（计算机应用技术专业论文）基于rbf神经网络的入侵检测系统.pdf

山东大学硕士学位论文 摘要 入侵检测系统( i d s ) 作为一种积极主动的安全防护技术，提供了对内部攻击、 外部攻击和误操作的实时保护，在网络系统受到危害之前，拦截和响应入侵。然 而现在入侵检测系统面临着巨大挑战，越来越复杂的计算机网络系统，越来越高 明的入侵手段都要求入侵检测技术不断快速发展。 本论文概述了如今入侵检测技术的发展现状，概览了当前的网络攻击类型， 分析了传统的入侵检测系统存在的缺点，介绍了常用攻击检测系统的作用、类型 和原理。简单介绍了应用于入侵检测系统的新技术，简要说明了人工神经网络的 学习方法、工作原理，特别对b p 算法和r b f 算法进行了比较。 随着新技术的发展，人工神经网络技术开始广泛的运用于入侵检测系统。现在 流行的b p ( b a c k p r o p a g a t i o n ，误差的后向传播) 神经网络由于技术成熟，在入侵 检测中得到了广泛应用，但其本身所具有的局部极小性限制了检测性能的提高。 r b f ( r a d i a lb a s i sf u n c t i o n ，径向基函数) 网络在逼近能力、分类能力和学习速度 方面均优于b p 网络，能够有效的解决b p 网络所存在的这些问题，提高入侵检测 性能和效率。 本文主要构建了一种基于r b f 神经网络的入侵检测系统，给出了基本的设计 思想和算法，以及样本数据的收集和预处理方法。为使神经网络获得更多的有用 信息，在神经网络的输入中包含了单包信息和包序列信息，对单包进行了过滤， 使单包信息更加完整；从包序列中提取了很多有价值的信息，与传统的入侵检测 相比，有一定的优越性。 将该系统进行了仿真试验，对实验结果进行了客观的比较和分析，发现r b f 网络确实比b p 网络有优势，尤其是大大加快了训练的速度，提高了检测的效率， 实验结果也比较令人满意，漏检率和虚警率都不是很高，而且对新类型的攻击， 也有一定的检测效果。因此r b f 神经网络在入侵检测方面具有很大的发展空间和 应用前景。 本文的创新点是将r b f 神经网络用于入侵检测系统，实现对攻击行为的预测， 报警。而且在数据预处理时，除了有单包信息之外，还包含了很多从包序列中提 取的有价值的信息，提高入侵检测的性能。 山东大学硕士学位论文 由于时间原因，本系统的作用还仅相当于攻击过滤器，网络训练只是为了判断 是否存在攻击。无法正确判断出具体攻击类型，需要进一步改进。 关键词：入侵检测，人工神经网络，b p ，r b f 山东大学硕士学位论文 a b s t r a c t a sa r ta c t i v es e c u r i t y - d e f e n s et e c h n i q u e ，i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) o f f e r s r e a l t i m ep r o t e c ta g a i n s ti n t e r i o ro re x t e r i o ra t t a c k ，a n dm i s t a k e no p e r a t i o n i tc a n i n t e r c e p to rg i v er e s p o n s et ot h ei n t r u s i o nb e f o r et h en e t w o r ki si ni n v a s i o n h o w e v e r , n o w a d a y st h ei n t r u s i o nd e t e c t i o ns y s t e mi sf a c i n gg r e a tc h a l l e n g e s ，m o r ea n dm o l e c o m p l i c a t e dc o m p u t e rn e t w o r ks y s t e ma n dw i s e ri n t r u s i o nm e a l l $ r e q u i r i n gt h ei n t r u s i o n d e t e c t i o nt e c h n i q u et od e v e l o pr a p i d l y s u m m a r i z e i n gt h ea c t u a l i t yo ft h ed e v e l o p m e n to fi d s ，t h ep r e s e n tt h e s i sd e s c r i p t s t h et y p e so fi n t r u s i o ni nt h ei n t e r a c ta n da n a l y z e st h es h o r t c o m i n go ft r a d i t i o n a li d s a n di ti n t r o d u c e st h ef u n c t i o n , t y p e sa n dt h e o r yo fc o m m o ni d s n l et h e s i sg i v e sa b r i e fi n t r o d u c t i o nt ot h en e wt e c h n o l o g i e sa p p l i e di n t oi d sa n de x p l a i n st h el e a r n i n g m e t h o d sa n dw o r k i n gt h e o r i e so fa r t i f i c i a ln e u r a ln e t w o r k ( a n n ) ，e s p e c i a l l yt h e c o m p a r i s o no f t h el e a r n i n ga n dd e t e c t i n gc a p a b i l i t yb e t w e e nb pn e ta n dr b f n e t a n nh a sb e e nw i d e l ya p p l i e dt oi d sa l o n g 、v i t l lt h ed e v e l o p m e n to fn e w t e c h n o l o g i e s a sam a t u r et e c h n o l o g y , b pn e u r a ln e t w o r k sh a v eb e e na p p l i e di nt h ef i e l d o fi n t r u s i o nd e t e c t i o nf o rs e v e r a ly e a r s h o w e v e r , d u et oi t sp r o p e r t yl i m i t a t i o no fl o c a l m i n i m i z a t i o n , i ti sh a r dt oi m p r o v ei t sd e t e c t i o np e r f o r m a n c e s b e c a u s er b f ( r a d i a l b a s i sf u n c t i o n ) n e t w o r ki sb e t t e rt h a nb p a c kp r o p a g a t i o n ) n e t w o r ki ni t sp r o p e r t yo f o p t i m a la p p r o x i m a t i o n ，c l a s s i f ya b i l i t ya n dt h er a p i d i t yo fs t u d y , i tc a ni m p r o v et h e d e t e c t i o np e r f o r m a n c e so fi d s t h i st h e s i sc o n s t r u c t sa ni d sb a s e do nr b fn e u r a ln e t w o r k ，w h i c hg i v e st h eb a s i c t h i n k i n go fd e s i g na n dt h ea r i t h m e t i c ，t h em e t h o do fc o l l e c t i o na n db e f o r e h a n dd i s p o s a l w a yo ft h es a m p l ed a t a i no r d e rt og e tm o i ev a l u a b l ei n f o r m a t i o n , w ep u tt h es i n g l e p a c k a g ea n ds e r i a lp a c k a g e si nt h ei n p u to fa n n ，f i l t e rt h es i n 西ep a c k a g et om a k et h e s i n g l ep a c k a g ei n f o r m a t i o nm o r ei n t e g r i t ya n dp i c ku pm o r ev a l u a b l ei n f o r m a t i o nf r o m t h es e r i a lp a c k a g e s s ot h ei d sb a s e do nr b fh a v em o r ea d v a n t a g ec o m p a r e dw i t h t r a d i t i o n a li d s w eh a v ed o n es o m ee m u l a t i o n a le x a m i n a t i o n st ot h i ss y s t e m t h er e s u l ti n d i c a t e s t h a tr b fn e ti sm o r ep r e p o n d e r a n tt h a nb pn e t r b fn e tc a np a r t i c u l a r l ye x p e d i t et h e t r a i n i n gs p e e da n di n c r e a s et h ee f f i c i e n c yo fi n t r u s i o n t h er e s u l to fe x a m i n a t i o ni s s a t i s f a c t o r y t h ef a l s ep o s i t i v er o t ei sn o tg r e a t ，a n dt h ed e t e c t i o nm t eo fn e wk i n d i n t r u s i o ni sn o tt o ol o w s ot h er b fn e th a sw i d es p a c eo fd e v e l o p m e n ta n df o r e g r o u n d 山东大学硕士学位论文 o f i s ei ni d s t h ei n n o v a t i o no ft h i sd e s i g ni st h ea p p l i c a t i o no ft h er b fn e ti n t oi d sa n dt h e r e a l i z a t i o no f t h ed e t e c t i o na n da l a r mo f i n t r u s i o n d u r i n gt h ef o r e h a n dd i s p o s a lo f d a t a , w en o to n l yd e a lw i t ht h es i n g l ep a c k a g ei n f o r m a t i o nb u ta l s op i c ku pm o r ev a l u a b l e i n f o r m a t i o nf r o mt h es e r i a lp a c k a g e s s ot h ec a p a b i l i t yo fi d si si m p r o v e d b e c a u s eo ft h el i m i t e dt i m e ，t h es y s t e mo n l ye q u a l i t i e saf i l t e ro fi n t r u s i o n , a n d a d j u d i c a t e sw h e t h e rt h ei n t r u s i o ne x i s t s ，b u tc a l ln o tp o i n to u tt h er e a lt y p e so ft h e i n t r u s i o n t h es y s t e ms t i l ln e e d si m p r o v e m e n ti nt h el a t e rt i m e k e yw o r d s ：i d s ，a n n ，b p , r b f 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何 其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡 献的个人和集体，均己在文中以明确方式标明。本声明的法律责任由本人 承担。 论文作者签名：_ j 黏潍 日 期： 堡生虽。s 日 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保 留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅；本人授权山东大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本 学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：腿导师签名：荔釜数日期：盈喀。$ 兰 山东大学硕士学位论文 第1 章绪论 1 1 网络安全成为信息时代人类共同面临的挑战 美国前总统克林顿在签发保护信息系统国家计划的总统咨文中陈述道：“在 不到一代人的时间里，信息革命以及电脑进入了社会的每一领域，这一现象改变 了国家的经济运行和安全运作乃至人们的日常生活方式，然而，这种美好的新时 代也带有它自身的风险。所有电脑驱动的系统都很容易受到侵犯和破坏。对重要 的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后 果，这种危险是客观存在的。过去敌对力量和恐怖主义分子毫无例外地使用炸弹 和子弹，现在他们可以把手提电脑变成有效武器，造成非常巨大的危害。如果人 们想要继续享受信息时代的种种好处，继续使国家安全和经济繁荣得到保障，就 必须保护计算机控制系统，使它们免受攻击。” 在各领域的计算机犯罪和网络侵权方面，无论是数量、手段，还是性质、规模， 已经到了令人昨舌的地步。据有关方面统计，目前美国每年由于网络安全问题而 遭受的经济损失超过1 7 0 亿美元，德国、英国也均在数十亿美元以上，法国为1 0 0 亿法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排 行榜上，计算机犯罪己名列榜首。2 0 0 3 年，c s i f b i 调查所接触的5 2 4 个组织中， 有5 6 遇到电脑安全事件，其中3 8 遇到1 5 起，1 6 以上遇到1 1 起以上。因与 互联网连接而成为频繁攻击点的组织连续3 年不断增加；遭受拒绝服务攻击( d o s ) 则从2 0 0 0 年的2 7 上升到2 0 0 3 年的4 2 。调查显示，5 2 1 个接受调查的组织中9 6 有网站，其中3 0 提供电子商务服务，这些网站在2 0 0 3 年1 年中有2 0 9 6 发现未经 许可入侵或误用网站现象。更令人不安的是，有3 3 的组织说他们不知道自己的网 站是否受到损害。据统计，全球平均每2 0 s 就发生1 次网上入侵事件，黑客一旦 找到系统的薄弱环节，所有用户均会遭殃。 随着网络技术的发展，网络安全的形式越来越严峻。 首先，网络本身是不安全的，网络的协议自身就存在很多漏洞，应用软件和系 统软件中不可避免的存在着b u g ( 如微软的w i n d o w s 系列产品) ，所有这些给了黑 客许多可乘之机，给系统造成威胁。 其次，随着网络的扩展，威胁网络安全的来源越来越复杂，入侵者非法探索被 山东大学硕士学位论文 害系统的动机也越来越多样，而人们对黑客技术的热情有增无减，黑客工具软件 在网络上十分流行并且随处可得，所有这些都使得网络中攻击的发生变得更加不 可测，给网络安全防护带来了更多的困难。 再次，随着网络中的资料越来越重要，提供的服务也越来越多，网络中不安全 因素对整个社会可能造成的影响越来越大，网络的安全与个人生活、商业机密、 政府形象乃至国家安全都休戚相关。 1 2 我国网络安全问题日益突出 目前，我国网络安全问题日益突出的主要标志是： ( 1 ) 计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应 急处理中心副主任张健介绍，从国家计算机病毒应急处理中心日常监测结果看来， 计算机病毒呈现出异常活跃的态势。据2 0 0 1 年调查，我国约7 3 的计算机用户曾 感染病毒，2 0 0 3 年上半年升至8 3 。其中，感染3 次以上的用户高达5 9 ，而且病 毒的破坏性较大，被病毒破坏全部数据的占1 4 ，破坏部分数据的占5 7 。 ( 2 ) 电脑黑客活动己形成重要威胁。网络信息系统具有致命的脆弱性、易受 攻击性和开放性，从国内情况来看，目前我国9 5 与互联网相联的网络管理中心都 遭受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。 ( 3 ) 信息基础设施面l 临网络安全的挑战。面对信息安全的严峻形势，我国的 网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节据英国简 氏战略报告和其它网络组织对各国信息防护能力的评估，我国被列入防护能力 最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排 在印度，韩国之后。近年来，国内与网络有关的各类违法行为以每年3 0 的速度递 增。掘某市信息安全管理部门统计，2 0 0 3 年第1 季度内，该市共遭受近3 7 万次黑 客攻击，2 1 万次以上病毒入侵和5 7 次信息系统瘫痪。该市某公司的镜像网站在 1 0 月份1 个月内，就遭到从外部1 0 0 多个i p 地址发起的恶意攻击 1 3 网络安全技术概述 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然 的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常的运行，网络服 务不中断。网络安全是- - 1 7 涉及计算机科学、网络技术、通信技术、密码技术、 2 山东大学硕士学位论文 信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 网络安全从其本质上来讲，就是网络上的信息安全。 下面给出一个定义：网络信息安全一般是指网络信息的机密性 ( c o n f i d e n t i a l i t y ) 、完整性( h a t e g r i t y ) 、可用性( a v a i l a b i l i t y ) 及真实性( a u t h e n t i c i t y ) 。 网络安全通常分为五个层次，体现为如表1 1 的体系结构。 表1 1 网络安全的体系结构 数据层 加密 应用层访问控制授权 用户层用户组管理单机登录授权 系统层反病毒风险评估入侵检测审计分析 网络层防火墙通信安全 网络安全技术必然体现为保障以上某个或某几个层次的安全。 山东大学硕士学位论文 第2 章入侵检测概述 2 1 入侵简述 2 1 1 入侵的分类 入侵是指有关试图破坏资源完整性、机密性及可用性的活动集合。入侵攻击 的手段一般可以分为下列6 类1 3 】： ( 1 ) 扫描攻击 扫描器是用来检测系统安全漏洞的工具。不同的扫描器检测不同的安全漏洞， 扫描器一般分为两类：系统扫描器和网络扫描器。系统扫描攻击是用系统扫描器 来扫描本地主机，查找明显或者不十分明显的安全漏洞，这些漏洞可能是用户疏 忽、过失或者配置有问题所引起的。网络扫描攻击是黑客常用的一种攻击手段， 黑客可以利用网络扫描攻击检测出主机上的各种服务，然后采取进一步措施来对 主机实行攻击。 ( 2 1 口令攻击 口令攻击是个一般性的术语，它描述各种行为，包括任何解密、破译以及 删除口令的行为，或者绕过口令安全机制的其他方法。最常用的口令攻击方式是 字典攻击。 ( 3 1 尝试登录攻击 尝试登录攻击指用户通过远程登录工具( 如t e l n e t ) 或者暴力登录工具不断的 尝试登录主机，直到登录成功为止。这种攻击与口令攻击有点类似，一般是在知 道用户名的情况下，不断地从字典中抽取新的词汇( 口令) 进行尝试。 ( 4 ) 恶意代码攻击 恶意代码是一种非法的代码( 也包含在合法的程序以内) ，它所执行的功能对 用户来说是未知的：合法的代码被放置在程序中的非法代码所改变。这种非法代 码能隐藏本身并且破坏数据。恶意代码主要有两种类型：特洛伊木马( t r o j a n s h o r s e ) 和病毒( v i r u s e s ) 。特洛伊木马是指任何被恶意程序员修改过的程序，其修 改方法是在合法的代码上附加代码，这些代码执行隐藏和非法的功能，主要是为 黑客以后进入系统打开后门，以窃取用户的机密。病毒则传染、修改或者覆盖你 的引导区记录或程序，在目标文件上附加具有传染性的代码，并在以后不断传播 4 山东大学硕士学位论文 感染或破坏文件。 ( 5 ) 缓冲区溢出攻击 缓冲区溢出攻击是黑客常用的具有较高技巧的一种攻击手段。其攻击的原理 是利用应用程序在接受用户的输入数据时没有检测接受输入的缓冲区大小就接 收，致使黑客通过输入大小超过缓冲区尺度的包含恶意代码的数据，使得内存堆 栈发生溢出，从而修改了某一函数的返回地址，使函数返回地址指向恶意代码所 在的地址。当接受用户输入的函数返回时，转入恶意代码的执行空间，恶意代码 的执行使黑客获得超级用户的权限。 ( 6 ) 拒绝服务攻击 拒绝服务攻击或分布式拒绝服务攻击( d o s 和d d o s ) 是使你的主机失去工 作能力，系统对正常的用户提出的服务请求进行拒绝。拒绝服务攻击一般是通过 耗尽系统的资源和网络带宽来实现的。 2 1 2 典型入侵的步骤 一个典型的入侵过程往往由如图2 1 所示的步骤组成。 图2 1 典型的入侵过程 在这个过程中，有些步骤是关键的。 ( 1 ) 得到进入账号 黑客攻击u n i x 系统的时候，最先要作的就是得到用户名和密码，即得到 c t c s h a n d o w 文件或n i sm a p 。当得到了s h a d o w 文件后，就可以用c r a c k 程序尝试 将其解密。 如何得到目标机器的访问权? 首先是搜集信息，包括一些系统最新的安全漏 洞和攻击漏洞的方法。其次是收集关于目标机器的信息，以利于登录系统。 山东大学硕士学位论文 ( 2 ) 得到超级用户的权限 当得到系统的访问权后，就要得到超级用户的权限。主要途径是找到系统的 漏洞。 ( 3 ) 擦掉踪迹 在( 1 ) ( 2 ) 过程中，往往会在系统中留下很多日志信息，这些信息会暴露黑 客的存在及行踪，所以当一个黑客成功侵入一台主机后，第一件事就是抹去踪迹。 ( 4 ) 攻击其他机器 当完成上面几个步骤后，这台机器就可以用来攻击网络上的其他机器了。一 般手段是修改l o g i n 进程以窃取密码，用s n i f f e r 窃取网络数据再传给攻击者。在这 个阶段，攻击者已经得到了超级用户权限，它可以修改整个系统的行为。 入侵行为随着时间的发展，技术的进步。其特点有了很大的变化，已经趋向 于组织性、大众化、手段多样化发展。所以我们检测入侵的手段也要随着入侵的 发展而更快的发展。 2 2 什么是入侵检测 入侵检测是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安 全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻 找危及机密性、完整性、可用性或绕过安全机制的入侵行为。入侵检测系统 ( i n t r u s i o nd e t e c t i o ns y s t e m , i d s ) 就是自动执行这种监视和分析过程的软件或硬 件产品，用来识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的 非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超 越使用权限的非法行为。它从计算机系统或者网络环境中采集数据、分析数据， 发现可疑攻击行为或者异常事件，并采取相应的措施拦截攻击行为，降低可能的 损失。 入侵检测是一种新的安全机制，它能够通过学习掌握网络或系统中正常或异 常的行为模式，对网络和系统进行动态或者静态的监控，实时的检测入侵，并发 出警告或采取相应的防范措施。它在防火墙之后为系统筑起了另外一道防线。对 一个成功的入侵检测系统而言，它不但是防火墙的有效补充，可以使系统管理员 时刻了解网络系统( 包括程序、文件和硬件设各等) 中发生的变化，而且还能根 6 山东大学硕士学位论文 掘记录的各种监控数据( 如日志文件等) 做出分析，为网络安全策略的制定提供 指南。 2 2 1 防火墙的局限性 防火墙是阻止黑客攻击的一种有效手段，但随着攻击技术的发展，这种单一 的防护手段已不能确保网络的安全，它存在以下的弱点和不足： ( 1 ) 防火墙无法阻止内部人员所做的攻击 防火墙保护的是网络边界安全，对在网络内部所发生的攻击行为无能为力， 而据调查，网络攻击事件有6 0 以上是由内部人员所为。 ( 2 ) 防火墙对信息流的控制缺乏灵活性 防火墙是依据管理员定义的过滤规则对进出网络的信息流进行过滤和控制 的。如果规则定义过于严格，则限制了网络的互连互通；如果规则定义过于宽松， 则又带来了安全隐患。防火墙自身无法根据情况的变化进行自我调整。 ( 3 ) 在攻击发生后，利用防火墙保存的信息难以调查和取证 在攻击发生后，能够进行调查和取证，将罪犯绳之以法，是威慑网络罪犯、 确保网络秩序的重要手段。防火墙由于自身的功能所限，难以识别复杂的网络攻 击并保存相关的信息。 为了确保计算机网络安全，必须建立一整套的安全防护体系，进行多层次、 多手段的检测和防护。入侵检测系统就是安全防护体系中重要的一环，它能够及 时识别网络中发生的入侵行为并实时报警。需要说明的是，虽然目前很多防火墙 都集成有入侵检测模块，但由于技术和性能上的限制，它们通常只能检测少数几 种简单的攻击，无法与专业的入侵检测系统相比。专业入侵检测系统所具有的实 时性、动态检测和主动防御等特点，弥补了防火墙等静态防御工具的不足。 2 2 2 入侵检测系统的基本作用 入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击、外部 攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、拦截和 响应。它具有以下主要作用： ( 1 ) 通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵 事件的发生： 山东大学硕士学位论文 ( 2 ) 检测其它安全措施未能阻止的攻击或安全违规行为； ( 3 ) 检测黑客在攻击前的探测行为，预先给管理员发出警报； ( 4 ) 报告计算机系统或网络中存在的安全威胁： ( 5 ) 提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其 进行修补； ( 6 ) 在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安 全管理的质量。 2 2 3 入侵检测系统的主要性能指标 对于入侵检测系统的评估，其主要的性能指标有： 可靠性：系统具有容错和可连续运行能力； 可用性：系统开销最小，不会过分降低网络系统性能； 可测性：通过攻击可以检测系统运行情况； 适应性：对系统来说是易于开发的，可添加新的功能，能适应系统环境的改 变； 实时性：系统能尽快察觉入侵企图以便制止和限制破坏； 准确性：指检测系统具有低的误警率和漏警率； 安全性：指检测系统必须难于被欺骗和能够保护自身安全。 2 3 入侵检测系统的分类 2 3 1 主机和网络入侵检测 按数据来源的不同，可以将入侵检测系统分为基于网络的入侵检测和基于主 机的入侵检测【3 1 。 ( 1 ) 基于主机的入侵检测系统 基于主机的入侵检测系统通常是安装在被保护的主机上，主要是对该主机的 网络实时连接以及系统审计日志进行分析和检查，当发现可疑行为和安全违规事 件时，系统就会向管理员报警，以便采取措施。早期的基于主机的系统，主要用 来检测内部网络的入侵攻击。 主要优点是：第一：信息源( o s 日志记录) 完备系统产生的日志是归类有 序的。它准确记录了每个用户的行为序列。这样便可以精确监控每个用户的行为 山东大学硕士学位论文 同时也使得i d s 对信息源的处理简单、一致；第二：对某些特定的攻击十分有效。 比如，审计日志能够显示出由缓冲区溢出攻击引起的优先级转移的情况，从而能 够有效地检测缓冲区溢出攻击。 主要缺点是：首先，信息源与操作系统密切相关。由于各个操作平台的臼志 记录形式不同，所以i d s 系统不能通用于各平台，必须为不同的操作系统开发不 同的i d s 版本，这必然造成人力财力的浪费；其次，信息源单一，缺乏相关性。 随着黑客入侵技术的不断发展，系统入侵通常发生在整个网络范围内，涉及系 列主机，所以仅靠单一主机的信息源无法做出准确的判断；再次，对网络底层的 攻击检测困难。尽管日志记录了大量的网络时间信息，但是通过审计日志不能发 现网络数据包内容或底层攻击，比如s y nf l o o d 攻击基于主机的i d s 会由于在 这些日志中没有找到相应信息而忽略某些攻击。 ( 2 ) 基于网络的入侵检测系统 基于网络的入侵检测系统一般安装在需要保护的网段中，实时监视网段中传 输的各种数据包，并对这些数据包进行分析和检测。如果发现入侵行为或可疑事 件，入侵检测系统就会发出警报甚至切断网络连接。基于网络的入侵检测系统如 同网络中的摄像机，只要在一个网络中安放台或多台入侵检测引擎，就可以监 视整个网络的运行情况，在黑客攻击造成破坏之前，预先发出警报。基于网络的 入侵检测系统自成体系，它的运行不会给原系统和网络增加负担。 基于网络的i d s 的主要优点是：首先，与平台无关性。它是以网络数据流作 为信息源，而网络传输的数据都是同一形式的口报文，与主机平台无关；其次， 全局性。由于它位于网络的接入点，所有的通信都会通过这里，所以它的信息源 涵盖了整个内部网络，有利于根据信息的相关性做出全局判断 其主要缺点是：首先，对经过加密的数据流进行分析困难。数据流经过加密 后，其中的数据特征已经变形，i d s 便无法对其进行分析、识别、匹配；其次，难 以精确监控用户行为。基于网络的i d s 只能从用户交换的报文中粗略判断用户的 行为，但是却不能判断出用户行为对目标系统造成的影响，从而忽略某些入侵攻 击行为比如，用户执行了一个缓冲区溢出程序，网络i d s 只能断定用户在执行 一个程序，却无法判断用户执行的程序是否有害。 9 山东大学硕士学位论文 2 3 2 滥用和异常入侵检测 从数据分析手段看，入侵检测通常分为两类：滥用( m i s u s e ) 入侵检测和异常 ( a n o m a l y ) 入侵检测。 ( 1 ) 滥用入侵检测 滥用入侵检测的技术基础是分析各种类型的攻击手段，并找出可能的“攻击 特征”集合。滥用入侵检测利用这些特征集合或者是对应的规则集合，对当前的 数据来源进行各种处理后，再进行特征匹配工作，如果发现满足条件的匹配，则 指示发生了一次攻击行为。这里所指的“特征匹配”根据不同的具体实现手段而 各不相同，从最基本的字符串匹配，到基于状态转移的分析模型等。根据数据来 源的不同，“特征”的含义也随之不同。甚至于在同一种数据来源的入侵检测系统 中，“特征”的含义也是随着不同的实现而不同的。 一 ， ( 2 ) 异常入侵检测 异常入侵检测的假设条件是对攻击行为的检测可以通过观察当前活动与系统 历史正常活动情况之间的差异来实现。异常入侵检测通常都会建立一个关于系统 正常活动的状态模型并不断进行更新，然后将用户当前的活动情况与这个正常模 型进行对比，如果发现了超过设定阈值的差异程度，则指示发现了非法攻击行为。 在异常入侵检测中，最广泛使用的较为成熟技术是统计分析，另一种主要的 异常检测技术是神经网络技术。此外，还有许多其它的异常检测方法出现在各种 文献中，如基于贝叶斯网络的异常检测方法，基于模式预测的异常入侵检测方法， 基于数据挖掘的异常检测方法以及基于计算机免疫学的检测技术等。对于滥用入 侵检测，研究者们已经提出了各种类型的检测方法，如专家系统、特征分析、状 态转移分析等等。此外，还有基于p e t r i 网分析的滥用入侵检测方法，基于神经网 络的滥用入侵检测等。 比较而言，滥用入侵检测比异常入侵检测具备更好的确定解释能力，即明确 指示当前发生的攻击手段类型，滥用入侵检测具备较高的检测率和较低的虚警率， 开发规则库和特征集合相对于建立系统正常模型而言，也要更方便更容易滥用 检测的主要缺点在于一般只能检测到己知的攻击模式，模式库只有不断更新才能 检测到新的攻击方法，而异常检测的优点是可以检测到未知的入侵行为，尽管可 l o 山东大学硕士学位论文 能无法明确指示出何种类型。 从现有的实际系统来看，大多数都是基于滥用入侵检测技术，这也反应了市 场和用户的某种对确定性功能的心理需求。不过在若干种优秀的入侵检测系统中， 也采用了不同形式的异常入侵检测技术和对应的检测模块，在可预见的未来，此 种情况将继续存在，从另一个角度来看，无论是滥用入侵检测还是异常入侵检测， 都是入侵检测的具体技术手段。从最终的需求来看，联合使用这两种检测技术势 在必行。 另外，入侵检测的分类标准还可以列举其它，例如实时和非实时处理系统。 非实时的检测系统通常在事后收集的审计日志文件基础上，进行离线分析处理， 并找出可能的攻击行为总计，目的是进行系统配置的修补工作，防范以后的攻击； 这种批处理的离线工作模式在早期的系统中比较常见。随着处理能力的提高和联 网环境的普及，实时处理系统逐渐变得流行。网络入侵检测系统实时监控网络流 量，并在出现异常活动时及时做出反应。主机检测系统也是类似，实时监控审计 日志的变化，并及时发现危险的攻击行为。实时工作模式的出现，反映了用户对 及时防范当前攻击行为的需求；当然，与其他任何实时系统一样，实时的概念是 一个根据用户需求而定的变量，当系统分析和处理的速度处于用户需求范围内时， 就可以称为实时入侵检测系统。 现在优秀的入侵检测系统一般都综合运用了上述的各种检测方法。 山东大学硕士学位论文 第3 章现有入侵检测系统的发展状况 目前国际上入侵检测的研究主要集中在美国，有许多研究得到政府和军方的 支持，并在实际环境中应用，而且还有大量的商用入侵检测工具如n f r 公司 ( n e t w o r kf l i g h tr e c o r d e r , i n c ) 的入侵检测系统- m a ( i n t r u s i o nd e t e e t i o i l a 口p l i a n c e ) 等。国际上对入侵检测系统的标准化工作已经开始起步。 在入侵检测领域内应用最为广泛，同时也是最为成熟的技术是基于专家系统 的规则化检测技术，在入侵检测技术的发展历程中，从系统安全管理员手工检查 海量审计日志记录到使用专家系统的规则库来判断入侵痕迹的存在，是一个历史 性的飞跃。典型的入侵检测系统，如i d e s 和n i d e s 系统等，都很好的实现了专 家系统基于规则检测的概念，并在实际应用中取得了较好效果。 但是，随着系统安全环境特别是网络系统安全形势的变化，传统的基于专家 系统的检测技术暴露出若干局限性和不足。 3 1 传统专家系统检测技术的不足 首先，传统专家系统检测的依赖于一个复杂而庞大的规则库。面对不断变化 的攻击手段和多样复杂的变种情况，该规则库需要进行随时随地的更新升级。因 为专家系统检测技术完全依赖于准确的规则库匹配方式进行入侵检测工作，所以， 一个陈旧的检测规则库带来的后果可能就是漏检大量的入侵活动；更严重的是造 成安全管理员虚假的安全表象，导致重大的安全漏检和隐患。 其次，基于专家系统的检测方法缺乏足够的灵活性来检测已知入侵方法的变 种；通常的规则推导过程是在精确匹配的基础上进行的，如果某种攻击手段的执 行过程发生某些细微的改变，对于专家系统而言，如果没有找到对应的更新的规 则就会被认为是合法行为，产生漏检情况。另一方面，如果采用更为通用的监测 规则，则有可能发生将合法用户行为错误认定为非法行为的虚警现象 另外，专家系统的检测方法对在时间上分散的攻击活动，或者是由多用户发 起的协同攻击行为也难以奏效。因为，它只关注单个异常事件的出现与否，而对 事件状态随时间发生的变化情况无法处理口1 山东大学硕士学位论文 3 2 入侵检测技术进一步发展的方向 3 2 1宽带高速网络的实时入侵检新技术 大量高速网络技术如a t m ，千兆以太网，g 比特光纤网等在近年内不断出现， 在此背景下的各种宽带接入手段层出不穷，其中很多已经得到了广泛的应用。如 何实现高速网络下的实时入侵检测已成为个现实的问题。目前，国外市场已经 推出了几款基于千兆以太网环境下的入侵检澳4 系统产品，但是其性能指标还远未 成熟。 这需要考虑两方面的问题。首先，入侵检测系统的软件结构和算法需要重新 设计，以适应高速网络的新环境，重点是提高运行速度和效率。开发和设计相适 应的专用硬件结构，加上配合设计的专用软件是解决这一问题的途径；另一个问 题是，随着高速网络技术的不断进步和成熟，新的高速网络协议的设计也成为未 来一个发展趋势，如对t c p i p 协议的重新设计等，所以，现有的入侵检测系统如 何适应和利用未来新的网络协议结构是一个全新的问剐1 4 】。 3 2 2大规模的分布式入侵检测技术 传统的集中式入侵检测技术的基本模型是在网络的不同网段中放置多个传感 器或探测器用来收集当前网络状态信息，然后这些信息被传送到中央控制台的某 些命令和下载在某些识别模板。 这种集中式模型具有几个明显的缺点：首先，面对在大规模异质网络基础上 发起的复杂攻击行为，中央控制台的业务负荷将会达到不可承受的地步，以至于 无法具有足够能力处理来自四面八方的消息事件这种情况会造成对许多重大消 息事件的遗漏，大大增加漏警概率。其次，由于网络传输的时延问题( 这在大规 模异质网络中尤其如此) ，达到中央控制台的数据包中的事件消息只是反映了它刚 被生成时的环境状态情况，已经不能反映可能随着事件已经改变的当前状态。这 将使基于过时信息做出的判断的可信度大大降低，同时也使得返回去确认相关信 息来源变得非常困难。异质网络环境所带来的平台差异性也将给集中式模型带来 诸多困难。因为每一种攻击行为在不同的平台操作环境中都表现出不同类型的模 式特征，而已知的攻击方法数目非常之多，更何况还要面对不断出现的新型攻击 手段。 山东大学硕士学位论文 面对诸多难题，很多新的思路已经出现了，其中一种就是攻击策略分析( a t t a c k s t r a t e g ya n a l y s i s ) 方法。它采用了分布式智能代理的结构方式，由几个中央智能 代理和大量分布的本地代理组成，其中本地代理负责处理本地事件，而中央代理 负责整体的分析工作。与集中式模型不同的是，它强调的是通过全体智能代理协 同工作来分析入侵者的攻击策略，中央代理扮演的是协调者和全局分析员的角色， 但绝不是唯一的事件处理者，这种方法有明显的优点，同时又带来了其他一些问 题，如大量代理的组织和协作问题，相互之间的通信，处理能力和分析任务的分 配等等【3 1 。 3 2 3入侵检测的数据融合技术 目前的入侵检测系统还存在诸多缺陷。首先，现有的实时检测系统在技术上 还不具备以检测到由受到良好训练的黑客发起的复杂隐蔽攻击行为的能力。其次， 检测的虚警问题也是一个令许多网络管理员头疼的事情。同时，来自各种渠道的 大量泛滥数据，系统消息常常没有得到很好和及时的处理，这样非但无助于解决 问题，反而浪费和降低了i d s 系统的处理能力和检测性能。 为解决上述问题，多传感器数据融合技术提供了一条重要的技术途径。它能 够把从多个已知分布式传感器处得到的各种数据和信息综合成为一个统一的处理 进程，来评估整个网络环境的安全性能。数据融合入侵检测系统的输入可以是从 网络嗅探器处得到各种网络数据包，也可以是系统日志文件、s n m p 信息、用户 资料信息、系统消息和操作命令，系统输出是入侵者的身份估计和确定位置、入 侵者的活动信息、危险性信息、攻击等级和对整个入侵行为危险程度的评估等 入侵检测数据融合技术同样面临着若干挑战，例如开发一种通用的结构化“元 语言”，用于描述入侵检测和网络管理的对象以及对动态网络攻击行为的检测技 术，还有将具有强烈数学背景的多传感器数据融合理论应用到实际的i d s 系统所 面i 临的若干复杂问题等。 3 2 4 先进检测算法的应用 这几年随着网络及其安全技术的飞速发展，一些机器学习算法在入侵检测技 术中应用，主要包括： ( 1 ) 软计算方法：软计算方法包含了神经网络、遗传算法与模糊技术。运用 山东大学硕士学位论文 神经网络进行入侵检测有助于解决具有非线性特征的攻击活动。 而用于入侵检测的神经网络运用模糊技术确定神经网络的权重，加快神经网 络的训练时间，提高神经网络的容错和外拓能力。神经网络方法的运用是提高检 测系统的准确性和效率的重要手段。近年来，还有人运用遗传算法、遗传编程及 免疫原理进行入侵检测。 ( 2 ) 移动代理：移动代理的特性，如动态迁移性、智能性、平台无关性、分 布的灵活性、低网络数掘流量和多代理合作等特性，特别适合作大规模信息收集 和动态处理。在i d s 的信息采集和处理中采