基于网络通信行为分析的入侵检测技术研究*

胡万志封 旭宾哲桂

(1.广西现代职业技术学院,广西 河池547000;2.柳州城市职业学院,广西 柳州545036;3.柳州职业技术学院,广西 柳州545006)

0 引言

随着人们对网络安全的重视程度越来越高,入侵检测技术作为一种行之有效的被动防护技术,一直受到学术界和工业界的广泛重视.[1-2]在过去的一二十年的网络安全实践过程中,入侵检测技术在防护网络入侵、拦截网络攻击行为过程中发挥了极其重要的作用.[3-4]人们对入侵检测技术的研究也持续地关注,在这其中,比较有代表性的研究成果主要有：佟桓夫、霍美希等人提出的网络入侵检测模型,对网络入侵检测方法进行了抽象与建模.[5]杨雅辉、姜电波等人提出了一种基于改进的GHSOM的入侵检测研究,详细分析了GHSOM的入侵检测方法及改进策略和效果.[6]李文提出了一种基于特征选择的网络入侵检测模型,将入侵检测过程中的特征选取与建模分析结合起来.[7]

入侵检测技术中最为关键的是如何定义入侵行为,并准确地刻画入侵行为的特征.传统的基于特征匹配的入侵检测模式,通过采集和提取各种入侵检测行为的特征,以此作为检测的依据,具有检测速度快,检测精度高的优点.[8]但是,基于特征匹配的入侵检测行为存在最大的问题时样本特征如何提取,过去对于已知样本的入侵检测过程,往往是通过对攻击程序的代码特征作为样本特征.[9-10]然而,随着攻击样本变异、加壳、编译多样化等技术的应用,攻击样本的特征已经变得模糊化、多样化和不确定化等发展趋势,这直接导致传统的基于特征匹配的入侵检测模式的有效性受到极大的挑战.[11]除此之外,基于特征匹配的检测模式还有一个共性的问题,即检测的滞后性,[12]由于这种检测模式是基于预先采集并提取的特征才能进行检测,因此,对于一些未知的入侵行为,无法进行有效的检测.[13]

为了解决传统入侵检测模式存在的不足,笔者设计一种基于通信行为的入侵检测模式,力图通过对入侵行为进行建模与分析,建立入侵行为的共性特征,以一种模糊化的方式对入侵行为进行描述或概况,无论攻击样本如何加壳或变异,只要其具有入侵的行为目的,都能够实现对入侵行为的检测,这种检测方式也能够实现对一些未知攻击行为的检测.

1 通信行为属性分析

网络通信行为是一个抽象笼统的概念,为了能够设计并实现入侵检测分类算法,需要对网络通信行为进行特征抽取与建模,将抽象的网络通信行为特征量化表示.本文通过网络通信行为的建模分析,建立了网络通信行为属性结构,如图1所示.

图1 网络通信行为属性结构Fig.1 Network communication behavior attribute structure

样本数据的通信行为特征按通信对象特征、通信数据特征和通信过程特征分为三大类.其中通信对象特征主要用于描述通信对象的相关信息特征,是区分通信实体属性的一类特征.由于有些恶意程序在部署、分布等方面具有一定特殊性,因此以通信对象特征进行属性特征提取具有合理性.通信数据特征是通信行为特征中的主要特征,恶意程序网络通信过程中所呈现出来的特征和规律相当一部分是在数据层面表示出来,因此,对于通信数据的特征规律需要进行深度的挖掘.通信过程特征是从通信行为的整体上描述通信的规律,前两类的通信属性特征都具有局部性的特征,往往只关注了通信行为的一个单点的特点或规律,不能对整个通信过程的特征进行记录,通信过程特征则专门关注这一类的属性特征.

通信对象特征主要包括：IP地址、端口号、特殊名单对象(白名单对象、黑名单对象)、对象所属逻辑区域、对象所属地理区域、对象操作系统类型、对象进程类型等类型.通信数据特征主要包括：应用协议号、上传下载比、数据包大小、会话包总个数、小包个数、大包个数.通信过程特征主要包括：建立连接方式、心跳间隔、会话时长.

2 入侵检测识别分类算法

入侵检测识别分类算法有多种,比较常见的主要有基于决策树的分类算法、基于聚类的分类算法等等.其中,基于决策树的分类算法简单易于理解,通过构建与被检测对象完全匹配的检测判别决策树,能够快速地检测出预期要检测的对象.基于聚类的分类算法,采用聚类算法,对被检测对象进行分析和计算,实现过程相对更复杂,检测结果主要取决于分类算法的计算能力.从目前对聚类算法的研究来看,对于单变量或变量较少的问题时,采用聚类算法能够取得较理想的处理效果,对于复杂的分类问题,变量数量很多时,聚类算法的处理能力难以满足分类的需求,对样本的分类效果也不理想.

本文研究的基于网络通信行为的入侵检测技术,其待分类问题的属性变量多,不适合用聚类算法进行分类处理.以本文构建的网络通信行为属性特征模型为例,其包括的网络通信行为特征达十多个变量,属于复杂分类对象的问题.另一方面,对网络入侵程序的网络通信行为分析可以发现,入侵程序的通信行为具有一定的特征,但这类特征一般都是比较模糊的,难以定量地判定该程序就是网络入侵程序.以网络入侵程序的心跳数据为例,这是一个典型的入侵程序具有的行为特征,然而,心跳周期究竟定多长?心跳的频度究竟定多少?才能满足入侵程序的行为特征,这并没有统一的答案.尤其是,随着的技术和网络应用的不断发展,现在已经出现了一些常规的C/S应用系统,其工作过程中也具有心跳数据规律.而一些真正的恶意入侵程序,其心跳的间隔和频度都在朝变长、随机化的方向发展,这种现状导致网络入侵行为的检测很难用单一、量化的参数或条件进行检测与判断.为此,本文提出了基于神经网络的网络入侵行为检测识别分类算法.

本文设计的基于神经网络的入侵检测识别分类算法,通过大量样本数据的训练,提高入侵检测识别分类算法的精度.选用的神经网络结构如图2所示.神经网络总共分为三层,分别是数据输入层、隐含层和数据输出层.其中数据输入层的单元数与通信行为属性特征的数量相同,有多少个通信行为的属性特征,则设计多少个神经网络输入层,从而使得神经网络能够接受所有通信行为属性特征参数,隐含层的单元数量是输入层的2倍.由于神经网络是通过构建线性多项式逼近非线性问题,因此设计隐含层的单元数大于输入层,可以训练出表示能力更强、更能逼近现实问题的多项式.输出层包含两个单元,分别对应网络通信行为检测的输出结果,判断所输入的网络通信行为数据是否属于入侵行为.

图2 入侵检测识别中的神经网络结构Fig.2 Neural network structure in intrusion detection and recognition

神经网络训练时,首先构建样本数据集,采集有代表性的大量网络入侵样本数据,以典型的木马、恶意程序等攻击程序的通信数据流作为样本数据.按照网络入侵行为检测数据属性特征模型,对所有的样本数据进行特征采集与分类,构建出每个网络入侵行为的样本参数项.通过多个样本的采集与特征抽取,建立训练样本库.与此同时,对正常的网络通信流量也进行采样,同样安装网络通信行为属性特征模型,对每一种特征不一样的正常通信流量分析,采集正常通信条件下的网络通信流量,建立起正常网络通信流量中的样本库.之后设定神经网络初始参数,将网络入侵行为的通信流量和正常网络通信行为的流量分别输入至神经网络,开始对神经网络进行训练.在训练过程中,可以根据训练的结果对训练过程进行干预,包括提前终止训练过程,根据训练结果验证训练效果等等.

3 基于网络通信行为分析的入侵检测模型

目前网络攻击程序绝大多数仍然采用C/S的控制模式,这种控制模式的根源是进入到目标计算机中的攻击程序需要与外部控制端进行通信与数据交换.以传统的木马为例,其一般都包括植入到目标计算机中的前段程序与远程的后端程序两部分,其中前段程序可以有多个,分布在不同的计算机中,这就形成了典型的服务器-客户端的工作模式.前端程序工作时,需要接收后端控制程序的指令,并依据控制指令完成一定的执行动作,之后将执行结果反馈给控制端程序.在这一过程,需要多次传输控制命令、数据交换等通信操作.随着技术的发展,这种木马的工作方式有了一些新的变形,比如有些木马的前端程序中加入了智能决策模块,能够自主地分析周围网络的情况,并做出后续的执行动作,减少了前端程序与后端控制的信息交互次数.但是,无论怎么发展和创新,只是对木马的控制实现方式进行了一些变化,并没有彻底打破攻击程序的这种C/S控制模式.因此,这类网络攻击程序在通信行为上依然存在很多的共性特征.

本文设计的基于网络通信行为分析的入侵检测模型,则是针对网络攻击程序的特性行为特征进行建模与分析,实现对网络入侵行为的检测目的.入侵检测模型结构如图3所示.入侵检测模型主要有三部分组成,分别是入侵行为特征采集模块、入侵行为特征训练模块、入侵行为检测模块.其中,入侵行为的检测结果可以进行人工干预,干预后的数据可以重新送入入侵行为特征训练模块,对之前得到的训练规则进行修正,从而实现了自动学习和进化的检测能力,使得所设计的入侵检测模型不仅能够检测到未知的入侵行为,还能够自动升级更新检测规则,实现更优的检测效果.

图3 基于网络通信行为分析的入侵检测模型Fig.3 Intrusion Detection Model Based on Network Communication Behavior Analysis

4 总结

网络入侵检测是对网络攻击行为进行检测及预警的重要途径,随着攻击技术的提升和攻击手段的不断变化,入侵检测技术面临极大的技术挑战.研究和设计基于通信行为分析的网络入侵检测跳出了传统基于特征匹配的检测模式,是一种智能化的检测模型,通过对通信行为的抽取与建模,构建的检测系统不仅能够对已知攻击行为进行检测,还能够对未知的网络攻击行为进行检测.