基于聚類技術(shù)分布式入侵檢測模型CDIDS設(shè)計(jì)

1、基于聚類技術(shù)分布式入侵檢測模型cdids設(shè)計(jì)摘要：本文主要構(gòu)建了一種基于聚類技術(shù)的分布式 入侵檢測系統(tǒng)模型一一cdids,介紹了該模型中各個(gè)模塊的 設(shè)計(jì)方法和工作流程，同時(shí)，也說明了整個(gè)系統(tǒng)的工作流程, 并對該系統(tǒng)進(jìn)行了性能評價(jià)，說明其可擴(kuò)展、強(qiáng)壯并且智能。關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測；聚類1引言近年，隨著internet迅速發(fā)展的同時(shí)，計(jì)算機(jī)及計(jì)算 機(jī)網(wǎng)絡(luò)逐漸成為計(jì)算機(jī)犯罪的攻擊目標(biāo)，從而導(dǎo)致社會和個(gè) 人都有很大的損失。計(jì)算機(jī)及網(wǎng)絡(luò)的安全也因此成為研究的 焦點(diǎn)。入侵檢測技術(shù)是繼傳統(tǒng)安全保護(hù)措施后新一代的安全 保障技術(shù)，作為一種積極主動(dòng)的安全防護(hù)技術(shù)，它有效地補(bǔ) 充和完善了其他安全技術(shù)和手段。由

2、于數(shù)據(jù)挖掘能夠從存儲的大量數(shù)據(jù)中挖掘出有效、新 穎、具有潛在用途及最終可以理解的模式，所以可以將其應(yīng) 用于入侵檢測領(lǐng)域中，發(fā)現(xiàn)新類型或變種的攻擊。以聚類分 析為代表的無監(jiān)督檢測方法的提出解決了傳統(tǒng)方法存在的 問題。因此，致力于基于聚類方法的入侵檢測技術(shù)的研究具 有重要的社會意義和現(xiàn)實(shí)意義。2入侵檢測入侵檢測是指對入侵行為的發(fā)現(xiàn)，通過在計(jì)算機(jī)網(wǎng)絡(luò)或 計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對收集到的信息進(jìn) 行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為 或攻擊的跡象1。入侵檢測技術(shù)的引入，使得網(wǎng)絡(luò)、系統(tǒng) 的安全性得到進(jìn)一步的提高。完成入侵檢測功能的軟件和硬 件的組合稱為入侵檢測系統(tǒng)(intrus

3、ion detection system) 簡稱idso3數(shù)據(jù)挖掘數(shù)據(jù)挖掘(dm, data mining)就是從大量的、不完整 的、有噪聲的、模糊的、隨機(jī)的數(shù)據(jù)中，提取隱含在其中的、 人們事先不知道的、但又是潛在的、有用的信息和知識的過 程2。數(shù)據(jù)挖掘的主要分析方法有分類分析、關(guān)聯(lián)規(guī)則、 序列模式分析和聚類分析等等，本文著重講述聚類分析方 法。4聚類分析聚類是一個(gè)將數(shù)據(jù)劃分為若干組或類的過程，并使得同 一個(gè)組內(nèi)的數(shù)據(jù)對象具有較高的相似度，而不同組中的數(shù)據(jù) 對象則是不相似的3。一個(gè)聚類就是由彼此相似的一組對 象所構(gòu)成的集合，聚類分析就是從給定的數(shù)據(jù)集中搜索數(shù)據(jù) 對象之間存在的有價(jià)值的聯(lián)系。5基

4、于聚類技術(shù)的分布式入侵檢測模型cd ids的設(shè)計(jì)5. 1設(shè)計(jì)思想本文所提出的入侵檢測模型的設(shè)計(jì)遵循如下原則：5. 1. 1基于agent的分布式檢測系統(tǒng)本文采用分布協(xié)作式體系結(jié)構(gòu)，將每個(gè)主機(jī)代理都設(shè)計(jì) 成可以獨(dú)立檢測和響應(yīng)的單元，向中央控制模塊發(fā)送入侵行 為特征。5. 1.2誤用檢測與異常檢測相結(jié)合誤用入侵檢測利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模 式來檢測入侵，能直接檢測出不利的或不可接受的行為。這 種檢測方法檢測率高、誤報(bào)率低、檢測速度快，但是漏報(bào)率 較高，對新的入侵行為和已知入侵行為的變種卻無能為力。 異常檢測是基于已掌握了的被保護(hù)對象的行為建立正常工 作模式，并假定正常工作模式相對穩(wěn)定。異

5、常檢測最大的優(yōu) 點(diǎn)是有可能檢測出以前從未出現(xiàn)過的攻擊方式，但是誤報(bào)率 較高4。通過以上說明可以看出誤用檢測和異常檢測技術(shù) 是互補(bǔ)的，兩種技術(shù)的結(jié)合可以互相補(bǔ)短，進(jìn)而提高入侵檢 測的準(zhǔn)確性。5. 2 cdids系統(tǒng)模型本文將所設(shè)計(jì)的基于聚類技術(shù)的分布式入侵檢測模型 定義為cdids,該模型分為兩大模塊一一agent和中央控制 模塊。系統(tǒng)工作原理如下：(1) 每個(gè)駐留在被保護(hù)主機(jī)的代理獨(dú)立承擔(dān)一定的檢 測任務(wù)，檢測系統(tǒng)或網(wǎng)絡(luò)安全的某個(gè)方面，并把收集到的網(wǎng) 絡(luò)數(shù)據(jù)進(jìn)行檢測分析，將檢測到的入侵行為特征傳送給中央 控制模塊。(2) 中央控制單元將接收到的入侵行為特征存入數(shù)據(jù) 庫，利用數(shù)據(jù)挖掘模塊對這些入

6、侵行為進(jìn)行挖掘，形成規(guī)則 即入侵特征庫存入數(shù)據(jù)庫，并將這些規(guī)則傳送給每個(gè)代理， 使得每個(gè)代理都可以自動(dòng)更新入侵特征庫，實(shí)現(xiàn)智能化。5. 2. 1 agent 設(shè)計(jì)本系統(tǒng)中agent由五個(gè)模塊構(gòu)成：數(shù)據(jù)采集模塊、預(yù)處 理模塊、誤用檢測模塊、異常檢測模塊和響應(yīng)模塊。(1) 數(shù)據(jù)采集模塊。數(shù)據(jù)采集模塊的主要作用是收集 網(wǎng)絡(luò)數(shù)據(jù)包。為了將包輸送給預(yù)處理程序以及隨后的檢測引 擎，必須先做一些準(zhǔn)備工作，即需要一個(gè)抓包工具°winpcap 是由伯克利分組捕獲庫派生而來的分組捕獲庫，它是在 windows操作平臺上來實(shí)現(xiàn)對底層包的截取過濾。(2) 數(shù)據(jù)預(yù)處理模塊。數(shù)據(jù)預(yù)處理模塊主要的作用是 對數(shù)據(jù)采

7、集模塊采集到的連接進(jìn)行特征提取，提取出能用于 數(shù)據(jù)挖掘的特征群，并對這些特征數(shù)據(jù)標(biāo)準(zhǔn)化處理，供檢測 引擎中的數(shù)據(jù)挖掘算法使用。(3) 誤用檢測模塊。誤用檢測模塊將待檢測的數(shù)據(jù)對 象與入侵模式庫中的規(guī)則類別相比較，同時(shí)設(shè)定一個(gè)閾值 山。計(jì)算待檢測對象與規(guī)則庫中每個(gè)類別的距離，找出距離 它最短的類別，如果距離值小于dn,則說明該數(shù)據(jù)對象屬于 此類，將其確定為入侵行為，啟動(dòng)響應(yīng)模塊；否則，說明該 對象是新型攻擊或者正常數(shù)據(jù)(這里視其為可疑數(shù)據(jù))，將 其送往異常檢測模塊。(4) 異常檢測模塊。異常檢測模塊將誤用檢測模塊中 判斷得到的可疑數(shù)據(jù)與正常模式庫中的類進(jìn)行比較，并設(shè)定 閾值da。如果數(shù)據(jù)與正常模式庫中的任意類別的距離都大于 da,則將此數(shù)據(jù)判定為入侵，加入入侵模式庫并啟動(dòng)響應(yīng)單 元；否則說明此數(shù)據(jù)為正常行為，將其丟棄。在誤用檢測模塊中所使用的模式匹配技術(shù)也是基于距 離計(jì)算，將待檢測的數(shù)據(jù)對象與正常模式庫中的聚類中心進(jìn) 行計(jì)算，得到距離dis (m, c) (m為待檢測數(shù)據(jù)對象，c為 正常模式庫中到m最近的聚類的聚類