專利名稱:一種基于頻繁片段規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域,具體涉及一種用于網(wǎng)絡(luò)入侵檢測(cè)的方法���。
背景技術(shù):
縮略語和關(guān)鍵術(shù)語定義Network Intrusion Detection System (NIDS):網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) Frequent Episode Rules (FER):頻繁片段規(guī)則 Intrusion Detection System (IDS ):入侵檢測(cè)系統(tǒng)隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速普及和各種網(wǎng)絡(luò)新業(yè)務(wù)的不斷興起��,各種網(wǎng)絡(luò)攻擊開始滲透到計(jì) 算機(jī)應(yīng)用的許多領(lǐng)域�����,并且變得越來越嚴(yán)峻����。在IDS尚未出現(xiàn)時(shí)��,網(wǎng)絡(luò)安全管理人員主要依靠人工閱讀網(wǎng)絡(luò)日志來分析是否有網(wǎng)絡(luò)入 侵事件的發(fā)生�。隨著網(wǎng)絡(luò)的發(fā)展,F(xiàn)BI/CSI的統(tǒng)計(jì)數(shù)字表明入侵和攻擊的模式發(fā)生了變化����。在 2003年,70%的攻擊主要來自于外部網(wǎng)絡(luò)��,另30%的攻擊來自于內(nèi)部���。從而促使網(wǎng)絡(luò)安全 領(lǐng)域?qū)W(wǎng)絡(luò)入侵檢測(cè)技術(shù)進(jìn)行研究����,并提出了IDS�����。由干硬件發(fā)展的飛速發(fā)展����,使得IDS對(duì) 網(wǎng)絡(luò)通訊可以進(jìn)行實(shí)時(shí)檢測(cè)和實(shí)時(shí)報(bào)等,形成目前的IDS模式����。目前網(wǎng)絡(luò)安全領(lǐng)域面臨著嚴(yán)重的向題。 一方面當(dāng)今社會(huì)對(duì)網(wǎng)絡(luò)的依翰性日益增加����,而另 一方面網(wǎng)絡(luò)入侵和攻擊事件發(fā)生的次數(shù)也急劇增長(zhǎng)。這兩個(gè)方面相互影響�,前者使得網(wǎng)絡(luò)的 結(jié)構(gòu),協(xié)議及應(yīng)用日漸復(fù)雜�,同時(shí)也造成社會(huì)對(duì)網(wǎng)絡(luò)安全問題的可容忍程度逐步降低。對(duì)干 某些行業(yè)來說��,網(wǎng)絡(luò)出現(xiàn)故障可能不再是一個(gè)小的事故,而是一場(chǎng)災(zāi)難���;為了保障網(wǎng)絡(luò)安全�, 各種網(wǎng)絡(luò)入侵檢測(cè)和防御技術(shù)應(yīng)運(yùn)而生?��,F(xiàn)有的一種網(wǎng)絡(luò)入侵檢測(cè)技術(shù)基于知識(shí)的入侵檢測(cè)技術(shù)��?����;谥R(shí)的入侵檢測(cè)技術(shù)主要通過應(yīng)用已有的知識(shí)對(duì)入侵行為的標(biāo)志進(jìn)行識(shí)別����,從而判 斷網(wǎng)絡(luò)中是否有入侵行為的發(fā)生���。這些標(biāo)志主要包括:對(duì)一個(gè)敏感主機(jī)的登錄失敗次數(shù)���;對(duì)一 個(gè)數(shù)據(jù)的一些標(biāo)志位的設(shè)置是否符合RFC標(biāo)準(zhǔn):以及數(shù)據(jù)包的內(nèi)容是否與某個(gè)已知攻擊方法 的特征代碼相符合等?�;谥R(shí)的入侵檢側(cè)技術(shù)具有較高的準(zhǔn)確度��,但是它的缺點(diǎn)就是在于 對(duì)系統(tǒng)的性能要求高,而且只能檢測(cè)到目前已知的攻擊方法���,對(duì)于未知的攻擊方法沒有檢測(cè) 能力?���,F(xiàn)有的另一種網(wǎng)絡(luò)入侵檢測(cè)技術(shù)基于關(guān)聯(lián)規(guī)則的入侵檢測(cè)技術(shù)�����?���;陉P(guān)聯(lián)規(guī)則的入侵檢測(cè)技術(shù)主要通過利用對(duì)入侵行為的特征利用關(guān)聯(lián)規(guī)則�����,得到其某 一時(shí)刻下的某一個(gè)特征或者某幾個(gè)特征能夠推出該行為為入侵行為的統(tǒng)計(jì)信息����。從而判斷出 該行為是否為入侵行為。該技術(shù)具有一定的檢測(cè)準(zhǔn)確性����,但是該技術(shù)只能對(duì)某一時(shí)刻的特征 進(jìn)行分析,而不能對(duì)一個(gè)時(shí)間片段進(jìn)行分析。使得關(guān)聯(lián)程度不高����,而導(dǎo)致準(zhǔn)確性不夠。發(fā)明內(nèi)容本發(fā)明在現(xiàn)有的關(guān)聯(lián)規(guī)則的入侵檢測(cè)技術(shù)的基礎(chǔ)上����,進(jìn)行改進(jìn),提供一種基于頻繁片段 規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)方法����,其網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確率比基于關(guān)聯(lián)規(guī)則的入侵檢測(cè)技術(shù)更高。本發(fā)明詳細(xì)技術(shù)方案如下一種基于頻繁片段規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)方法��,包括頻繁片段規(guī)則庫生成過程和網(wǎng)絡(luò)入侵 檢測(cè)過程����。所述頻繁片段規(guī)則庫生成過程具體包括以下步驟步驟l、選取一條具有已知行為屬性(正?�;蛘弋惓?的數(shù)據(jù)流D(《《^L《)���,其中"表示數(shù)據(jù)流D(c/,《《L《)由n個(gè)數(shù)據(jù)包構(gòu)成�。步驟2��、設(shè)定由2^6個(gè)不同行為特征組成的行為特征集合S —(行為特征l,行為特征2��,... 行為特征"ir�����,其中2;y��、6; r表示該數(shù)據(jù)流的屬性�����,即該數(shù)據(jù)流為正常行為數(shù)據(jù)流或異常行為數(shù)據(jù)流�。步驟3���、根據(jù)步驟2所設(shè)定的行為特征集合S��,對(duì)步驟1所選取的數(shù)據(jù)流"(《《《L《)的每個(gè)數(shù)據(jù)包��,提取其行為特征值集合G— ( I行為特征l I ��, I行為特征2 I ��, ...�����, I行為特征y I ) ir��,其中"I * I "表示行為特征"*"的具體值��,當(dāng)該數(shù)據(jù)包沒有某個(gè)行為特征時(shí)���,令該行為特征的值為"空"����;當(dāng)該數(shù)據(jù)包所屬的數(shù)據(jù)流為正常行為數(shù)據(jù)流時(shí)�,令r二l;當(dāng)該數(shù)據(jù) 包所屬的數(shù)據(jù)流為異常行為數(shù)據(jù)流時(shí),令7^0��。這樣�����,對(duì)于由w個(gè)數(shù)據(jù)包構(gòu)成的數(shù)據(jù)流�,一 共可得到"個(gè)特征值集合G。步驟4�、對(duì)于步驟3產(chǎn)生的n個(gè)行為特征值集合G,將其中任意&個(gè)(2SA^8)相鄰數(shù)據(jù)包 所產(chǎn)生的A個(gè)行為特征值集合G組合在一起�����,得到一個(gè)頻繁片段//—(G,, G2����, G3, ...���, Gt)����,一共得到"-A:個(gè)頻繁片段�。步驟5���、重復(fù)步驟1一步驟4���,提取下一條已知行為屬性數(shù)據(jù)流的每個(gè)數(shù)據(jù)包的行為特征值 集合G并得到所有頻繁片段,當(dāng)已知行為屬性數(shù)據(jù)流的條數(shù)m^50時(shí)進(jìn)行下一步操作�。步驟6、對(duì)步驟5所得的所有頻繁片段進(jìn)行分類�,將所有A個(gè)行為特征值集合G完全相同的頻繁片段歸屬于同一類頻繁片段。步驟7�����、經(jīng)步驟6對(duì)所有頻繁片段進(jìn)行分類后,設(shè)所有頻繁片段的數(shù)量為J�,所有頻繁片段 的類型的數(shù)量為5,分別計(jì)算每一類型頻繁片段的置信度某一類型頻繁片段的置信度=該類型頻繁片段的重復(fù)個(gè)數(shù)/(該類型頻繁片段的重復(fù)個(gè)數(shù)+與該類型頻繁片段相類似的頻繁片段的重復(fù)個(gè)數(shù))xl00%;這里��,與該類型頻繁片段相類似的頻繁片段指的是頻繁片段的所有fc個(gè)行為特征值集合G中�����,所有的行為特征值相同而r值相反的另一類型的頻繁片段���。經(jīng)上述處理之后����,得到具有相應(yīng)置信度的頻繁片段一頻繁片段規(guī)則�,將所有頻繁片段規(guī) 則置于一個(gè)庫中,形成頻繁片段規(guī)則庫���。經(jīng)上述步驟1至步驟7得到的頻繁片段規(guī)則庫科實(shí)時(shí)更新�����,即當(dāng)獲取一條已知行為屬性的 數(shù)據(jù)流之后�,對(duì)該己知行為屬性的數(shù)據(jù)流進(jìn)行步驟2至步驟7的操作,可得到更新的頻繁片段 規(guī)則庫�。所述網(wǎng)絡(luò)入侵檢測(cè)過程包括以下步驟步驟8、輸入待測(cè)數(shù)據(jù)流D'(《c/2c/3L《)����。步驟9、對(duì)待測(cè)數(shù)據(jù)流D'(《《《L《)的每個(gè)數(shù)據(jù)包���,提取其行為特征值集合G'— ( I行為特征l I ����, I行為特征2 I ���, ...��, I行為特征_/ I ),其中"|*| "表示行為特征"*"的具體 值��,當(dāng)該數(shù)據(jù)包沒有某個(gè)行為特征時(shí)�����,令該行為特征的值為"空"�����; 一共可得到"個(gè)特征值集合G'。步驟IO���、對(duì)于步驟9產(chǎn)生的n個(gè)行為特征值集合G'�����,將其中任意A個(gè)(2^A:《8)相鄰數(shù)據(jù) 包所產(chǎn)生的A個(gè)行為特征值集合G'組合在一起��,得到一個(gè)頻繁片段//'—(《��,G2�����, G3'��,…�, 《')��, 一共得到"-A個(gè)頻繁片段����。步驟11��、將步驟10所得的n-it個(gè)頻繁片段與步驟7所得的頻繁片段規(guī)則庫中的頻繁片段在不考慮r值和置信度的情況下進(jìn)行比對(duì)�����,若在頻繁片段規(guī)則庫中找到一個(gè)r值為"o"且置 信度〉50���。/。的頻繁片段規(guī)則所對(duì)應(yīng)的在不考慮r值和置信度的情況下的頻繁片段與步驟io所得的w-^個(gè)頻繁片段中的某一個(gè)頻繁片段相同����,則認(rèn)為步驟8所述的待測(cè)數(shù)據(jù)流據(jù)流 D'(《《《L《)為異常數(shù)據(jù)流,并進(jìn)行報(bào)警�����;否則�,認(rèn)為步驟8所述的待測(cè)數(shù)據(jù)流據(jù)流 Z)'(^《L《)為正常數(shù)據(jù)流,不進(jìn)行報(bào)警��。本發(fā)明的有益效果是本發(fā)明將頻繁片段規(guī)則用于入侵行為檢測(cè)����,提出的一種基于頻繁片段的網(wǎng)絡(luò)入侵檢測(cè)方 法與基于關(guān)聯(lián)規(guī)則的入侵行為檢測(cè)技術(shù)相比,其網(wǎng)絡(luò)入侵檢測(cè)更加準(zhǔn)確�����,誤報(bào)率更低�����。同時(shí)�����, 本發(fā)明能夠檢測(cè)出未知的網(wǎng)絡(luò)入侵行為�。本發(fā)明不僅可以用于網(wǎng)絡(luò)入侵檢測(cè),還可以用于惡 意程序檢測(cè)���。
圖l本發(fā)明的頻繁片段規(guī)則庫的形成過程示意圖��。 圖2本發(fā)明的網(wǎng)絡(luò)入侵檢測(cè)過程示意圖���。
具體實(shí)施方式
在此,僅對(duì)本發(fā)明技術(shù)方案中的相關(guān)參數(shù)進(jìn)行說明����,不再詳述具體實(shí)施方式
的技術(shù)方案�����。步驟2中所述"2_6個(gè)不同行為特征"的"行為特征"為目的IP地址����、源IP地址���、目 的端口號(hào)���、源端口號(hào)、協(xié)議類型和數(shù)據(jù)包大小����。步驟4中的k取4為宜。當(dāng)獲取一條已知行為屬性的數(shù)據(jù)流之后����,對(duì)該己知行為屬性的數(shù)據(jù)流進(jìn)行步驟2至步驟 7的操作,得到更新的頻繁片段規(guī)則庫����。更新頻繁片段規(guī)則庫的操作可以定時(shí)進(jìn)行,也可以 實(shí)時(shí)進(jìn)行�。
權(quán)利要求
1���、一種基于頻繁片段規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)方法��,包括頻繁片段規(guī)則庫生成過程和網(wǎng)絡(luò)入侵檢測(cè)過程�;所述頻繁片段規(guī)則庫生成過程具體包括以下步驟步驟1、選取一條具有已知行為屬性為正?���;蛘弋惓5臄?shù)據(jù)流D(d1d2d3Ldn),其中n表示數(shù)據(jù)流D(d1d2d3Ldn)由n個(gè)數(shù)據(jù)包構(gòu)成�����;步驟2����、設(shè)定由2-6個(gè)不同行為特征組成的行為特征集合S-(行為特征1,行為特征2����,...行為特征j)|T,其中2≤j≤6�;T表示該數(shù)據(jù)流的屬性,即該數(shù)據(jù)流為正常行為數(shù)據(jù)流或異常行為數(shù)據(jù)流���;步驟3���、根據(jù)步驟2所設(shè)定的行為特征集合S���,對(duì)步驟1所選取的數(shù)據(jù)流D(d1d2d3Ldn)的每個(gè)數(shù)據(jù)包,提取其行為特征值集合G-(|行為特征1|��,|行為特征2|�����,...�����,|行為特征j|)|T�����,其中“|*|”表示行為特征“*”的具體值����,當(dāng)該數(shù)據(jù)包沒有某個(gè)行為特征時(shí),令該行為特征的值為“空”��;當(dāng)該數(shù)據(jù)包所屬的數(shù)據(jù)流為正常行為數(shù)據(jù)流時(shí),令T=1���;當(dāng)該數(shù)據(jù)包所屬的數(shù)據(jù)流為異常行為數(shù)據(jù)流時(shí)�,令T=0����;這樣�,對(duì)于由n個(gè)數(shù)據(jù)包構(gòu)成的數(shù)據(jù)流,一共可得到n個(gè)特征值集合G����;步驟4、對(duì)于步驟3產(chǎn)生的n個(gè)行為特征值集合G���,將其中任意k個(gè)����,2≤k≤8�����,相鄰數(shù)據(jù)包所產(chǎn)生的k個(gè)行為特征值集合G組合在一起�,得到一個(gè)頻繁片段H-(G1�����,G2�����,G3����,...�����,Gk)��,一共得到n-k個(gè)頻繁片段�����;步驟5�����、重復(fù)步驟1-步驟4,提取下一條已知行為屬性數(shù)據(jù)流的每個(gè)數(shù)據(jù)包的行為特征值集合G并得到所有頻繁片段�,當(dāng)已知行為屬性數(shù)據(jù)流的條數(shù)m≥50時(shí)進(jìn)行下一步操作;步驟6���、對(duì)步驟5所得的所有頻繁片段進(jìn)行分類�,將所有k個(gè)行為特征值集合G完全相同的頻繁片段歸屬于同一類頻繁片段����;步驟7、經(jīng)步驟6對(duì)所有頻繁片段進(jìn)行分類后���,設(shè)所有頻繁片段的數(shù)量為A,所有頻繁片段的類型的數(shù)量為B����,分別計(jì)算每一類型頻繁片段的置信度某一類型頻繁片段的置信度=該類型頻繁片段的重復(fù)個(gè)數(shù)/(該類型頻繁片段的重復(fù)個(gè)數(shù)+與該類型頻繁片段相類似的頻繁片段的重復(fù)個(gè)數(shù))×100%;這里��,與該類型頻繁片段相類似的頻繁片段指的是頻繁片段的所有k個(gè)行為特征值集合G中��,所有的行為特征值相同而T值相反的另一類型的頻繁片段��;經(jīng)上述處理之后��,得到具有相應(yīng)置信度的頻繁片段-頻繁片段規(guī)則�����,將所有頻繁片段規(guī)則置于一個(gè)庫中,形成頻繁片段規(guī)則庫�;所述網(wǎng)絡(luò)入侵檢測(cè)過程包括以下步驟步驟8、輸入待測(cè)數(shù)據(jù)流D′(d1d2d3Ldn)��;步驟9���、對(duì)待測(cè)數(shù)據(jù)流D′(d1d2d3Ldn)的每個(gè)數(shù)據(jù)包��,提取其行為特征值集合G′-(|行為特征1|�,|行為特征2|�����,...��,|行為特征j|)���,其中“|*|”表示行為特征“*”的具體值�����,當(dāng)該數(shù)據(jù)包沒有某個(gè)行為特征時(shí)���,令該行為特征的值為“空”�;一共可得到n個(gè)特征值集合G′���;步驟10���、對(duì)于步驟9產(chǎn)生的n個(gè)行為特征值集合G′,將其中任意k個(gè)�,2≤k≤8,相鄰數(shù)據(jù)包所產(chǎn)生的k個(gè)行為特征值集合G′組合在一起���,得到一個(gè)頻繁片段H′-(G1′��,G2′,G3′���,...�,Gk′)��,一共得到n-k個(gè)頻繁片段��;步驟11、將步驟10所得的n-k個(gè)頻繁片段與步驟7所得的頻繁片段規(guī)則庫中的頻繁片段在不考慮T值和置信度的情況下進(jìn)行比對(duì)��,若在頻繁片段規(guī)則庫中找到一個(gè)T值為“0”且置信度>50%的頻繁片段規(guī)則所對(duì)應(yīng)的在不考慮T值和置信度的情況下的頻繁片段與步驟10所得的n-k個(gè)頻繁片段中的某一個(gè)頻繁片段相同�����,則認(rèn)為步驟8所述的待測(cè)數(shù)據(jù)流據(jù)流D′(d1d2d3Ldn)為異常數(shù)據(jù)流�,并進(jìn)行報(bào)警;否則�����,認(rèn)為步驟8所述的待測(cè)數(shù)據(jù)流據(jù)流D′(d1d2d3Ldn)為正常數(shù)據(jù)流�,不進(jìn)行報(bào)警。
2���、 根據(jù)權(quán)利要求1所述的基于頻繁片段規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)方法�����,其特征在于��,步驟2 中所述"2—6個(gè)不同行為特征"的"行為特征"為目的IP地址�、源IP地址����、目的端口號(hào)����、 源端口號(hào)���、協(xié)議類型和數(shù)據(jù)包大小����。
3���、 根據(jù)權(quán)利要求l所述的基于頻繁片段規(guī)則的阿絡(luò)入侵檢測(cè)方法��,其特征在于�,步驟4 中的A:取值為4����。
4���、 根據(jù)權(quán)利要求1所述的基于頻繁片段規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)方法��,其特征在于�,當(dāng)獲取 一條已知行為屬性的數(shù)據(jù)流之后,對(duì)該己知行為屬性的數(shù)據(jù)流進(jìn)行步驟2至步驟7的操作��, 得到更新的頻繁片段規(guī)則庫��。
全文摘要
一種基于頻繁片斷規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)方法��,屬于網(wǎng)絡(luò)安全領(lǐng)域�����,包括頻繁片段規(guī)則庫生成和網(wǎng)絡(luò)入侵檢測(cè)�����。首先對(duì)已知行為屬性的數(shù)據(jù)流按照行為特征集合S-(特征1����,特征2,...特征j)|T(數(shù)據(jù)流屬性)的方式提取行為特征值集合G���;然后將k個(gè)(2≤k≤8)相鄰行為特征值集合G組合成頻繁片段H�����;再對(duì)頻繁片段H進(jìn)行分類和計(jì)算置信度最終形成頻繁片段規(guī)則庫���。檢測(cè)待測(cè)數(shù)據(jù)流時(shí)�,先提取其行為特征值集合G′�����;再組合集合G′形成頻繁片段H′����;最后將頻繁片段H′與頻繁片段規(guī)則庫中的頻繁片段H比對(duì),若在庫中找到一個(gè)T值為“異?��!鼻抑眯哦龋?0%的頻繁片段與一個(gè)頻繁片段H′相同�����,則認(rèn)為待測(cè)數(shù)據(jù)流據(jù)流為異常數(shù)據(jù)流�����。本發(fā)明網(wǎng)絡(luò)入侵檢測(cè)準(zhǔn)確����,誤報(bào)率低�;能檢測(cè)未知網(wǎng)絡(luò)入侵行為;還可以用于惡意程序檢測(cè)�����。
文檔編號(hào)H04L29/06GK101335752SQ20081004462
公開日2008年12月31日 申請(qǐng)日期2008年6月3日 優(yōu)先權(quán)日2008年6月3日
發(fā)明者智 劉, 敏 張, 張小松, 潘小會(huì), 陳大鵬 申請(qǐng)人:電子科技大學(xué)