论文部分内容阅读
[摘要]利用模糊综合决策的方法提出一种计算机入侵检测的技术。
[关键词]入侵检测 模糊综合决策
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0320023-01
随着社会、经济的不断发展,人们所考虑问题的越来越复杂,越来越具有不确定性,可以看成是人类思维的模糊性在不断增加。有鉴于此,在决策支持过程中作为一类非常重要的信息载体的判断矩阵、决策矩阵,其中计算机入侵检测的模糊性就非常值得我们去加以研究。
一、模糊综合决策在入侵检测中的应用
先来看一个例子,入侵检测中包含了许多数值属性的特点,如CPU使用时间和连接时间、来自同一源主机的不同TCP/UDP服务数量等,这些都可以看作是潜在的模糊变量;网络安全本身具有模糊性,对于具有数值属性的特征,如果将正常值的取值范围设定为一个区间,则任何在此区间以外的都被视为异常,而不管它们和这个区间的差距有多大。
这样的结果会让正常和异常之间产生很明显的界限,导致“尖锐边界问题”(Sharp Boundary Problem),引入模糊概念可以消除这个界限。通过对模糊综合决策与入侵检测特点的分析,人们认为将模糊综合决策应用于入侵检测系统中是必要的。
二、模糊互补矩阵排序向量求解算法
矩阵运算(判断矩阵)在决策支持中起到至关重要的作用。在本节介绍一种应用于群组决策中的特殊矩阵模糊互补判断矩阵。群组决策是根据每位决策者提供的偏好信息通过某种决策方式,对一组备选方案进行排序,并从中选取最满意方案。在群体决策分析中,决策者通常直接以一定的标度,把感觉数量化并构造判断矩阵(互补、互反矩阵),再利用适当的排序方法求出排序向量。许多专家和学者对模糊互补、互反判断矩阵的性质都进行了深入的研究,互补、互反判断矩阵的排序理论也已逐步研究深入。下面对模糊互补矩阵的排序算法进行研究,并在最后对入侵检测中的一个应用实例进行验证。
(一)模糊互补矩阵排序向量的求解方法
首先研究模糊一致矩阵的一些性质,然后采用一种将模糊互补矩阵转化为模糊一致矩阵并求解排序向量的方法。在此方法中,引用模糊一致性指标与模糊一致性比率的定义,通过不断调整原有模糊互补矩阵,从而求得与其相以应的模糊一致矩阵,在调优一致性比率的基础上求得对应的模糊一致矩阵和对应的排序向量。
(二)算法实现
算法实现采用Matlab的M语言编程实现,程序代码见下。
1.主程序:fuzzyconmatrix.m
R=[输入原始数据];
[n,n]=size(R);
P=tiaozheng(R);%将模糊互补矩阵R转化为一个模糊一致矩阵R
E=R-P; %计算R与P的误差
[CR0,F]=conindex(E); %计算模糊一致性指标CR
%判断度量指标CR的值是否<0.1,若小于0.1,矩阵R满足要求,若不满足,进行循环,继续调整矩阵R.
IfCR0>0.1
[R1P1CR1]=adjust(R,P);
IfCR1>0.1
[R2P2CR2]=adjust(R1I,P1);
Else W=Paixuvector(P1);
end
Else W=Paixuvector(P1)
2.计算模糊互补矩阵的排序向量w:paixuvector.m
Functionw= paixuvector (P)
%求解F的排序向量,等同于R的排序向量
[n,n]=size(P);
w=zeros(n,1);
fori=l:n
w(i)=l/n+l/2-l/n*sum(P(:,i));
end
三、实例应用
来看一个实例,如图1所示。在一个局域网中,网络拓扑是基于防火墙的典型三区划分,并且设置了一个蜜罐网络(honey pot)用于对入侵者的迷惑与攻击引导。局域网上的分布式入侵检测系统设置了多个传感单元。在某次DDos攻击行为中,三个传感单元接收到不同数据量的拒绝服务攻击数据包并发出报警,这三个传感单元一个位于honey pot的保垒主机上,一个位于DMZ区服务器,一个则设置于内部局域网的网关处。
图1网络拓扑示意图
Honey pot虚拟了一个C段地址,并虚拟出若干服务(如:webftpmail),攻击者的攻击方向被较多地引导至此虚拟网络处。在DMZ区的某台Mysql服务器也被攻击者探明,并对相应服务端口加以阻塞。同时,内部局域网的网关也接收到很多试探攻击的数据包。那么,现在如何评判此次DDos攻击的行为,以及危害性?
从关系上分析,honey pot作为目标靶区,承载的服务重要性不如DMZ区重要,但是如果honey pot区被瘫痪,则更多地数据包会被指引向DMZ区。内部局域网则运行着工作组用户,如果网关被阻塞,也会造成DMZ区服务的不可访问。蜜罐、网关、DMZ区三个传感器之间的相对态势X={x1,x2,x3}对比关系如下面构造的模糊判断矩阵R所示:
R表明,honey pot由于分流了大量的DDos数据包,与内网网关相比,honey pot认为态势更严峻(见R中数字1);DMZ区由于承载重要的应用服务,与honey pot的虚拟服务不同,DMZ区认为态势严峻(见数字0.9);网关由于承担工作组PC的数据转发,工作组一般用户访问外网的频率一般要高于系统管理员访问DMZ区服务器的次数,所以较DMZ区形势要严峻(见数字0.8)。
构造模糊一致矩阵:
其中,可以计算得:CR=0.1559≥0.1,需要按照算法进行调整:
取β=0.1,则可得:
当取α=1时,易求得此时P(1)对应的排序向量为
取β=0.3,也可以验证得到的结果一致:
由上述结果,可得态势分析的取舍次序为:x1= x3>x2。
当前态势分析可初步解释为:honey pot在入侵者行为导引上起着重要作用,在当前工作组用户对于DMZ区应用服务访问实时性要求不是太高的情况下,要优先保证honey pot区域及内网用户区域的安全性。从数值上来衡量,0.2667相较于0.3667的差距并不算太大,因此,DMZ区服务器需要兼顾一定的可用性。
参考文献:
[1]孙知信、徐红霞,模糊技术在入侵检测系统中的应用研究综述,南京邮电大学学报(自然科学版)2006,26(4):73~78.
[2]李之棠、杨红云,模糊入侵检测模型,计算机工程与科学,2000,22(2):49~53.
[3]罗挺,面向问题求解的决策支持系统中元数据库的设计与应用研究[硕士学位论文],长沙:中南大学,2004.
[4]徐泽水,模糊互补判断矩阵排序的一种算法,系统工程学报,2001,10(4):312~314.
[关键词]入侵检测 模糊综合决策
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0320023-01
随着社会、经济的不断发展,人们所考虑问题的越来越复杂,越来越具有不确定性,可以看成是人类思维的模糊性在不断增加。有鉴于此,在决策支持过程中作为一类非常重要的信息载体的判断矩阵、决策矩阵,其中计算机入侵检测的模糊性就非常值得我们去加以研究。
一、模糊综合决策在入侵检测中的应用
先来看一个例子,入侵检测中包含了许多数值属性的特点,如CPU使用时间和连接时间、来自同一源主机的不同TCP/UDP服务数量等,这些都可以看作是潜在的模糊变量;网络安全本身具有模糊性,对于具有数值属性的特征,如果将正常值的取值范围设定为一个区间,则任何在此区间以外的都被视为异常,而不管它们和这个区间的差距有多大。
这样的结果会让正常和异常之间产生很明显的界限,导致“尖锐边界问题”(Sharp Boundary Problem),引入模糊概念可以消除这个界限。通过对模糊综合决策与入侵检测特点的分析,人们认为将模糊综合决策应用于入侵检测系统中是必要的。
二、模糊互补矩阵排序向量求解算法
矩阵运算(判断矩阵)在决策支持中起到至关重要的作用。在本节介绍一种应用于群组决策中的特殊矩阵模糊互补判断矩阵。群组决策是根据每位决策者提供的偏好信息通过某种决策方式,对一组备选方案进行排序,并从中选取最满意方案。在群体决策分析中,决策者通常直接以一定的标度,把感觉数量化并构造判断矩阵(互补、互反矩阵),再利用适当的排序方法求出排序向量。许多专家和学者对模糊互补、互反判断矩阵的性质都进行了深入的研究,互补、互反判断矩阵的排序理论也已逐步研究深入。下面对模糊互补矩阵的排序算法进行研究,并在最后对入侵检测中的一个应用实例进行验证。
(一)模糊互补矩阵排序向量的求解方法
首先研究模糊一致矩阵的一些性质,然后采用一种将模糊互补矩阵转化为模糊一致矩阵并求解排序向量的方法。在此方法中,引用模糊一致性指标与模糊一致性比率的定义,通过不断调整原有模糊互补矩阵,从而求得与其相以应的模糊一致矩阵,在调优一致性比率的基础上求得对应的模糊一致矩阵和对应的排序向量。
(二)算法实现
算法实现采用Matlab的M语言编程实现,程序代码见下。
1.主程序:fuzzyconmatrix.m
R=[输入原始数据];
[n,n]=size(R);
P=tiaozheng(R);%将模糊互补矩阵R转化为一个模糊一致矩阵R
E=R-P; %计算R与P的误差
[CR0,F]=conindex(E); %计算模糊一致性指标CR
%判断度量指标CR的值是否<0.1,若小于0.1,矩阵R满足要求,若不满足,进行循环,继续调整矩阵R.
IfCR0>0.1
[R1P1CR1]=adjust(R,P);
IfCR1>0.1
[R2P2CR2]=adjust(R1I,P1);
Else W=Paixuvector(P1);
end
Else W=Paixuvector(P1)
2.计算模糊互补矩阵的排序向量w:paixuvector.m
Functionw= paixuvector (P)
%求解F的排序向量,等同于R的排序向量
[n,n]=size(P);
w=zeros(n,1);
fori=l:n
w(i)=l/n+l/2-l/n*sum(P(:,i));
end
三、实例应用
来看一个实例,如图1所示。在一个局域网中,网络拓扑是基于防火墙的典型三区划分,并且设置了一个蜜罐网络(honey pot)用于对入侵者的迷惑与攻击引导。局域网上的分布式入侵检测系统设置了多个传感单元。在某次DDos攻击行为中,三个传感单元接收到不同数据量的拒绝服务攻击数据包并发出报警,这三个传感单元一个位于honey pot的保垒主机上,一个位于DMZ区服务器,一个则设置于内部局域网的网关处。
图1网络拓扑示意图
Honey pot虚拟了一个C段地址,并虚拟出若干服务(如:webftpmail),攻击者的攻击方向被较多地引导至此虚拟网络处。在DMZ区的某台Mysql服务器也被攻击者探明,并对相应服务端口加以阻塞。同时,内部局域网的网关也接收到很多试探攻击的数据包。那么,现在如何评判此次DDos攻击的行为,以及危害性?
从关系上分析,honey pot作为目标靶区,承载的服务重要性不如DMZ区重要,但是如果honey pot区被瘫痪,则更多地数据包会被指引向DMZ区。内部局域网则运行着工作组用户,如果网关被阻塞,也会造成DMZ区服务的不可访问。蜜罐、网关、DMZ区三个传感器之间的相对态势X={x1,x2,x3}对比关系如下面构造的模糊判断矩阵R所示:
R表明,honey pot由于分流了大量的DDos数据包,与内网网关相比,honey pot认为态势更严峻(见R中数字1);DMZ区由于承载重要的应用服务,与honey pot的虚拟服务不同,DMZ区认为态势严峻(见数字0.9);网关由于承担工作组PC的数据转发,工作组一般用户访问外网的频率一般要高于系统管理员访问DMZ区服务器的次数,所以较DMZ区形势要严峻(见数字0.8)。
构造模糊一致矩阵:
其中,可以计算得:CR=0.1559≥0.1,需要按照算法进行调整:
取β=0.1,则可得:
当取α=1时,易求得此时P(1)对应的排序向量为
取β=0.3,也可以验证得到的结果一致:
由上述结果,可得态势分析的取舍次序为:x1= x3>x2。
当前态势分析可初步解释为:honey pot在入侵者行为导引上起着重要作用,在当前工作组用户对于DMZ区应用服务访问实时性要求不是太高的情况下,要优先保证honey pot区域及内网用户区域的安全性。从数值上来衡量,0.2667相较于0.3667的差距并不算太大,因此,DMZ区服务器需要兼顾一定的可用性。
参考文献:
[1]孙知信、徐红霞,模糊技术在入侵检测系统中的应用研究综述,南京邮电大学学报(自然科学版)2006,26(4):73~78.
[2]李之棠、杨红云,模糊入侵检测模型,计算机工程与科学,2000,22(2):49~53.
[3]罗挺,面向问题求解的决策支持系统中元数据库的设计与应用研究[硕士学位论文],长沙:中南大学,2004.
[4]徐泽水,模糊互补判断矩阵排序的一种算法,系统工程学报,2001,10(4):312~314.