用户行为模式-基于签名的入侵检测

扎基亚巴努·马利克，

布尚·特里维迪

阿克西塔·沙阿

计算机技术学院，计算机技术学院，罗瓦拉计算机中心，

GLS大学，

GLS大学，

古吉拉特邦大学，

艾哈迈达巴德，古吉拉特邦，印度，

艾哈迈达巴德，古吉拉特邦，印度，

艾哈迈达巴德，古吉拉特邦，印度

zakiya.malek@glsuniversity.ac.in

bhushan.trivedi@glsuniversity.ac.in

axitashah@gmail.com

关键词-入侵检测，基于模式的入侵检测，使用统计的入侵检测

，1752'8&7,21

入侵检测 （ID） 是识别系统或网络中授权或未经授权的用户行为的安全机制之一。未经授权的用户被称为入侵者，它可能是内部人员或外部人员[7]。入侵检测系统（IDS）的模型有两种类型：异常辅助和滥用签名辅助。在这两者中，误用检测检测可检测已知攻击，异常辅助工具可通过行为偏差来识别攻击。

基于观察者授权行为，开发了一种基于用户未经授权行为的入侵检测系统[9]。用户行为的偏差被视为入侵

为了识别 LQWUXVLYHEHKDYLRUXVHUDFWLYLW\ORJDQGXVHU¶VFXUUHQW 活动被输入到入侵检测系统。研究人员开发的新技术可以观察和检测用户的当前位置，如果用户的当前状态与存储的配置文件之间存在差异，则会生成警报[10]。

图1 IDS的种类

基于签名的 IDS 为已知模式提供高真阳性率。它重量轻且易于实施。检测到的模式也称为签名。基于签名的IDS将模式存储在数据库中，并将用户当前活动与存储的模式进行比较，以检测授权用户或未经授权的用户，因此它只是检测已知模式。我们提出了基于特征特征的基于用户行为的入侵检测方法，采用模式匹配技术。

在本文第2节中，第3节讨论了入侵检测的概念 - 模式辅助工具，用户行为辅助工具和签名特定行为。鉴于所提出的系统XVHVDXWKRUL]HGXVHU¶VUXOHVWRGHWHFWLQWUXVLRQ，第4节讨论了我们提出的模型，并使用jess实现，第5节总结了拟议的研究，并在未来进行了领先的研究改进。

/，7（5$785（5（9，（：

入侵检测系统的模式或特征检测是基于规则的技术。这样的系统是

978-1-7281-6823-4/20/$31.00 c©2020 IEEE

授权许可使用仅限于：奥克兰理工大学。于 2020 年 10 月 26 日 06：34：02 UTC 从 IEEE Xplore 下载。有限制条件。

建立在许多条件的 if-then 规则之上，用于检测它们。 系统将当前上下文信息与给定的规则列表进行匹配。如果规则匹配，系统允许继续访问，否则规则匹配中的任何违规行为都会导致 ID。 规则是通过分析所有可能的入侵或专家的任何恶意活动，然后将它们转换为条件规则来开发或创建的，这些规则稍后被 IDS 的推理模块用于与日志（监控数据）进行比较，以识别任何类型的入侵。[10]中的研究人员已经实施了一种解决方案，通过时间序列和马尔可夫链统计技术，根据用户活动来识别未经授权的用户。Haystack [11] 发展了一个概述框架，用于识别恶意使用、泄漏、假装攻击、拒绝服务、试图 XQDXWKRUL]HG XVHU¶V EUHDN-ins，以及用于检测入侵的 ID 访问控制。Forrest [12] 通过偏离基于呼叫命令分析的正常配置文件的序列来识别攻击。

[1][2] 中基于规则的系统对于预定义的签名发现已知攻击非常有用。以下是基于规则的系统 NIDES（下一代入侵检测专家系统）[5]、IDES（入侵检测专家系统）[4] 和 MIDAS（Multitics 入侵检测和警报系统）[3] 的示例。

该规则提供了一种机制来识别它是授权的还是未经授权的。规则相对容易创建和理解。一般由专家设计或系统生成。规则应用于用户行为日志，以确定用户正在进行的活动是否具有侵入性。为此，需要一套庞大的规则，涵盖授权和未经授权的用户活动的各个方面。基于签名的IDS正在寻找已知的恶意活动模式，给定的规则集是它们的优势[6]。

规则以两种方式设计，一种是由专家生成的，另一种是由系统自动生成的，并重复应用于收集的事实[2]。每当触发规则时，它都会向系统管理员生成警报或自动执行某些操作，例如阻止用户或终止会话等，这将执行，直到触发所有规则。[7] 终止会话的警报，阻止触发规则时生成的用户帐户。最初，该研究基于统计分析[13]，但不适用于大型数据集。因此，在现有系统中提出了许多问题。为了解决现有问题，需要一种新的系统，该系统使用组合混合方法增强签名辅助 IDS 的结果。

3. 使用用户行为进行基于规则/模式的入侵检测

有几种技术可用于识别入侵。但是，仍然有一些挑战需要过度劳累。现有系统无法准确区分授权和未经授权的行为。有时，当系统将普通用户解释为入侵者时，系统会生成误报。 通过观察 XVHU¶V 活动日志，可以提高入侵检测系统的性能，通过清楚地区分 XVHUμV 正常和异常活动，从而减少误报。

为了区分正常和异常的用户行为，我们识别用户参数并构建用户的初始行为正常/通常配置文件。此配置文件不是恒定的，可能会根据系统的使用情况（用户行为的变化）而变化。在基于规则的研究中，它涉及规则，规则要么由系统设计，要么由专家给出。这些规则将应用于收集的用户行为详细信息。规则存储在规则引擎中。用户行为细节由用户行为日志组成，而规则则由if-then语句组成，人类很容易理解，通过将这些规则应用于用户行为细节，它可以很容易地识别出它在哪里是侵入性的。如果规则被触发，则系统会报告阻止用户的帐户，或者可能会发出警报进行通知。

下图 2 显示了基于规则的方案。

图 2.基于规则的方案

4. 建议的模型

D *HQHUDWHGDWDVHW E *HQHUDWHUXOHXVLQJ-HVV F

（YDOXDWHPRGHODQGUHVXOW

2020 第四届系统、安全和可持续发展智能趋势世界大会 （WorldS4）

授权许可使用仅限于：奥克兰理工大学。于 2020 年 10 月 26 日 06：34：02 UTC 从 IEEE Xplore 下载。有限制条件。

G $OHUW JHQHUDWLRQ EDVHG RQ $XWKRUL]HG DQG 8QDXWKRUL]HGXVHU 

A. 基于模式的入侵检测引擎 [PIDE]

图 3.基于模式的入侵检测引擎 [PIDE] 模型

图 3 指定了 PIDE 模型的流程。这

A[shu surilogov dxukrul]hag dkg xkdxkruul]hag svu¶v

规则。我们的引擎将用户的当前行为与专家指定的规则相匹配。如果当前活动满足授权用户的规则，则系统会生成警报，指出用户是入侵者并阻止用户，否则它将更新用户的配置文件。

B. 实验与结果

我们使用了Zakiya[14]的用户配置文件数据集，其中包含键盘、鼠标、正在运行的应用程序、处理器使用情况等不同的参数，Zakiya[14]开发了一个统计引擎，该引擎对不同用户的数据集和具有不同特征的测试用例应用逻辑回归和统计均值。为了继续工作，我们指派了一名专家。现在，专家知道正常的用户行为，因此，专家在基于模式的入侵检测引擎PIDE中提供了规则。在这里，我们使用 JESS 来提供规则。下图 4 显示了 JESS 规则文件。基于规则的检测收集各种数据，以识别授权和未经授权的活动。规则的定义方式应确保在不干扰授权用户的情况下只注意到可疑活动。

͖ ƶƚŚŽƌŝnjĞĚƵƐĞƌ

; ĚĞĨƌƵůĞĂƵƚŚŽƌŝnjĞĚͲƵƐĞƌ ; ƵƐĞƌŶĂŵĞ΂hƐĞƌEĂŵĞссΗƐŶĞŚΗ΃Ϳ сх ; ƉƌŝŶƚŽƵƚƚΗǀĂůŝĚΗĐƌůĨͿͿ

͖hŶĂƵƚŚŽƌŝnjĞĚƵƐĞƌ

; ĚĞĨƌƵůĞƵŶĂƵƚŚŽƌŝnjĞĚͲƵƐĞƌ ; ƵƐĞƌŶĂŵĞ΂hƐĞƌEĂŵĞ͊сΗƐŶĞŚΗ΃Ϳ сх ; ƉƌŝŶƚŽƵƚƚΗŝŶǀĂůŝĚΗĐƌůĨͿͿ

͖ hŶĂƵƚŚŽƌŝnjĞĚtĞďƐŝƚĞŽƵŶƚĞƌ 

; ĚĞĨƌƵůĞƵŶĂƵƚŚŽƌŝnjĞĚͲǁĞďƐŝƚĞĐŽƵŶƚĞƌ ; ǁĞďƐŝƚĞĐŽƵŶƚĞƌ΂tĞďƐŝƚĞĐŽƵƚĞƌхϰϬ΃Ϳ сх ; ƉƌŝŶƚŽƵƚƚΗƵŶĂƵƚŚŽƌŝnjĞĚΗĐƌůĨͿͿ

͖ hŶĂƵƚŚŽƌŝnjĞĚ&ŝůĞŽƵŶƚĞƌ 

; ĚĞĨƌƵůĞƵŶĂƵƚŚŽƌŝnjĞĚͲĨŝůĞĐŽƵŶƚĞƌ ; ĨŝůĞĐŽƵŶƚĞƌ΂&ŝůĞĐŽƵŶƚĞƌхϮϯϬ΃Ϳ сх ; ƉƌŝŶƚŽƵƚƚΗƵŶĂƵƚŚŽƌŝnjĞĚΗĐƌůĨͿ Ϳ

图 4.Jess Rule 文件

实现 jess 规则后，我们生成了测试用例的结果，并将其与表 1 所示的 Zakiya[14] 测试结果进行了比较。正如Zakiya [14]所说，对于未经授权的用户，使用统计均值是好的，授权用户逻辑回归是好的。下表结果显示，PIDE提供了75%的准确率。

表1：统计引擎、模式JESS规则结果与实际结果的比较

基于用户日志

2020 第四届系统、安全和可持续发展智能趋势世界大会 （WorldS4）

授权许可使用仅限于：奥克兰理工大学。于 2020 年 10 月 26 日 06：34：02 UTC 从 IEEE Xplore 下载。有限制条件。

在这里，在下表 2 中，与之前的结果 [14] 相比，基于 Proposed Pattern 的技术在未经授权的用户识别方面显示出 100% 的准确率，在混淆矩阵中显示的授权用户的比例为 5：4。

表2：混淆矩阵

授权

未经 授权

授权

未经 授权

5. 结论和未来的改进

Rule based detection involves the use of a specific set of rules for identifying known patterns hence, there are so many benefits of pattern rule based system but still LVQ¶WJLYHUHVXOWDVXQDYDLODELOLW\RIa systematic approach to build an accurate rule based system.我们提出的基于模式的技术在识别未经授权的用户方面效果很好。

一般来说，基于规则的系统是根据以前的经验、专家意见、直觉以及有时进行不同的实验来设计的

由于存储库中指定的大量规则之间存在逻辑连接，因此一个规则也可能与另一个规则相互关联。观察个人规则如何与整个系统一起工作也非常困难。因此，这将导致错误的结果。另一件事是，如果明确定义了模式，那么它易于使用并且误报率低，但它需要对入侵模式有特定的了解，并且无法检测到未知/新模式。

为了克服上述问题，我们分析了仅基于签名的入侵检测无法达到有效的结果。因此，我们必须将基于异常的入侵检测的概念应用于存在一次。作为未来研究的一部分，我们将尝试使用机器学习方法，通过将异常辅助入侵检测与签名辅助入侵检测相结合来实现低误报。

引用

Maithili Arjunwadakr，R.V.（迈蒂利·阿琼瓦达克，R.V.） Kulkarni“生物识别系统基于规则的入侵检测和防御模型”，《计算与信息科学新兴趋势杂志》，2010 年 10 月

Todd Vollmer， Jim Alves-）RVV0LORV 0DQLF³$XWRQRPRXV UXOHFUHDWLRQIRULQWUXVLRQGHWHFWLRQ'，（（（（6\PSRVLXP on Computational Intelligence in Cyber Security

M. Sebring、E. Shellhouse、M. Hanna 和 R. Whitehurst，“入侵检测中的专家系统：案例研究”，第 11 届全国计算机安全会议论文集，1988 年，第 74±81 页

T. Lunt、R. Jagannathan、R. Lee、S. Listgarten、D. Eclwards、P. Neumann、H. Javitz 和 A. Valdes，“IDES：增强原型。实时入侵检测系统“，技术报告，SRI Project 4 185-010 技术报告，SRI-CSL-88,1988 年

D. Anderson、T. Lunt、H. Javitz、A. Tamaru 和 A. Valdes，“使用下一代入侵检测专家系统 （NIDES） 的统计组件检测异常程序行为”，SRI International 计算机科学实验室，加利福尼亚州门洛帕克技术报告 SRI-CSL-9506。

V. K. Kankanala，“基于 Web 的网络入侵检测系统”，德克萨斯 A&M 大学，科珀斯克里斯蒂斯，研究生项目技术报告，2006 年。

Zakiya Malek， Bhushan Trivedi，“基于规则的用户行为入侵检测模型”，International Journal of Advanced Research in Computer Science and Software ngineering，第 5 卷，第 12 期，2015 年 12 月

Z. Malek 和 B. Trivedi，“基于 GUI 的用户行为入侵检测”，2017 年 IEEE 电力、控制、信号和仪表工程国际会议 （ICPCSI），钦奈，2017 年，第 1 页。 2050-2055.doi： 10.1109/ICPCSI.2017.8392076

Tomas D. Gravey、Teresa F. Lunt，“基于模型的入侵检测”，第 14 届全国计算机安全会议，华盛顿特区，1991 年 10 月。

丹宁，D.E.。入侵检测模型，IEEE Transactions on Software Engineering，CA，。IEEE计算机学会出版社;1987.

帕查，A. 和帕克，JM异常检测技术概述：现有解决方案和最新技术趋势。计算机网络， 51（12）;2007;邮编：3448±3470

Forrest， S.， Hofmeyr， SA， Somayaji， A. 和 Longstaff， TAA Sense of Self for Unix Processes，IEEE 安全与隐私研究研讨会，美国加利福尼亚州奥克兰，1996 年;120--128.

13.Manikopoulos， C. 和 Papavassiliou， S. 网络入侵和故障检测：一种统计异常方法。IEEE通信杂志，40（10）;2002年：76±82.

S. Malek，Zakiyabanu和Trivedi，Bhushan和Shah，Axita。（2019）. 使用统计技术进行基于用户行为的入侵检测：第二届国际会议，ICAICR 2018，印度西姆拉，2018 年 7 月 14±15 日，修订的精选论文，第二部分。10.1007/978-981-13-3143-5_39.

2020 第四届系统、安全和可持续发展智能趋势世界大会 （WorldS4）

授权许可使用仅限于：奥克兰理工大学。于 2020 年 10 月 26 日 06：34：02 UTC 从 IEEE Xplore 下载。有限制条件。