CN103748988B

CN103748988B - 一种基于模糊不确定性推理的攻击检测方法

Info

Publication number: CN103748988B
Application number: CN200910121549.5A
Authority: CN
Inventors: 胡昌振; 危胜军
Original assignee: Beijing Institute of Technology BIT
Current assignee: Beijing Institute of Technology BIT
Filing date: 2009-06-12
Publication date: 2010-10-06
Anticipated expiration: 2029-06-12

Abstract

本发明涉及一种基于模糊不确定性推理的攻击检测方法，属于网络信息安全技术领域。适用于误用检测系统。本发明在提取模糊攻击特征以及建立模糊知识模板的基础上，采用模糊推理技术对攻击发生的可能性进行检测。误用检测系统采用本发明方法，能够有效的提高对攻击行为及其变体的检测准确率。

Description

一种基于模糊不确定性推理的攻击检测方法

技术领域

本发明涉及一种基于模糊不确定性推理的攻击检测方法，属于网络信息安全技术领域。适用于误用检测系统。

背景技术

网络攻击检测技术是从网络中收集可能含有攻击痕迹的日志数据，通过对数据进行分析来发现可能存在的攻击行为。从检测方法的角度可将入侵检测技术分为两类：异常检测和误用检测。误用检测技术需要事先建立攻击知识模板，再从日志数据中提炼出攻击证据，通过将攻击证据与攻击知识模板进行匹配，如果相符则认为是攻击；否则，不认为是攻击。

目前误用检测主要采用确定性推理技术，即推理过程中知识模板和匹配过程都是精确的。基于确定性推理技术的误用检测能够对某一种网络攻击进行检测，而不能对该攻击的变体进行检测，也就是说如果攻击者将攻击的过程做少许变动，就能避开误用检测。造成这一问题的原因是由于误用检测的方式是一种精确的过程。精确性包含两个方面的含义：知识模板是精确的，模板匹配也是精确的。因此如果攻击过程稍稍偏离模板定义的过程，则匹配结果就不相符，导致不能检测出相应的攻击行为。

发明内容

本发明的目的是为了克服误用检测中确定性推理技术存在的不足，提出一种基于模糊不确定性推理的攻击检测方法。本发明在提取模糊攻击特征以及建立模糊知识模板的基础上，采用模糊推理技术对攻击发生的可能性进行检测。误用检测系统采用本发明提出的方法，能够提高对攻击行为及其变体的检测准确率。

本发明的一种基于模糊不确定性推理的攻击检测方法整体框架设计流程如图1所示。具体实现步骤如下：

步骤一、建立模糊攻击知识模板

第1步：提取模糊攻击特征

通过对某一类攻击进行详细分析，提取出针对该类攻击的一组模糊特征，表示为x_j(j＝1，2，…，n)；

第2步：建立模糊知识模板

根据领域专家的经验和知识，利用第1步提取的模糊特征建立模糊知识模板。模糊知识模板由一组IF和THEN语句组成，如下：

其中

是模糊特征x_j(j＝1，2，…，n)的取值范围X_j上的模糊集合，是攻击可能性y的取值范围Y上的模糊集合。

步骤二、建立隶属函数库

在步骤一的基础上，根据领域专家的经验和知识建立模糊知识模板中模糊集合的隶属函数，生成隶属函数库。定义模糊集合

和(i＝1，2，…，m，j＝1，2，…，n)对应的隶属函数分别为

和

较佳的，隶属函数采用梯形隶属函数和三角形隶属函数。

步骤三、采集模糊证据

在步骤一的基础上，通过收集网络数据包、操作系统日志、应用系统日志等，对收集到的数据进行初步过滤后，计算模糊特征x_j的具体数量值，用

表示。

步骤四、模糊化

在步骤二和步骤三的基础上，将模糊特征x_j的值

代入步骤二中建立的隶属函数，得到对应的隶属度值，用

表示，即为模糊化后的模糊证据。

步骤五、进行模糊推理

在步骤四的基础上，进行模糊推理。具体步骤如下：

第1步：建立模糊蕴含关系的隶属函数

根据步骤一建立的模糊知识模板确定特征变量x_j(j＝1，2，…，n)与攻击类型y之间的一个模糊蕴含关系，用

表示。模糊关系

的隶属函数由下式求得：

其中运算符∧和∨分别是逻辑“与”和逻辑“或”运算。

第2步：进行模糊推理

利用步骤四中得到的模糊证据

进行模糊推理，得到攻击y的可能性的模糊集合

模糊集合的隶属函数计算如下：

步骤六、去模糊化

针对步骤五得到的攻击y发生可能性的模糊集合

取其隶属函数曲线与横坐标轴围成面积的重心作为攻击y发生可能性的具体值，计算公式如下：

u = \frac{&Integral; y μ_{{\tilde{B}}^{'}} (y) dy}{{&Integral; μ}_{{\tilde{B}}^{'}} (y) dy} - - - (3)

其中，u值是一个0到1之间的数，表示通过模糊推理得到的某一攻击发生的可能性大小。

有益效果

基于模糊不确定性推理的攻击检测中，知识模板和匹配过程都是不精确的，这种不精确性使得检测过程中即使检测量在一定范围内发生了变动，同样也能够检测到相应的攻击行为，也就是说，如果攻击者将攻击的过程做少许变动，检测结果不是相符或者不相符，而是某一攻击发生的可能性发生了变化，因此，基于模糊不确定性推理的攻击检测方法能够在一定程度上对攻击及其变体进行检测。

附图说明

图1为本发明的一种基于模糊不确定性推理的攻击检测方法的整体框架设计流程图；

图2为本发明实施例的s取值模糊集合的隶属函数；

图3为本发明实施例的y取值模糊集合的隶属函数。

具体实施方式

根据上述技术方案，下面结合附图和实施例对本发明进行详细说明。

以口令暴力破解攻击为例对本发明的实施过程进行说明。

首先建立攻击的模糊知识模板，再通过模糊推理对该攻击及其变体进行检测。

口令破解一般采用暴力破解软件进行破解，其原理是从一个事先定义好的口令字典库中顺序读取口令，通过尝试的方式进行破解。破解过程中的口令字典和口令尝试的速率都可以自定义。目前对口令破解的检测方法是通过对尝试失败的次数特征进行检测，是一种基于确定性推理技术的检测方法，其规则如下：

IF在T₀时间内口令尝试失败的次数x大于N₀THEN攻击y是口令破解攻击。

其中T₀和N₀都是固定的数量值，如果在T₀时间内检测到尝试失败的次数x大于N₀，则认为是攻击，否则不是攻击。

针对上述检测规则，攻击者可以降低口令尝试的频率，只要在T₀时间内尝试的次数小于N₀都是正常的，因此攻击者可以改变攻击的方式而逃避检测。

采用本发明的检测方法具体步骤如下：

步骤一、建立模糊攻击知识模板

第1步：提取模糊攻击特征

针对口令暴力破解攻击提取的模糊特征为：时间T₀内尝试的次数s。

第2步：建立模糊知识模板

利用第1步提取的模糊特征建立模糊知识模板，设T₀为10分钟，模糊知识模板如下：

IF s is high THEN y is high

IF s is normal THEN y is normal

IF s is low THEN y is low

步骤二、建立隶属函数库

建立s取值的模糊集合high、normal、low以及y取值的模糊集合high、normal、low的隶属函数，分别为u_high(s)、u_normal(s)、u_low(s)和u_high(y)、u_normal(y)、u_low(y)。s的隶属函数图形如图2所示，y的隶属函数图形如图3所示。

u_{low} (s) = \{\begin{matrix} 1, & 0 \leq s < 3 \\ - \frac{1}{5} s + \frac{8}{5}, & 3 \leq s < 8 \\ 0, & s &GreaterEqual; 8 \end{matrix}

u_{normal} (s) = \{\begin{matrix} 0, & 0 \leq s < 2 \\ \frac{1}{3} s - \frac{2}{3}, & 2 \leq s < 5 \\ 1, & 5 \leq s < 7 \\ - \frac{1}{3} s + \frac{10}{3}, & 7 \leq s < 10 \\ 0, & s &GreaterEqual; 10 \end{matrix}

u_{high} (s) = \{\begin{matrix} 0, & 0 \leq s < 6 \\ \frac{1}{6} s - 1, & 6 \leq s < 12 \\ 1, & s &GreaterEqual; 12 \end{matrix}

u_{low} (y) = \{\begin{matrix} 1, & 0 \leq y < 0.3 \\ - 2 y + \frac{8}{5}, & 0.3 \leq y < 0.8 \\ 0, & 0.8 \leq y \leq 1 \end{matrix}

u_{normal} (y) = \{\begin{matrix} \frac{5}{2} y, & 0 \leq y < 0.4 \\ 1, & 0.4 \leq y < 0.6 \\ - \frac{5}{2} y + \frac{5}{2}, & 0.6 \leq y \leq 1 \end{matrix}

u_{high} (y) = \{\begin{matrix} 0, & 0 \leq y < 0.2 \\ 2 y - \frac{2}{5}, & 0.2 \leq y < 0.7 \\ 1, & 0.7 \leq y \leq 1 \end{matrix}

步骤三、采集模糊证据

对10分钟内口令尝试的次数s₀进行检测，进行了两次检测，结果分别为s₀₁＝7和s₀₂＝4。

步骤四、模糊化

在步骤三的基础上，将s₀₁、s₀₂代入隶属函数u_high(s)、u_normal(s)、u_low(s)，分别得到对应的值为：

u_normal(s₀₁)＝1、u_low(s₀₁)＝0.2以及u_high(s₀₂)＝0、

u_{normal} = (s_{02}) = \frac{2}{3},

u_{low} (s_{02}) = \frac{4}{5} .

步骤五、进行模糊推理

第1步：建立模糊蕴含关系

的隶属函数

根据步骤一建立的模糊知识模板建立模糊蕴含关系其隶属函数如下：

其中运算∧和∨分别是逻辑“与”和逻辑“或”运算。

第2步：进行模糊推理

利用步骤四中得到的模糊证据

u_normal(s₀₁)＝1、u_low(s₀₁)＝0.2以及u_high(s₀₂)＝0、进行模糊推理，得到攻击y的可能性的模糊集合B₁、B₂，其隶属函数分别为：

u_{B_{1}} (y) = \{\begin{matrix} 0.2, & 0 \leq y < \frac{2}{25} \\ \frac{5}{2} y, & \frac{2}{25} \leq y < 0.4 \\ 1, & 0.4 \leq y < 0.6 \\ - \frac{5}{2} y + \frac{5}{2}, & 0.6 \leq y < \frac{14}{15} \\ \frac{1}{6}, & \frac{14}{15} \leq y \leq 1 \end{matrix}

u_{B_{2}} (y) = \{\begin{matrix} 0.8, & 0 \leq y < 0.4 \\ - 2 y + \frac{8}{5}, & 0.4 \leq y < \frac{7}{15} \\ \frac{2}{3}, & \frac{7}{15} \leq 0.4 < \frac{11}{15} \\ - \frac{5}{2} y + \frac{5}{2}, & \frac{11}{15} \leq 0.4 < 1 \end{matrix}

步骤六、去模糊化

针对步骤五得到的攻击y发生可能性的模糊集合B₁、B₂，取其隶属函数曲线与横坐标轴围成面积的重心作为攻击y发生可能性的具体值，计算方法如下：

u = \frac{&Integral; yμ (y) dy}{&Integral; μ (y) dy}

通过计算分别得到μ₁＝0.4982、μ₂＝0.4168。

也就是当在10分钟内检测到口令尝试为4次和7次时，其为口令破解攻击的可能性分别为41.68％和49.82％。

为说明本发明的效果，利用上述数据，重新用确定性推理的攻击检测方法进行测试。若确定性推理的攻击检测定义当在10分钟内检测到口令尝试小于10次，认为是合理的，则2次检测的结果都认为是合理的。

结论：基于模糊不确定性推理的攻击检测方法更优。

虽然结合附图描述了本发明的实施方式，但是对于本领域技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进，这些也应视为属于本发明的保护范围。

Claims

1.一种基于模糊不确定性推理的攻击检测方法，其特征在于：在提取模糊攻击特征以及建立模糊知识模板的基础上，采用模糊推理技术对攻击发生的可能性进行检测。具体实现步骤如下：

步骤一、建立模糊攻击知识模板

第1步：提取模糊攻击特征

第2步：建立模糊知识模板

其中

是模糊特征x_j(j＝1，2，…，n)的取值范围X_j上的模糊集合，

是攻击可能性y的取值范围Y上的模糊集合。

步骤二、建立隶属函数库

在步骤一的基础上，根据领域专家的经验和知识建立模糊知识模板中模糊集合的隶属函数，生成隶属函数库。定义模糊集合和(i＝1，2，…，m，j＝1，2，…，n)对应的隶属函数分别为和

步骤三、采集模糊证据

表示。

步骤四、模糊化

在步骤二和步骤三的基础上，将模糊特征x_j的值

代入步骤二中建立的隶属函数，得到对应的隶属度值，用

表示，即为模糊化后的模糊证据。

步骤五、进行模糊推理

在步骤四的基础上，进行模糊推理。具体步骤如下：

第1步：建立模糊蕴含关系的隶属函数

表示。模糊关系

的隶属函数由下式求得：

其中运算符∧和∨分别是逻辑“与”和逻辑“或”运算。

第2步：进行模糊推理

利用步骤四中得到的模糊证据

进行模糊推理，得到攻击y的可能性的模糊集合

模糊集合

的隶属函数计算如下：

步骤六、去模糊化

针对步骤五得到的攻击y发生可能性的模糊集合

u = \frac{&Integral; y μ_{{\tilde{B}}^{'}} (y) dy}{{&Integral; μ}_{{\tilde{B}}^{'}} (y) dy} - - - (3)

2.根据权利要求1所述的一种基于模糊不确定性推理的攻击检测方法，其特征在于步骤二中的建立隶属函数库，较佳的，隶属函数采用梯形隶属函数和三角形隶属函数。