基于分布式的误用检测规则匹配学习算法研究.pdfVIP

信息系统协会中国分会第一届学术年会 ——_————_——————————-———————————————————————————————H————————一 一_ 基于分布式的误用检测规则匹配学习算法研究木 谢亮’，胡若2，钱省三2 (1．浙江金融职业学院信息安全研究所，浙江杭州31 文摘：提出了一种新的基于HCV算法理论产生最优误用检测规则的方法。该方法产生的规则简单、实现容易。 分布式的入侵检测系统便于网络管理和监测。 关键词：入侵检测；Hcv算法；Agent 随着互联网的发展，黑客攻击事件层出不穷。 E的属性集合X_--加，Xe·．．，∥，第／个属性．∥的 为了防范攻击，我们采用入侵检测技术，现有的入 取值范围为Dj。F=岛，自，·．，√中的元素称为例 侵检测产品主要存在以下问题：第一，现有的入侵 子，其中vjeDj,l别为F的基数，表示该集合所包 侦测系统入侵检测技术一般分为误用检测和异常 含的例子的数量。 检测两种。误用检测的基础是建立攻击行为特征 将E分为正例集脚和反例集NEM： 库，采用特征匹配的方法确定攻击事件。其优点是 反例集的定义为： 检测的误报率低，检测速度快，缺点是不能发现攻 (1) 击特征库中没有事先指定的攻击行为，所以无法检 NEM=n一，P：y=也I。。 测层出不穷的新攻击。异常检测是通过建立用户正 常行为模型，以是否偏离正常模型为依据进行检 测。与误用检测相比，其优点是可以发现新的攻击 第k个正例P：n=J，…，行)被定义为e：= 行为，弱点是有一定的误报率。目前多采用的误用 检测并不预测黑客的行为，仅仅使用特征匹配的方 证刍，…，8二}，与反例集对应，正例集的矩阵定义为 式找出可疑的数据包。第二，现有的入侵侦测系统 胧t=‰六。。 (2) 多是安装在单一的主机上，通常只对单一主机有保 其中 护的作用，但黑客攻击的目标可能是针对整个网络 内部。当单一主机受到黑客的攻击时，它并不能对 网域内其它的主机有预警的功能。 驴{乏嚣麓M。㈣ 为了解决这一问题，我们采用如下方法：对于 第一点，我们通过对得到的数据通过HCV算法进行 其中木表示不能够用于区分反例集和正例集之 特征辨识，从而获得黑客攻击的主要特征，来发现 间差别的死元素。 未知的攻击。对于第二点，我们通过分布式的多 在这样的一个矩阵中，由分另Ij来自不同行的n Agent技术来对全网络进行监控。 个非死元素所组成的集合我们称之为扩张矩阵中 的一条路径，连接定义如下： 1 HCv算法 L=八【X (4) HCV算法是一种启发性学习的学习算法，它是 j。≠rij；J 在扩张矩阵的基础上演化得来，由吴信东教授首先 这个路径可以是一条，也可以是多条，如果无 提出，具有结构清晰，理论完整，算法简练等特点， 法区分，那么就不存在，要重新定义矩阵。 在国内外产生了显著的影响。 1．2算法