（计算机应用技术专业论文）基于实数编码遗传神经网络的入侵检测方法研究.pdf

一! 一! ：一：丝垩三些三墼堑些垒：一一：一：一 基于实数编码遗传神经网络的入侵检测方法研究 摘要 随着科技进步和计算机网络技术的发展，网络时代来l 临了，它的到来彻底 改变了人们的生活方式，越来越多的人融入到了网络，享受着网络带给人们的 种种便利。但同时随着互联网规模的迅速扩大，安全问题已经成为一个互联网 发展中无法回避的核心问题。 传统的网络安全模型己经不能适应网络技术的发展，p p d r 模型应运而生。 入侵检测作为p p d r 模型的重要组成部分，是对防火墙、数据加密等安全保护措 施的有效补充，能够识别针对计算机和网络资源的恶意企图和行为，并做出及 时响应。入侵检测分析技术是入侵检测系统的核心，主要可分为异常入侵检测 和误用入侵检测。 针对入侵检测系统中存在的高漏报率、误报率问题，本文提出一种基于实 数编码遗传神经网络的分类检测器同步检测模型，该模型基于异常入侵检测； 同时提出数据预处理过程中样本精简的方法，该方法能够有效压缩样本数据： 最后，我们利用实数编码遗传算法的强全局搜索能力和b p 网络局部精确搜索的 特性，将实数编码遗传算法和b p 算法有机结合，利用遗传算法优化网络初始权 重，使训练好的网络作为一个分类检测器能更有效地检测入侵。实数编码遗传 算法与b p 算法的有机结合可以克服b p 算法收敛速度慢、易陷入局部极小点等缺 陷，同时也省去了二进制编码遗传算法在进化过程中的个体编码、解码操作。 研究表明，该方法效果良好，学习速度快，分类准确率高。 关键词入侵检测：b p 算法；遗传算法；实数编码；分类检测器 r e s e a r c ho ni n t r u s i o nd e t e c t i o nm e t h o db a s e do n r e a l c o d e dg e n e t i cn e u r a ln e t w o r k a b s t r a c t w i t ht h ea d v a n c e m e n to fs c i e n c ea n dt e c h n o l o g ya n dt h e d e v e l o p m e n to f c o m p u t e rn e t w o r kt e c h n i q u e s ，t h ei n t e r a c ta g ei sc o m i n g i t 。sa r r i v a lh a sc o m p l e t e l y c h a n g e dp e o p l e sw a yo fl i f e ，a n dm o r ea n dm o r ep e o p l eh a db e e ne n g a g e di nt h e n e t w o r k ，e n j o y i n gt h ev a r i o u sc o n v e n i e n c e st h a tn e t w o r kb d n g s h o w e v e r , a st h e i n t e r n e ti sr a p i d l ye x p a n d i n g ，t h es e c u r i t yi s s u eh a sb e c o m et h ec o r ei s s u et h a tc o 1 l n o tb ei g n o r e di nt h ei n t e r n e td e v e l o p m e n t t r a d i t i o n a ln e t w o r ks e c u r i t ym o d e lc a nn o tf i tt h ed e v e l o p m e n to fn e t w o r k t e c h n o l o g y , p p d rm o d e le m e r g e d 勰t h ea g er e q u i r e s i n t r u s i o nd e t e c t i o ni sa n i m p o r t a n tc o m p o s e dp a r t i np p d rm o d e l i tm a k e su pf o rs e c u r i t y p r o t e c t i o n m e a s u r e sa b o u tf i r e w a l la n dd a t ae n c r y p t i o n i tc a l li d e n t i f ym a l i c i o u si n t e n t i o na n d a c tt 0t h ec o m p u t e ra n dn e t w o r kr e s o u r c e s ，a n dm a k ea ni n s t a n tr e s p o n s e i n t r u s i o n d e t e c t i o na n a l y s i st e c h n o l o g yi st h ec o r eo fi n t r u s i o nd e t e c t i o ns y s t e mw h i c h i n c l u d e sa b n o r m i t yi n t r u s i o n d e t e c t i o na n da b u s e di n t r u s i o nd e t e c t i o n c o n s i d e r i n gt h ep r o b l e mo fh i 【g hr a t eo ff a l s en e g a t i v e sa n df a l s ep o s i t i v e so f i d s ，t h i st h e s i sp r e s e n t sak i n do fs y n c h r o n o 啷d e t e c t i o nm o d e lo fc l a s s i f i c a t i o n d e t e c t o r , w h i c hi sb a s e do nt h er e a l - c o d e dg e n e t i cn e u r a ln e t w o r ka n di sak i n do f a b n o r m i t yi n t r u s i o nd e t e c t i o n m e a n w n i l e ，am e t h o do fs a m p l es t r e a m l i n i n gi nt h e d a t ap r e t r e a t m e n tp r o c e s sh a sa l s ob e e np r e s e n t e d , b yw h i c hs a m p l ed a t ac a nb e e f f e c t i v e l yc o m p r e s s e d f i n a l l y , i no r d e rt ot a k ea d v a n t a g eo fb o t ht h et r a i t st h a tt h e r e a l c o d e d g e n e t i ca l g o r i t h m s a r e g o o d a t g l o b a ls e a r c h i n g ，a n d t h e g r e a t p e r f o r m a n c eo ft h eb a c kp r o p a g a t i o n ( b p ) i na c c u r a t el o c a ls e a r c h i n g ，w ej o i nt h e r e a l c o d e dg e n e t i c sa l g o r i t h ma n db pa l g o r i t h mt o g e t h e rt oo p t i m i z et h ei n i t i a l w e i g h t so fb pw i t hg a a n dt h e nt h et r a i n e dn e t w o r kc a nb eu s e da sas e p a r a t e d e t e c t o r , w h i c hi sm o r ee f f e c t i v ei ni n t r u s i o nd e t e c t i o n t h e i re f f e c t i v ec o m b i n a t i o n c a no v e r c o m et h es h o r t c o m i n g so fs l o wc o n s t r i n g e n c yr a t ea n di m m e r s i o nm i n i m - 一 v a l u eo ft h et r a d i t i o n a lb pa l g o r i t h m ，a n do m i tt h ei n d i v i d u a l sc o d i n ga n dd e c o d i n g o p e r a t i o n so fb i n a r y c o d e dg e n e t i ca l g o r i t h m sd u r i n ge v o l v e m e n tp r o c e s s t h e r e s e a r c hs h o w st h a tt h i st e c h n o l o g yi sw e l l ，a n di th a st h ea d v a n t a g e so fr a p i d l e a r n i n gr a t ea n dh i g he l a s s i f ya c c u r a c y k e y w o r d s i n t r u s i o nd e t e c t i o n ；b p a l g o r i t h m ；g e n e t i ca l g o r i t h m ；r e a lc o d e d ； c l a s s i f i c a t i o nd e t e e t o r i t t - 哈尔滨理工大学硕士学位论文原创性声明 本人郑重声明：此处所提交的硕士学位论文基于实数编码遗传神经网络 的入侵检测方法研究，是本入在导师指导下，在哈尔滨理工大学攻读硕士学位 期间独立进行研究工作所取得的成果。据本人所知，论文中除已注明部分外不 包含他人已发表或撰写过的研究成果。对本文研究工作做出贡献的个人和集体， 均己在文中以明确方式注明。本声明的法律结果将完全由本人承担。 轧刁梦驽吼1 年千月7 日 哈尔滨理工大学硕士学位论文使用授权书 基于实数编码遗传神经网络的入侵检测方法研究系本人在哈尔滨理工大 学攻读硕士学位期间在导师指导下完成的硕士学位论文。本论文的研究成果归 哈尔滨理工大学所有，本论文的研究内容不得以其它单位的名义发表。本人完 全了解哈尔滨理工大学关于保存、使用学位论文的规定，同意学校保留并向有 关部门提交论文和电子版本，允许论文被查阅和借阅。本人授权哈尔滨理工大 学可以采用影印、缩印或其他复制手段保存论文，可以公布论文的全部或部分 内容。 本学位论文属于 保密口，在年解密后适用授权书。 不保密瓯 ( 请在以上相应方框内打) 作者繇司梦酶嘞呻牛月7 目 新繇孙够吼6 7 年乒月嗲日 ： 堕尘堡堡三奎兰三兰至圭兰堡丝圣 1 1 课题来源 第1 章绪论 随着i i l i e m e t 的迅猛发展和网络社会的到来，网络将会影响政治、经济、文 化、军事和社会生活等各个方面。全球使用i n t e m e t 的用户日益剧增，根据中国 互联网信息中，t j , ( c n n i c ) 官方网站h t t p ：w w w c n n i c n e t c n i n d e x 0 e i n d e x h t m 的 最新数据( 截至2 0 0 6 年6 月3 0 日) 显示，我国的网民数量已达到1 2 3 亿人。 现在，我国在i n t e m e t 上开展的各种业务也迅速增加。但是，对于网站的安 全，无论在思想意识还是其他一些相关技术上，都有所欠缺。根据c n n i c 发布 的一份报告指出，我国4 0 的网站存在着严重的安全漏洞，甚至国内一些著名 的门户网站及商务网站曾经被黑客攻击过，这样网络安全问题就不可避免地摆 在我们面前，因此迫切需要提供一种安全措施来检测、防范攻击或对系统资源 数据的未授权访问，以保护系统免受入侵者的攻击，尽管已有许多防御技术， 如身份认证、避免程序错误等作为保护系统的第一道防线，但仅有防御是不够 的，系统会变得越来越复杂，现有防火墙技术也难以满足目前网络安全的需要， 入侵事件仍是层出不穷“1 。另外由于设计、程序错误等原因，系统中不可避免 地会存在一些漏洞，同时为了系统使用方便，又必须在信息访问和对系统的严 格控制之间做出一些平衡，这样就使得设计一个完全安全的操作系统变得不可 能。因此，作为保护计算机系统的第二道防线，入侵检测技术也就应运而生”1 。 本论文的项目背景是哈尔滨理工大学自然科学基金项目基于多层前向神 经网络的分布式入侵检测模型，本文作为该项目的一个组成部分，将基于实数 编码的遗传算法与b p 神经网络结合作为其中一个分布式a g e n t 的检测算法。 1 2 研究目的和意义 1 2 1 研究的目的 据不完全统计：信息窃贼在过去5 年中以2 5 0 n n 度增长，9 9 的大公司 都发生过大的入侵事件。世界著名的商业网站，如y a h o o 、b u y 、e b a y 、a m a z o n 、 c n n 都曾被黑客入侵，造成巨大的经济损失“1 。 因此，对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息 基础设施的安全己成为刻不容缓的重要课题。入侵检测的目的正在于此，它可 以监控网络活动，及时发现并识别可疑的行为，以及明显的攻击行为，从而可 以采取有效的措施阻止入侵，向有关人员报警，最后可以尽可能地恢复系统、 修补漏洞j 减少由入侵事件带来的不必要损失。 1 2 2 研究的意义 入侵检测系统目前大多使用基于网络的误用检测技术，其主要工作原理是 通过监听的方式捕获网络中的数据包，并采用一定的检测算法对每个数据包或 满足某一条件的数据包进行分析，如果数据包与系统内置的某一规则相吻合， 入侵检测系统就认为发生了误用，同时发出警报并做出相应的反应。在这一过 程中，入侵检测需要监听所有的网络流量，并且对捕获的数据包进行报文分析， 目前人工方式难以做到实时分析，尤其是当审计数据量极大时，人工方式做到 实时分析已经不可行。 此外，i d s 存在着以下三个问题”1 ：i d s 所依赖的检测数据在传递中可能被 篡改，导致漏报和误报；i d s 的自身安全性问题，若i d s 被黑客攻破，则i d s 就失去了检测入侵事件的作用：i d s 运行时的资源占用情况，在分析数据包的 时候会采用一定的检测算法去检测合法性，由于需要对所有数据包进行分析， 不可避免地会占用很大的资源。 因此，研究安全高效的入侵检测技术具有重大的理论和实践意义。 1 3 网络安全概述 网络安全是一个系统性的概念，不仅包括计算机上信息的安全性，更要考 虑信息传输的安全性。计算机系统受攻击的三部分包括“硬件、软件和数据”。 这也是安全措施需要保护的三个部分。一般在现实环境中，软件和数据的安全 性显得更为重要，也就是网络信息安全的问题，下面讨论的网络安全问题主要 是指网络信息安全问题。 计算机网络安全的特征主要表现在可用性、机密性、完整性、可控性、可 审查性等几个方面。可用性是指授权实体有权访问数据。机密性是指信息不暴 露给未授权实体或进程，也就是信息只为授权用户使用。完整性是指网络信息 未经授权不能进行修改的特性。可控性是指控制授权范围内的信息流向及操作 方式。可审查性是指对出现的安全问题提供依据与手段。 堕玺兰竺三奎兰三兰堡兰堡兰圣 1 - 3 1 典型的网络“威胁” 1 网络威胁来源包括恶意攻击、安全缺陷、系统漏洞和软件设计结构隐 患等。 2 典型的攻击攻击方法层出不穷，但我们可以讲其归为以下四类，即窃 听技术、欺骗技术、拒绝服务和数据驱动攻击。“窃听”包括键击记录、网路监 听、非法访问数据和提取密码文件；“欺骗”包括获取口令、恶意代码和网络欺 骗：“拒绝服务”包括导致异常型、资源耗尽型和欺骗型；“数据驱动攻击”包括 缓冲区溢出、格式化字符串攻击、输入验证攻击、异步漏洞攻击和信任漏洞攻 击。 3 攻击的基本武器黑客攻击一般采用的工具包括：扫描器、嗅探器、口 令攻击器、特洛伊木马、邮件炸弹、病毒等。 1 3 2 现有网络安全机制和服务 1 认证一种是第三方信任；另一种是直接信任。主要有密钥认证、数字 签名、生物识别等技术。 2 保密可分为对称密钥加密方法和非对称密钥加密方法。对称密钥( 包 括分组密码和流密码) 加密和解密使用同样的密钥，目前有d e s 算法、三重 d e s 算法、i d e s 算法，a e s 算法，缺点是密钥长度短、密码空间小，“穷举” 方式进攻的代价小，它的机制就是采取初始置换、密钥生成、乘积变换、逆初 始置换等几个环节。非对称密钥加密方法加密和解密使用不同密钥，即公开密 钥和秘密密钥。公开密钥( 公钥) 用于机密性信息的加密；秘密密钥( 私钥) 用于对加密信息的解密。主要有r s a 算法、d h 算法、e c d h 算法，其优点在 于易实现密钥管理，便于数字签名，不足之处是算法较复杂，加密解密花费时 间长。从目前实际的安全防范应用中，尤其是信息量较大，网络结构复杂时， 通常采用对称密钥加密技术。为了防范密钥受到各种形式的黑客攻击，如基于 i n t e m e t 的“联机运算”，即利用许多台计算机采用“穷举”方式进行计算来破译密 码。因此，密钥的长度越来越好。目前一般密钥的长度为6 4 位、1 2 8 位，实践 证明它是安全的，同时也满足计算机的速度。 3 访问控制包过滤技术、代理服务技术、复合型技术、审计技术、路由 器加密技术。访问控制服务的作用是保证只有被授权的用户才能访问网络和利 用资源。访问控制的基本原理是检查用户标识、1 2 1 令，根据授予的权限限制其 对资源的利用范围和程度。例如是否有权利用主机c p u 运行程序，是否有权对 数据库进行查询和修改等”1 。 4 数据完整性消息摘要、数据备份和恢复等。 5 抗抵赖主要通过数字签名来实现。 1 3 3p p d r 安全模型 传统的计算机安全理论不能适应动态变化的网络环境。作为动态安全模型 的p p d r ，它的基本思想是：以安全策略为核心，在综合运用防护工具( p r o t e c t i o n , 如防火墙、操作系统身份认证、加密等手段) 的同时，利用检测工具( d e t e c t i o n , 如漏洞评估、入侵检测等系统) 了解和评估系统的安全状态，通过适当的响应 ( r e s p o n s e ) 将系统调整到“最安全”或“风险最低”状态。 动态安全过程可以用p p d r 模型”来说明。如图1 1 ，p p d r 模型有四个部分 组成：p o l i c y ( 策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 和r e s p o n s e ( 响应) 。 图1 - tp p d r 安全模型 f i g 1 - 1p p d rs e c u r i t ym o d e l 根据风险分析产生的安全策略描述了系统中哪些资源需要得到保护，以及 如何实现对它们的保护等。安全策略是p p d r ：安全模型的核心，所有的防护、检 测、响应都是依据安全策略来实篪的，它为安全管理提供了管理方向和支持手 段“1 。 通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生；通 过定期检查来发现可能存在的系统脆弱性；通过教育等手段，使用户和操作员 正确使用系统，防止意外威胁；通过访问控制、监视等手段来防止恶意威胁。 在p p d r 模型中，检测是非常重要的一个环节，检测是动态响应和加强防护 哈尔滨理工大学工学硕士学位论文 的依据，它也是强制落实安全策略的有力工具，通过不断地检测、监控网络和 系统，来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应。 紧急响应在安全系统中占有最重要的地位，是解决安全潜在性问题最有效 的办法。从某种意义上讲，安全问题就是解决紧急响应和异常处理问题。 如图1 1 所示，在安全策略的统一指导下，其余三个部分组成一个完整的、 动态的安全循环。每进行一次p d r 循环后防护能力都能得到一定程度的加强， 它实际上是一个螺旋上升的过程。这也是图1 1 中三个箭头相互重叠的原因。 在p p d r 模型中若b 表示攻击所需的时间，z 表示检测系统安全的时间， 表示系统对安全事件的反应时间，则网路安全就是要尽可能延长n ，尽量减 少4 和。当b 4 + r r 时，系统是安全的，否则日 z + ，系统不安全，这时 有q 气吐+ ) n ，b 称为暴露时间，应使其尽量小“1 。 1 3 4 国内外网络安全主要产品 国外主流厂商主要有：n e t w o r ka s s o c i a t e s ( 美国网络联盟，主要产品s n i f f e r ) 、 s y m a n t e c ( 赛门铁克，世界第一大软件供应商，主要产品n o r t o n ，s e s 等) 、网络 安全行业标准的拥有者一一以色列c h e c kp o i n t 公司( 互联网安全解决方案 c h e c k p o i n t n e x tg e n e r a t i o n2 0 0 1 ) 、c i s c o ( 思科) 、网屏、冠群、n e t s c r e e n 等，诺 基亚和微软也在进军安全产品市场。 国内主要厂商有：联想、东软、瑞星、天融信、启明星辰、上海格尔等。 目前，国内的防火墙产品中，国外厂商占6 0 ，国外主流厂商为c i s c o 、 c h e c k p o i n t 、n e t s c r e e n 等，国内主流厂商为东软、天融信等。 在入侵监测与评估软件中国外占7 0 以上，国内不足3 0 ，国外的主流厂 商为i s s 公司( 国际互联网安全系统公司) 的r e a ls e c u r e 、n a i ( 美国网络联盟) 公司的c y b e r c o pm o n i t o r 、a x e n t 公司的n e t p r o w l e r 、c i s c o 公司的n e t r a n g e r 、 c a 公司的s e s s i o n w a l l 3 等，国内厂商有启明星辰、东软股份、上海格尔、天融 信等。 用户在购买安全产品时，对于防火墙，选择c i s c o 公司的最多，其次是 c h e c k p o i n t 年h 东软股份。此9 j - c h e c k p o i n t 占据着全球网络安全解决方案4 2 的市 场份额，其中在v p n 虚拟专用网中所占的份额高达6 2 。i d s 主要产品：典型代 表是i s s 公司( 国际互联网安全系统公司) 的r e a ls e c u r e 、n a i 公司的 c y b e r c o pm o n i t o r 、a x e n t 公司的n e t p r o w l e r 、c i s c o 公司的n e t r a n g e r 、c a 公 司的s e s s i o n w a l l 3 等，国内的该类产品较少，但发展较快，已有总参北方所、 哈尔滨理工大学工学硕士学位论文 中科网威、启明星辰等公司攉出的产品。 1 4 本文研究的主要内容 本文在查阅大量文献的基础上，对入侵检测的数据分析方法研究上做了以 下几个方面的工作： 1 比较分析入侵检测方法，将实数编码的遗传算法优化b p 神经网络初始 权重应用于入侵检测： 2 为了提高入侵检测系统的检测效率和实时性，提出分类检测器同步检测 模型； 3 数据预处理，即把经过数据挖掘后的样本数据进行归一化处理； 4 二次处理，即对数据预处理后的数据进行深度处理，从而对样本数据进 行有效性的压缩； 5 仿真实验，得出结论。 第2 章入侵检测概述 2 1 入侵检测发展状况 i d s 从实验原型研究到推出商业化产品、走向市场并获得广泛认同，已经 走过了2 0 多年的风雨历程。 1 9 8 0 年4 月，j a m e sp a n d e r s o n 9 1 为美国空军做了一份题为( c o m p u t e r s e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ) ) ( 计算机安全威胁监控与监视) 的技术 报告，第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和 威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出 了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开 创性工作。 从1 9 8 4 年到1 9 8 6 年，d e n n i n g 和n e u m a n n 研究并发展了一个实时入侵系 统模型，命名为i d e s ( 入侵检测专家系统) ，它是一种通过使用统计方法发现用 户异常操作行为并判断检测攻击的基于主机的入侵检测系统，将异常定义为“稀 少和不寻常”，他们的这个假设是许多8 0 年代入侵检测研究和系统原型的基础。 1 9 8 7 年，d o r o t h yd e n n i n g 提出一个通用的入侵检测模型“”。该模型主要包 括3 个部件：“事件发生器、活动记录器和规则集”。他的这篇提出这个问题的 论文被认为是另一篇入侵检测的开创之作。 1 9 9 0 年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯 分校的l t h e b e r l e i n 等人开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。该系统第一 次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式 的情况下监控异种主机。从此之后，入侵检测系统发展史翻开了新的一页，两 大阵营正式形成：基于网络的i d s 和基于主机的i d s 。混合型的入侵检测系统可 以弥补一些基于网络与基于主机的片面性缺陷。 1 9 9 1 年，n a d i r 与d i d s 提出了收集和合并处理来自多个主机的审计信息 从而用以检测针对一系列主机的协同攻击。 1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 建议使用自治代理以便提高i d s 的 可伸缩性、可维护性、效率和容错性。b i s w a n a t hm u k h e o e e “等对先前i d s 的 研究做了较为完整的回顾和分析，对各种i d s 的系统原型进行了分析和评述。 1 9 9 5 年后出现了很多不同的新的i d s 研究方法特别是智能i d s ，包括神经 哈尔滨理工大学工学硕士学位论文 两络“、模糊识别1 、遗传算法“、免疫系统“、数据挖掘“等，这些方法目前 均处在理论研究阶段。 1 9 9 8 年，c a n n a d y 提出了用于入侵检测的m l p “”，其主要用神经网络进行 误用检测。实验结果表明m l p 用于入侵检测能获得较好的性能。 1 9 9 9 年，通用入侵检测框架c i d f 开始讨论；r i p p e r 将数据挖掘技术应用 于入侵检测；开放源码的轻量级入侵监测系统s n o r t 开发；l i n u x 下基于内核的 l i d s 出现。 2 0 0 0 年，o h i o 大学开发分布实时、基于网络的i n b o u n d s ；i o w a 开发使 用移动代理以及动态有色p e t r i 网( d c p n ) 的m a i d s 。 2 0 0 1 年，r e dc o d e 爆发，n i m d a 爆发，网络病毒与网络入侵的界限越来越 小。 2 0 0 2 年，入侵检测交换协议i d x p 完成。 从2 0 世纪9 d 年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局 面，并在智能化和分布式两个方向取得了长足的进展。目前，s r i c s l 、普渡大 学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西 哥大学等机构在这些方面的研究代表了当翦的最高水平， 2 2 入侵检测分类 从技术上划分。入侵检测有两种检测模型： 1 异常检灏l j ( a n o m a l yd e t e c t i o n ) 模型检测与可接受行为之问的偏差“。 如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首 先总结正常操作应该具有的特征( 用户轮廓) ，当用户活动与正常行为有重大偏离 时郧被认为是入侵“”。这种检测模型漏报率低，误报率高。因为不需要对每种 入侵行为进行定义，所以能有效检测未知的入侵。例如概率统计方法“”和神经 网络方法。 2 误用检i l l ( m i s u s ed e t e c t i o n ) 模型检测与已知的不可接受行为之间的匹 配程度。如果可以定义所有的不可按受行为，那么每种能够与之匹配的行为都 会引起告警。收集非正常操作的行为特征，建立相关的特征库，当监测的用户 或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模 型误报率低、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类 型，但是对未知攻击却效果有限，而且特征库必须不断更新。包括专家系统、 模型推理、状态转换分析等。 哈尔滨理工大学工学硕士学位论文 从检测对象划分，入侵检测可分为： 1 基于主机系统分析的数据是计算机操作系统的事件日志、应用程序的 事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的 一般是所在的主机系统。是由代理( a g e n t ) 来实现的，代理是运行在目标主机上 的小的可执行程序，它们与命令控制台( c o n s o l e ) 通信。 2 基于网络系统分析的数据是网络上的数据包。网络型入侵检测系统担 负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器 ( s e n s o r ) 组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络 上的数据包。 3 混合型基于网络和基于主机的入侵检测系统都有不足之处，会造成防 御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发 现网络中的攻击信息，又可以从系统日志中发现异常情况。 还有一些入侵检测方法既不是误用检测也不属于异常检测的范围，这些方 案可应用于上述两类检测。包括免疫系统方法、遗传算法、基于代理检测、数 据挖掘等。 2 3 通用入侵检测模型 2 3 1d e n n i n g 的通用入侵检测系统模型 d o r o t h vd e n n i n g 于1 9 8 7 年提出了一个通用的入侵检测模型，开创了入侵 检测这个安全技术的分支。“。目前的检测技术及其体系结构均是在此基础上的 扩展和细化。 该模型由如下六个部分组成： 1 主体( s u b j e c t ) 启动在目标系统上活动的实体，如用户； 2 对象( o b j e c t ) 系统资源，如文件、设备、命令等； 3 审计记录( a u d i tr e c o r d s ) 可以表示成一个由 构成的六元组，活动( a c t i o n ) 是主体对目标的操作，对操作系统而言，这些操作包括读、写、登陆、退出等； 异常条件( e x c e p t i o n c o n d i t i o n ) 是指系统对主题的该活动的异常报告，如违反系 统读写权限：资源使用状况( r e s o u r c e - u s a g e ) 是系统的资源消耗情况，如c p u 、 内存使用率等；时标( t i m e s t a m p ) 是活动发生时间； 4 活动简档( a c t i v 竹p r o f i l e ) 用以保存主体正常活动的有关信息，具体实 现依赖于检测方法，在统计方法中从事件数量、频度、资源消耗等方面度量， 可以使用方差、马尔可夫模型等方法实现； 5 异常记录( a n o m a l yr e c o r d ) 由 组成。用以 表示异常事件的发生情况； 6 活动规则规则集是检查入侵是否发生的处理引擎，结合活动简档用专 家系统或统计方法等分析接收到的审计记录，调整内部规则或统计信息，在判 断有入侵发生时采取相应的措施。 这六个部分如图2 1 所示相互作用。 图2 - 1d e n n i n g 的通用入侵检测模型 f i g 2 - 1c o m m o ni n t r u s i o nd e t e c t i o nm o d u l eo f d e n n i n g 2 3 2c i d f 通用入侵检测系统模型 对于入侵检测系统，国际上的一些研究组织开展了标准化工作，目前对i d s 进行标准化工作的有两个组织：i e t f 的i n t r u s i o n d e t e c t i o nw o r k i n gg r o u p ( i d w g ) 和c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) 。 通用入侵检测框架( c i d f ) 1 是由d a r p a 提出的，最早由加州大学戴维斯分 校安全实验室主持起草工作。c i d f 主要介绍了一种通用入侵说明语言( c 1 8 l ) ， 用来表示系统事件、分析结果和响应措施。c i d f 所做的工作主要包括四部分： i d s 的体系结构、通信体制、描述语言和应用编程接口( a p i ) 。 = = ：= ：一：堑堡矍型塑塑丝竺鳖：= 一：一：一： 根据i d s 的通用需求和现有的i d s 系统结构，c i d f 将入侵检测系统( i d 的构成划分为四大功能模块，如图2 2 所示。它将个入侵检测系统分为以下 组件：事件产 蝴：( e v e n tg e n e r a t o r s ) 、事件分析器( e v e ma n a l y z e r s ) 、响应单元 ( r e s p o n s eu n i t s ) 和事件数据库( e v e n td a t a b a s e s ) 。从功能的角度，这种划分体现 了入侵检测系统所必须具有的体系结构：数据获取、数据管理、数据分析、行 为响应，因此具有通用性。 图2 - 2 c i d f 的体系结构 f i g 2 - 2c i d fa r c h i t e c t u r e c i d f 模型的结构如下：事件产生器通过传感器收集事件数据，并将信息传 递绘事件分柝器，事件分柝器检测误用模式，事件数据库存储来自事件产生器、 事件分析器的数据，并为额外的分析提供信息，响应单元从事件产生器、事件 分析器中提取数据，事件数据库启动适当的响应。 各个模块之间的通信都是基于o l d o ( o e n e m l i z e di n t r u s i o nd e t e c t i o n o b j c c m ，通用入侵检测对象) 和c i s l ( c o m m o ni n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ， 通用入侵规范语言) 。 事件产生器是从整个计算环境中获得事件，并向系统的其他部分提供此事 件；事件分析器分析得到的数据并产生分析结果；响应单元则是对分析结果 做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可 以是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可 以是复杂的数据库，也可以是简单的文本文件。在这个模型中，前三者以程序 的形式出现，而最后一个则往往是文件或数据流。 2 4 入侵检测技术的发展趋势 传统的i d s 随着市场的需求推动和技术自身的发展，出现了一些新的形式， 大致可朝下述五个方向发展。 1 分析技术由统计分析、模式匹配、数据重组等技术转向协议分析和行为 哈尔滨理t 大学工学硕士学位论文 分析协议分析技术是在对网络数据流进行重组的基础上，理解应用协议，再 利用模式匹配和统计分析的技术来判明攻击。行为分析技术不仅简单分析单次 攻击事件，还根据前后发生的事件确认是否确有攻击发生，攻击行为是否生效。 2 部署方式从集中式向分布式智能a g e n t 发展分布式入侵检测具有使用 分布式的方法来检测分布式的攻击的能力，其中的关键技术为检测信息的协同 处理与入侵攻击的全局信息的提取。分布式入侵检测技术较好地将误用入侵 检测技术和异常入侵检测技术、基于主机的入侵检测技术和基于网络的入侵检 测技术相结合，并融合了专家系统、神经网络、生物免疫等技术，实现了i d s 的 功能分散和安全分散。 3 检测技术从模式匹配向神经网络及数据挖掘等智能化入侵检测方向发 展“1 特别是具有自学习能力的专家系统，实现知识库的不断更新与扩展，使 设计的入侵检测系统的防范能力不断增强。 4 响应方式从被动的告警向主动的联动和自动阻断方向发展入侵检测 发现攻击，自动发送给防火墙，防火墙加载动态规则拦截入侵，称为联动功能， 可以极大的增强网络的安全。 5 嵌入式操作系统内核由于黑客攻击的目标主要是终端部分，因此入侵 检测系统最好能与操作系统内核结合起来，这样从根本上确定黑客攻击系统到 了什么程度，如黑客现在的攻击对系统是否造成了威胁，黑客现在拥有了系统 哪个级别的权限，黑客是否控制了一个系统等。 另外还有蜜罐技术，主要是通过建立一个虚假的网络环境，诱惑攻击者对 其进行攻击，从而达到保护真正网络的目的。 2 5 当前存在的问题 尽管己经出现了很多的入侵检测技术”1 ，入侵检测仍然处在初级阶段，但 总的来说，当前的研究存在的共同问题是系统性能的不稳定。入侵检测性能的 主要度量是误报率、检测率及检测速度，当一个系统的检测率很高而误报率很 低时我们才认为其性能很好。所以如果要提高检测的准确率，则需解决虚报率 和漏报率的问题。 导致系统性能上的不稳定可能有以下几个方面的因素”1 ： 1 许多技术给出的是在已知入侵或入侵和正常会话被清楚区分的情况下 的优良性能，然而现实环境中数据却是高度混合的，也就是说，数据中带有噪 声： 2 模式的编码仍然依赖于入工方式； 3 检测算法的可扩展性不够，这表现为：一是数据量猛增时，检测效率大 不如从前，二是当面临新的入侵时算法无法检测或过度报警。 尽管在该领域已有许多解决策略，但仍然需要更有效的技术，这些技术不 仅能改善当前的方案，还能为设计下一代操作系统和网络协议提供更有价值的 知识。 在目前的研究中，以下问题有待解决： 1 高速网络下，提高网络i d s 的实时检测效率和降低误报率问题； 2 i d s 对变形和变异已知攻击的检测和对新的攻击的检测问题； 3 i d s 体系结构的融合问题，包括基于主机j d s 和基于网绍q d s 之间更好的 协作问题，以及异常检测和误用检测的联合使用问题等； 4 未来优化的入侵检测系统应该能够基于事件语义分析，而不是单纯基于 事件语法分析的检测； 5 智能入侵检测技术( 神经网络、遗传算法、模糊识别、数据挖掘、免疫 系统等) 从理论研究到实际应用的问题； 6 基于大规模的信息采集和网络攻击预警技术的研究问题等。 d s 尽管是计算机网络安全的重要组成部分，但它不是一个完全的计算机 网络系统安全解决方案，它不能替代其它安全系统如：访问控制、身份识别与 认证、加密、防火墙等功能，比如当前的分布式攻击在攻击者当中变得越来越 流行，而且这样的攻击很难检测，也很难防范1 ，但它可以与其它安全系统如 防火墙系统与安全网管系统等协作以增强i d s 的动态灵活反应和免疫能力。分 布式入侵检测是目前入侵检测乃至整个网络安全领域的热点之一，在研究过程 中，需要解决系统结构模型、审计数据收集、组件协作交互、分布式检测算法、 安全知识库管理及状态空间管理等方面的技术难点，其中系统结构模型和组件 协作交互是其首要问题。“。 2 6 本章小结 本章首先介绍了入侵检测的发展状况，接着介绍了入侵检测的分类，并以 技术和检测对象为标准分别划分为误用检测、异常检测和基于主机、基于网络、 混合型。主要介绍了入侵检测系统的发展历史、分类、以及现在所具有的两种 通用模型，最后分析了入侵检测技术的发展趋势和当前存在的问题。 哈尔滨理工大学工学硕一i 学位论文 第3 章神经网络和遗传算法 3 1 人工神经网络 3 1 1 b p ( b a c kp r o p a g a t i o n ) 神经网络 神经网络模型有很多，如前馈神经网络、感知器、径向基函数网络、误差 反向传播( b p ) 网络等，目前研究最多的网络类型是误差反向传播神经网络，简 称b p 网络，b p 网络的结构如图3 - i 所示。 输入层中间层输出层 图3 ib p 神经网络的结构图 f i g 3 - 1b p - a n na r c h i t e c t u r e b p 神经网络是人工神经网络的重要模型之一，理论已证明，三层b p 神经网 络，只要隐含层节点数足够多，就具有模拟任意复杂的非线性映射的能力。b p 学习算法( 逆向传播学习算法) 具有思路清晰、结构严谨、工作状态稳定、可操作 性强的特点。采用b p 算法的前向网络是当前应用最为广泛的一种人工神经网络， 它可以解