文摘

本文提出并建立一个预警机制模型,大学教育网络使用马尔可夫模型。本文提出一种方法来确定观测值马尔可夫模型的基于流量控制的原理和TCP / IP模型以解决这一问题的观察值马尔可夫模型是具有挑战性的决定当它应用于入侵检测。检测模型还雇佣了一个自适应滑动窗口检测算法来进一步提高系统的检测速度。本文中所开发的机制相比其他早期预警机制,以确认的有效性和适用性教育网络预警机制。实验结果证明的准确性教育网络预警机制摘要高于传统的预警机制,也就是9.87%,高达95.02%。提出的模型,然而,显然擅长预警适应性方面,模型拟合程度和信息过载处理效率。总的来说,本文成功地应用马尔可夫模型的早期预警系统大学教育网络。研究大学教育网络的早期预警系统,它有一些参考价值。

1。介绍

为了让网络给人们提供方便的服务,网络安全必须到位。网络安全问题得到越来越困难的测试网络攻击方法多样化(1]。大学教育网络系统已经逐渐发展成为一个专业的和交互式信息交流载体与信息技术的快速发展。为了有效地共享教学资源,大学教育网络利用先进的计算机技术和网络通信能力。网络平台目前正在教室和一个共同的教学工具已取代其他方法作为提高教学质量的主要方式。大学的网络安全仍有一些未被发现的风险,尽管[2]。校园网络攻击,恶意软件和病毒感染了外国的开放教育网络系统连接和各种各样的信息资源,具有严重的负面影响的设计教育在高等教育机构网络。传统安全防御系统无法处理复杂的网络攻击,因为他们缺乏主动性和动态,总是采用“慢节奏”的防守策略,和缺乏积极主动的能力。高等教育机构的安全的网络现在是一个首要任务的机构(3]。高等院校的校园管理已经完全接受了网络技术,但是网络安全问题大大影响了这些机构如何在日常运行。通过漏洞检测确定风险级别是传统大学教育网络安全风险评估方法(4]。当前漏洞检测工具主要专注于单一设备的安全性能;然而,他们能力有限对整个网络的安全性能进行评估。网络系统漏洞和缺陷大学越来越糟,由于持续的黑客技术的发展。高等学校目前的链接需要更多关注的是如何确保高等教育网络系统的安全,促进其实用性发挥(5]。隐藏的风险教育的网络高等教育机构可以进一步减少了信息技术,还可以支持网络平台在这些机构的长期增长。

早期预警系统对网络安全攻击之前可以准确地识别风险并提供技术援助来实现网络主动防御,确保网络安全(6]。然而,目前,早期预警技术研究主要集中在攻击行为,经常和网络攻击的复杂性和多样性导致这些早期预警技术的问题,如状态空间爆炸(7]。因此,早期预警技术实现基于攻击行为有一些限制。与参数的概率模型,马尔可夫模型,用于描述随机过程的统计数据。下一个状态的过程依赖于当前状态,而不是之前的状态,根据马尔可夫模型。初始状态的整个过程与前面的马尔可夫过程无关,但有一个可以计算概率的马尔可夫过程,从之前的状态过渡过程中每两个国家之间(8]。马尔可夫模型可以获得相应的马尔可夫模型通过使用自适应学习的训练样本收集。其算法建立有效,它经常被应用到入侵检测研究9]。基于马尔可夫模型的入侵检测系统具有良好的实时的入侵检测模型的特点产生的少量的数据模型和简单的检测规则。换句话说,马尔可夫链是一个马尔可夫过程与离散状态和时间参数(10]。马尔可夫链是一个马尔可夫随机过程的特殊情况。基于现有的网络安全预警技术的分析,提出并构造一个大学教育网络的预警机制模型结合复合攻击,攻击意图,马尔可夫模型。本文的主要贡献如下:(1)针对马尔可夫模型的观测值的问题是很难确定当它应用于入侵检测,提出了一种方法来确定观测值马尔可夫模型的基于流量控制的原理和TCP / IP模型。同时,提出了提高培训时间效率通过约束模型的初始参数矩阵前培训。它可以通过实验发现,该方法可以显著减少观察组的规模,缩短了训练时间,有效地提高培训的时间效率。(2)当构建预警机制的大学教育网络,该网络采用基于异常的入侵检测模式,改变规则的标志位的网络协议和端口号在正常的网络环境进行了分析。在这个早期预警技术,提出算法用于计算复合攻击的马尔可夫模型的概率生成警报信息序列,改进维特比算法是用来确定攻击者的攻击意图。最后,这两种方法相结合来预测攻击者的攻击。实验表明,本文的网络攻击的检测率大大提高,而且可以更好地警告大量的网络攻击。

复合攻击已成为网络入侵的主要形式之一。如何检测和预测复合攻击是网络预警技术中的一个难点。早期预警技术奠定了基础,实现网络安全主动防御,它是当今的研究热点之一。

为了准确地评估网络安全风险实时Granjal等人提出了一个基于模型马尔可夫网络安全风险评估方法。这种方法模型目标网络基于马尔可夫模型(11]。Daniel-Ioan提出了一个新的安全风险评估模型为大学教育网络基于模拟攻击(12]。Mekki等人介绍了相关安全风险高等学校的教育网络,讨论了计算机技术在校园网络安全的重要影响;同时,他们研究如何利用计算机技术在校园网络安全13]。贝克提出的复合攻击建模方法基于攻击意图(14]。该方法作为攻击目标的攻击意图和理解复合攻击从主动防御的角度。复合攻击表示基于攻击意图的优势视角的分析有利于攻击预警和积极防御。Einy等人设计了一个基于马尔可夫模型的理论的入侵检测算法和BP神经网络15]。该算法有效地提高了检测率。刘等人进行风险评估目标基于贝叶斯网络的攻击图(16]。模型结合入侵检测信息动态更新生成的贝叶斯网络攻击图来评估安全风险实时;然而,网络节点的影响没有考虑相关网络安全风险评估过程。吴探索建设基于马尔可夫模型的入侵检测系统,提出了一个自适应滑动窗口检测算法的入侵检测系统(17]。实验表明,该算法的实现可以大大提高入侵检测系统的检测率。Carnimeo等人提出了一个优化的实时网络安全风险评估方法(18]。该方法降低了输入参数的规模在评价过程中,但在评价过程中,网络的整体风险量化通过添加主机的风险,和主机在网络的重要性并不认为,这是不符合实际情况的网络。

提出并建立一个预警机制模型的大学教育网络使用马尔可夫模型,深入研究和讨论基于前人的相关文献。本文提出一种方法来计算观测值马尔可夫模型的基于流量控制的原理和TCP / IP模型来解决这一问题的观察值是具有挑战性的决定时,马尔可夫模型应用于入侵检测领域。模型的初始参数矩阵建议是限制前培训,以减少培训时间。改进的维特比算法用于确定攻击者的攻击意图,和早期预警技术计算复合攻击的马尔可夫模型的可能性将产生报警信息序列通过转发算法。然后结合这两个计算预测攻击者的下一步行动。预警机制模型提出了全面预警能力强,准确的动态预警,和高的效率变化趋势的预测风险管理和控制,根据实验。

3所示。方法

3.1。网络安全预警技术

教育网络的安全风险在高等学校指的是一些潜在的安全问题;例如,校园网络的用户无意识或有意识地使用信息系统的脆弱性及其管理系统破坏,偷窃,一些敏感的信息传播和破坏网络操作。网络攻击是一个常见的问题在高等教育的网络安全,和外国黑客攻击者通常与网络信息技术。网络攻击网络的安全是一个严重的威胁。预测网络攻击已经成为主动防御研究的一个重要组成部分。入侵检测是发现入侵行为,这是入侵检测的软件和硬件的结合。入侵检测是一种主动安全技术,识别入侵行为的功能,防止入侵事件的发生和扩张,等。入侵检测技术是一个重要的安全检测技术。通过提取关键信息在当前的网络,这种技术检测关键信息是否违反安全策略的安全规则库,以检测是否有网络攻击在当前网络和提供早期预警网络攻击。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高信息安全基础结构的完整性。它收集信息的计算机网络系统中的关键点(19,20.并分析这些信息。从其他安全产品最大的区别就是入侵检测系统更聪明。异常检测是系统的正常行为特征模型。在检测的过程中,系统偏离正常行为模型是否监控。当偏差太大,认为入侵发生。一个完整的入侵检测系统包括以下部分:攻击检测、攻击响应,攻击的攻击行为和提取证据的记录,和评估损失后的攻击。在一个完整的攻击过程中,每一个攻击通常是一个特定的开发系统漏洞和弱点。一个成功的攻击过程通常包括几个分散攻击的步骤。如果每个攻击步骤被视为一个独立的攻击,攻击过程是由他们组成的。

随着类型的入侵,再加上许多攻击已经准备很长时间,他们通过在线协作进行。面对这种情况,是非常重要的分享这类攻击信息入侵检测系统的不同功能组件之间和不同的id。对网络攻击进行入侵检测,有必要深入了解生成原理、攻击方法,现有的网络攻击和攻击过程。当建立入侵检测模型时,需要综合考虑一个完整的网络攻击的特点和抽象上面有用的特征。只有用这种方法可以设计一个有效的入侵检测模型。网络安全预警主要是根据异常网络流量,发现入侵迹象异常网络行为,病毒威胁,等。当攻击者的终极目标尚未实现,它匹配入侵过程通过一个预先构建的攻击模型,法官下可能的攻击者的攻击行为和评估的影响网络上的攻击,很快就会构成威胁。在异常检测中,首先需要构建一个正常行为通过正常数据的行为模式。模型的基本思想建设是有入侵行为和正常行为之间的区别。训练数据用于训练正常模型可以系统审计记录、网络数据,系统调用序列或系统调用参数,等等。在实际运行的网络环境中,节点状态的变化符合马尔可夫模型的法则。特殊节点之间的逻辑关系,如控制关系和访问关系,会有一定的影响网络安全风险评估的结果。 Different nodes have different positions in the network, and the security risks brought by attacks are different. The problem of host-based intrusion detection system is that it requires high reliability of the system. In order to extract intrusion information, it requires that the system should have reasonable settings in addition to its basic security functions. Use the trained normal behavior model to distinguish normal behavior from abnormal behavior. All behaviors that are not within the scope of normal behavior patterns are considered abnormal. The intrusion detection model built by Markov model has the characteristics of small amount of data generated by the model and simple detection rules, so the intrusion detection system based on Markov model has good real-time.

3.2。马尔可夫模型

统计分析模型称为马尔可夫模型是使用马尔可夫链为基础创建的。下一个状态在未来仅与当前状态有关,但不是任何以前的状态,没有后效的马尔可夫链的特点(21]。观测值和状态的马尔可夫链模型是一比一。观察者可以通过观察确定值的状态观测值。观测值和状态的马尔可夫模型,然而,不排队一个接一个。观察者只能直接感知观测值,不是国家,只能推断出状态的存在和属性通过一个随机过程。马尔可夫过程中的每个之间的过渡两种状态的概率。虽然可以计算这个概率从之前的状态,初始状态的整个过程与前面的马尔可夫过程无关。两个随机过程存在的马尔可夫模型,其中一个是状态转换的基本随机过程,另一个是用来描述之间的统计关系状态和观察。马尔可夫模型的内部状态是隐藏的观察者,只能看到观测值。然而,观察者可以确定内部状态的存在和特征序列的外部观察。 A double stochastic process with two parts is the Markov model. The first is the Markov chain, which uses the concept of transition probability to describe the change in state. The probability of observation values describes one general stochastic process, which describes the relationship between states and observation sequences. The observation value can be obtained by observation when building a state and observation model in a Markov model, but the state value cannot be obtained directly and must instead be calculated using the observation value as a parameter. To train the most likely state transition and determine the corresponding output probability, use the typical system call sequence as the known observation sequence. This is the classic Markov model problem. The training of the Markov model is the most crucial link when solving real-world issues. It is equivalent to creating an optimal model because the parameters of a given model should be changed until they are optimal in accordance with the observational sequence. Markov model is shown in Figure1


图1
马尔可夫模型。

马尔可夫模型本质上是一个双重随机过程的有限状态自动机。底层的马尔可夫链无法直接观察,但只能通过观察的顺序。初始时,非马尔可夫模型,有必要使用马尔可夫模型的训练算法来优化马尔可夫模型的参数值 ,这样 值可以达到最大值。马尔可夫模型的研究对象是一种数据序列,和每个值的序列被称为一个观察值。马尔可夫模型认为还有另一个序列隐藏在序列。这个序列代表了一系列的州,每个观测值出现在某一状态。观测值的变化和国家规定的概率模型,但不能观察状态序列,它是隐藏在观察到的值。解码是试图找到隐藏的马尔可夫模型的一部分,也就是说,找到一个正确的状态序列。在实际应用中,这种问题通常是解决只有通过寻找最优序列。目前,马尔可夫模型已广泛应用于各行各业。马尔可夫模型广泛应用于入侵检测领域。使用马尔可夫模型的特点,我们可以推断出未来的概率从当前系统调用系统调用。 When the probability of the next system call is lower than the threshold, it means that there is an exception. When several consecutive system calls are abnormal, it is judged that an intrusion has occurred.

3.3。预警机制建设在高等学校的教育网络

攻击者使用不同的攻击方法来实现他们的攻击意图,但他们的攻击意图往往隐藏,攻击意图隐藏在各种复杂的攻击。当前入侵检测系统只能产生不同的报警信息对各种攻击,但攻击者的攻击目的是常常淹没在大量的报警信息。在这一章,针对当前大学教育网络的安全风险,我们构建的预警机制模型大学教育网络基于马尔可夫模型。当构建马尔可夫模型,马尔可夫模型的训练可以构建一个功能库检出率高,没有大量的数据集。如果数据挖掘算法是用于构建模型,需要大量的数据,因此使用马尔可夫模型的建模速度大大加快。在计算机,系统调用是指一个程序要求操作系统内核提供的服务需要更高的权威。系统调用提供了应用程序和操作系统之间的接口。大学教育网络的预警机制基于马尔可夫模型提出了不同于其他早期预警机制。它显示在以下几方面:(1)检测效果更好,提高异常检出率。(2)轮廓数据库的存储空间减少,系统保存。 (3) The convergence speed is fast. (4) The accuracy of early warning is higher. (5) It is real-time. The process of model training and attack detection is shown in Figure2


图2
模型训练和攻击检测过程。

复合攻击常常由几个不同的攻击步骤,每一个都反映在相应的报警信息。每个攻击一步复合攻击取决于先前的攻击步骤的输出。攻击步骤和攻击步骤之间的关系和报警信息可以被一个马尔可夫模型。互联网控制消息协议的主要功能,TCP / IP家族的一员,是提供错误报告。其具体的用例包括测试连接和路由器之间的速度,在主机和路线,和主机之间的之间。ICMP报告信息访问如果路由器迟迟不予回应或不能到达目标主机。数据处理模块,数据训练模块、入侵检测模块,和早期预警模块模型的占大多数。入侵检测模块的核心模型。观察层的顶层是一个马尔可夫模型的警告。观察序列根据报警信息在每个攻击意图,观察者可以推断出攻击的意图,同时,预测攻击者的下一步行动。 The hidden layer, which contains the abstract attack intentions for each attack step of compound attacks and makes up the second layer of the Markov warning model. We can compare the model’s local optimal probability, which was obtained by training a Markov model, to assess its accuracy. This means that starting from the point where the implicit state number is set as the distinct system call number, the local optimal probability determined by the experiment will go through a process of first increasing and then decreasing, and the implicit state number when the local optimal probability is the largest is the best, i.e., the variety of programme states. To solve the parameter estimation problem of Markov model, an observation sequence is given:

Baum-Welch算法可以确定 最大化 定义:

这是推断,

然后,的概率 马尔可夫链的 目前状态可以表示为

因此,如果 代表的预期数量的转换 状态, 代表的预期数量的转换 状态 状态。Baum-Welch算法的重估公式可以推导出:

重复计算过程,模型的参数,直到逐渐改善 是收敛的。在这个时候, 所需的模型。假设的风险值节点与节点关联关系 在时间 表示为

风险冲击值的节点 与节点记录上的关联关系

它可以定量计算的价值相关性和风险价值相关的节点。具体计算公式如下:

间接的风险节点 带来的特殊访问节点之间的关系。因此,间接的价值风险可以通过风险影响的叠加值,即:

创建数据库的入侵检测模型的特性是至关重要的,因为它会影响整个检测模型的检出率。在入侵检测的过程中,有必要比较特征信息在当前的网络包特性数据库中的信息。是否成功或不成功的攻击,入侵检测系统的警报信息显示攻击者的攻击能力和系统知识从一边,创建一个基础为进一步确定攻击者的攻击意图。在这项研究中,马尔可夫模型训练使用数据处理的数据处理模块,然后训练模型应用到入侵和异常行为的检测。不同的网络中节点的位置有不同的对网络的整体风险的影响在真实的网络环境。显然,一个核心节点攻击有一个更大的比一个边缘节点影响网络安全攻击。过程行为监控对象在基于系统调用的异常检测。尽管过程表现在一系列的系统调用,系统调用通常入侵意图是如何进行的。相关程序的功能,另一方面,从根本上是什么定义了过程的行为。网络数据包协议标志位的变化模型建立了典型网络条件下,以构建一个网络预警模型具有较强的实时性能和较高的检测率。 This model can describe the characteristics of the network under normal conditions in detail, and all behaviors that violate the current detection model are considered as network attacks. Because the detection model is based on anomaly, it has a high detection rate.

4所示。结果分析和讨论

原型系统的实现过程中,关键模块判断复合攻击场景,攻击意图识别和攻击预测,其中复合攻击马尔可夫模型。为了验证本文的理论概念,几组实验设计在这一章。实验进行了根据预设数量的隐状态。预警机制的有效性模型,通过实验验证了模型的大学教育网络,和模型的有效性是衡量网络攻击的检测率的实验。实验中使用的主机硬件环境是一个PC具有良好的性能。报警信息表在这个模型中主要存储基本数据的报警信息。报警表中包含的字段和含义如表所示1

表1
报警信息表的字段和含义。

观察当地的最优概率的变化趋势最终模型在不同状态的数字来证明本文提出的假设。在这组实验中,矩阵的初始化是随机的,和相应的培训记录。图3随着时间的推移显示了模型训练的结果。


图3
模型训练的结果。

在实验中,自适应滑动检测窗口的功能是关闭的,固定的滑动窗口是用于检测。在这项实验中,滑动窗口的大小将成为网络攻击检测病毒测试。为了客观地显示不同时间窗的影响检出率,不同时间窗口将在实验测试了几次。实验表明,网络攻击的检测率与不同的滑动窗口大小如图所示4


图4
检出率不同的滑动窗口大小的网络攻击。

可以看出,滑动窗口越大,检出率越高。这是因为滑动窗口越大,越低的条件熵序列滑动窗口中发现。条件熵的减少表明,序列的不确定性在滑动窗口越小,检测和序列与小的不确定性是方便马尔可夫模型的过程。早期预警模型假定未来系统的演化与过去无关已知状态的系统。攻击是利用漏洞,系统在一定条件下是固定的,和攻击过程过渡过程有限数量的州之一,这对整个攻击过程是稳定的。相关的计算复杂度是线性滑动窗口大小,计算复杂度增加与滑动窗口长度的增加,所以滑动窗口长度必须有一个合适的值空间。图5显示了检出率当启用自适应滑动窗口检测功能。


图5
检出率当启用自适应滑动窗口检测功能。

可以看出检出率可保持在高水平时,自适应滑动窗口检测功能启用。它不仅确保了入侵检测系统的检测率高,而且还保证了检测系统的实时性能。实验计算得到的局部最优的概率模型训练在给定数量的隐状态。当地的概率就越大,更精确的模型。当地的概率越小,模型的精度越低。表2展示了当地的最优概率值观测长度是40。

表2
当地的最优概率值观测长度是40。

网络攻击者的攻击时,可以使用不同的攻击方法来达到相同的攻击意图,和每个不同的攻击方法将触发生成不同的入侵检测系统报警信息。不同的报警信息可能对应于相同的攻击状态和攻击意图,和这些报警信息集对应于相同的攻击意图被称为模型的观测值。图6显示了预警模型的检出率在实际的网络环境。


图6
检出率的预警模型在实际的网络环境。

从图可以看出6这个模型的攻击检测率保持在90%以上,可以满足日常的需要网络攻击检测。程序的执行状态是不可见的,但人们可以观察与某种状态相关的系统调用。可以看出,行为过程具有马尔科夫过程的特点。基于系统调用的异常检测试图建立正常模型的流程行为通过观察系统调用序列,然后推断出当前系统调用序列的可能性来自于这个模型。教育网络预警机制的准确性本文图所示7


图7
比较准确的预警机制的教育网络。

为了验证的可靠性和实用性教育网络预警机制,本章比较了这种机制与其他早期预警机制。实验结果表明,教育网络预警机制的准确性高达95.02%,这是高于9.87%的传统预警机制。摘要马尔可夫模型应用到大学教育网络的预警机制,并取得了较好的效果。

5。结论

建设校园和教学计划的增长都是顺利教育网络系统如何运作的关键因素在高等学校。这项研究表明一个马尔可夫模型预警机制为大学教育网络,以解决当前的网络安全风险。模型同时考虑网络攻击的可能性和一台机器上的脆弱性。攻击行为,潜在的路线,和安全状态改变所带来的攻击者入侵网络识别和评估潜在威胁的位置使用生成的攻击状态图和最初的风险值。此外,带来的直接和间接风险相关性是用来测量节点的安全风险。目标网络的整体安全风险量化后考虑网络中每个节点的重要性,结合这些信息与每个节点的安全风险。模型的初始参数矩阵摘要限制在训练之前,这也增加了培训时间效率。此外,相比传统的预警机制的准确性为9.87%,实验结果证明本文的教育网络预警机制的准确性高达95.02%。大学教育的早期预警系统网络应用马尔可夫模型,并取得了积极成果。早期预警系统研究的大学教育网络,它有一定的参考价值。 Although this research has certain value and achievements, there are still some shortcomings. This paper only does a little work on the application of Markov model in anomaly detection. This is far from enough for the application of anomaly detection in practice. In the future, more research work is needed to achieve this goal.

数据可用性

使用的数据来支持本研究的发现可以从作者要求。

的利益冲突

作者没有任何可能的利益冲突。