基于模糊择近原则的入侵检测系统.pdfVIP

第27卷 第 6期 兰 州 交 通 大 学 学 报 Vo1．27No．6 2008年 12月 Jotlrna1of1．anzhouJiaotongUniversity Dec．2008 文章编号：1001-,1373(2008)06—0100—03 基于模糊择近原则的入侵检测系统 吴 辉 ， 谢彦峰， 张忠林 (兰州交通大学 电子与信息工程学院，汁肃 兰州 730070) 摘 要：网络入侵检测需要考虑的因素是多方面的并且是模糊的，要准确界定正常状态和异常状态是 目前入侵检 测系统面临的一个难点，针对这一问题，本文提 出了在网络入侵检测中运用模糊择近原则，利用模糊集合理论对网 络入侵参数进行处理，最大限度地把正常状态和异常状态区分开来，提高了入侵检测的准确性，并通过实验验证了 这一方法的可行性． 关键词：网络安全；入侵检测；模糊择近原则 中图分类号：TP393．08 文献标识码：A 随着网络的飞速发展和电子商务的广泛应用， 2)基于误用 (滥用)检测的IDS．检测与已知的 网络的安全问题 日益突出，网络安全已经成为人们 不可接受行为之间的匹配程度．如果可以定义所有 无法回避的问题．入侵检测作为继防火墙之后的第 不可接受的行为，那么每种能够与之匹配的行为都 二道闸门，提供了主动积极的安全防卫，成为网络安 是误用．收集非正常操作的行为特征，建立相关特征 全领域必不可少的技术．网络入侵检测要求对网络 模式库，当检测的用户或系统行为与特征库中的记 访问活动尤其是入侵特征有一个较为准确的描述， 录匹配时，系统就认为这种行为是入侵．它的特点是 入侵检测系统对这种描述的准确程度很大程度上决 对已知的攻击可以详细、准确地检测，缺点是由于特 定了系统的性能．而这种描述又是入侵检测研究领 征库中定义的异常行为是有限的，并且都是已知的． 域中的难点．对此，本文在跟踪和研究国内外入侵技 因此不能检测出未知的人侵行为，漏报率高． 术和入侵检测技术的最新进展并参考了CDFEl~43的 网络人侵检测是用网络的某些特性参数和阀值 基础上，提出了基于模糊择近原则的人侵检测模型 来定义正常行为和系统的正常轮廓，然后用暂态轮 (IDMBF)，较好地解决了上述问题． 廓与正常轮廓进行比较，若超出某种程度的差异，即 确定为异常．因此，检测异常与人侵实质上就是检测 1 IDS系统模型 这些特性参数与正常状态值的背离程度L5]．而实际 入侵检测就是对入侵行为的监控，它对网络或 情况是网络的特性参数很多，单一参数对检测结果 计算机系统中的若干关键点收集信息并进行分析， 的影响往往存在很大程度的不确定性，即模糊性．只 从中发现网络或系统中是否有违反安全策略的行为 有将各种参数的模糊性综合考虑，才能做 出准确的 或被攻击的迹象．进行人侵检测的软件与硬件的结 检测，降低系统的漏报率和误报率． 合就是入侵检测系统 (IntrusionDetectionSystem， 模糊择近原则很好地解决了上述 问题，它的理 IDS)．从技术上讲，IDS有两种检测模型． 论基础是模糊集合的贴近度．首先将网络的所有连 1)基于异常检测的IDS．根据异常行为和计算 接定义为一个论域U，每个连接有若干个待检测的 机资源的使用情况来检测入侵行为，它试图采用定 特性参数组成，在论域U上定义正常、可疑和攻击 3 量的方法来描述可接受的行为特征，以区分非正常