多层次多特征融合的入侵特征表述方法.docVIP

多层次多特征融合的入侵特征表述方法 　　摘要：该文对入侵特征进行了分析，提出了基于“特征元素→特征因子→特征基→入侵特征”的多层次、多特征融合的入侵特征表述方法；根据入侵特征在各个层次上的特点，设计了数据的存储结构，并基于该结构给出了特征基提呈算法。 　　关键词：特征；层次；融合；免疫；入侵检测 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)30-0601-03 　　 　　A Intrusion Features Presentation of the Multi-level Multi-feature Fusion 　　LU Xiao-ya,LI Gui-bing,WU Bing 　　(College of Computer Science Technology,Southwest University for Nationalities,Chengdu 610041, China) 　　Abstract: In this paper,intrusion features were analysed.A intrusion features presentation of the multi-level and multi-feature fuzzy with characteristic element, characteristic factor, characteristic base and intrusion pattern was put forward.The data structures of intusion feature based on its characters in responding level were designed.An arithmetic of getting characteristic base based on the structure was proposed. 　　Key words: feature;level;fusion; immune; intrusion detection 　　 　　1 引言 　　 　　在基于免疫的入侵检测（ID）研究中，检测器产生的两种典型算法为否定选择算法和肯定选择算法。否定选择算法的目的是找出一个检测器集合，它在不与集合Self中元素匹配的前提下，能尽可能多地匹配集合Nonself中的元素。肯定选择算法与否定选择算法类似，不同的是被进化的Self测试器，即在检测器成熟期间与自体匹配的必须清除。可疑的Nonself串在正向选择中必须与所有Self测试器比较，才能确定它是nonself；在负向选择中一旦匹配成功，就停止比较。反之，对self串的判定，是正向选择占优势。当测试器不足时在负向选择中会导致漏报；在正向选择中会导致误报。这种研究思路存在的难以克服的问题之一是数据规模问题。随着保护系统越来越大，Self和Nonself也越来越大，在现有的计算效率下，发现一套一定覆盖范围的测试子集，变得越来越困难。如果不能映射整个Self和Nonself域，检测效率下降，这已成为基于免疫的ID研究中的一个瓶颈。 　　值得注意的是：在生物免疫系统中，在自身免疫细胞数远远小于可能抗原的情况下，能成功应对几乎所有抗原。也就是说，有可能在特征没有完全覆盖的情况下，获取高的检测率。前者的实现主要归功于免疫应答过程中抗体的多样性，而抗体的多样性取决于其独特的形成机制。因此，对于ID来说，关键是特征形成机制和表述方法。如果入侵特征如同抗体般具有多样性，那就无需一味地追求特征的覆盖范围。基于此本文提出“特征元素→特征因子→特征基→特征”的多层次、多特征融合入侵特征表述方法。 　　 　　2 入侵特征分析 　　 　　特征是决定相似性与分类的关键，当分类的目的决定之后，如何找到合适的特征就成为认知与识别的核心问题。 　　2.1 协议分析 　　主要是报头信息，报头值结构比较简单，易于读懂。如TCP、IP包首部定义中，同入侵相关的参数有：源端口号、目的端口号、报文中第1个字节的序列号、数据的偏移位置、特定的控制信息、发送方的滑动窗口大小等。报头值可通过截获TCP、IP、ICMP包或通过嗅探器捕获。许多入侵都会在报头中做文章，解读数据报头是截获入侵的一种有效措施。入侵的报头值可分为两种： 　　1) 可疑报头值 　　报头值的可能情况很多，它随服务的拓展及协议的变化而变化，某一阶段不被常用的报头值，应视为可疑报头值。例：如果存在到端口31337或37374的可疑连接，就可报警为可能有特洛伊木马在活动。 　　2) 非法报头值 　　由于大多数操作系统和应用软件都是在假定RFC被严格遵守的情况下编写的