一种基于流量特征分析的分布式入侵检测方法,基于JADE平台,采用智能决策分析代理和数据采集、独立入侵条件监测代理实施入侵检测:数据采集、独立入侵条件监测代理针对入侵特征明确的网络入侵行为进行检测;智能决策分析代理通过改进的非参数CUSUM算法——阈值回归算法,将网络流量中不同统计特征量,包括流量带宽、新源IP地址等进行综合监测并结合数据采集、独立入侵条件代理传送的相关信息实现网络异常检测,有效提高入侵检测效率和准确性。该方法通过监测新源IP地址可以有效地区分不同的网络流量模式,进一步降低入侵检测系统的误报率。
【技术实现步骤摘要】
本专利技术提出一种高性能的基于异常的分布式入侵检测方法,用于检测计算机网络 系统遭受的各种攻击。
技术介绍
入侵检测是指通过从计算机网络或计算机系统中若干关键点收集信息并对其进 行分析,从中发现网络或系统中是否存在违反安全策略的行为和遭到攻击的安全技术。技 术上,入侵检测方法分为基于异常的检测和基于误用的检测两类。基于误用的检测方法只 能针对已知入侵行进行有效检测,无法检测新的入侵行为。而传统的基于异常的检测方法 也存在异常行为难以定义和判断而导致的误报率高的缺陷。在入侵检测技术方面,近年来,人们进行了大量的研究和试验,提出了多种检测方 法,并将其他领域的技术引入到入侵检测上,这些方法对于特定入侵和攻击行为的检测具 有一定的适用性。但总的来说,入侵检测方法还有待进一步研究和完善,面对日益复杂的高 速网络与越来越新颖的入侵和攻击手段,检测精确度和速度成为影响入侵检测系统性能的 主要因素,误检与漏检仍然是实施入侵检测的关键难点问题。基于流量的入侵检测方法是近年来提出的较新的基于异常的入侵检测方法,它主 要通过对网络流量的异常分析来发现和识别入侵行为,但目前基于流量的网络入侵检测系 统仍然不够成熟,主要面临如下问题(1)检测效率和检测速度的问题网络安全设备的处理速度一直是影响网络性能的一大瓶颈。虽然IDS通常以并联 方式接入网络,但如果其检测速度和网络数据传输速度不匹配,检测系统就会漏掉其中的 部分数据包,从而导致漏报而影响系统的准确性和有效性。在IDS中,截获网络的每一个数 据包,并分析、匹配其中是否具有某种攻击的特征需要花费时间并消耗系统资源,因此,单 纯依靠单个节点或设备实施入侵检测任务难以满足入侵检测的复杂模型和处理能力的要 求。同时,应用系统越来越复杂,许多主体活动很难以简单的统计模型来刻画,而现有的复 杂的统计模型在计算量上不能满足实时的检测要求。需要提出新的理论模型、检测方法和 体系结构来对网络流量活动进行实时有效的统计分析与建模。分布式入侵检测方法可以有 效提高单一检测节点的检测效率问题。(2)入侵检测系统的漏报和误报率较高基于异常发现的入侵检测系统通过流量统计分析建立系统正常行为的轨迹,当系 统运行时的数值超过正常阈值,则认为可能受到攻击,这种简单的判断方法容易导致其漏 报误报率较高。另外,大多IDS是基于单包检查的,协议分析不足,难以识别伪装或变形的 网络攻击,也易造成漏报和误报。同时,统计方法中的阀值难以有效确定,阀值过小会产生 大量的误报,过大则会产生大量的漏报。因此,如何提高监测的准确度是基于流量的入侵检 测系统必须解决的问题。(3)入侵检测算法的有效性问题入侵检测系统的检测方法有特征检测、异常检测、状态检测、协议分析等。实际中 的商用入侵检测系统大都同时采用几种检测方法。但是入侵检测系统不能处理加密后的 数据,如果数据传输中被加密,即使只是简单的替换,入侵检测也难以处理,例如采用SSH、 HTTPS、带密码的压缩文件等手段,都可以有效的防止检测。所以在基于网络流量统计分析 的入侵检测研究中考察的网络信息应该是内容无关的。
技术实现思路
为了克服传统入侵检测方法检测准确率和检测效率低的问题,本专利技术专利提出一 种基于特定流量检测算法的分布式入侵检测方法,主要包括两部分;一是提出一种高效的 基于流量特征分析的入侵检测算法;二是提出一种分布式多Agent体系结构,利用分布式 框架和体系结构提高入侵检测效率。算法方面,利用网络的自相似特性来对网络的异常行为进行检测,针对网络流量 中实时的Hurst参数估计算法将被进行详细的分析与评估,据此提出测量度量指标。通过 非参数CUSUM算法对网络流量中不同统计特征量,包括流量带宽、新源IP地址等进行综合 监测来实现网络入侵检测;同时,为克服非参数CUSUM算法对入侵结束时刻判断迟缓的特 点,提出阈值回归算法对非参数CUSUM算法进行改进,从而大大提高检测的灵敏度和准确 性。体系结构方面,针对入侵检测效率问题,本专利技术利用基于JADE的分布式架构带来 的高性能、高灵活性等特点,引入分布式多Agent入侵检测框架,通过多AGENT方法提高系 统的检测效率。具体技术方案描述如下1.基于JADE的分布式入侵检测框架本专利技术专利提出的入侵检测方法基于JADE平台,将系统中的代理分为两类智能 决策分析代理和数据采集、独立入侵条件监测代理。其中,数据采集、独立入侵条件监测代 理主要针对入侵特征明确的网络入侵行为进行检测;而智能决策分析代理作为本入侵检测 系统的重点,本专利技术通过非参数CUSUM算法负责对网络流量中不同统计特征量,包括流量 带宽、新源IP地址等进行综合监测并结合数据采集、独立入侵条件代理传送的相关信息实 现网络异常检测,特别是针对DOS或DDOS攻击的检测。系统体系结构如图1所示。2.阈值回归算法非参数CUSUM算法在实际应用中能够有效地检测出监测统计量的突变时间点,但 是当网络入侵停止时,整体监测统计量的算术均值不能迅速及时地到门限值以下。这就造 成使用非参数CUSUM算法进行入侵检测难以及时判断网络入侵行为的停止时刻,由此会造 成对于网络入侵行为的误报。系统产生如图2所示的网络入侵流量特征时,系统的yn值与网络流量之间的关系 如图3所示。在这一情况下由于攻击结束的时候7 值的回归速度较慢,这样导致200秒处 发生第二次攻击时yn值仍然大于阈值N,这导致系统会将两次攻击错误地识别成一次。为解决这一问题,本专利技术提出阈值回归算法。算法的思想类似于TCP协议在拥塞 控制问题上的方法。即为yn值设置一个时间窗在该时间窗内计算7 值函数随时间变化的 斜率。如果在时间窗内,Q个连续时间间隔ΔTk中7 值的变化斜率连续为负值且在特定斜4率阈值Y (Y <0)区间内则将7 值减半,即有如下公式Ω, = (Yk-Yk^1)/Δ Tk (k = 0,1,2...)Countk =\2 0,^ = 0,1,2..·)k= O^ I Ω, - Q^1 |< γ^ζ , > 0)Countk>Q^yn=yn_J2DOS或DDOS攻击这一类通过增加网络带宽负载迫使攻击目标服务器不能正常为 合法用户提供服务的网络入侵行为,在攻击发生时的相应统计量特征具有一定程度的相似 性。以SYNflood攻击为例,攻击发生时SYN半连接数据包数量为正常值的数十倍,其他增 加网络带宽负载的拒绝服务攻击在攻击时会向目标服务器发送高过带宽数倍乃至数十倍 的非法数据信息。当这些攻击行为停止时,相应的流量特征数值会骤减,恢复至攻击发生前 的平均正常水平。这一情况在非参数CUSUM算法所监测的统计量数值的计算结果中体现为 Zn恢复到特定的负值范围内。由yn的递归公式,Zn值的恢复会造成监测数值以特定范围的 速率下降,因此只要监测到这一个下降趋势就可以初步断定网络攻击的结束。根据初步判 定结果,将yn数值试探性减半,进行进一步判定。如果判定失误,攻击仍在继续7 值会迅 速恢复到攻击报警时的yn值水平;如果判定正确yn值会进一步减半直至恢复至零值状态。 上述公式正是利用这一原理来加速yn值的回归。本专利技术提出的入侵检测系统选取如下网络流量统计特征指标(1)外部网络与内 部网络之间第本文档来自技高网...
【技术保护点】
一种分布式入侵检测方法,包括一种改进的流量检测算法--阈值回归算法,一种分布式部署方式,其特征是:基于JADE平台,将系统中的代理分为两类:智能决策分析代理和数据采集、独立入侵条件监测代理。其中,数据采集、独立入侵条件监测代理主要针对入侵特征明确的网络入侵行为进行检测;智能决策分析代理通过阈值回归算法对网络流量中不同统计特征量,包括流量带宽、新源IP地址等进行综合监测并结合数据采集、独立入侵条件代理传送的相关信息实现网络异常检测,有效提高入侵检测效率和准确性。
【技术特征摘要】
一种分布式入侵检测方法,包括一种改进的流量检测算法——阈值回归算法,一种分布式部署方式,其特征是基于JADE平台,将系统中的代理分为两类智能决策分析代理和数据采集、独立入侵条件监测代理。其中,数据采集、独立入侵条件监测代理主要针对入侵特征明确的网络入侵行为进行检测;智能决策分析代理通过阈值回归算法对网络流量中不同统计特征量,包括流量带宽、新源IP地址等进行综合监测并结合数据采集、独立入侵条件代理传送的相关信息实现网络异常检测,有效提高入侵检测效率和准确性。2.根据权利要求1所述的分布式入侵检测方法,其特征是入侵检测方法选取如下三 个网络流量统计特征指标,外部网络与内部网络之间第一英里路由的下行网络流量;新源...
【专利技术属性】
技术研发人员:姚淑珍,黄河,谭火彬,王颖轩,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:11[]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。