基于统计方法的入侵检测模型.pdfVIP

基于统计方法的人侵检测模型 印润远任照松 上海水产大学信息学院，上海，200090 摘要本文给出了一个基于统计方法的入侵监测模型，它利用系统产生的审计记录，使用神经 网络模型训练产生阀值向量，加权特征向量，再结合会话向量产生出伯努利向量。然后利用这些向 量计算加权入侵得分，最后再计算出每个会话的疑义商——我们判断入侵的依据。 关键词入侵监测．会话向量，伯努利向量，疑义商 引言 随着信息化时代的到来，计算机的入侵已经严重威胁着人们计算机中存储的各种数据，表 些令人震惊的事件，不禁让人们发出疑问：。网络还安全吗?” 表1攻击事件增长图表 传统的基于加密的被动式信息保护已经不能满足人们对信息安全的需求，我们还需要主 动的防护措施，这就使得近年来入侵检测技术得以发展的原因。 入侵检测就是检测出各种入侵行动以便于采取有效的措施去制止或修补其对系统或信息 造成的损害，它是对传统安全产品的合理补充，帮助系统对付网络攻击，扩展了系统管理员的 安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。本 文就是为了达到此目的而提出一种入侵检测模型。 331 2基于统计方法的人侵检测模型 1)表示。 本文提出的模型可以用图1(Figure 计算机系统(如Unix)里都有审计记录，它 记录了所有用户使用计算机资源的情况，不管是 合法用户还是非法用户，只要设置合理，它都能 详细地记录用户地活动，而这些审计记录就是我 们入侵检测模型的实施依据。 (1)审计记录的格式化 各个系统产生地审计记录格式各不相同，为 了我们这个模型处理的需要，要求对系统的审计 记录进行格式转化，转化为我们需要的二维关系 表格形式，列代表审计时考察的各种属性，如用 户id，活动类型，cup使用时间，网络连接时间， 会话时间，读文件属性，安全t／O失效次数等 ……，行表示一条审计记录，它记录了用户的一 次会话信息，一次会话信息记录了用户登录到退 出之间的所有可用的信息。 圉1基于统计方法的入侵捡测模型 (2)用神经网络模型来训练数据 在我们的模型里用到加权特征向量t，，tt’．．…·，tn)，它是用来表示会话向量的相应属性 )，我们希望xI属 值范围的，即tI表示会话向量中属性Xi的值范围，它是一个二元组(t1．一…ti 性值遵从高斯分布，也就是正常会话活动向量的90％以上属性值都落在相应的区间内，可以 称这个区间为正常区间，而非正常活动向量的属性值则落在对应的区间外，这个区间我们称之 为入侵可能区间。我们用神经网络模型来训练格式后的审计记录，在这个神经网络模型里用二 维表的一列作为一次输入，输出的为一个满足这一列数据分布要求的函数f(x)(在这里我们 可以采用适当的神经网络模型达到这个要求)。 (3)区间选取算法 上步输出的函数f(x)，其分布图在形状上应类似图2 2，。有f“，我们不难确定A，B两点的值，只要令f (figure (x)一0即可。C点为f(x)的最大值，可以用f’(x)一0来确 定。下面给出一个算法来确定ti。假设会话向量X1，X2， ……，Xn的第i个属性的高斯分别函数为f(x)，Ai，Bi，Ci 2中的A，B，C三点． 分别代表figure 下面的算法将给出ti值。 耳 m一』m)dx ^ Fori_ltocount／*使用Count次循环是让最后得 圉2输出的函数的分布圉 到的ti值在中值附近*／