（计算机应用技术专业论文）选择性网络入侵检测系统的研究与实现.pdf

江苏大学硕士研究生毕业论史 摘要 互联网的飞速发展使人与人之间的交流超越了时间和空间的限制，打破了国 家与地区问有形和无形的壁垒，实现了全球性的资源共享，但同时也对网络安全 提出了新的挑战。 入侵检测系统作为安全的最后一道屏障，能够提供强大的主动策略和解决方 案，成为既能防止内部入侵又能防止外部入侵、保护用户数据的主要手段和发展 趋势。但是现有的入侵检测系统在运行过程中仅仅注重某一方面的性能，例如准 确率或者运行效率等等，不能兼顾总体性能的均衡，导致系统管理员在选择时左 右为难。因此，设计和实现一个可以按照系统管理员的要求来动态调整性能的网 络入侵检测系统有着非常重要的现实意义。 本文首先介绍了嘲络安全现状及其关键技术，着重介绍了入侵检测技术的相 关内容以及该领域的国内外研究现状和发展方向。 然后介绍了入侵检测系统体系结构的发展过程，提出了一个具有选择性功能 的四层网络入侵检测系统。在系统的设计过程中，我们重点实现了以下3 个关键 技术： 1 ) 注重了与管理员的交互，将优先级的概念引入特征提取，管理员可以通 过设置特征优先级的闽值来干涉系统的运行，从而可以进一步决定系统的总 体性能，在系统的运行效率、检测率和误报率等参数之间找到一个最佳的结 合点。 2 ) 引入二级神经网络集成模型来提高系统的检测率。 3 ) 自主定义一个二元通用数据存储模型来存储各类入侵特征。 最后在b r o 的平台上实现了基于优先级的特征提取算法和基于特征选择的 网络数据包捕获方法，并给出了两个算法的理论分析和实验结果以及二级神经网 络集成算法的仿真效果。 关键词：入侵捡测；数据模型：神经网络集成：特征提取；特征优先级 江苏大学硕士矾宄生毕业论文 a b s t r a c t t h er a p i dd e v e l o p m e n to fi n t e m e th a sm a d et h ei n t e r c o m m u n i o na m o n gp e o p l e b r e a kt h er e s t r i c t i o no fs p a c ea n dt i m e ，a n de l i m i n a t e da l lt h eb a r r a c k sb e t w e e n c o u n t r i e sa n dr e g i o n s ，v i s i b l ea n di n v i s i b l e m e a n w h i l ei th a sb e e nc h a l l e n g i n gt h e s e c u r i t yo fi n t e m e t i n t r u s i o nd e t e c t i o nt e c l m o l o g y , f o ri t sp o s i t i v ep o l i c ya n dr e s o l u t i o n ，h a sb e c o m e t h em a i nm e t h o da n dt e n d e n c yt op r o t e c tu s e r s d a t aa n dp r e v e n ti n n e ra n do u t e r i n t r u s i o n h o w e v e r , a d m i n i s t r a t o r su s u a l l yd o n tk n o wh o wt os e l e c ta l li d st op r o t e c t h i sl a na st h ee x i s t i n gi d si s n tt a k e ni n t oa c c o u n t i n t e g r a t e dp e r f o r m a n c e s t h e r e f o r e ，i ti sv i t a l l yi m p o r t a n tt od e s i g na n di m p l e m e n ta na d a p t a b l ei d sf o r a d m i n i s t r a t o r s f i r s t l y , t h i sp a p e ri n t r o d u c e sn e t w o r ks e c u r i t ya n dt h ek e yt e c h n o l o g yo fi t ，w i t h t h ef o c u so nt h et e c h n o l o g yr e l a t e dt oi n t r u s i o nd e t e c t i o n b e s i d e s ，t h ea c t u a l i t yo ft h i s s t u d ya n d i t st r e n di nt h i sf i e l dw o r l d w i d ea tp r e s e n ta r ea l s oe m p h a s i z e d s e c o n d l y , w ei n t r o d u c et h ep r o p o s e da r c h i t e c t u r eo fn i d sw h i c hh a s4l a y e r s w i t hs e l e c t i v ea b i l i t y i nt h i ss y s t e md e s i g n ，w eh a v er e a l i z e dt h r e ek e yt e c h n o l o g i e s a sf o l l o w s ： 1 ) w ed e f i n ep r i o r i t yf o re v e r yi n t r u s i o nf e a t u r eu n d e r w h i c ha d m i n i s t r a t o r sc a l l a d j u s tt h et o t a lp e r f o r m a n c et h r o u g l ls e t t i n gt h et h r e s h o l do ff e a t u r ep r i o r i t ) ；a n d t h e ng e tt h eb e s tt o t a lp e r f o r m a n c ea m o n gr u ne f f i c i e n c y ，d e t e c tr a t ea n df a l s e a l a r mr a t e 2 ) 2 - l a y e re n s e m b l i n gn e u r a ln e t w o r ki si n t r o d u c e da sd e t e c t i o nm o d e l 3 ) ab i n a r yd a t am o d e li sg e n e r a t e d ，w h i c hc a ns t o r ea l lk i n d so ff e a t u r e s i nt h ee n do ft h i sp a p e r , r nn i d sw a sd e v e l o p e do nt h eb a s i so fb r o ，w h i c h i n c l u d e st h ei n t r u s i o nf e a t u r es e l e c t i o na l g o r i t h mb a s e do np r i o r i t ya n dt h ea p p r o a c h o fc a p t u r i n gp a c k e t sb a s e do nf e a t u r es e l e c t i o no t h e rt h a nt h eb a s ef u n c t i o no fb r o t h ev a l i d i t yo fa b o v em e t h o d si sp r o v e dt n o u g has e r i e so fe x p e r i m e n t k e yw o r d s ：i n t r u s i o nd e t e c t i o n ，d a t am o d e l ，n e u r a ln e t w o r ke n s e m b l e s ，f e a t u r e s e l e c t i o n ，f e a t u r ep r i o r i t y i l 搓苏太学鞭士蟥究生毕业论文 学位论文版权使用授权书 本学位论文作者完全了解学校有关傈蟹、使稽学位论文的娆定，葡意学校保 留并向国家有关部门或机构送交论文的复印件和电予版，允许论文被查阅和借 阅。本人授权江苏大学可以将本学位论文的全部内容或部分内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 爆密口，在年解密后适趋本授投书。 本学垃论文属刁二 4 i 保密曰。 学位论文作者签名：步；耖尊 “年害月二5 日 i 指导教师签名：彰以 。6 年j 月诌i j 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容以 外，本论文刁i 包含任何其他个人或集体已经发表或撰写过的作品 成果。对本文的研究做出重要贡献的个人和集体，均已在文中以 明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：予；多 h 期：加o 年孑月 江苏大学硕士研究生毕业论文 1 1 研究背景 第一章绪论 随着科学技术的迅猛发展，人类已进入信息时代。在这个时代中，计算机技 术和网络技术已经深入到了社会的各个领域。特别是i n t e r n e t 的出现，更给人们 的日常生活带来了全新的感受。但是，这些技术同其他新的技术一样，有利也有 弊。在我们享受它们带来的便利、快捷的服笼的同时，安全问题也悄悄地来到我 们身边。 使用i n t e r n e t 的用户之所以能够以惊人的速度增长，得益于i n t e r n e t 与生俱 有的开放性、交互性和分散性等特征，满足了人类所憧憬的信息共享、开放、灵 活和快速的需求。网络环境为信息共享、信息交流、信息服务创造了理想空州 网络技术的迅速发展和“泛应用，为人类社会的进步提供了巨大推动力。然而， 正是由于互联网的上述特性，产生了许多安全问题。黑客正是利用了这个弱点， 制造了一个又一个的网络入侵事件。 目前，网上的攻击事件层出不穷，针对不同系统弱点的黑客工具屡见报道。 从c e r t c c 的统计报告中可以看m , t l i ：白2 0 0 0 年开始，每年网络入侵的事件数都 成倍增长。黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、进入银行 盗取和转移资金、窃取信息、发送假冒的电子邮件等，从而引发各类网络案件， 造成了巨大的经济损失。 尤其值得指出的是，随着“政府上网”、“企业上网”等工程的实施，困内 一大批中小型网站应运而生，它们当中的大部分根本就没有一套完善的安全体系 作保障，缺乏安全管理、安全维护、安全运行机制，也没有专门的网络安全人员 进行专业管理和维护。在搭建企业网站的过程中，他们追求的是实效性，可用性， 只要能够提供正常服务就万事大吉，甚至连那些早已发现的安全漏洞都不去修 补，早已证明为不安全的服务也照样提供。对于这样的网站，简直就是一个彳i 设 防的城市，稍有黑客技术的不法分子都能对其进行一定程度的攻击和破坏。为此， 在i n t e r n e t 日益渗透到人们工作和生活的今天，提高网络的防护能力，保证网 络的安全已成为当务之急。 网络安全的目标为：保密性( c o n f i d e n t i a l i t y ) 、完整性( i n t e g r i t y ) 和可用性 ( a v a i l a b i l i t y ) 【2j 。但是随着i n t e r n e t 技术日趋成熟，使得企业数据网络迅速地从以 封闭型的专线、专网为特征的第二代技术转向以i n t e m e t 互联网技术为基础的第 三代企业信息网络。由于早期的网络协议在设计上根本没有考虑到安全因素，加 t 苏大学硕十研究生毕业论文 上使用和管理上的问题，网络本身不可能具有上述的三个性能，只能依靠其他方 法来弥补这些漏洞。 传统的网络安全技术有访问控制、身份认证和防火墙等，但这些技术都属于 被动防御，只能限制客体是否允许被涝问，不能限制主体的任何行为。虽然防火 墙以其成熟的技术、实用的产品和较高的性能，在网络安全体系巾起着重要的作 用，但它只能防止外来入侵，根本检测不到数据型的攻击和来自网络内部用户的 入侵。 入侵检测技术是近年来发展迅速的主动防御技术，它作为安全的最后一道屏 障，能提供强大的主动策略和解决方案，成为既能防止内部入侵又能防止外部入 侵、保护用户数据的主要手段和发展趋势【3 】。 1 2 入侵检测技术相关介绍 入侵检测( i d ，i n t r u s i o nd e t e c t i o n ) 技术是网络安令的核心技术之一。它是 一种主动的安全措施，用 二检测任何损害或企图损害系统的保密性、完整性或可 用性的行为，并提出相应的解决措施”“。从而使系统管理员可以轻松地监视、 审计、评估网络系统的安全性。下面我们介绍这种技术的相关研究内容。 1 2 1 研究现状 国内外对入侵检测的研究大约已有二十多年，从无到有，正成为一个非常活 跃的研究领域。1 9 8 0 年，a n d e r s o n 为美国空军做了一份技术报告，使用了术语 “成胁”，其定义与入侵相同，他第一次详细阐述了入侵检测的概念，将入侵企 图或威胁定义为未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使 用。他提出了一种对计算机系统风险和威胁的分类方法，将威胁分为外部渗透、 内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想”1 。 1 9 8 6 年d e n n i n g 和n e u m a n n 提出一种实时入侵检测模型以及入侵检测专家系统 ( i d e s ) 。i d e s 主要是通过统计的方法来检测攻击以及发现用户的异常行为。 1 9 8 7 年，d e n n i n g 首次将入侵检测的概念作为种计算机系统安全防御问题的措 施提出，并提出了种通用的入侵检测系统的抽象模型。1 9 8 8 年的m o r r i si n t e m e t 蠕虫事件导致了许多i d s 系统的开发研制，如，l u n t 等人提出了与系统平台无 关的实时检测思想。1 9 9 0 年，h e b e r l e i n 等人提出基于网络的入侵检测，通过主 动监视网络信息流量来检测攻击。1 9 9 1 年，n a d i r 和d i d s 提出了收集以及处理 多主机的审计信息来检测对主机的协同攻击。1 9 9 6 年，g r i d s ( g r a p h b a s e d i n t r u s i o nd e t e c t i o ns y s t e m ) 的实现使得对大规模自动或协同攻击的检测更为便 利。 i = 【苏大学礤士研究生毕业论文 近年来，麓着巅丽黼绍韵攻击事 牛越来越多，丽蟊。所有翁数据都能孤网络中 提取，网络入授检测系统的研究越来越受到人们的重视。网络入侵检测系统的数 据添来源予整个藩域瓣，它蓄巍将丽终适配器设置成淄杂模式来采集熬个霜络豹 数据包，面不魑针对巢一台主机；然崩通过重缀和分拆这些数据包来判断是否趣 含有入侵幸亍为。露蓊，已有不多静霹络入侵检测系统成功遗嗣二商建镁域和研究 领域。例如：c i s c os e c u r e1 1 3 s 7 1 ， f o g w a s h i 舯，d r a g o n 9 l ，h a y n t t l 0 1 。b r o l l “。 毽是遮浆系绫赋是在慕一个狡麓主有虢势，铡鲡运行效率或者检测难确率等，没 有考虑到系统的整体性能。其实，一个镣理员嶷正关心的是入侵检测系统到底逑 不逶合螽己静运霉亍环辘，希望瓷入霞捡测系统酌各个筏筏之两找瑚一个最佳结合 点，使蕻能更好地满足实际的需要。针对这种情况，本文设计和实现了一个能够 与系统管理员交互翁溺络a 餐稳鬻系统。癌予在系统中我锅萼 入了特鬣忧先缀瀚 概念，箭理员可以通过设霞特征优先级的闽值米改变系统的性能，使系统的总体 性爱戆甥瀵霆当蘸运行环境翦褥求。韭乏步 ，我们稳菊二缀替经掰络集成禊警索提 高系统的检测攀。 1 2 2 入侵检测方法 姨分耩方法来看，入霞检溅逶鬻可泼努蔻褥娄：辩常裣测酾误瑙稔溺。 异常梭铡( a n o m a l yd e t e c t i o n ) 雾鬻毪溺褒稼为基于 为婚捡溺，它遥遵瓣察当蓊活囊与系统雳变正誊活动 之间的游异来实现检测。异常检测首先建立一个系统正常活动的状态模型并不蛳 更囊，然后海蔫户当嚣辫活魂落凝与这个正鬻校墅逶牙对篷，鞠粟两誊髓差雾程 度超过设定的阈值，则认为出现了非法攻击。 髯常检测蠢两令关键运题；祷锤嚣懿选棒，雾常检溺蓄先是要建立系缓裁 用户的“正常”行为的特征库，这就要求以最少的特征最涵盖系统或用户的行为 特篮。参考窳藿鹭选定。参考蘑篷黔选定是嚣零关瓣酶，蟊粱篾氇定筠过大， 漏检率( f a l s en e g a t i v er a t e ) 就会很高；如果阈值定得过小，则谍报率( f a l s ea l a r m r a t e ) 靛会禳褰。 虽然这种方法能够检测出新的入侵，而且系统不需凝找出发生异常行为的原 霹秘祷铥，迢建它氇存在老鼓下两个聚点： 1 高误报率。系统不能检测在正常的行为特征库建立和训练阶段以前的用 户行为。 2 用户行为会随着时间的变化商爨化，因此需要缀常更新正常行为库，猩 更囊行为疼戆铡候，系统裁会符壹运蜇，这在一定程鏖上又增搬了诿报率。 误用检测( u is u s ed e t e n tio d ) 江苏大学硕上研究生毕业论文 误用榆测根据已知的攻击方法，预先定义入侵模式，通过判断这些模式是否 现米完成检测任务。目前，误用检测使用的主要技术有：模式匹配、专家系统、 状态转移等。 误用检测的关键问题是如何正确表示攻击签名( a t t a c ks i g n a t u r e ) 。尤其是攻 击签名必须能够准确的表示入侵行为及其所有可能的变种，同时又不会把非入侵 行为包含进来。 误用检测具有较高的检测准确率和较低的误报率。但它也存在些缺点：漏 检率比较高，只能检测己知入侵：与系统的相关性很强，对于不同的操作系统由 于其实现机制不同，对其攻击的方法也不尽相同，因此很难定义出统一的模式库。 随着人工智能和模式识别技术的发展，结合上述荫种检测方法的研究越来受 到人们的关注【”1 。a i le f l 等人1 1 3 】提出应该将模式识别技术引入入侵检测，主要原 因有以下两点： 一个检测模型能够从给定样本上进行训练，然后将其泛化，从而可以检 测新的攻击。 2 利用这种学习方法，攻击特征能够自动地从带有标记的阚络数据中提取， i 叮以免去人为的干扰。 在此基础上，人们利用识别攻击和误用模式来构建检测模型 1 4 - 2 t ，取得了良 好的效果。 1 2 3 入侵检测模型 最早的入侵检测模型由d o r o t h yd e n n i n g 在1 9 8 7 年提出。这个通用的入 侵检测模型与具体系统和具体输入无关，并对以后的大部分实用系统都有借鉴价 值，如图1 1 所示。 图1 1通用入侵检测系统模型 该图给出了这个通用模型的体系结构。事件产生器可根据具体应用环境而有 所不同，一般来自审计记录、网络数据包以及其它可视彳亍为，产生的事件构成了 检测的基础。行为特征表是整个检测系统的核心，它包含了用于用户行为特征的 江苏大学硕十研究生毕业论文 所有变量，这些变量可根据具体所采用的统计方法以及事件记录中的具体动作模 式而定义，并根据匹配上的记录数据更新变量值。如果有统计变量的值达到了异 常程度，则行为特征表产生异常记录，并采取一定的措施。规则模块可以由系统 安全策略、入侵模式等组成。它一方面为判断是否入侵提供参考机制，另一方面 根据事件记录、异常记录以及有效日期等参数来控制并更新其它模块的状态。在 具体的实现上，规则的选择与更新可能不尽相同，但一般来讲，行为特征模块执 行基于行为的检测，而规则模块执行基于知识的检测。 1 9 9 8 年，c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) 1 2 3 1 阐述了个入 侵检测系统( i d s ) 的通用模型( 如图1 2 所示) 。 事f q ：产生瓣啦科分析蒸 q f f l 宝群埔。 鹳戍单元 图1 2c i d f 模型结构图 上图将一个入侵检测系统分为以下四个组件： 事件产生器( e v e n tg e n e r a t o r s ) 事件分析器( e v e n ta n a ly z e r s ) 响应单元( r e s p o n s eu n i t s ) 事件数据库( e v e n td a t a b a s e s ) c i d f 将i d s 需要分析的数据统称为事件( e v e n t ) ，它可以是网络中的数据包， 也可以是从系统目志等其它途径得到的信息。事件产生器从入侵检测系统之外的 计算机环境中收集事件，并把这些事件转化为标准的数据格式一统一入侵对象 ( g e n e r a l i z e di n t r u s i o nd e t e c t i o no b j e c t s ，g i d o s ) 以便系统其它部件使用。 事件分析器分析格式化后的事件，进行真正意义上的入侵检测，并产生新a i d e s ， 这些新的g i d o s 可以被看作是输入事件的总结或综合，或被看作是一个警告。事 件数据库用来存储g i d o s ，以备系统需要的时候使用。响应单元处理收到的g i d o s ， 并据此采取相应的措施，如杀死相关进程、将连接复位、修改文件权限等。g j d o s 由标准入侵描述语言( ac o m m o ni n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ，c i s l ) 1 2 4 1 定义。 江苏大学酬 上研究生毕业论文 1 2 4b r o 系统介绍 b r o l 2 5 1 是凌l a w r e n c eb e r k e l e yn a t i o n a ll a b o r a t o r y 野发懿实辩隧终入艇 检测系统，运行在1 i n u x u n ix 环境下，它有下面五个主要优点： 1 )高速捡测 2 ) 实时通知 3 清晰的秽理与茨路分裹嚣刽 4 ) 可扩展性 5 )具有戆够阻挡对鑫身攻击斡熊力 从功能上菊，b r o 是一个三层分缴结构( 如图1 3 所示) 。在最底层，b r o 使 用l i b p c a p 从网络上提取数据包，l i b p c a p 提供了系统独立的燃户级别嬲终数掇 包捕获接厂| ，并充分考虑到应用程序的可移植性，屏蔽了具体网络硬件对b r o 入侵检测功熊的影响，这样便可在低屡次上对避入网终的数据镪进行过虑，只接 获b m 要求检测的数掘包。 廷瓢 。跌 i”：j 督 0 神挪船“一跪划” l ef t , , p 狲t o ，5 t 厂三t 图l _ 3b r o 系统结构图 当li b p c a p 获取款数据包到达事件孳l 擎时，弓l 擎羞先对数据龟头馓食法瞧梭 套，生成一系列事件，比如引擎收到一个t c p 镪会先梭套t c p 头的c h e c k s u m 是 否正确，检查通过懿后，引擎捻查包头的标记使，如果蹩s y n 搽记，弓l 黎会启动 一个定时器并生成一个c o n n e c t i o n a t t e m p t 事件；当引擎再收到一个对方的确 认包时，引擎会关搏定时器并生成一个c o n n e c t i o ne s t a b l i s h e d 事传；如果l | 芟 到一个r s t 包弓f 擎则会生成一个c o n n e c t i o n r e j e c t e d 事件。这些事件都会被 提交绘上层的燕赂脚本烬释器，如果列j o 关心这些事 牛，可以编写策略脚本定义 相应的事件处理例程。在这一层，b r o 述会对一臻应用层协议做鼹深层次的分析， 比如h t t p 协议，弓l 擎会进一步分析数掇包是请求还是回应、访闷的对象、请求 的方法等信息并生成相应的事件，并包含了相关的数据字段。秘前的最新版本软 6 江苏大学硕士研究生毕业论文 件支持f i n g e r 、f t p 、h t t p 、i d e n t 、p o r t m a p 、s m l p 等应用层协议的分析，随着 软件的开发会有更多的应用层协议分析加入进来，b r o 在这一层上实现了应用层 的协议分析并向上层策略脚本解释器提供抽象出来的事件。 b r o 的策略脚本用于对事件生成引擎生成的事件进行分析处理，如果发现攻 击特征就引发相应的操作，比如告警、记录或生成新的事件。b r o 的策略脚本是 用b r o 语言编写的类似n f rn - c o d e 的全功能解释执行的分析脚本，b r o 语言提供了 丰富的数据类型、流程控制手段及许多有用的分析函数，在实现上和功能上与 n - c o d e 非常相似甚至有过之。如此功能强大的脚本语言可以对抽象出来的事件做 充分细致的分析。组合b r o 事件生成引擎中应用层协议分析和b r o 脚本的分析能力 可以提供非常准确强大的入侵检测功能。 1 2 5 攻击类型分类介绍 通常，攻击类型可分为以下5 类汹1 ：d o s d d o s 、u 2 r 、r 2 l 、b a c k d o o r 、p o r t s c a n 。 d o s d d o s 从广义上来讲d o s ( o e a i a lo f $ e r v i c e ) 拒绝服务攻击是指任何导致服务 器不能正常提供服务的攻击。这种攻击导致的最终结果是正常用户不能使用它所 需要的服务，其攻击方法大体可分为三类： 1 ) 利用软件实现的漏洞 o o b 攻击( 常用 具w in n u k e ) ，t e a r d r o p 攻击( 常用工具t e a r d r o p cb o i n k c b o n k c ) ，l a n d 攻击，i g m p 碎片包攻击，j o l t 攻击，c is c o2 6 0 0 路由器i o sv e r s i o n 1 2 0 ( 1 0 ) 远程拒绝服务攻击等等，这些攻击都是利用被攻击软件在实现上的缺陷 完成的。通常，这些攻击都是致命的，而且很多攻击是可以伪造源地址的，所以 这种攻击一般很难发现。 2 ) 利用协议的漏洞 为了能够在网络上进行互通、互联，所有的软件实现都必须遵循既有的协议， 而如果这种协议存在漏洞的话，所有遵循此协议的软件都会受到影响。 最经典的攻击是s y nf l o o d 攻击，它利用t c p i p 协议的漏洞完成。通常一 次t c p 连接的建立包括以下3 个步骤： 第一步：请求端( 客户端) 发送一个包含s y n 标志的t c p 报文， s y n 报文会 指明客户端使用的端口以及t c p 连接的初始序号。 第二步：服务器在收到客户端的s y n 报文后将返回一个s y n + a c k 的报文，表 示客户端的请求被接受，同时t c p 序号被加1 。 第三步：客户端也返回一个确认报文a c k 给服务器端，同样t c p 序列号加l ， 江苏人学硕士研究生毕业论文 到此一个t c p 连接完成。 以上的连接过程在t c p 协议中被称为三次握手( t h r e e w a yh a n d s h a k e ) 。 问题就出在t c p 连接的三次握手中，假设一个用户向服务器发送了s y n 报文 后突然死机或跳线，那么服务器在发出s y n + a c k 应答报文后是无法收到客户端的 a c k 报文的( 第三次握手无法完成) ，这种情况下服务器一般会重试( 再次发送 s y n + a c k 给客户端) 并等待一段时间后丢弃这个未完成的连接，这段时间的长度 我们称为s y nt i m e o u t ，一般来说这个时间是分钟的数量级( 大约为3 0 秒一2 分 钟) ；一个用户出现异常导致服务器的一个线程等待1 分钟并不是什么很大的问 题，但如果有一个恶意的攻击者大量模拟这种情况，服务器将为了维护一个非常 大的半连接列表而消耗非常多的资源一数以万计的半连接，即使是简单的保存 并遍历也会消耗非常多的c p u 时问和内存，何况还要不断对这个列表中的i p 进 行s y n + a c k 的重试。实瞄；上如果服务器的t c p i p 堆栈不够强大，最后的绵果往 往是堆栈溢出崩溃即使服务器端的系统足够强大，服务器也将忙于处理攻击 者伪造的t c p 连接请求而无暇理睬客户的正常请求，此时从正常用户的角度看 来，服务器失去了响应，即s y nf 1 c o d 攻击。 3 ) 资源耗尽法 这种攻击方式属于无赖打法，黑客凭借着手中的资源，发送人量的垃圾数掘 侵占完伯：的资源，导致d o s 。d - i 女h ：i c m pf l c o d ，m s t r e a mf l o o d ，c o n n e c t i o nf lc o d 。 为了获得比目标系统更多资源，通常攻击者会发动d d o s ( d i s t r i b u t e dd o s 分 布式拒绝服务) ，攻击者控制多个攻击傀儡发动攻击，这样才能产牛预期的效果。 r e m o t eg a i nr o o t ( b 2 r 、 r e m o t eg a i nr o o t ( u 2 r ) 是指非法用户获得系统管理员( r o o t ) 的权限。这种攻 击最常用的方法就是缓冲区溢出( b u f f e ro v e r f l o w ) ，比如向一个程序开辟的缓冲 区中置入过长的字符串，造成缓冲区溢出，从而破坏程序的堆栈，使程序转去执 行其他的指令，如果这些指令是放在有r o o t 权限的内存里，那么一旦这些指令 得到了运行，入侵者就以r o o t 的权限控制了系统。 r e m o t ef il ea c c e s s ( r 2 l ) 这类攻击利用系统中某些服务( 如n e t b i o s 、n f s 、f i n g e r ) 的弱点，发现 可利用的使用者帐号以及不适当的使用者设定，非法登入主机。例如m i c r o s o f t i i s 4 0 和i i s 5 0 的u n i c o d e 漏洞。 b a c k d o o r b a c k d o o r ( 后门程序) 是黑客经常使用的手段之一。当黑客成功地攻击一台 主机后，他会在这台机器上安装后门程序，以各自己下次能继续登陆该机器。一 般的后门程序通常利用电子邮件方式诱使目标机器去执行服务器端的后门程序， 江苏大学破上研究生毕业论文 一旦旒行使会在菜一将定豹瀑阳去颓断客户端豹连接。若成功被植入后门，整个 系统将会完全黎露在攻击者控制之下，如特洛依木马。目前比较流行的一种后门 攻击稳序兔逶遂螽 j ( t u n n e lb a c k d o o r ) 攻击，瞧藏愚零j 用豫t c p 8 0 釉u d p 5 3 主动由防火墙内部对外部询问命令，再通过回应通道将结果回传给攻击者，此种 攻击方式繇健在貉必臻宠全隔离乡 采鼗据毽静拔嚣下氇可馥穷透进行入侵，其攻 击原理如图1 4 所示。 目标土机f v i c t i m l 攻击者( a t t a c k e r 图1 4t u n n e lb a c k d o o r 原理示意图 弛r ts c a n 一个端口就是一个潜在的通信通道，也是一个入侵通道。对目标计算机进行 端l 扫臻( p o r ts c a n ) ，缒褥刭许多有翻静信惑。虽然蕊西扫疆簿不上真芷意义上 的入侵，但是它却是各种攻击发生前不可缺少的前奏，所以本文把p o r ts c a n 也 葬上一静入爱方式。因为魏莱梭测蚕一台主辊正在被其它爨器送行溃翻招撵， i 王 就表明该机器正面临入侵的危险，这时系统就可以报警，给管理员一个准各的时 闯。 在以_ l ：几种主要的攻击类型中，第2 类和篇3 类攻击的构成要素包含了系统 较传以及攻击数摇龟本身；第l 类及第4 类熬竣| 蠹仅纹l 籍鼗据俄本身载可浚完成。 本文就是根据这几类攻击方法来提取相关特征的。 1 。3 研究内窭 本文借鉴了现有i d s 的既有成粜，设计并实现了一个实用、具有选择功能 鹣掰终久授检灏系统。该系统蓥子瑷育豹开潦顼嚣一瑟r o ，运行予l i n u x 乎台，除 了具备b r o 的原有功能外，还踅点解决了以下4 个关键技术： 1 )瑶密了基予优先缀静特征鬟敬算法，不仅实珑了系统餐理虽与入侵梭溺 系统的交互，而且提高了系统的检测性能和运行效率，使系统鞭能满足实际应用 9 江苏大学硕士研究生毕业论文 的需要。 2 )提出了一个二元通用数据存储模型，该模型既考虑特征的共性又考虑特 征的个性，从而统一了特征的存储格式。并且，利用这个模型也可以存储系统的 报警信息。 3 1提出了一个基于特征选择的网络数据包捕获方法，该方法只抓取和分析 优先级符合要求的特征对应的网络数据包。 4 )采用二级神经网络集成作为系统的检测模型，降低了系统的漏检率。 1 4 内容安排 论文共分八章，主要内容概要如下： 第一章介绍了网络安全现状及其关键技术，着重介绍了入侵检测技术的相关 内容以及该领域的国内外研究概况和发展方向。 第二章首先介绍了入侵检测系统体系结构的发展过程，然后提出了具有选择 性功能的四层体系结构，并给出了系统的总体设计。 第三章存研究入侵检测系统中各类事件的表不方法的基础上，提出一个二元 通用数据存储模型，并介绍了模型的分析结果及其住该系统中的实现过程。 第四章在研究和分析入侵检测系统中现有的特征提取方法的基础上，提出基 于优先级的特征提取算法，并给出了其实现过程与理论分析结果。 第五章介绍了基于特征选择的网络数据包捕获方法。 第六章介绍了二级神经网络集成算法及其在m a t 1 a b 6 5 中的实现过程。 第七章介绍了本文提出的几个模块之问的融合、系统的运行性能以及二级神 经网络集成算法的仿真效果。 第八章对全文进行总结，并提出进一步需要开展的工作。 1 0 江苏大学硕士研究生毕业论文 2 1 引言 第二章系统体系结构设计 要设计一个好的入侵检测系统宓须要兼顾以下几个因素：系统的运行环境 ( 如网络的拓扑结构、网络中将要运行的服务等) 、实时性、数据包的捕获、特 征的季孛类、数糖的检测方法等。其孛，最核心静内容蹩数据的检测方法，它的好 坏直接影响到鬈统的检测准确率。但是就目前而言，系统检测的准确率同检测方 法的复杂程度戒正磁。然而，稔测方法豹复杂程度又影响了系统的运行效率。如 何协调系统的检测效率和检测准确率是入侵检测系统设计面临的一个关键问题。 通鬻提高系统的稔溺准确率主要有戳下两个途径：降低潲裣率和降低误捡 率，下面我们束具体介绍这两个途径。 l ，潞羝漏检率 漏检是指入侵检测系统把一个含有入侵数据的网绦数据包当作正常数据包 柬处瑾，筑两入侵者可班绕过入侵检测系统来达到攻击静西f l 勺。降低漏梭率一个 最有效的方法魁系统收集足够多的原始数据，并使用足够多的分析模型，但在实 际应焉遵程中这秘方、法筵不可藏实囊的。譬蔚这方面静轿究主簧集中在秘簿最大 限度地降低系统的漏枪率。 2 ) 洚糕误稔攀 谈枪是指入侵检测系统把一个正常的行为当作入侵行为束处理，这种情况虽 然不会对受镲护豹环境造残受舔熬影响。毽是鲡爨一个系统潢狯率过裔会导致系 统大部分时间都浪费在检测这必正常的数据包，影响系统的检测效率，而且用户 也无法懋受太多簸误缀谤猛发生。降低误检率豹方法藏楚选脊一耱比较好豹分辑 算法，如分类器集成等。 豫了准确攀，实辩瞧龟是入经检测系统设计过程孛不褥不考虑静润题，因为 一个不能实现实时检测的入侵梭测系统没有任何应用价值。 本鬻透过繇究入 蚤裣嚣系绕豹发袋过程，设计了一拿簿合c i d f 标准静瓣络 入侵检测系统，该系统从功能上可分为四层：基于特征选择的数据采集层、基于 貔是级静特钲筑取层、纂予二缀宇孛经溺络集残嚣分拆屡鞠稳应鼷。系统篱理虽霹 以通过设置特征优先级的阂值来动态调整系统的总体性能。 2 2 传统的兰层体系结构 入侵检溅系统撬行豹主要任务包瑟：盗筏、分撬镄户及系统活动；窜诗系绞 构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警：统计分析异常 江药大学硕士研究生毕业论文 行为模式；评估重要系统和数据文件的完整性：审计、跟踪和管理操作系统，识 别用户违反安全策略的行为。按照实现流程来说，入侵检测系统一般分为3 个步 骤，依次为信息收集、数据分析和响应( 如图2 1 所示) 。 i 譬- - i 预叵 扣一下莹 图2 1 入侵检测系统一般体系结构 图2 1 显示了入侵检测系统的一般流程，首先系统从不同的环境中收集数据， 形成审i i 数据源，审计数据经过预处理过程后，形成分折模型需要的数据格式； 然后分析模型对这些符合要求的数据进行检测、分析，将分析结果送给响应模块； 响应模块根掘分析层送束的结果按照用户的要求报警。下面具体介绍这三个方面 的内容。 信息收集的内容包括系统、网络数据及用户活动的状态和行为。入侵检测利 用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行 为及物理形式的入侵信息等4 个方面。 数掘分析是入侵检测的核心。它首先构建分析器，把收集到的信息经过预处 理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库巾保 存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分板3 种手 段进行。前两种方法用于实时入侵检测，而完整性分析则用于事后分析。可用5 种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程模型、 时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。 入侵检测系统在发现入侵后会及时作出响应，包括切断网络连接、记录事件 和报警等。响应一般分为主动响应( 阻止攻击或影响进而改变攻击的进程) 和被 动响应( 报告和记录所检测出的问题) 两种类型。主动响应由用户驱动或系统本 身自动执行，可对入侵者采取行动( 如断开连接) 、修正系统环境或收集有用信 息：被动响应则包括告警和通知、简单网络管理协议( s n m p ) 陷阱和插件等。另 外，还可以按策略配置响应，可分别采取立即、紧急、适时、本地的长期和全局 的长期等行动。 江苏大学硕士研究生毕业论文 2 3 基于特征提取的因层体系结构 特征是飘模式餐裂靛对分类有愆豹疫量、属挂葳蒺元。如簿菝墩特征、黉提 取哪姓特征瓴接影响列一个分类方法的性能。随着更多地模式识别方法用来检测 入餐，磐彝鸯效圭| 亟麸大量熬每诗数掇涿孛提取特薤越来越受翔骚究天员簿重援。 l e ee ta l i 驯指出：“与只在入侵配录中提取特征的入侵检测系统相比，在派常 懿宰诗记录中提取特惩静入稷硷溅系绫其有夔好戆检测往藐”。 为了更好的发挥特征提取在入侵检测系统中的应用，文献 2 8 1 将特征提取从 分叛蔟孛独立出来，形成独立瓣特鬣提敬爱( 努圈2 2 掰示) 。 颈 处+ 理 图2 2 引入特征提取的阴层系统结构圈 图2 1 2 中的各个模块独立运作，而且具有上_ f 的协同关系。系统落先收集网 络数据包和系统调用数据，形成审计数掘源后通过顸处理模块将它们转化为系统 分析模型需要的数据格式：特征提取艨从锓到的这些数据中提取各种不同攻击类 型所对应的特征；分析层对提取的这整特征送行分丰斤，判断楚否包含入侵，然后 将判断结果上传给响应层；响应层根据分析层e 传的结果按照用户的要求报餐。 由以上分析可知，特征在入侵检测系统中扮演者蒋常重受的角龟，每一个入 侵检测系统都必须制定出适含该系统的一些特征：再根据这些特征去抓取数据， 然后把这些数据送至检测模黧去分斩，从而判断该数据包中楚否存在攻击行为。 所以对于一个入侵检测系统丽言，如何进行特，征提取以及要提取多少特征变得越 来越灏要。魏采提取的特征太少，系统就不能检测那壁没有摄取的特征所对碰的 攻击，造成漏捡；如果提取的特征太多，系统就会浪赞一部分资源和时间来分析 那些多余的特征。 为了提商系统的检测率和效率，研究人员通过神经网络【2 引、f n t ( f l e x i b l e n e u r a l i r e e ) 闯、遗稽簿法嘲等方法来优纯特征提取、通过减少提取特征的数曩来提离检 测效率。但这些方法只考虑到检测模型分析这些特征所花的时问，没肖考虑到系 统为了褥到这些特征丽抓取耩分耩数据包的时润。在实对环境中，虽然记录掰有 的特征并不需要花很多的时问和空间，但是为了得到这些特征而处理的数据却是 江苏大学硕士研究生毕业论文 非常庞大。所以，一个实用的入侵检测系统，必须要选定某些特征来抓取数据， 而不是一味地使用所有的特征去抓取数据。本文设计并实现了一个具有此功能的 网络入侵检测系统，下面介绍该系统的总体设计。 2 4 基于选择性的四层体系结构 我们提出的系统仍然采用图2 2 中的四层体系结构，为了提高系统的检测效 率和准确率，我们在上一节的四层结构上添加了基于特征选择的数据包抓取模 块、基于优先级的特征提取模块、特征的通用数据存储模块以及二级神经网络集 成的分析模块。系统结构如图2 3 所示。 匝 由 图2 3 系统总体结构图 由图2