（无线电物理专业论文）基于事件强度的异常入侵检测技术研究.pdfVIP

兰州大学研究生学位论文 基于事件强度的异常入侵检测技术研究 论文摘要( 中文) 入侵检测技术是对防火墙技术、反病毒技术等静态安全策略的重要补 充，是一种动态策略，是网络安全的重要组成部分。它主要用于监视和捕 获针对计算机和网络系统的入侵，这些入侵企图破坏计算机和网络系统的 安全。为了保护信息系统免遭入侵和非法使用，确保系统的可靠性和服务 质量，对入侵检测技术的研究已非常必要。许多入侵有一个明显的特点， 县y j a 侵发生时发生在信息系统中事件的强度将会发生剧烈改变。由于控制 限度随时间变化的指数加权移去平均( e w m a ) 统计控制表格具有快速初 始化响应速度，劳且能够检测进程中变量的异常改变，因此，本文将控制 限度随时间变化的e w m a 统计控制技术用于入侵检测，以检测计算机系统 中事件强度的异常改变，并和系统中历史正常事件的强度进行对比，以此 判断入侵的发生。本文对此进行了模拟实验，实验结果表明，e w m a 统计 控制技术对那些入侵发生时，系统中事件强度发生剧烈改变的攻击，如d o s 攻击有比较好的检测能力。 关键词：异常检测；e w m a 统计；事件强度；d o s 攻击 h i ，兰型奎堂婴壅生兰堡垒塞 1 。_ _ r _ _ _ 。_ 。_ _ 。- h 1 _ 。_ - 1 - 1 - _ _ 。_ _ - 。_ 。1 1 。_ 。- - _ 。_ h 。_ - - _ _ _ 。1 。+ 一 s t u d y o f a n o m a l y i n t r u s i o nd e t e c t i o nt e c h n i q u eb a s e do ne v e n t si n t e n s i t y 论文摘要( 英文) a b s t r a c t i n t r u s i o nd e t e c t i o ni st h ei m p o r t a n tc o m p l e m e n to f t h ef i r e w a l la n da n t i v i r u s t e c h n i q u e sw h i c hb e l o n gt o s t a t i c s e c u r i t yp o l i c y i t i so n eo ft h ed y n a m i c s e c u r i t yp o l i c i e sa n dt h ei m p o r t a n tc o m p o n e n t o fn e t w o r ks e c u r i t y i ti su s e dt o m o n i t o ra n dc a p t u r ei n t r u s i o n si n t o c o m p u t e r a n dn e t w o r ks y s t e m s ，w h i c h a t t e m p t t o c o m p r o m i s et h es e c u r i t y o fc o m p u t e ra n dn e t w o r ks y s t e m s t o p r o t e c ti n f o r m a t i o ns y s t e mf r o mi n t r u s i o n s a n dt h u sa s s u r et h er e l i a b i l i t ya n d q u a l i t y o fs e r v i c e so fi n f o r m a t i o ns y s t e m s ，i ti sh i 曲l yd e s i r a b l et o d e v e l o p i n t r u s i o nd e t e c t i o nt e c h n i q u e s b e c a u s eo ft h ee x p o n e n t i a l l yw e i g h tm o v i n g a v e r a g e ( e w m a ) c o n t r o lc h a r t sw i t ht i m e v a r y i n gc o n t r o ll i m i t sn o to n l yh a v e t h ef a s ti n i t i a l r e s p o n s ef e a t u r e ；b u t a l s oc a l ld e t e c tt h ev a r i a b l ea n o m a l o u s c h a n g e i nt h e p r o c e s s e s i n t h i s p a p e r , w ea p p l ye w m a s t a t i s t i c a lc o n t r o l t e c h n i q u e t od e t e c ta n o m a l o u s c h a n g e s i nt h ee v e n t s i n t e n s i t y f o ri n t r u s i o n d e t e c t i o n c o m p a r et h ei n t e n s i t yo f a n o m a l o u se v e n t sw i t ht h a to fn o r m a le v e n t s i nt h ei n f o r m a t i o ns y s t e m s ，t h u sw ec a nj u d g ew h e t h e rt h e r ei sa na t t a c k w e h a v em a d eas i m u l a n t e x p e r i m e n t ，r e s u l ts h o w s t h a te w m ac o n t r o lc h a r t sw i t h t i m e - v a r y i n gc o n t r o ll i m i t sh a v eg o o dd e t e c t i o na b i l i t yt ot h o s ea t t a c k sw h i c h e v e n t si n t e n s i t yi nt h ei n f o r m a t i o ns y s t e mc h a n g e sd r a m a t i c a l l ys u c ha sd o s a t t a c k s k e yw o r d s ：a n o m a l yd e t e c t i o n ；e w m as t a t i s t i c a l ；e v e n t si n t e n s i t y ；d o s a t t a c k s i v 原刨性声明 y 7 3 2 0 专9 本人郑重声明：本人所呈交的学位论文，是在导师的指导下独立进行 研究所取得的成果。学位论文中凡引用他人已经发表或未发表的成果、数据、观点 等，均已明确注明出处。除文中已经注明引用的内容外，不包含任何其他个人 或集体已经发表或撰写过的科研成果。对本文的研究成果做出重要贡献的 个人和集体，均已在文中以明确方式标明。 本声明的法律责任由本人承担。 论文作者签冬! 绉墼日期：鲨：! ：丝5 关于学位论文使用授权的声明 本人在导师指导下所完成的论文及相关的职务作品，知识产权归属兰州 大学。本人完全了解兰州大学有关保存、使用学位论文的规定，同意学校 保存或向国家有关部门或机构送交论文的纸质版和电子版，允许论文被查 阅和借阅；本人授权兰州大学可以将本学位论文的全部或部分内容编入有 关数据库进行检索，可以采用任何复制手段保存和汇编本学位论文。本人 离校后发表、使用学位论文或与该论文直接相关的学术论文或成果时，第 一署名单位仍然为兰州大学。 保密论文在解密后应遵守此规定。 论文作者签名：导师签名：盔塑坚日导师签名：煎塑坠日期：刎f f 8 缈 兰州大学研究生学位论文 l 引言 高速发展的计算机技术不断普及的计算机应用，以及快速更新的刚络技术和通信 技术的结合，极大的推动了互联网在中国乃至整个世界的飞速发展。i n t e r n e t 目前已经 成为全球信息基础设施的骨干网络，w w w 、f t p 、e m a i l 等网络服务已经深入人们的 日常生活，并逐渐成为电子商务、电子政务的基础服务平台。中国互联网络信息中心 ( c n n i c ) 于2 0 0 3 年7 月发布了第1 2 次中国互联网络发展状况统计报告。报告显 示，截止到2 0 0 3 年6 月3 0 日，我国上网计算机约2 5 7 2 万台，网民总数已经达到6 8 0 0 万人，国际线路总容量为1 8 5 9 9 m 。互联网在中国已经进入高速发展期，为人们的生活 和信息交流提供了极大的便利。但是，在现实生活中，便利性和安全性始终是一对矛盾， 网络环境中也同样如此。i n t e m e t 本身所具有的开放性和共享性对信息的安全问题提出 了严峻的挑战。 由于系统安全脆弱性的客观存在，操作系统、应用软件、硬件设备不可避免地会存 在一些安全漏洞，网络协议本身的设计也存在一些安全隐患，这些都为黑客的入侵和瘸 毒的传播创造了条件。据统计，在i n t e m e t 上的黑客攻击事件正以每年1 0 倍的速度在增 长，计算机病毒从1 9 8 8 年发现首例以来，增长的速度里几何级数，仅1 9 9 5 年。入侵美 国国防部计算机网络的事件就多达2 5 万次，其中6 5 获得了成功，欧美缚国的金融机 构的计算机网络被入侵的比例高达7 7 。我国近几年来计算机犯罪也以3 0 的速度在增 长，据有关部门统计，国内9 0 以上的电子商务网站存在严重的安全漏洞1 9 9 9 年公 安部对8 个部委的计算机系统进行检测，发现存在安全漏洞的8 4 6 个，对银行证券系统 的1 5 4 6 个营业部门2 3 万台计算机检测中发现全部有安全漏洞，网络的安全问题正面临 着日益严重的威胁。 随着信息网络化的不断发展，信息安全的概念也在不断深化、延拓。从二，钱后军方、 政府专享的通信保密，发展到2 0 世纪7 0 年代的数据保护，9 0 年代的信息安全直至当今 的信息保障，安全的概念已经不局限于信息的保护，人们需要对整个信息系统的保护和 防御，包括对信息的保护、检测、反应和恢复能力等。 目前常用的信息安全技术主要有以下几种：物理安全，防火墙技术，信息加密技术， 漏洞扫描技术，访问控制技术，病毒防治技术等。目前市场上的大多数安全产品属于静 态安全技术的范畴，静态安全技术对防止系统非法入侵起到了一定作用。但从安全管理 的角度来讲，仅有防御是不够的，还应采用动态安全策略。入侵检测就是- - , p 动态策略， 兰州大学研究生学位论文 是静态安全策略的补充，它不仅可以通过监测网络和主机实现对内部攻击、外部攻击和 误操作的实时保护，有效地弥补防火墙的不足，而且还能结合其它网络安全产品，对网 络安全进行全方位的保护，具有主动性和实时性的特点。它能够根据用户的历史行为， 基于用户的当前操作来完成对攻击的检测，并留下攻击证据，为数据恢复和事故处理提 供依据。入侵检测系统( i d s ) 一般是采取预防的措旖，以防止入侵事件的发生，作为安全 保障技术，其作用在于： ( 1 ) 识别入侵者： ( 2 ) 识别入侵行为： ( 3 ) 检测和监视已成功的安全突破： ( 4 ) 为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大； 因此入侵检测技术是网络安全非常重要的组成部分，扮演着数字空问“预警机”的 角色，已成为当前网络安全研究的一个热点。 2 入侵检测系统概述 2 1 入侵检测技术的历史发展 刘入侵检测的研究最早可追溯到2 0 世纪8 0 年代，但受到重视和快速发展还是在互 联网兴起之后，按时间顺序，入侵检测技术的研究和发展历史概况如下川 1 9 8 0 年j a m e sa d e r s o n 将入侵划分为外部闯入、内部授权用户的越权使用和滥用三 种类型，并提出用审计追踪来监视入侵威胁。 1 9 8 7 年d e n n i n g 提出了一个经典的入侵检测模型，首次将入侵检测的概念作为一 种为计算机系统的安全防御措施提出。 1 9 8 8 年t e r e s al u n t 等人改进了d e n n i n g 提出的入侵检测模型，并创建了 i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，提出了与平台无关的实时检测思想。 1 9 9 0 年，h e b e r l e i n 等提出新概念：基于网络的入侵监测n s m ( n e t w o r ks e c u r i t y m o n i t o r ) ，从此，入侵检测被分为两个基本类型：基于主机的和基于网络的。 1 9 9 1 年，n a d i r ( n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t ) 与d i d s ( d i s t r i b u t e i n t r u s i o nd e t e c t i o n s y s t e m ) 提出了收集和合并来自多个主机的审计信息，来检测针对一系 列主机的协同攻击。 1 9 9 4 年，m a r kc r o s b i e 和g e n e s p a f f o r d 建议在d s 中使用自治代理a s ( a u t o n o m o u s a g e n t s ) 来提高入侵检测系统的可伸缩性、可维护性、效率和容错性。 2 兰州大学研究生学位论文 1 9 9 5 年，d e s 的完善版本n d e s ( n e x t g e n e r a t i o n i n t r u s i o nd e t e c t i o ns y s t e m ) 实现了w 以检测多个主机的入侵。 1 9 9 8 年，w l e e 提出和实现了在通用入侵检测框架c 1 d f ( c o m m o n i n t r u s i o n d e t e c t i o nf r a m e w o r k ) 上实现多级入侵检测，并运用数据挖掘技术对审计数据进行处理。 近来，c h e u n g - s t e v e n 等人又提出了入侵容忍( i n t r u s i o nt o l e r a n c e ) 的概念，在入侵检 测系统中引入了容错技术。 2 2 入侵检测概念、系统模型及其组成部分 入侵检钡l j c i n t r u s i o nd e t e c t i o n ) 是指通过对计算机网络或计算机系统中的若干关键点 的信息进行收集分析，以识别针对计算机网络和计算机系统，或者说更广泛意义上的信息 系统的非法攻击。其中包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户 的超越其使用权限的非法活动。具有入侵检测功能的系统称为入侵检测系统，简称i d s 。 2 2 i 早期的入侵检测系统模型 最早的入侵检测模型由d d e n n i n 9 1 2 】提出，该模型主要根据主机系统的审计记录数据， 生成有关系统的若干轮廓，并监测轮廓的变化差异来发现系统的入侵行为，如图2 1 所示。 图2 1i d e s 入侵检测模型 d e n n i n g 的入侵检测模型主要包括探测器、分孝厅器和用户接口三个组成部分，与具 体系统、输入类型以及具体的入侵行为无关。 探测器主要负责收集数据。探测器的输入数据流包括任何可能包含入侵行为线索的 3 兰州大学研究生学位论文 系统数据，例如网络数据包、日志文件和系统调用记录等。探测器将这些数据收集起来， 然后发送到分析器进行处理。 分析器又称为检测引擎，它负责从一个或多个探测器处接收信息，并通过分析确定 是否发生了入侵活动。分析器组件的输出为标识入侵行为是否发生的指示信号，例如一 个警告信号。 用户接口使得用户易于观察系统的输出信号，并对系统行为进行控制。有时又称用 户接口为管理器、控制器。 2 2 2 通用入侵检测框架模型c t l ) f 随着入侵行为的种类不断增多，涉及的范围不断扩大，而且许多攻击是经过长时间精 心准备，并通过网上协作进行的。但是由于缺乏相应的通用标准，入侵检测系统的不同功 能组件之间、不同安全产品之间不能共享这类攻击信息、不能进行互操作，这大大妨碍 了入侵检测系统的发展。为此，美国国防部高级研究计划署( d a r p a ) 和互联网工程 任务组( i e t f ) 的入侵检测工作组( i d w g ) 发起制订了一系列建议草案，从体系结构、 应用程序接口( a p i ) 、通信机制、语言格式等方面规范i d s 的标准。这就是d a r p a 提 出的通用入侵检测框架c i d f 3 1 ，其基本模型架构如图2 2 所示。 事件来源 图2 2 通用入侵检测框架模型c 1 d f 4 兰卅大学研究生学位论文 c i d f 在入侵检测专家系统和下代入侵检测专家系统的基础上提出了一个通用模 型，将入侵测系统分为四个基本组件：事件产生器( e v e n tg e n e r a t o r s ) 、事件分析器( e v e n t a n a l y z e s ) 、响应单元( r e s p o n s e su n i t s ) 和事件数据库( e v e n td a t a ) 。 c i d f 模型将i d s 需要分析的数据统称为事件，它既可以是网络中的数据包，也可 以是从系统目志或其它途径得到的信息。事件产生器是从整个计算环境中获得的事件， 并向系统的其它部分提供事件。事件分析器分析所得到的数据，并产生分析结果。响应 单元对分析结果做出反应，如切断网络连接、改变文件属性、简单报警等应急响应。事 件数据库存放各种中间和最终数据，数据存放的形式既可以是复杂的数据库，也可以是 简单的文本文件。 f 1 ) 事件产生器。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件， 并将这些事件以c i d f 的标准格式传送给其它组件。 ( 2 ) 事件分析器。事件分析器负责分析从其它组件收到的统一入侵检测对象，并将 其所产生的分析结果传送给其它组件。分析器可以是一个基于统计模型的工具，检查现 在的事件是否满足先前所建立的正常事件模型；也可以是一个特征检测工具，用于在当 前事件序列中检查是否存在已知的滥用攻击特征。 ( 3 ) 事件数据库。事件数据库用来存储统一入侵检测对象，统一入侵检测对象是对 事件进行编码的标准通用格式。 ( 4 ) 响应单元。响应单元负责处理接收到的统一入侵检测对象，并据此采用相应的 措施，如杀死进程复位网络会话连接，以及修改文件权限等。 以上c i d f 模型中的四个组件代表的都是逻辑实体，其中任何的个组件可能是某 台计算机上的一个进程甚至线程也可能是多个计算机上的多个进程。四类组件之间以 g i d o s ( g e n e r a l i z e di n t r u s i o nd e t e c t i o no b j e c t s ) 通用入侵检测对象的形式交换数据，这种交 换形式通过一种c i l s ( c o m m o n i n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ) 目p 通用入侵规范语言定义 的标准格式来表示。c i d f 模型具有很强的扩展性，目前已经得到广泛认同。 2 3 入侵检测系统的体系结构 嘲络攻击与防护的对抗是一个长期复杂的过程，从长远的安全角度来考虑，一个设 计合理的体系结构将提高整个安全系统的自适应性和进化能力，纵观入侵检测技术的发 展历史，其体系结构主要有以下几种形式 ( 1 ) 集中式结构 5 兰州大学研究生学位论文 入侵检测系统的发展初期，入侵检测大都采用单一的体系结构，即所有的工作包括 数据的采集、分析都是由单一主机上的单一程序来完成，这种技术的优点是数据的集中 处理可以更加准确地分析可能的入侵行为，缺点是数据的集中处理便检测主机成了网络 安全的瓶颈，若它出现故障或受到攻击，则整个网络的安全将无从保障，此外这种方 式的数据采集对于大型网络很难实现。 目前一些所谓的分布式入侵检测系统只是在数据采集上实现了分布式，数据的分 析、入侵的发现和识别还是由单一程序来完成，集中式入侵检测系统的主要缺点是：可 扩展性差，在单一主机上处理所有的信息限制了受监视网络的规模，分布式的数据收集 常会引起网络数据过载问题。 ( 2 ) 分布式结构 随着入侵检测产品日益在规模庞大的企业中的应用，分布式技术也开始融入到入侵 检测产品中来，这种分布式结构采用多个代理在网络各部分分别进行入侵检测，并且协 同处理可能的入侵行为，其优点是：能够较好的实现数据的监听，可以检测内部和外部 的入侵行为，但是这种技术不能完全解决集中式入侵检测的缺点，因为当前的网络普通 采用分层的结构。而纯分布的入侵检测要求代理分布在同一个层次，若代理所处的层次 太低则无法检测针对网络上层的入侵，反之亦然。同时由于每个代理都没有对网络数 据的整体认识，所以无法准确地判断跨一定时间和空间的攻击容易受到l p 分段等针 对入侵榆测系统的攻击。 ( 3 ) 分层结构 由于单个主机资源的限制和攻击信息的分布，在针对高层次攻击( 如协同攻击) 上， 需要多个检测单元进行协同处理，而检测单元通常是智能代理a g e n t ，因此近来入侵检 测的体系结构开始考虑采用分层的结构来检测越来越复杂的入侵。 在分层体系结构中最底层的代理负责收集所有的基本信息，然后对这些信息进行 简单的处理，并完成简单的判断和处理，特点是所处理的数据量大、速度快、效率高， 中间层代理超承上启下的作用，方面可以接受并处理下层节点处理后的数据，一 方面可以进行较高层次的关联分析、判断和结果输出，并向高层节点报告。中间节点的 加入减轻了中央控制的负担，增强了系统的伸缩性。 最高层节点主要负责在整体上对各级节点进行管理和协调，此外，它还可以根据环 境的要求动态地调整节点层次关系图，实现系统的动态配置，如图2 3 示。 6 兰州大学研究生学位论文 图2 3 分层结构的入侵检测系统示意图 2 4 入侵检测系统的分类 2 4 1 基于主机的入侵检测系统和基于网络的入侵检测系统 从数据来源来看，入侵检测系统通常可以分为两类：基于主机的入侵检测系统和基 于网络的入侵检测系统【4 捌。 基于主机的入侵检测系统从主机的审计记录和日志文件中获得所需的主要数据来 源，并辅之以主机上的其他信息，例如文件系统属性，进程状态等，在此基础上完成对 检测攻击行为的任务。从技术发展的历程来看，入侵检测是从主机审计的基础上发展而 来的。随着网络环境的普及，出现了基予网络的入侵检测系统。基于网络的入侵检测系 统通过监听网络中的数据包来获得必要的数据来源，并通过协议分析、特征匹配、统计 分析等技术发现当前的攻击行为。 两种基本的入侵检测方法由于其采用的数据来源不同，而呈现不同的特点。基于主 机的入侵检测能够较为准确地监测到发生在主机系统高层的复杂攻击行为，例如对文件 系统所进行的具有潜在安全风险的访问操作序列、对系统配置的修改以及应用程序的异 常运行情况等等。基于网络的入侵检测系统能够实时监控网络中的数据流量，并发其中 潜在的攻击行为和做出迅速的响应。后来又出现了把基于主机和基于网络的入侵检测结 合起来的混合型入侵检测系统。其主要思想是采用分布式检测架构。 7 兰州大学研究生学位论文 2 4 2 滥用入侵检测系统和异常入侵检测系统 从数据分析的手段来看，入侵检测系统通常可分为两类：滥用( , u i s u s e ) a 侵检测系 统和异常( a n o m a l y ) a 侵检测系统。 滥用入侵检测是指分析各种类型的攻击手段，找出可能的攻击特征集合，然后利用 这些特征集合或是对应的规则集合，对当前的数据来源进行各种处理后再进行特征匹 配或者规则匹配，如果发现满足条件的匹配，则表示发生了一次入侵。 异常入侵检测系统是指对攻击行为的检测可以通过观察当前活动与系统历史正常 活动情况之间的差异来实现。异常入侵检测通常都会建立一个关于系统正常活动的状态 模型并不断更新，然后将用户当前的活动情况与这个正常模型进行对比，如果发现超过 了设定的阈值，则表示发生了入侵或异常。 2 5 入侵检测系统所采用的主要分析方法 2 5 1 滥用入侵检铡所采用的主要分析方法 滥用入侵检测的前提是，入侵行为能按某种方式进行特征编码。入侵检测的过程， 主要是模式匹配的过程。入侵特征描述了安全事件或其它误用事件的特征、条件、排列 和关系。特征构造方式有多种，因此滥用入侵检测的方法也有多种。目前常用的方法有 模式匹配、专家系统、状态转移、着色p e t r i 网等l t o q 5 】。 ( 1 ) 模式匹配 模式匹配是最为通用的滥用入侵检测技术，它拥有一个攻击模式数据库，如果当前 被榆测的数据与数据库中的某个模式相匹配，就认为发生了入侵。这种方法的特点是原 理简单，扩展性好，检测效率高，可以实时检测，但只能检测比较简单的攻击，并且误 报率高。s n o r t 入侵检测系统就采用了这种方法。 ( 2 ) 专家系统 专家系统是最早的滥用入侵检测方案之一，被许多入侵检测模型所使用。专家系统 的应用方式是：首先使用类似于i g t h e n 的规则格式输入已有的知识( 攻击模式) ，然后输 入检测数据( 审计事件记录) ，系统根据知识库中的内容对检测数据进行评估，判断是否 存在入侵行为模式。专家系统的优点在于把系统的推理控制过程和问题的最终解答相分 离，即用户不需要理解或干预专家系统内部的推理过程，而只需把专家系统看成一个黑 盒子。 ( 3 ) 状态迁移分析法 8 兰州大学研究生学位论文 状态转移法采用优化的模式匹配技术来处理滥用检测的问题，这种方法采用系统状 态和状态转移的表达式来描述已知的攻击模式。入侵过程是由一系列导致系统从初始状 态转移到入侵状态的行为组成。系统状态通常使用属性或者用户权限来描述，攻击者的 行为会导致系统状态的改变，当系统状态由正常状态改变为入侵状态时，即认为发生了 入侵。采用该方法的入侵检测系统有s t a t ( s t a l et r a n s i t i o na n a l y s i st e c h n i q u e ) 和 u s t a t ( s t a t e t r a n s i t i o nt o o lf o ru n i x ) 。 f 4 ) 着色p e t r i 网 另一种采用状态转移技术来优化滥用检测的方法是着色p e t r i 网。这种方法将入侵表 示成一个着色的p e t r i 网，特征匹配过程由标记( t o k e n ) 的动作构成。标记在审计记录的驱 动下，从初始状态向最终状态逐步前进，其颜色用来表示事件所处的系统环境。当标记出 现某种特定的颜色时，预示着目前的系统环境满足了特征匹配的条件，此时就意味着有 入侵发生，可以采取相应的响应动作。 ( 5 ) 基于条件概率的滥用入侵检测 幕于条件概率的滥用入侵检测，是指将入侵方式对应于一个事件序列，然后观测事 件发生的序列，应用贝叶斯定理进行推理，推测入侵行为。基于条件概率的滥用检测方 法，是基于概率论的一种通用方法。它是对贝叶斯方法的改进，其缺点是先验概率难以 给出，而且事件的独立性难以满足。 2 5 ，2 异常入侵检测目前所采用的主要方法 ( 1 ) 统计分析技术 统计分析技术为每一个系统用户和系统主体建立统计行为模式。所建立的模式被定 期的更新，以便及时反映用户行为随时间推移而产生的变化。检测系统维护一个由行为 模式组成的统计知识库，每个模式采用系列的系统度量( 如文件的访问、终端的使用、 c p u 的时间占用等等) 来表示特定用户的正常行为，当用户的行为偏离其花常的行为模 式时，就认为发生了入侵。本文基于e w m a 统计的分析方法即属于统计分析的方法。 ( 2 ) 神经网络 神经网络是人工智能的一项技术，它是由大量并行的分布式处理单元组成。每个单 元都能存储一定的“知识”，单元之闻通过带有权值的连接进行交互。神经网络所包含 的知识体现在网络结构当中，学习过程也就表现为权值的改变和连接的增加或删除。利 用神经网络检测入侵包括两个阶段：首先是学习阶段，再就是入侵分析阶段，网络接收 9 兰州大学研究生学位论文 输入的事件数据，与参考的历史行为比较，判断出两者的相似度或者偏离度。 ( 3 ) 基于数据挖掘的异常检淘0 方法 用j 1 入侵检测的审计数据有时会是海量数据，而且审计记录大多数以文件形式存放 o 口( u n i x 系统中的s y l o g ) 。因此，单纯依靠人工方法发现记录中的异常现象是困难的 难以发现审计记录之问的相互关系。l e e 和s t o l f o 等人将数据挖掘技术日f 入入侵检测领 域，从审计数据或数据流中提取感兴趣的知识。这些知识是隐含的、事先未知的潜在的 有用信息。提出的知识表示为概念、规则、规律、模式等形式，并用这些知识检测异常 入侵和已知的入侵。基于数据挖掘的异常检测方法，目前已有k d d 方法可以应用。这 种方法的优点是，适于处理大量数据，但是，对于实时入侵检测，这种方法还需要加以 改进，需要开发出有效的数据挖掘算法和相应的体系。数据挖掘的优点在于处理大量数 据的能力与进行数据关联分析的能力。 ( 4 ) 基于免疫学的异常检测方法 利用动物的免疫机理，即区分本体成分和非本体成分并消除非本体成分，建立每个 程序正常行为的数据库，定义属于自己的体系结构、软件版本和配置、策略管理、使用 模式等，用来监测程序的行为，识别非自身的外来攻击活动。 ( 5 ) 基于贝时斯网络的异常检测方法 贝叶斯( b a y e s i a n ) 网络实现了贝叶斯定理所提示的学习功能，用于发现大量变量 之间的关系，是进行预测和数据分类的有力工具。基于贝时斯网络的异常检测方法，系 指建立异常入侵检测的贝叶斯网络，通过它分析异常测量的结果。贝叶斯网络允许以图 形方式表示随机变量之间的相关关系，并通过指定的一个小的与邻接结点相关的概率集 计算随机变量的联接概率分布。按给定全部结点组合，所有根结点的先验概率和非根结 点概率构成这个集。贝叶斯网络是一个有向图，在这个图中，弧表示父结点与子结点之 间的依赖关系。这样，当随机变量的值变为知己时就允许将它吸收为证据，为其它的 剩余随机变量条件值判断提供计算框架。需要解决的关键课题是，判断根结点的先验概 率值与确定每个有向弧的连接矩阵。 ( 6 ) 预测模式生成 预测模式生成方法的一个基本前提就是假设事件序列不是完全随机的，而是遵循一 定的可辨别的模式。其特点是考虑了事件之间的关系和次序。t e n g 和c h e n 给出一种基 于对闻的推理方法，利用时间规则识别用户正常行为模式的特征。通过归纳学习产生这 1 0 兰州大学研究生学位论文 磐规则集，并能动态地修改系统中的这些规则，使之具有较高的预测性、准确性和可情 瞍，如果规则大部分时间是正确的，并能够成功地用于预测所观察到的数荆耶么规则 就具有较高的可信度。系统就认为该规则能够准确预测。例如t i m ( t i m e b a s e di n d u c t i v e m a c h i n e ) 给出下述产生规则 ( e l ! e 2 1 e 3 1 ) ( e 4 = 9 5 ，e 5 2 5 ) 其中e 1 e 5 代表安全事件，上述规j j ! | j 表明，事件发生的顺序是e 1 ，e 2 e 3 ，e 4 ， e 5 。事件e 4 发生的概率是9 5 ，事件e 5 发生的概率是5 。通过善阵 中的 临时关系， t i m 能够产生更多的通用规则。根据观察到的用户行为，归纳产生出一宾规则集，构成 用户的行为轮廓框架。如果观测到的事件序列匹配规则的左边，而后续事件漫著地背离 所预测到的事件，那么系统就可以检测 u 这种偏离，表明用户操作异常。这剥l 疗法的主 要优点有：( 1 ) 能较好地处理变化多样的用户行为，并只有很强的时序模式；( 2 ) 能够集 中考察少数几个相关的安全事件，i 不是关注可疑的整个登录会话过程；( 3 ) 脊易发现针 对检测系统的攻击。采用该技术的入侵检测系统会取得较好的检测效果。 ( 7 ) 基于贝叶斯聚类的异常检测方法 基于贝叶斯聚类的异常检测方法。系指在数据中发现不同数据类集合。这些类反映 了基本的类属关系，同类成员比其它成员史相似，以此可区分异常月，o 类，进而推断出 入侵事件的发生。c h e e s e m a n 和s t u t z 在1 9 9 5 年提出的自动分类程序( a u t o c l a s sp r o g r a m 】， 是一种无监督数据分类技术。自动分类程序应用贝叶斯统计技术，对给定的数据进行搜 索分类。其优点是：根据给定的数_ j j 3 ，自动判断并确定类型数目；不要求特别的相似测 量、停顿规则和聚类准则；可以混台连续属性与离散属性。贝叶斯分类方法允许理想化 的分类数、具有相似轮廓的用户群以及遵从符合用户特征集的自然分类。但是，该方法 目前只限于理论讨论，还没有实际应用，自动分类程序怎样处理固有的次序性数据，在 分类中如何考虑分布特性等问题，还没有微好地解决。 3 e w m a 统计技术 诩：多入侵发生时，发生在信息系统中的事件强度就会急剧改变，从而使入侵行为变 得异常明显。例如，在典型的拒绝服务攻击中，攻击者会在很短的时州内向服务器( 始 w e b 服务器) 发送火量的服务请求，从而耗尽服务器的可用资源，这样，服务器就会 拒绝以后的用户的正常请求。这样的攻击就会急剧增加服务器中的事件强度。另外在y ： 多针对电子g 件传播的病毒或者蠕虫攻击中，被攻击者就会在很短的时j h 肭收到犬最的 垃圾邮件，再如，对那些获得超级 目税限攻击者就会在计算机或者网络系统中毁掉i - t ： 兰州大学研究生学位沦文 多可崩资源，如删掉许多用户正常使用的应用程序、杀死进程等，从而导致信息系统中 事件的强度急剧。p 降。因此早期检测到计算机和网络系统中事件强度的异常改变就会很 好地保护系统免遭入侵，确保其可靠性和服务质量。 现有的许多基于统计分析方法的异常入侵检测系统，如下一代入侵检测专家系统 n i d e s m 1 等对非正态分布的数据不强壮，不能很好的应用于非正态分布的数据，而实际 计算机和网络系统中的数据如系统中发生的安全事件的强度并不能很好地保证其正态 分布，e w m a 7 1 统计技术由于具有快速初始化响应速度且对非正态分布的数据不敏感， 对进程变量的异常改变敏感，因此可用于入侵检测。 3 1e w m a 统计概述 e w m a 是统计过程控制技术s p c 的一种，统计过程控制是基于统计理论的技术和方 法，通过对生产过程中的工艺参数、质量数据的实时监控和预测，从而达到发现异常、及 时改进、减少波动、保证工艺过程的目的。 对异常波动的及时预警是s p c 的最大特点，预警原理为：对生产过程中的产品质量 数据进行在线、离线的采集，并应用s p c g 十检测到的数据进行统计分析，从而对生产过 程中的异常趋势及时提出预警，即s p c 能在异常因素刚一出现时就能及时发现，指导管 理人员采取措施消除异常，从而极大地减少了不合格产品的产生，提高了生产效率。 统计进程控制技术可以采用单变量控制也可采用多变量控制，它能够检测进程平 均的改变，进程变量的改变，以及各变量间的关系。发生在计算机和网络系统中的事件 的强度就是一个单变量值，用于度量信息系统行为的一个特征。本文采用单变量的s p c 技术即e w m a 统计技术，用于检测事件强度的异常改变，以此判断异常或入侵的发生。 s h e w h a r t 1 9 1 控制表格、c u s u m 2 0 1 控制表格、e w m v 2 1j 控制表格都可以用来检测进程变 量的异常改变。但是由于发生在信息系统中事件的强度并不能保证其正态分布，因此这 里使用对非正态数据强壮的e w m a 控制表格用于异常检测。 3 2e w m a 统计控制表格的应用 ( 1 ) e w m a 统计控制表格用于非相关数据 如果被检测的数据中包括系列的非相关的进程观察值，如x ( f ) ，在本文中指的是 信息系统的事件强度，那么e w m a 控制表格可用下式袭科2 0 l ： z ( f ) = a - 4 0 + ( 1 一兄) 。( f 一1 ) 0 u c l ；，即其超过了e w m a 控制表格的控制范围，那么 就产生一令警报。 ( 2 ) e w m a 统计控制表格用于相关数据 如果数据流中包括一系列前后相关的进程观察值如x ( f ) ，那么( 1 ) 式的e w m a 统计值 。“1 可用于对下一个进程观察值x ( f + 1 ) 的预测，因此f 时刻进程观察值x ( f ) 可用z ( f 1 ) 来 预测1 竭，即 羽= z ( i 一1 ) ( 5 ) 预测误差为2 2 】 e ( f ) = x ( j ) 一羽= x ( i ) 一z ( i 一1 ) ( 6 ) 式中： 可以通过使训练数据中预测误差的平方和即8 2 ( i ) 最小来决定。根据 2 2 e ( f ) 足 均值为0 ，均方差为吒的独立分布。其概率分布可表示为 p 卜乞气( f ) e ( f ) t g e 0 ) 】= l g ( 7 ) 其控制上限和下限分别为 u c l 。( f ) = 。仃。( f ) ，c t ( f ) = 一l e 叮。o ) ( 8 ) 这里l 。是标准正态分布的分位点，考虑到等式( 6 ) ，得到下式 p z ( i 1 ) 。口，( f ) x ( f ) z ( i t ) + 。仃。( f ) = l - c t ( 9 ) 因此，进程观察值x ( i ) 的控制上限和控制下限可表示为 u c l ，0 ) = 。0 一1 ) + 己。矿。o ) 1 3 兰州大学研究生学位论文 l c l 。( f ) = z ( i 1 ) l 。吒( f ) ( 1 0 ) 式中吒( f ) 可通过下式估计得到，其中口应取较小的值2 2 1 盯；( i ) = 盯p2 ( f ) + 0 一口) 盯；( i 一1 ) 0 口l ( 1 1 ) ( 3 ) e w m a 控制表格用于监视进程的标准偏离 m a c g r e g o r 和h a r r i s 讨论了使用e w m a 统计控制表格来监视进程的标准偏离，如 果进程观察值z ( f ) 是具有均值为麒，均方差为仃，的正态分布，那么用于监视进程偏离 的控制表格为2 0 1 s = 幺g 一) 2 + 0 一见雠，( 1 2 ) 可以证明，如果i 足够大，r a o e 归纠= 钟，这个估计具有近似的f2 分布，那么此控 制表格的控制限度为【2 0 j 氏斛，讹。砜 ， 其中：l ，= 2 一致，幺为自由度。 3 3 两种不同控制限度的e w m a 控制表格的特性比较 从式( 4 ) 可以看出，在用 表格的控制上限和下限中， 以和盯，是训练数据的均值 和均方差，因此如果用于训练 的数据确定，那么u ，仃：确 定，z ( f ) 的控制限度也就随之 确定。而用于相关数据的 e w m a 控制表格则不同，其 控制上限 u c l ，( f ) = z ( i 一1 ) + l 。1 3 。( f ) 番l下限 l c l ，( f ) = z ( f 1 ) 一上。仃。( f ) 是 图3 1 控制限度随时间变化的e w m a 控制表格 1 4 兰州大学研究生学位论文 随时刻i 而变化的。图3 i 表示个控制限度随时问变化的e w m a 表格( 设 五= 0 ，l ，口= o 0 0 0 1 ，。= 0 ，a 、= 1 ，f = 【。= 3 ) 。 从图3 1 可以看出控制限度随时间变化的e w m a 控制表格比具有固定控制限度的 e w m a 控制表格能更快地跟踪进程的改变，上例中，当前者检测到第五个进程观察值超 出其控制限度时即发出警报，而具有同定控制限度的e w m a 统计则要在第8 个观察值超 出其控制限度时才能发生警报周此前者具有更快的初始化响应速度，这在入侵检测中也 是非常重要的，因为越早的检测到异常就能越早地发现攻击。 3 4 信息系统中事件强度的度量 事件强度是指信息系统中每秒钟所发生的事件的个数，它是用于度量信息系统行为 的一个变量，这里用七表示。例如，如果训练数据中包括1 6 1 3 个审计数据，事件持续 3 8 1 秒，那么我们就可以获得3 8 1 个事件强度的观察值。 为了减少野值对事件强度观察值的影响，应用阶指数平滑的方法【2 22 3 1 对原始事件 强度七( f ) 进行平滑，所得的经过平滑的事件强度( f ) 为 x ( j ) = r ( f ) + ( 1 一节) x ( i 一1 ) 0 叩1( 1 4 ) r 为平滑常数，其值决定了在计算当前的经过平滑的事件强度z ( f ) 时，i 时刻的事件强度 七( f ) 所占的权重及过去观察值x ( f 一1 ) 的衰减程度。因此，如果我们对过去观察值的长期 趋势感兴趣，就应该选择较小的目，如0 0 0 0 1 ，如果对观察值的近期趋势感兴趣，那么就 应该选择较大的叮，如0 2 。由于入侵检测系统所要检测的是计算机和网络系统的近期 行为，因此在这里选用较大的日，设其范围为 0 2 ，1 。 依据主机或网络系统中每秒钟所发