[发明专利]一种基于流量特征分析的分布式入侵检测方法

说明书

【技术领域】

本发明提出一种高性能的基于异常的分布式入侵检测方法，用于检测计算机网络系统遭受的各种攻击。 

【背景技术】

入侵检测是指通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否存在违反安全策略的行为和遭到攻击的安全技术。技术上，入侵检测方法分为基于异常的检测和基于误用的检测两类。基于误用的检测方法只能针对已知入侵行进行有效检测，无法检测新的入侵行为。而传统的基于异常的检测方法也存在异常行为难以定义和判断而导致的误报率高的缺陷。 

在入侵检测技术方面，近年来，人们进行了大量的研究和试验，提出了多种检测方法，并将其他领域的技术引入到入侵检测上，这些方法对于特定入侵和攻击行为的检测具有一定的适用性。但总的来说，入侵检测方法还有待进一步研究和完善，面对日益复杂的高速网络与越来越新颖的入侵和攻击手段，检测精确度和速度成为影响入侵检测系统性能的主要因素，误检与漏检仍然是实施入侵检测的关键难点问题。 

基于流量的入侵检测方法是近年来提出的较新的基于异常的入侵检测方法，它主要通过对网络流量的异常分析来发现和识别入侵行为，但目前基于流量的网络入侵检测系统仍然不够成熟，主要面临如下问题： 

(1)检测效率和检测速度的问题 

网络安全设备的处理速度一直是影响网络性能的一大瓶颈。虽然IDS通常以并联方式接入网络，但如果其检测速度和网络数据传输速度不匹配，检测系统就会漏掉其中的部分数据包，从而导致漏报而影响系统的准确性和有效性。在IDS中，截获网络的每一个数据包，并分析、匹配其中是否具有某种攻击的特征需要花费时间并消耗系统资源，因此，单纯依靠单个节点或设备实施入侵检测任务难以满足入侵检测的复杂模型和处理能力的要求。同时，应用系统越来越复杂，许多主体活动很难以简单的统计模型来刻画，而现有的复杂的统计模型在计算量上不能满足实时的检测要求。需要提出新的理论模型、检测方法和体系结构来对网络流量活动进行实时有效的统计分析与建模。分布式入侵检测方法可以有效提高单一检测节点的检测效率问题。 

(2)入侵检测系统的漏报和误报率较高 

基于异常发现的入侵检测系统通过流量统计分析建立系统正常行为的轨迹，当系统运行时的数值超过正常阈值，则认为可能受到攻击，这种简单的判断方法容易导致其漏报误报率较高。另外，大多IDS是基于单包检查的，协议分析不足，难以识别伪装或变形的网络攻击，也易造成漏报和误报。同时，统计方法中的阀值难以有效确定，阀值过小会产生大量的误报，过大则会产生大量的漏报。因此，如何提高监测的准确度是基于流量的入侵检测系统必须解决的问题。 

(3)入侵检测算法的有效性问题 

入侵检测系统的检测方法有特征检测、异常检测、状态检测、协议分析等。实际中的商用入侵检测系统大都同时采用几种检测方法。但是入侵检测系统不能处理加密后的数据，如果数据传输中被加密，即使只是简单的替换，入侵检测也难以处理，例如采用SSH、HTTPS、带密码的压缩文件等手段，都可以有效的防止检测。所以在基于网络流量统计分析的入侵检测研究中考察的网络信息应该是内容无关的。 

【发明内容】

为了克服传统入侵检测方法检测准确率和检测效率低的问题，本发明专利提出一种基于 特定流量检测算法的分布式入侵检测方法，主要包括两部分；一是提出一种高效的基于流量特征分析的入侵检测算法；二是提出一种分布式多Agent体系结构，利用分布式框架和体系结构提高入侵检测效率。 

算法方面，利用网络的自相似特性来对网络的异常行为进行检测，针对网络流量中实时的Hurst参数估计算法将被进行详细的分析与评估，据此提出测量度量指标。通过非参数CUSUM算法对网络流量中不同统计特征量，包括流量带宽、新源IP地址等进行综合监测来实现网络入侵检测；同时，为克服非参数CUSUM算法对入侵结束时刻判断迟缓的特点，提出阈值回归算法对非参数CUSUM算法进行改进，从而大大提高检测的灵敏度和准确性。 

体系结构方面，针对入侵检测效率问题，本发明利用基于JADE的分布式架构带来的高性能、高灵活性等特点，引入分布式多Agent入侵检测框架，通过多AGENT方法提高系统的检测效率。 

具体技术方案描述如下： 

1.基于JADE的分布式入侵检测框架