（计算机应用技术专业论文）量子遗传算法在异常检测中的应用研究.pdf

摘要 入侵检测系统和生物体的免疫系统有着天然的相似之处，生物免疫系统有效的保护机 体免受各种侵害的机理为研究计算机安全提供了重要的依据。从信息学角度来看，生物免 疫系统实质上是一个大规模的信息处理系统，它具有分布性、自适应性、健壮性等良好特 性，而这正是目前计算机安全系统需要的。因而本文分析生物免疫系统，剖析生物免疫系 统的工作原理，模拟生物免疫的思想构建基于人工免疫的入侵检测系统。 入侵检测系统是指能够自动识别计算机系统内的入侵行为的系统，它可以检测出内部 用户或外部入侵者的非授权使用、误用和恶意攻击等异常行为模式，保护计算机系统的安 全。入侵检测技术主要分为误用检测和异常检测两部分，误用检测可以检测已知的攻击模 式。异常检测是通过对系统异常行为的检测，可以发现未知豹攻击模式。对于异常检测来 说，系统用户的正常模式应该是不断修正和更新的，因此检测子也需要不断更新完善。 本文在前人研究成果的基础上，基于人工免疫的思想，结合量子理论和传统遗传算法，改 进了f o r r e s t 等人提出的基于免疫的静态克隆选择算法，设计了一个基于人工免疫的入侵 检测系统模型一一基于人工免疫的分布式入侵检测系统模型，着重对异常检测进行了研 究。该模型模拟了生物免疫系统中的阴性选择、克隆选择等基本工作原理和机制，用量子 遗传算法不断演化检测子，保留高效的检测子，提高了检测效率。 关键词：入侵检测：人工免疫；克隆选择；阴性选择；量子遗传算法 a b s t r a c t t h ei n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) a n dt h eb i o l o - g i c a li m m u n es y s t e mi ss i m i l a rn a t u r a l l y t h ep r i n c i p l eu s e db yb i o l o g i c a li m m u n es y s t e mt op r o t e c tb o d yf r o mi n v a s i o np r o v i d e s i m p o r t a n tw a r r a n t yf o rr e s e a r c ho fc o m p u t e rs e c u r i t y f r o mt h ev i e w p o i n to fi n f o r m a t i o n ， b i o l o g i c a l i m _ m t l n e s y s t e m i nf a c ti sa c o m p e l l i n ge x a m p l e o f m a s s i v e l y - - p a r a l l e l i n f o r m a t i o n p r o c e s s i n gs y s t e m i t i s d i s t r i b u t e d ，a d a p t i v e ，r o b u s t t h e s e a r et h ee x a c t c h a r a c t e r i s t i c st h a tm o s tc o m p u t e rs e c u r i t ys y s t e m sn e e d e d s ot h ep a p e ra n a l y z e st h eb i o l o g i c a l i m m u n es y s t e mb u i l d sa l la r t i f i c i a li m m u n es y s t e m ( a i s ) r e f e r r i n gt oc o m p u t e rs e c u r i t yb a s e d o n i t t h ei d si sa na u t o m a t e ds y s t e mf o rt h ed e t e c t i o no fc o m p u t e rs y s t e mi n t r u s i o n t h em a i n g o a lo ft h ei d si st od e t e c tu n a u t h o r i z e du s e ，m i s u s ea n da b u s eo fc o m p u t e rs y s t e m sb yb o t h s y s t e mi n s i d e r sa n de x t e r n a li n t r u d e r s i n t r u s i o nd e t e c t i o nt e c h n i q u e sc a nb ec a t e g o r i z e di n t o m i s u s ed e t e c t i o na n da b n o r m a ld e t e c t i o n m i s u s ed e t e c t i o ns y s t e m ，u s ep a t t e r n so fw e l l k n o w n a t t a c k so rw e a ks p o t so f t h es y s t e mt om a t c ha n di d e n t i f yk n o w ni n t r u s i o n ，p a t t e r n so rs i g n a t u r e s a b n o r m a ld e t e c t i o ns y s t e m ，f l a go b s e r v e da c t i v i t i e st h a td e v i a t es i g n i f i c a n t l yf r o me s t a b l i s h e d n o r m a lu s a g ep r o f i l e sa sa n o m a l i e s ，s oi tc a l ld e t e c tn o v e li n t r u s i o np a t t e m s t h en o r m a lu s a g e p r o f i l e si sc h a n g e dc o n t i n u a l l y , s ot h ed e t e c t o r sa l s on e e du p d a t ec o n t i n u a l l y a c c o r d i n gt ot h e w o r ko ft h ef o r m e rr e s e a r c h e r s ，t h i sp a p e rd e s i g n sa na r t i f i c i a li m m u n em o d e lf o ri n t r u s i o n d e t e c t i o ns y s t e m ，w h i c hi si n s p i r e db yb i o l o g i c a li m m u n es y s t e ma n dc o m b i n e dw i t hq u a n t u m t h e o r ya n dc o n v e n t i o n a le v o l u t i o n a r ya l g o r i t h m t h ei d sb a s e do na r t i f i c i a li m m u n es y s t e m m o d e ls i m u l a t e sn e g a t i v es e l e c t i o n ，c l o n a ls e l e c t i o ni nb i o l o g i c a li m m u n es y s t e m t h ei d s e m p l o y sn e g a t i v es e l e c t i o na l g o r i t h m t oc r e a t ed e t e c t o r s ，o p t i m i z e st h e mc o n t i n u a l l yu s i n g q u a n t u mg e n e t i ca l g o r i t h ma n dm a i n t a i n se f f i c i e n td e t e c t o r s k e y w o r d s ：i n t r u s i o nd e t e c t i o n ；a r t i f i c i a li m m u n e ；c l o n a ls e l e c t i o n ； n e g a t i v es e l e c t i o n ；q u a n t u mg e n e t i ca l g o r i t h m i i 南京邮电大学 硕士学位论文摘要 学科、专业：工学计算机应用技术 研究方向：计算机在通信中的应用 作 者：三q 堕级研究生 冯莉指导教师孙力娟 题目：量子遗传算法在异常检测中的应用研究 英文题目：q u a n t u mg e n e t i ca l g o r i t h ma n di t sa p p l i c a t i o ni nt h e a b n o r m a ld e t e c t i o n 主题词：入侵检测人工免疫克隆选择阴性选择 量子遗传算法 k e y w o r d s ： i n t r u s i o nd e t e c t i o na r t i f i c i a li m m u n e c l o n a ls e l e c t i o n n e g a t i v es e l e c t i o n q u a n t u mg e n e t i ca l g o r i t h m 南京邮电大学硕f 究生学位论文前言 课题背景： 刖茸 本课题来源于江苏省高校自然科学研究计划项目一一基于智能技术的分布式入侵检 测关键技术研究。本课题主要针对当前入侵检测系统的研究和开发现状，根据人工免疫系 统的特点，构建基于智能技术的分布式入侵检测系统，并对其中的关键技术进行深入研究 并提出解决方案。 由于计算机的应用不断普及，计算机安全越来越引起人们的重视。生物免疫系统所表 现出来的分布性、自组织性等特性为计算机安全的实现提供了丰富的想象源泉。人工免疫 是对生物免疫系统的模拟，免疫学者把生物免疫系统抵御病毒入侵描述为区分“自我”和 “非我”。“自我”是人体内正常的细胞，而“非我”是那些外来的病菌。类似的，保护计 算机系统不受恶意入侵也被视为区分“自我”和“非我”。在计算机系统中，“自我”是指 授权用户的合法行为、正常的通信模式等；“非我”则包括非授权用户的行为、病毒、特 洛伊木马和破坏性数据等。区分“自我”和“非我”是生物免疫系统的主要工作原理，也 是基于人工免疫的入侵检测技术的核心思想。 入侵检测技术主要分为误用检测和异常检测两部分，误用检测可以检测已知的攻击模 式，而异常检测通过对系统异常行为的检测，可以发现未知的攻击模式。对于异常检测来 说，系统用户的正常模式是不断修丁f 和更新的，因此检测子也需要不断更新完善。本文 主要研究异常检测中的关键技术，通过不断优化异常检测器中的检测予，使其不断更新、 完善，适应网络流的变化，来达到检测的目的。 目前对基于人工免疫的入侵检测系统的研究已经取得了一定的进展，但还存在诸多的 问题，例如： 1 “自我”集合的确定； 2 “自我”与“一m 我”辨识算法的完善与实现； 3 完善的计算机安全体系结构的研究与验证。 在异常检测中，要检测入侵，首先需要一个检测子集合，捕获网络流并和这个集合中 的记录进行比较，若匹配，则为入侵。由此可见，检测子集合的优劣直接影响着检测的效 率。一个好的检测子集合可以减少系统的误报率和漏报率。一般用检测子适应度值的大小 南京邮电大学硕士研究生学位论文前言 来描述检测子的优劣，保留适应度值大的检测子，淘汰适应度值小的检测予，这一工作是 由克隆选择来完成的。 克隆选择是异常检测的一个重要组成部分，它的基本功能是把在检测过程中表现好的 检测子保存下来，并根据网络流的变化，不断对其进行优化，在这个过程中引入好的引导 机制，增强优化算法的智能性是非常重要的。量子遗传算法( q u a n t u m g e n e t i ca l g o r i t h m ， q g a ) 是一种新型的概率优化算法，它基于量子计算理论，融台遗传算法，很好地保持种群 多样性，具有并行计算能力，目前q g a 已被用于求解组合优化问题。 本文在克隆选择算法中引入量子遗传算法，用来优化检测子，在综合分析研究免疫理 论和方法的基础上，构建针对计算机安全问题的基于人工免疫的入侵检测系统模型，并对 其中重要部分一一异常检测进行了深入研究，采用量子遗传算法进行党隆选择，并在量子 遗传算法中采用了动态调整策略。仿真实验表明采用q g a 优化检测子比采用传统的遗传算 法优化检测子的效果好，检测效率高。 本人工作： 本文主要工作如下： ( 1 ) 介绍基于人工免疫的入侵检测系统的应用、研究现状，入侵捡溅的方法和技术， 并重点分析了克隆选择在异常检测部分的作用以及研究现状： ( 2 ) 量子计算利用了量子态的叠加性和相干性，是量子力学直接进入算法领域的产物， 已成为当今世界各国紧密跟踪的前沿学科之一。进化算法( e v o l u t i o n a r y a l g o r i t h m - - e a ) 是解决优化问题的一种有效方法，e a 尽量维持个体多样性和群体收敛性之间的平衡，但 它没有利用进化中未成熟优良子群体所提供的信息，因此收敛速度很慢。本文阐述了量子 遗传算法的原理和研究现状。 ( 3 ) 设计了一个基于人工免疫的入侵检测系统模型一一基于人工免疫的分布式入侵检 测系统模型，并重点研究异常检测部分。本文改进了目前已有的基于免疫的静态克隆选择 算法，用量子遗传算法不断优化检测子，保留高效的检测子，提高了检测效率。最后进行 了仿真实验，验证了算法效果。 组织结构： 全文共分四个章节，内容组织结构如下： 第一章介绍入侵检测系统，主要包括入侵检测的概念、发展历史、研究现状，异常检 2 南京邮电大学硕= l j 研究生学位论文 前言 测和误用检测两种入侵检测技术。 第二章深入分析生物兔疫系统的多层次结构、工作机制以及它的自组织、自适应、分 布式等特性t 研究基于人工免疫的入侵检测系统，重点讨论了异常检测，说明了克隆选择 戎羹审鼢作用以及研究现弑。 。第兰章研究了一种新型黪餐能优化算法一一量子遗传算法，主要包括量子遗传算法的 原理、算法流程以及研究动态： 第四章设计了一个基于人工免疫韵入侵检测磊统模型，对其中异常检测部分进行了重 点研究，采用改进的量子遗传算法优纯入侵检溅系统中的检测子，并进行了仿真实验。 最后对本文进行总结，探讨人工免疫系统模型在计算机安全领域的研究与应用及进一 步的发展方向。 3 南京衄电大学硕十研究生学位论立第章入侵检测的方法与技术 第一章入侵检测的方法与技术 随着计算机网络的广泛应用，其安全问题也变得越来越突出。入侵检测作为安全的最 后屏障，可以在一定程度上预防和检测来自系统内外部的入侵。入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m 。i d s ) 是一个目前热门的研究领域。虽然u n i x 系统上的一些系统日志、 审计记录工具早在2 0 世纪7 0 年代就已经有了，但真正的入侵检测系统只是在2 0 世纪8 0 年代末才开始被研究，并系统化的发展，成为今天网络安全中一个不可缺少的部分。 本章主要介绍入侵检测的发展历史、入侵检测的基本概念、检测的主要方法以及入侵 检测系统的分类以及它的主要响应机制。 1 1 入侵检测的发展历史 1 9 8 0 年4 月，j a m e sp _ a n d e r s o n 为美国空军做了一份为 ( 计算机安全威胁监控与监视) 的技术报告，第一次详细的 阐述了入侵检测拘概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分 为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。 这份报告被公认为是入侵检测的开山之作。 从1 9 8 4 年孤1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s p i c s l ( s r i 公司计算机科 学实验室) 的p e t e rn e u m a n n 研究出了一个实时入侵检测系统模型，取名为i d e s ( 入侵检 测专家系统) 。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录、 活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检 测系统提供了一个通用的框架。 1 9 8 8 年，s p i c s l 的t e r e s al m l t 等人改进了d e n n i n g 的入侵检测模型，并开发了一个 i d e s ( 图1 1 ) 。谚系统包括了一个异常检测器和个专家系统，分别用于统计异常模型的 建立和基于规则的特征分析检测。 f 1 9 9 0 年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的i l t h e b e r l e i n 等人开发出了n s m ( n e l w o r ks e c u r i t ym o n i t o r ) 。该系统第一次直接翘网络流 作为审训数据来源，因而可以在无须将审计数据转换成统一格式的情况下监控异种主机。 自此，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的i d s 和基于 自此，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的i d s 和基于 4 南京邮电大学硕士研究生学位论文第一章入侵检测的方法与技术 第一章入侵检测的方法与技术 随着计算机网络的广泛应用，其安全问题也变得越来越突出。入侵检测作为安全的最 后屏障，可以在一定程度上预防和检测来自系统内外部的入侵。入侵检测系统( i n t r u s i o n d e t e c t i o ns y n e m ，i d s ) 是一个目前热门的研究领域。虽然u n i x 系统上的一些系统日志、 审计记录工具早在2 0 世纪7 0 年代就已经有了，但真正的入侵检测系统只是在2 0 世纪8 0 年代末才开始被研究，并系统化的发展，成为今天网络安全中一个不可缺少的部分。 本章主要介绍入侵检测的发展历史、入侵检测的基本概念、检测的主要方法以及入侵 检测系统的分类以及它的主要响应机制。 1 。1 入侵检测的发展历史 1 9 8 0 年4 月，j a m e sp a n d e r s o n 为美国空军做了一份题为 ( 计算机安全威胁监控与监视) 的技术报告，第一次详细的 阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分 为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。 这份报告被公认为是入侵检测的开山之作。 从1 9 8 4 年到1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s p i c s l ( s r i 公司计算机科 学实验室) 的p e t e rn e u m a r m 研究出了一个实时入侵检测系统模型，取名为i d e s ( 入侵检 测专家系统) 。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录、 活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检 测系统提供了一个通用的框架。 1 9 8 8 年，s p u c s l 的t e r e s al u n t 等人改进了d e n n i n g 的入侵检测模型，并开发了一个 i d e s ( 图1 1 ) 。该系统包括了一个异常检测器和一个专家系统，分别用于统计异常模型的 建立和基于规则的特征分析检测。 1 9 9 0 年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的j l t h e b e r l e i n 等人开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。该系统第一次直接把网络流 作为审计数据来源，因而可以在无须将审计数据转换成统一格式的情况下监控异种主机。 自此，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的i d s 和基于 4 南京邮电大学硕士研究生学位论文第一章 入侵检测的方法与技术 主机的i d s 。 1 9 8 8 年的英里斯蠕虫事件发生之后，网络安全才真正引起了军方、学术界和企业的高 度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国 家实验室、加州大学戴维斯分校、h a n y s t a c k 实验室，开展对分布式入侵检测系统( d i d s ) ( 图1 2 ) 的研究，将基于主机和基于网络的检测方法集成到一起。 图1 1i d e s 结构图 d i d s 控制器 主机代理l a n 代理 主机事件发生器l a n 事件发生器 ： 图1 2d i d s 结构图 d i d s 犹如分布式入侵检测系统历史上的一个里程碑似的产品，它的检测模型采用了 分层结构，包括数据、事件、主体、上下文、威胁、安全状态等六层。从2 0 世纪9 0 年代 到现在，对入侵检测的研发工作已呈现出百花争鸣的繁荣局面，并在智能化和分布式两个 方向取得了长足的进展。目前，s r i c s l 、普渡大学、加州大学戴维斯分校、洛斯阿拉莫 斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高 水平【1 】。 1 2 入侵检测的基本概念 随着网络的开放性，共享性以及互联程度的日益扩大，计算机技术和网络技术已经深 入到社会的各个领域，人类社会各种活动对信息网络的依赖程度越来越大。人们在得益于 信息革命所带来的新的巨大的机遇的同时，也不得不面对信息安全问题的磐峻考验。正是 由于网络越来越重要，黑客入侵和病毒蔓延对国家安全，企业安全和个人安全造成的损失 也日益严重。因此，信息安全和网络安全的问题已经引起了各国，各部门，各行各业以及 每一个计算机用户的充分重视。 南京邮电大学硕。l ，研究生学位论文 第一章入侵检测的方法与技术 1 2 1 安全的概念 什么是网络安全( n c t w o r ks e c u r i t y ) ? 简单地说，安全的计算机系统是一个可以信赖的 按照期望的运行方式运行的系统【2 】。网络安全是一个实践性和理论性都很强的领域，同时， 理论和实践也是计算机安全领域的两种研究方法。理论性表现在建立正确的安全模型并在 数学上对安全特征进行特征化；而实践性表现在从工程的角度研究安全问题的“病理学”。 从网路安全的角度来看，网络包括了数据、关系、能力三个要素。数据是网络中传递 的信息；关系是指通信各方信赖关系的建立与维护；能力是指网络的传输能力和端系统的 处理能力。网络安全的意义在于对网络的这三个要素提供保护，使三者只能为合适的人服 务。相应的，就可以使用安全三元术语来更精确地描述网络安全：数据保护。保护数据 只能被授权用户所访问，主要针对数据窃取、数据窜改等攻击，基本手段包括加密和访问 控制。关系保护。安全的建立、维护信赖关系，主要针对网络身份冒充、连接截取， 基本的手段包括加密和协议的安全设计。能力保护。它包括对网络传输能力和端系统的 处理能力进行保护，主要针对拒绝服务、远程权利获取等攻击，使用的手段基本上是实验 性的，入侵检测就是手段之一。 关于网络安全体系的构建，国内大多数网络安全公司都在沿用国际上的p 2 d r ( 见图 1 3 ) 网络安全理论模型，即可适应网络安全理论模型。p 2 d r 模型是网络安全中一个很有 名的模型，它最早是由美国国际互联网安全系统公百q o s s ) 提出的。p 2 d r 模型包含四个主 要部分：p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 和r e s p o n s e ( 响 应) 。按照p 2 d r 的观点，一个良好的完整的动态安全体系，不仅需要恰当的防护( 比如 操作系统访问控制、防火墙、加密等) ，而且需要动态的检测机制( 比如入侵检测、漏洞 扫描等) ，在发现问题时还需要及时作出响应，这样的一个体系需要在统一的、一致的安 全策略的指导下实施，由此形成一个完备的、闭环的动态自适应安全体系。 不过，p 2 d r 模型中对安全恢复的环节没有足够重视，它把恢复( r e c o v e r y ) 包含在响 应环节中，只作为事件响应之后的一项处理措施。随着人们对业务连续性和灾难恢复愈加 重视，由p 2 d r 模型衍生而来的p d f d _ ：模型开始得到人们的重视，p d r r 模型，或者称作 p p d r r 或p 2 d k 2 ，与p 2 d r 模型非常相似，唯一的区别就在于把恢复环节提到了和防护、 检测、响应等环节同等的高度。在p d r y 、模型中，安全策略、防护、检滴、响应和恢复共 同构成了完整的安全体系。其中，恢复环节对于信息系统和业务活动的生存起着至获重要 的作用。只有建立并采用完善的恢复计划和机制，其信息系统才能在重大灾难事件中尽快 恢复并延续业务。 6 南京邮电大学硕士研究生学位论文 第一章入侵检测的方法与技术 图1 3p 2 d r 模型示意图 围绕安全策略的具体需求有序地组织在一起，架构一个所谓的”动态”的安全防范体 系。上述安全模型，存在一个致命的弱点，就是忽略了内在的变化因素。如人员的流动， 人员的素质差异和策略贯彻的不稳定性，这种所谓的动态安全模型，唯一的动态因素是建 立在检测( d e t e c t i o n ) 上。而解决手段仅仅是防护。实际上，安全问题牵涉面广，单纯的 防护不能解决问题，系统本身安全“免疫力”的增强、系统和整个网络的优化，以及人这 个在系统中最重要角色的素质提升等，都是p d r 安全模型没有考虑到的问题 入侵检测就是p 2 d r 模型中的检测，它的作用在于承接防护和响应的过程，是p 2 d r 模 型作为一个动态安全模型的关键所在。在网络中，只有防护是不够的，在设计现有防护系 统的时候，只可能考虑到已知的安全威胁与有限范围内的未知安全威胁。防护技术只能做 到尽量组织攻击企图的得逞或者延缓这个过程，而不能阻止各种攻击事件的发生。应该 注意的是，图1 3 中虽然是一个平面的循环，但实际上应该是一个螺旋上升的过程，经过 一个p d r 循环之后，进行防护的水平应该是提高的。策略是这个模型的核心，在具体的实 旆过程中，策略意味着网络安全要达到的目标，它决定着各种措施的强度。从上面模型 中可以看到，系统安全管理分为防护，检测，调查，响应四个阶段，其中数据分析出现在 检测阶段。数据分析的结果能够直接或间接地满足调查和响应的要求，并礴以菠过来影响 系统的防护能力。因此，它起到了对系统安全承上启下的重要作用。 南京邮电大学硕士研究生学位论文 第一章入侵检测的方法与技术 1 2 。2 入侵及入侵检测的概念 a n d e r s o n 在2 0 世纪8 0 年代使用了“威胁”这一概念，其定义与入侵的含义相同。 他将入侵企图或威胁定义为未经授权蓄意访问信息，篡改信息，使系统不可靠或不能使用 的行为。h e a d y 给出入侵的另外定义，入侵是指有关试图破坏资源的完整性( i n t e g r i t y ) ， 机密性( c o n f i d e n t i a l i t y ) 及可用性( a v a i l a b i l i t y ) 的活动集合。s m a h a 从入侵策略的角度将 入侵检测的内容分为：试图闯入，冒充其他用户，违反安全策略，合法用户的泄漏，独占 资源( 拒绝服务) ，恶意使用等6 种类型。 “入侵( i n t r u s i o n ) ”是个广义的概念，不仅包括发起攻击的人( 如恶意的黑客) 取得 超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访i n 1 ( d o s ) 等对计算机系统 造成危害的行为。入侵行为不仅来自外部，同时也指内部用户的未授权活动。 入侵是指采翔数据攻击、身份冒充、非法使用服务、拒绝服务等技术手段，对网络的 三个要素发动的攻击。数据攻击包括信息窃取、非法获取数据、篡改数据等手段；身份冒 充包括地址伪装、会话重放、特洛伊木马、陷阱门等手段；非法使用服务包括主机缓冲区 溢出、服务漏洞攻击、系统漏洞攻击等手段；拒绝服务包括占用网络带宽、干扰服务、本 地关机、远程关机等手段。 基于上述概念的阐述，可以将入侵检测定义为：入侵检测系统是对网络系统的运行状 态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完 整性和可用性。 一个完善的入侵检测系统必须具有经济性、时效性、安全性和可扩展性，并且可以通 用的划分为数据提取模块、数据分析模块和结果处理模块三部分，其系统结构如图1 4 所 示。 吲狂巫丑到狂甄丑狂垂丑到 图1 4 通用入侵检测系统结构图 数据提取模块的作用在于为系统提供数据，将处理过的数据提交给数竭分析模块；数 据分析模块的作用在于对数据进行深入地分析，发现攻击并根据分析的绪檗产玺事件，传 递给结果处理模块。结果处理模块的作用在于警告与反应，从非技术的角度来说，绩果处 理模块的告警是通知管理员。 南京邮电大学硕士研究生学位论文第一章入侵检测的方法与技术 1 3 入侵检测方法 数据分析技术主要可以分为两大类，误用检测( m i s u s ed e t e c t i o n ) 和异常检测 ( a b n o r m a ld e t e c t i o n ) 。误用检测搜索审计事件数据，查看其中是否存在预先定义的误用 模式；异常检测则提取正常模式审计数据的数学特征，检查事件数据中是否存在与之相违 背的异常模式。下面详细介绍这两类数据分析技术。 1 3 a 误用检测 误用检测对系统事件的检查基于这样一个问题：系统行为是否代表着特定的攻击模式? 首先对标识特定的入侵行为模式进行编码，建立误用模式库，然后对实际检测过程中得到 的事件数据进行过滤，检查是否包含入侵行为的标识。 该类检测的缺陷在于只能检测己知的攻击模式，当出现针对新漏洞的攻击手段或针对 旧漏洞的新攻击方式时，需要由人工或者其他机器学习系统得出新攻击的特征模式，添加 到误用模式库中，才能使系统具备检测新的攻击手段能力。 该类检测技术的典型代表是特征模式匹配技术，协议分析技术，状态协议分析技术等。 特征模式匹配技术就是将收集到的信息与己知的网络入侵和系统误用模式数据库进 行比较，来发现违背安全策略的入侵行为。该过程可以很简单，也可以很复杂。一种进攻 模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进 行判断，能减少系统占用，并且技术已相当成熟，但检测准确率和效率需要提高，同时， 该技术需要不断进行升级以对付不断出现的攻击手法，并且不能检测未知攻击手段。 协议分析技术是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它 充分利用了网络协议的高度有序性，并结合了高速数据包捕获、协议分析和命令解析，来 快速检测某个攻击特征是否存在，这种技术f 逐渐进入成熟应用阶段。协议分析大大减少 了计算量，即使在高负载的高速网络上，也能逐个分析所有的数据包。采用协议分析技术 的i d s 能够理解不同协议的原理，由此分析这些协议的流量，来寻找可疑的或不正常行为。 对每一种协议，分析不仅仅基于协议标准，还基于协议的具体实现，因为很多协议的实现 偏离了协议标准。协议分析技术观察并验证所有的流量，当流量不是期望攮嚏，i d s 就发 出告警。协议分析具有寻找任何偏离标准或期望值的行为的能力，因此能够检测到已知和 未知攻击方法。 状态协议分析技术就是在常规协议分析技术的基础上，加入状态特性分析，即不仅仅 9 塑蔓坚皇查堂堡主堕塞生些笙苎苎二里垒堡垫型些互鎏量蔓查 检测单一的连接请求或响应，而是将一个会话的所有流量作为一个整体来考虑。有些网络 攻击行为仅靠检测单一的连接请求或响应是检测不到的，因为攻击行为包含在多个请求 中，此时状态协议分析技术就显得十分必要。 1 3 。2 异常检测 基于异常的入侵检测方法主要来源于这样的思想：任何的正常行为都是有一定的规律 的，并且可以通过分析这些行为产生的日志信息( 假定日志信息足够完全) 总结出这些规 律，而入侵和滥用行为则通常和正常的行为存在严重的差异，通过检查出这些差异就可以 检测出入侵。这样，就能够检测出非法的入侵行为，甚至是通过未知攻击方法进行的入侵 行为，此外不属于入侵的异常用户行为( 滥用自己的权限) 也能被检测到。 异常检测是目前入侵检测系统的主要研究方向，其特点是通过对系统异常行为的检 测，可以发现未知的攻击模式。异常检测的关键问题在于正常使用模式的建立以及如何利 用模式对当前的系统用户行为进行比较，从而判断出与正常模式的偏离程度。 对于异常检测来说，系统用户的正常模式应该是不断修正和更新的。检测器所使用 的度量也需要不断完善，因为不能保证使用当前所定义的度量可以表示出所有的异常行为 模式。针对这一问题，还需要进行大量的研究工作，检查异常检测系统是否具有检测所有 攻击行为的能力，从而为目标系统提供强健的安全防护机制。 该类检测技术的典型代表有统计分析技术，数据重组技术，行为分析技术。 统计分析方法首先给系统对象( 如用户、文件、目录和设备等) 创建一个统计描述， 统计正常使用时的一些测量属性( 如访问次数、操作失败次数和延时等) 。在比较这一点 上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较， 任何观察值在正常值范围之外时，就认为有入侵发生。这样做的优点是可检测到未知的入 侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体 的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正 处于研究热点和迅速发展之中。 数据重组是对网络连接的数据流进行重组再加以分析，而不仅仅分析单个数据包。 行为分析技术不仅简单分析单次攻击事件，还根据前后发生的事件确谯是否确有攻击 发生，攻击行为是否生效。由于算法处理和规则制定的难度很大，目前还不是非常成熟， 但它却是入侵检测技术发展的趋势。 入侵检测的数据分析技术分类如图1 5 所示： 1 0 里堡业皇查堂堡主堡塑生堂垡堡皇 蔓二皇垒堡笙型墅查鲨量垫查 除了上面介绍的两大类数据分析技术，在近期入侵检测系统的发展过程中，研究人员 还提出了一些新的分析技术，这些技术不能只简单地归类为误用检测或者是异常检测，而 是提供了一种有别于传统入侵检测视角的技术层次，例如基因算法、数据挖掘、基于代理 的检测等。随着这些技术的发展和应用，入侵检测系统的水平也将随之提高。 图1 5 数据分析技术分类图 1 4 入侵检测系统分类 所谓入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是指能够检测本地主机和网络 系统中发生的入侵，并对之作出响应的系统。定义中的入侵是指发生在本地主机和网络系 统中的任何非授权的或异常的行为。 根据入侵检测所要处理信息的来源不同可以将入侵检测系统分为两类：基于主机 ( h o s t - b a s e d ) 和基于网络的( n e t w o r k - b a s e d ) 入侵检测系统。 1 4 1 基于主机的入侵检测系统 基于主机的入侵检测系统出现在2 0 世纪8 0 年代初期，其监测目标主要是本地主机系 统和网络系统中的本地用户，监测原理是根据主机的审计数据和系统的日志发现可疑事 件，监测系统运行在被监测的单个主机上。那时网络还没有今天这样普遍、复杂，且网络 之间也没有完全连通。在这一较为简单的环境里，检查可疑行为的审计记录是很常见的操 作。由于入侵在当时是相当少见的，所以通过对攻击的事后分析就可以防止今后的攻击。 这种类型的系统的性能主要依赖于审计数据和系统日志的准确性和完整性以及安全事件 的定义。 l l 妻塞塑皇查兰堡主堡壅生堂垡堡苎苎二兰垒堡丝型塑直鲨兰茎查 目前，基于主机的入侵检测系统仍使用审计数据和系统日志，但处理的自动化程度大 大提高，并能够迅速对入侵作出响应。它可以监视系统状态、系统中发生的事件、w i n d o w s n t 下的安全日志以及u n i x 环境下的系统记录。当这些文件发生变化时，入侵检测系统 将新的记录条目与攻击特征相比较，看它们是否匹配。如果匹配，系统就会向管理员报警， 以便采取相应的防护措旋。 基于主机的入侵检测系统在发展过程中融入了其他技术。例如，它使用定期检查，检 验这种通用的方法对关键系统文件和可执行文件进行检测，以便发现意外的变化。定期检 查校验直接影响入侵检测系统反应速度的快慢。此外，许多基于主机的入侵检测系统产品 都监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法实际是将基于网 络的入侵检测的基本方法融入到基于主机的检测环境中。 1 4 。2 基于网络的入侵检测系统 随着计算机网络技术的发展，单独地依靠主机审计信息进行入侵检测则难以适应安全 的需求，因而出现了基于网络的入侵检测系统。 基于网络的入侵检测系统根据瞬络流量、协议分析、简单网络管理协议信息等数据检 测入侵。它通常利用一个运行在随机模式下的网络适配器来实行实时监视并分析通过网络 的所有通信。它的攻击识别模块使用模式、表达式或字节匹配，频率或穿越阀值，低级事 件的相关性以及统计学意义上韵异常现象等四种常用技术来识别攻击。目前已有的基于网 络的入侵检测系统可以分为三类：集中型，层次型和协作型。 大多数入侵检测系统商业产品是基于网络的。为了检测入侵，这种入侵检测系统捕获 并分析网络数据包。通过监听某个网段的流量，一个基于网络的入侵检测系统可以监控并 分析该网段发生的事件，从而可以保护该网段的所有主机。 1 5 入侵检测系统的响应机制 入侵检测系统( i d s ) 作为一种积极主动的安全防御技术，不仅能够检测来自网络外 部的入侵，同时还能够监督网络内部用户的活动。在i d s 发现入侵或异常行为时，就要对 其进行响应，响应是i d s 的一个重要组成部分，i d s 响应可分为主动响应与被动响应； 南京邮电大学硕士研究生学位论文第一章 入侵检测的方法与技术 1 5 。1 主动响应技术 主动响应能够阻止正在进行的攻击，使得攻击者不能够继续访问。在主动响应里，入 侵检测系统( 自动的或与用户一起) 应能阻塞攻击或影响进而改变攻击的进程。主要包括 以下几种形式： 夺对入侵者采取反击行动： 夺修正系统环境； 令收集尽可能多的信息。 ( 1 ) 对入侵者采取反击行动 1 ) 入侵追踪技术 对入侵者采取反击行动的方式可以使网络安全管理人员能够追踪入侵者的攻击来源， 并采取行动切断入侵者的机器和网络连接。 撤销连接是指当i n s 监视端口时，攻击者对被监视端口进行连接并同时发送多个数据 包，其中含有攻击代码，i d s 根据攻击模式匹配库检测到攻击代码后，命令被保护主机撤 销这个t c p 连接。 断路响应一般发生在i d s 所保护的计算机系统没有管理分析人员时。其原理是，在某 一段时间内发生了足够多的攻击，：i d s 就向一个逻辑控制继电器发出命令，将路由器的电 源断路，使得受控网络节点从i n t e r n e t 中断开。 屏蔽发生内部滥用的主机当i d s 对被保护计算机系统进行监控时，根据异常行为规则 库或模式匹配库，发现系统内某台主机存在异常活动或误操作行为，就会发出命令切断可 疑主机的网络连接，使其从被保护计算机系统中断开。然后，管理员再对可疑主机进行分 析。 但是这一方式本身就存在安全纰漏，首先入侵者的常用攻击方法是先黑掉一个系统， 然后再利用它作为攻击另外系统的平台；其次，即使入侵者来自一个合法控制的系统，但 他也会利用i p 地址欺骗技术使反击误伤到无辜者；并且反击的结果可能挑起最猛烈的攻 击，因为入侵者会从常规监视和扫描演变成全面的攻击，从而是系统资源陷入危机。 2 ) 入侵警告和预防 对付入侵者也可以采取比较温和的方式。一方面，入侵检测系统可以有意的断开与其 的网络对话，例如向入侵者的计算机发送t c p 的r e s e t 包，或发送i c m pd e s t i n a t i o n 南京邮电大学硕士研究生学位论文第一章入侵检测的方法与技术 u n r e a c h a b l e ( 目标不可达) 包，系统也可以利用防火墙和网关阻止来自入侵的i p 地址的数 据包；另一方面，系统可以发邮件给怀疑入侵者的系统管理员请求协助以识别问题和处理 问题。 = 口l0 + 声1 1 1 口12 + i 1 ( 3 一1 ) 式中口，是两个复常数，l 口i2 ，l 声 2 分别表示量子比特处于“0 ”态和“1 ”态的概 率。 对存在多态的问题进行量子比特编码，一个有m 个量子比特位的系统可描述为： 引外p o 嘲降，i = 1 , 2 , - - m z ， 采用量子比特存储和表达的基因，该基因可以为一个“0 ”态或“1 ”态，或者它们的 任意叠加态。随着l 口f2 ，f l2 趋于0 或1 ，量子比特编码的染色体将收敛到一个单一态。 3 2 2 量子遗传算法流程 量子遗传算法的算法流程具体如下： 南京邮电大学硕士研究生学位论文第三章量子遗传算法概述 i 产生初始种群q ( t 。) l i 对q ( t 。) 各个体实施一次测最得p ( t ) l i 计算适应度并记录最佳个体l f 对q ( t ) 各个体实施一次测量得p ( t ) i i 计算适应度| i 运用量子旋转门进行调整更新j 记录最佳个体 i = = 矗 图3 1 量子遗传算法流程图 ( 1 ) 初始化种