模糊理论在异常检测和威胁评估中的应用.pdfVIP

胡宝刚等：模糊理论在异常检测和威胁评估中的应用 模糊理论在异常检测和威胁评估中的应用 胡宝刚①李传林 (山东大学计算机科学与技术学院 济南250061) 摘要传统的基于异常的入侵检测方法进行威胁评估时显得太僵硬，误警率较高。本 文采用模糊理论进行威胁评估，以改善传统检测方法的缺陷，提高准确性和效率。 关键词入侵检测，模糊理论，威胁评估 其中，p(％，“f)是指事件“f对模糊集秽f的隶属 0 引言 度，1≤i≤n，1≤．f≤3。针对任一事件，三个语言值 在目前的网络检测系统中，基于异常的检测系 (“正常”，“潜在”，“异常”)用数值表示时的最小值组 统可以检测出未知的人侵行为，但缺点是误警率高。 它常常采用概率统计的方法，但是由于网络本身的 时，用户的每个事件的权值也组成了一个模糊向量 复杂性和用户行为的多样性，使得对用户的特征很 曰：曰={埘fl伽i是用户事件觑的权值，0≤i≤rt}。 难提供确定的概率模式。同时，专家提供的知识也 该用户总的威胁值用r表示，用如下运算求得：T= 带有模糊性和不确定性。传统的基于阈值的检测方 A·R·曰。它是一个在[0，1]区间的小数，该值越大 法不能反映出这种模糊性、不确定性，对用户行为进 就说明该用户的行为越可疑。 行威胁评估时显得太僵硬，所以造成误警率较高。 所以，本文中提出采用模糊理论对用户行为进行威 2方法的实现 胁评估，以改善用阈值的检测方法造成的缺陷。 NT 这里提出的异常检测系统是针对Windows 1用模糊理论进行威胁评估方法的模型 系统的。在NT中，共有三种类型的日志：应用程 这种方法的检测原理同其他检测系统相同，都 序、系统和安全日志。安全日志包含了与安全相关 是针对每个用户建立一个正常活动的简档(我们称 的事件。这里我们只用安全日志中包含的事件。检 之为历史简档)，然后建立用户的当前活动状况的简 测系统并不是每个事件都能使用上，而只是对某些 档(我们称之为当前简档)，将两者进行比较来检测 事件感兴趣。具体到审计哪些事件，是成功时审核 用户行为是否异常。下面我们用一数学模型来说明 还是失败时审核。这些都可以通过NT系统的审核 该方法： 策略来制订。 对某一用户进行威胁评估，评判的因素是用户 该系统由审计传感器线程、用户当前简档产生 产生的事件，例如：非法文件访问，非法访问特权对 器线程、模糊异常检测和威胁评估线程、历史测量值 象等事件。所有这些事件就构成了一个论域u：U 阈值读取器线程和报表产生器线程组成。该系统的 ={M；lui是跟安全相关的用户事件}我们对每个事体系结构如图1所示。 件地进行评判，评判的等级分为三种：正常，潜在， 异常。这些评判等级构成了一个论域y：V={“正 常”，“潜在”，“异常”}。这样，在V×U上构成了一 一 个模糊关系R，由于￡，、y都是有限论域，所以R可 以用如下模糊矩阵表示： 蚤 蚕 『_卢(％M1)卢(叭“2一∥(％龇’] 足=I卢(V2，u1)卢(V2，tt2)…∥(V2，吼)I 图1体系结构图 lp(秽3，M。)∥(秽3，M2)…P(秽3，m)j 系统通过一个NT审计传感器线程来实时的监 ①男，1