（计算机应用技术专业论文）基于序列模式的入侵检测研究.pdf

郑州人学硕l 学位论文 基于序列模式的入侵检测研究 摘要 入侵检测技术是继防火墙、数据加密等传统安全保护措施之后的新一代安全保障 技术。随着刚络的发展，网络数据流量急剧增加，传统的基于人工建模的入侵检测技 术已无法适应新的嘲络环境。为从海量数据中提取出有用信息，人们提出了基于数据 挖掘的入侵检测技术。由于入侵手段的不断提高，许多入侵行为往往没有明显的字符 串匹配特征，其中任何单独的一条报文或命令看似正常，但一系列按时间顺序排列的 报文或命令就构成一次攻击。为了找出这种攻击的规律，本文将序列模式挖掘技术引 入入侵检测系统。序列模式挖掘算法以某种序列攻击的多个样本作为训练数据，挖掘 出在一个样本中只出现一次，而在多个样本中频繁出现的攻击行为特征序列，并依次 建立检测模型。序列模式挖掘算法克服了关联规则算法中不能反映事件在时间顺序上 的前后相关性的缺点，可以检测出应用层r 2 l ( r e m o t et ol o c a l ) 和u 2 r ( u s e rt or o o t ) 攻击，这是目前入侵检测中的一个难点，从而有效地提高了攻击的检测率。 论文首先介绍了入侵检测和数据挖掘起源、发展及研究现状。然后阐述了传统的 序列模式基本概念，并分析了这些算法的优缺点。 接着讨论j a ya y r e s ，j o h a n n e sg e h r k e 等于2 0 0 2 年在s i g k d d 国际会议上提出的新 型的序列模式算法s p a m 。该算法采用位图表示数据便于有效地计数，快速计算支持度。 为进一步提高s p a m 算法在计算支持度过程的时问、空间效率，对s p a m 进行改进。 当第一次扫描数据库时，构建卜l e n g t h 的s e q u e n c e e 置t e n t e d 序列的项的最后位置 列表，对每个顾客序列可将项的最后位置与前缀边界位置比较，直接判断该项能否追 加到前缀序列后。如果候选项的最后位置大于前缀边界位置，则该候选项的支持度加 l 。采用位图表示策略避免这样的比较过程。当第一次扫描数据库记录序列最后位置 信息时，构建每一位顾客序列的项在当前位置后是否存在表，检查该表可确定一个候 选序列是否在当前位置后，积累候选序列的支持度时只需检查相应项在项是否存在表 中的位向量，从而避免比较和逻辑与运算。这些修改仅仅用在s e q u e n c e e x t e n t e d 过 程。在本论文中，改进的s p a m 算法称为w s p a m 。 进一步，构建并详细叙述基于序列模式算法m 1 ，一s p a i 的入侵检测模型。 最后，文章对提出的基于序列模式算法f f - s p a m 的入侵检测模型进行了实验， ) f f - s p a m 运行在k d dc u p9 9 数据集的环境中，且输入不同的最小支持度。并对实验结果 进行了分析。实验结果表明m 1 - s p 删在序列模式算法的效率以及应用在入侵检测模型 的可行性和精确性方面超过s p a m 。 关键词：入侵检测系统i d s ；异常检测：误用检测：s p a m 算法；频繁序列 郑州大学硕l 学位论文摹于序列模式的入侵榆测研究 a b s t r a c t i n t r u s i o nd e t e c t i o nt e c h n i q u ei st h en e wg e n e r a t i o no fs e c u r i t ya s s u 瑚t n c ct e c h n o l o g y a f t e rf i r e w a l l ，d a t ae n c r y p t i o na n do t h e rt e c h n i q u e s w i t ht h ed e v e l o p m e n to fi n t e r n e ta n d t h er a p i di n c r e a s eo fn e t w o r kd a t a , t h et r a d i t i o n a li n t r u s i o nd e t e c t i o nt e c h n i q u eo fb u i l d i n g m o d e ii nm a n u a lm a n n e rd o e sn o ta c c o m m o d a t et h en 洲n e t w o r ke n v i r o n m e n t i no r d e rt o s o l v et h ep r o b l e mo fe x t r a c t i n gk n o w l e d g ef r o mm a s s i v ed a t a , i n t r u s i o nd e t e c t i o nt e c h n i q u e b a s e do nd a t am i n i n gi sp r e s e n t e d a l o n gw i t ht h ei m p r o v t ：i n e n to fi n t r u s i o nt e c h n i q u e ， m a n yi n t r u s i o nb e h a v i o r sh i d e t h e i rs i g n a t u r e si nt h eo c c u r r e n c eo r d e ro fe v e n t s a n i n d i v i d u a lp a c k e to rc o m m a n dl o o k sn o r m a l ，w h i c hh a sn o te v i d e n td e t e c t i o ns i g n a t u r e si ni t h o w e e r , as e q u e n c eo fp a c k e t so rc o m m a n d si no r d e rc o m p o s e 姐a t t a c k , a n dt h ea t t a c k s e q u e n c ea p p e a r so n l yo n c ei na na u a c li no r d e rt of i n do u tt h er u l eo f t h i sk i n do fa t t a c k , s e q u m f i a lp a t t e r nm i n i n ga l g o r i t h m sa g ei n t r o d u c e di n t oi n t r u s i o nd e t e c t i o ns y s t e m s m u l t i i n s t a n c e so ft b os e q u e n t i a la t t a c ka r eg a t h e r e da st r a i n i n gd a t a , a t t r i b u t es e q u e n c e so f a t t a c kb e h a v i o rw h i c ha p p e a rm u l t i - i n s t a n c e sb u to n l yo n c ei ne a c hi n a n t ea r cm i n e d , a n dad e t e c t i o nm o d e lw i t ht h e s ea t t r i b u t es e q i l 瞄i sb u i l t t h es e q u e n t i a lp a t t e r nm i n i n g a l g o r i t h m so v e r c o m et h ed i s a d v a n t a g eo fn o tr e f l e c t i n gt h eo c c u l t e l 尬eo r d e ro fe v e n t si n a s s o c i a t i o nr u l ea l g o r i t h m s ，a n dd e t e c ta p p l i c a t i o nl a y e rr 2 l ( r e m o t et ol o c a l ) a n du 2 l ( u s e r t or o o t ) a t t a c kw h i c hi sad i f f i c u l tp r o b l e mi ni n t r u s i o nd e t e c t i o na tp r e s c e lt h u sd e t e c t i o n r a t ei si m p r o v e & f a s t , t h et h e s i si n t r o d u c e st h eo r i g i n , d e v e l o p m e n ta n dr e s e a r c hs t a t u sq u oo fi n t r u s i o n 出t e c t i a n dd a t a b a s em i n i n g t h e nt h ep a p e rd e s c r i b e st h ec o n c e p to fs e q u e n t i a lp a t t e r n s a n da n a l y z e st h ea d v a n t a g e sa n dd i s a d v a n t a g e so fs e v e r a lt r a d i t i o n a ls e q u e n t i a lp a t t e r n a l g o r i t h m s t h e n , an e wa l g o r i t h mf o rm i n i n gs e q u e n t i a lp a t t e r n sn a m e ds p a m ( s e q u e n t i a lp a t t e r n m i n i n g ) i sd i s c u s s e d , w h i c hw a sp r o p o s e di ns i g k d d i n t e r n a t i o n a lc o n f e r e n c ei n2 0 0 2b y j a ya y r e sa n d s oo n t h ea l g o r i t h mu t i l i z e st h eb i t m a pr e p r e s e n t a t i o no fd a t af o re f f i c i e n t c o u n t i n gt oc a l c u l a t et h e 卯p p o r to f s e q u e n c e sq u i c k l y i no r d e rt 0f u r t h e ri m p r o v et i m ea n ds p a c ee f f i c i e n c yo fs p a ma l g o r i t h mi nt h es u p p o r t c o u n t i n gp r o c e s s ，i th a st ob em o d i f i e d w h e nad a t a b a s ei ss c a n n e df o rt h ef i r s tt i m et o c o n s l m e tal a s tp o s i t i o nt a b l eo f1 - l e n g t hs e q u e n e e - e x t e n t e ds e q u o 鼯i ne a c hc i 吲【o m 盯 8 e q n e n c a g ，i td i r e c t l yj u d g e sw h e t h e ra ni t e m 伽b ea p p e n d e dt ot h ep r e f i xs c q u c n o eo rn o t b yc o m p a r i n gt h i si t e m sl a s tp o s i t i o n 、i l r i 也t h ep r e f i xb o r d e rp o s i t i o n i n c r e m e n tt h es u p p o r t 郑州大学硕上学位论文 基于序列模式的入侵检测研究 v a l u eo ft h ec a n d i d a t ei t e mb yli ft h ec a n d i d a t ei t e m sl a s tp o s i t i o ni sl a r g e rt h a nt h ep r e f i x b o r d e r p o s i t i o n ab i t m a ps t r a t e g y i su s e dt oa v o i ds u c hc o m p a r i s o np r o c e s s a p r e - c o n s t r u c t e dt a b l e ，n a m e di t e m i se x i t s _ t a b l ei sc o n s t r u c t e dw h i l ef i r s ts c a n n i n g t or e c o r dt h el a s tp o s i t i o ni n f o r m a t i o n i ne a c hi t e r a t i o n ，t h i st a b l en e e dt ob ec h e c k e dt og e t i n f o r m a t i o nt h a tac a n d i d a t ei sb e h i n dc u r r e n tp o s i t i o no rn o t t oa c c u m u l a t et h es u p p o r to f c a n d i d a t es e q u e n c e s ，i t e m _ i s _ e x i t s _ t a b l en e e dt ob ec h e c k e da n dt h ec o r r e s p o n d i n g i t e m sv e c t o rv a l u ei sa d d e d t h u st h ec o m p a r i s o np r o c e s sa n da n d i n go p e r a t i o nc a nb e a v o i d e d t h e s em o d i f i c a t i o n sa r em e r e l yp e r f o r m e di ns e q u e n c e - e x t e n t e dp r o c e s s i nt h i s p a p e r , t h ei m p m v e ds p a ma l g o r i t h mi sc a l l e dm y - s p a m f u r t h e r , i n t r u s i o nd e t e c t i o nm o d e lb a s e do i ls e q u e n t i a lp a t t e ma l g o r i t h mn a m e d m ：y s p a mi se s t a b l i s h e da n dd e s c r i b e di nd e t a i l f i n a l l y , t h ee x p e r i m e n t sa 把i m p l e m e n t e do nt h ei n t r u s i o nd e t e c t i o nm o d e lb a s e d0 1 1 1 s e q u e n t i a lp a t t e r na l g o r i t h mm y - s p a m i ti sp e r f o r m e d0 1 1e n v i r o m e n ti nk d dc u p9 9 d a t as e tw i t hd i f f e r e n ts u p p o r tt h r e s h o l dm i n s u p 1 1 b ee x p e r i m e n t a lr e s u l td e m o n s w a t e st h a t m y - s p a mo 、l q 咒咖ss p a mi ne f f i c i 衄c ya n df e a s i b i l i t ya n da c c u r a c yo ft h ea p p l i c a l i o n t oi n t r u s i o nd e t e c t i o nm o d e l k e y w o r d s ：i n t r u s i o nd e t e c t i o ns y s t e m ( 1 d s ) ；m i s u s ed e t e c t i o n ；a n o m a l yd e t e c t i o n ； s p a ma l g o r i t h m ；f r e q u e n ts c q 呦如lp a t t e r n s m 郑重声明 本人的学位论文是存导师指导下独立撰写并完成的，学位论文没有剽窃、抄袭等 违反学术道德、学术规范的侵权行为，否则，本人愿意承担由此产生的一切法律责任 和法律后果，特此郑重声明。 学位论文作者( 签名) ：孝冬芳 2 。, 0 6 年f 月2 。u 郑州大学硕1 。学位论文基于序列模式的入侵检测研究 第一章绪论 随着计算机和i n t e r n e te j 益成为计算机犯罪攻击的目标，网络安全变得越来越重 要。设计安全措施防范未经授权访问系统的资源和数据，成为当前嘲络安全领域的一 个十分重要而迫切的问题。入侵检测作为安全的最后一道屏障成为近年来研究的热点， 可在一定程度上预防和检测来自系统内、外的入侵。国内外对入侵检测有一定的研究。 为从不断增加的嗍络流量数据中挖掘出有价值的信息。将数据挖掘引入到入侵检测领 域。 1 1 课题来源、目的和意义 网络和电子商务已经成为企业制胜的必由之路，当越来越多的机构将其核心业务 向互联网转移的时候，网络安全作为一个无法回避的问题呈现在人们面前。计算机嘲 络的安全是一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经 济损失达数百亿美元。进入新世纪之后，上述损失达2 0 0 0 亿美元以上。据统计：信息窃 贼在过去5 年中以2 5 0 速度增长，9 9 的大公司都发生过大的入侵事件。世界著名的商 业喇站，如y a h o o ，b u y ，e b a y ， l l a z o n ，c n n 都曾被黑客入侵，造成巨大的经济损失。 甚至连专门从事嘲络安全的r s a 嘲站也受到黑客的攻击。政府、银行、大企业等机构都 有自己的内网资源，公司的内部系统被入侵、破坏与泄密是一个严重的问题。以及由 此引出的更多有关网络安全的问题都应该引起重视。网络安全也是国家与国防安全的 重要组成部分，同时也是国家网络经济发展的关键。因此对入侵攻击的检测与防范、 保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。 网络安全技术主要有，认证授权、数据加密、访问控制、安全审计等。传统上，一般 采用防火墙作为安全的第一道防线。而随着攻击者知识的u 趋成熟。攻击工具与手法 的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门需要，网络 的防卫必须采用一种纵深的、多样的手段。与此同时，当今的刚络环境也变得越来越 复杂，各式各样的复杂的设备，需要不断升级、补漏的系统使得网络管理员的工作不 断加重，不经意的疏忽便会给企业造成巨大损失。在这种环境下，入侵检测系统成为 了安全市场上新的热点，不仅愈来愈多地受到人们的关注，而且己经开始在各种不同 的环境中发挥其关键作用。 目前，在主流的基于数据挖掘的入侵检测方法中。训练数据主要来源于基于主机 的审计记录( 如u n i x 的b s 8 数据) 和基于网络的审计记录( 如t c p d u m p 数据) ，实现方法是 对原始数据预处理，挖掘出网络层数据的频繁模式，然后从频繁的网络层会话中抽取 郑州= 学硕士学位论文基于序列模式的入侵榆测研究 统计特征，使用分类算法构建检测模型。这种方法适用于检测在数据中有频繁模式出 现的攻击，如扫描攻击( p r o b e ) 和拒绝服务攻击( d o s ) 。然而，入侵者往往通过一台有 漏洞的主机，获得访问权限，下载内部信息、嗅探、掩盖踪迹，入侵其他的内部主机。 因此检：；贝! r 2 l ( r e m o t et ol o c a l ) 和u 2 r ( u s e rt or o o t ) 攻击，也是入侵检测研究的重点。 对于d o s 攻击、p r o b e 攻击在短时间内出现大量有规律的报文，符合数据挖掘特点， 检测率高。对于u 2 r 攻击，由于抽取的特征包括访问系统敏感目录和文件的次数，是否 获得根s h e l l ，试图执行s u 命令的次数等，可以进行统计分析，但是没有大量有规律的 报文作特征统计，因此检测性能不令人满意。对于r 2 l 攻击，由于缺乏对命令序列信息 的提取，因此检测性能也不好。 当前的入侵手段不断提高，许多入侵行为依赖于事件的发生顺序。当入侵一台有 防护措旌的服务器或主机，入侵者往往按照某种顺序实施一系列的攻击步骤，其中任 何单独的一条报文或命令都是正常的，没有明显的字符串攻击特征，但一系列按时问 顺序捧列的报文或者命令就构成一次攻击。而且，对于入侵高手来说，这种攻击序列 在一次攻击中往往只出现一次。在这种情况下，基于关联规则、聚类、分类的数据挖 掘算法就显得力不从心了于是将序列模式挖掘算法引入入侵检测系统，寻找该攻击 的规律，挖掘在一个样本中共出现一次，在多个样本中频繁出现的攻击的行为特征序 列。该算法克服了关联规则算法中不能反映事件在时间顺序上的前后相关性的缺点， 可以检测出以往入侵检测方法很难检测到的序列攻击，从而提高检测率。 1 2 国内外现状研究 1 2 1 入侵检测的发展 入侵( i n t r u s i o n ) 是指任何企图危及计算机系统资源的完整性( i n t e g r i t y ) 、机密 性( c o n f i d e n t i a l i t y ) 和可用性( a v a i l a b i l i t y ) 或试图越过计算机或网络的安全机制 的行为。不仅包括发起攻击的人( 如恶意的黑客) 取德超出合法范围的系统控制权，也 包括收集漏洞信息，造成拒绝访问( d e n i a lo fs e r v i c e ) 等对计算机系统造成危害的行 为。入侵可能会是由通过互联网访问系统的攻击者发起，或者是由系统的某些授权用 户发起，用户在错误地使用授予的特权时，也将造成对系统的入侵。入侵检测顾名思 义，是对入侵行为的发觉，为保证计算机系统的安全而设计与配置的一种能够及时发 现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策 略行为的技术。通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行 分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵 检测的软件与硬件的组合便是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 。 2 郑州人学硕 ：学位论文基于序列模式的入侵检测研究 与其他安全产品不同的是，入侵检测系统具有更多的智能，必须可以将得到的数据进 行分析，得出有用的结果，并采取适当的对抗措施。一个合格的入侵检测系统能大大 地简化管理员的工作，保证网络安全的运行。 1 9 8 0 年4 月，j a m e sp a n d e r s o n 为美国空军做了一份题为( c o m p u t e rs e c u r i t y t h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ( 计算机安全威胁监控与监视) 的技术报告“1 ， 第一次详细阐述了入侵检测的概念。他将入侵行为划分为外部闯入、内部授权、用户 的越权使用和滥用等三种类型，并提出用审计追踪监视入侵威胁。1 9 8 6 年，为检测用 户对数据库异常访问而在i b m 主机上用c o b o l 开发的d i s c o v e r y ”1 系统可说是最早期的 i d s 雏形之一。同年，d e n n i n g “1 提出了一个经典的异常检测抽象模型，首次将入侵检测 作为一种计算机系统安全的防御措施提出。1 9 8 8 年，s r i c s l ( s r i 公司计算机科学实验 室) 的t e r e s al u n t ”1 等人改进了d e n n i n g 的入侵检测模型，并开发出了一个 i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) 。该系统用于检测对单一主机的入侵尝试， 提出了与系统平台无关的实时检测思想。1 9 9 5 年开发了i d e s 完善后的版本一n i d e s ( n e x t - g e n e r a t i o ni n t r u s i o nd e t e c t i o ns y s t e m ) “1 ，可以检测多个主机上的入侵。美 国军方和政府在1 9 8 8 年为u n i s y s 大型主机开发了h a y s t a c k ”1 系统，为美国国家计算机安 全中心m u l t i c s 主机开发了m i d a s ( m a l t i c si n t r u s i o nd e t e c t i o na n da l e r t i n g s y s t e m ) ”1 。1 9 8 9 年，l o sa l a m o s 美国国家实验室开发了骶s ( w i s d o ma n ds e n s e ) ”系统， p l a n n i n gr e s e a r c h 公司开发了i s o a ( i n f o r m a t i o ns e c u r i t yo f f i c e r s a s s i s t a n t ) 1 。 1 9 9 1 年n a d i r ( n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t e r ) “”，与d i d s ( d i s t r i b u t ei n t r u s i o nd e t e c t i o ns y s t e m ) “提出了收集和合并处理来自多个主机的 审计信息以检测一系列主机的协同攻击。1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d “”建 议使用自治代理( a u t o n o m o u sa g e n t s ) 以便提高i d s 的可伸缩性、可维护性、效率和容 错性。值得一提的是，其间，1 9 9 0 年h e b e r l e i n 5 等提出了一个新的概念：基于网络的 入侵检测n s m ( n e t w o r ks e c u r i t ym o n i t o r ) ，n s m 与此前的i d s 系统最大的不同在于它并 不检查主机系统的审计记录“，可以通过在局域网上主动地监视嘲络信息流量来追踪 可疑的行为。从此之后入侵检测就被分为两个基本类型：基于主机的和基于喇络的。 1 9 9 6 年提出的g r i d s ( g r a p h - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) “”“”解决了入侵检测 系统伸缩性不足的问题，该系统使得对大规模自动或协同攻击的检测更为便利，这些 攻击有时甚至可能跨过多个管理领域。目前的入侵检测系统大部分是基于各自的需求 和设计独立开发的，不同系统之间缺乏互操作性和互用性，这对入侵检测系统的发展 造成了障碍。因此d a r p a ( t h ed e f e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c y ，美国国 防部高级研究计划局) 在1 9 9 7 年3 月开始着手c i d f ( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ，公共入侵检测框架) 标准的制定。现在加州大学d a v i s 分校的安全实验室已 经完成c i d f 标准，i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ，i n t e r n e t 工程任务组) 成 郑州人学硕i ：学位论文 基于序列模i t 的入侵榆测研究 立了i d w g ( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ，入侵检测工作组) 负责建立 i d e f ( i n t r u s i o nd e t e c t i o ne x c h a n g ef o r m a t ，入侵检测数据交换格式) 标准，并提供 支持该标准的工具，以便高效率地开发i d s 。近年来还有人把遗传算法“，遗传编程运 用在入侵检测中。f o r r e s t “等将免疫原理运用到分布式入侵检测领域。1 9 9 8 年r o s s a n d e r s o n 和a b i d a k h a t t a k 1 将信息检索技术引进到入侵检测。1 9 9 8 年开始，w l e e 等人 提出和实现了在c i d f ( 公共入侵检测框架) 基础上实现多级i d s ”，运用数据挖掘的方法 对审计数据进行处理，提高了现有检测系统的准确度和可扩展性。最近，c h e u n g 等人 提出了入侵容忍( i n t r u s i o nt o l e r a n c e ) 概念1 ，引入容错技术，扩充先前i d s 的功能， 在不改变现有嘲络基础设施的前提下，使系统小仅能够检测到可疑行为，还能进行系 统诊断，查知违反安全策略的行为、网络组件的操作错误，并自动阻止攻击行为的扩 散，存储操作状态，即把检测仅当作整个控制环节中的一个部分。 对入侵检测系统可以根据所采用的手段、策略、对抗措施等进行分类。从入侵检 测的手段来看，现有的入侵检测系统可分为基于主机和基于网络两种。前者通过监 视与分析主机的审计记录检测入侵，并可针对不同操作系统的特点俘获应用层入侵事 件，缺点是依赖于主机及其审计子系统，实时性较差：后者则通过在共享网段上侦听 采集通信数据分析可疑现象。其优点是侦测速度快，隐蔽性好，不那么容易遭受攻击， 视野更宽，仅用较少的监测器，对主机资源消耗少。并且由于网络协议是标准的可 以对嘲络提供通用的保护而无需顾及异构主机的不同构架。在现有比较流行的商业化 产品中，i t a ( i n t r u s i o na l e r t ) 是标准的基于网络的入侵检测系统，全部支持分布式 的监视和集中管理模式。r e a l s e c u r e 包括基于主机的s y s t e ma g e n t 以及基于网络的 n e t w o r ke n g i n e 两个套件。n a i 的c y b e r c o pn e t w o r k 9 0 可以同时在基于网络和基于主机 的两种模式下工作。从入侵检测的策略来看，入侵检测模型主要有两种：即滥用检测和 异常检测。滥用检测( m is u s ed e t e c t i o n ) 是对利用己知的系统缺陷和己知的入侵方法 进行入侵活动的检测。滥用检测的优点是可以有针对性地建立高效的入侵检测系统， 其精确性较高，主要缺陷是不能检测未知的入侵，也不能检测己知入侵的变种，因此 可能发生漏报。异常入侵由用户的异常行为和对计算机资源的异常使用产生。异常检 测( a n o m a l yd e t e c t i o n ) 需要建立目标系统及其用户的正常活动模型然后基于这个模 型对系统和用户的实际活动进行审计，以判定用户的行为是否对系统构成威胁。从入 侵检测系统的对抗措施来看，可分为主动系统和被动系统。前者采取切断连接或预先 关闭服务，注销可能的攻击者的登录等主动措施对抗攻击：后者仅产生报警信号。主动 的入侵检测系统采用蜜井和反跟踪的技术，不仅能够记录入侵行为，还能够引诱进而 查知攻击者的具体信息，真正起到了阻止攻击的目的。根据系统检测频率，可以分为 实时连续入侵检测系统和周期性检测系统。 以上这几种分类方法并不是不相交的，一个系统可以属于某几类。目前，入侵检 4 郑州人学硕i 。学位论文基于序列模式的入侵榆测研究 测技术己经产品化，其中常用的技术主要有以下一些。 ( 1 ) 用于滥用检测的技术 专家系统主要针对滥用检测”“。系统中维护着一个描述各种攻击的规则集，如 攻击者的目的、达到该目的要采取的行为等：审计事件被表述成有语义的事实，推理引 擎根据这些规则和事实进行判定。该方法增加了审计数据的抽象性。用基于规则的语 言为己知攻击建模。这种方法还可以用来检验机构的安全策略实施情况。但利用专家 系统进行入侵检测有一些不足，如难于抽取攻击知识，难于把这些知识表述成推理规 则，由于审计记录的不完全也给知识的抽取带来了困难，另外针对一种脆弱性有多种 攻击方法，因此会产生多个规则。专家系统的实现速度难于实现检测的实时性。鉴于 此，专家系统多用于原型系统的开发，而商业产品中则采用更有效的方法。在异常入 侵检测中也有使用专家系统的。见文献”。 特征分析方法有些类似于专家系统，主要用于滥用检测，但在对所获取知识的使 用上有所不同。它把各种攻击手段的语义描述转变为审计跟踪中直接可查的信息，比 如把攻击行为的各步转变为一系列审计事件或者是审计跟踪中的数据模式。这种方法 降低了对攻击描述的语义要求，是一种比较有效的检测方法。其缺点同其它基于知识 的方法一样，需要频繁地修改补充攻击的特征集，对操作系统的依赖性较强。另外， 用于滥用检测的技术还有着色p e t r i 网、状态转移分析”等，二者都具有描述简单直观 的优点，缺点是特征匹配时计算量大 ( 2 ) 用于异常入侵检测的技术 统计分析是在异常入侵检测中使用最普遍的技术。该方法用一些称为统计分析检 测点的统计变量刻画用户或系统的行为，例如审计事件的数量、问隔时问、资源消耗 情况等。文献“1 提出可用于入侵检测的5 种统计模型：操作模型、均值与标准偏差模型、 多元模型、马尔可夫过程模型和时间序列分析。 操作模型：主要针对系统中的事件计算度量值，例如，在指定时间段内统计口 令错误的次数。操作模型将得到的系统度量与门限值进行比较，如果超出正常范围就 触发相应的异常事件报告。 均值与标准偏差模型：是针对数据均值和标准偏差的特征提取方法。假设分析 器根据均值和标准偏差这两个参量就可以了解系统行为的度量。检测过程中，如果观 察到系统或用户行为超出了可以信任的范围区间，就认为是异常。该方法适用于事件 计数、内部定时以及资源使用状况等统计范畴。 多元模型：操作模型的扩展，基于对两个或多个系统度量之间的相关性分析， 摆脱了依赖于单个度量来判断系统异常的束缚。 马尔柯夫过程模型：把每一种不同类型的审计事件看作是一个状态变量，使用 状态转移矩阵表示系统状态转移过程中存在的概率特征。检测过程中使用正常情况下 郑州大学硕j 二学位论文 摹于序列模式的入侵检测研究 的状态转移矩阵，针对每一次系统的实际状态变化计算其发生的概率，如果计算结果 小则认为是出现了异常。 时间序列分析：将事件计数与资源耗用根据时间排成序列，如果一个新事件在 该时间发生的概率较低，则该事件可能是入侵。 统计方法“的最大优点是可以“学习”用户的使用习惯，从而具有较高检出率 与可用性。但是“学习”能力也给入侵者机会通过逐步“训练”使入侵事件符合正常 操作的统计规律，从而越过入侵检测系统。另外一点，统计分析检测点的选取是一个 关键技术，因为它的选取并不是根据特定的攻击，因此要选择有嘲络和系统特征意义 的测量点。如何找到同时合适两者的测量点仍是一个问题，目前对此一般是凭感觉和 经验。 神经网络在理论上也可以用于检测未知攻击。使用神经嘲络对输入向量( 来自于 审计日志或正常的网络访问行为，经数据信息预处理模块的处理) 进行处理，从中提取 用户正常行为的模式特征，并以此创建用户的行为特征轮廓。这就要求系统事先对大 量实例进行训练，具有每一个用户行为模式特征的知识，从而找出偏离这些轮廓的用 户行为。而用户行为模式的动态性要求入侵检测系统具有自学习、自适应的功能。实 际上，异常行为的检测关键是用户正常行为特征的提取，而对于入侵行为的识别是对 被监控系统用户的行为进行分类。文献”“提出的用于入侵检测的神经嘲络运用模糊技 术确定神经刚络的权重，加快了神经网络的训练时间，提高了神经嘲络的容错与外拓 能力。神经叫络方法的运用是提高检测系统的准确性和效率的重要手段。但神经网络 方法不易于人的理解，网络权重不具有可解释的语义。 遗传算法1 在入侵检测中的应用时间不长，在一些研究试验中，利用若干字符串 序列来定义用于分析检测的指令组，用以识别正常或者异常行为的这些指令在初始训 练阶段中不断进化，提高分析能力。该算法的应用还有待于迸一步的研究。 当前产品化的入侵检测系统都多多少少存在一些问题，如何提高检测系统的实时 性、准确性、智能化和易用性是当前研究的重点。根据最近的研究资料表明，一些新 的概念和技术被用于入侵检测。其中之一就是计算机免疫学1 。最初由f o r r e s t “等人 提出。该项技术建立网络服务正常操作的行为模型，首先收集一些参考审计记录构成 一个参考表，表明正确的行为模式，并实时监测进程系统调用序列是否符合正常模式。 如果参考表足够详尽，则这项技术的误报率将很低。但不足的是不能对付利用配置错 误进行的攻击。还有攻击者以合法操作进行的非授权访问等。计算机免疫学是一个较 新的领域，关于在入侵检测方面的工作仍在开展之中。 数据挖掘方法首先被l e e “用于入侵检测。w e n k el e e 及其同事们提出了一个用 于i d s 的数据挖掘框架，分别从网络和主机两个方面进行了审计数据的挖掘处理，并利 用数据挖掘的分类，聚类以及序列分析等技术，针对拒绝服务攻击( d o s ) ，远程攻击 6 郑州大学硕l 二学位论文摹于序列模式的入侵检测研究 ( r 2 l ) ，本地用户非法提升权限的攻击( u 2 r ) 和漏洞扫描等进行了系列研究。 m i s s i s s i p p i 州立大学的s u s a nm b r i d g e s 等人采用模糊数据挖掘技术对w e n k el e e 的 框架进行改进，以使i d s 具有某种程度的智能性。m a s s a c h u s e t t s 的m i t r e 研究小组探索 用数据挖掘处理入侵检测超载，他们用仿型( p r o f i i i n g ) “和分类( c l a s s i f i c a t i o n ) 分别处理误用检测( m i s u s ed e t e c t i o n ) 和异常检测( a n o m a l yd e t e c t i o n ) 。后来， i o s i f - v i o r e lo n u t 和a 1 ia g h o r b a n i 又提出将特征分类用于入侵检测。 在国内对入侵检测进行研究的大学和公司也u 渐增多，如网威的天眼入侵检测系 统( n i d s ) ，启明星辰的s k y b e l l ( 天镜) 黑客入侵检测与预警系统，东大阿尔派的n e t e y e i d s 入侵检测系统等等。但总的来说，国内的入侵检测系统起步比较晚，研究所驴得的 成果也不是很显著，需要进一步的发展。 入侵检测也面临一些主要问题，如：误报，网络和计算机的警报假警报，降低入 侵检测系统的效率。攻击者往往是利用包结构，伪造无威胁“正常”假警报以诱使收 受人把入侵检测系统关掉。另外，高速 。9 络技术，尤其是交换技术以及加密信道技术 的发展，使得通过共享网段侦听的网络数据采集方法显得不足，而巨大的通信量对数 据分析也提出了新的要求。 今后的入侵检测技术大致可朝下述三个方向发展。分布式入侵检测：第一层含 义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布 式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。 智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现 阶段常用的有神经网络、遗传算法、模糊技术”、免疫原理等方法，这些方法常用于 入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之 一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的 入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来 进行入侵检测的尝试也已有报道”。较为一致的解决方案应为高效常规意义下的入侵 检测系统与具有智能检测功能的检测软件或模块的结合使用。全面的安全防御方案： 即使用安全工程风险管理的思想与方法来处理州络安全问题，将嘲络安全作为