通过输入相关堆栈提高网络入侵检测的准确性.docVIP

以输入相关堆栈方式改善网络入侵检测器的准确性 摘要 网络入侵检测器用于计算机网络中分析网络流量来检测攻击.在实际应用中，检测器的高检测准确性和尽可能少量的错误警告是很重要的.在本文中,提出了一种新的堆栈方法可以改善在网络入侵检测系统中常出现的异常或者滥用检测.每个检测器有一个堆栈模块,包含原有的训练集中的正确的元素.这个模块会因检测到正确的攻击而提高检测器得分或因误认为正常连接为错误而降低分数.通过结合检测器分数和关于各自的连接的描述表信息（统计特征）,从而可以得出在哪些描述中检测器是可靠的抑或不可靠的.这种新的堆栈方法已经通过实时对http和ftp网络流量的测试评估了.结果表明使用此方法的检测器明显地比原有的检测器有很大的提高. 关键字:入侵检测,分类器集成,套装,提升,判定树 介绍: 入侵检测系统(IDS)通过防止入侵尝试(也被称为攻击或非法使用)来保护计算机网络.该系统分析网络流量(基于网络的IDS)或者审计在网络主机(基于主机的IDS)的数据记录[1].入侵检测的两种主要方法是:滥用入侵检测和异常入侵检测.滥用入侵检测器是基于已知的攻击模型.在大多数情况下,模型由被称作签名的一组规则集组成:一种常见的模型叫 Snort 模型.预先构造的签名往往是可用的,他们的相关性依赖网络和应用(比如工业控制网络或办公网络),使得检测器的配置很昂贵.基于签名的滥用入侵检测器错误警告率比较低,但是不能检测出新奇的异常的攻击.相比而言,异常入侵检测器会因为和已有的正常活动体严重偏差而导致增加警告的数量.这使得会出现一个比较高地错误警告率(误报率),这在实际应用中是一个很严重的问题.在本文中,一个新的堆栈方法被用来改善基于网络的IDS中异常和滥用入侵检测器的准确性.每个检测器把正确的元素作为一个堆栈模型.这个模型,在下面作为优化程序,可以在检测到正确攻击时提高检测器分数或在错误连接时降低分数.检测器中没有特别的假设,这个方法适用于检测器提供的离散分数(比如 0和1 的snort模型)并且也适用于提供连续分数的异常检测器.优化程序的输入包括检测器输出(即分数输出),因此,能够在检测器顶部入栈.而且,输入包括关于连接的描述表信息,比如统计特征如负载长度和信息量等.这样可以得出在哪个输入特征空间(即描述表的位置)里检测器得分是可靠的或在哪里是不可靠的.优化程序的输入特征不需要跟检测器的输入特征一致,这一点是值得注意的.不依靠检测器的输入是有益的,因为增加的分集尤其改善了检测的准确性(看 例子[5,p.295]). 这个优化程序是通过一个由以正常或攻击连接为标签的受监督的样本数据构成的判定树总集合实现的。第二部分描述了这个新的堆栈方法。第三部分我们提出并讨论了在HTTP和FTP上的实验数据结果。结果表明通过此堆栈方法优化后的检测器很大程度上比原来的检测器正确性提高了。第四部分给出结论。 1.1 相关研究 有很多方法可以使得结合大量入侵检测器来改善IDS的准确性和使得错误不容易逃脱,比如在一些单类支持向量机(SVM)检测器中的结合,每一个检测器工作在不同的2个字尾的特征.一个关于结合入侵检测器的各种范式综述被提出;它也描述了在非单类的结合中的应用.比较不同的结合方法中,较为普遍的范式是个体的检测器独立或者并行地工作.相反的,我们的优化器中使用的堆栈方法在检测器顶端入栈,使得可以通过输入特征分析出检测器分数和描述表信息的关系.即使用了一种层次结构方法.由四个层次类似对应四组在数据库中存在的的攻击组组成(KDD99[28]).每一层被分开独立并按顺序配置部署.如果一层筛选一个连接为正常的,则通过并进入下一层.如果被认为是一次攻击,则它被立刻阻塞而不会进入下一层.因为大部分连接通常含有攻击,他们必须通过整个层次结构因此这个结构不会改善IDS的吞吐量.它的主要的优点不仅是特定的层对应不同种类的攻击.每一层必须解决仅仅一部分的类型错误,因而对比一个庞大的模型可以使用一个更小的输入特征集.这样减少了计算的总量.同样,多级检测系统就是使用这样的思想,含有特定的连续结构的检测器.对于不同的攻击组的特定结构需要一个其中标签有依照攻击组的连接的资料集合,产生这样的资料集会花费很大.别的形式的特定结构,比如通过服务或者协议,不需要这种资料集合并且在实际应用中普遍应用.在我的方法中如果又多了一个检测器,每个都会得到属于自己的栈优化器.所以这种方法是不用依赖结合范式的,而且并行和顺序范式都是可以的. 基于网络的IDS,提出了一个基于随机森林的算法[12].作者结合了对滥用入侵检测使用监测随机森林的算法和对异常入侵检测的无监测随机森林的算法.他们也都可以结合,在其中滥用入侵检测首先从进入异常检测的数据中过滤掉已知的入侵攻击.可是,异常入侵检测只能根据计算非常