案例推理在网络入侵检测识别过程中的应用分析

ＩＳＳＮ　１００９－３０４４　Ｅ—ｍａｉｌ：ｉｎｆｏ＠ｄｎｚｓ．ｎｅｔ．ｅｎ　Ｃｏｍｐｕｔｅｒ　Ｋｎｏｗｌｅｄｇｅ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ电脑知识与技术　ｈｔｔｐ：／／ｗｗｗ．ｄｎｚｓ．ｎｅｔ．ｃｎ　Ｖｏ１．１０，Ｎｏ．２５，Ｓｅｐｔｅｍｂｅｒ　２０１４　Ｔｅｈ＋８６—５５１—６５６９０９６３　６５６９０９６４　案例推理在网络入侵检测识别过程中的应用分析　张虎　，王利巧　（１．河南科技大学软件学院，河南洛阳４７１００３　２河南科技大学现代教育技术中心，河南洛阳４７１００３）　摘要：伴随着网络的应用普及，网络安全问题也不断表现出来。在防火墙、认证技术等传统安防技术日趋成熟的同时，作　为主动防御技术之一的入侵检测技术为网络安全提供了新的有力的支持。在如前检测识别过程中引入基于知识的、有自　学习能力的案例推理机制，能够为网络管理者提供可靠的、有针对性的入侵响应处理方法。　关键词：网络安全；入侵检测；案例推理；案例库　中图分类号：ＴＰ３９３　文献标识码：Ａ　文章编号：１００９—３０４４（２０１４）２５—５８６１—０２　互联网的普及给人们带来了便利的同时，因为其安全性给人们带来的烦恼也随之增加，甚至对网络信息安全造成巨大的威　胁。所以，网络安全问题成为提高网络服务要求之一，同时也引领了网络技术的一个方向——网络安全。现在广泛使用的防火墙　技术、加密技术和认证技术虽然成熟，但由于其静态、被动的特点，在日趋复杂的网络应用环境中显得力不从心。所以，需要有更　为有效的防御技术来对现在的网络安全进行防护，融人智能化的更为综合的主动防御技术成为人们关注的焦点。入侵检测技术　的应用作为网络安全防范的重要手段之一，在网络安全中的地位越来越重要。　１入侵检测的概念　入侵检测是网络安全重要的组成部分，是根据一定的安全策略，对网络和系统的运行进行监视，对网络数据包进行综合分析　并进行的异常检测，对系统资源的非授权使用做出及时判断和报警，并能够识别入侵者和入侵行为、检测和监视已经成功的入侵，　并进行人侵响应。目前已经成为计算机安全策略的核心技术之一。　入侵检测融合数据挖掘的归纳总结能力，以数据为中心，对系统日志和审计数据进行分析，从中抽取规则和知识，自动的构建　检测模型，大大的减轻了对系统日志和审计数据进行人工分析的负担。　根据入侵检测系统的应用技术和特点，可将其归纳为以下几类：　１）基于目标系统的入侵检测系统：包括基于主机和基于网络的人侵检测系统两大类；　２）基于数据来源的入侵检测系统；　３）基于入侵检测方法的入侵检测系统：包括异常和误用两大系统；　４）基于模块运行分布方式的入侵检测系统：包括集中式和分布式两大系统；　５）基于不同入侵响应处理方式的入侵检测系统：包括主动的入侵检测系统和被动的入侵检测系统。　２案例推理理论的概念　案例推￣（Ｃａｓｅ　Ｂａｓｅｄ　Ｒｅａｓｏｎｉｎｇ，简称ｃＢＲ１，又称作实例推理。推理机制源自人类在现实生活中解决问题的一般过程。即生　活中遇到问题时先在记忆中遍历搜索已经历过的、类似的问题处理过程，从而得到解决办法，若没有找到解决办法，就记录下该问　题，生成一个新的条目，并分析判断产生新的解决办法，待问题成功解决后进行记录并生成新的记录。案例推理过程就是采用上　述类比的过程，把当前所遇到问题通过以往已经解决的相同或相似案例来作为指导，并将新的问题保存下来作为以后求解指导的　案例，从而充实案例库、知识库。但案例库、知识库的不断扩充直接导致检索时间的无限延长，推理效率下降。　３案例推理过程及其优点　３．１案例推理的一般过程　案例推理的一般过程包含四个步骤：案例的检索（ＣＡＳＥ　ＲＥＴＲＩＥＶＥ）、案例的复用（ＣＡＳＥ　ＲＥＵＳＥ）、案例的修￣（ＣＡＳＥ　ＲＥＶＩＳＥ）、　案例的保存（ＣＡＳＥ　ＲＥＴＡＩＮ１　案例推理的一般处理过程：　１）新问题的分析，在遇到问题后首先进行问题的分析，即找出问题的关键特征，以这些特征在已有的案例库中进行检索、匹　配，根据检索和匹配的条件得到的匹配结果往往不是唯一的。所以，检索的结果数量应该尽可能的少，并尽量缩短检索、匹配所用　的时间。　’　２１应用检索、匹配的结果进新问题求解的过程。在上一步检索、匹配到结果后，将新问题与库中原有的案例进行比较，针对二　者的异同，直接或间接作用于新问题之上。　收稿日期：２０１４—０６—２１　本栏目责任编辑：冯蕾　网络墨讯及安全…５８６１　Ｃｏｍｐｕ￣ｒ　Ｋｎｏｗｌｅｄｇｅ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ电脑知识与技术　第１Ｏ卷第２５期（２０１４年９月）　３）案例修正，在问题处理完成后，将处理结果进行指标评价，对上一步检索、匹配并用于新问题求解的案例在用于新问题求解　过程中无法得到正确结果，则要根据产生的偏差对所存储的案例进行修正，修正过程要依据实际运行结果的反馈进行。　４１问题解决后，将该问题生成案例，并将其保存，以充实案例库。　３．２案例推理机制的优点　１）案例推理机制依据的是过去以存储的案例，不需要准确的规则和模型；　２）案例推理机制对方法知识获取过程简单，简单易懂，求解效率高；　３）案例推理机制有很好的自学习能力，它通过执行案例的修正和案例的保存来扩充案例库，从而实现案例库的有机灵活性。　４案例推理在网络入侵识别中的应用　将案例推理应用到入侵识别过程的基本思想是将检测到的网络入侵作为新的案例问题进行保存，并开始在案例库中进行检　索、匹配，查找与之类似的案例，在得到匹配结果后开始新问题的求解，即比照检索、匹配的结果进行处理。在实际的网络应用中，　网络入侵行为均已网络安全漏洞为目标，虽然网络的入侵行为差异性很大，但还是有一定的规律的。网络入侵作为网络行为也要　适应相应的网络协议和网络服务类型，这就为检索和匹配提供了直接的依据。即使每次入侵行为的表现及其特征不同，但可以根　据相似度进行判断，从而得到检索、匹配的结果。若相似度过低，则认为是新案例，可以将其充实进案例库，若相似度较高，则说明　有可参考的同类案例，即检索、匹配成功。　５案例库的维护　案例库的建立、检索、维护是基于数据库和数据挖掘技术之上的。建库时要科学设定索引关键词，以尽量减少索引时间。在　建立索引案例时，要对相同、类似的案例进行标记、处理，避免出现不必要的冗余。但无论是关键词的设定和冗余的避免策略如何　应用，随着案例库容量的绝对增加，检索速度还是会有所降低的。所以，要对案例库进行周期性的维护。维护过程主要完成冗余　案例的处理、案例的组织管理、不必要案例的删减，以保证案例库始终处于效率较高的规模。通常采用随机删除法、效用度量删除　法、选择删除法等。　１）随机删除法：随机删除法是一种最简单的管理策略，即在案例库维护时随机删减某些案例，以降低案例库的规模，以提高检　索效率。随即删除的方法虽然简单，但由于其删除的随机性，容易删除一些重要、常用的案例，反而影响的案例的检索效率。　２）效用度量删除法：建库时为每个案例建立效用值字段，在案例检索成功是修改效用值，以判断其使用频率，在维护时根据该　字段值进行删除。这种方法能够很好的保留常用的案例，但也会删除一些使用频率低但较为重要的案例，导致对这些案例要重新　加载、更新，增加库的维护工作量。　３）选择删除法：选择删除的方法是用户根据相应的指标来进行库的维护。比如在效用度量的选择设置方法上，可以根据进库　的历史时间和使用频率综合考虑，也可以比较案例检索的时间花费和匹配代价等。选择删除方法的使用最为灵活，效率也较前两　种方法高，但对维护人员的要求较高。若规则设置存在欠缺，则会导致维护过程的缺陷。　６结束语　入侵检测技术是在网络运行过程中，通过收集网络中的信息并通过过滤检测来发现违反安全策略的入侵行为，在现有网络安　全防范体系中，是对防火墙、认证、加密等静态保护机制的补。同时，案例推理过程作为一种基于知识的问题求解和学习方法，在　入侵检测过程中引人案例推理机制，可以在检测到入侵行为后进行入侵识别分类，从而为网络管理者提供可靠的、有针对性的入　侵响应处理方法。对于案例库的建立和维护，以及案例推理机制，都还需要进一步改进，但案例推理机制在今后的应用领域是一　个大的发展方向，有着很好的发展前景。　参考文献：　…李汉彪，刘渊．一种ＳＶＭ入侵检测的融合新策略［Ｊ】＿计算机工程与应用，２０１２，２，１．　【２］齐润泉．校园网安全工程分析与研究ｆＪＪ．信息技术与信息化，２００６，６，１５．　［３】齐润泉．安全工程理论在教育城域网中的应用研究［Ｊ１．山东科技大学学报（自然科学版），２００５，６，３０．　（上接第５８５８￣）　参考文献：　【１】崔凯．智能型网络故障诊断系统研究［Ｊ】．河南教育学院学报：自然科学版，２０１３（３）．　［２］马长安．文件替换法排除ＴＣＰ／ＩＰ协议故障［Ｊ］＿安徽电子信息职业技术学院学报，２００９（５）．　［３］张东进．探析计算机网络故障与维护策略［Ｊ］．电脑编程技巧与维护，２０１１（２）．　［４］范慧霞，杨静，郑喜珍局域网常见故障分析及解决方法ＩＪ１．科技信息：学术研究，２００９（３２）．　［５］Ａ１一Ｋｕｗａｉｔｉ　Ｍ，Ｋｙｒｉａｋｏｐｏｕｌｏｓ　Ｎ，Ｈｕｓｓｅｉｎ　Ｓ．Ａ　ｃｏｍｐａｒａｔｉｖｅ　ａｎａｌｙｓｉｓ　ｏｆ　ｎｅｔｗｏｒｋ　ｄｅｐｅｎｄａｂｉｌｉｔｙ，ｆａｕｌｔ—ｔｏｌｅｒａｎｃｅ，ｒｅｌｉａｂｉｌｉｔｙ，ｓｅｃｕｒｉｔｙ，　ａｎｄ　ｓｕｒｖｉｖａｂｉｌｉｔｙ．ＩＥＥＥ　Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ　Ｓｕｒｖｅｙｓ＆Ｔｕｔｏｒｉａｌｓ．２００９．　５８６２…啊铬盈讯及安全　本栏目责任编辑：冯蕾