序列比较算法在入侵检测系统研究与应用.docVIP

序列比较算法在入侵检测系统研究与应用 　　摘要：该文从阐述序列比较入手，分析了序列比较算法。通过对序列比较与入侵检测行为比较的相似性研究，采用了一种序列比较算法应用于入侵检测中。按照入侵检测的特点采用了一种序列比较算法，使用标准数据和收集数据对其进行测试，取得了较好的实验结果。 　　关键词：入侵检测；序列比较算法；相似性 　　中图分类号：TP311文献标识码：A文章编号：1009-3044(2009)04-0871-02 　　Research on Application on the Sequence Compare Algorithm in the Intrusion Detection System 　　LIU Peng1,LONG Hai2 　　(1.Department of Production,Shanxi TV,Xian 710061,China;2.Department of Computer, Hunan Institute of Humanities, Science and Technology, Loudi 417000,China) 　　Abstract: This paper introduces the sequence compare for analysing the sequence compare algorithm. We compare thecomparability between the sequence compare and intrusion detection toemployee a sequence compare algorithm based on the feature of the intrusion detection. Also , the word employees the standard data and collection data to test the algorithm to abtain the better experiment result. 　　Key words: intrusion detection;sequence compare algorithm;comparability 　　1 引言 　　入侵检测的研究是当前的研究热点[1-4]，最早可追溯到James Anderson在1980年的工作,他首先提出了入侵检测的概念，将入侵尝试（Intrusion attempt）或威胁（Threat）定义为：潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。入侵检测是识别网络攻击的主要手段。 　　序列比较分析与入侵检测具有着很大的相似性：从目的上看，序列分析其目的即寻找一个最大可能长度的序列,而且此序列同时被二个序列所拥有。即寻找序列直接的相似性。入侵检测分析即分析监测行为与用户过去行为，找出这两种行为之间的差别和相同点。从实现手段上看，序列分析其无非是寻找到序列之间最大可能的匹配段，很可能就是一条最佳匹配序列。入侵检测分析则是寻找监测行为与用户过去行为的异同，通过偏差度来做为手段分析异同。从结果显示上看，序列分析会由得分函数得到相似度数值，由数值的大小表征序列之间的相似情况。入侵检测分析则是通过判断监测行为与用户过去行为相似与否，作出正常或者异常的判断。本文将试图把这种技术应用于专用网的拒绝服务攻击的入侵检测中去。 　　由于大多数的入侵检测都会以用户命令序列的分析作为开始。这种分析与序列比对分析有着很大的相似性。对于全局联配和局部联配技术，事实上单独地将任意的一种用于入侵检测都是不合适的。在全局联配中，两条序列要么匹配，要么需要加入空格，在入侵检测中有可能只有一小部分是不匹配的，而序列的大多数部分是匹配的，从而掩盖住了相似性部分大于不匹配部分这一事实。而局部联配会忽略掉大多数的数据，尽管匹配部分匹配值很高，但是实际上这没有任何的意义。本文采用了一种Smith Waterman序列比较算法[2]，有效地提高检测效率。 　　2 相关设置 　　2.1 得分函数的特殊设置 　　得分函数是用来评定序列相似性的方法，主要包括对匹配以及不匹配的得分。匹配记为正分，不匹配或者加入了编辑操作的情况记为负分。这种记分函数的选取方法对于入侵检测是不合适的。由于入侵检测一部分高度相似，其余部分相似。对应的在测试序列中出现空位，在正常序列中有空位的影响小的多。而当出现完全不匹配的情况，此时两条序列相似度是及其低的。因此对得分函数进行特殊设置：＋1，两个序列是匹配的；－1，正常序列中有空位；－2,测试序列中有空位；0，完全不匹配的情况。这种设置有利用入侵检测行为的比对，使匹配得分值能更好的反映监测行为