基于HMM模型入侵检测技术探究.docVIP

基于HMM模型入侵检测技术探究摘 要： 入侵检测技术作为计算机安全技术的一个重要组成部分，已经受到越来越广泛地关注。作为一种新的动态安全防御技术，它是继防火墙之后的第二道安全防线。主要研究当前入侵检测一直无法很好解决的两个问题，即复杂网络攻击的检测和网络在入侵攻击下的风险评估。 关键词： 入侵检测；HMM模型；复杂网络攻击；风险评估 0 前言 自上世纪90年代以来，基于TCP/IP的互联网得到了飞速的发展，信息的传递和处理超越了时间和空间的限制，网络信息化已成为不可阻挡的趋势，但其安全性也受到越来越多的挑战。于是人们针对网络中存在的各种安全性隐患，提出了不同的安全防范措施，如加密传输技术、防火墙技术、入侵检测技术及IP跟踪技术等。 但是计算机网络安全不能只依靠单一的安全技术，只有对网络安全体系及安全技术深入研究的基础上，设立具体的安全策略以及多种安全防线，才能更加有效地检测并阻止来自系统内、外的入侵攻击，达到全面维护网络系统安全的目标。 1 研究意义 入侵检测（Intrusion Detection）是一种动态的监控、预防或抵御系统入侵行为的安全机制。主要通过监控网络、系统的状态、行为以及系统使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统安全缺陷对系统进行入侵的企图。 本文主要研究了目前入侵检测难以完全解决的两个安全问题，即复杂网络攻击的检测问题和入侵攻击下的网络风险评估问题。从一个全新的角度对问题进行了剖析，根据问题自身的本质和特点，利用HMM建立了相应的安全检测模型。首先为网络中的每个主机的安全状态建立一个HMM模型，并为不同的安全状态指定一个相关联的权值；然后，根据收到的报警事件来计算主要安全状态的变化并计算主机的风险；最后，对网络中所有主机风险进行迭加，从而得到整个网络风险。该评估方法的优点在于使用了HMM模型。因为HMM模型为安全状态估计、安全状态转移及不同状态下报警事件产生的概率提供了科学的依据。 2 隐马尔可夫模型（Hidden Markov Models） 隐马尔可夫模型（Hidden Markov Models，HMM）是由马尔可夫过程扩充而来的一种随机模型，基本理论是由数学家Baum及其同事在20世纪60年代至70年代建立起来的。HMM模型从提出到现在，已经广泛应用于语音识别、基因分析、文本语义分析、图像识别及入侵检测等领域，并取得非常好的应用效果。 在1999年的IEEE Symposium on Security and Privacy会议上，Warrender等人首次提出将HMM应用于基于系统调用的入侵检测中。同年，Lane将HMM应用于建立用户命令序列模型，在实际检测中亦取得较好的效果。2003年，Cho提出用HMM仅对关键的系统调用序列进行建模，从而一定程度上提高了模型的学习及检测速度。 2.1 HMM模型的基本概念及表示 HMM是一个双重的内含隐藏的从属随机过程的随机过程，即双重随机过程，由以下两个部分组成： 1）马氏链：一个观测不到的有限状态链，用来描述状态的转移，在模型中用转移概率描述。 2）一般随机过程：描述状态与观察序列之间的关系，是与状态链相关的可观测到的随机变量，也称为观测链。 2.2 HMM模型的三个基本问题及应用 在实际应用中，HMM需要解决以下三个基本问题： 2.2.1 评估问题。所谓评估问题，即对于给定HMM模型，求输出给定观察值序列的概率，可以将评估问题理解为衡量给定模型和某个观察值序列之间的匹配情况，从这种角度考虑有助于解决实际的应用问题。 在检测入侵过程中，可以通过评估问题的解决来找到与观察值序列最匹配的HMM模型，从而得到当前系统所处的安全状态。 2.2.2 解码问题。解码问题可以理解为，求一个最佳的状转换途径，沿该路径输出给定观察值序列的概率最大。由于不可能求得与给定观察序列完全正确对应的状态序列，因此只能在所有可能的状态序列中选取一个可能性最大的序列。 入侵检测中利用解码问题来解决实际问题最具代表性的方法是：首先，分别求出给定训练序列和测试序列的状态转移序列；然后，划分状态序列的短序列并分别建立正常数据的序列库和测试数据的序列库，再将测试数据库中的短序列与正常数据库中的短序列进行比较，标示不匹配的短序列；最后，计算不匹配率，若不匹配率超过某一域值，就认为此测试序列为异常，否则为正常。 2.2.3 学习问题。所谓学习问题，就是给定的一个观察值序列，使得观察值出现最大概率。整个学习过程，就是用给定的观察序列去训练HMM模型，优化模型参数。HMM应用到解决实际问题中时，训练问题显得特别重要，因为必需使得不断调整的HMM模型最终可以更好的模拟实际问题。 3 复杂网络攻击