基于模糊事件的入侵检测模型

　　利用ECA(EventCondition Action)规则表示入侵检测知识,能够同时对系统动态特性和静态特性进行分析,从而提高入侵检测能力[1]。网络安全面对的环境复杂,且具有高度不确定性,而网络攻击是不断出现并发展变化的,也具有很大的不确定性。因此,网络入侵检测知识存在一定的不确定性,主要体现在[2]:

　　1)对攻击行为认识的不确定性。客观上,攻击行为本身存在着随机性、模糊性。而某些事物或现象暴露得不充分,导致人们对攻击行为的认识往往是不精确、不完全的,具有一定程度的不确定性。

　　2)检测分析证据来源的不确定性。认识上的不确定性反映到知识以及由观察所得到的证据上,就形成了不确定性的知识及不确定性的证据。

　　3)攻击知识获取与转换的不确定性。大量未解决的重要问题往往需要运行专家的经验,经验性的知识在获取与转换过程中一般都带有某种程度的不确定性。

　　因此,在进行入侵检测时,如果考虑上述不确定性,需充分考虑入侵事件及事件间关系的不确定性。笔者通过建立入侵事件的模糊模型,并利用模糊ECA规则表示入侵检测知识,来解决入侵行为的不确定性。

　　1　模糊入侵事件描述

　　1·1　模糊入侵事件定义

　　模糊事件是指不能精确判断是否发生的事件。例如,SYN Flooding攻击是基于TCP的3次握手的完成来实现的,其攻击原理是:首先,攻击者向目标主机发送大量的SYN请求,用被挂起的连接占满连接请求队列;目标主机接收这种请求,向它所认为的SYN报文的源主机发送SYN/ACK报文作出应答;一旦存储队列满了,接下来的请求就会被TCP端忽略。攻击者向目标主机每发送SYN请求,就会产生New_connection事件,从SYN Flooding攻击原理可以看出,当产生大量的New_connection事件时,就会发生SYN Flooding攻击。其中“大量New_connec-tion事件”就可认为是模糊事件,因为“大量”不是体数值,而是模糊概念。

　　对于模糊事件的处理,主要是求其所处模糊集的隶属度,因此需对每类模糊事件集建立隶属函数。

　　1·2　模糊入侵事件逻辑关系

　　按照事件特性,入侵事件一般可分为原子事件和复合事件。设E={e1, e2,…, en}为入侵事件集合, e1, e2,…, en分别表示不同的原子或复合事件。

　　利用上述事件操作符可以对事件间的存在、序列、部分有序进行准确地描述。

　　2　模糊入侵事件间的相似性

　　利用ECA规则表示检测知识,对入侵事件进行建模,都是建立在专家经验基础之上。通过对已知入侵技术、手段及入侵行为进行分析,找出入侵事件及事件间的关系,并建立入侵事件模型。但是,由于新的攻击技术和方式不断出现,对同一种攻击会演绎出许多不同的变种;另外,不同的人实施同一攻击时,所产生的入侵事件也往往不尽相同。因此,为了提高入侵检测能力,有必要对入侵事件间的相似程度进行分析。