计算机网络安全维护中入侵检测技术的运用实践

姜立

摘要：随着计算机网络技术的发展，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求，于是人们提出了基于网络的入侵检测系统体系结构，这种检测系统根据网络流量、单台或多台主机的审计数据检测入侵。本文将主要探讨计算机网络安全维护中入侵检测技术的运用。

关键词：计算机；网络安全；入侵检测技术

基于网络的入侵检测系统的数据源是网络流量，它实时监视并分析通过网络的所有通信业务，检测范围是整个网络，由于网络数据是规范的TCP/IP协议数据包，所以基于网络的入侵检测系统比较易于实现[1]。但它只能检测出远程入侵，对于本地入侵它是看不到的。

1入侵检测技术概述

探测器一般由过滤器、网络接口引擎器以及过滤规则决策器构成，其功能是按一定的规则从网络上获取与安全事件相关的数据包，然后传递给分析引擎器进行安全分析判断。分析引擎器将从探测器上接收到的包结合网络安全数据库进行分析，把分析的结果传递给配置构造器。配置构造器根据分析引擎的结果构造出探测器所需要的配置规则。分析引擎器是它的一个重要部件，用来分析网络数据中的异常现象或可疑迹象，并提取出异常标志。分析引擎器的分析和判断决定了具有什么样特征的网络数据流是非正常的网络行为，它常用的4种入侵和攻击识别技术包括根据模式、表达式或字节匹配；利用出现频率或穿越阀值；根据次要事件的相关性；统计学意义上的非常规现象检测[2]。

2计算机网络安全的现状

在新系统的设计中，利用数据挖掘技术从系统日志、系统调用序列、网络流等大量数据中提取与安全相关的系统特征属性，为了高效地利用特征属性，采用特征向量集代替特征属性变量集，设计中采用遗传算法选择其特征子集，以降低入侵检测系统的负荷。进行数据挖掘时，所选用的安全审计数据须具备以下特点：

（1）相对于正常的用户和系统行为，攻击事件的发生概率很小[2]。

（2）在正常情况下所选用的安全审计数据非常稳定。

（3）攻击事件的发生会使安全审计数据的某些特征变量明显偏离正常值。

特权程序一般都具有最高权限，因此特权程序一直是攻击者的主要目标。通过研究发现，对特权程序，系统调用序列较好地满足了数据挖掘对安全审计数据提出的要求，是理想的挖掘数据源。国外有关研究机构还提供了大量的有关系统调用序列的数据供IDS的研究者下载使用，基本上满足了完备性的要求。

系统调用序列检测的工作主要流程如下：

（1）准备训练数据集，该数据集中数据记录具有广泛的代表性，即具有较高的支持度；所有数据已经被准确标识为正常或异常，采用有关系统调用序列的数据作为分类器的训练数据集。

（2）用RIPPER算法分析训练数据集，提取特征属性，生成规则。

（3）基于所生成的规则，用滑动窗口法分析待检测系统调用序列[3]。

3入侵检测系统在计算机网络安全维护中的应用

为进一步提高IDS的性能，减少IDS组件对被保护系统的负荷，所设计的新人侵检测系统采用特征向量集代替特征属性变量集（短序列集），在数据挖掘时产生了更简单、准确的入侵判别规则集。在此基础上进一步研究用特征向量子集代替特征向量集，采用遗传算法优化特征向量子集的选择过程，使IDS的性能得到进一步的提升[3]。

在系统调用序列数据的挖掘过程中使用特征向量法，用特征向量的一位标识一个短序列，用挖掘算法能从特征向量集中找出检测入侵的规则来。由于短序列的数量较大，导致特征向量位数过大，特征向量集也相应过大。为了更高效可行地使用数据挖掘算法，采用遗传算法对特征向量集进行优化，寻找特征子集，利于后续的数据挖掘[4]。

该最优个体必然是0、1交替的位串，将其所有1所在位置进行分析，可以得到1所在位置代表的短序列集，即为寻找的特征子集。后续挖掘算法根据该特征子集中的短序列，对训练数据进行分类等挖掘工作。

采用标准交叉算子和变异算子，交叉概率取0.6，变异概率取0.001。遗传过程中，个体的选择比较复杂。因为这里是针对入侵检测进行的优化，所以在选择个体时，是将该个体代表的入选子集的短序列应用到数据分类算法（RIPPER），该算法训练数据并应用规则得到测试数据，根据检测的性能来确定上述要选择的个体的适应度值。根据个体的适应度值就可以对其进行选择，继续遗传优化工作。研究表明，个体的适应值可以取决于有多少攻击被正确检测和正常使用连接被误判为攻击，同时考虑个体中置1位的数目，本系统设计的适应度函数为[4]：

[F（xi）=[（a/A）-（b/B）]δm]

式中：[xi]为某个个体，a为正确检测到的攻击数目；A为总有攻击数目；b为被误判为攻击的连接数；B为总的正常连接数；m为[xi]中1的个数；[δm]为m对于该适应度函数的相关系数，即高检出率低误报率使适应度函数值高，低检出率高误报率使适应度函数值低。个体中置l的位数越少，适应度值越大，这是出于寻找最小特征子集的考虑，其影响的强弱由相关系数d去控制。

if

{

一个网络连接有如下特征：

源IP地址d2.Of.**.**；

目标IP地址c0.a8.a*.**；

源端口号43226；

目标端口号80；

持续时间482 s；

终止状态（由发起连接的人终止连接）11；

使用协议（TCP协议）2；

发送方发送了7341B；

接收方接收了37761B；

}

then

{

终止该连接；

}

结论

总之，入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行人侵检测的软件与硬件的组合便是入侵检测系统。

参考文献：

[1]杨岭. 基于网络安全维护的计算机网络安全技术应用研究[J]. 信息系统工程，2015，01：77.

[2]张旭东. 基于混合数据挖掘方法的入侵检测算法研究[J]. 信息安全与技术，2015，02：31-33.

[3]代新颖. 计算机网络安全问题及其防范措施[J]. 电子制作，2015，02：169-170.

[4]孙福兆. 基于改进加权关联规则算法的入侵检测系统的设计[J]. 科技与创新，2015，04：84.endprint