一种基于非单调逻辑理论的入侵检测系统1.pdfVIP

一种基于非单调逻辑理论的入侵检测系统1 张剑，龚俭 （东南大学计算机科学与工程系，南京 2 10096 ） 摘要： 目前国际上对入侵检测技术的研究存在几个热点：针对海量数据环境中的实时入侵 检测技术、意图识别技术和入侵检测系统的代价问题。而传统的入侵检测系统或是不能适应 海量数据的实时处理要求，或是灵敏性较差，或是没有考虑 应代价问题。本文提出用模糊 默认理论改造传统的单调推理机制和 应引擎，从而建立有人工智能的入侵检测系统。实验 结果表明改进后的系统不仅能适应高速主干网络的实时入侵检测的要求，而且灵敏性有很大 的提高；而且由于采用了 应回卷技术和面向代价的动态 应政策，从而大幅度降低了入侵 检测和 应的代价。 关键词：模糊默认逻辑；入侵检测；单调逻辑； 应回卷； 中国法分类号：TP393 ．前言 随着网络技术和网络规模的不断发展，网络入侵的风险性和机会也越来越多，网络安全 已经成为人们无法回避的问题。因此为了保护现在越来越多的敏感信息，入侵检测系统 （Intrusion detection system,IDS ）也成为了 种非常重要的技术，得到了越来越多的重 。 将人工智能技术应用到入侵检测中是目前国际上研究的热点，Dickerson[1]在2001 年提 出建立模糊入侵检测系统，其中主要技术是将普通规则改造成模糊规则，从而能更加精确地 建立自然语言的知识与计算机知识之间的映射；Siraj[ 2]在2001 年提出建立模糊认识图来支 持智能入侵检测系统做出决策，这种模糊认识图反映了事件因和果之间的模糊关系，并可用 于计算事件的置信度，入侵决策引擎可以根据它做出更明智的决策；Christopher[3]在 2001 年提出在入侵检测系统中结合人工智能方法来解决入侵意图识别。 为了实现 定的安全目标，通常要求IDS ： （1）在 定的准确度保证下能尽早地发现入侵意图并做出 应。随着入侵的进 步发 展，对受保护对象 （例如服务器）的破坏可能更加严重， 因此要求检测和 应的灵敏性要高。 ） d 图1 是华东（北）地区CERNET 某次Nimda 病毒发 （ 失 d 2 损 d 3 作时随时间推移造成的损失量化图。图中将受保护对象的 1 损失假设为随入侵的不断深入而连续变化的可量化的指 d d4 标。可以看到如果没有入侵检测系统的保护，则损失将以 d 0 指数级曲线上升；而如果检测与 应速度较慢时，它将在 t2 时刻做出 应，这时损失将减缓以线性速度上升到 定 0 t t 时间 （t） 1 2 程度而停止；而如果检测和 应的速度较快时，它在t1 时 d +d +d 入侵进度－损失程度曲线 0 1 2 d +d +d 检测与 应进度－损失程度曲线 （慢速） 刻就做出 应，从而降低了损失。 0 1 3 d +d 检测与 应进度－损失程度曲线 （快速） 0 4 （2 ）在误报的情况下，应中止或取消原来的 应动 图1 检测与 应速度对受保护对象的影 作而采取正确的 应动作，以减少或消 由于错误 应带 来的损失。这称为 应回卷。 要做到这两点 般比较困难，因为入侵检测系统需要收集到足够的证据才能判断当前行 1 本文受国家自然科学基金项资助。 作者简介：张剑，男，1977 年6 月出生，博士研究生，主要研究方向为网络安全检测；龚俭，男，1957 年8 月出生，博士生导师，主要研究方向为网络安全、网络管理和网络体系