（计算机应用技术专业论文）基于模糊分类的入侵检测.pdf

捅要 随着计算机技术和通信技术的发展，由入侵而造成的损失以及计算机相关的 犯罪也急剧增加。因此，网络安全即确保系统按照预期目标正常、稳定的运行， 成为人们关注的焦点。入侵检测系统( d s ) 是从计算机或网络中抽取信息，用以 检测来自于系统外部的入侵者和内部人员对系统的误用。 为了对付目前越来越频繁出现的分布式、多目标、多阶段的组合式网络攻击 和黑客行为，提高在高带宽、大规模网络环境下入侵检测的效率、降低漏报率和 缩短检测时间，有必要当前的网络入侵检测方式做进一步的改进。 本文从不同层次、多个角度对如何提高基于网络的入侵检测系统的性能进行 了深入研究，主要的工作如下： ( 1 ) 样本中的冗余特征不仅占用了大量的存储空间，而且会影响分类器的 性能，因此入侵检测前分析输入数据的特征是很有必要的。论文中介绍了现有的 特征选择方法，分析了粒子群算法中参数对算法性能的影响，并使用免疫粒子群 进化算法对特征进行选择，消除冗余属性、降低问题规模、提高数据分类质量、 加快数据处理速度。提出了使用二进制字符串序列来表示粒子位置，解释了位置 和速度的更新方法以及适应度函数的选择，进而获得了较理想的特征子集。 ( 2 ) 提高入侵检测系统的准确率，降低误报和漏报率一直是入侵检测系统 研究的重点。论文将模糊分类方法引入到入侵检测当中。通过使用遗传算法来获 取入侵检测的模糊规则，利用b o o s t i n g 算法不断改变训练样本的分布，使每次遗 传算法产生的模糊分类规则重点考虑误分类和无法分类的样本。采用加权投票的 方式来对模糊分类器进行判决。通过仿真实验，证明该方法具有良好的分类识别 性能。 ( 3 ) 分析了分布式入侵检测的一般常见模型，提出了基于代理的分布式入 侵检测模型。该模型合理地划分了静止代理和动态代理的功能，设计了内部结构， 并在如何降低网络传输负载，提高系统响应能力方面做了加强。同时设计了入侵 追踪目录来有效地检测分布式入侵行为。对于模型中分析策略的采用、自适应检 测负载、移动平台的选择、代理通讯问题等方面做出了一定的分析。与传统方法 相比，基于代理的分布式入侵检测模型能够显著降低网络负载、降低响应延迟、 具有良好的可扩展性。 论文最后对所作的研究工作进行了总结，并指出了今后的研究方向。 关键词：入侵检测；特征选择；模糊分类；分布式入侵检测；静止代理；移动代 理 a bs t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e ra n dc o m m u n i c a t i o nt e c h n o l o g y , d a m a g e s c a u s e db yu n e x p e c t e di n t r u s i o n sa n dc r i m e sr e l a t e dt oc o m p u t e rs y s t e m sh a v eb e e n i n c r e a s i n gr a p i d l y t h e r e f o r e ，n e t w o r ks e c u r i t yw h i c hc a ne n s u r et h es y s t e mt ob e h a v e a si n t e n d e da n dt op r o v i d es t a b l es e r v i c e sb e c o m ef o c u s i n t r u s i o nd e t e c t i o ns y s t e m s ( i d s ) e x t r a c ti n f o r m a t i o nf r o mac o m p u t e ro ran e t w o r ko fc o m p u t e r s ，a n da t t e m p tt o d e t e c tt h ep r e s e n c eo fi n t r u s i o n sf r o me x t e r n a ls o u r c e s ，a sw e l la ss y s t e ma b u s e sb y a u t h o r i z e du s e r s i no r d e rt ow i t h s t a n dm o r ea n dm o r ef r e q u e n tc o m p o u n dn e t w o r ka t t a c k sa n d h a c k e rc o m m i t m e n to fd i s t r i b u t i o n ，m u l t i o b j e c t i v e ，m u l t i s t a g en o w a d a y s ，i m p r o v e i n t r u s i o nd e t e c t i o ne f f i c i e n c yu n d e rt h ec i r c u m s t a n c eo f h i g hb a n dw i d t ha n d l a r g e - s c a l en e t w o r k ，d e c r e a s ef a l s en e g a t i v er a t ea n ds h o r t e nd e t e c t i o nt i m e ，i ti s n e c e s s a r yt om a k ei m p r o v e m e n to ne x i s t i n gi n t r u s i o nd e t e c t i o nm e t h o d s t r y i n gt oi m p r o v et h ep e r f o r m a n c eo ft h ei n t r u s i o nd e t e c t i o np r o c e s sf r o ma l lt h e p e r s p e c t i v e ，d i f f e r e n ta p p r o a c h e sa r ep r e s e n t e di nt h i sp a p e ra sf o l l o w s ： ( 1 ) r e d u n d a n tf e a t u r e sc a nn o to n l yo c c u p yh u g es t o r a g es p a c e s ，b u ta l s oc a n d e c r e a s et h ea c c u r a c yo ft h ec l a s s i f i e r , s ob e f o r et h ed e t e c t i o n 。i ti sn e c e s s a r yt o a n a l y z ef e a t u r es e l e c t i o nf o ri n p u td a t a i nt h i st h e s i s ，t h ep r o p o s e da l g o r i t h m st o s e l e c tf e a t u r ea r ei n t r o d u c e d t h ei n f l u e n c eo fa r g u m e n t so np e r f o r m a n c ei np a r t i c l e s w a r mo p t i m i z a t i o n ( p s o ) a l g o r i t h mi s a n a l y z e d an e wa l g o r i t h mc o m b i n i n g i m m u n es y s t e mw i t hp s oi sp r o p o s e dt oe l i m i n a t et h er e d u n d a n c yp r o p e r t y , r e d u c e t h ep r o b l e ms i z e ，i m p r o v et h eq u a l i t yo fc l a s s i f i c a t i o na n ds p e e du pt h ed e t e c t i o n t h e p o s i t i o no ft h ep a r t i c l ei se x p r e s s e di nab i n a r ys t r i n g ，t h eu p d a t es t r a t e g i e so ft h e p o s i t i o na n dv e l o c i t ya n dt h es e l e c t i o no ff i t n e s sf u n c t i o na l ei l l u s t r a t e di nd e t a i l t h e r e s u l t ss h o wt h a tt h ep r o p o s e da l g o r i t h mi se f f i c i e n tf o rf e a t u r es e l e c t i o n ( 2 ) i nm a n yy e a r s ，t h er e s e a r c h e so ni n t r u s i o nd e t e c t i o nh a v eb e e nd e v o t e dt o i m p r o v et h ed e t e c t i o nv e r a c i t yr a t ea n dc u td o w nf a l s ea l a r mr a t ea n dm i s s i n gr e p o r t r a t e i nt h i st h e s i s ，t h ef u z z yc l a s s i f i c a t i o ni si n t r o d u c e dt oi n t r u s i o nd e t e c t i o n f u z z y r u l e si n v o l v e di ni n t r u s i o nd e t e c t i o na r eo b t a i n e db yg e n e t i ca l g o r i t h m ；a n db o o s t i n g a l g o r i t h mi se m p l o y e dt oc h a n g et h ed i s t r i b u t i o no ft r a i n i n gi n s t a n c e sd u r i n ge a c h r o u n do ft r a i n i n g ，s ot h a tt h ef u z z yc l a s s i f i c a t i o nr u l en e w l ye x t r a c t e db yg e n e t i c a l g o r i t h mw i l lp u tm o r ee m p h a s i su p o nt h ei n s t a n c e sm i s c l a s s i f i e do ru n c o v e r e d a n d w e i g h t e dv o t i n gm e t h o di su s e dt oi n t e g r a t et h ef u z z yr u l e s i na p p l i c a t i o nt o s i m u l a t i o ne x p e r i m e n tu s i n gk d d c u p 9 9a st h ed a t as e t ，t h er e s u l t sh a v es h o w na g o o d r e c o g n i t i o np e r f o r m a n c eo fo u rn e w l yp r e s e n t e dm e t h o d ( 3 ) b a s e do na n a l y s i so fe x i s t i n gd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mm o d e l s ， i n t h i st h e s i s ，ad i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mm o d e lb a s e do na g e n ti s i n t r o d u c e d t h ef u n c t i o no fs t i l la g e n ta n dm o b i l ea g e n ti s r e a s o n a b l yd i v i d e d ；t h e i n n e rs t r u c t u r eo fb o t hi sd e v i s e d a n dg r e a te f f o r t sa r em a k et ol e s s e nn e t w o r k t r a n s f e rl o a da n de n h a n c es y s t e mr e s p o n s ea b i l i t y i no r d e rt od e t e c td i s t r i b u t e d i n t r u s i o n ，i n t r u s i o nt r a c e dc a t a l o g u ei sd e s i g n e d i na d d i t i o n ，t h e s i sd e t a i l e d l ya n a l y z e s m o d e la n a l y z i n gs t r a t e g y , a d a p t i v en e t w o r kl o a d d e t e c t i o n ，m o b i l ew o r k b e n c h ， c o m m u n i c a t i o no fa g e n t c o m p a r e dw i t hp r e v i o u sd e t e c t i o ns y s t e m s ，o u rn e wm o d e l c a l lm a g n i f i c e n tl e s s e nn e t w o r kl o a d ，r e d u c er e s p o n s et i m e ，a n dh a sg o o ds c a l a b l e a b i l i t y a tl a s t ，t h ed i s s e r t a t i o ns u m m a r i z e st h em a i ns t u d yw o r k sa n ds u g g e s t st h e r e s e a r c hd i r e c t i o n si nf u t u r e k e y w o r d s ：i n t r u s i o nd e t e c t i o n ，f e a t u r es e l e c t i o n ，f u z z yc l a s s i f i c a t i o n ，d i s t r i b u t e d i n t r u s i o nd e t e c t i o ns y s t e m ，s t i l la g e n t ，m o b i l ea g e n t 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：摊日期：丝年上月卫日 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 作者签名： 导师签名屋呈! 氐日期2 盘年月卫日 中南大学硕士论文第一章绪论 1 1 入侵检测的背景 第一章绪论 计算机网络的安全是一个国际化的问题，每年全球因计算机网络的安全系统 被破坏而造成的经济损失达数百亿美元。进入新世纪之后，上述损失将达2 0 0 0 亿美元以上。当商户、银行与其他商业与金融机构在电子商务热潮中纷纷进入 i n t e m e t ，以政府上网为标志的数字政府使国家机关与i n t e m e t 互联。通过i n t e r n e t 实现包括个人、企业与政府的全社会信息共享已逐步成为现实。随着网络应用范 围的不断扩大，对网络的各类攻击与破坏也与日俱增。无论政府、商务，还是金 融、媒体的网站都在不同程度上受到入侵与破坏。网络安全已成为国家与国防安 全的重要组成部分，同时也是国家网络经济发展的关键。 2 0 0 7 年国家计算机网络应急技术处理协调中心c n c e r t c c 接收和监测的 各类网络安全事件情况可以看出，网络信息系统存在的安全漏洞和隐患层出不 穷，利益驱使下的地下黑客产业继续发展，网络攻击的种类和数量成倍增长，终 端用户和互联网企业是主要的受害者，基础网络和重要信息系统面临着严峻的安 全威胁。2 0 0 7 年各种网络安全事件与2 0 0 6 年相比都有显著增加。c n c e r t c c 接收的网络仿冒事件和网页恶意代码事件成倍增长，分别超出去年总数的近1 4 倍和2 6 倍，监测发现我国大陆被篡改网站数量比去年增加了1 5 倍。由此可见， 网络入侵问题已经成为影响网络继续发展的一个重要问题，研究和应用高效实用 的网络安全技术和产品已成为当务之急【l 】。 目前，网络安全防范技术主要从信息安全、网络访问和网络协议入手，有下 面一些具体的技术：( 1 ) 密码学技术；( 2 ) 身份验证技术；( 3 ) 信息完整性技术； ( 4 ) 访问控制技术：( 5 ) 漏洞扫描技术；( 6 ) 安全监控技术；( 7 ) 网络反病毒 技术等等。传统的保护网络安全的方法就是进行病毒防治和使用防火墙。这种被 动地对系统自身进行加固和防护方法已经不能满足当今网络安全的需求。因为各 种安全技术都有针对性，都是针对某个领域或某一方面进行的安全防护。因此要 建立一个完整的网络安全体系，需要综合应用多种安全技术，从不同的角度、层 次上进行安全防护。防火墙和身份认证负责把黑客挡在门外，使黑客“进不来”； 访问控制技术负责控制对信息的读写，使黑客“拿不走重要信息；信息加密技 术使黑客“看不懂”获得的信息。而要及时的发现入侵攻击，就需要入侵检测技 术。计算机系统入侵检测是计算机与信息安全研究中一个非常活跃的研究领域。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是对计算机或计算机网络系统中 第一章绪论 中南大学硕士论文 的攻击行为进行检测的自动系统。实践证明，仅仅依靠防火墙、用户身份认证系 统等安全措施，是不足以保证网络和计算机系统安全的。因此，采用深层次防卫 结构，部署入侵检测系统，同时建立起计算机紧急事件响应机制，建立集成化的 安全防卫系统，才是保证计算机网络系统安全的有效手段。 入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感 系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统 相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客 行为等功能，使系统管理员可以较有效地监视、审计、评估自己的系统。入侵检 测系统在未来的网络安全预防中将起到非常重要的作用。在企业网中它可以及时 发现、阻拦入侵行为，保护来自个别人、黑客和竞争对手的威胁，保证企业信息 平台的正常运转。因此，研究网络安全技术，特别是入侵检测技术及其应用，对 于保障计算机系统、网络系统和整个信息基础设施的安全具有非常重要的理论和 现实意义。 1 2 国内外研究发展现状 从最早期的计算机安全开始，人们就密切关注恶意使用者破坏保护机制的可 能性。早期系统多为多用户批处理系统。这个时期，主要的威胁来自系统的合法 使用者，他们企图得到未经授权的资料。到了2 0 世纪7 0 年代，分时系统和其他 的多用户系统己成气候，威廉h w 主持的计算机安全防御科学特别工作小组曾 提供了一项报告，为处理多级数据的计算机系统的发展奠定了基础。但这篇报告 并没有受到应有的重视，直到2 0 世纪7 0 年代中期，人们才开始进行构建多级安 全体系的系统研裂2 。 7 0 年代后期，美国政府，包括d o d ( 国防部) 和n i s t ( 国家标准和技术 协会) 开始支持计算机安全研究工作，安全审计也被考虑在这些研究中。1 9 8 0 年，安德森提出了另外一项报告，这次是针对一个空军客户，后者使用大型计算 机处理大量的机密数据。报告中，安德森提出了减少分析数据量的方法，以及比 较统计数据和总的观察，也就是统计行为，以发现反常的行为。当一个安全违例 发生或反常的事件出现时，就会提醒安全官员，安全官员还能利用详细的观测资 料做后续的评估。在8 0 年代中期，入侵检测方面的许多工作都被他的思路深深 影响【3 1 。 1 9 8 0 年，j a m e sea n d e r s o n 第一次系统阐述了入侵检测的概念，并将入侵行 为分为外部渗透、内部渗透和不法行为三种，还提出了利用审计数据监视入侵活 动的思想【4 1 。h e a d y 则认为入侵是指试图破坏资源的完整性、机密性及可用性的 行为集合【5 】。s m a h a 从分类角度指出，入侵包括尝试性闯入、伪装攻击、安全控 2 中南大学硕士论文 第一章绪论 制系统渗透、泄露、拒绝服务、恶意使用六种类型【6 】。在这些创始性论文发表之 后，对入侵检测的研究开始在国外流行开来，一些入侵检测系统开始出现，如在 1 9 8 6 年，在i b m 主机上用c o b o l 开发了d i s c o v e r y 系统；1 9 8 8 年，t e r e s al u n t 等人创建了i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，提出了与平台无关的实时 检测思想；1 9 8 9 年，l o s a l a m o s 美国国家实验室开发了w & s ( w i s d o ma n ds e n s e ) ， p l a n n i n gr e s e a r c h 公司开发了i s o a ( h f o r m a t i o ns e c u r i t yo f f i c e r sa s s i s t a n t ) ，这 些都是早期的一些入侵检测产品。其中，在1 9 8 6 年，d o r o t h ye d e n n i n g 提出实 时异常检测的概念并建立了第一个实时入侵检测模型，命名为入侵检测专家系统 ( i d e s ) ，为构建入侵检测系统提供了一个通用的框架( 如图1 1 所示) 【j 7 1 。 产生异常记录 图1 1 通用s 框架 1 9 9 0 年，l t h e b e r l e i n 等提出新概念，基于网络的入侵检测n s m ( n e t w o r k s e c u r i t ym o n i t o r ) 。从此，入侵检测被划分为两个基本类型：基于主机和基于网 络的入侵检测。基于主机的i d s 主要通过监视和分析主机的审计记录检测入侵， 其优点是可以精确判断入侵事件，并及时做出反应，缺点是会占用宝贵的主机资 源；另外，能否及时采集到审计也是这种系统的弱点之一，因为入侵者会将主机 审计子系统作为攻击目标以避开i d s ，典型的系统主要有：c o m p u t e rw a t c h ， d i s c o v e r yh a y s t a c k ， i d e s ，i s o a ，mi d a s 以及l o sa l a m o s 国家实验室开发的 异常检测系统w s 。基于网络的i d s 通过在共享网段上对通信数据进行侦听， 分析可疑现象，这类系统不需要主机通过严格的审计，主机资源消耗少，可提供 对网络通用的保护而无需顾及异构主机的不同架构，但它只能监视通过本网段的 活动，且精确性较差，在交换网络环境下难于配置，防欺骗能力也较差。典型的 系统由：为l o sm a m o s 国家实验室的集成计算机网络设计的网络异常检测和入侵 检测报告n a d i r ：加利福尼亚大学的n s m 系统；分布式入侵检测系统d i d s 等。 无论是基于主机还是基于网路的入侵检测，其都具有一些明显的缺点，目前比较 好的做法是将这两者结合起来，产生一种混合型的入侵检测系统，女n l s sr e a l s e c u r e 、d r a g o ni d s 、c y b e r s a f ec e n t r a x 等。 这几年，入侵检测的产品发展很快，国外比较流行的入侵检测系统( d s ) 第一章绪论中南大学硕士论文 也比较多，如，美国c i s c o 公司的n e t r a n g e r 、n e t w o r k s e c u r i t y w i z a r d s ( n s w ) 公司的d r a g o n 、i s s 公司的r e a l s e c u r e 、n a i 公司的c y b e r c o pn e t w o r k 、a x e n t 的 1 t a 和n e t p r o w l e r 、n f r 的i n t r u s i o nd e t e c t i o na p p l i a n c e4 0 、c e n t r a x2 2 、以及 n e t w o r ki c e 公司的b l a c ki c ed e f e n d e r 和e n t e r p r i s ei c e p a c1 0 。 我国在入侵检测技术方面也有一定研究，开发出了一些网络安全产品，如西 安信利网络科技公司的“网络巡警”解决方案、华泰网信息技术有限公司的 i n t e m e t i n t r a n e t 网络安全预警系统、北京启明星辰科技贸易有限公司的黑客入侵 检测与预警系统、北京时代先锋软件有限责任公司的行天黑客攻击检测工具等多 种入侵检测产品。 目前还存在一些入侵检测的热点方向。主机型和网络型入侵检测系统是一种 集中式系统，但是，随着网络系统的复杂化和大型化以及入侵行为所具有的协作 性【8 】，入侵检测系统的体系结构由集中向分布式发展。不同i d s 之间可以通过共 享信息，来协同检测复杂的入侵行为，如攻击策略识别【9 l 。除此之外，现代网络 技术的发展带来的新问题是，i d s 需要进行海量计算，因为高性能检测算法及新 的入侵检测体系也成为研究热点，高性能并行计算技术将用于入侵检测领域 【1o 】【1 1 】。i d s 尽管能够识别并记录攻击，但不能及时阻止攻击，而且i d s 的误报 警造成与之联动的防火墙无法进行处理。要解决当前的实际网络安全需求，入侵 检测系统需要与弱点检查系统、防火墙系统、应急相应系统等逐渐融合，最后形 成一个综合的信息安全保障系纠1 2 】。例如，s e c u r ed e c i s i o n s 公司研究开发了一 个安全决策系统产品，集成i d s 、扫描器、防火墙等功能，并将报警数据进行可 视化处理【l3 1 。另外，标准化有利于不同类型i d s 之间的数据融合及i d s 与其他 安全产品之间的互动。i e t f ( i n t e m e te n g i n e e r i n gt a s kf o r c e ) 的入侵检测工作组 ( i d w g ) 已制定了入侵检测消息交换格式( i d m e f ) 、入侵检测交换协议 ( d x p ) 、入侵报警( l 岬) 等标准，以适应入侵检测系统之间安全数据交换的 需要。因此，具有标准化接口的功能是下一代i d s 的发展方向。近几年来，攻 击者不仅攻击网络服务的主机系统，而且采取各种手段逃避i d s 的检测，来攻 击网络入侵检测系统。有鉴于此，国外特别重视网络入侵检测系统的评估能力， 期望提高入侵检测系统的健壮性【1 3 】【1 4 】。未来，网络入侵检测系统的攻击技术与 评估方法研究也会是个热点。 1 3 研究目的与意义 随着计算机网络的高速发展，信息和网络的安全已经成为国家、企业和个人 一个不容回避的问题。入侵检测系统作为网络安全问题的一种解决方案，由于它 具有对网络系统进行主动监测以发现入侵行为的特点，已成为继防火墙、数据 中南大学硕士论文第一章绪论 加密等传统安全保护措施后的新一代安全保护技术。 目前大部分的基于网络的入侵检测系统普遍存在下面一些问题：( 1 ) 随着近 年来各种宽带高速网络不断出现，如何实现高速环境下的实时入侵检测成为现实 面临的问题。而目前入侵检测产品的处理带宽超过1 0 0 m b s ，就会出现丢包现象， 甚至崩溃。为此，迫切需要提高入侵检测的处理速度。( 2 ) 新的入侵方式不断出 现，并且计算机的行为也日趋复杂，对入侵的误报和漏报仍然是入侵检测技术的 一个难题。( 3 ) 如何将人工智能应用于入侵检测领域来提高i d s 的性能。目前 常见的有计算机免疫技术，神经网络架构，遗传算法等，虽然目前有很多学者都 在致力于这方面研究，但还远未成熟。( 4 ) 大型网络中入侵检测问题。现在很多 入侵手段都同时面对多台主机，或者从多个不同的主机同时发起，这加大了入侵 检测的难度。 在我国，入侵检测研究与国外技术水平还存在较大的差距。信息安全关系到 国家，企业，个人的切身利益。本文的研究目的在于探讨基于网络的入侵检测相 关技术，并综合数据挖掘、机器学习、模式识别等学科的知识，面向入侵检测领 域中的最新问题，实现一个较为完善、新颖的入侵检测系统。其意义表现在：( 1 ) 基于网络的入侵检测是目前网络安全的一个热点，对本课题的研究可为我国的信 息安全技术提供一个借鉴。( 2 ) 为公司、企业的内部网络提供入侵检测方案，监 控和抵御来自内部和外部的入侵行为。( 3 ) 致力于多入侵检测系统之间的信息交 换与协作，为在大型网络中配置入侵检测系统提供理论依据。( 4 ) 深化本课题的 研究有助于相关产品的研发和应用，具有很大的市场潜力。 1 4 论文的内容与结构安排 本文在分析了目前网络入侵检测技术的基础上，提出了一个实时的基于网络 的入侵检测系统设计方案。从网络数据包的获取开始，通过特征选择来去除冗余 属性，减少了计算的工作量，提高了系统响应速度。并针对入侵检测误报率较高 的缺点，采用优化的模糊分类系统对网络行为进行检测。并针对未来入侵检测分 布式的趋势，提出了一个基于代理的分布式入侵检测模型。本文整体框架如图 1 2 所示。 其中，i 模块作为特征选择模块，可以去除训练数据中的冗余属性，减少后 续算法的工作量，有助于提高入侵检测系统的响应速度。其结果是产生一个属性 被简约的样本集。 i i 模块是一个构造分类器的过程，本文提出了基于b o o s t i n g 的模糊分类器， 可以通过训练样本产生一组具有很高分类性能的模糊规则构成特征库。 在i 模块，论文针对大型网络设计了一个基于代理的分布式入侵检测模型， 第一章绪论中南大学硕士论文 利用i i 模块产生的特征库对网络中的入侵行为进行实时检测。 i 训练样本 j r 基于p s o 的 特征选择 v i i 简约样本集 _ 基于b o o s t i n g 的 遗传模糊系统 基于代理的分布 式入侵检测模型 日 大 型 j磤纮 图1 2 论文整体框架 本文的内容编排如下： 第一章论述了当前的网络安全状况以及实施入侵检测的必要性 第二章详细地介绍了入侵检测的概念，分析了常见的入侵行为及其一般 点，最后叙述了入侵检测的分类方法 第三章提出一种基于免疫的粒子群优化算法，该算法可以去除对分类性能 响较少的属性，实现属性集的简约。该算法可以被应用到误用入侵检测系统中去 能有效地提高性能 第四章将模糊理论应用到入侵检测中，提出一种基于b o o s t i n g 模糊分类 入侵检测方法。详细介绍了模糊规则的编码，产生等问题。并使用了b o o s t i n 方法对模糊分类器进行加强，极大地提高了分类性能 第五章先详细地分析了传统入侵检测的一些不足之处，然后讨论了当前分 式入侵检测模型的优缺点，然后提出了一种基于代理的分布式入侵检测模型。 详细地分析了该模型的内部结构，各功能模块的划分，分布式入侵的检测过程等 中南大学硕士论文第二章入侵检测技术概述 第二章入侵检测技术概述 入侵检测是对入侵行为的发觉，这些入侵包括网络异常行为、非法的网络进入和 对计算机系统的恶意攻击等等，它通过从计算机网络或计算机系统的关键点收集 信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的 迹象。其主要作用是对系统的运行状态进行监视，发现各种攻击企图、攻击行为 或者攻击结果，以保证系统资源的机密性、完整性和可用性。下面对入侵检测概 念、分类和原理等相关细节进行阐述。 2 1 入侵检测的概念 1 9 8 0 年a n d e r s o n 在c o m p u t e rs e c u r i t yt h r e a tm o n i t o ra n ds u r v e i l l a n c e ) ) 一文中 提出计算机审计系统( c o m p u t e r a u d i ts y s t e m ) 在攻击发生的时候应该为专职系 统安全人员提供安全审计信息，并指出，入侵即指未经授权蓄意尝试访问信息、 改动信息、使系统不可靠或不可使用。此文被认为是关于入侵检测技术的最早论 述【4 】。他将入侵使用“威胁进行描述并将其分为以下几类： 1 ) 外部渗透者( e x t e r n a lp e n e t r a t o r ) ，指获得系统访问权的非法用户入侵； 2 ) 伪装者( m a s q u e r a d e r ) ，包括外部渗透和系统其它授权用户的入侵，企图 利用他人授权信息对系统进行访问； 3 ) 滥用权力者( m i s f e a s o r ) ，指系统合法用户违反系统安全策略滥用权力的 入侵； 4 ) 秘密用户( c l a n d e s t i n eu s e r ) ，指在低于正常审计机制下操作系统的入侵， 由于入侵行为征兆隐蔽，不容易被检测到。 而真正揭示入侵检测的是由d o r o t h yd e n n i n g 在文献【7 】中提出的入侵检测模 型。d e n n i n g 给出了入侵行为可检测条件，即系统能够为正常用户行为自动建模， 当某操作行为明显偏离正常模型时，系统认为处于异常状态并存在入侵可能。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 在国际计算机安全协会 i c s a ( i n t e r n a t i o n a lc o m p u t e rs e c u r i t ya s s o c i a t i o n ) 的入侵检测系统论坛上被定 义为：入侵检测系统是一种通过从计算机网络或计算机系统中的若干关键点收集 信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到 袭击迹象的安全技术。为了达成这个目的，入侵检测系统应包含3 个必要功能的 组件：信息来源、分析引擎和响应组件，如图2 1 。 第二章入侵检测技术概述 中南大学硕士论文 图2 1 入侵监测系统基本构成 1 ) 事件产生器 事件产生器是入侵检测系统中负责原始数据采集的部分，它对数据流、日志 文件等进行追踪，然后将搜集到的原始数据转换为事件，并向系统的其它部分提 供此事件。此即为入侵检测系统的信息来源。 2 ) 事件分析器 事件分析器接收事件信息，然后对它们进行分析，判断是否是入侵行为或异 常现象，最后将判断的结果转换为警告信息。事件分析器是入侵检测系统的核心 模块，它完成对事件的分忻和处理。分析模块可以来用现有的各种方法对事件进 行分析，确定该事件是否是攻击，如果是则产生报警，如果不能确定，也要给出 一个怀疑值。 3 ) 事件数据库 事件数据库是存放各种中间和最终数据的地方。它从事件产生器或事件分析 器接收数据，一般将数据进行较长时间的保存。它可以是复杂的数据库，也可以 是简单的文本文件。 4 ) 响应单元 响应单元根据警告信息作出反应，它可以做出切断连接、改变文件属性等强 烈反应，也可以只是简单地报警，它是入侵检测系统中的主动武器。 同时，作为一个完善的入侵检测系统必须具有下列特点： 1 ) 可靠性：为保证系统安全策略的实施而引入的i d s 必须保证不能妨碍 系统的正常运行。 2 ) 时效性：必须及时地发现入侵行为。理想情况是在事前发现攻击，但多 数情况是在攻击过程中检测到攻击，若事后才检测到攻击，必须及时处理。 3 ) 安全性：入侵检测系统自身必须安全。 4 ) 可扩展性：可扩展性有两方面的意义。一种是在现有检测机制不变的前 提下能够对新的攻击进行检测，例如使用攻击特征码来表示攻击特性；另一种是 体系结构可扩展，在不对i d s 核心结构修改的前提下，增强i d s 的检测能力。 中南大学硕士论文 第二章入侵检测技术概述 2 2 网络的入侵行为 入侵行为不仅来自外部，同时也指内部用户的未授权活动。从入侵策略的角 度可将入侵行为分为：探针型攻击、拒绝服务型攻击、成为本地用户型攻击、成 为根用户型攻击、数据型攻击1 5 1 。 1 ) 探针型攻击( p r o b e ) ：自动扫描计算机网络和服务器，以发现真实m 地址、有效端口、操作系统型号和其他脆弱性。 2 ) 拒绝服务型攻击( d e n i a lo fs e r v i c e ) ：使网络服务失效，方法是耗尽系 统资源。 3 ) 成为本地用户型攻击( r e m o t et ol o c a l ) ：攻击者首先获取一个用户账 号，进行数据、文件的破坏或窃取，多数采用t r o j a nh o r s e 方法。 4 ) 成为根用户型攻击( u s e rt or o o t ) ：在多次会话中开展攻击，在正常的 用户行为中间实施缓存器溢出攻击，突破访问控制，改变文件的属性，之后进行 延迟攻击。 + 5 ) 数据型攻击：强调攻击的目的性。 2 2 1 探针型攻击( p r o b ea t t a c k s ) 1 ) 探针( p r o b ea t t a c k s ) 探针指对计算机网络或n d s 服务器进行扫描，获取有效p 地址、活动端口 号、主机操作系统类型和安全弱点的攻击方式。常见的探针攻击有：s a t a n 、 s a i n t 、n t s c a n 、n e s s u s 、s a f e s u i t e 、c o p s 等。 2 ) 非法的网络监听( i l l e g a l s n i f f e r ) 获取在网络上传输的信息叫做网络监听。在网络中，当信息进行传播的时候， 利用工具将网络接口设置成监听的模式，便可将网络中正在传播的信息截获。网 络监听在网络中的任何一个位置模式下都可以进行。网络监听工具主要 夸：s n o o p ，s n i f f i t ，n e t r a y ，s n i f f e r ，e t h e r f i n d ，t c p d u m p ，i n t e r m a n ，l o a d m a n ， g o b b l e r 、p a c k e t m a n 、e t h e r m a n 等。 2 2 2 拒绝服务d o s ( d e n i a lo fs e r v i c ea t t a c k s ) 1 ) s y n - f l o o d i n g 攻击 s y n f l o o d i n g 攻击指用一个伪装的地址向目标主机发送一个s y n 的请求， 多发一些便可占用目标主机足够的资源，从而造成服务拒绝的攻击方法。 2 ) m a i l b o m b 第二章入侵检测技术概述 中南大学硕士论文 邮件炸弹是指不停地将无用信息传送给被攻击方，填满对方的邮件信箱，使 其无法接收有用信息，导致邮件服务器拒绝服务或者网络瘫痪。常用的e m a i l 炸弹有：u p y o u r s 、k a b o o m 、a v a l a n c h e 、u n a b o m b e r 、e x t r e m em a i l 、h o m i c i d e 、 b o m b t r a c k 、f l a m e t h r o w e r 等。 3 ) 分布式拒绝服务( d d o s ) 攻击 分布式拒绝服务攻击就是利用攻击者已经侵入并控制的大量主机对某一单 机发起攻击，在悬殊的力量对比之下，使被攻击主机很快失去反应能力的攻击方 法。常见的工具有d d o s t r i n o o 、t f n 、t f n 2 k 、s t a c h e l d r a h t 、b l i t z n e t 、f a p i 、 s h a f t 、t r a n k 等。 2 2 - 3r 2 l ( r e m o