基于人工智能的入侵检测系统.docxVIP

基于人工智能的入侵检测系统 1 受保护对象的安全风险 随着网络技术和网络规模的不断发展，网络入侵的风险和机会也越来越大。网络安全已成为一个不可避免的问题。因此，为了保护能够接触到的敏感信息，入侵检测系统（ids）也是一个非常重要的技术，受到了越来越多的关注。 将人工智能技术应用到入侵检测中是目前国际上研究的热点,Dickerson在2001年提出建立模糊入侵检测系统,其中主要技术是将普通规则改造成模糊规则,从而能更加精确地建立自然语言的知识与计算机知识之间的映射;Siraj在2001年提出建立模糊认识图来支持智能入侵检测系统做出决策.这种模糊认识图反映了事件之间的模糊因果关系,并可用于计算事件的置信度.入侵决策引擎可以根据它作出更明智的决策;Geib在2001年提出在入侵检测系统中结合人工智能方法来解决入侵意图识别. 为了实现一定的安全目标,通常要求IDS: (1)在一定的准确度保证下能尽早地发现入侵意图并做出响应.随着入侵的进一步发展,对受保护对象(例如服务器)的破坏可能更加严重,因此要求检测和响应的灵敏性要高. 图1是华东(北)地区CERNET某次Nimda病毒发作时随时间推移造成的损失量化图.图中将受保护对象的损失假设为随入侵的不断深入而连续变化的可量化的指标.可以看到如果没有入侵检测系统的保护,损失将以指数级曲线上升;而如果检测与响应速度较慢时,它将在t2时刻做出响应,这时损失将减缓,以线性速度上升到一定程度而停止;而如果检测和响应的速度较快时,它在t1时刻就做出响应,从而降低了损失. (2)在误报的情况下,应中止或取消原来的响应动作而采取正确的响应动作,以减少或消除由于错误响应带来的损失.这称为响应回卷. 要做到这两点一般比较困难,因为入侵检测系统需要收集到足够的证据才能判断当前行为是否是入侵行为,而许多证据的收集不仅需要代价,而且往往需要贯穿于入侵的整个过程,因而无法较早地发现该行为并做出响应;由于现有的入侵检测系统采用经典逻辑推理方式,根据目前已掌握的证据来推导出的结论及相应的响应动作被视为永真结果,即使将随后获得的新知识或事实加入推理过程后表明该结论是错误的,也不能推翻原有的结论和消除其响应动作. 模糊默认逻辑是一种非单调逻辑,它是模糊逻辑和默认逻辑的有机结合.利用模糊逻辑理论可以改造传统的入侵检测知识库和支持模糊推理,利用默认逻辑理论可以支持入侵意图识别和响应回卷.因此它能较好地解决上述两个安全目标. 本文提出建立完整的基于模糊默认逻辑的入侵检测系统FDL-IDS(Fuzzy Default Logic Based Intrusion Detection System)的方法,该系统包括基于模糊默认逻辑的知识库FDL-KB、相对应的入侵推理引擎FDL-IRE和可回卷的响应引擎RRE(Rollbackable Response Engine)3个主要部件.FDL-IRE在FDL-KB的支持下用基于模糊默认逻辑的推理方法取代经典逻辑推理来判断入侵行为;而RRE根据代价模型计算响应与否的代价比来决定如何响应,而且可以回卷不正确的响应动作.其优点在于: (1)FDL-IRE能在证据不充分的情况下判断当前行为是否是入侵行为,从而提高了检测的速度. (2)当随后收集到的新知识表明原来的结论错误时,FDL-IRE就将新知识加入到推理过程中,得出新的结论,然后向RRE请求回卷原来的响应动作和做出新的响应动作. (3)衡量代价来决定响应动作,使响应更加智能和科学. 2 模糊同意逻辑的基本思想 2.1 两性离子逻辑的非单调逻辑系统 定义1. 一种逻辑L可用一个四元组表示:L={E,O,A,R},其中E表示原子逻辑公式的集合;O是定义在E及运算而得的合式逻辑公式之上的一组运算构成的集合;A表示合式逻辑公式的一个子集,称为公理集;R是由公理集合A或已证的合式逻辑公式推出的L中其它合式逻辑公式的推理规则的集合.由E开始利用O中运算所能得到的全体逻辑公式称为L中的合式逻辑公式的集合.由公理集A中的元素开始,通过有限次使用R中规则进行推理,所能推得的合式逻辑公式,称为定理. 定义2. 设L={E,O,A,R}为一种逻辑,在L中所能证明的定理的全体记为T(L).若对任意的合式逻辑公式的子集A′,A′?A,在逻辑L′={E,O,A′,R}中所能证明的定理的全体T(L′)?T(L),则称L是一个单调逻辑,否则称为非单调逻辑. 定理1. 存在误报的入侵检测系统是非单调逻辑系统. 证明. 反证法.入侵检测系统总是从某些已知的知识出发,通过某种检测算法(异常检测)或检测规则(滥用检测)判断入侵行为,因此可被看成是逻辑系统.设该逻辑系统为L={E,O,A(a,t),R},A是从任意时刻a开始的t时间内采集到的数据,相当于已知的知识;根据当前知识入侵检