基于CBR及状态转换模型在入侵检测系统中应用.docVIP

基于CBR及状态转换模型在入侵检测系统中应用 　　摘要:本文主要介绍了范例推理、状态转换及其在入侵检测系统中的应用。 　　关键词:CBR状态转换入侵检测系统 　　 　　0 引言 　　 　　近年来，范例推理和状态转换己成为人工智能领域一个重要的问题求解技术和方法之一，正越来越受到国内外研究学者的普遍关注。其主要原因是:CBR有别于其他的方法，是一种借助先前求解问题的经验和方法，通过类比和联想来解决当前相似问题的推理技术和方法，非常类似于人类求解问题的思维方式；与此同时，CBR依靠的是过去的经验，因此非常适合于需借助经验来进行决策的场合，有效地克服了传统的基于规则推理系统的知识难于获取和推理的脆弱性等缺陷[1]。状态转换它是使用高层状态转换图来表示和检测已知入侵的误用检测技术。状态转换分析是状态图法的基础，它将破坏计算机安全的行为刻划成系统安全状态转换的变化序列，这种变化序列可用状态转换图直观地加以表示。而入侵检测[2]（Intrusion Detection），是继“防火墙”、“数据加密”等传统安全保护措施后新一代安全保障技术，是一种动态的安全防御技术。它通过在计算机网络或计算机系统的若干关键点收集信息并对其进行分析，判断网络或系统中是否有违反安全策略的行为或被攻击的迹象，同时做出响应。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System 简称 IDS）。 　　 　　1 模型的建立 　　 　　1.1 基于状态转换分析的入侵检测模型 基于状态转换分析的入侵检测模型从本质上属于一个基于规则的专家系统。其组成构件包含审计预处理器、知识库、推理引擎和决策引擎。基于状态转换分析的入侵检测模型，是一种基于主机的、集中式的、实时的专家检测系统。一般由四个主要构件组成，即:审计预处理器、知识库、推理引擎和决策引擎。它具对已知的系统入侵模式建立知识库。把系统的审计跟踪作为IDS的输入，审计踪迹中的入侵信息和知识库中的规则匹配，则表示入侵的发生。状态转移算法它着重于入侵行为的各个步骤对系统安全状态造成的影响，对已知的入侵方法构造状态转换图，将审计记录中的系统状态和状态转换图中的状态声明进行匹配，从而检测到入侵行为。所有的计算机入侵有如下的两个共性，即：入侵需要攻击者对目标系统拥有最基本的访问权；入侵成功意味着攻击者获得了攻击前并不拥有的某些权限。从状态转换分析的观点来看，入侵可被视为攻击者的一系列动作，这些动作将目标系统从某种初始状态转换成最终的安全危害状态的转换。 　　 　　1.2 基于状态转换与范例推理的算法介绍 单纯状态转换的方法所能检测到的攻击模式是非常有限的。因为状态转换方法是通过系统属性来描述系统状态的演变。所有的系统渗透都能导致系统安全的破坏，然而并非所有的攻击都能依靠系统属性加以表达。对于这类攻击的识别，单纯基于状态转换方法无能为力，所以提出了将状态转换与范例推理相结合的方法。基于规则的入侵检测系统一般是直接依赖于系统日志记录，对期望的攻击日志利用规则加以表示，利用模式匹配将规则同日志记录结合起来发现攻击。然而这种一对一的从规则到日志记录的做法缺乏灵活性。另外，基于规则的检测方法，知识库的创建和修改需要在领域专家和知识工程师的共同参与完成。这对不断翻新的网络攻击手段，存在很大的困难。基于范例推理的入侵检测，采用近似推理的思想，在知识获取、知识更新、系统的自学习和扩展能力上都优于基于规则的入侵检测方法。基于范例推理(Case-based Reasoning，CBR)是80年代末90年代初人工智能领域中新崛起的一项重要技术，是一种相似推理方法，其核心在于用过去的事例和经验来解决新问题[3]。CBR系统所要解决的中心问题是识别当前的问题，对系统提供的解决方案作出评价，并以此为经验来更新范例库。 　　 　　2 状态转移与CBR的结合实现 　　 　　单纯状态转换的方法所能检测到的攻击模式是非常有限的。因为状态转换方法是通过系统属性来描述系统状态的演变。所有的系统渗透(Penetration)都能导致系统安全的破坏，然而并非所有的攻击都能依靠系统属性加以表达。对于这类攻击的识别，单纯基于状态图方法无能为力。下面讨论在基于状态转换方法基础上，结合范例推理用来扩大识别攻击的范围。 　　 　　2.1 范例表示 范例表示是范例推理中重要的内容，表示方法不仅要便于范例推理各阶段操作，而且要尽可能完整地刻划出范例所包含的所有信息。本文区分两类范例知识，第一类是用户操作的普通范例，采用扩展属性一值表示方法；第二类是系统状态演变知识，采用专家系统外壳CLIPS语言表示[4]。 　　2.1.1 用户操作普通范例表示 定义1：范例Ci==；其中Pi表示范例Ci问题描述，用属性描