制作和主办:Elsevier沙特国王大学学报基于数据挖掘的S. 新加坡河Aruna,D.Arunshunmugama,S.Jerina Catherine Joya,D.穆鲁甘湾a部。计算机科学与工程学院印度泰米尔纳德邦Sivakasi工程学院b部印度泰米尔纳德邦Tirunelveli Manonmaniam Sundaranar大学计算机科学与工程系阿提奇莱因福奥文章历史记录:2017年7月4日收到2017年8月17日修订2017年9月27日接受2017年9月28日在线发布保留字:入侵检测系统系统调用Hellinger距离Hash函数Sketch数据集A B S T R A C T网络安全有助于防止网络入侵者执行恶意活动。可以使用防火墙、防病毒软件和扫描器、密码系统、安全套接字层(SSL)和入侵检测系统(IDS)来向网络提供安全性身份认证是保护未经授权的用户免受网络攻击的常用技术。但是,很容易使用暴力攻击来计算登录密码。入侵检测系统和防火墙主要关注外部攻击,而对内部攻击则没有考虑。为了解决这些问题,本文提出了一个内部中断发现和防御系统(IIDDS)在系统调用(SC)的水平,使用数据挖掘和取证技术。维护用户散列函数应用于传入的消息,并在草图数据集中对它们进行实验结果从准确度和响应时间两个方面对该系统进行了评价。©2017作者。制作和主办:Elsevier B.V.代表沙特国王大学这是一CC BY-NC-ND许可下的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。1. 介绍网络是使用某种拓扑结构的节点链接,有助于将数据从源传输到目的地。网络可以分为数据网络和同步网络。数据网络通过路由器连接,而同步网络通过交换机传输数据.数据网络容易受到重要的攻击,如窃听、病毒、蠕虫、网络钓鱼,IP欺骗攻击、拒绝服务(DOS)攻击等。网络安全是计算机网络的专门领域,它涉及保护计算机网络免受非法访问、误用或修改网络资源。可以使用防火墙、防病毒软件和扫描仪、加密系统、安全套接字层(SSL)和入侵检测系统(IDS)来为网络提供安全性。IDS防止网络受到攻击者的攻击,并通知网络中的异常活动。网络。它可以用硬件或软件来实现. 一个有效的IDS必须具备以下特征:● 严格禁止新的入侵者或恶意软件。● 对系统没有性能影响。● 持续监控● 透明度● 可靠和最小化误报率。入侵检测系统主要分为基于误用或基于特征的入侵检测系统和基于异常的入侵检测系统。基于特征的入侵检测系统通过与数据库中的特征进行比较,只能检测出已知的攻击。它显示了低检出率未知的攻击。利用间隔规则、重传规则、完整性规则、延迟规则、无线电传输范围和干扰规则等规则基于异常的入侵检测系统通过分析正常的入侵行为*通讯作者。电子邮件地址:singaravelan. gmail.com(S. Singaravelan)。沙特国王大学负责同行审查https://doi.org/10.1016/j.jksuci.2017.09.0091319-1578/©2017作者。制作和主办:Elsevier B.V.代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页:www.sciencedirect.comS. Singaravelan等人/沙特国王大学学报593用户的异常行为。如果恶意活动看起来像正常流量,它永远不会发送警报。有可能产生更多的假阳性。网络的负载可能会增加,因为它需要定期更新正常配置文件。基于异常的系统能够在没有任何先验知识的情况下检测未知的遭遇。根据入侵检测过程的性质,又将其分为基于知识的入侵检测系统、基于知识的入侵检测系统和基于机器学习的入侵检测系统。在基于异常的IDS中,与参考配置文件相比,为每个活动生成异常分数。在评分生成中使用了单变量、多变量和时间序列模型等参数。基于知识的入侵检测系统依赖于知识专家系统、有限状态机、数据聚类和离群点检测。在基于机器学习的方法中,分析的模式被周期性地更新,以提高入侵检测的性能。基于特征的方法比基于异常的方法更灵活、更准确。图1显示了IDS在网络中的实现。传统的IDS存在以下缺点:很难检测到内部攻击者的恶意活动。在入侵检测过程中,没有考虑操作系统级的系统调用● 它们无法并行检测入侵和恶意软件为了解决这些问题,提出了一种基于数据挖掘和取证技术的系统调用级内部中断发现与防御系统。本文的主要目标是检测内部入侵者,提高准确性和减少响应时间。使用Hellinger距离将用户配置文件与实际数据集进行比较。本文的其余部分组织如下:第二部分调查了入侵检测系统的传统方法,以检测恶意软件和攻击。第3节提供了内部中断发现和防御系统(IIDDS)的总体描述。第4节显示了所提出的系统的性能分析第五部分是本文的结论和未来的工作。2. 相关工作本节回顾了与IDS相关的现有方法,以提供网络安全。Uddin等人(2013)提出了一种基于特征的多层入侵检测系统(IDS),以高成功率检测威胁。它以动态方式自动创建多个小型数据库,以定期更新新恶意软件的签名。基于签名的系统面临的挑战是签名的创建、存储、维护、更新和避免流量泛滥。一个互补的基于有效载荷的异常检测系统被用来检测新出现的攻击。在不同的层中部署了多个IDS。多层方法优化了检测率,也检测到了不常见的攻击。Saeed等人(2013)详细回顾了恶意软件感染和改进入侵检测系统的解决方案。研究了基于特征、基于异常和基于特征的入侵检测技术。发现基于签名的技术在已知恶意软件方面是有效的。基于异常的技术产生高的假阳性或假阴性率通过在没有任何先验知识的情况下从不同来源获得解决方案,基于入侵检测的技术在检测混淆的新恶意软件方面非常Saeed和Selamat(2013)提出了一种基于动态模型检测的多代理体系结构,以有效的方式检测入侵建议的架构有一组合作的协作代理放置在层次结构。为节点之间的交互指定了通信规则。在代理中应用时序逻辑规则来组合所获得的结果。采用动态模型检验算法对具体公式是否满足进行检验。当与以前的作品,所提出的架构提供了可喜的成果。Sai和Reddy(2015)提出了一种朴素贝叶斯方法,Fig. 1. IDS在网络中的实现。●●594S. Singaravelan等人/沙特国王大学学报基于入侵检测使用教条和前瞻的方法。恶意软件感染的节点的行为被观察到在他们的机会遭遇。这两个挑战从贝叶斯入侵检测系统扩展到DTN。挑战是:(1)依次过滤虚假证据这些挑战使用教条式过滤器和自适应前瞻方法来解决Thu ( 2013 ) 提 出 了 一 个 集 成 的 入 侵 检 测 和 防 御 系 统(IDPS),用于检测使用蜜罐的内部攻击者。建议的IDPS是异常检测和签名检测方案的组合。蜜罐是在防火墙中配置的网络连接服务器,用于监视内部用户的活动。该系统在与其他系统兼容时,消耗有限的资源,降低了虚警率。 Chadli等人(2014)设计了一种基于多代理的IDS架构,以提高网络的性能和安全性。该体系结构是基于集群和基于协作的层次模型的结合。为了提高安全性,使用了包含全局本体数据的知识库当与现有的入侵检测系统相比,层次结构表现更好的性能和安全性。Meng和Li(2012)提出了一种门限签名方案,在没有可信方的情况下提供安全性该方案减少了使用双线性对进行计算所需的计算开销和资源。门限签名的生成和验证基于双线性对的门限密钥管理方案提高了安全性Sharma等人(2016)提出了一种基于签名的IDS,基于身份的方案,以实现对虫洞攻击的网络保护。所提出的方案抵抗网络中节点之间的证书分发过程。基于身份的签名方案由于消除了签名分布,减少了Casas等人(2012)提出了一种无监督网络入侵检测系统(UNIDS),用于在不使用任何知识库的情况下检测未知的网络攻击。采用基于子空间聚类和多证据积累的无监督离群点检测方法对不同攻击进行识别与传统的入侵检测系统相比,UNIDS的性能和检测准确率更高。Panda等人(2012)设计了一种使用混合智能方法的IDS,通过组合分类器来实现最佳检测率。采用两类分类策略和十折交叉验证法进行最终分类。Meta学习策略与评分和END(多类问题的平衡嵌套二分法集成)一起使用,以提高系统的性能。Akbani等人(2012)提出了一种基于增强型机器学习(EML)的信誉系统来防御许多攻击信号。信誉系统通过观察节点过去的行为来预测节点未来的行为基于EML的系统导致非常低的带宽和计算开销。Khouzani等人(2012)制定了基于庞特里亚金最大原理的决策问题,以量化恶意软件造成的损害。利用Flippov- Cesari定理建立了最优解.结果表明,该系统的愈合率和恢复率均高于其他系统。Hoque等人(2012)提出了一种使用遗传算法(GA)检测网络中各种入侵利用达尔文在预计算步骤中获得的染色体集合与现有的入侵检测系统相比,该入侵检测系统具有较高的检测率。Mechtri et al.(2012)提出了一种基于分布式和协作的IDS架构来克服这一弱点和现有IDS的缺陷通过在每个网络上部署一个本地入侵检测系统来实现分发,通过移动代理和固定代理的协作所提出的系统是灵活的,轻量级的,容错。 Selvaraj等人(2016)提出了一种新的想法,使用蜜罐技术和数据包数据分析,在网络和基于异常的系统中进行入侵检测。该系统使用恶意软件样本或数据包检测的深入分析进行训练。蜜罐算法具有能量大、安全性强等特点,使得该系统优于现有的入侵检测系统。3. 系统要求3.1. SC监视器和滤波器SC实际上是用户应用程序和内核提供的服务之间的接口通常,在作业的执行期间产生大量的SC任务或过程。为了找出shell命令生成的典型脚本,利用词频-逆文档频率(TF-IDF)统计模型分析了用户日志文件中截获的脚本的重要性术语频率(TF)用于测量产生的SC的频率的权重。逆文档频率(IDF),衡量所有相关shell命令的重要性。 在IIDPS中,所有收集到的数据由数据挖掘工具iData Ana lyzer进行分析,其中类可预测性和类可预测性是分别用于评估类内和类间权重的两个参数。3.2. 挖掘服务器挖掘服务器从用户的日志文件中提取用户生成的SC序列,统计特定SC模式在日志文件中出现的次数,并将结果存储在SC模式中,出现次数统计在用户的习惯文件中。然后计算SC模式的相似度权重,筛选出所有用户或大多数用户共同使用的SC模式。然后,将输出结果与底层系统中的所有其他用户的习惯文件进行比较,以进一步识别u的特定SC模式。最后,计算相似性权重以生成u3.3. 检测服务器检测服务器捕获底层用户u在执行shell命令时发送给内核的SC,并将SC存储在u的日志文件中。在此之后,服务器试图通过计算当前输入和sage习惯中的新生成的Sc之间的相似性得分来识别u是否是基础账户持有者,即,法医签名3.4. 计算网格计算网格由一组内部连接的独立计算机组成,这些计算机作为一个集成的计算资源一起工作。在本文中,挖掘服务器和检测服务器上实现的网格,以加快数据处理。利用IIDPS可以通过分析用户对应的SC来识别用户4. 该方法本节概述了拟议的内部中断发现和防御系统(IIDDS)。主要目标S. Singaravelan等人/沙特国王大学学报595-本文的目的是提高入侵检测的准确性,减少响应时间。图2描述了IIDDS的总体流程。拟议的IIDDS包括以下四个阶段● 加载用户数据集。● 汇总草图数据集。● 计算海灵格距离。● 攻击检测和预防。5. 加载用户数据集包含用户ID、进程ID和SC的用户数据被加载到数据集中。数据集中的数据以逗号分隔值(CSV)格式提供。很难处理CSV格式,因此,它被转换为文本文件格式。对原始数据进行预处理,以去除不正确、不一致和冗余的数据。通过数据清洗去除不一致和噪声数据,而通过数据约简消除冗余。使用聚类和聚合来减少数据集的大小,以提高挖掘的效率和提高数据集的质量。用户日志文件由用户SC及其出现顺序组成。通过使用SC模式分析用户简档来识别用户的行为。数据挖掘技术中的挖掘模式被用来发现SC模式。对于50个用户的常量数据集,TF-IDF需要42ms的响应时间,而IIDDS的响应时间为25 ms。挖掘服务器利用数据挖掘技术对日志数据进行分析,识别用户和类间权值,使用Sketch数据集Hash函数。7. 计算hellinger距离计算Hellinger距离以找到两个概率分布之间的距离。概率测度距离用于避免网络中的数据包泛洪。网络中的用户数量及其配置文件以及SC模式被提供作为输入,以找到网络中的攻击者。通过摘要将正常数据集转换为草图数据集。为草图数据集中的每个条目计算概率分布。在草图数据集中创建汇总表,以基于概率值存储汇总条目。Hellinger距离用于计算用户配置文件的概率值。计算Hellinger距离以找到两个概率分布之间的距离。概率距离测度用于避免网络中的数据包泛洪。网络中的用户数量和他们的配置文件以及SC模式作为输入提供,以找到网络中的攻击者。通过摘要将正常数据集转换为草图数据集。为草图数据集中的每个条目计算概率分布。Hellinger距离在表中存在的所有概率值之间计算。比较距离,并基于最小距离识别攻击者。根据汇总数据计算阈值,并将概率值与阈值进行比较。如果该值大于阈值,则将用户识别为异常用户。行为模式,然后记录在用户profile.6.汇总草图数据集数据集以紧凑的形式存储,并且散列函数应用于所有传入的SC模式。为数据集中的每个属性建立概率分布,即草图数据分布.分析了用户输入的相似度和系统中其他用户的行为模式找到内部攻击计算哈希函数,使用数据聚合来获取缩减大小的摘要。iData Analyzer中,类可预测性和类预测性是用于评估类内的两个参数图二. IIDDS的整体流程Hellinger距离的伪码输入:用户配置文件以及SC模式D输出:攻击者用户过程对于每个条目x€ D草图(H(k,v))-H(k,v)端对于每个草图条目x€ D P(x)-xT-P(x)端对于每个概率p∈ Hdist(p1,p2)-piqiA-最小值(p1,p2)端步骤1.输入包含用户配置文件和SC模式的预处理数据集步骤2. 将数据集转换为草图数据集。步骤3.计算草图数据集中每个条目的概率值。步骤4.在草图数据集中创建一个表,并将条目与概率值一起存储。步骤5.计算每个概率值之间的Hellinger距离。步骤6.根据距离对正常用户和异常用户进行分类。步骤7.具有最小距离的用户的条目被称为异常用户。步骤8.异常用户的配置文件由SC监视器捕获并发送到SC过滤器。步骤9. SC过滤器隔离用户,防止系统受到攻击。596S. Singaravelan等人/沙特国王大学学报¼8. 攻击检测和预防攻击可能会对系统及其数据造成严重损害有必要识别不同类型的攻击,以防止系统失败。攻击分为被动攻击和主动攻击,其中主动攻击比被动攻击更严重。被动攻击包括窃听、流量分析、获取密码等,在用户不知情的情况下泄露信息。病毒、蠕虫、木马等主动攻击通过传递恶意代码来修改或破坏信息。帮助获得未经授权的访问的攻击被称为近距离攻击盗窃攻击通常发生在互联网上,电子邮件用户通过虚假网站被黑客攻击。采用暴力破解、字典攻击和混合攻击三种密码攻击方法破解认证码。字典攻击使用单词列表,而暴力攻击尝试所有组合。内部攻击是组织内部用户试图进行的攻击,可能是被动的,也可能是主动的。洪水攻击广泛传播了许多导致DOS的请求。在所提出的系统中,攻击识别使用海尔林格距离。当用户执行shell命令时,发送到内核的SC存储在日志比较新SC之间的相似性度量以识别用户是否是授权用户。当检测到异常用户时,SC监视器接收通知SC过滤器隔离入侵者以保护系统免受攻击。如果用户尝试另一用户的认证码,则可以使用用户的使用模式来检测该认证码。系统调用模式(SC模式)定义为在用户的日志文件中重复出现多次的最长系统调用序列(SC序列)。从用户的计算机使用历史中检索用户9. 性能分析本节介绍IIDDS的性能分析该系统与词频-逆文档频率(TF-IDF)进行了比较。词频-逆文档频率(TF-IDF)被用来分析在用户日志文件中收集的截获的SC的重要性。所提出的系统的性能进行评估,图三. TF-IDF和IIDDS的检测精度。IIDDS的检测准确率为80%。因此,建议的IDS实现了更高的检测精度,当与现有的系统相比。11. 判决速率门限决定性速率阈值可以被定义为当前用户简档与其他用户简档图4示出了用于示出TF-IDF系统和IIDDS的决定性速率阈值的曲线图。TF-IDF的决定性速率阈值为0.021,IIDDS为0.025。由于决定性速率阈值较高,因此与基于TF-IDF的系统相比,IIDDS检测得更准确。12. 响应时间响应时间可以定义为检测到攻击时产生触发所需的时间图5显示了TF-IDF和IIDDS的响应时间TF-IDF的响应时间为42 ms,而IIDDS的响应时间为25 ms。建议的IDS的响应时间是低的,当COM-兼容到现有的系统。的● 检测精度● 判决速率门限● 响应时间● 异常用户计数● 虚警率10. 检测精度检测准确度定义为探测器数量与探测器数量的比值将警报设置为跟踪中的警报总数检测准确度:触发警报的警报总数ð1Þ图3中的曲线图描绘了现有系统和所提出的系统的检测精度之间的比较。基于TF-IDF的系统的检测精度仅为50%,而见图4。 TF-IDF和IIDDS的决定性速率阈值。S. Singaravelan等人/沙特国王大学学报597¼图五. TF-IDF和IIDDS的响应时间。见图8。 TF-IDF、IDDS和IIDDS的性能比较。13. 异常用户计数异常用户数是系统中攻击者或恶意用户数的检测率。图6中的曲线图示出了现有系统和所提出的系统中的异常用户计数的比较TF-IDF中的异常用户数为80,但在IIDDS中,只有50个异常用户。该方法利用SC滤波器减少了异常用户数14. 虚警率误报率定义为错误触发的警报数量与警报总数的比率。误报率编号: 错误触发警报的警报ð2Þ见图6。 TF-IDF和IIDDS中的用户计数异常。见图7。 TF-IDF和IIDDS产生的虚警率。图中的图表。 7描述了现有系统和拟议系统之间的虚警率比较。TF-IDF产生的虚警率为50%,而IIDDS产生的虚警率仅为10%当与现有系统相比时,所提出的系统中的虚警率降低。因此,可以清楚地理解,所提出的基于HD的IDPS在检测精度、决定性速率阈值、响应时间、异常用户计数和误报警率方面优于现有系统。图8.第八条。15. 结论和今后的工作该方法应用于内部中断发现与防御系统(IIDDS)中,以防止系统受到攻击,并根据SC模式发现内部攻击者海尔林格距离用于计算用户简档的概率值。SC监视器和过滤器用于隔离内部攻击者。提高了系统的效率,并与基于TF-IDF的系统进行了比较。响应时间和虚警率降低,而检测精度和判决率阈值提高。实验结果表明,IIDDS在检测精度、判定率阈值、响应时间、异常用户数和虚警率等方面均优于TF-IDF。该算法在提高检测精度和判决率阈值的同时,降低了响应时间和虚警率。此外,为了提高系统的检测精度,IIDDS将使用余弦相似性得分而不是使用Hellinger距离来增强。598S. Singaravelan等人/沙特国王大学学报引用Akbani河,Korkmaz,T.,Raju,G.,2012. EML Trust:一个增强的基于机器学习的信誉系统。特设网络10,435-457.Casas,P.,恭喜,J.,Owezarski,P.,2012.无监督网络入侵检测系统:检测未知的知识。Comput. Commun. 35,772-783。Chadli S.,Saber M.,Emharraf M.,Ziyyat A.,2014年。提出了一种基于多代理系统的移动自组网入侵检测体系结构模型在:复杂系统(WCCS),2014年第二次世界会议上。252-258Hoque M.S.,Mukit M.,Bikas M.,纳赛尔A.,2012.使用遗传算法实现入侵检测系统,arXiv预印本arXiv:1204.1336。Khouzani,M.,萨卡尔,S.,Altman,E.,2012.移动无线网络中的最大破坏恶意软件攻击。In:Networking,IEEE/ACM Transactions on,vol. 20. pp. 1347-1360年。Mechtri L. Tolba F.D.,Ghanemi S.,2012. MASID:移动自组网中的多代理入侵检测系统。信息技术:新一代(ITNG),2012年第九届国际会议。pp. 65比70孟X,李宇,2012.移动自组网中基于双线性对的可验证门限签名方案,信息与自动化(ICIA),2012年国际会议。361-366Panda,M.,Abraham,A.,帕特拉,M.R.,2012年。一种混合智能网络入侵检测方法。Proc. Eng. 30,1-9。赛义德内务部Selamat,A.,2013.多代理架构与动态模型检测恶意软件检测。纳闽学校信息科学十五,四十七。赛义德内务部Selamat,A.,Abuagoub,A.M.,Abdulaziz,S.B.,2013.关于恶意软件和恶意软件检测系统的调查。 分析3,13-17。Sai S.N.,Reddy D.B.V.R.2015年。使用教条和前瞻方法检测DTN网络中的恶意软件行为Selvaraj河,Kuthadi V.M.,Marwala T. 2016.蜜罐:入侵检测的主要技术。第二届计算机与通信技术国际会议论文集pp. 73-82号。Sharma,D.,库马尔,V.,库马尔河,巴西-地2016. MANET中基于身份的签名方案防止虫洞攻击。数据挖掘中的计算智能-第2卷。施普林格,pp. 475- 485星期四,AA,2013.云计算环境下基于蜜罐技术的集成入侵检测与防御系统。Int.J.Comput. Appl. 67岁。Uddin,M.,Rahman,A.A.,Uddin,N.,Memon,J.,Alsaqour,R.A.,Kazi,S.,2013.基于签名的多层分布式入侵检测系统使用移动代理。IJ网络安全性15,97-105.
我的内容管理
展开
