摘  要：為了提高入侵檢測系統(tǒng)檢測的實(shí)時(shí)性，提出了一種基于智能流量預(yù)測的入侵檢測方法。該方法擬合了智能Agent的智能性、自主性和自適應(yīng)性的優(yōu)點(diǎn)以及灰色預(yù)測對不確定資源的科學(xué)預(yù)測的優(yōu)點(diǎn)，用流量預(yù)測智能Agent預(yù)測得到的流量序列來代替未來一段時(shí)間段內(nèi)的實(shí)際流量，并把這個預(yù)測序列作為檢測對象集的一部分。然后用人工方法模擬了流量處理Agent與預(yù)測智能Agent的活動，并通過對實(shí)際的采集數(shù)據(jù)進(jìn)行仿真，實(shí)驗(yàn)證明了預(yù)測智能Agent的預(yù)測活動的科學(xué)性。
關(guān)鍵詞：灰色預(yù)測；小波變換；數(shù)據(jù)處理智能Agent；預(yù)測智能Agent

　由于分布式入侵檢測系統(tǒng)和被監(jiān)聽流量的分布性，將智能Agent引入到網(wǎng)絡(luò)流量預(yù)測單元，可以增強(qiáng)系統(tǒng)的智能性、自主性和自適應(yīng)性[1-2]。且網(wǎng)絡(luò)流量的預(yù)測是入侵檢測系統(tǒng)預(yù)警機(jī)制的基礎(chǔ)，當(dāng)有大流量沖擊時(shí)，即攻擊者向被保護(hù)網(wǎng)絡(luò)發(fā)送大量的數(shù)據(jù)，超過NIDS的處理能力，將會發(fā)生丟包的情況，從而可能導(dǎo)致入侵行為漏報(bào)。為此，在IDS中增加智能網(wǎng)流預(yù)測處理功能，即將預(yù)測處理后所得數(shù)據(jù)傳送到IDS的智能決策器，智能決策器根據(jù)事先設(shè)定的規(guī)則來判斷是否有入侵即將發(fā)生，進(jìn)而降低入侵行為漏報(bào)率。分布式入侵檢測系統(tǒng)(DIDS)雖然利用分布計(jì)算技術(shù)克服了集中處理問題的缺點(diǎn)，但是還不能消除從收集攻擊信息到發(fā)出響應(yīng)這一段時(shí)延對系統(tǒng)實(shí)時(shí)性所帶來的不良影響。
　正是基于以上原因，本文將智能Agent和基于灰色小波的網(wǎng)絡(luò)流量組合預(yù)測[3-4]方法引入到分布式入侵檢測系統(tǒng)，提出了基于智能流量預(yù)測的入侵檢測方法。
1 入侵檢測中的智能Agent
　由于網(wǎng)絡(luò)流量時(shí)間序列逐漸呈現(xiàn)出非線性和多尺度變換的特性，加之受到多種復(fù)雜隨機(jī)因素的影響，加劇了網(wǎng)絡(luò)流量行為的復(fù)雜多變。如果以非平穩(wěn)性的流量序列作為初始訓(xùn)練輸入可以降低模型的訓(xùn)練精度和延長訓(xùn)練周期，但非平穩(wěn)的流量序列經(jīng)小波變換后將被分解成為若干個平穩(wěn)性較好的分量[5-8]，灰色資源預(yù)測就是對不確定資源的預(yù)測[9-10]，其能夠從系統(tǒng)的一個或幾個離散數(shù)列中找出系統(tǒng)的變化關(guān)系，建立系統(tǒng)的連續(xù)變化關(guān)系。所以本設(shè)計(jì)中數(shù)據(jù)處理智能Agent采用了小波技術(shù)，而預(yù)測智能Agent采用了灰色預(yù)測方法。
1.1 數(shù)據(jù)處理智能Agent
　數(shù)據(jù)處理智能Agent的工作是預(yù)測前對原始流量的處理，以平穩(wěn)化數(shù)據(jù)。具體工作如下：
　(1)平穩(wěn)化原始流量序列，即用Mallat算法對{x(k)}進(jìn)行小波分解，并且對分解過程中各層產(chǎn)生的分量序列分別進(jìn)行重構(gòu)，便可得到某層的計(jì)算信號量x：

1.3智能流量預(yù)測單元涉及的因素
   智能流量預(yù)測單元各類型的智能Agent所涉及的因素如表1所示。

2 智能預(yù)測預(yù)報(bào)模塊總體構(gòu)架
　在智能預(yù)測預(yù)報(bào)模塊中，由信息搜集智能Agent、數(shù)據(jù)處理智能Agent、預(yù)測智能Agent、數(shù)據(jù)分析智能Agent、決策智能Agent五種類型的智能Agent相互協(xié)作，共同完成對網(wǎng)絡(luò)流量的預(yù)測。智能預(yù)測預(yù)報(bào)模塊的總框架如圖1所示。

3 基于流量預(yù)測預(yù)報(bào)的入侵檢測模型的構(gòu)建
　本模型由流量分析機(jī)制、流量預(yù)測預(yù)報(bào)、數(shù)據(jù)庫(database)和決策模塊組成，其結(jié)構(gòu)如圖2所示。

　各部分功能說明如下：
　(1)流量分析機(jī)制：其功能類似于普通的入侵檢測系統(tǒng)功能，具有四級響應(yīng)機(jī)制，只是檢測對象有所不同，其檢測對象不僅包含原始流量序列，還包含基于原始流量預(yù)測得到的預(yù)測序列。
　(2)流量預(yù)測預(yù)報(bào)模塊：本模塊設(shè)計(jì)的目的為彌補(bǔ)檢測捕捉數(shù)據(jù)實(shí)時(shí)性的不足與單點(diǎn)失效(將信息捕獲、預(yù)處理和簡單的分析判斷分散在各個探測節(jié)點(diǎn)上進(jìn)行，極大地提高了入侵檢測的效率，但由于所有探測節(jié)點(diǎn)需要以中央處理器為核心協(xié)同工作，容易出現(xiàn)單點(diǎn)失效的問題)。其主要思想是利用小波技術(shù)與數(shù)據(jù)平移對原始流量序列進(jìn)行處理，然后進(jìn)行較為精確的組合預(yù)測，并將此預(yù)測序列(代替未來某一段時(shí)間內(nèi)的流量序列)與前面提及的原始流量序列共同作為檢測對象。需要強(qiáng)調(diào)的是，基于分布入侵檢測系統(tǒng)的數(shù)據(jù)捕獲與處理機(jī)制——在網(wǎng)絡(luò)中的相關(guān)位置安裝探測節(jié)點(diǎn)，按照一定的規(guī)則捕獲原始信息，進(jìn)行簡單預(yù)處理和分析判斷，再統(tǒng)一提交給中央處理器，由中央處理器進(jìn)行檢測判斷。
　(3)數(shù)據(jù)庫：由檢測對象集(原始流量序列與基于原始流量預(yù)測得到的預(yù)測序列的合集)、特征集兩部分組成。需要強(qiáng)調(diào)的是特征集也是可變的，隨著對新型入侵的深入學(xué)習(xí)與識別，其值不斷變大。
   (4)決策模塊：根據(jù)流量預(yù)測送來的預(yù)測值與事先設(shè)定的預(yù)警觸發(fā)閾值決定是否進(jìn)行入侵預(yù)警。
　4 人工辦法對流量預(yù)測智能Agent采用的技術(shù)及方法進(jìn)行仿真實(shí)驗(yàn)
從上面設(shè)計(jì)的入侵檢測系統(tǒng)模型可得出：如果預(yù)測流量能夠準(zhǔn)確地替代原始流量，那么本設(shè)計(jì)將會改善入侵檢測系統(tǒng)的時(shí)延性。為此，有必要對流量處理智能Agent與流量預(yù)測智能Agent采用的技術(shù)及方法的科學(xué)性進(jìn)行論證。
4.1 數(shù)據(jù)處理
　按照數(shù)據(jù)處理Agent與流量預(yù)測智能Agent構(gòu)建的算法，對實(shí)際的采集數(shù)據(jù)進(jìn)行仿真實(shí)驗(yàn)。
其中，作為信號數(shù)據(jù)S的網(wǎng)絡(luò)流量來源于參考文獻(xiàn)[15]，從2006年7月1日到7月11日，11天中的網(wǎng)絡(luò)每小時(shí)通過的流量，即264個實(shí)驗(yàn)數(shù)據(jù)，把這264個實(shí)驗(yàn)數(shù)據(jù)表述成了一個初始網(wǎng)絡(luò)流量時(shí)間序列{s(t)，t=1，2，…，264}，以前10天的數(shù)據(jù)共240個數(shù)據(jù)建立小波灰色無偏模型的信號輸入S，當(dāng)進(jìn)行預(yù)測檢驗(yàn)時(shí)，后24個數(shù)據(jù)與前面的240個數(shù)據(jù)共同作為信號輸入S[16-17]。
　由上面的信號分解程序?qū)π盘枖?shù)據(jù)S進(jìn)行多尺度分解[18]，可得到流量信號經(jīng)小波分解系數(shù)處理的序列為｛d1(k)，d2(k)，d3(k)，a3(k)｝，如圖3所示。

　需要指出的是：為了防止流量處理智能Agent在對原始流量處理的過程中對輸入數(shù)據(jù)的裁剪，在Matlab程序中，用4個“save′*.txt′*-ascii；”語句將分解的數(shù)據(jù)直接進(jìn)行保存。這樣保證了后續(xù)的平移處理的數(shù)據(jù)個數(shù)與原始網(wǎng)絡(luò)流量序列的長度是一樣的。
4.2 仿真效果分析
　針對以上信號數(shù)據(jù)S按照小波預(yù)測模型和組合模型對網(wǎng)絡(luò)流量序列預(yù)測分別進(jìn)行仿真，得到如圖4和圖5所示的預(yù)測效果。

　對比以上預(yù)測結(jié)果，充分表明該方法具有較好的預(yù)測效果，能夠較準(zhǔn)確地預(yù)測出下一時(shí)間段的網(wǎng)絡(luò)流量。
把預(yù)測智能Agent送來的預(yù)測序列值作為檢測對象集的一部分來實(shí)現(xiàn)對入侵的提前預(yù)警的方法，應(yīng)用到分布式入侵檢測領(lǐng)域，將會極大地改善現(xiàn)有分布式入侵檢測系統(tǒng)的時(shí)延性。
參考文獻(xiàn)
[1] 王帥．基于移動Agent的分布式網(wǎng)絡(luò)入侵免疫系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]．武漢：武漢大學(xué)，2004．
[2] 王汝傳，徐小龍，黃海平．智能Agent及其在信息網(wǎng)絡(luò)中的應(yīng)用[M]．北京：北京郵電大學(xué)出版社，2006．
[3] 劉淵．基于遞歸神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量組合預(yù)測模型[J]．計(jì)算機(jī)工程與設(shè)計(jì)，2008，29(3)：700-703．
[4] 陳華友．組合預(yù)測方法有效性理論及其應(yīng)用[M]．北京：科學(xué)出版社，2008．
[5] 呂林濤，李軍懷．時(shí)間序列模式及其預(yù)測模型算法應(yīng)用[J]．計(jì)算機(jī)工程，2004，17(4)：3-4．
[6] 楊曉波，胡黎偉．時(shí)間序列理論在電信行業(yè)預(yù)測決策系統(tǒng)中的應(yīng)用[J]．計(jì)算機(jī)工程與應(yīng)用，2004，28(4)：2-3．
[7] RETCARI G， CLINKLER T. Practical OSPF traffic engineering [J]． IEEE Communication Letters， 2004(11)： 689-691．
[8] BROCKWELL P J， DAVIS R A.時(shí)間序列的理論與方法[M]．北京：高等教育出版社，2001．
[9] 鄧聚龍．灰色數(shù)理資源科學(xué)導(dǎo)論[M]．武漢：華中科技大學(xué)出版社，2007．
[10] 劉思峰．灰色系統(tǒng)理論及應(yīng)用[M]．北京：科學(xué)出版社，2008．
[11] 洪飛，吳志美．基于小波的多尺度網(wǎng)絡(luò)流量預(yù)測模型[J]．計(jì)算機(jī)學(xué)報(bào)，2006，29(1)：166-170．
[12] 程光，龔儉，丁偉．基于小波的網(wǎng)絡(luò)流量分解模型[J]．小型微型計(jì)算機(jī)系統(tǒng)，2005，26(3)：400-401．
[13] 葛哲學(xué)．小波分析理論與MATLAB2007實(shí)現(xiàn)[M]．北京：電子工業(yè)出版社，2007．
[14] 趙洋．一種基于小波分析理論的灰色預(yù)測方法[J]．西南民族大學(xué)學(xué)報(bào)，2005，31(4)：448-501．
[15] 流量文庫.http：//newsfeed.ntcu.net/~news/2006/，2010-09-01.
[16] 陳淑燕．交通量的灰色神經(jīng)網(wǎng)絡(luò)預(yù)測方法[J]．東南大學(xué)學(xué)報(bào)：自然科學(xué)版，2004，34(4)：541-544．
[17] 鄭成興．網(wǎng)絡(luò)流量預(yù)測方法和實(shí)際預(yù)測分析[J]．計(jì)算機(jī)工程與應(yīng)用，2006(23)：129-130．
[18] QIAO Y， SKICEWICZ J， DINDAP. An empirical study of the multiscale predictability of network traffic[C]． IEEE Proceedings of High Performance Distributed Computing， 2003．