基于网络规划识别的入侵检测结构

常大俊++李杰++刘舒婷++刘立辉

摘 要

网络攻击已经成为严重威胁网络安全的重要手段，识别和防范网络攻击已经成为网络安全研究的重要趋势。例如TCP SYN拒绝服务攻击、ICMP洪水攻击和UDP洪水攻击等多种攻击方式，因此针对网络攻击识别与防范已经成为网络研究人员的一个重要的研究领域。本文就是以Snort入侵检测系统作为基础，利用网络规划识别技术进行网络攻击行为监测系统结构研究。

【关键词】网络攻击 入侵检测 规划识别 结构研究

网络安全对于网络用户来说至关重要，它关系到个人隐私安全、个人数据安全，而网络与人们日常生活紧密相关，因此对于网络安全研究也逐渐成为研究的重点内容。网络安全研究从传输数据加密到网络攻击防范与预防等经历的不同发展阶段。当前主要采用的网络安全技术就是入侵检测技术，也就是通过监听在网络传输中的数据包，利用相关算法或技术发现网络中可能存在的攻击行为。本文是以网络规划识别作为研究理论，将其应用到基于Snort入侵检测系统中，从而利用统计与智能方式来搜索或获得攻击行为，达到有效的防范和预防措施。

1 入侵检测与规划识别简介

1.1 入侵检测

入侵检测对网络安全来说是至关重要，检测过程和检测结果如何关系到防范和预测网络攻击效果。在当前较多的入侵检测技术中，频繁使用的入侵检测技术是基于Snort入侵检测技术及其系统。Snort检测体系结构主要是由嗅探器、数据包预处理、检索引擎和规则库等多个模块来构成。其中，嗅探器的作用是来捕获网络中传输的数据包和数据流；数据包预处理模块则是对捕获到的数据进行预处理分析，如采用统计分析方式、专家系统方式等；检索引擎作用则是利用预处理后得到的数据特征等相关信息与规则库中的数据特征进行比对根据其比对结果来评判数据是否具有攻击性。

1.2 网络规划识别简介

在1978年由Schmidt、Sridharan和Goodson提出规划识别用于推理其它智能体的规划及目标，到2003年，Yin MingHao在Hong Jun的目标图为基础上提出了利用回归图进行的规划识别。在规划发展过程中主要出现如下几种规划识别方法，即基于Kautz理论的规划识别、基于逻辑的规划识别和基于概率方法的规划识别等方法。经过40多年的发展，规划识别已经成为人工智能研究领域中重要的研究内容。

网络规划识别就是以规划识别作为理论基础，然后将其运用在网络上的一种技术。其主要内容是从网络中传输数据包或数据流中通过特征提取方式来获得特征数据信息，利用规划识别推导出智能目标或规划过程。其推导过程为首先收集来自于网络中的传输数据，然后利用规划识别原理对传输数据进行推导，最后计算出该数据攻击可能的最大概率。

2 基于规划识别的入侵检测结构研究

2.1 规划识别的贝叶斯网络模型结构分析

网络攻击往往会给用户带来极大的麻烦或损失，因此组建较好的入侵检测结构对于网络攻击预防是至关重要的环节。当遭受网络攻击时候，往往需要识别攻击者的意图，因此本文以规划识别与贝叶斯算法结合建立一个入侵过程分析与模拟建模，即通过检索数据包中的数据特征来发现攻击对象和攻击过程。也就是将攻击者最终意图作为根节点，攻击节点之间采用“与”、“或”等逻辑运算来进行节点之间关系建立，然后发现最终目标。在入侵检测系统中，攻击者会实施相关攻击过程且具有顺序性，利用贝叶斯网络就可以推理入侵者意图，即对接受数据包进行关联分析，从而发现攻击目标和攻击意图。

2.2 贝叶斯二次回归规划识别在入侵检测中的结构研究

基于Snort入侵检测系统是当前正在使用的一种检测系统，在进行攻击者进行网络入侵过程中，由Snort在检测中产生相应的数据包信息，将得到的数据信息进行数据关联分析，从而就会得到两种分析结果：一是有攻击意图；二是无攻击意图或无法判断攻击意图。而入侵过程中Snort对数据进行规划识别与采用贝叶斯算法设计的智能网络结构相似，因此可以考虑将贝叶斯理论引入到入侵检测中，然后在此基础上进行二次回归来具体判断攻击者是否发生攻击以及攻击的目标和路径。其基本结构如图1所示。

3 结束语

通过对以往入侵检测系统、网络规划识别技术分析与研究，在本文中提出了一种以原有的贝叶斯网络攻击入侵检测模型为基础，进行了二次回归的网络攻击入侵检测模型及其算法的改进，并且对此结构进行分析。

参考文献

[1]谷文祥，李丽，李丹丹.规划识别的研究及其应用[J].智能系统学报，2007.

[2]李伟生，王宝树.实现规划识别的一种贝叶斯网络[J].西安电子科技大学学报，2002.

作者简介

常大俊（1976-），男，现为长春建筑学院电气信息学院讲师。主要研究方向为计算机软件与理论。

作者单位

长春建筑学院电气信息学院 吉林省长春市 130607