基于行为模型的网络入侵检测方法的研究.pdfVIP

基于行为模型的网络入侵检测方法研究宰 沈明玉邱文庆 合肥．[业大学计算机与信息学院，合肥230009 摘要：针对异常入侵检测虚警率高的问题，提出一种基于行为模型的网络入侵检测方法。本文描 述了如何用动作序列来描述网络通信行为，如何建立通信行为的正常模型，以及如何使用该模型检测 入侵，并通过在1998DARPA数据集上的实验，验证了该方法的有效性。 ’关键词：异常入侵检测行为模型虚警率 1引 言 入侵检测按照数据源不同，分为基于主机的入侵检测和基丁．网络的入侵检测。基于主机的入侵检测以 主机审计信息和应用程序日志等为数据源，基丁．网络的入侵检测以网络数据流量为数据源。 传统的网络入侵检测土要使用特征模式匹配技术…【2】：基本的数据包捕获加以非智能模式匹配与特征 搜索技术来探测攻击。这种方法实现简单，但检测能力和灵活性差，对未知攻击和变种攻击的检测能力差， 对于多步骤攻击、分布式攻击不能有效地检测。针对包匹配技术的缺点，协议分析技术被引入到入侵检测 领圳31。协议分析技术根据数据包的封装协议对数据包进行分析，利用网络协议的高度规则性来提高入侵 检测效率。状态转换分析技术[4115|在普通数据包分析的基础上，加入了状态特性，并定义了状态间的转换。 这种技术在检测多步骤攻击中有一定的作用，但将这种技术用丁．异常检测时，存在着状态繁多且不易定义 ． 的缺点。 ． 针对上述方法存在的问题，本文提出一种基丁．行为模型的入侵检测方法。该方法将网络通信行为看作 特定动作构成的序列，既描述了网络流鼍的动态特性，又避免了对网络状态分析的复杂性，能更好的描述 网络通信，从而更准确的检测入侵，降低虚警率。 2基于行为模型的网络入侵检测方法 2．1动作 动作是完成通信行为的基本单元。协议定义了数据包的封装格式。也定义了一些有特殊含义的数据包， 这些数据包在某些字段有特定的值，以标识自己。这些特殊的数据包控制着网络的通信过程。从数据包中 提取这些具有特殊意义的数据包，作为网络通信中的动作。以TCP协议为例，其封装格式如图1。 标志的数据。RST用于复位由于主机崩溃或其他原冈而出现错误的连接，它也可以用于拒绝非法的数据段 或拒绝连接请求。SYN位用于建立连接。FIN用丁．释放连接。 。作者简介l沈明玉(1962．)．男，江苏兴化人，刨教授，硕』：生导师；邱文庆(1982．)，男，浙江衢州人，硕士生。 AcceptRelease。 对丁：一般的数据包，定义动作SendData。 ， 源端口 目的端口 顺序号 确认号 数据 UAPR S F 偏移 保留 R C S S Y I 窗口大小 餐 。G KHT NN 检验和 紧急指针 可选项(0或更多的32位字) 数据(可选项) · ． 图lTCP数据包格式 一 2．2行为 行为是一个动作序列。 考虑A成功连接B的通信过程。A先向B发送连接请求，B收到请求后对A的请求进行确认，A对B 的确认信息进行确认，连接建立，A向B发送数据。B向A发送数据，A向B请求释放连接，B确认释放 连接的请求，并向A发送释放请求，A确认B的请求。此通信中A和B行为的动作序列如下： A：ConnetConfirmSendData…SendDataReleaseAcceptRelease