人工智能在入侵检测技术中的应用耿国华，康华（西北大学计算机科学系，陕西西安710069）摘要：针对由于网络服务不断扩大造成的入侵行为日益复杂多样的情况，对人工智能技术在入侵检测中的运用进行了研究，主要讨论了专家系统和神经网络技术在入侵监测的规则管理和入侵行为分类方面的应用，同时给出了入侵检测实践。结果证明，人工智能技术确实能够提高入侵监测系统发现入侵的实时性和检测入侵的正确性。关键词：入侵检测；人工智能；专家系统；神经网；误用检测；异常检测中图分类号：TP391.4文献标识码：A文章编号：1000-274X(2003)0010-091入侵检测及其通用模型入侵检测技术以探测入侵为中心，目的是为系统提供实时发现入侵行为并及时采取相应防护手段。它具体包括数据收集、行为分类、报告错误和响应反击等方面，其中用到的数据可以由专门的网络管理系统(NMS)或网络和系统的日志文件中得到，而数据推导和数据分类是其中的核心。数据分类是定义攻击和识别攻击的过程，具体实现这个过程的技术多种多样，如模式匹配、统计分析、完整性分析等方法，其本质大多是比较正常状态和考察状态之间的差异，以此来判断系统是否受到了入侵。首先给出入侵检测通用模型[1]。这个通用模型广泛应用于IDS(入侵检测系统)：它有3个基本的协作组件——事件产生器（eventgenerator）、活动记录（activityprofile）和规则集（ruleset）。其工作关系见图1。特约稿事件产生器是用来产生有关系统活动的信息，利用这些信息来检测入侵行为。这些信息事件可以由网络监控服务来发出，比如可以从防火墙、NMS、日志文件，或由系统执行记录（audittrails）中得到信息。规则集其实就是一个探测引擎（detectionengine）,它利用各种规则来检查由事件产生器送来数据的合法性，判断是否有入侵行为发生。具体可用概率统计模型、匹配规则等方法。活动记录是保存那些与被检测系统或网络密切相关的状态信息，其中的信息变量是由事件产生器送来的信息事件或是由规则集发出的动作来执行维护和更新的，规则集的有些动作还可以填加新的观察变量。事件产生器、规则集和活动记录是在整个系统中的有机结合，活动记录中变量的定义、规则集的判断方法以及事件产生器的及时信息送发一并决定了系统的探测能力。在此，我们关心的主要问题集中在规则集部分，也就是探测引擎中如何应用人工智能来判断入侵。2人工智能在入侵检测系统中解决的问题人工智能是一种模拟人类思维来解决复杂问题的技术，它使得机器具有可进行类似于人类“思考”的行为。人工智能的优势就是可用来处理那些烦琐而复杂的工作，利用它的学习和推导方法可以提高解决问题的效率。这是个很大的技术领域，其一端是神经网络——将计算机系统设计成模拟人类神经系统的底层机构和功能，另一端是专家系统——将计算机模拟成类似于智囊团的高层认知结构。在入侵检测系统中有效地发现入侵行为是相当烦琐复杂的，专家系统在管理检测规则方面要比传统的判断语句更有效，利用神经网络来分类入侵行为方便准确，利用人工智能中的神经网络技术、专家系统技术检测入侵行为具有应用特色。2.1专家系统的应用首先，给出基于规则的专家系统（rule-basedexpertsystem）在误用检测（misusedetection）中的应用分析。按探测技术可将ID（intrusiondetection）分成误用探测和异常探测两大类；误用探测通过把那些已知的攻击行为抽象成为模式或签名（patterns；signatures），如果发现符合这些模式的行为，就认为它是攻击，这类似于病毒防范软件——只能去发现已知的病毒；异常探测则利用，攻击行为往往和合法行为在过程上有明显区别，如果先抽象归纳出合法行为的基本特征，就可以认为那些与合法行为抽象特征有其他的行为是攻击行为[2]。误用检测见图２。由于误用检测是基于对已有规则的检测，因此适合使用专家系统，专家系统将攻击行为定义成相应的规则集合，如果发现用户行为符合某种攻击规则集合，则被看成这种规则集合对应的是入侵行为。2.1.1专家系统的优点采用专家系统时，由于新规则的加入是完全独立的，不需要改变已存在的规则，同时与规则对应的推理行为也是集中定义的，非常有利于规则和...