分级匹配提高滥用检测效率

滥用检测技术是当今入侵检测常用的一种技术, 但由于传统的匹配效率过低, 特别是在处理海量数据时更是望尘莫及, 本文在原有匹配的原理上进行分级匹配, 对那些发生概率较高的事件优先匹配, 减少逐个事件的匹配时间, 从而提高滥用检测的工作效率。

1 基于专家系统的监测原理

从数据分析手段看, 入侵检测通常可以分为两类:滥用 (misuse) 入侵检测技术和异常 (anomaly) 入侵检测。滥用入侵检测的技术基础是分析各种类型的攻击手段, 并找出可能的“攻击特征”集合。滥用入侵检测利用这些特征集合或者是对应的规则集合, 对当前的数据来源进行各种处理后, 再进行特征匹配或者规则匹配工作, 如果发现满需条件的匹配, 则知道发生了一次攻击行为。这里所指的“特征”匹配根据普通具体时手段而不同, 从最基本的字符串匹配, 到基于状态转移的分析模型等。根据数据来源的不同, “特征”的含义也随之不同, 甚至在同一数据来源的入侵检测系统中, “特征”的含义也是随着不同的实现而不同。

专家系统应用于IDS, 就是充分利用安全专家的知识通过有效的推理, 将所获取的网络数据与专家知识进行匹配, 判断是否为入侵行为, 如果判断是入侵, 则执行响应, 并做出相应的处理。

专家系统检测体统结构。

1.1 检测知识库

用来存放检测规则, 这些规则由安全专家提供, 通过知识获取模块获得。

1.2 推理机

是构成专家系统的核心部分, 模拟领域专家的思维过程, 控制并执行对问题的求解。

1.3 综合数据库

用来存放所获取的各种网络和主机数据, 推理中间结果和最终结果, 其中内容是不断变化的, 数据库的工作效率将直接影响到IDS的运行性能。

1.4 解释接口

专家系统利用解释机构跟踪并记录推理过程, 当用户提出询问时给出解释。解释接口不但可以对自己的行为作出解释, 还可以帮助系统建造者发现知识库和推理机的错误, 有助于对系统的调试及维护。

专家系统的建立依赖与知识库的完备性, 而知识库的完备性则取决于审计记录的完备性与实时性。入侵的特征抽取与表达式入侵检测专家系统的关键。

2 滥用检测技术存在的不足

2.1 漏警问题

滥用检测系统的漏警主要表现在, 不能检测未知的攻击。知识库中的知识是根据已知攻击方法, 已知安全漏洞和网络安全策略的特征建立, 只对已经出现过的攻击具有检测能力, 对新的攻击及利用未知或者潜在缺陷的越权行为无检测能力。不能检测攻击变体:现有的攻击知识库, 对攻击过程的描述采用精确方式, 检测匹配过程大多情况下是按照过程精确匹配, 因此如果攻击者对攻击过程采作些改变, 就不能被检测。

2.2 系统的复杂性与效率问题

目前广泛使用产生式规则表示知识, 把知识转换成计算机可以存储的形式存入知识库。推理时按照一定的匹配算法和搜索策略寻找所需的知识, 这种表示和处理方式需要对知识进行合理的组织与管理, 而且由于知识搜索时一串行的计算过程, 必须解决冲突等问题, 产生推理的复杂性, 组合爆炸及无穷递归等问题, 当系统的知识库较大时, 问题将会更加突出, 导致系统运行效率低下。

2.3 精确匹配问题

基于规则系统的关键是事实与规则前提的匹配, 计算机可实现“句法”的精确匹配, 但对于“语义”相近的语句的匹配却是一个困难的问题。实践证明, 当规则数太大时 (比如一万条以上) , 知识库一致性维护将十分困难, 系统推理的效率也将快速下降。在处理海量数据时存在效率低下问题, 由于专家系统的推理和决策模块通常使用解释型语言, 实行速度比较慢, 缺乏有效性, 高速的数据匹配模式, 在进行数据匹配时面对大量的数据, 匹配方法单一。

3 多级匹配, 提高检测效率

鉴于滥用检测技术中匹配的单一性直接导致了检测系统效率低下, 所以应该对匹配规则进行改进从而提高检测效率。

具统计, 在一段时间里受到多种病毒同时攻击的概率是很小的, 也就是说, 在一定时间里往往是由少数的几种病毒对机器进行入侵。我们可以从入侵事件的概率出发, 将入侵事件分出等级, 对经常发生攻击的事件优先进行分析和特征匹配, 从而减少笼统的匹配所消耗的时间, 从而提高检测效率。

当获取到网络和主机数据时检测知识库先进行初级匹配, 如果发现是网络入侵, 执行响应并且记录这个事件, 如果在初级匹配后没有发现有任何异常, 再进行下一级匹配。经过一定时间后将所有发生的入侵事件进行统计, 分析出那些事件出经常发生, 一般发生和很少发生, 再重新改变匹配规则的级别, 将经常发生的事件匹配规则放在最先。如果下一次依然是同一种入侵事件的话, 它将最早判别出来。这样不必再到下一级里进行匹配就可以检测出来, 也不必在海量的数据面前逐个匹配。如果一个事件在初级匹配后没有发现异常, 再放置到第二级, 在第二级进行的匹配, 看是否还是属于入侵事件。

分级匹配的原理就如库房物品出入库一样, 经过一段时间的统计对那些经常要出入物品概率进行分析, 经常出入的物品摆放在容易找到的地方, 这样就不必查找整个库房, 从而减少了查找时间。

4 结语

面对现在病毒种类和数量很多的情况下, 以发生事件的概率出发, 对匹配规则做出改进, 将那些经常入侵的事件先进匹配, 尽量减少整体匹配时所消耗的时间来提高检测效率。但要想提高整体的检测效率还得从每一个检测模块进行合理的和最优的分配, 才能提高整体的滥用检测效率。

摘要：滥用检测技术是入侵检测一个重要的方法, 但由于匹配的单一性, 特别是在处理海量数据时效率低下, 在原有的匹配原理上按照入侵事件发生的概率对匹配规则进行分级, 将发生较高的事件提前匹配, 提高工作效率。

关键词：分级匹配,滥用检测,入侵检测,专家系统

参考文献

[1] 胡昌振.网络入侵检测原理与技术[M].北京理工大学出版社.

[2] 谢希仁.计算机网络[M].电子工业出版社.

[3] 曹大元.入侵检测技术[M].人民邮电出版社.

[4] 蒋盛益.基于聚类的入侵检测算法研究[M].科学出版社.