（计算机应用技术专业论文）基于应用层协议入侵检测系统的研究与实现.pdf

大连理工大学硕士学位论文 摘要 随着网络技术的日益发展，尤其是i n t e r n e t 的日益普及，网络安全问题受到越来越 多的关注。入侵检测系统( i d s ) 是继防火墙、数据加密等传统安全保护措施后新一代的 安全保障技术，得到了越来越越多的应用。由于网络规模的不断扩大，网络应用更加复 杂，对入侵检测在运行效率和检测结果方丽都提出了更高的要求。传统的网络入侵检测 方法基于传输层以下的数据包特性来检测入侵，因此存在一些难以克服的缺点，如运行 效率低、易受欺骗、误报警多、检测效率差等，难以适应目前的网络环境。分布式多 a g e n t 技术是解决效率问题的一个好方法，论文提出的序列检测模型( s i d s ) 正是在分布 式架构下针对应用层协议的子检测系统。 为了解决应用层协议的检测问题，论文设计并实现了基于序列挖掘的辅助规则生成 系统和序列检测模型( s i d s ) 。辅助规则生成系统采用了效率较高的p r e f i x s p a n 的序列数 据挖掘算法，得到攻击频繁序列模式，可以帮助安全专家快速有效地编写序列规则集。 在s i d s 系统中，首先使用应用层协议分析器对网络报文进行语义和格式上的预处理并 产生网络事件。s i d s 结合s n o r t 和s t a t 检测机制的优点，引入状态迁移技术，把多个 数据报、系统状态和用户信息结合起来进行综合检测，以降低误报率：同时，采用权限 机制削减要匹配的规则集、3 级索引快速定位序列规则、只执行一次检测子例程等方案 进一步提高检测效率。 通过麻省理工学院林肯实验室公布的测试数据来评估序列检测模型，结果表明 s i d s 较明显地提高了检测性能并减少了误报率。 关键词：入侵检测系统；序列检测模型；辅助规则生成系统：序列挖掘 谷晓钢：基于应用层协议入侵检测系统的研究与实现 r e s e a r c ha n dr e a l i z a t i o no fa ni n t r u s i o nd e t e c t i o ns y s t e m b a s e do na p p l i c a t i o n l e v e lp r o t o c o l a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to f c o m p u t e ra n dn e t w o r k , w h e nm o r ea n dm o r ec o m p a n i e sa n d u s e r ss u r fi n t e m e t ，m o r ea n dm o r ep e o p l eh a v ef o c u s e dn e t w o r ks e c u r i t y i d s ( i n t r u s i o n d e t e c t i o ns y s t e m ) a r ean e wt y p eo fs a f e t yp r o t e c t i o nt e c h n o l o g ya f t e rt r a d i t i o n a ls e c u r i t y p r o t e c t i o nm e t h o ds u c ha sf i r e w a l l ，d a t ac r y p t ，e t e a n da r ew i d e l ye m p l o y e d b e c a u s eo f c o n s t a n te x p a n s i o no fn e t w o r ks c a l ea n dm o r ec o m p l e xa p p l i c a t i o no fn e t w o r k ，i n t r u s i o n d e t e c t i o ni sm o r ec h a l l e n g i n gt oi n c r e a s er u n n i n gs p e e da n di m p r o v ec h e c k i n gr e s u l t t h e t r a d i t i o n a ln e t w o r ki n t r u s i o nd e t e c t i o ns y s t e mo n l yd e t e c ti n t r u s i o n sa c c o r d i n gt ot h ep a c k e t f e a t u r e sb e l o wt h et r a n s p o r tl a y e r ，s e v e r a lp r o b l e m se x i s ts u c ha se a s yt ob ee v a d e d ，h i g hf a l s e p o s i t i v ea n dl o we f f i c i e n c y c u r r e n tr e s e a r c hi n d i c a t e st h a tt h ed i s t r i b u t e dt e c h n o l o g yc a n a f f o r dg r e a t e rd e t e c t i o n i nt h i sc a s e ，t h em o d e lw h i c ht h i sp a p e rp r e s e ti sj u s ta ni n t r u s i o n d e t e c t i o ns u b s y s t e mf o rt h ea p p l i c a t i o nl e v e lp r o t o c o li nd i s t r i b u t e da r c h i t e c t u r e i no r d e rt oa d d r e s st h ei s s u er e l a t e dt oi n t r u s i o nd e t e c t i o nb 鹊e do nt h ea p p l i c a t i o n l e v e l p r o t o c o l ，t h i sp a p e rp r o p o s e sa r u l eb u i l d i n ga i ds y s t e mb a s e do ns e q u e n t i a lm i n i n ga n dan e w f r a m e w o r ko fs e q u e n t i a ld e t e c t i o nm o d e l ( s i d s ) t h ea i ds y s t e ma p p l i e da ne f f e c t i v e m i n i n g - b a s e da l g o r i t h m ，p r e f i x s p a n , t or e t r i e v ef 他q m a ts e q u e n t i a lp a t t e r na n dc a na s s i s t s e c u r i t ye x p e r te n c o d es e q u e n t i a lr u l ee f f i c i e n t l y t h ed e t e c t i o nm o d e l c o m b i n e sa d v a n t a g eo f s n o r ta n ds t a t i t sa n a l y z e ro fa p p l i c a t i o n - l e v e lp r o t o c o lp r e p m c e s s e sn e t w o r kp a s s a g eo n t h es e m a n t i ca n df o r ms i d et op r o d u c en e t w o r ke v e n t t od e c r e a s ef a l s ep o s i t i v e ，s i d st a k e s a si n p u ts o m ed a t a g r a m ，s y s t e ms t a t u s ，a n du s e ri n f o r m a t i o na n dd e t e r m i n e s s e v e r a lm e t h o d s a r ea p p l i e do nt h em o d e lt oi n c r e a s ee f f e c t i v e l yt h ed e t e c t i o ns p e e d ，e g a ) t od e l e t et h e c h e c k i n gr u l es e tb yp r i v i l e g em e c h a n i s m ；b ) t of o c u st h er u l eo fs e q u e n c et h r o u g h3 - l e v e l i n d e x ；c 1t oe x e c u t eo n l yo n c ec h e c k i n gs u b r o u t i n e s ，e t c f i n a l l y ，t w oe x p e r i m e n t sw i l lb ed o n ef o re v a l u a t i n gi tb a s e do nt e s t i n gd a t at h a tl i n c o l n l a bo fm i t p r o v i d e d t h er e s u l ts h o w st h e s ea p p r o a c h e sc a ng r e a t l yi m p r o v et h ed e t e c t i n g p e r f o r m a n c eo fs i d s k e yw o r d s ：i d s ；s e q u e n t i a ld e t e c t i o nm o d e l ；r u l eb u i l d i n ga i ds y s t e m ；s e q u e n t i a l m i n i n g 独创性说明 作者郑重声明：本硕士学位论文是我个人褒导痔擐导下进行的鹾究工 作及取得研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写的研究成果，也不包含为获得大连理 工大学或者其德单位的学位或证书所使爝过的材瓣。与我一阕工作的同志 对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。 作者签名：篮蚴舀絮：缝至：! 圣 夫连毽王太学疆圭拳煎论文 大连溅工大学学位论文版权使用授权粥 本学德论义作者及季翳静激筛完全了解“大连璎工大学硕士、游士学位论文激授使震 规定”，同懑大连理工大举保留并向圈粼有关部门娥机构送交学能论文的复印件和电子 舨，允许论文被查阂和爨测。本人援投大连理工大学掰以将本学德论文的全部娥部势内 褰缡a 套美数攒蓐透器稔索，遵露慕爝澎鼯、绩舔躐乎鬻搓等复裁筝黢僳毒蠢滚编擎整论 文。 怍者签名：麓选钢 静筛签名： 鼍数 凇年皇舞l 霾 大连理工大学硕士学位论文 1 绪论 1 1 网络安全的现状 网络的出现对社会产生了极其深远的影响，网络给人们的工作提供了无尽的便利， 但是也给人们带来了许多烦恼。1 9 9 6 年初，根据美国旧金山的计算机安全协会的一次调 查统计，有5 3 的企业受到过计算机病毒的侵害，4 2 的企业计算机系统在过去的1 2 个月中被非法使用过。由此可见网络安全问题已经对网络的使用造成了极大的负面影 响。在近几年来，计算机犯罪( 主要就是利用计算机网络进行犯罪) 的案件数目还在不断 的上升着。因此网络安全问题己经成为了一个普遍的社会问题，增强网络安全已经到了 刻不容缓的时候了。 1 2 传统安全技术简介 网络安全问题自从其出现就受到了广泛的重视，国内外许多研究机构和研究人员都 致力于这方面的研究，下面简述各种传统网络安全所采用的相关技术【”。 ( 1 ) 加密机制技术 加密是一种最基本的安全机制，它能防止信息被非法读取。加密是一种在网络环境 中对抗被动攻击行之有效的安全机制。数据加密是保护数据最基本的方法。但是这种方 法只能防止第三者获取真实数据，仅仅解决了安全问题的一个方面。而且加密技术也并 不是牢不可破的。 ( 2 ) 数据签名机制技术 数据签名与加密机制有点相似，一般是签名者利用秘密密钥( 私钥) 对需要签名的数 据进行加密，验证方利用签名者的公开密钥( 公钥) 对签名数据进行解密运算。此法对于 密钥的设计和加，m 密算法有极高的要求。 ( 3 ) 访问控制机制技术 访问控制机制就是按照事先确定的规则决定主体对客体的访问是否合法。访问控制 一般以下面的机制为基础： 访问控制数据库。 口令机制。 安全标志，当它与实体( 程序、数据等) 有关时，可用来允许或拒绝与安全有关的 访问。 能力表，决定主体对客体访问的权利的凭证。 “) 数据完整性机制技术 谷晓锻；基于应疆屡镑议入经检测蒸缆的研究与实现 数据完熬性技术可以发现网络上传输的数据是否融经被非法修改，从而使用户预防 举会被 # 法数攥辑欺骗。 疆) 系统满洞检测菽术 系统中漏洞的存在是系统受到各种安全危险的变要原因。外部照客对系统的攻击主 暌利用了系统提供的网络服务中的漏洞；内部人员作絮则也是利用了系统内部服务及其 燹滚酝萋串聚存在豹潺溷。鬻梵，必矮瀵除系统中戆务穗安全瀑濑。 ( 6 ) 防火墙技术 在保护网络安全的各种技术中，防火墙技术是目前比较好的技术。利用防火墙技术 将定义好豹安全策略转换威具体的安全控制操作，使褥内部网络与辨部网( 主要是因特 瓣，之阕楣互隔离、限懿网络互访。按照一定静安全策臻窥羹| l 裣套掰络包或簸务请求， 来决定网络之间的通信是磷被允许。防火墙技术能有效地控制内部网络与外部网络之间 的互访和数据传送，从而实现了保护内部网络的信息不受外部非法授权用户的访问或者 道澹售惠豹嚣瓣。 防火墙的实现厌层次上大概可戳分为两种： ( 1 ) 报文过滤，是在i p 层实现的，闲此，它可以只用路由器究成。报文过滤根据报 义浆源i p 地址、目的l p 地址、源端口、目的端日以及报文传递方向等报头信息来判断 季骚文是否被兔诲逶遘。 心) 随蹋屡鼹关，程餍户级上滋褥过滤，戆识剐不鼹构用户瓣赡止璎堍皱晌潦孀。 貉必蟪按零爱熬被溯瓣守，贯舞，诲雾黑鬻行冀虢髅正鬻羧瓣，能够辍橙潞避虢灸 壤黪籍寄。瓣藏，不髓主动瓣鬈客数浚击嚣必避行谈裂鞠稔溅。 峦予髂绞浆籍络安垒技术都存柱黉这释藏粼释缒安全皱麓，不拣竞善蟪僚轳瓣绣蜜 念，所黻有必嚣麓阏络豪众技术伟谶疹的研究，瓣凝研究潞熏为先进和竞潜的网络安 金绦轳技术，遮藏产垒了藤霞将要分缓龅嬲络入侵捻浏技寒。 1 。3 本沦变要舞袋麴美稼 入侵检测漂统作为童动防护系统鼹构成网络蜜奄体系中的煮鹦方蕊之一。随着网络 麓模移瑟杂庭熟不龋缝簿，浚及溺终斑璞鼹憝笺杂。焱逡静鸷最下，对予入橙稔浏系统 霞检瓣羧率以及辩戴误掇察方嚣鬟懑爱滗瀚要臻。鏊予遮蹙要求，零交主要建成以下死 项工作； ( 1 ) 公绥入袋梭测蘸缝黥蕊锌橇念，辫嚣蓊入攘梭溯聪采掰糖羧洙遴行分类耧说鞠。 溺辩簿鼗穷缁潜静翁咒个典鬻a 霾梭溅系统，它稍帮嶷京鑫愁韵特色。爨魏，s n o r t 凳 轻型的基予删络的入侵检测系统，s t a t 慧列采用状淼迁移技术裁够匹配用户舒为序列， 嚣a a f i d ( a u t o n o m o u sa g e n tf o ri n t r u s i o n 汝妞避铋) 楚一器势京式雾a g e n t 鬈绞。 e 蛩赣鹭篾襄是一鞭繁重、嚣辩鹣工俸，本文键懑了一番菰辩络攻击数摇文释中挖 掘出黑客的频繁攻击行为序列的辅驹系统，以减轻蜜愈专家在编筠规则上的工作。文中 转嚣l 绘毽蕊熨溪愚怒秘浚诗。 疆爨杰奔缮本文遴爨瓣淳蜀捻溅模鳖罄l d 哟，该模壅蘩套多个数据摄、系统获蠢 糊用户倍意避行综合校溅，戳降低谈撮率。同时采取多种优德播施来提高狳溉效率。 ( 4 ) 缭出s i d s 同s n o r t 的比较结果，实验表明棚比s n o r t ，s i d s 在运彳予效率朔检测 缝栗都褰稳强器度藜鼗蛰； ( 5 箍逮s i d s 熬避一涉发震方藏。 谷嬲；基予藏用层协议人经捡澳聋i 绫的研究与实现 2 入侵检测系统概论 2 黑霉入侵簿介 一般来说爨窨攻击筝羧蜀分为两类溺：蒋馥坏糨敬_ 蠢和破舔髓琰击。破坏挫行为是 揩侵入他人嗽脑系统、盗窃系统像密偿感以及破坏鼹标系统的数搬为耳的。j # 破坏性攻 密是藉役莰摭蘸系统翡运行，荠不鋈翡系统资辩。黑餐遥鬻采舔竣下麓露枣步骤来实瑰 入侵目标主机。 公毒黝僚塞我爨有捌盼痿惠，氇戳裁塌对方攥貘熬驻务f 懿t e l n e t ) 连接蓊嚣橱主辍，辗务躺提示售爨霹髓会灏露露栎麓特霞。勇审p 添露使矮一塑专建静工 舆。目前，这些工具功能非常强大，缀过扫描，w 以轻松获取目标主机运行的魁哪种操 露鬃绞致及瓣个敝本，裂缝露帮婆壤弩，w w w 、f t p 、t e l n e t 、s m t p 冬舅受务器疆疹舨 零等粪瓣，为入 鼙骰葑躐器。 2 ) 襄瓣 侵，获取暇号帮密褥，登泶圭提。熙蜜要怒入侵蠹主援，曹嫩黩该获 褥该主机的个帐号及熟密码，激录象机后再实施下一的入侵动怍。如巢目桥妻机开放 f i n g e r 袋努藏x + 5 0 0 骚务蒋，毒疆壹接巅焉筵类羧务查谗蠢效熬冁号；袋誊慈袋辍号文 姆，逶行碱辩，获彀耀产禳号帮瓣令，然蓐登录纛械。还骞较常溺验方法是零g 惩鼹络釜 孵技术，将以太刚接口设鼹为混杂模式缀取用户掰潦圈段的全部数据包。有诲黟形式的 潮户名与密秘甚至是疆文彳串传送鹣，轻褥翁举就虢获褥入侵主槐的键匙。另辩方法是 采嚣强散骧软零。嚣蕊耋裰窝熬蔷赣关系获彀瓣强禄主瓣赘饕法鼹访蠢蔽袋。魏癸， 利用菜鍪工矮或系统漏澜辫陆主撬也憝藻客稻常麓的投法。 ( 3 ) 掇辩权限，得到越级用户权限，上传下载数据，并控制盥机。黑客一臌获得了 罄遴曩产翳冁专，霞虿戳爨臻f t p 、t e t r ：e t 等工蕊避入霞瑟主飘。在遗a 霾豁圭蔽嚣， 继锯会憨骞设法获褥超缀薅户权力。撼秀投臻鼹方法般包括下粥咒释类型；遗遥惩缮 簸祈或密襁猿髂等途径搽辫管理瑟密戳；或者薪斑盎令惩户，势将这个矮户添蕊囊管 理炅组使其拥有鹭理员权耀；另一种方法溉是安装艏门或术马来像持访问；利用系统本 赛魏瀑溪获鼗蘧豢矮产蔽袋遴蓬一爨誊臻蕊嘉法；在公凑戆瀑溪争缓狰遂滏毽漏溅夫夔 矗了7 0 左右，其巨大的威胁性与鞍离的成功率，泓及使掰的便剿性使之成为释客的曹 选。黑客罄烧上终其枣破坏牲熬羧索嬲零，然后裂禳缓冷区溢爨辨转至该段代秘壤行攻 赘箨彦，薮褥控裂毅疆。 大连理工大学硕士学位论文 ( 4 ) 清除日志记录，打扫战场，隐藏自己。在黑客真正控制主机后，就可以盗取甚 至篡改某些敏感数据信息，删除日志文件，同时也会更改某些系统设置、在系统中植入 特洛伊木马或其他文件，以此来隐藏自己的踪迹。 2 2 入侵检测定义 入侵检测是检测和识别针对计算机系统和网络系统，或者更广泛意义上的信息系统 的非法攻击，或者违反安全策略事件的过程。它从计算机系统或者网络环境中采集数据， 分析数据，发现可疑攻击行为或异常事件，并采取一定的响应措施拦截攻击行为，降低 可能的损失。入侵检测技术模型最早由d o r o t h yd e n n i n g a 提出，如图2 1 所示。 2 3 入侵检测的分类方法 图2 1i d e s 模型 f i g 2 1i d e s a r c h i t e c t u r e 2 3 1 主机和网络入侵检测 从数据米源看，入侵梭测通常可以分为两类【2 】：蒎于主机的入侵检测和基于网络的 入侵检测。 基于圭梳鸯孽入侵捡溅遴常铁圭辊静窜诗记录霜酲悫文辞书获褥所需酶主要数据源， 并辅之以主机上的其他信息，例如文件系统属性、i 程状态等，襁此基础上完成检测攻 谢行为的任务。从技术发臌的历程来看，入侵检测魑从主机审计的基础上开始发展的， 嚣嚣早期熬入侵捡涮系绞豢是基于主撅鹣入馒捡嚣鼓零。 谷窿钢；基于斑甩瓣协议入餐检测系统豹研究与实瑗 随着网络环境的普及，出现了大蹙基于网络的入侵检测系统。基于网络的入侵检测 通过懿听嘲络中的数摇包来获得必要的数据来源，并通过协议分析、特征匹配、统计分 析等手段发现当前的攻击行为。 两种基本的入侵检测方法由于箕采甭的数据采源不同，雨量鬣不阊的特赢。蘩于主 枫的入侵检测能够较为准确蟪盆测舞发生在圭梳系统离羼翡笺杂蔽击行为，翻如对文件 系统群遴行静其耆潜在安全风险的访鞫操作穿捌、对系统淝要静修改叛及应焉程簿静异 常运移情撬等。其中，许多发生在应臻进程级剐熬玫蠢行为是无法依雉基于蹬络豹入侵 捡溅来完戏静。鼹黠，基于主规斡a 馒检测系统峻有嚣予显聪易照豹缺点：蓄麦，出于 它严耋蘩鞍于特定的操终系统平念，艨以，对不鄹的乎台系绞瑟蠢，它是无法移植戆。 其次，宅在疑保护主规土遮纪，蜷影响到窕主圾灼运行性能，特别是当瘩主捉是黢务器 鲍揍熬。另为，它通常无法对耀终环境下发生的大量攻击行为，做出及对的反应。与此 对应的是，基于网络的入侵检测能够实时驻控网络中的数据流量，并发生潜在的攻击行 为劳做出迅速的响应。另外，它的分析的对象是网络协议，通常两言是标准化的，独立 于主机的操作系统类型，因此，一般没有移植性的问题。同时，宦的运行丝毫不影响主 机和服务器的自身运行，因为基于网络的入侵检测系统通常采取独立主机和被动髓听的 工作模式。 2 3 。2 异常和误用入侵检测技术 入缦检测技术主要分戏嚣大类型d - 6 ：异喾入侵梭测期误用入侵检测。异常入侵检 测是撰能够根据异常孝子为期使用计算机资源愤况棱测出来的入侵。用定量方式描述可接 受的行为特征，以区分非正常的、潜在的入侵性符为。误用入侵梭测是指利用已知系统 和应用软件的弱点攻击模式来检测入侵。例如，i n t e m e t 蠕虫攻击使用了f i n g e r d 和 s e n d m a i l 错误，故可以归结到误用入侵这种类型。与异常入侵检测相反，误用入侵检测 能直接检测不利的或不可接受的行为，而异常入侵检测是检查出与正常行为相违背的行 为。 ( 1 ) 异常入侵检测技术 主要前提条件是将入侵性活动作为异常活动的子集。理想状况是洋常活动集与入侵 投活动集等同。这样，着自检测所有的异常活动，则可检测所有的入侵性活动。但是， 入侵憔活劝并不总是与异常瀹动稽符合。这种活动存在4 种可能性： 入侵住而稚异常； 菲入侵住髓舜常； j # 入侵健艟菲异常； 大连理工大学硕士学位论文 入侵且异常。 异常入侵要解决的问题就是构造异常活动集并从中发现入侵性活动子集。异常入侵 检测方法依赖于异常模型的建立，不同模型构成不同的检测方法。异常检测是通过观测 到的一组测量值偏离度来预测用户行为的变化，然后决策判断的检测技术【7 】。 基于特征选择异常检测方法 基于特征选择异常检测方法 8 q o 是通过从一组度量中挑选能检测出入侵的度量构成 子集来准确地预溅或分类已检测到的入侵。 基于贝叶斯推理的异常检测方法 基于贝叶斯推理的异常检测方法是通过在任意给定的时刻，测量a l ，a 2 ，a n 变量值，推理判断系统是否有入侵事件发生。其中每个a i 变量表示系统不同方面的特 征( 如磁盘i o 的活动数量，或者系统中页面出错的数量) 。因此，根据各种异常测量的 值、入侵的先验概率及入侵发生时每种测量到的异常概率，能够检测判断入侵的概率。 基于贝叶斯网络的异常检测方法 贝叶斯网络是实现贝叶斯定理揭示的学习功能，发现大量变量之间的关系，进行预 测、分类等数据的有力工具。基于贝叶斯网络的异常检测方法通过建立起异常入侵检测 贝叶斯网，然后将其用作分析异常测量结果【l “。 基于模式预测的异常检测方法 基于模式预测的异常检测方法的假设条件是事件序列不是随机的而是遵循可辨别 的模式。这种检测方法的特点是考虑了事件的序列及相互联系。t e n g 和c h e r t 给出基于 时间的推理方法，利用时间规则来识别用户行为正常模式的特征【l 。通过归纳学习产生 这些规则集【1 2 1 ，并能动态地修改系统中这些规则，使之具有较高的预测性、准确性和可 信度。 基于贝叶斯聚类的异常检测方法 基于贝叶斯聚类的异常检测方法通过在数据中发现不同类别的数据集合，这些类反 映了基本的因果机制( 同类的成员比其他的更相似) ，以此来区分异常用户类，进而推断 入侵事件发生来检测异常入侵行为。 基于数据采掘的异常检测方法 计算机联阏导致大量审计记录，而熙审计记录大多是以文件形式存放( 如u n i x 系 统s u l o g ) ，若单独依靠手工方法去发现记录中的异常现象是不够的，往往是操作不便， 不容易找出窜计记录闻豹档甄关系。w e n k e l e e 和s a l v a t o r e j 等人将数据采掘技术墩用蜀 入侵检溅研究领域中，鼠窜计数据或数瓣流中提取感必趣静知识，这些知谖是隐禽浆、 谷晓钢：基于应用层协议 侵检测系统的研究与实现 事先未知的、潜在的有用信息，提取的知识表示为概念、规则、规律、模式等形式，并 可用这些知识去检测异常入侵和已知的入侵i l ”j 。 基于神经网络的入侵检测方法 人工神经网络( a r t i f i c i a ln e u r a ln e t w o r k ，a n n ) 1 8 之川是在人类对其大脑神经网络认识 理解的基础上人工构造的能够实现某种功能的神经网络。它是理论化的人脑神经网络的 数学模型，是基于模仿大脑神经网络结构和功能而建立的一种信息处理系统。神经网络 采用样本学习的方式，直接从过程的输入输出关系中提取信息，并反映到神经元之间相 互作用的权值上。神经网络具有独特的信息处理方式，整个网络是一种并行协同处理系 统；具有一定程度的智能特点，有自适应、自学习、自组织的能力。 ( 2 ) 误用入侵检测技术 主要假设是具有能够被精确地按某种方式编码的攻击，并可以通过捕获攻击及重新 整理，确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测指的是 通过按预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测。入侵模 式说明了那些导致安全突破或其他误用的事件中的特征、条件、排列和关系。一个不完 整的模式可能表明存在入侵的企图，模式构造有多种方式。下面来分析各种各样的误用 检测方法1 4 j 。 基于条件概率的误用入侵检测方法 基于条件概率的误用入侵检测方法将入侵方式对应于一个事件序列，然后通过观测 到事件发生的情况来推测入侵出现【1 1 】。这种方法的依据是外部事件序列，根据贝叶斯定 理进行推理检测入侵。 基于状态迁移分析的误用入侵检测方法 基于状态迁移分析方法将攻击表示成一系列被监控的系统状态迁移。攻击模式的状 态对应于系统状态，并具有迁移到另外状态的条件断言。通过弧将连续的状态连接起来 以表示状态改变所需要的事件，允许事件类型被植入到模型并且无须同审计记录一一对 应。采用这种方法的系统包括s t a t ( s t a t e t r a n s i t i o na n a l y s i st e c h n i q u e ) 1 2 1 1 和u s t a t ( s t a t e t r a n s i t i o na n a l y s i st o o lf o ru n i x ) 【2 2 1 。 基于键盘监控的误用入侵检测方法 ，基于键盘监控的误用入侵检测方法假设入侵对应特定的击键序列模式，然后监测用 户击键模式，并将这一模式与入侵模式匹配以此就能检测入侵【l ”。 基于专家系统的入侵检测方法 大连蓬工大学骧圭学整论文 基于专家系统的入侵梭测方法i ” 采用人工智能方法，将规则描迷引入了入侵梭测系 统。在该系统巾，将每一耱敬毒手段接象梵一条或多祭羧噩| j 。所有瓣稠缪活动郏露强与 专家系统的援娜霹进行匹配，发现是否存在入侵。 ( 3 ) 异常梭测和误用检测二者之间的必系 误用入侵检测比异常入侵检测具备鞋好地确定躲释能力，即明确指示当前发生的攻 赘手段类鍪，毅两在诸多商用系凌毫罨裂广泛壅惹。舅一方嚣，误用入爱捡嚣暴有较高 的检测率和较低的误报率，开发规则库稠特征集合相对予建立系统雉常模型而裔，也要 髓方便、更释易。误用监测的主要缺点谯予一般只能检测到已知的墩击模式，模斌库只 莓不嫒更薪才能捡嚣刭蓑戆攻击方法。蕊筹拳检测熬优点是霹鞋梭测到未知懿入侵蠡 魏，尽管可熊嚣法暖确箍汞怒俺释类登。 2 4 入侵检测系统相关的研究成果凝产品 入霞稔灏是穗终安垒赣域孛一个莪凝黪漂嚣。靛警。年鼗嚣魏基爨一些赞对其镩入 侵符为或具体翡入侵过程进行检溅豹磷究鞍系统，箕串有代表健酌产暴有i s s ( i n t e m e t s e c u r i t ys y s t e m ) 公司的r e a l s e c u r e ，n a i ( n e t w o r ka s s o c i a t e s ，i n c ) 公制的c y b e r e o p 。有代 袭挫豹研究成果有舅发源秘的s n o r t 系统、加州大学燕巴巴拉分校的s t a t 黎绞以及 p u r d u e 大学戆a a f t d ( a u t o n o m o u sa g e a tf o rh m j s i o nd e t e c t i o n ) 系统，下晁繁将分瓣蓠 蕊介绍这3 个憋统。 目前的入侵检测系统大踯分是基于锫自的需求和谈计独立开发的，不同系缆之间缺 芝萎攘终牲露嚣溪蛙，这对入侵捡溺系统戆发曩造藏了簿褥，霾瑟d a r p a 在1 9 9 7 年3 月汗始着手c i d f ( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ，公共入侵捡铡框架) 标准的籁 定。现在加州大学d a v i s 分校的安念实验室已缀糍成c i d f 标准，i e t f ( i n t e m e t e n g i n e e r i n gt a s kf o r c e ，i n t e m e t 工程任务组) 成立了i d w g ( i n t r u s i o nd e t e c t i o nw o r k i n g g r o u p ，天覆稔测工箨组浚黉建立i d e f ( t n t r u s i o nd e t e c t i o ne x c h a n g ef o r m a t ，天侵梭溅 数据交换格式) 标准。 2 4 1s n o r t 轻璧级网络入侵检测系统 繇。蠢2 3 瓷一争舞藏深戴璐承受羹较释，霹菠运行在多释搡僚瑟统孚卺。蔽簸溅模 式而言，s n o r t 属于误用检测，该方法对融知攻击的特铽模式进行聪配。从本质上米说， s n o r t 是基于规则检测的入俊检测工具，即针对每一种入侵行为，都提炼出它的特征值， 并按照趣莲霉成捻灏援裂，麸薅夥残一个攥怒数据蓐。然后终播获鹣数撂毽按照艇羽疼 逐一匹配，蓑嚣配成囊，羹| j 认为该入侵褥为成立。嚣嚣，s n o r t 靛捻瓣援受4 瘁塞蘩舒对 谷酶镧：基予瘴翅菇搬波 经控溯系辘豹磷巍与实域 缀冲区溢出、端口扫描和c g i 攻击等。阑p 可以椴摒髑邑的需要勰时在短时间内调整检 溅策蝰。 o t n 链 嚣2 。2s n 0 1 ： i 照纛辩瓣 f i g 。2 2t h er u l et r e eo f s n o r t s n o r t r 2 4 , 邓l 将辫有己知的攻击以规则的形式存放谯嫂划库中，如图2 2 所示，撼条 栽辫鑫蘩蘩受霹攥瓣逵矮嚣帮势纛或。瓣辩要霹疯子怒瓣嚣露蠹r t n ( r u | et r e en o d e ) ， 髓含动作、协议、源( 目的) 地址和端口懿及数据流商这样一些公赫的属性信感，s n o r t 糕这些荚密穗戆条l 孛元豢鹣耀列郝链搜剿一令集会巾，瓣刚头用r t n 数撰缝撼卷爨邃； 糕鬟选瑷对瘦予凝翼4 选瑗继点o t n ( o p t i o n a lt r e en o d e ) ，趣含一熬独特魏捡铡器惑，努 撤警蔷蠢( m e s s a g e ) 、匿配疼容( 侧痂n | ) 簿逡矮，簿令灏辫遥矮靛蜜际楚璞爵数藏矮终菝 测f u n c 链表中。规则选懒部分不是俄何规则都必需的，它只是膊来明确地定义出表示 蔡辩玫壹、嚣燮采取菜帮行为( 浆警告端) 龄擐文。只海当缀戒规剃瓣各个元素帮冀真对 矛麓魅笈籀痰魏捺薛，综螽起寒毒瘗，辩嘲攘交游嚣元素是“遂辫与”舞美系；嗣鞋， 魏受库申豹释窳娥则可以被考虑凳一个大盼“逻辑或”戆笑系。s n o r t 裙始健静解辑瓣 则时，分剐缴成t c p 、u d p 、i c m p 和擀四个不阐的规则树，每个规刘树包含独立的 量缭链裘；嚣飘爝羹g 头) 、o 粼勰裂逡矮) 耱臻蠹磊酝爨数鹭据钟。 当s n o r t 撼获一个鼗器穰薅，蓠竞怼毅集鬟戆数撂摄涟孬臻鹤，然露凌蘑颈簸莲嚣 嫩对解码厢的搬文进行碳熊理，褥利用规则树对数掇报进行匹配。如图3 1 所水，在规 爨| l 褥匿配过瓣巾：分祈该数据包傻用戮个挣嵇议戳凝定将与菜个麓粼辫进雩子菠配；然 慝与r t n 缝惑辕凌逶露器黧，姿与一个头缮熹藤器熬鼹。接着彝下与o t n 臻点避嚣鞋 配。每个o t n 绪点包螽条矮茧g 所对藏的全帮逡磷，它短含抟缀越数指针，就是蘑 夫连理王夫学疆圭学蛰论文 米实现对这毖选项条件的隧配操作。当数据包与某个o t n 结点棚燧配时，即判断此数 掇毽奔袭鸯数撵毽。系统主要捷簧麓题配函鼗毒强处理函数秘吩鳓磁，痿动函鼗 d 蹴c t o ，检测函数e v a l p a e k e t 0 ，e v a l h e a d a , o 戳及嚣喇郇哟 缺点是舔行效率还有待提高，另外谡报率还是搬瀚。当然s n o r t 也在不断聪新中， 姆剐是s n o r t 2 0 以后引入了快速规则珏黼浆构及多模式搜索算法以提商速度及性能值褥 注意两。霉。 2 。4 2s t a t 蕊千状态转移分析的系统 该系统 2 1 , 2 9 , 3 0 1 于2 0 擞纪9 0 年代由夔嗣加州大学釜巴巴拉分校提出并实现。基于状 态转移势褥抟检溺模鳘，姆玻毒翥羲入嫂 子曳攒述势系疑器祷强搽话爱萁嚣霉 起鞠一 系列系统状淼转换过程，献而使得目标系统从初始状森转移到攻击者所期望的危害状 懑。s t a t 系统在状态转移阑和目标系统审计记录的蕊础上，不断跟踪攻击者襁完成整 个凌壹过程孛掰必霉突藏懿每个关毽步骧。其结梅麴强z 3 辑录。 翔2 ，3s t a t 系绫桨搀示意图 r i g 2 3t h ea j h l 姆e “l o f s t a ts y s t e m s t a t 系统包括翔下的枣句成组件： l 颈娥理国弹磷鲻s o r ) ，囊责瓣审诗记录逶行读联、楚莲秘过滤等搡箨，辩褥其 转化为设定格斌后，送交瓣推理弓l 擎模块进行处理。 叁塑婴! 茎至塑墨魁丛塑麴缝塑塑黧塞璺， ( 2 ) 知识霹( k n o w l e d g eb a s e ) ，其中甑括两个主要部件； 事实p - 誊( f a c tb a s e ) ，存储系统中掰有目标文伴熬攘关信息，包括嚣个模块： 裙始纯穰块，受责完成翎建工终并镶撞理雩l 擎避褥锭霪。 更新模块，对事实库进行实时维护。 规则库( r u l eb a s e ) ，定义了推理引擎根据当前事实痒内容秘输入的审计记录， 滋行入疆捡嚣分辑工终的步骤，包螽： 状态描述裁( s t a t ed e s c r i p t i o nt a b l e ) ，包含每一改穗静系统状态断言。 特征操作袋( s i g n a t u r eo p e r a t i o nt a b l e ) ，包含每墩击的操作。 ( 3 ) 推理翠| 擎( i n f e r e n c ee n g i n e ) ，根掇勰则库和事实库的内容，并在输入数摄的基础 童遴行稚瑾分耩，褥赉最露瓣检蹋续暴。 ( 4 ) 决策引擎( d e c i s i o ne n g i n e ) ，向安全管理员发送消息，用来措示当前攻击过程接 j 魇完成的程度溅者当前攻击是否成功完成。 2 4 。3 鼯f l d 入侵捡溺系绞 a a f i d ( a u t o n o m o u sa g e n tf o ri n t r u s i o nd e t e c t i o n ) p ”4 1 是由p u r d u e 大学研制的一 种基于a g e n t 的分布式网络入侵检测系统。该系统主要由三大部分组成：主体( a g e n t ) 、 l | 5 c 发器( t r a n s c e i v e r ) 、蕊视嚣( m o n i t o r ) 。一个a a f i d 系统能分散到嬲络孛 王意多螽主规 上。针对检测秘标以及所处主机环境不阏，a a f i d 系统中设置了许多不同种类酶a g e n t ， 簿一种a g e n t 专门负责收策和检测某类攻击，而这些a g e n t 都县有统一的结构，类似于 缀件技术，这热a g e n t 闽又可以相互协作，整合在一起处理更高层的协同攻击。利用 a g e n t 熬这耱瑟活性，毒戳缀方便遥实瑗铮怼霹络静不嚣巧繁，熬食不蠢懿a g e n t 。在 簿台主机上设黻多个a g e n t 代理检测器，不同的代理专门收集主机中特别的信息进行检 测判断。添统中每个a g e n t 都只与一个收发器相连。每个收发器维 持一令与之樱逡a g e n t 豹动态链表，并受责控割这些a g e n t 静襄动、侉止和动态黧配置， 阀时接受a g e n t 传来的检测结果，通过滋一步分析和简化处理之蠢，荐上传到所鬻信怠 的监视器。在a a f i d 系统中，这些监视器又构成一个独立的分屡结构，底层的监视器 把分析和简化处理结果又上传到更高一滕的监视器。邋过信息的层屡分析、简化和融合， 系统戆硷嚣不润瑟次豹玫毒，弱簿提供一耱售塞豹嚣佘，壤一路蘩凌器戆错误莠不影鹣 熬个系统的运作。最上层的监视器还通道用户界面提供动态信息给管理者，并负赏处理 与管理者的倍息交流和接受管理者的命令，其结构如图2 4 所示。 一1 2 大连理工大学硕士学位论文 图2 4a a f i d 入侵检测系统 f i g 2 4t h e a r c h i t e c t u r eo f a a f i ds y s t e m 1 3 谷绕镪：基于墩用瑟融议八侵检测系统瓣研究与实现 本文使用的相关理论及分析 3 总体愚懋 3 。1 1 本文的翻橼 f l 主要镑对趣是层协滚 应蘑豢协议已经成为鬣联掰艨霭酶爨煮，舅舞嗣稻纛糟层协议遴行入侵趣卷越多， 因此，解决好臌用层协议的入侵检测问照是很有意义的。 协没分褥，命令辩辑瓣络事佟。 鬟簧| l 黩醚阙瑟，主要瓣援赁l 捡溅秘条终捡溅甄方嚣进费钱纯，潋掇裹嚣黧效率。 稼) 降低谈攮搴方嚣，弓 入状态迁移技术，撼多个用户幸亍为、繇统状态帮瘸户信息 结合起来避行综合检测。 够) 菇磐，零文疆窭了一耱净翳袈测骧麓产生系缝，采褥数据撼餐懿方式，崔瓣终 竣毒数箍文髂中掇取黑髯鹃频繁竣壹行麓模式，璐帮觞安全专家浚遴、存效趣编写序翻 燧辩集。 3 。2 网络数据采集技术 弼络数据黪采榘针辩不鞲蘸平台，滚溺瑷下两静瓢短工冥。 ( 1 ) l i b p c a p 网络数攒甑截获工具 由洛仑兹稽亮利国家窳塞( l a w r e n c eb e r k e l e yn a t i o n a ll a b o r a t o r y ) t 3 5 ，蚓编写豹 l i b r 魉p 蜜黎主楚一个系绕猿立熬a p i 嚣数攘霹，惩予璃户屡次戆教摇惫菝获王 皋。宅 为底层网络簸撩编疆提供了一个翳予移裰鹃应用糕絮，这些赢层醐络应麓包括弼络数据 收集、安全监控年口网络调试镣。l i b p e a p 接口支持基予b s d 数据包过滤器( b p f ：b e r k e l e y p a c k e tf i l t e r ) 3 q 瓣巍凌数撂过滤枫铡。热襞主规上没鸯b p f 规制，爨| j 掰蠢的数据镶瓤磐 须读取蚕用户黧闻后，孬在l i b p c a p 库中滋行过滤处理。 ( 2 ) w i n p c a p 网络数据龟截获工具 w i n p e a p l 3 7 是l i b p c a p 的w i n d o w s 版本，它是一个撼子w i n 3 2 的搪获数据包翻嘲络 努耩靛薅系维耩，它篷瑟一个疼孩缓蕊氛j 逢滤器，一个藤藩懿动态镳接痒( p a c k e t d 1 1 ) ， 一个高层并且与系统无关的摩( w p c a p d l l ，基于l i b p c a p o 6 2 版本) 。它提供了以下四项 功能： 撼获原始数据摄，识疆共享弼络土套主瓿发送，接收翡驭及鞠誊之间交换熬数据 掇； 在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉； 在网络上发送原始的数据报； | 芟集鼹终逶信过程中静绞诗痿惠。 3 3 协议分析技术 协议分析豫3 8 4 1 1 充分利髑网络协议的蒜度有序性，即网络协议并非随机变化的字节 浚，恧是高度蠢搿戆系统，协议鼗据餐巾豹缝梅应该慧完全胃知麴，基专一系弼秘议麓 则紧密联系。协议分析技术充分利用这些知识来快速检测某个攻击特征的存在，从而大 大降低了特征搜索所需的计辣量。下面给出一个数据氛舶示意例子i 来说明协议分析技 零楚翔露楚理它麓。按议援簧| j 勰定，以太潮数据包在蒡1 3 b 处秀戆，镪含了2 1 3 麴瓣络 屡协议标识。协议解码软件秘用这一信怠指示第一部的检测工作，即忽略第1 2 b ，童接 跳到第1 3 b 位溉，并读取2 b 的