CN101335752B

CN101335752B - 一种基于频繁片段规则的网络入侵检测方法

Info

Publication number: CN101335752B
Application number: CN2008100446214A
Authority: CN
Inventors: 张敏; 张小松; 陈大鹏; 刘智; 潘小会
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2008-06-03
Filing date: 2008-06-03
Publication date: 2011-07-27
Anticipated expiration: 2028-06-03
Also published as: CN101335752A

Abstract

一种基于频繁片断规则的网络入侵检测方法，属于网络安全领域，包括频繁片段规则库生成和网络入侵检测。首先对已知行为属性的数据流按照行为特征集合S-(特征1，特征2，...特征j)|T(数据流属性)的方式提取行为特征值集合G；然后将k个(2≤k≤8)相邻行为特征值集合G组合成频繁片段H；再对频繁片段H进行分类和计算置信度最终形成频繁片段规则库。检测待测数据流时，先提取其行为特征值集合G′；再组合集合G′形成频繁片段H′；最后将频繁片段H′与频繁片段规则库中的频繁片段H比对，若在库中找到一个T值为“异常”且置信度＞50％的频繁片段与一个频繁片段H′相同，则认为待测数据流据流为异常数据流。本发明网络入侵检测准确，误报率低；能检测未知网络入侵行为；还可以用于恶意程序检测。

Description

一种基于频繁片段规则的网络入侵检测方法

技术领域

本发明属于计算机网络安全领域，具体涉及一种用于网络入侵检测的方法。

背景技术

缩略语和关键术语定义：

Network Intrusion Detection System(NIDS)：网络入侵检测系统

Frequent Episode Rules(FER)：频繁片段规则

Intrusion Detection System(IDS)：入侵检测系统

随着计算机网络的迅速普及和各种网络新业务的不断兴起，各种网络攻击开始渗透到计算机应用的许多领域，并且变得越来越严峻。

在IDS尚未出现时，网络安全管理人员主要依靠人工阅读网络日志来分析是否有网络入侵事件的发生。随着网络的发展，FBI/CSI的统计数字表明入侵和攻击的模式发生了变化。在2003年，70％的攻击主要来自于外部网络，另30％的攻击来自于内部。从而促使网络安全领域对网络入侵检测技术进行研究，并提出了IDS。由干硬件发展的飞速发展，使得IDS对网络通讯可以进行实时检测和实时报等，形成目前的IDS模式。

目前网络安全领域面临着严重的向题。一方面当今社会对网络的依翰性日益增加，而另一方面网络入侵和攻击事件发生的次数也急剧增长。这两个方面相互影响，前者使得网络的结构，协议及应用日渐复杂，同时也造成社会对网络安全问题的可容忍程度逐步降低。对干某些行业来说，网络出现故障可能不再是一个小的事故，而是一场灾难；为了保障网络安全，各种网络入侵检测和防御技术应运而生。

现有的一种网络入侵检测技术：基于知识的入侵检测技术。

基于知识的入侵检测技术主要通过应用已有的知识对入侵行为的标志进行识别，从而判断网络中是否有入侵行为的发生。这些标志主要包括：对一个敏感主机的登录失败次数；对一个数据的一些标志位的设置是否符合RFC标准：以及数据包的内容是否与某个已知攻击方法的特征代码相符合等。基于知识的入侵检侧技术具有较高的准确度，但是它的缺点就是在于对系统的性能要求高，而且只能检测到目前已知的攻击方法，对于未知的攻击方法没有检测能力。

现有的另一种网络入侵检测技术：基于关联规则的入侵检测技术。

基于关联规则的入侵检测技术主要通过利用对入侵行为的特征利用关联规则，得到其某一时刻下的某一个特征或者某几个特征能够推出该行为为入侵行为的统计信息。从而判断出该行为是否为入侵行为。该技术具有一定的检测准确性，但是该技术只能对某一时刻的特征进行分析，而不能对一个时间片段进行分析。使得关联程度不高，而导致准确性不够。

发明内容

本发明在现有的关联规则的入侵检测技术的基础上，进行改进，提供一种基于频繁片段规则的网络入侵检测方法，其网络入侵检测的准确率比基于关联规则的入侵检测技术更高。

本发明详细技术方案如下：

一种基于频繁片段规则的网络入侵检测方法，包括频繁片段规则库生成过程和网络入侵检测过程。所述频繁片段规则库生成过程具体包括以下步骤：

步骤1、选取一条具有已知行为属性(正常或者异常)的数据流D(d₁d₂d₃…d_n)，其中n表示数据流D(d₁d₂d₃…d_n)由n个数据包构成。

步骤2、设定由2-6个不同行为特征组成的行为特征集合S-(行为特征1，行为特征2，...行为特征j)|T，其中：2≤j≤6；T表示该数据流的属性，即该数据流为正常行为数据流或异常行为数据流。

步骤3、根据步骤2所设定的行为特征集合S，对步骤1所选取的数据流D(d₁d₂d₃…d_n)的每个数据包，提取其行为特征值集合G-(|行为特征1|，|行为特征2|，...，|行为特征j|)|T，其中：“|*|”表示行为特征“*”的具体值，当该数据包没有某个行为特征时，令该行为特征的值为“空”；当该数据包所属的数据流为正常行为数据流时，令T＝1；当该数据包所属的数据流为异常行为数据流时，令T＝0。这样，对于由n个数据包构成的数据流，一共可得到n个特征值集合G。

步骤4、对于步骤3产生的n个行为特征值集合G，将其中任意k个(2≤k≤8)相邻数据包所产生的k个行为特征值集合G组合在一起，得到一个频繁片段H-(G₁，G₂，G₃，...，G_k)，一共得到n-k+1个频繁片段。

步骤5、重复步骤1-步骤4，提取下一条已知行为属性数据流的每个数据包的行为特征值集合G并得到所有频繁片段，当已知行为属性数据流的条数m≥50时进行下一步操作。

步骤6、对步骤5所得的所有频繁片段进行分类，将所有k个行为特征值集合G完全相同的频繁片段归属于同一类频繁片段。

步骤7、经步骤6对所有频繁片段进行分类后，设所有频繁片段的数量为A，所有频繁片段的类型的数量为B，分别计算每一类型频繁片段的置信度：

某一类型频繁片段的置信度＝该类型频繁片段的重复个数/(该类型频繁片段的重复个数+与该类型频繁片段相类似的频繁片段的重复个数)×100％；这里，与该类型频繁片段相类似的频繁片段指的是频繁片段的所有k个行为特征值集合G中，所有的行为特征值相同而T值相反的另一类型的频繁片段。

经上述处理之后，得到具有相应置信度的频繁片段-频繁片段规则，将所有频繁片段规则置于一个库中，形成频繁片段规则库。

经上述步骤1至步骤7得到的频繁片段规则库科实时更新，即当获取一条已知行为属性的数据流之后，对该已知行为属性的数据流进行步骤2至步骤7的操作，可得到更新的频繁片段规则库。

所述网络入侵检测过程包括以下步骤：

步骤8、输入待测数据流D′(d₁d₂d₃…d_n)。

步骤9、对待测数据流D′(d₁d₂d₃…d_n)的每个数据包，提取其行为特征值集合G′-(|行为特征1|，|行为特征2|，...，|行为特征j|)，其中：“|*|”表示行为特征“*”的具体值，当该数据包没有某个行为特征时，令该行为特征的值为“空”；一共可得到n个特征值集合G′。

步骤10、对于步骤9产生的n个行为特征值集合G′，将其中任意k个(2≤k≤8)相邻数据包所产生的k个行为特征值集合G′组合在一起，得到一个频繁片段H′-(G₁′，G₂′，G₃′，...，G_k′)，一共得到n-k+1个频繁片段。

步骤11、将步骤10所得的n-k+1个频繁片段与步骤7所得的频繁片段规则库中的频繁片段在不考虑T值和置信度的情况下进行比对，若在频繁片段规则库中找到一个T值为“0”且置信度＞50％的频繁片段规则所对应的在不考虑T值和置信度的情况下的频繁片段与步骤10所得的n-k+1个频繁片段中的某一个频繁片段相同，则认为步骤8所述的待测数据流据流D′(d₁d₂d₃…d_n)为异常数据流，并进行报警；否则，认为步骤8所述的待测数据流据流D′(d₁d₂d₃…d_n)为正常数据流，不进行报警。

本发明的有益效果是：

本发明将频繁片段规则用于入侵行为检测，提出的一种基于频繁片段的网络入侵检测方法与基于关联规则的入侵行为检测技术相比，其网络入侵检测更加准确，误报率更低。同时，本发明能够检测出未知的网络入侵行为。本发明不仅可以用于网络入侵检测，还可以用于恶意程序检测。

附图说明

图1本发明的频繁片段规则库的形成过程示意图。

图2本发明的网络入侵检测过程示意图。

具体实施方式

在此，仅对本发明技术方案中的相关参数进行说明，不再详述具体实施方式的技术方案。

步骤2中所述“2-6个不同行为特征”的“行为特征”为目的IP地址、源IP地址、目的端口号、源端口号、协议类型和数据包大小。

步骤4中的k取4为宜。

当获取一条已知行为属性的数据流之后，对该已知行为属性的数据流进行步骤2至步骤7的操作，得到更新的频繁片段规则库。更新频繁片段规则库的操作可以定时进行，也可以实时进行。

Claims

1.一种基于频繁片段规则的网络入侵检测方法，包括频繁片段规则库生成过程和网络入侵检测过程；所述频繁片段规则库生成过程具体包括以下步骤：

步骤1、选取一条具有已知行为属性为正常或者异常的数据流D(d₁d₂d₃…d_n)，其中n表示数据流D(d₁d₂d₃…d_n)由n个数据包构成；

步骤2、设定由2-6个不同行为特征组成的行为特征集合S-(行为特征1，行为特征2，…行为特征j)|T，其中：2≤j≤6；T表示该数据流的行为属性，即该数据流为正常行为数据流或异常行为数据流；

步骤3、根据步骤2所设定的行为特征集合S，对步骤1所选取的数据流D(d₁d₂d₃…d_n)的每个数据包，提取其行为特征值集合G-(|行为特征1|，|行为特征2|，…，|行为特征j|)|T，其中：“|*|”表示行为特征“*”的具体值，当该数据包没有某个行为特征时，令该行为特征的值为“空”；当该数据包所属的数据流为正常行为数据流时，令T＝1；当该数据包所属的数据流为异常行为数据流时，令T＝0；这样，对于由n个数据包构成的数据流，一共可得到n个行为特征值集合G；

步骤4、对于步骤3产生的n个行为特征值集合G，将其中任意k个，2≤k≤8，相邻数据包所产生的k个行为特征值集合G组合在一起，得到一个频繁片段H-(G₁，G₂，G₃，…，G_k)，一共得到n-k+1个频繁片段；

步骤5、重复步骤1-步骤4，提取下一条已知行为属性数据流的每个数据包的行为特征值集合G并得到所有频繁片段，当已知行为属性数据流的条数m≥50时进行下一步操作；

步骤6、对步骤5所得的所有频繁片段进行分类，将所有k个行为特征值集合G完全相同的频繁片段归属于同一类频繁片段；

某一类型频繁片段的置信度＝该类型频繁片段的重复个数/(该类型频繁片段的重复个数+与该类型频繁片段相类似的频繁片段的重复个数)×100％；这里，与该类型频繁片段相类似的频繁片段指的是频繁片段的所有k个行为特征值集合G中，所有的行为特征值相同而T值相反的另一类型的频繁片段；

经上述处理之后，得到具有相应置信度的频繁片段—频繁片段规则，将所有频繁片段规则置于一个库中，形成频繁片段规则库；

所述网络入侵检测过程包括以下步骤：

步骤8、输入待测数据流D′(d₁d₂d₃…d_n)；

步骤9、对待测数据流D′(d₁d₂d₃…d_n)的每个数据包，提取其行为特征值集合G′-(|行为特征1|，|行为特征2|，…，|行为特征j|)，其中：“|*|”表示行为特征“*”的具体值，当该数据包没有某个行为特征时，令该行为特征的值为“空”；一共可得到n个行为特征值集合G′；

步骤10、对于步骤9产生的n个行为特征值集合G′，将其中任意k个，2≤k≤8，相邻数据包所产生的k个行为特征值集合G′组合在一起，得到一个频繁片段H′-(G₁′，G₂′，G₃′，…，G_k′)，一共得到n-k+1个频繁片段；

步骤11、将步骤10所得的n-k+1个频繁片段与步骤7所得的频繁片段规则库中的频繁片段在不考虑T值和置信度的情况下进行比对，若在频繁片段规则库中找到一个T值为“0”且置信度＞50％的频繁片段规则所对应的在不考虑T值和置信度的情况下的频繁片段与步骤10所得的n-k+1个频繁片段中的某一个频繁片段相同，则认为步骤8所述的待测数据流D′(d₁d₂d₃…d_n)为异常数据流，并进行报警；否则，认为步骤8所述的待测数据流D′(d₁d₂d₃…d_n)为正常数据流，不进行报警。

2.根据权利要求1所述的基于频繁片段规则的网络入侵检测方法，其特征在于，步骤2中所述“2-6个不同行为特征”的“行为特征”为目的IP地址、源IP地址、目的端口号、源端口号、协议类型和数据包大小。

3.根据权利要求1所述的基于频繁片段规则的网络入侵检测方法，其特征在于，步骤4中的k取值为4。

4.根据权利要求1所述的基于频繁片段规则的网络入侵检测方法，其特征在于，当获取一条已知行为属性的数据流之后，对该已知行为属性的数据流进行步骤2至步骤7的操作，得到更新的频繁片段规则库。