SA算法在基于模型推理入侵检测中的应用

鉴于模型推理的入侵检测方法，需要在庞大的审计记录空间中搜索巨量的攻击脚本子集中的最优值，对于这一NP类完全问题，提出了应用模拟退火算法。并建立了攻击检测的优化问题模型，给出了攻击检测实验中的解空间、目标函数、新解的产生和接受准则，得到了一个合理的冷却进度表，并对实验中的模拟退火算法进行了并行化研究。实验证明，与传统的贪心算法相比，应用模拟退火算法提高了进化速度和全局寻优能力，较好地解决了搜索效率问题。
关 键 词 模拟退火算法; 模型推理; 入侵检测; 网络安全

1 基于模型推理的入侵检测方法
入侵是指任何试图对资源的完整性、保密性或可用性产生危害的行为。入侵检测是对这些行为的识别。由于入侵模式的多样性，入侵检测策略和模型也具有多种不同的类型[1,2]。基于模型推理(Model-Based Reasoning)的入侵检测方法通过为入侵行为建立特定的模型，结合攻击脚本推理出入侵行为是否出现。入侵检测利用的信息很大一部分是来自系统的日志和审计信息。入侵者经常在系统日志中留下他们的踪迹，因此充分利用系统的日志文件和审计信息是检测入侵的必要手段。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，通过分析日志文件和审计信息，能够发现成功的入侵或入侵企图。

在Unix操作系统中带有许多审计机制，并且还可以再配置审计工具，因此能够产生大量的审计数据。为从庞大的信息中提取出与安全相关的信息，以产生攻击脚本，首先对历史审计文件进行预处理，产生用户会话矢量。用户会话包括login和logout之间的所有事件。会话矢量A=描述单一会话过程中用户进行的各种事件数量。会话开始于login，终止于logout，login和logout次数也作为会话矢量的一部分。可以监视20多种事件，如：登录的时间、登录失败数、写文件数、读文件数等。
然后将产生的用户会话矢量提交给分析模块，分析模块可以采用统计、专家系统等方法建立用于入侵检测的攻击脚本，存入攻击脚本库中。脚本库是一个m×n维的事件矩阵，一个列向量表示一种攻击所对应的会话矢量。
检测时先将这些攻击脚本的子集假设为系统正面临的攻击，然后通过一个预测器程序模块，根据当前行为模式产生需要验证的攻击脚本子集，并将它传给决策器，决策器收到信息后，根据这些假设的攻击行为在审计记录中的可能出现方式，将它们翻译成与特定系统匹配的审计记录格式，在审计记录中寻找相应信息来判定该攻击是否发生。
基于模型推理的入侵检测的实质是在审计记录中搜索可能出现的攻击子集。在实际应用中，发现通常系统的审计记录数据量庞大：一个典型的C2级审计机制，在一个多用户系统，不到1 h时便会产生1 GB的数据量；一台4CPU SPARC SUN系统需要用两个CPU和所有磁盘通道来记录其它两个CPU的活动；在网络环境中，数据量将更加膨胀。同时，攻击脚本子集的数量也很巨大，假设攻击脚本中与入侵潜在相关的度量有n个，则这n个度量所构成的子集数便达到2n个。可以将在审计记录中寻找相应信息来确认或否认这些攻击的问题看作类似于一个非确定型多项式类(Nondterministic Polynomial, NP)完全问题，即在复杂而庞大的搜索空间中寻找最优解或准优解。在求解此类问题时，若不能利用问题的固有知识来缩小搜索空间则会产生搜索的组合爆炸。
因此本文在模型推理方法已有成果的基础上，提出了将模拟退火(Simulated Annealing，SA)算法运用在基于模型推理的入侵检测中。论述了模拟退火算法4要素：解空间、目标函数、新解的产生、接受准则在攻击检测中的选用，给出了实验的主要SA算法代码，并对用于攻击检测的SA算法进行了并行化研究。
2 SA算法
求NP完全问题的最优解有多种方法，如线性规划、贪心算法等，但这些算法往往由于计算时间的限制不具有可行性。而入侵检测一个重要的特征就是要具有实时性，因此上述算法不适合应用于模型推理的入侵检测[3,4]。
模拟退火算法是一种解大规模组合优化问题[5]，特别是NP完全问题的有效近似算法。它源于对固体退火过程的模拟，采用Metropolis接受准则，并用一组称为冷却进度表的参数控制算法进程，使算法在多项式时间里给出一个近似最优解。
模拟退火算法的主要特点是高效、健壮、通用和灵活。尽管该算法本身在理论和应用方法上仍有许多待进一步研究的问题，但实践证明，模拟退火算法对于组合优化中的NP完全问题非常有效。
3 SA应用研究
3.1 问题的描述
本文目标是：根据审计跟踪记录中的事件确定在所有可能攻击子集中哪一个对系统最具威胁性，即对于一个特定的攻击子集，统计所有攻击产生的每类事件的个数，如这一数量少于或等于那种被记录事件的数量，“该攻击子集存在”的假设是成立的。为了用数学形式更精确地描述该问题.