《基于模拟数据集的字节频度入侵检测研究》.pdfVIP

ComputerEngineeringandApplications计算机工程与应用 基于模拟数据集的字节频度入侵检测研究 翁 安 WENGGuang’an 华中科技大学 文华学院 计算机系 ，武汉 430074 DepartmentofComputerScience，WenhuaSchoolofHuazhongUniversityofScience Technology,W uhan430074，China W ENG Guang’an．Simulationdatasetbased studyonbytefrequencyintrusiondetection．ComputerEngineering andApplications，2014，50(12)：96-99． Abstract：Nowadaysthereisn’tyetadequatelycompetenttestdatasetforpayloadbasednetworkanomaly intrusion detectionsystem．A simulationnetworkdatasetconstructionapproachbasedonvirtualkeywordsisproposed，andthebyte rfequencydistributionbasedmodelsaretestedon it．Experimentresultsindicatethatthemethodprovidesdatasetwith controllableabnormaldegree；detectionthresholddependsoncharacteristicofdatasetincludingpacketslengthdistribu— tion，deviationofnormal／abnormalaccesstotrainingdata，etc．Thesinglepacketfrequencydistributionmodelismoresen— sitivetothealterationofabnormaldegreeofpayloaddatathanconnectionbasedmode1． Keywords：simulationdataset；bytefrequencydistribution；payloadanomalydetection；NetworkIntrusionDetectionSys- tern(NIDS) 摘 要：为解决 目前网络 负载异常入侵检测领域缺乏有效、针对性的测试数据集的问题 ，提 出一种基于虚拟关键字 的构造模拟 网络数据集的方法。并用它对基于字节频度分布的异常检测模型进行 了测试分析。实验结果表明，模 拟数据集提供 了一种负载内容异常程度可控的测试数据集；检测阈值和网络环境的数据特性包括数据包尺寸分布 情况、异常和正常访问相对于训练数据的偏离程度等有关。单包频度分布模型相比连接模型对负载数据异常程度 的变动有更好的灵敏度。 关键词：模拟数据集；字节频度分布；负载异常检测；网络入侵检测系统 文献标志码：A 中图分类号：TP393．08 doi：103778／j．issn．1002．8331．1206．0455 1 引言 其效果与高阶 ．grams并无显著差别。每个数据包可能 异常检测系统可以检测未知攻击，目前网络异常检 都具有独特的字节频度分布，可视为数据包的指纹 (fin． 测系统大多集中在对数据包的头部进行检测，对负载内 gerprint)，从而可和其他数据包区分开 。也有以TCP连 容进行异常检测缺乏准确度和性能等各方面都可 以接 接为单位计算平均频度分布特性的。 受的方法。在入侵连接发送的一系列数据包内容中，可 另一种模型基于某种关键字的出现频度来计算正 能包含一些和平时不一样的字节或字节序列，比如某些 常和异常数据的特性 。关键字从数据包的负载内容 telnet命令 、特定的网络请求和远程缓冲溢 出所用的 拆分得来，为获得具有意义的关键字，使用特定于某种 shellcode等。目前 ，负载内容异常检测基本基于统计理 服务的分界符来拆分，例如，使用符号集 “?；八…”来拆 论，可归为两大类。