校园网智能入侵检测模型的设计

校园网智能入侵检测模型的设计

姚恺荣

姚恺荣

（荆州职业技术学院，湖北荆州434020）

摘要：本文提出了一个智能型入侵检测模型，它能收集校园网中的数据并能训练这些数据以生成检测模型，使收集数据、建立模型并将模型分配给检测器的过程高效、自动化。

关键词：校园网；入侵检测；模型

中图分类号：TP393.08文献标识码：A文章编号：1007-9599(2010)04-0000-01

BasedonCampusNetworkIntelligenceInvasionExaminationModel

YaoKairong

(JingZhouInstituteofProfessionalTechnology,Jingzhou434020,China)

Abstract:InordertosolveproblemsexistinginatraditionalIDS,frameworkmodelforanintelligentIDSisproposed.Theintelligentmodelgenerationapproachstreamlinesandautomatestheprocessofcollectingdata,buildingmodels,anddistributingthemodelstodetectors.Theproposedmodelisanopensystemhavinggoodscalabilityandadaptability,andcanreducesignificantlythecostofdeployinganIDSsystem.

Keywords:Campusnetwork;Intrusiondetection;Model

一、问题的提出

出于种种原因，校园网络上以攻击、侵入他人机器、盗用他人帐号非法使用网络、非法获取未授权的文件等方式进行骚扰和人身攻击等事件屡见不鲜。据笔者所在学校网络中心统计，学校的主要几个公用服务器平均每周会受到数十次甚至上百次的非常访问尝试，而其中大部分的非法访问源自校内，校园网上的用户安全意识淡薄可见一斑。

与严峻的校园网安全形势形成对比，当前，入侵检测系统存在着下面几个难以解决的问题：

（一）误警率高：误警太多，会降低入侵检测的效率，而且会增加安全管理员的负担，因为安全管理员必须调查每一个被报警的事件。消除误警可能会产生漏报，因为表面上看起来是误警的几个异常行为，综合起来可能是一个真正的入侵行为。

（二）检测速度慢：目前大多数IDS产品的检测速度慢，应用在网络入侵的实时检测上，算法必须足够快，至少应能匹配目前一般的网络速度。

（三）不易扩充性：从实用的角度看，检测算法还必须易于扩充，使得在新的攻击方法出现时，能够方便迅速地更新检测手段，检测到新的或未知形式的攻击。

二、智能型入侵检测模型的结构[1]

传统的IDS所遇到的问题是检测效率低，系统负载大，不能够检测到一些新的或未知形式的攻击，不能实现全局范围内的入侵检测功能，可扩展性差，可移植性能差。为此，本文提出了一个智能型入侵检测模型，让入侵检测模型能收集自己系统环境中的数据并能自己训练这些数据以生成检测模型，使收集数据、建立模型并将模型分配给检测器的过程高效、自动化。

智能型入侵检测模型的系统结构包括3个组件：1个传感器、1个检测器和1个智能型模型生成器。传感器将格式化的数据传送给检测器和智能型模型生成器；检测器分析传感器送来的这些数据，以响应正出现的入侵；智能型模型生成器通过这些数据，学习新的检测模型，一旦学习了新的模型，智能型模型生成器就将这个新的模型传送给检测器。

（一）入侵检测模型的功能

入侵检测模型有如下功能：

1.入侵识别、入侵学习、入侵响应等；

2.监视用户和系统的运行状况，查找非法用户和合法用户的越权操作；

3.对用户的非正常活动进行统计分析，发现入侵行为的规律；

4.监视网络运行状况，发现网络攻击、非法访问等行为时实时反应及报警；

5.入侵检测的两大信息源是网络传输的数据和系统的审计数据；

6.发现问题时能自动作出控制反应，消除安全隐患；

7.进行入侵检测和跟踪；

8.捕捉正在进行的入侵尝试。

（二）智能型模型生成器的组成

智能型模型生成器由数据接收器、数据库、模型生成器和模型分配器4个组件组成，数据接收器负责搜集来自传感器的数据并对数据进行格式转换，然后将数据存入数据库中；数据库组件存储数据，提供了数据的半永久性存储，供其它组件以后使用，同时使用数据库的查询功能可以为模型生成器生成训练集合；模型生成器使用从数据库中得到的训练集合建立模型；模型分配器将该模型分配给检测器。

（三）建立智能型模型中的问题[2]

1.模型及数据的表示

数据可以是来自不同数据源的；模型可以是不同的形式的，如神经网络的、基于规则的或概率统计模型等。智能型模型生成系统应有一个强大的机制用于处理不同的数据和模型表示。

2.数据库

将传感器数据存入数据库的优点是能够通过一个查询命令检索任意一个数据子集。由于不同的IDS模型生成算法有不同的特性，数据库是很有用的，因为使用数据库可以方便地生成那些组成训练集合的数据。

3.模型的生成和分配

设计智能型模型生成系统是为了能利用各种模型生成算法。模型生成器可以被看成是一个黑盒子，将训练集合作为输入，输出一个经过训练得到的模型。模型生成算法必须有处理可能含有攻击性的训练数据。

4.效率

入侵检测模型设计过程中的一个重要问题是效率问题。IDS必须能够高效、及时地检测出攻击对象，同时最少地使用它所保护的系统资源。智能型模型生成框架是一个分布式系统，在各自的系统上生成模型能最少地使用所保护系统的资源。

（四）智能型入侵检测模型信息处理流程

在本系统中，信息处理一般经过以下几步，处理流程图如图1所示。

1.截获系统或网络信息，存入数据库；

2进行数据分析、处理，建立模型；

3.进行检测分析(模式匹配或异常越界检查)，并对相应事件进行响应；

4.记录用户信息；

5.进行数据处理，确定可疑度；

6.根据可疑度，决定是否报警。

图1智能型入侵检测模型信息处理流程

三、结语

入侵检测技术的研究是目前网络安全研究的热点，这里提出的智能型入侵检测模型能收集系统环境中的数据并能训练这些数据以生成检测模型，使收集数据、建立模型并将模型分配给检测器的过程高效、自动化，十分适合在校园网这种内部安全环境很复杂的网络中使用。

参考文献：

[1]王锋波,曾昭苏.一种基于多代理技术的分布式入侵检测系统.计算机工程与科学,2000,(2):26-28

[2]郭学理,王九菊,张凌海.反拒绝服务攻击的入侵检测系统模型.计算机工程,2002,(1):50-55

作者简介：姚恺荣（1974-），女，讲师。主要研究方向：计算机应用，网络管理。