專利名稱:基于熵運算的網(wǎng)絡(luò)入侵檢測方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,特別涉及一種基于熵運算的網(wǎng)絡(luò)入侵檢測方法����。
背景技術(shù):
隨著網(wǎng)絡(luò)的開放性、共享性及互聯(lián)程度的擴大�����,特別是因特網(wǎng)的出現(xiàn)�,網(wǎng)絡(luò)的重要性以及對社會的影響也越來越大?���;ヂ?lián)網(wǎng)Internet是一種開放的面向所有用戶的技術(shù),資源共享和信息安全是一對矛盾�。互聯(lián)網(wǎng)在提供信息共享并給我們帶來極大便利的同時�,其自身的安全問題也日益突顯。根據(jù)計算機緊急情況響應(yīng)組(Computer Emergency Response Teen�����,簡稱CERT)的統(tǒng)計數(shù)字顯示,隨著互聯(lián)網(wǎng)的發(fā)展�����,安全事件數(shù)量不斷上升�����。尤其是近兩三年�,出現(xiàn)了成倍增長的急劇上升趨勢。根據(jù)粗略的統(tǒng)計���,目前攻擊手段大約有兩三千種之多�����,常見的攻擊手段有后門程序、木馬��、緩沖區(qū)溢出攻擊���、掃描����、密碼破解攻擊、拒絕服務(wù)攻擊��、分布式拒絕服務(wù)攻擊�、FINGER、FTP服務(wù)攻擊���、TELNET服務(wù)攻擊�����、RPC服務(wù)攻擊���、DNS 服務(wù)攻擊、ICMP協(xié)議攻擊����、WEB服務(wù)攻擊等等。以上這些只是部分常見攻擊類型����,每種攻擊類型又包括了很多種不同的攻擊方法,例如拒絕服務(wù)攻擊就包括Syn-Flood�����、UDP-Flood、 Ping-Flood��、Land-based-Attack�����、Smurf Attack��、Ping Of Death 等多種攻擊方法��。由于 Internet的開放互聯(lián)性��、網(wǎng)絡(luò)協(xié)議自身的缺陷以及操作系統(tǒng)漏洞���、系統(tǒng)應(yīng)用程序漏洞等多方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計算機系統(tǒng)存在很多的安全問題�。網(wǎng)絡(luò)安全問題主要源于黑客的攻擊�、管理的欠缺、網(wǎng)絡(luò)的缺陷��、軟件的漏洞�、網(wǎng)絡(luò)內(nèi)部的攻擊等幾個方面����。為了盡量保障計算機和網(wǎng)絡(luò)系統(tǒng)特別是關(guān)鍵部門的信息安全����,市場上涌現(xiàn)出了各種安全技術(shù)和產(chǎn)品���, 包括防火墻��、安全路由器���、身份認證系統(tǒng)、VPN設(shè)備等���,這些技術(shù)和產(chǎn)品對系統(tǒng)有一定的保護作用�,但都屬于靜態(tài)安全技術(shù)范疇��,不能主動跟蹤入侵者��,也不能積極有效地防止來自網(wǎng)絡(luò)內(nèi)部的非法行為�����。為了確保網(wǎng)絡(luò)的安全�����,網(wǎng)絡(luò)系統(tǒng)中擁有的網(wǎng)絡(luò)安全性分析系統(tǒng)應(yīng)該能對系統(tǒng)進行漏洞掃描,同時還要能對網(wǎng)絡(luò)安全進行實時監(jiān)控�����、攻擊與反攻擊�����,因而�,入侵檢測應(yīng)運而生,入侵檢測的誕生是網(wǎng)絡(luò)安全需求發(fā)展的必然�,它的出現(xiàn)給計算機安全領(lǐng)域注入了新的活力。入侵檢測是一種通過收集和分析計算機系統(tǒng)或網(wǎng)絡(luò)中關(guān)鍵點的信息���,以檢查計算機或網(wǎng)絡(luò)中是否存在違反安全策略的行為和被攻擊的跡象�,并對此做出反應(yīng)����,從而保護網(wǎng)絡(luò)和主機安全的系統(tǒng)。通過入侵檢測能識別外部對計算機或者網(wǎng)絡(luò)資源的惡意企圖和行為�����,以及內(nèi)部合法用戶超越使用權(quán)限的非法行為入侵檢測作為動態(tài)安全技術(shù)的核心技術(shù)之一,是防火墻的合理補充�,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊���,擴展了系統(tǒng)管理員的安全管理能力�,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性��,是安全防御體系的一個重要組成部分��。常規(guī)入侵檢測方法首先收集系統(tǒng)和網(wǎng)絡(luò)中的信息,然后對收集到的數(shù)據(jù)進行分析����,并采取相應(yīng)處置措施,其總體上包括以下三個步驟�����,如圖I所示I)信息收集信息收集包括收集系統(tǒng)��、網(wǎng)絡(luò)�����、數(shù)據(jù)及用戶活動的狀態(tài)和行為,而且需要在計算機網(wǎng)絡(luò)的若干關(guān)鍵網(wǎng)絡(luò)節(jié)點(如不同網(wǎng)段和不同主機)收集信息���。這除了要盡可能擴大收集范圍以外����,還要對來自不同源的信息進行綜合分析,比較之后得出問題的關(guān)鍵所在�����。收集信息的可靠性和正確性對入侵檢測系統(tǒng)非常重要����。入侵檢測利用的信息來自系統(tǒng)和網(wǎng)絡(luò)日志文件�����、非正常的目錄和文件改變、非正常的程序執(zhí)行等方面��。2)信息分析信息分析是對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)�����、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息���,通過一定的技術(shù)手段進行分析��,如常用的模式匹配、統(tǒng)計分析和完整性分析等����。其中�,前兩種方法常用于實時的入侵檢測��,而完整性檢測常用于事后分析�。入侵檢測是一個典型的數(shù)據(jù)處理過程���,它通過對大量的收集到的數(shù)據(jù)進行分析����,來判斷被監(jiān)控的系統(tǒng)或網(wǎng)絡(luò)是否被入侵。系統(tǒng)的檢測機制�,起始就是一個系統(tǒng)主體行為的分類系統(tǒng),它需要把對系統(tǒng)具有惡意的行為從大量的系統(tǒng)行為中辨別出來����,而解決問題的關(guān)鍵就是如何從已知數(shù)據(jù)中獲得系統(tǒng)的正常行為模式和有關(guān)入侵行為模式(如何定義、描述系統(tǒng)的行為)����。3)結(jié)果處理結(jié)果處理指控制臺根據(jù)報警產(chǎn)生預(yù)定義的響應(yīng)���,采取相應(yīng)措施,可以是重新配置路由器或防火墻����、終止進程、切斷連接��、改變文件屬性�����,也可以只是簡單的報警���。而根據(jù)數(shù)據(jù)源的不同,可以將入侵檢測系統(tǒng)分為三類基于主機的檢測系統(tǒng)��、基于網(wǎng)絡(luò)(Network-Based)的檢測系統(tǒng)和混合型檢測系統(tǒng)�����。本發(fā)明入侵檢測主要是針對基于網(wǎng)絡(luò)的檢測系統(tǒng)進行的�?�;诰W(wǎng)絡(luò)的入侵檢測模型如圖2���,其所針對的數(shù)據(jù)主要是來自網(wǎng)絡(luò)上的數(shù)據(jù)包,以原始的網(wǎng)絡(luò)數(shù)據(jù)作為數(shù)據(jù)源�,通過分析流過網(wǎng)絡(luò)適配器的數(shù)據(jù)包來實時地監(jiān)視并分析通過網(wǎng)絡(luò)進行傳輸?shù)乃型ㄐ艠I(yè)務(wù)。近年來���,為適應(yīng)網(wǎng)絡(luò)規(guī)模的伸縮性��,各種各樣的新技術(shù)不斷被應(yīng)用到基于網(wǎng)絡(luò)的入侵檢測領(lǐng)域����,免疫原理的應(yīng)用提高了入侵檢測系統(tǒng)的適應(yīng)能力����,自治代理的應(yīng)用提高了入侵檢測的可伸縮性、可維護性�����、效率和容錯性�����。但隨著網(wǎng)絡(luò)環(huán)境的日益復(fù)雜化,導(dǎo)致現(xiàn)有入侵檢測方法計算量大��、計算過程復(fù)雜�、誤報率高,不能及時發(fā)現(xiàn)關(guān)鍵網(wǎng)絡(luò)節(jié)點����,不能滿足入侵檢測要求。
發(fā)明內(nèi)容
本發(fā)明針對網(wǎng)絡(luò)環(huán)境的日益復(fù)雜以及現(xiàn)有的入侵檢測技術(shù)計算量大���、計算過程復(fù)雜���、誤報率高�����,不能及時發(fā)現(xiàn)關(guān)鍵網(wǎng)絡(luò)節(jié)點等問題�����,提出基于圖熵的網(wǎng)絡(luò)入侵檢測方法和裝置���。本發(fā)明基于熵運算的網(wǎng)絡(luò)入侵檢測方法�����,包括捕獲網(wǎng)絡(luò)節(jié)點數(shù)據(jù)包����,經(jīng)預(yù)處理后得到目標(biāo)數(shù)據(jù);利用目標(biāo)數(shù)據(jù)構(gòu)建關(guān)系圖����;計算所有網(wǎng)絡(luò)節(jié)點的交叉熵;對所有網(wǎng)絡(luò)節(jié)點的交叉熵進行排序�,找出活躍度高的關(guān)鍵網(wǎng)絡(luò)節(jié)點;所述網(wǎng)絡(luò)節(jié)點為受監(jiān)控的服務(wù)器�、終端或者路由設(shè)備中的任意一種或者任意幾種的組合。所述捕獲網(wǎng)絡(luò)節(jié)點數(shù)據(jù)包采用普通網(wǎng)卡并結(jié)合Libpcap軟件,所述Libpcap軟件提供了一整套數(shù)據(jù)包捕獲函數(shù)庫��。所述預(yù)處理包括數(shù)據(jù)清洗��,數(shù)據(jù)格式轉(zhuǎn)換�����,數(shù)據(jù)集成中的任意一種或任意幾種操作的組合��。所述利用目標(biāo)數(shù)據(jù)構(gòu)建關(guān)系圖包括通過提取數(shù)據(jù)特定片段,包括網(wǎng)絡(luò)節(jié)點的源IP地址IPs�,目標(biāo)IP地址IPd以及網(wǎng)關(guān)信息,建立IPs與IPd之間的關(guān)系圖����,即將IP地址為 IPs的網(wǎng)絡(luò)節(jié)點和IP地址為IPd的網(wǎng)絡(luò)節(jié)點之間存在的關(guān)系用圖的方式描述。所述計算所有網(wǎng)絡(luò)節(jié)點的交叉熵�����,包括203-1���、計算每個網(wǎng)絡(luò)節(jié)點i的熵��;E(i) = p(i)\og—^—
Pi})其中��,p(i)表示網(wǎng)絡(luò)節(jié)點i在整個圖中的概率分布�����;203-2、丟棄網(wǎng)絡(luò)節(jié)點i��,以及與網(wǎng)絡(luò)節(jié)點i相連的所有的邊����,計算去除網(wǎng)絡(luò)節(jié)點i 后的關(guān)系圖的圖熵
M-丨IH(G,p)= X p(j)\og—-
M,j*iPU)式中|V|表示圖中節(jié)點個數(shù)��,j表示網(wǎng)絡(luò)節(jié)點序號��;203-3�����、計算網(wǎng)絡(luò)節(jié)點i的交叉熵�;
Effect(J) = ~~H��、H(G,p)
E(i)E⑴是網(wǎng)絡(luò)節(jié)點i的熵���,H(G�,p)是去除網(wǎng)絡(luò)節(jié)點i后的關(guān)系圖的圖熵�。203-4、判斷是否所有網(wǎng)絡(luò)節(jié)點都已計算�����,若是�����,則得到所有網(wǎng)絡(luò)節(jié)點的交叉熵,否則���,重復(fù)步驟203-1至步驟203-4�����。本發(fā)明基于熵運算的網(wǎng)絡(luò)入侵檢測裝置����,包括目標(biāo)數(shù)據(jù)獲取模塊50�,用于捕獲網(wǎng)絡(luò)節(jié)點數(shù)據(jù)包,對網(wǎng)絡(luò)節(jié)點數(shù)據(jù)包進行預(yù)處理�����, 得到目標(biāo)數(shù)據(jù)���;關(guān)系圖構(gòu)建模塊60�����,用于利用目標(biāo)數(shù)據(jù)構(gòu)建關(guān)系圖���;交叉熵計算模塊70,用于計算所有網(wǎng)絡(luò)節(jié)點的交叉熵�;關(guān)鍵網(wǎng)絡(luò)節(jié)點檢測模塊80,用于對所有網(wǎng)絡(luò)節(jié)點的交叉熵進行排序�,找出活躍度聞的關(guān)鍵網(wǎng)絡(luò)節(jié)點。優(yōu)選的���,目標(biāo)數(shù)據(jù)獲取模塊(50)所述捕獲網(wǎng)絡(luò)節(jié)點數(shù)據(jù)包采用普通網(wǎng)卡并結(jié)合 Libpcap軟件,所述Libpcap軟件提供了一整套數(shù)據(jù)包捕獲函數(shù)庫���;所述預(yù)處理包括數(shù)據(jù)清洗,數(shù)據(jù)格式轉(zhuǎn)換�,數(shù)據(jù)集成中的任意一種或任意幾種操作的組合。交叉熵計算模塊70所述計算所有網(wǎng)絡(luò)節(jié)點的交叉熵����,包括203-1、計算每個網(wǎng)絡(luò)節(jié)點i的熵���;E(i) = P(P)Iog--
P(I)其中���,p(i)表示網(wǎng)絡(luò)節(jié)點i在整個圖中的概率分布;203-2���、丟棄網(wǎng)絡(luò)節(jié)點i����,以及與網(wǎng)絡(luò)節(jié)點i相連的所有邊,計算去除網(wǎng)絡(luò)節(jié)點i后的關(guān)系圖的圖熵
lf/HIH(G�����,p> J p(j)\og——
H,MPU)式中|V|表示圖中節(jié)點個數(shù)���,j表示網(wǎng)絡(luò)節(jié)點序號���;
203-3、計算網(wǎng)絡(luò)節(jié)點i的交叉熵����;
權(quán)利要求
1.基于熵運算的網(wǎng)絡(luò)入侵檢測方法,其特征在于包括捕獲網(wǎng)絡(luò)節(jié)點數(shù)據(jù)包���,經(jīng)預(yù)處理后得到目標(biāo)數(shù)據(jù)����;利用目標(biāo)數(shù)據(jù)構(gòu)建關(guān)系圖���;計算所有網(wǎng)絡(luò)節(jié)點的交叉熵�����;對所有網(wǎng)絡(luò)節(jié)點的交叉熵進行排序�,找出活躍度高的關(guān)鍵網(wǎng)絡(luò)節(jié)點���;所述網(wǎng)絡(luò)節(jié)點為受監(jiān)控的服務(wù)器�����、 終端或者路由設(shè)備中的任意一種或者任意幾種的組合�����。
2.根據(jù)權(quán)利要求I所述的基于熵運算的網(wǎng)絡(luò)入侵檢測方法��,其特征在于所述捕獲網(wǎng)絡(luò)節(jié)點數(shù)據(jù)包采用普通網(wǎng)卡并結(jié)合Libpcap軟件�����,所述Libpcap軟件提供了一整套數(shù)據(jù)包捕獲函數(shù)庫����。
3.根據(jù)權(quán)利要求I所述的基于熵運算的網(wǎng)絡(luò)入侵檢測方法���,其特征在于所述預(yù)處理包括數(shù)據(jù)清洗�����,數(shù)據(jù)格式轉(zhuǎn)換�,數(shù)據(jù)集成中的任意一種或任意幾種操作的組合。
4.根據(jù)權(quán)利要求I所述的基于熵運算的網(wǎng)絡(luò)入侵檢測方法�����,其特征在于所述利用目標(biāo)數(shù)據(jù)構(gòu)建關(guān)系圖包括通過提取數(shù)據(jù)特定片段���,包括網(wǎng)絡(luò)節(jié)點的源IP地址IPS�����,目標(biāo)IP地址IPd以及網(wǎng)關(guān)信息����,建立IPs與IPd之間的關(guān)系圖��,即將IP地址為IPs的網(wǎng)絡(luò)節(jié)點和IP地址為IPd的網(wǎng)絡(luò)節(jié)點之間存在的關(guān)系用圖的方式描述��。
5.根據(jù)權(quán)利要求I所述的基于熵運算的網(wǎng)絡(luò)入侵檢測方法,其特征在于所述計算所有網(wǎng)絡(luò)節(jié)點的交叉熵���,包括203-1����、計算每個網(wǎng)絡(luò)節(jié)點i的熵�����;
6.根據(jù)權(quán)利要求I所述的基于熵運算的網(wǎng)絡(luò)入侵檢測方法����,其特征在于所述對所有網(wǎng)絡(luò)節(jié)點的交叉熵進行排序��,找出活躍度高的關(guān)鍵網(wǎng)絡(luò)節(jié)點為對所有網(wǎng)絡(luò)節(jié)點的交叉熵進行從大到小排序�����,交叉熵大的一個或者幾個網(wǎng)絡(luò)節(jié)點為活躍度高的關(guān)鍵網(wǎng)絡(luò)節(jié)點��。
7.根據(jù)權(quán)利要求I所述的基于熵運算的網(wǎng)絡(luò)入侵檢測方法��,其特征在于所述對所有網(wǎng)絡(luò)節(jié)點的交叉熵進行排序���,找出活躍度高的關(guān)鍵網(wǎng)絡(luò)節(jié)點為對所有網(wǎng)絡(luò)節(jié)點的交叉熵進行比較���,交叉熵最大的網(wǎng)絡(luò)節(jié)點即為活躍度高的關(guān)鍵網(wǎng)絡(luò)節(jié)點���。
8.基于熵運算的網(wǎng)絡(luò)入侵檢測裝置,其特征在于包括目標(biāo)數(shù)據(jù)獲取模塊(50)����,用于捕獲網(wǎng)絡(luò)節(jié)點數(shù)據(jù)包,對網(wǎng)絡(luò)節(jié)點數(shù)據(jù)包進行預(yù)處理�,得到目標(biāo)數(shù)據(jù);關(guān)系圖構(gòu)建模塊(60)�����,用于利用目標(biāo)數(shù)據(jù)構(gòu)建關(guān)系圖��;交叉熵計算模塊(70)�,用于計算所有網(wǎng)絡(luò)節(jié)點的交叉熵;關(guān)鍵網(wǎng)絡(luò)節(jié)點檢測模塊(80)��,用于對所有網(wǎng)絡(luò)節(jié)點的交叉熵進行排序�,找出活躍度高的關(guān)鍵網(wǎng)絡(luò)節(jié)點;所述網(wǎng)絡(luò)節(jié)點為受監(jiān)控的服務(wù)器��、終端、或者路由設(shè)備中的任意一種或者任意幾種的組合�����。
9.根據(jù)權(quán)利要求8所述的基于熵運算的網(wǎng)絡(luò)入侵檢測裝置�����,其特征在于目標(biāo)數(shù)據(jù)獲取模塊(50)所述捕獲網(wǎng)絡(luò)節(jié)點數(shù)據(jù)包采用普通網(wǎng)卡并結(jié)合Libpcap軟件�����,所述Libpcap軟件提供了一整套數(shù)據(jù)包捕獲函數(shù)庫����;所述預(yù)處理包括數(shù)據(jù)清洗����,數(shù)據(jù)格式轉(zhuǎn)換,數(shù)據(jù)集成中的任意一種或任意幾種操作的組合��。
10.根據(jù)權(quán)利要求8所述的基于熵運算的網(wǎng)絡(luò)入侵檢測裝置�,其特征在于交叉熵計算模塊(70)所述計算所有網(wǎng)絡(luò)節(jié)點的交叉熵,包括203-1�����、計算每個網(wǎng)絡(luò)節(jié)點i的熵;
全文摘要
本發(fā)明實施例公開了一種基于熵運算的網(wǎng)絡(luò)入侵檢測方法���,包括捕獲網(wǎng)絡(luò)節(jié)點數(shù)據(jù)包�����,經(jīng)預(yù)處理后得到目標(biāo)數(shù)據(jù)����;利用目標(biāo)數(shù)據(jù)構(gòu)建關(guān)系圖�����;計算所有網(wǎng)絡(luò)節(jié)點的交叉熵�;對所有網(wǎng)絡(luò)節(jié)點的交叉熵進行排序,找出活躍度高的關(guān)鍵網(wǎng)絡(luò)節(jié)點���;本發(fā)明實施例還公開了一種基于熵運算的網(wǎng)絡(luò)入侵檢測裝置�����;本發(fā)明將網(wǎng)絡(luò)結(jié)構(gòu)轉(zhuǎn)化為圖結(jié)構(gòu)�����,并根據(jù)圖中網(wǎng)絡(luò)節(jié)點的屬性特征��,利用圖熵理論找出網(wǎng)絡(luò)節(jié)點在圖結(jié)構(gòu)中的影響大小����,并以此作排序,可以很容易得到活躍度最大的關(guān)鍵網(wǎng)絡(luò)節(jié)點���,以便于進一步對網(wǎng)絡(luò)節(jié)點信息分析�����,以確定是否發(fā)生網(wǎng)絡(luò)入侵行為��,或者采取相應(yīng)的措施。
文檔編號H04L12/24GK102611713SQ20121010332
公開日2012年7月25日 申請日期2012年4月10日 優(yōu)先權(quán)日2012年4月10日
發(fā)明者徐毅, 朱振國, 王勇, 米波 申請人:重慶交通大學(xué)