人工智能在入侵检测技术中的应用

1、特约稿人工智能在入侵检测技术中的应用特约稿耿国华，康 华（西北大学 计算机科学系 ，陕西 西安 710069）摘 要：针对对由于网络服务务不断扩大造造成的入侵行行为日益复杂杂多样的情况况，对人工智智能技术在入入侵检测中的的运用进行了了研究，主要要讨论了专家家系统和神经经网络技术在在入侵监测的的规则管理和和入侵行为分分类方面的应应用，同时给给出了入侵检检测实践。结结果证明，人工智能技技术确实能够够提高入侵监监测系统发现现入侵的实时时性和检测入入侵的正确性。关 键 词词：入侵检测测；人工智能能；专家系统统；神经网；误用检测；异常检测 中图分类号：TTP391.4 文献标识识码：A 文章章编号：10

2、000-2774X(20003)00010-091 入侵检测测及其通用模模型入侵检测技术以以探测入侵为为中心，目的的是为系统提提供实时发现现入侵行为并并及时采取相相应防护手段段。它具体包括数数据收集、行行为分类、报报告错误和响响应反击等方方面，其中用用到的数据可可以由专门的的网络管理系系统(NMSS)或网络和和系统的日志志文件中得到到，而数据推推导和数据分分类是其中的的核心。数据据分类是定义义攻击和识别别攻击的过程程，具体实现现这个过程的的技术多种多多样，如模式式匹配、统计分析、完整性分析析等方法，其其本质大多是是比较正常状状态和考察状状态之间的差差异，以此来来判断系统是是否受到了入入侵。首先

3、给出入侵检检测通用模型型1。这个个通用模型广广泛应用于IIDS(入侵侵检测系统)：它有3个个基本的协作作组件事事件产生器（event generator）、活动记录（activity profile）和规则集（rule set）。其工作关系见图1。事件产生器是用用来产生有关关系统活动的的信息，利用用这些信息来来检测入侵行行为。这些信信息事件可以以由网络监控控服务来发出出，比如可以以从防火墙、NMS、日志文件，或或由系统执行行记录（audit traills）中得到到信息。规则集其实就是是一个探测引引擎（detecttion eenginee）,它利用用各种规则来来检查由事件件产生器送来来数据的

4、合法法性，判断是是否有入侵行行为发生。具具体可用概率率统计模型、匹匹配规则等方方法。活动记录是保存存那些与被检测系统统或网络密切切相关的状态态信息，其中中的信息变量量是由事件产产生器送来的的信息事件或或是由规则集集发出的动作作来执行维护护和更新的，规规则集的有些些动作还可以以填加新的观观察变量。事件产生器、规规则集和活动动记录是在整个系统统中的有机结结合，活动记记录中变量的的定义、规则则集的判断方方法以及事件件产生器的及及时信息送发发一并决定了了系统的探测测能力。在此此，我们关心的的主要问题集集中在规则集集部分，也就就是探测引擎擎中如何应用用人工智能来来判断入侵。2 人工智能能在入侵检测测系统

5、中解决决的问题人工智能是一种种模拟人类思思维来解决复复杂问题的技技术，它使得得机器具有可进行类类似于人类“思思考”的行为为。人工智能能的优势就是是可用来处理理那些烦琐而而复杂的工作，利用用它的学习和和推导方法可可以提高解决决问题的效率率。这是个很大大的技术领域域，其一端是神经经网络将将计算机系统统设计成模拟拟人类神经系系统的底层机机构和功能，另另一端是专家家系统将将计算机模拟拟成类似于智智囊团的高层层认知结构。在在入侵检测系系统中有效地地发现入侵行行为是相当烦琐复复杂的，专家系统统在管理检测测规则方面要要比传统的判判断语句更有有效，利用神神经网络来分分类入侵行为为方便准确，利利用人工智能能中的

6、神经网网络技术、专专家系统技术术检测入侵行行为具有应用用特色。2.1 专家家系统的应用用首先，给出基于于规则的专家家系统（rule-bbased experrt sysstem）在在误用检测（misuse detection）中的应用分析。按探测技术可将ID（intrusion detection）分成误用探测和异常探测两大类；误用探测通过把那些已知的攻击行为抽象成为模式或签名（patterns ；signatures），如果发现符合这些模式的行为，就认为它是攻击，这类似于病毒防范软件只能去发现已知的病毒；异常探测则利用，攻击行为往往和合法行为在过程上有明显区别，如果先抽象归纳出合法行为的基本

7、特征，就可以认为那些与合法行为抽象特征有其他的行为是攻击行为2。误用检测见图。由于误用检测是是基于对已有有规则的检测测，因此适合使用用专家系统，专专家系统将攻攻击行为定义义成相应的规规则集合，如如果发现用户户行为符合某某种攻击规则则集合，则被看成这种种规则集合对对应的是入侵侵行为。2.1.1 专专家系统的优优点 采用专家家系统时，由于新规规则的加入是是完全独立的的，不需要改改变已存在的的规则，同时时与规则对应应的推理行为为也是集中定定义的，非常常有利于规则和和推理行为的的管理，最大大化地方便了对系系统的进化。通常使用的从证证据到结论的的专家系统属属于前推型（forward-chaining）系

8、统，这种形式很适合于事件流为主的系统，是由数据驱动的。一旦事实(facts)满足，就会产生一个新的事实（facts）或是新的结论，这种链条式的推导，模拟了人的思维推理，使分析过程清晰完整，可以观测推导链中每个“节点”，得到它的来龙去脉。因此，前推形式往往用于数据监控、控制领域，IDS便是它的典型应用。2.1.2 专家系统的的建立和描述述3 专家系统统应用于入侵侵检测，其组组成大致有以以下3部分。1) 行为记录录(factts basse)：它记录了系系统运行时观观察到的状态态，是我们分分析的依据。比比如程序执行行记录（auudit ttrail）、tcp/ip协议头等。2) 规则集合合(rul

9、e base)：需要建立立一系列的规规则集合，由由这些规则来来推导，这样样结合行为记记录可以逐步步对行为推导导。3) 推理逻辑辑(inferrence)：由行为记记录和规则集集合来推理判判断入侵行为为的逻辑。其表述方法类似似于数学中的的推导关系，第第一项是规则则名字，其次次是证据，最最后是结论 = 证据就是我们定定义的攻击特特征，结论就就是在满足特特征的情况下下触发的动作作。2.1.3专家家系统的应用用 下面给出出专家系统在在几种常见攻攻击行为检测测中的具体使使用方法。1) 缓冲区溢溢出攻击的检检测方法示例例。缓冲溢出攻攻击是一种常常见的系统攻攻击的手段，黑黑客往往通过程序的的缓冲区写超超出其

10、长度的的内容，造成成缓冲区的溢溢出，从而破破坏程序的堆堆栈，使程序序转而执行其其他指令，以达达到攻击的目目的。据统计计，通过缓冲冲区溢出进行行的攻击占所所有系统攻击击总数的800%以上。我们的推导规则则来自观察缓缓冲溢出的特特点，程序运运行过程的痕痕迹可以在系系统调用的执执行记录（aaudit traill）中发现。由由此给出以下下分析流程方方法。首先，看执行的的调用是否含含有setuuid程序，我我们可以简单单地比较有效用用户ID和实实际用户IDD，如果不同同就认为调用用了setuuid程序，否否则可能并不不是一个攻击击。其次，传递给ssetuidd程序的参数数应该相对比比较长，在aaudi

11、t记记录中的长度度超过了其他他正常settuid 执执行调用的长长度。再次，检测调用用执行参数中中是否包含了了系统操作特特权命令的字字符，如amouunt（在AASCII码码中）等。以上是缓冲溢出出攻击的基本本特征，这些些简单规则虽虽不能判断所所有可能的缓缓冲溢出，但但可正确地检测出大多多数溢出攻击击。我们用专家系统统来描述规则则（e：表示示有实践发生生器送出的记记录系统信息息的事件） e.typee = Exec|exxecve e.uid != ruuid contaiins(e.exec_argess, = 11) e.sizeenorrmal_llengthh = prrintf(al

12、errt:bufffer ooverruun atttack oon commmand mmand”)这个示例给出了了如何抽象入入侵行为特征征与如何使用用规则推导的的方法，并说说明利用专家家系统来完成成检测入侵的的简捷高效性。2) 无效权限限访问（faailed autheenticaation attemmpts）检检测示例。如果没有hottmail的的帐号，但你你却试图登陆陆，我们使用用专家系统进进行了判断这这种非法登陆陆的研究。先先抽象这种无无效权限访问问非法行为的的特征，当一个用户户尝试在一个个给定的时间间里用错误的的名字或密码码登陆达到一一定次数，系系统将发出警告。这种种技术在loo

13、gin，ttelnett，rloggin 等程程序上经常见见到。定义行为记录（ffact）和和规则（以下下a,b,cc是规则推理理）：a) 当用户鉴鉴定失败，记记录这个用户户到行为记录录的变量baad_loggin并且变量前鉴鉴定失败次数数curreent_faailurees加；b) 当前鉴定定失败次数ccurrennt_faiiluress到达一个阀阀值时发出警告，且建建立新的行为为记录maxx_reacched，表表示不再允许许这个用户尝尝试登陆。c) 到达阀值值max_rreacheed，踢出潜潜在的入侵者者（即这个用户户），把各种记记录清零。用专家系统的简简要描述如下下： e.tyy

14、pe = logiin_faiilure = save in baad_loggin | currrent_ffailurre+ cureeent_ffailurre= tthreshhold = maake maax_reaached max_reachhed = ticck offf | cclear all3) SYN floodd攻击检测示示例。SYN fflood是是当前最流行行的Dos（拒绝服服务攻击）与与Ddos（分布式拒拒绝服务攻击击）的方式之之一，是一种种利用TCPP协议缺陷，发发送大量伪造造的TCP连连接请求，从从而使得被攻攻击方资源耗耗尽（CPUU满负荷或内内存不足）的的

15、攻击方式。SYN Floood攻击的的基本原理，与与TCP连接接建立的过程程相关。TCCP与UDPP不同，它是是基于连接的的，为了在服服务端和客户户端之间传送送TCP数据据，必须先建建立一个虚拟拟电路，也就就是TCP连连接。建立TTCP连接的的标准过程在在TCP协议议中被称为三三次握手（tthree-way hhandshhake），步步骤如下：第一步，请求端端（客户端）发发送一个包含含SYN标志志的TCP报报文，SYNN即同步（ssynchrronizee），同步报报文会指明客客户端使用的的端口以及TTCP连接的的初始序号；第二步，服服务器在收到到客户端的SSYN报文后后，将返回一一个SYN

16、+ACK的报报文，表示客客户端的请求求被接受，同同时TCP序序号被加1，AACK即确认认（acknnowleddgemennt）。第三步，客户端端也返回一个个确认报文AACK给服务务器端，同样样TCP序列列号被加1，到到此一个TCCP连接完成成。经分析，问题恰恰好出在TCCP连接的三三次握手中，假假设一个用户户向服务器发发送了SYNN报文后突然然死机或掉线线，那么服务务器在发出SSYN+ACCK应答报文文后是无法收收到客户端的的ACK报文文的（第三次次握手无法完完成），这种种情况下服务务器端一般会会重试（再次次发送SYNN+ACK给给客户端）并并等待一段时时间后丢弃这这个未完成的的连接，这段段

17、时间的长度度我们称为SSYN tiimeoutt，一般来说说这个时间大大约为30ss2min。一个个用户出现异异常导致服务务器的一个线线程等待1mmin并不是是什么很大的的问题，但如如果有一个恶恶意的攻击者者大量模拟这这种情况，服服务器端将为为了维护一个个非常大的半半连接列表而而消耗非常多多的资源(数以万计的的半连接)，即使是简简单的保存并并遍历也会消消耗非常多的的CPU时间间和内存，何何况还要不断断对这个列表表中的IP进进行SYN+ACK的重重试。实际上上，如果服务器器的TCP/IP栈不够够强大，结果果往往是堆栈栈溢出崩溃，即即使服务器端端的系统足够够强大，服务务器端也将忙忙于处理攻击击者伪

18、造的TTCP连接请请求而无暇理理睬客户的正正常请求（毕毕竟客户端的的正常请求比比率非常之小小），此时从从正常客户的的角度看来，服服务器失去响响应，这种情情况我们称作作服务器端受受到了SYNN floood攻击（SSYN洪水攻攻击）。根据这种攻击的的特点，我们们在专家系统统中对它的行行为记录（ffact）定定义如下：max_badd_connns：最大的恶性性连接数，超超过此数将发发警告。expire_time：超过这个等等待应答ACCK时间，而而没能连接，被被认为是恶性性连接。bad_connn_liffe：恶性连接被被保留时间，超超过这个时间间的将被清除除。当半连接超过一一定时间没成成为成功

19、连接接时，我们认为发发生了个恶性性连接。检测规则：a) 如果在时时间片里恶性性连接发生而而还没超过限限度是，baad_connn_couunt 被增增加1。b) 当恶性连连接到达限度度，发警告，重重设 badd_connn_counnt 为0。c) 当连接超超过bad_conn_life ，这个连接接将被清除，从从而 badd_connn_counnt 减1。2.2 神经经网络在入侵侵检测中应用用先说明神经网络络（neurral neetworkks）在异常常检测（annomalyy deteectionn ）中的应应用，异常检测的的关键任务是是找到那些超超出用户行为为特点的不正正常的用户行行

20、为，主要障碍是是如何抽象出出正常的用户户行为。由于于用户行为的不确定性性，用传统的的方法对合法法用户行为的的抽象有时很很难准确的定定义，需要借助于于神经网络的的特点发挥在在入侵检测中中的优势。异异常检测见示示意图2.2.1 神经网组成成结构 人工神经经网络是由模模拟生物神经经处理信息过过程而产生的的一种信息处处理方法，其其结构是有众众多内部紧密密连接的信息息处理元（nneuronns）组成，这些处理元元依靠集体的的工作来处理理复杂的信息息。在用神经经网络来分类类数据或模式式识别前，需要对神经经网络的内部部元进行特殊殊的学习训练练，这如同生生物神经对条条件反射的适适应过程。神神经网系统结结构见图

21、4。图4中包含神经经元，这些神神经元之间有有相当复杂的的联系规则，用用图形来表示示，每个神经经元可被看成成是一个结点点，他们之间间的连接被当当作是连接结结点的边。各各条边都有其其各自的权重重，权重代表表了结点间连连接的紧密程程度，权重越越大代表联系系越紧密。神神经网络最大大的特点就是具具有自适应性性，即通过实际际结果和希望望结果的差异异调整连接权权重，来消除除差异。图 4 神经经网系统结构构fig.4 Neuraal Nettwork Systeem Strructurre2.2.2 神神经网络的学学习算法和优优势 神经经网络的学习习算法具有补补偿误差的规规则，当神经经网络的输出出和希望的输输

22、出有误时，就就自动的调整整权重和阀值值来补偿误差差。结点的拓拓扑结构和学学习算法构成成了一个神经经网络的基本本结构。采用神经网络的的学习算法，可可使系统逐渐渐记住合法用用户行为的基基本特征（或或叫模式/签签名），从而而可对后来输输入的用户行行为特征进行行辨别分分类，若不属于系统统已记录的合合法用户行为为模式，将被被认为是异常常行为。例如如，合法用户户通过使用系系统，留下他他的行为特征征好比是 “指指纹”，当系统有了了合法用户的的“指纹”后后，如有非法法用户登陆并并使用系统，通通过检查合法法用户留下的的“指纹”，系系统就会迅速速发现入侵者者。由于用户特征(指纹)的抽象性不不易观察，很很多情况下用

23、用户自己也不不知道自己行行为的统计规规律，因此神经网络络被广泛应用用于模式识别中中，把要检测测的用户行为为变成一个输输入向量，通通过神经网络络后会按分类类结果输出，帮帮助找出输入入和输出间的的非线性关系系，以提取用用户行为模式式。以下通过例子来来讲解两个神神经网在常探探测中的应用用。2.2.3 神经网络应应用1) 后反馈神神经网（baackproopagattion nneurall netwwork）的的应用示例4 a) BP神经经网络的训练练过程：使用BP神神经网络识别别系统的合法法用户，由于于系统中不同同的用户有不不同的要求，他他们调用的操操作指令也就就不会相同。有有些用户使用用系统仅仅

24、是是收发电子邮邮件，有些用用户则可能主主要使用系统统编程序，而而系统管理人人员则有更高高的权限，可以以进行任何操操作。因为用用户的多样性性和他们的不同习惯，使使得命令的调调用呈现不同同的分布，并并且调用频率率也大不相同同，但具体如如何不同我们们很难准确地地表示清楚，利利用神经网的的学习能力系系统可以自动动的找到这种种不同。可使用这种三层层结构的反馈馈网络，第一一层输入特征征向量，每个个输入端和一一个特征对应应，假定我们们抽象用户行行为特征为1100个变量，那就就应该有1000个输入端；每每个输入端对应一个个合法的用户户，这里将来来识别10个个合法用户行行为特征，如如果结果超出出了这10个个用户

25、我们认认为它是异常常行为。我们定义1000个命令各对对应一个输入入端，具体变变量值就是这这个命令的使使用频率。用神经网络来识识别：首先要收集集训练数据，读系统的执执行记录（aaudit）得得到每个用户户的命令调用用信息，把他们变成成一个代表用用户使用频率率的100维维向量；然后进行训练练，训练神经经网识别这些些不同命令频频率分布向量量；最后执行，让网络识别别新的用户命命令频率分布布向量，判断是否属属于合法用户户。以下是用户使用用的命令范围围，共100个个：as awk bc biibtex calenndar ccat chhmod ccomsatt cp ccpp cut ccvs daat

26、e dff difff du ddvips egrepp elm emacss expr fgrepp filtter fiind fiinger fmt ffrom fftp gccc gdbb ghosttview gmakee grepp gs ggzip hhostnaame idd ifcoonfig ispelll lasst ld leess loook lppq lprr lprmm ls mmachinne maiil makke man mmesg mmetamaail mkkdir mmore mmovemaail mppage mmt mv netsccape nets

27、ttat nmm objddump pperl ppgp piing pss pwd rcp rresizee rm rssh sedd senddmail sh soort sttrip sstty ttail ttar tcsh tee ttest ttgif ttop tpput trr tty unamee vacaation vi viirtex w wc whereeis xbbiff+ xcallc xdvvi xhoost xtterm这里把用户使用用命令的频率率分成10个个等级，编码码为0.0 1.0且且以0.1递递增。第一级意味味着这个命令令从来不使用用，第2级表表示每天1

28、2次，类推推，最后一级级表示每天超超过200次次。这样，用户特征征向量作为输输入数组形式式为： 0.1，0.2，0.1，0.3，0.0(共共100个)。用合法用户行为为训练数次（数数十到数百）后后，系统会得到一个满意的的正确率。BP神经网络的的训练过程是是一种监督性性的学习过程程，必须事先先告诉系统希希望的输出是是什么。所以以，我们先找到到了合法用户户的行为特征征“指纹”。b) 非监督性性学习训练过过程：非监督督性学习训练练过程不需要要事先告诉系系统希望的结结果，将人为为干预降到最最低，人们不不用去准确地地抽象出攻击击特征，系统统会自动学习习分析，找到那些不不易被发现或或精确描述的的行为特征，

29、并并按照特征将将行为类聚。2) 基于非监监督性训练识识别入侵的神神经网络示例例Self-orrganizzing mmap neeural netwoork 55简称SOOM，因为它它可在不告诉诉其什么是正正确结果的情情况下训练，是是一种非监督督神经网络。其输入是含有分析物体特征信息的数学向量，在SOM中必须有一个比较函数，用它来比较两个向量（一个是输入向量，一个是存在于网络向量集合中的向量）的相似程度，它把输入向量和集合中的所有向量分别比较，输出的是输入向量和向量集中向量的相似程度。首先保证在向量集合中的向量的合法性，如果输入向量和所有向量集合中的向量都存在较大的差异，我们就认为它是异常的。

30、如何使用这种非非监督学习性性（SOM）神神经网络来检检测DNS断断口的访问中中的缓冲溢出出攻击呢？由由于缓冲溢出出攻击的参数数往往过长，并并且含有二进进制命令代码码而不是普通通文字，我们用神经经网络来检测测缓冲溢出攻攻击的企图，首首先需要定义义几组特征向向量来描述这这种企图，然然后检测端口口收到的包有有多少个字节节（octeet）符合这这几组特征。我我们利用简单单的特征组，如：字母（AAZ,az）；数字字（09）；控制制命令代码；非ASCIII码。这些些特种组给出出了端口访问问包的组成轮轮廓，从中推推断访问是否否有溢出攻击击企图。可以以挑选50个个正常包来训训练map，每每个包都被抽抽象成含以

31、上上4个分量的的特征组，其中每个包包的控制命令令代码和数字字都不会超过过15个字节节。SOM神神经网络会将将特征相似的的包类聚，对对输入的向量量检测和网络络中包含的已已有特征向量量的相似程度度，如果新包包和所有已有有向量都不相相似，便认为为是种异常向向量。用这550个包训练练后，网络会会自动将他们们类聚，即把正常情情况下的访问问包轮廓记下下了。在训练练以后，如果果系统碰到的的包含有不寻寻常的特征，如如控制命令代代码为30个个字节或数字字为25时，在在网络已知的包轮廓廓中找不到相相似的聚类时时，就检测出出了这种溢出出攻击的企图图。3 结 语语人工智能技术除除了提到的专专家系统和神神经网络，还包括

32、遗传传算法、免疫算法等等分支，这些些方法目前都都逐渐被应用用于入侵检测测。专家系统统的优势在于方方便、有效的规则则定义和链式式推导，神经经网和遗传算算法的优势在在于系统具有有的学习能力力，这点对于于新型攻击的的检测是很合合适的。当然然，一个强大的的入侵检测系系统要求结合合各种技术来来完成信息分分析工作，同同时也应该考考虑到系统实实现的复杂性性和实时性。参考文献：1 ESCCAMALLLA TIntruusion Detecction: Netwwork SSecuriity Beeyond the FFirewaallMNew YYork：JJohn WWiley and SSons IInc

33、, 119982 ULFF L, PPHILLIIP A PDeteccting compuuter aand neetworkk misuuse thhroughh the produuctionn-baseed exppert ssystemm toollset (P-BESST) ZZ 1999 IEEE Sympoosium on Seecuritty andd Privvacy, Califforniaa，19993 Sunndaramm A An inntroduuctionn to IIntrussion ddetecttion OLhttp:/ccrossrroads/xrds

34、22-4/intruss.htmll，20014 JAKKE R, LIN MM JIntruusion Detecction with Neuraal Nettworkss OLhttp:/wwww.veniiceconnsultiing.coom /techhnicall.asp, 200335 金 波，林家骏骏. 入侵检测技技术评述JJ. 华东理工大大学学报，22000，111：1 460-11 466. (编编辑：曹大刚)The appplicattion oof arttificiial inntelliigencee in iintrussion ddetecttionGENG G

35、uuo-hua， KANNG Huaa (Deparrtmentt. of Compuuter SSciencce, Noorthweest Univeersityy , Xian 7100669, Chinna) Abstracct : TThe keey of intruusion detecction is hoow to find the iintrussive bbehaviiors eeffecttivelyy .Witth thee exteensionn of nnetworrk serrvicess , itt becaame moore annd morre divversifficateed andd compplicatted .Iff we sstill detecct succh behhaviorrs aree stilll dellectedd by hhand ,it iss obviious tthat iit cannt saatisfyy the need of reeal-tiime inntrusiion deetectiion ass welll as