（计算机应用技术专业论文）一种基于网络性能学习的入侵检测模型.pdf

硕士学位论文 h i a s f f r s i i i n s a b s t r a c t .、 清， wi t h th e d e v e l o p m e n t o f t h e a p p l i c a t i o n o f i n t e r n e t , c o r p o r a t i o n s , g o v e r m e n t s a n d u n i v e r s i t i e s a l l h a v e b u i l d t h e ir o w n w e b s i t e s a n d p r o v i d e d s o m e s e r v i c e s s u c h a s e - b u s i n e s s ,e - g o v e r n m e n t ,r e m o t e e d u c a t i o n a n d s o o n . b u t t h e r e i s s o m u c h d e l e t e r i o u s i n f o r m a t i o n o n t h e i n t e r n e t . b e c a u s e o f t h e s h o rt c o m i n g o f t h e b e g i n d e s i g n o f t h e i n t e r n e t , t h e r e a r e s o m a n y s e c u r i t y p r o b l e m s r i s i n g d u r i n g t h e d e v e l o p m e n t o f t h e i n t e r n e t . i f w e d o n o t r e s o v l e t h e m ,t h e s e s e c u r i t y p r o b l e m s wo u l d t a k e i n t e r n e t i n t o h e l l . s o n e t w o r k s e c u r i t y b e c o m e s t h e s t ic k i n g p o i n t o f i n t e r n e t a p p l i c a t i o n s . i n o r d e r t o e n h a n c e t h e s e c u r i t y o f i n t e r n e t ,p r o v i d e s t e a d y a n d s a f e s e r v i c e s ,a l o t o f s e c u r i t y t e c h n o l o g i e s a n d m e a s u r e s a r e u s e d t o p r o t e c t t h e n e t w o r k s . i n t r u s i o n d e t e c t i o n i s o n e o f t h o s e t e c h n o l o g i e s t h a t h a v e d o n e w e l l i n t h i s f i e l d . f i r s t ,t h e t h e s i s a n a l y s i s t h e i n t e r n e t s e c u r i t y s i t u a t i o n a n d l i s t t h e n e w c h a l l e n g e s w it h t h e c h a n g e o f n e t w o r k s i t u a t i o n . t h e n ,t h e t h e s i s i n t r o d u c e i n t r u s i o n d e t e c t i o n s y s t e m , c o n c e p t , f u n c t i o n s ,w o r k i n g p r i n c i p l e ,c o m m u n i c a t io n p r o t o c o l , i d s p r o d u c t a n d e v a l u a t i n g s t a n d a r d s . i m p o r t a n t l y t h e t h e s i s in t r u d u c e s o m e i n t r u s i o n d e t e c t i o n m e t h o d s t h a t a r e b e i n g a p p l i e d i n t h e r e a c h f ie l d n o w .a n d t h e t h e s i s a n a l y s i s t h e d i f f i c u lt i e s t h a t i n t r u s i o n d e t e c t o n f a c e s i n t h e n e w n e t wo r k s i t u a t i o n . t h i s t h e s i s p r o v i d e t h e i n t r u s i o n d e t e c t i o n m o d e l t h r o u g h n e t w o r k p e r f o r m a n c e i e a mi n g .t h e t h e s i s p r o v i d e t h e s t r u c t u r e f i g u r e a n d fl o w c h a r t .a n d g e n e t i c a l g o r i t h m a p p l i e d i n t h i s m o d e l e l i m i n a t e t h e h i g h w r o n g a l a r m r a t e ,t h e t h e s i s p r o v i d e c o d i n g p o l i c y , f i t n e s s f u n c t i o n a n d o b j e c t f u n c t i o n .t h e t h e s i s i n t r o d u c e a 3 - t u p l e t o d e s c r i b e t h e c h a r a c t e r i s t i c o f t h e n e t w o r k .t h e t h e s i s p r o v i d e t h e i n t r u s i o n d e t e c t i o n a l g o r i t h m j u s t t o f i n d i n t r u s i o n s . t h e t h e s i s i n t r u d u c e t h e p r o g r a m ( 9 9 0 8 5 ) a n d t h e m o d e l t h a t a u t h o r h a v e d o n e i n t h e p r o g r a m . i n t h i s w o r k r e p o r t h e r e , t h e m a i n c o n t r i b u t i o n o f t h e t h e s i s i s t h e n e t w o r k p e r f o r m a n c e l e a r n i n g b a s e d i n t r u s i o n d e t e c t io n m o d e l . t h i s m o d e l d o n e w e l l i n d e t e c t i n g t h e n e w a t t a c k a n d c a n w o r k i n t h e n e w n e t w o r k e n v i r o m e n t . k e y w o r d s : i n t r u t i o n d e t e c t i o n ,g e n e t i c a l g o r i t h m s , m a c h i n e i e a r n i n g , i d s , n e t w o r k s e c u r i t y t e c h n o l o g y 引 言 进入 2 1 世纪，席卷全球的信息革命继续深入:i n t e r n e t 己经成为重要的 传播媒体，斯塔尔报告上网后在4 8 小时内就有2 0 0 0 万人上网观看，电子商务 发展更快，据一家美国公司统计仅圣诞节期间网上购物就突破了 3 0亿美元的 销售额。 美国对“ i n t e r n e t 经济” 投资达到1 2 4 0 亿， 第二代i n t e r n e t 正式启 动，第三代智能网络己在酝酿。以 i n t e r n e t为代表和主体的信息网络必将在 2 1 世纪成为人类生产、 生活、自 下而上的一个基本方式。 世界各国都以战略眼 光注视着它的发展，并在积极谋取网上优势。与此同时 i n t e r n e t 信息安全问 题也日渐突出: * 病毒感染事件迅速增加，据总部设在美国的一家电脑经济公司最新公布 的一份研究报告指出，2 0 0 1年全球电脑病毒所造成的经济损失高达 1 2 9亿美 兀 。 * 网上攻击事件大幅上升， 对5 0 个国家的抽样调查显示: 1 9 9 8 年有7 3 % 的 单位受到各种形式的入侵，而1 9 9 6 年是4 2 % a * 对美军的非绝密计算机系统的攻击试验， 成功率达到8 8 % 。 而其中仅仅有 5 % 被查出。 1 9 9 8 年5 月美国c i a 负责人在一份信息安全报告中正式宣布:“ 信 息战威胁确实存在。 * 网上色情泛滥，色情信息通过浏览器、电子邮件等大范围传播。 * 暴露个人隐私问题突出。美国一个网站只要输入车牌号码就可查到车主 地址。 * 带有政治性的网上攻击在1 9 9 8 年有较大增加， 包括篡改网页， 侵入网站 窃取信息，散布谣言，煽动民族纠纷等，已引起各国政府的高度重视。 v i n c e r t 有句名言:i n t e r n e t 的绝妙是山于它广泛的互联，i n t e r n e t 的 麻烦也是由于它广泛的互联。 十年前美国一批著名科学家和社会学者在讨论信 息高速公路的社会影响时也指出:即将到来的这个新世界中会有捣乱者滥用 “ 自由”， 因此只能把网络接入权给予守规的人。 i n t e r n e t 是在特殊历史条件 下形成和发展的， 它由军用转民用后开始只用于科研信息共享，当时网上联接 的计算机井不多。但是开放共享的理念加上简洁高效的t c p / i p协议，奇迹般 地调动了众多的资源， 象滚雪球一样，在短短几年时ifei 1 就创造了一个遍布全球 的互联网。由于i n t e r n e t 是在不设防的思想下起步的， 随着i n t e r n e t 大举融 入社会，周围环境的性质己经发生变化，潜在安全隐患也逐渐暴露，一时间似 i 硕士学位论文 ma s 日 _ r 乎形成了自由与安全不能兼得的两难局面。 世界上没有绝对的自由也没有绝对 的安全， 我们虽然不能完全杜绝网上不良的行为和信息， 但是也不能放任自 流。 我们迫切需要在保持 i n t e r n e t固有优点积极发展与提高安全保障这对矛盾之 间找到一个适度的平衡点，趋利避害，促使信息化健康持续地发展。 同时真善美的东西总是和假恶丑的东西相比较而存在的。 换个角度看， 也 正是网络的种种不安全因素才导致了今天网络安全技术的飞速发展。 网络安全 经过了二十多年的发展，已经发展成为一个跨多门学科的综合性科学， 涉及通 信技术、网络技术、计算机软件、硬件设计技术、 密码学、网络安全与计算机 安全技术等多种技术 。 一般认为网络安全技术的发展大致经过了以下三个阶段: 第一阶段是静态的被动防御阶段，这一阶段最典型的安全技术是防火墙、 数据加密、 数据包过滤、 安全认证等， 这些安全技术默认整个计算机系统是建 立在正确的安全模型、 正确的编程以及正确的配置基础上的。然而系统漏洞总 是不断被发现， 攻击技术总是不断在改进不断增强， 静态安全技术总是滞后于 网络的发展，无法满足动态网络的安全防护需求。 第二阶段是动态的主动防御阶段，这一阶段的典型安全技术是入侵检测， 入侵检测系统根据用户的历史行为模型、 存储在计算机中的专家知识以及神经 网络模型，能实时对用户当前的操作进行判断， 一旦发现黑客入侵或病毒活动 迹象， 立即断开入侵者与主机的连接或查杀病毒， 并收集证据和实施数据恢复。 动态安全技术的出现与应用并没有完全解决所面临的网络安全问题。 这一时期 的入侵检测系统主要问题就是误报率居高不下， 以及对层出不穷的新攻击束手 无策。 第三阶段是自 学习自 适应的智能防御阶段。这一阶段的主要特点是复杂 j性、智能性、多元性。这是一个刚起步的阶段，人们开始从复杂巨系统理论、 生物遗传理论、行为学理论等理论中汲取灵感，把网络安全看做一个多元化、 复杂化、智能化的工程。 本文以教育部重点科技项目 “ 新型中小企业网管代理服务器的开发研究 ( 9 9 0 8 5 ) ” 为 研究背景展开。 因此该 项目主 要完成了 一个集合网 络管理、 代理服 务器、防火墙技术、入侵检测技术为一体的系统，以满足新时期中小企业用户 的需要。 本文主要探讨其中重要组成部分入侵检测技术。 木文分析了i n t e r n e t 安全现状，讨论了现有入侵检测存在的问题，在适应新的网络环境的基础上， 提出了一种基于性能学习的入侵检测模型， 并且给出了该模型与其他入侵检测 系统、网络管理软件，以及防火墙等安全系统的结合策略。 硕士学位论文 n i a s i i r s i i i i ns 本文章节安排如下: 第一章首先介绍了 i n t e r n e t 面临的安全问题，一些主要的黑客攻击 以及目前解决网络安全问题的主要技术和策略。 在此基础上， 本文总结了近年 来随着网络环境的变化和攻击手段的发展， 网络安全领域出现的一些新趋势和 新问题，以及这些新的变化对网络安全技术提出的新要求。 第二章系统地介绍了入侵检测的概念、 功能、 原理、 体系结构以及现有的 产品， 并分析了随着网络技术的发展网络环境的改变， 现有入侵检测系统逐渐 显现出许多不足以及入侵检测技术的发展方向。 第三章介绍了教育部项目 系统框架以及作者在其中所做的工作。 总结了近 年来入侵检测理论研究的成果和方向， 特别分析了基于行为的入侵检测和基于 内容的入侵检测的优缺点。 在此基础上提出了一种基于网络性能学习的入侵检 测模型: 利用网络管理系统采集的有关性能数据作为模型的输入值， 根据网络 性能异常变化来侦测入侵痕迹。 为了克服异常检测误报率过高的缺陷， 本文引 入遗传算法以实现模型的自 学习功能， 采用多重反馈机制， 使模型学习网络性 能的正常变化趋势。本文随后介绍了遗传算法、 机器学习以及遗传算法在机器 学习中的应用， 详细介绍了遗传算法在本模型中的应用， 给出了具体的编码策 略、 适应度函数和目标函数，引入了一个三元组来描述网络性能变化，并给出 了 相应的入侵检测算法。 第四章通过正确率和误报率两个参数分析了该模型的优缺点。 第五章结论与展望。 硕士学位论文 m入 s 川 i s i i i i : s i c 第一章 i n t e r n e t 安全 l 1工 n t e r n e t 安全问 题产生的原因 i n t e r n e t是作为一个 “ 不设防”的公用网络出现的。它的问世与发 展大大提高人们的工作效率， 另一方面也促使人们传统的生活工作方式 开始发生相应改变。 因此一些i n t e r n e t 初期所没有出现的问题相继显现。 在 i n t e r n e t高度渗入人们工作生活的今天，人们普遍关心的 i n t e r n e t问 题有七种 ，简称 7 p问题:p r i v a c y ( 隐私) 、p i r a c y ( 盗版) 、 p o r n o g r a p h y ( 色 情 )、p r i c i n g ( 价 格 )、p o l i c i n g ( 政 策 制 订)、 p s y c h o l o g y ( , g理学) 、p r o t e c t i o n o f t h e n e t w o r k ( 网络保护) 。所有 这七种问题是从不同角度提出的有关 工 n t e r n e t 的安全问题。 1 9 8 8 年，r o b e r t t . m o r r i s 向i n t e r n e t 上传了 蠕虫病毒，病毒迅速扩散 感染了6 0 0 0多个系统几乎占当时互联网机器的 i / 1 0 ， 一时间网络陷入瘫 痪。 1 9 9 5 年， 世界头号黑客k e v i n m i t n i c k 终于被逮捕。 他曾经成功入侵美国 国防部计算机系统，以及一系列大公司的计算机系统。 1 9 9 8 年， 美国防部宣布黑客向五角大楼网 站发动了“ 有史以来最大规模、 最系统性的攻击行动”，并成功闯入了许多保密性的敏感计算机网络。 1 9 9 8 年8 月，b o 木马惊现网络。 2 0 0 0 年 2 月，全球许多著名网站如雅虎、亚马逊、c n n 、新浪网相继遭到 黑 客 攻 击 。 新 的 攻 击 手 法 出 现 : d d o s 分 布 式 拒 绝 服 务 攻 击 ( d i s t r i b u t e d d e n i a l o f s e r v i c e) 。 2 0 0 1 年5 月， 美国黑客组织p o i z o n b o x 攻击中国网站， 中国红客大规模反 击。双方攻击逐渐升级， 并在五四青年节达到高潮，涌现8 万黑客围攻白宫网 站的局面。 2 0 0 1 年7 月， 红色代码( c o d e r e d ) , 最初9 个小时就感染了2 5 万台电脑。 红色代码在全球己经造成约2 6 亿美元的损失，其变种迄今仍在网络中肆虐。 2 0 0 1 年9 月1 8日，尼姆达病毒出现在美国，当 天下午己经感染了美国大 约 1 3万台电脑，并继续以极快的速度向欧洲和亚洲蔓延。其传播速度之快、 影响范围之广、破坏力之强都超过 c o d e r e d工 i e i n t e r n e t 采用t c p / i p 协议， 虽然该协议具有互连能力强、 网络技术独 立、 支持多种应用协议等特点， 但是由于该协议在制定时， 没有考虑安全问题， 硕士学位论文 n 1 :1 5 i m c i i i l s i s 因此协议中 存在很多安全问 题。 这些协议本身的安全缺陷导致了i n t e r n e t的 不安全。 如果一个网点忽视了这些问题， 就会冒着被泄密和攻击的危险， 同时也为 入侵者进入其他网络提供了方便之门。 另外，即使一个网站采用了好的安全措 施， 也会面临网络软件中新的脆弱点和入侵者持续攻击的危险。 一些安全问题 是因为服务中固有的缺陷而致， 而另一些则是由于主机配置和访问控制不当引 起的。再加上系统管理工作的重要性往往认识不够， 容易导致许多系统管理者 的管理知识和经验不足、管理系统的能力很有限等问题。随着 i n t e r n e t流量 的急剧增长，安全问 题也变得越越来越严重。利用 i n t e r n e t 进行通信的单位 如果受到入侵，其损失将会更大。下面总结了造成 i n t e r n e t安全问题的主要 原因。 1 . 1 . 1 弱认证方式 一些计算机安全事件处理小组 ( i n c i d e n t h a n d l i n g t e a m )对许多安全事 件作过评估，认为大多数安全事件来自于弱的静态口令的认证。口令在 i n t e r n e t 上可以用多种方式攻破， 而最普通的攻击方式则是攻击加密口令和监 视通信线路上的传输的口令包。 一些操作系统通常将加密口令以文件的形式存 储起来， 这样一般用户可以通过简单的复制方式或通过其他入侵方式得到口令 文件。一旦获得这种文件，入侵者就可以用口令破解程序解密口令。如果口令 较弱 ( 例如少于8个字符、英语单词等) ，就很可能被攻破，从而获得进入系 统的权限。 另一个认证问题由t c p 或u d p 服务所致，这些服务只能认证主机地址，而 不能认证特定的用户。例如，n f s ( u d p ) 服务并不能决定是否给予一个特定用 户访问权限， 而只能根据完整的主机标识来决定是否可以访问，因此要么给予 同一个主机上所有用户的访问权，要么都不给。 另外由于有些程序的访问验证部分存在某些可利用的逻辑错误，使绕过这 种访问控制成为可能。例如早期a i x 的r l o g i n 漏洞就是这种典型。 1 . 1 . 2 传输的信息容易受到监视 当用户利用t e l n e t 或 f t p 连接到远程系统上时， 其口令以明文形式在网路 上传输。这样，黑客可以用某种方法监视并捕获含有用户名和口令的 i p 包， 然后用所得的用户名和口令以正常用户的形式进入受保护的系统。 如果所捕获 的口令是系统管理者的口令，那么很容易获得管理者的访问特权。 许多人认为电子邮件是安全的，可以安全地用来传递敏感信息。其实很多 电子邮件系统并没有对电子邮件进行加密。当黑客监视到电子邮件时， 就可能 收集到网点的重要信息和企业商贸信息。 利用电子邮件进行破坏的事件也时有 报道。 1 . 1 . 3 容易受到假冒攻击 t c p 和 u d p 服务是以主机的i p 地址为依据来信任通信对方的，所以i p 地 址在t c p / i p 协议中占据很重要的地位。使用 1 p 源路由的一个问题则是攻击 者主机可以假冒被信任主机或客户。i p 源路由是在 i p 包中的一个选项，它能 够确定到达目的地的直接路由， 并由目的地主机发送回这个路由的路径到发送 者。 路由中也可能涉及到向目的地转发数据包的其他路由器和主机。 下面叙述 了一个攻击者系统如何利用工 p 源路由特点假冒一个服务器上的受信客户。 工 、攻击者以其自己的i p 地址代替受信客户主机的i p 地址; 2 、 攻击者构造一个到达那个服务器的源路由，以便 i p 包能够到达那个服 务器， 并从那儿返回到攻击者主机的路径。其中，以受信主机作为返回路由的 最后骚站; 3 、攻击者用这个源路由向该服务器发送一个客户请求; 4 、服务器认为这个请求来自 其受信客户， 并回送一个应答给受信客户; 5 、受信客户用这个源路由将应答转发给攻击者主机。 一种假冒合法客户的简单方法是等待这个客户系统关闭，然后再假冒这个 客户系统。 在许多机构中， 员工用个人计算机和t c p / 工 p 网络软件互连到网络 上。个人计算机常用 n f s 获得访问服务器和文件的权限，而 n f s 只用 i p 地址 认证客户。攻击者能以另一个人的名字和 i p地址配置自己的个人计算机，然 后就象一个真正的受信客户那样初始化到服务器的连接。 这是一种内部网攻击 者非常简单的攻击方法。 如果不使用诸如数据签名方法保护电子邮件， 电子邮件在 工 n t e r n e t 上就很 容易以假冒方式攻击。 例如， i n t e r n e t 主机之间以命令方式交换邮件， 入侵者 可能用t e l n e t 命令直接连接到s m t p 端口， s m t p 服务器信以为真地接收其请求。 这样，通过输入假冒者的 i p地址就可以轻易地假冒邮件的来源。因此，在这 种邮件传输方式下， 任何无权限的用户都能盗取电子邮件。 还有其他一些服务， 如d n s ，也会受到假冒的威肋 、 。 n 41, -k t a it- _-t-mris i it sl i ip,sis 1 . 1 . 4 主机间的信任危机 为了简化管理命令，增强局域网的使用效果，一些网点使用信息服务 n i s 和网络文件系统n f s 。例如，通过允许口令文件分布式管理和通过允许系统之 间共享文件和数据， 这些服务能极大地降低繁杂的管理工作量。然而， 这些服 务固有的不安全，能够为入侵者利用以获得访问权限。 如果中心服务器系统受 到危害， 那么信任中心系统的其他系统就会很容易地受到危害。 为了方便用户 和增加系统与设备之间的共享，有些服务 ( 如 r l o g i n等)允许主机之间相互 信任。如果一个系统被攻破或假冒，那么也将容易获得对其他系统的访问权。 1 . 1 . 5 复杂的配置和控制 漏洞的产生在于系统和应用的配置有误， 或是软件安装在错误的地方， 或 是错误的配置参数，或是错误的访问权限，策略错误。 主机系统经常在配置和正确性测试方面比较复杂。如果访问控制的配置不 当，就可能导致入侵者获得访问权限。如果忽视了一些配置，可能导致不检查 访问权限就能访问系统。许多发生在 i n t e r n e t上的安全事件的原因就是入侵 者发现了系统的安全弱点。目 前大多数u n i x 变种的网络代码都是基于b d s 发 布的。 源代码的公开，为入侵者提供了 研究并寻找b u g 和开发获得系统访问权 限代码的条件和机会。 1 . 1 . 6 无法估计的安全因素 主机是网络黑客等各种别有用心的攻击者实施攻击的主要对象。保证主机 的安全是保证主机信息安全的基础。 但是， 这种安全防范技术会加重主机的负 担，降低主机的效率。另外，网点中的系统都暴露在 工 n t e r n e t 之下，随着网 点上主机数量的增加，保证每一台主机都具有高度安全性的能力就会下降。 1 . 2 i n t e r n e t 入侵的新趋势 1 . 2 . 1攻击目 标平民化 以前黑客的目 标主要是安全系数很高的计算机网络系统，如美国国防部 . 贝尔实验室等 计算机系统， 如今黑客的攻击目 标逐渐转向包括家庭计算机在内的所有连网 旧时王谢堂前燕，飞入寻常百姓家” 。 1 . 2 . 2 “ 病毒十 黑客” 其实1 9 8 8 年m o r r i s 编写的蠕虫就是一种黑客型病毒。 但是在相当长的时 间之内， 病毒主要的传播媒介还是磁盘光盘等传统媒介。 近年来随着 i n t e r n e t 的发展， 病毒的传播越来越和网络联系到一起， 1 9 9 8 年以 后出现的影响比较大 的病毒， 几乎都利用了网络以传播到全世界的每一个角落。 包括c i h 病毒也是 利用了当时 “ 小龙女”屏幕保护程序在网上传播。造成严重危害的病毒:欢乐 时光、红色代码、s i r c a m 和尼姆达，均为恶性网络蠕虫病毒。 蠕虫病毒主要利用系统漏洞进行传播，在控制系统的同时，为系统打 开后门，因此，病毒制造者特别是有黑客趋向的病毒制造者会特别中意这 利 ， 病毒 6 4 。 1 . 2 . 3破坏性增强 不象早期只是修改一下网页， 现在的攻击对目 标网络和目 标主机的性能都 是灾难性的。 比如9 9 年的d d o s 攻击， 2 0 0 1 年的尼姆达。 尼姆达病毒发作以后 自动修改共享属性，并不断向同一局域网的主机发送数据包， 这样整个网段内 充斥着大量无用的废包，严重影响网络的正常工作。 1 . 2 . 4攻击手法传播更快 早 期的黑客往往需要相当的专业计算机知识， 还要善于发现网络系统缺陷 和薄弱环节。但是现在一种新的攻击手法出现之后， 迅速有人将其制作成简单 的 “ 傻瓜软件” ，简单易用。这样一般的计算机爱好者都可以用它去攻击其他 网站。而且很快就有变种版本出现。比如红色代码，短时间内就出现蓝色代码 等二十几种不同版本。 1 . 2 . 5大规模、有组织、有系统的攻击 网络黑客攻击手段的逐渐演化。山少数天才黑客演变为黑客集团:由单纯 的技术性的炫耀演变为具有政治目的经济目的的行为:由随机性的攻击演变为 馨 硕士学位论文 mw 下 r s t l i bi s 有组织有计划的攻击;由短期的攻击行为演变为长期的潜伏式的攻击。如 9 9 年y a h o o 等受到的d d o s 攻击，黑客事前花了一年多的时间来逐个发展傀儡主 机。这种大规模的、有组织、有系统的攻击方式受到各国政府的高度重视。 1 . 2 . 6动机的分化 黑客一改往日那种以恶作剧、 蓄意破坏、群体对抗和控制占有为主要目的 的作案动机。黑客类型和作案动机逐渐分化。 一是动机商业化:运用更高超的技术手段，通过因特网 “ 窃取” 具有 “ 卖 点”的软件专利产品，并将 “ 盗窃”来的软件产品改头换面，用以商业目 的， 牟取暴利。 据报道， 近期美国及西欧有关机构， 相继破获黑客以赢利为目的的 网上 “ 盗窃”案例，己查获黑客及其群体用以 “ 盗窃”的电脑 6 0余台，据估 算有关商家和公司因此所造成的 经济损失高达1 2 0 亿美元【 6 4 1 . 二是动机政治化军事化: 近来世界甚至有一些国家试图招募黑客加盟， 组 建网络战 “ 红色小组”， 进行黑客与“ 红客”网上对抗演练。 英国国防部前不 久还组织了计算机博士、专家和一部分高级黑客， 通过运用 “ 以毒攻毒”的方 式， 采用了一些黑客技术手段， 研发出能够有效阻止黑客入侵的软件。 有军事 专家预言: “ 利用国家支持的黑客组织， 将是未来战场不可忽视的重要军事力 量。” 6 4 动机的分化从某中程度上也极大的推动了攻击技术的发展， 导致攻击手段 的多样化和复杂化。未来的攻击将是极具策略性隐蔽性破坏性的。 1 . 3 i n t e r n e 安全定义 国际标准化组织将计算机安全定义为:“ 计算机系统有保护， 件、硬件和数据不被偶然或故意的泄漏、更改和破坏。 ” 例如 d o s 为安全性较低。 计算机网络安全可以理解为计算机安全在网络环境下的扩展， 要求有以下七点: 计算机的软 系统就被认 主要的安全 1 . 3 . 1用户身份验证和对等实体鉴别 网络环境下， 大量的黑客随时随地都可能向网络渗透， 截获合法用户的口 而收 令并冒名项替，以合法身份入网。因此每次远程输入用户口令都应当加密 且密钥每次都应变更。同时，发方必须鉴别收方是否是他要发给信息的人 方也必须判明所发来的信息是否是由发送者本人发来， 而不是由第三者冒各而 来。 1 . 3 . 2访问控制 必须有一种控制手段实现本地用户对本地资源的访问控制， 本地用户对外 地资源的访问控制，以及对网络资源的访问控制。 1 . 3 . 3数据的完整性 防止信息的非法重发，传输过程中被篡改、替换、删除等，要保证数据山 一个主机发出，经过网络各个链路到达另一个主机时完全相同。 1 . 3 . 4加密 加密并不能防止信息被人读取， 其作用只是保障信息被人截获后不能读懂 其含义，这对存取访问控制是一个重要的补充。 1 . 3 . 5防抵赖 收方如果收到一条信息， 他要确保发方不能否认曾向他发过信息，发方也 会要求收方不能在收到信息后否认他己经收到信息。 1 . 3 . 6审计 在网络环境 h ， 不但要审计 用户对本地土机的作用， 还应审计网络运行i t 况。 为了便 于对整个网络进行审计， 审计记录不能完全分散于各个网络 y y 点， 而应当有整个网络集中 处理的过程。 1 . 3 . 7容错 网络环境下的容错除了要考虑每个计算机系统的容错， 还需要通过网络多 路由以及网络节点设备的冗余和备份来实现。 1 . 4 网络安全措施 为了保证计算机网络系统的信息安全， 近年来针对不同的问题研发了许多 安全措施，解决了某些特定方面的安全问题。这些安全措施包括: 防火墙:防火墙主要提供被保护网络与外部网络之间的进出控制。它是被 保护网络与外部 网络之间的一道屏障，根据各种过滤规则来判断网络数据是 否能够通过防火墙。它通过设置防火墙的安全规则来实现对于内部网络的保 护。 v p n 设备:v p n设备实现了利用公共网络建立自己的虚拟专网。假设a , b 是两个内部网络，它们之间是通过公共网络连接起来的。为了保证网络 a , b 的安全，同时又要保证它们能够通过公共网络来连接，可以分别在网络 a , b 的出口处安装v p n 设备。v p n 设各负责给发送到对方的数据包进行加密并重新 打包，当到达对方 v p n 设备的时候再拆包、脱密，而在公共网络上看到的只是 两个 v p n 设备，隐蔽了网络 a , b ，这样便保证了网络 a , b的安全。 信息网关:信息网关为计算机内的电子文件引入了密级、电子印章和网关 证的概念。信息网关负责检查出入网络的文件是否具有网关证，是否按照所具 有的密级要求进行了加密。在检查合格后文件才能传出网络。 授权和身份认证系统: 授权和身份认证系统加强了原有的基于账户和口令 的访问控制，提供了授权、访问控制、用户身份识别、 对等实体鉴别、抗抵赖 等功能。目前的身份认证系统有一次一密的认证机制， 有基于时钟的动态口令 机制，有基于生理特征的认证机制等等。作为身份的秘密信息可以存储在 i c 卡上，可以由动态口令生成器动态产生，也可以就是你自己的眼睛或手指。 信息加密:信息加密是信息安全应用中最早开展的有效手段之一，信息加 密的目 的是保护网内的数据、文件、口 令和控制信息，保护网上传输的数据。 安全路由器:安全路由器提供了某些基于地址或服务的过滤机制，可以在 一定程度上限制网络访问。 操作系统的内核安全:通过对操作系统内核的裁剪、加固和改造，删除内 核中可能引起安全问题的部分，可以大大加强系统内核的安全性和抗攻击能 力。这种方法固然很好，对一般用户来说却不现实，不过可以选择安全级别高 的操作系统， 提高内核的安全性。 美国国家计算机安全中心( n c s c ) 制定的 可 信计算机评价准则( 也称桔皮书) ， 将计算机系统的安全划分为四个层次七个 级别:d 级，最低级的安全保护，不安全;c 1 级，选择性的安全保护;c 2 级， 受控制的安全保护:b 1 级，可标记的安全保护;b 2级，结构化的安全保护; b 3 级，安全域;a i 级，验证安全设计。 病毒防治:计算机病毒是将自身纳入其他程序中的一段小程序，它可以自 我隐蔽和自 我生成， 利用其他合法程序不断传播进行破坏。 计算机病毒攻击网 络的主要途径是通过软盘拷贝、网络上的文件传输、 硬件设备中的固化病毒的 程序等。网络病毒可以突破网络的安全防御，入侵到网络主机上，破坏资源， 甚至造成网络瘫痪。 病毒防治的方式主要有三种: 病毒预防、病毒检测和病毒 消除。 入侵检测:入侵检测用于实时监视网络上的数据流，寻找具有网络攻击特 征和违反网络安全策略的数据流。 当它发现可疑数据流时按照系统安全策略规 定的响应策略进行响应，包括实时报警、记录有关信息、实时阻断非法的网络 连接、对事件涉及的主机实施进一步的跟踪等。入侵检测系统提供审计功能， 对报警和日志记录进行分析处理， 给出网络安全状况的审计分析报告， 帮助用 户了解网络安全状况。 1 . 5 i n t e r n e t 安全的新趋势 传统的安全防护方法是对网络进行风险分析， 制定相应的安全策略， 采取 1 . 3 节讲述的一种或多种技术作为防护措施。 这种安全方案要取得成功依赖于 系统正确的设置和完善的防御手段， 并且在很大程度上针对固定的威胁和环境 弱点。 这种方式忽略了i n t e r n e t 安全的重要特征，即 i n t e r n e t 安全没有标准 的过程和方法。所谓 “ 道高一尺，魔高一丈”， 它是矛与盾的无限循环，安全 不是一朝之事， 幻想一劳永逸的解决方案是非常危险的， 新的安全问题的出现 需要新的技术和手段来解决，因此，安全是一个动态的、 不断完善的过程。 所 有 i n t e r n e t 安全的新趋势都是为了适应日益变化的i n t e r n e t 环境而产生的口 动态模型:系统安全不能作到一劳永逸，需要动态的构建模型。如近年来 提出的可适应网络安全理论 ( 或称动态信息安全理论)的主要模型是 p 2 d r模 型，如图1 - 1 . p 2 d r 模型给网络安全管理提供了 方法。 所有的安全问题都可以 在统一的策略指导下，采取防护、检测、响应等不断循环的动态过程。 交 生 二 护 。 店 r且 、， . 一 哈 曰. 卜一 石 月r . . ， 二 p 2 d r 防火墙 、 图1 - 1 p 2 d r 模型示意图 模型是在整体的安全策略的控制和指导下， 在综合运用防护工具 ( 如 操作系统身份认证、加密等手段)的同时，利用检测工具 ( 如入侵检 测等系统)了解和评估系统的安全状态， 将系统调整到 “ 最安全”和 “ 风险最 低， 的 状态。 p 2 d r 模 型 包 含4 个主要 部 分: p o l i c y ( 安 全 策略) 、 p r o t e c t i o n ( 防护) 、d e t e c t i o n( 检测)和 r e s p o n s e( 响应) 。防护、检钡 i 和响应组成了 一个完整的、动态的安全循环。在安全策略的指导下保证信息系统的安全。 分而治之:在安全功能、服务的配置上，过去是先从整体定义入手， 但是 i n t e r n e t 是一个多元化的应用环境， 而且处于不断的变动中。 因此现实的解决 办法是 “ 分而治之”。各种应用，各个部门，先在统一的规范下， 分层分步实 施。 有机整合:各种信息安全设施日 趋综合化集成化，如防火墙的连防， 混合 防火墙的出现，防火墙与侵检测和安全代理的联用等等。 智能化:能主动地找出系统的安全隐患，对风险做出半定量的分析， 提出 堵塞漏洞的方案，自 动地随着计算环境的变化， 通过入侵模式识别， 对系统安 全做出校正，这样就由被动防守转向了主动防守。 高速化:随着网络传输技术的飞速发展，宽带时代已然来临。面对千兆网 的巨大数据流，一些安全系统，如入侵检测系统和网络管理系统等，如何完成 数据采集过程?而且h u b 集线器等网络设备将逐渐被路由器交换机等网络设备 所取代，第三层交换技术逐渐普及，网络安全系统也要适应这一转变。 第二章 入侵检测技术研究现状 2 . 1入侵检测的定义 入侵检测( i n t r u s i o n d e t e c t i o n )，顾名思义就是对入侵行为的发觉。 a d e n r s o n 在8 0 年代早期使用了“ 威胁” 这一个术语， 其定义与入侵含义相同， 将入侵企图或威胁定义为未经授权蓄意尝试访问信息、窜改信息、 使系统不可 靠或不能使用【 3 4 1 . h e a d y 给出另外的入侵定义，入侵是指有关试图破坏资源 的完整性、机密性以及可用性的活动集合 3 5 a s m a h a 从分类角度指出入侵包 括尝试性闯入、伪装攻击、安全控制系统渗透、泄露、拒绝服务、恶意使用六 f ， 类型 3 6 。 入侵检测技术模型最早由d o r o t h y d e n n i n g 提出，如图2 - 1 所示 3 7 。目 前，商用检测技术及其体系均是在在此基础上的扩展和细化。 au d it tr a i l/ n e t w o r k p a c k e t s / a p p l i c a ti o n t r a i ls r u le s o r m o d i f y e x is ti n g r u le s ge n e r a t e n e w 图2 - 1通用入侵检测模型 入侵检测是一种动态的网络安全技术，因为它利用各种不同类型的引擎， 实时地或者定期地对网络中相关的数据源进行分析， 依照引擎对特殊的数据或 者事件的认识，将其中具有危险性的部分提取出来，并触发响应机制:入侵检 测的动态性反映在入侵检测的实时性、 对网络环境的变化具有一定程度上的自 适应性，这是以往静态安全技术无法比拟的。 硕士学位论文 ma s t e r s 1 i 1 1 : .s i s 2 . 2入侵检测的功能 2. 2.1监控、分析用户和系统的活动 2. 2.2检查系统配置和漏洞 2 . 2 3评估关键系统和数据文件的完整性 2. 2.4识别攻击并报誉 2. 2.5对异常活动的统计分析 2 . 3入侵检测系统的体系结构以及标准 入侵检测系统的体系结构大致可以分为主机型( h o s t - b a s e d ) 、网络型 ( n e t w o r k - b a s e d ) 和主体型( a g e n t - b a s e d ) 三种 5 4 : 基于主机入侵检测系统为早期的入侵检测系统结构， 其检测的目 标主要是 主机系统和系统本地用户。 检测原理是根据主机的审计数据和系统的日志发现 可疑事件，检测系统可以运行在被检测的主机或单独的主机上 【 3 6 , 5 4 , 5 5 1 . 这种类型系统依赖于审计数据或系统日志的准确性和完整性以及安全事件的 定义。 若入侵者设法逃避审计或进行合作入侵， 则基于主机的检测系统就暴露 出其弱点， 特别是在现在的网络环境下。 单独地依靠主机审计信息进行入侵检 测难以适应网络安全的需求。这主要表现在:主机的审计信息弱点，如易受攻 击、 入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审 计; 不能通过分析主机的审计记录来检测网络攻击 ( 域名欺骗、 端口扫描等) 。 因此， 基于网络的入侵检测系统对网络安全是必要的， 这种检测系统根据网络 流量、协议分析、简单网络管理协议信息等数据检测入侵，如 n e t s t a t 检测 东 f t ., v 6 _ f . 1 二 刁 二 俪 f 久开j 内 r dq 1 主