析、 特征分析 、 专家系统等都 不完 善。因此 ， 建立具有 自 适应性 、 鲁棒性 的主动 防御 系统 已迫在 眉睫 。生物 免疫 系统 ＢＳｂ — Ｉ（ｉ ｏ ｌ ｃ ｍ ｎ ｓｍ）是通过免疫细胞识别和清 除侵入生物体 ｏ ａｉ ｕｅ ｙｅ ￣ｌ ｍ ｓｔ 的异 物 。从信 息处理 的角度来看 ，Ｉ 是 一个分布 式 的 自治 系 ＢＳ 统 ， 自 习、 其 学 自适应和鲁棒性对解决 网络安全 问题具有重要启 示。ｅ ｅ Ｊ ｎ 提出第一个 免疫 系统数学模型 。 ｏｅｔ 出了计算机 ｒ Ｆｒｓ提 ｒ 免疫系统概念 ， 用于 网络入侵检测。至此 ， 基于生物免疫原理发 展而来 的人工免疫 系统 Ａ Ｓ ａ ｉｃ ｌｍ ｎ ｓｔｒ） Ｉ（ｒｆ ｉ ｍｕ ｅ ｙ—ｅｎ 已广泛应 ｔ ａｉ ｉ ｓ 用于网络安全领域。 Ａ ｅｔ ｇｎ是指具 有感知 、 分析 、 推理机制 的实体 。Ｍ ｌ Ａ ｅｔ ｕｉ ｇｎ ｔ — 系统通过对多个独立 Ａ ｅ ｔ ｇｎ 的交 互协作进 行协调 ，实现复杂环 境下的问题求解 ， 具有较强的分布性、 鲁棒性 、 协调性 。
、
ຫໍສະໝຸດ Baidu
主 动防御模 型 系统原理
免疫 智能体 Ｉ ｉ ｍ ｎ ｅｔ除继承 了 Ａ ｅｔ Ａ（ｍ ｎ ｅａ ｎ） ｇ ｇｎ 原有 特点之
外， 还具有免疫 系统特有 的进化性 、 多样性 、 耐受性 、 主动 防御等 特点 。 主动防御模型结合多 Ａ ｅｔ ＡＳ技术 ， ｇｎ 和 Ｉ 构造 了一个多方 位、 多层次的智 能化 网络安全模型 。在该结 构中 ， 首先通过分步 于 主机节点 的 Ｉ 对 入侵事件进 行识别 ， Ａ， 通过 学习和记 忆发现 未知攻 击 ， 将信息发送 给相 应 的 Ｓ Ｃ ｓ ｔ ｏｉｒｅｔ ）同 Ｍ （ ｓ ｍｍ ｎｏ ｃ ｅ ， ｙｅ ｔ ｎ ｒ
二 、 ｇ ｎ 与入 侵检测技术结合结合 的优越性 Ａ ｅｔ
驻留在 目 主机 的数据采集 Ａｅｔ 标 ｇ ， ｎ 负责采集流经主机网络 基 于 Ｍ ｌ Ａ ｅｔ ｕｉ ｇｎ 的入侵 检测模型 可 以实 时地 检测基 于网 适配器端１的网络数据包并传送给数据预处理 Ａ ｅｔ ｔ — ３ ｇ 处理。 ｎ 它是
时将识别出新攻击的疫苗分发 给同一 网段 内的各个节点 ，提高 ｇ 之间相互协作却又相互独立的特性，可以实时地检 ｎ 各节点 的入侵 防御 能力。Ｓ Ｃ对 网段 内各 Ｉ Ｍ Ａ发送 的入 侵信息 各个 Ａｅｔ 进行分析 ， 遭受入侵 网段 的 Ｓ Ｃ Ｍ 将疫 苗发送 到其他 未被入侵 的 测基于网络入侵行为。 网段进行预警 ， 实现整体主动防御。 三、 数据收 集 Ａ ｅ ｔ ｇ ｎ 的设计
Ａｂ ｔ ｃ Ｔ ｅｒｐ ｄｄ ｖ ｌｐ ｎ ｆｎ ｔ ｒ ｅ ｈ ｏｏ ｙ ｎ ｔ ｒ ｔ ｃ ｅ ｈ ｏｏ ａ ｉ ｐ ａｅ ｎ ｔ ｒ ｅ ｕ ｉ ｅ ｓｒ ｔ ｈ ａ ｉ ｅ ｅｏ ｍｅ ｔ ｅｗｏｋｔｃ ｎ ｌｇ ， ｅｗｏｋａｔ ｋｔｃ ｎ ｌｇ ｒｐｄｕ ｄ ｔ， ｅｗｏｋｓ ｃ ｒ ｙｂ － ａ ｏ ａ ｙ ｔ ｃ ｍｅ ｅｆｃ ｓｏ ｔ ｎｉｎ Ｂａ ｅ ｎ ｔｅｓ ｄ ｆ ｎｒ ｓｏ ｅｅ ｔ ｎ ｓ ｓ ｍ ｄ ｌ ａｅ ｎｔｅｉ ｒｖ ｄ ｐ ｒｅ ｔ ｎ ｏ ｓｔ ｕ ｆ ｔ ｔ ． ｓｄ ｏ ｔ ｙ ｏ ｔ ｉｎ ｄ ｔｃｉ ｙｔ ｍｏ ｅ ｓ ｄｏ ｈ ｏ ａｅ ｏ ｈ ｕ ｉ ｕ ｏ ｅ ｂ ｈ ｍｐ ｏ ｅ ， ｅｃ ｐｉ ， ｏ
一
ｇｎ 相互协作 ， 出异常行为．这种检测模型具有以下优点 ： ｅｔ 检测 １ 系统的可扩充性好 ， 、 当网络上有一 台主机 要加 入整个入 侵检 测系统时 ， 只需要在这 台主机上加入几个 Ａ ｅ ｔ并在控制 ｇｎ， 端对这 台主机 和其加入 的 Ａ ｅ ｔ ｇｎ 进行注册就可 以完成入侵检测 系统 的扩充 。 ２ 可 以减少数 据量 ， 、 由于一些 Ａ ｅ ｔ ｇｎ 是检钡 基于 网络跨 主 ４ 机 的信息 ， 需要相关 主机上 的 Ａ ｅｔ ｇｎ 为它收集信息 ， 这些 Ａ ｅｔ ｇｎ 可 以进行预检查 ， 采取一些措施 减少数据量 ， 这对于减少网络流 量和进行有效的检测是有 意义 的。 ３ 灵活性 ， 、 由于 Ｉ Ａ的独立性 ， Ｄ 它可以独立地启动和停止 ， 也可 以进行动态配置 ， 而不影响其它 Ｉ Ａ的正 常运行 。要 收集 Ｄ 新数据或检测新 的入侵 ， 只需对原 ＩＡ进行重新 配置或增加一 Ｄ 个新 Ｉ Ａ就可 以了。 Ｄ ４ 由于不 同的 Ｉ Ａ是 独立的 ， 、 Ｄ 它们可 以分别开发 ， 而且可 以使用不 同的语言开发 ，只需遵循统一的通信协议和采用相 同 的通信规则就可以 了。 本文 针 Ａ ｅｔ ｇｎ 的特点 ，提 出了一种 基于多 Ａ ｅｔ ｇｎ 的网络入 侵检测 系统 ， 该系统根据 Ａ ｅｔ ｇｎ的特点 ， 把现有 的入侵检测系统 的各个功 能划分到 了与之相对应 的 Ａ ｅｔ ｇｎ 中，该方案充分利用
ＮＩ ＭＡ ｒｌｓ ｎ ＭＳａｇ ｒ ｈ ｄ ｔｉ ｄｄ ｓｇ ｒｃ ｓ． ＤＳ ｅ ｄＮＰ ｌｏｉ ｍ ｅａｌ ｅ ｉｎｐ ｏ ｅ ｓ ｕ ａ ｔ ｅ Ｋｅ ｗｏ ｄ Ｉ ｔｌ ｇ ｎ ｔ ｓ ｎｄ ｔｃｉｎ ｙ ｒ ｓ ｎｅｌ ｅ ｔ ｎｒ ｉ ｅｅ ｔ ｉ ｉｕ ｏ ｏ Ａｇ ｎ ｅｔ Ｒｅ ｏ ｉａ ｔＰ ｔｃ ｎ ｌｇ ｃ ｍｂｎ ｎ ｈ ｏｏ Ｉ ｅ ｙ ＮＩ ＭＡ ＤＳ
办公 自动化杂志 ３ ５。
高带宽网路 中防止数据包丢失的关键 。 作为系统的底层组件 ， 它 分析和特征检测 ，如果特征码没有 和任何规则相匹配 和符合入 们之间没有合作行为 ， 只负责处理 自己所在主机的网络数据包 。 侵特征 ，它就会被检测引擎所丢掉否则检测 Ａ ｅ ｔ ｇｎ 将发 出相应 数据 收集 Ａ ｅｔ ｇｎ 是整个入侵检测系统的基础 ，本系统所有 的检测 、 分析 、 响应都是建立在数据收集 Ａ ｅｔ ｇｎ基础上的 。数据 收集 Ａ ｅ ｔ ｇｎ 主要对流经其所在 主机 网络数据包进行截取为后面 得数据 预处理 Ａｅｔ 准备 ， 动数据 Ａ ｅｔ ｇ 做 ｎ 在启 ｇｎ 以前 ， 必须把 网 卡设置 为混 杂模 式 ， 以保证 截获 的数据包完整 ， 数据收集 Ａ ｅｔ ｇｎ 的入侵警告。 检测 Ａ ｅｔ ｇｎ 是实现本系统的关 键部 分。实现 的基本思想是 采用基于规则 匹配 的网络信息搜索机制 ，对收到的数 据包 的内 容进行模式 匹配 ， 从而发现潜在 的入侵行为 。首先 ， 检测 Ａ ｅｔ ｇｎ 从规 则解析器 上获取规则 模式树 ，然后 在规则模式 树 七 用 使 是基 于 ｓｃｅ套 接字 。 ｏｋ ｔ Ｎ ＭＳ计算 各个规则 节点 的好 字符和坏字符 的移动距 离 ，最 后 Ｐ 用规则模式树对数据预处理过的数据包进行模式匹配 ，在进行 四、 数据预 处理 Ａ ｅ ｔ ｇ ｎ 的设计 数 据收集 Ａ ｅ ｔ ｇｎ 捕获 的网络数据信息量非常大 ，如果不加 匹配失败时模式树 在数据包上的移动距 离取其好字符和坏字符 任何处 理的直接交给检测 Ａ ｅｔ ｇｎ 处理势 必增加检测 Ａ ｅｔ ｇｎ 的工 的移动距离中最大移动距离 ，但是其移 动距离不能超过最小模 作量 ， 导致处理 “ 瓶颈”因此我们需要根据特定规则对原始数据 式 的长度 。 。 预处理后 ， 以特征码 的方式将数据传送 到检 测 Ａ ｅｔ这样处 六、 再 ｇｎ， 规则解 析器 理有利于检测 Ａｅｔ ｇｎ检测有效的部分，从而提高检测效率。此 规则解析器的主要功能就是对规则进行解析 。根据效率原 外， 将数据 收集 Ａ ｅｔ ｇｎ和数据预处理 Ａ ｅｔ ｇｎ分离有 利于从不同 则 ， 系统启动时一次加载规则 的方法 ， 采用 由规则解析模块 对规 的数据 源重 复 、 同步 的采集数据 ， 提高系统的整体性能 ， 数据预 则库 中的规则进行解析 ，依次读入规则库 的每条规则 ，进行分 处理 Ａ ｅ ｔ ｇｎ 对收集到 的数据包进行 口分片重组和数据包逐层分 析 ， 配置生成规则模式树 ， 供检测 Ａｅｔ ｇ 使用 。 ｎ 首先规则解析器从特征库 中提取出已经写成文本形式的规 解 ，然后把 已经被逐层分解 的数据包依据相应 的规则生成可 以 被检测 Ａ ｅｔ 以识别 的特征码 。 中包括 Ｉ ｇｎ 可 其 Ｐ层数据处理 、Ｃ 则 ， ＴＰ 然后在把文本形式的规则进规则解析 ， 中解析出规则头和 从 层数据处理和应用层数据 处理 。对 于 Ｉ Ｐ层处理 ， 首先解决 的问 规则选项 ， 并把他们出入 Ｏ ｔｒｅ ｏｅ和 Ｈ ａＮ ｄ 两 个结 构体 ｐ ｅＮ ｄ Ｔ ｅｄ ｏｅ 题 是 ，把分片 的 Ｉ 据报重新拼装起来 ，然后从 中提取出 Ｉ 中。最后 ， Ｐ数 Ｐ 用提取 出来的规则构成规则模式树 。 源 、目的地 址 ， Ｃ源 、目的地址 、传输数据所使用 的协议和 七 、 Ｄ ＭＡ原 理 ＭＡ ＮＩＳ Ｔ Ｐ数据域 ； Ｃ 对于 Ｔ Ｐ层处理的数据是 ： Ｉ Ｃ 从 Ｐ层提取出数据域 ， ＮＤ Ｍ Ｉ Ｓ Ａ通过 把传 统的入 侵检测 系统 的功能 ，分 散 到 ｒ 把该数据 再进行分 解 ， 提取 Ｉ 、 Ｐ源 目的地址 ， 、 源 目的端 口、 序 ＮＤ Ｍ Ｉ Ｓ Ａ的相应 的 Ａ ｅｔ 该模型通过数据收集 Ａ ｅｔ ｇｎ 中， ｇｎ 把数据 号、 连接状态 和应用层报文 ， 经过处理的数据 就可以被数据预处 从底层 网络 中采集上来 主机 中，数据预处理 Ａ ｅｔ ｇｎ 把从底层采 理用来 生成可 以被检测 Ａ ｅ ｔ ｇｎ 识别 的特 征码 ，预处理 Ａ ｅｔ ｇｎ 对 集 的数据进行 Ｉ 分 片重组 ， Ｐ 数据包逐 层分解 ， 生成特征码 等操 于一些 明显 的和不 易生成 特征码 的入 侵有一定 的检测 的作用 作 。检测模块把数据 预处理 Ａ ｅｔ ｇｎ 生成 的特征码与规则库 中的 （ｇｐｎ ｄ ａ 是利用 大量 的 ｉ ｐ在接收端重新装配是来使 规则进行对 比看是否匹配 ， ｅ ：ｉ ｏ ｅｍ， ｇｆ ｃ ｍ 匹配则认为系统受到了入侵 ， 并做相 得接收端的 ｉ ｐ数据报超 出最大允许长度 ， 该攻击 能使 能大部分 应 的处理 。通 信 Ａ ｅ ｔ ｇｎ 负责对各 Ａ ｅｔ 间的通信进行加密 ， ｇｎ之 管 操 作系统崩溃 ， 这时数据预处理 Ａ ｅｔ ｇｎ 重组 网 Ｉ Ｐ数据包时一旦 理消息 的传递 、 系统各主机的身份认证 。并提供接使各级 Ａ ｅｔ ｇｎ 发现这中情况 ， 就直接报警 ） 。 可以进行通信 。监测 Ａ ｅ ｔ ｇｎ 通常是用 来监 测其 他 Ａ ｅｔ ｇｎ 是否正 监测 Ａ ｅ ｔ ｇｎ 是较 高层 的独立实体 ， 它们之间可以相互通信 ， 常运行 。 主控 Ａ ｅｔ ｇｎ 是入侵检测系统 中最高层控制单元 ， 主要 其 这个 Ａ ｅｔ ｇｎ 通常是用来检测其 它的 Ａ ｅｔ ｇｎ 是否正常运转 。监测 功能是对系统 中各节点上 Ａ ｅ ｔ ｇｎ 进行管 理是用户与 系统交互 的 Ａｅｔ ｇｎ 事具有状态监控功能的特殊 Ａ ｅｔ ｇｎ。它对各个 Ａ ｅ ｔ ｇｎ， 判断 接。为用户提供一个管理入侵检测系统的界 面。 它们是否受到攻击 。如果是主控 Ａ ｅｔ 回数据 Ａ ｅｔ 到攻 ｇｎ 巡 ｇｎ 受 小 击只要向服务器和系统管理员进 行报告 。如果检 测 Ａ ｅ ｔ 据 八 、 结 ｇｎ 数
过程 。
关键词 智能人侵检测
中图分类号 Ｔ ３ ３０ Ｐ ９ ．８
Ａｅｔ ｇｎ
Ｉ 重组技术 ＮＤ Ｍ Ｐ ＩＳ Ａ
文献标识码 Ａ 文章编号 １ １ ２ ５ ４ １ — ９ ０ １ ０
Ｓｔ ｄ ｎ Ｉｔ ｌｇ ｎ ｎ ｒｓｏ ｔ ｃｉｎＴｅ ｈ ｉｕ ｕ ｙｏ ｎｅｌ ｅ ｔ ｔｕ ｉｎ Ｄｅｅ ｔ ｃ ｎｑ ｅ ｉ Ｉ ｏ
Ｙｉ ａ ｎＨ ｎ
（ ｎ ｎＣ ｅ ｉａ Ｉｄ ｓｙＶｏ ａ ｏ ｅｈ ｏ ｇ ｓｔｔ Ｄｅ ａ ｍｅ ｔ ｆ Ｈｕ ａ ｈ ｍ ｃｌｎ ｕｔ ｃｔ ｎＴ ｃ ｎ ｌ ｙＩ ｔｕｅ ｐ￣ ｎ ｒ ｉ ｏ ｎｉ ｏ
Ｉｆｒ ｔ ｎＥ ｇｎ ｅｉｇ Ｈｕ ａ Ｚ ｕ ｈ ｕ ｎｏｍａ ｏ ｎ ｉｅｒ ｉ ｎ ｎｎ ｈ ｚｏ ）
智能入侵 检 测技术 的研 究
殷 汉 （ 南化 工职 业技 术学院 信 息工程 息 株 洲 ） 湖
摘 要 网络技术 飞速发展， 网络攻击技术快速更新， 网络安全成为关注焦点 。本文在研究入侵检测系统常用的模式的基 础上 ， 提出 改进的看法 ， 并将基 于多智 能体的网络入侵检测系统（ＩＳ Ａ结入其 中， 给出了 ＮＤ Ｍ ＮＤ Ｍ ） 并 ＩＳ Ａ架构规则和 Ｎ Ｍ 算法 的详细的设计 ＰＳ
ａ ｄｍｕｔ ａｅ ｔ ａｅ ｅ ｏ ｎｒｓ ｎ ｄｔｃ ｏ ｙｔｍ （ Ｉ Ｓ ｎ ｌ－ ｇｎ ｓｄｎ ｔ ｒ ｉｔ ｉ ｅ ｔ ｎｓｓ ｉ ｂ ｗ ｋ ｕｏ ｅｉ ｅ Ｎ Ｄ ＭＡ ） ｏ ｅ ｎｏｏ ｅ ａ ｄｇｖｓｔｅｆ ｍ ｗ ｒ ｆ ｎ ｄ ｓｉｔ ｎ ， ｎ ｉ ａ ｅ ｏｋｏ ｅ ｈ ｒ