（计算机应用技术专业论文）基于神经网络技术的入侵检测系统的研究.pdf

摘要 基于神经网络技术的入侵检测系统的研究 接要 入侵检测系统是当前网络安全领域的研究热点，在保障网络安全方面 超着重要的 擘爝。疆峦予传绫的入侵检测技术存在着援翼| i 库难予管瑾、统 计模型难娃建立以及较高的谈报率和漏报率等诸多闫题，制约了入侵检测 系统在实际威用中的效果。 在这种鸳景下，我们提出了将神经网络技术应用到网络入侵梭测系统 中来的解决思路。之所潋将聿牵经瓣络技术弓| 入蠲阙络入侵检测系统中来， 是基于这样两个考虑：其一，网络入侵检测问题本质上是对网络数据流进 行分析，以判断是正常的还是非正常的，在这个意义上，入侵检测问题可 鍪瑾簿为模式识襄闫题；其二，神经霹终技拳在模式识裘领域麓应熙褒褥 了良好的效果。利用神经网络技术的自学习能力、联想记忆能力和模糊运 算能力，在定程度上应该w 以解决入侵检测系统存在的某些问题。 基予这个思路，我翻设诗势实瑰了一个基予b p 毒孛经薅终技术的网络 入侵检测系统原型。在对神经网络特征提取方丽我们借鉴了妯d c u p ，9 9 数据挖掘的方法，从网络数据包中提取出4 1 维特征向量作为神经网络的 输入向量。但是在对该系统测试时我们发现，圣枣经阚络对于某些类型豹网 络攻击的稔测率菲常低，经分辑弓l 入了c a r 零决策树算法，荠实现了一 个混合入侵检测系统。最终的测试结果表明该混合模型的检测效率是比较 摘要 理想的。 在研究工作中，我们也发现了存在的一些其它问题，在以后的工作中， 我饲会逐步解决这些闻题，继续探讨将享申经阏络技术应用到入侵检测系统 中来以及神经阙络与其它方法相结合的更加有效的途径。 关键字：神经网络，入侵检测，网络安全，决策树 l i a b s r e s e a r c ha n dr 鼓a l i z 囊四i o no ni n t r u s i o n d 戴t 嚣c 骶o ns y s t 戴! l 歪b a s e do nn e 毛佩a i 。n 嚣譬w o r k s a b s t r 馥c t i n t m s i o nd e t e c t i o ns 蛳c m ( i d s ) i s 也e 心s e 诎h o t s p o ti nt h e 摄e 重do f n e 咐o r ks 站c u r i t mw h i c hp l a y sa ni m p o r t a n tr o l ei ns a 姆a r d i n gn e t w o r 莨 s e 瓜y 珏o w e v e r ，攮e r ee x i s t 氇em a n a 嚣m e n 主o f 硒 es 醢s ，壤e 攫缳c 谦移洫 e 髓幽l i 豳i n gs t a t i s t i e 舔溅。娃吱，黼d 氇e 毯垂甄l 辩羽畦蛙珊挑糖躐l 鞑s e n e g a t i v er a t oi nt r a d i t i o n a ll j l 勃m s i o nd e t e c t i o ns y s t e 嫩s a l lo ft h e s e s t r i c t n l e u s a b i l i t yo f i n t r u s i o nd e t e c t i o ns y s t e m s 。 u n 霞e r 躐sb 澈g 醐n d ，w e 黼n g 融卿捌她m ao f 獬l y i n g r a l n e w o 呔s 主nn e t w o 熔l 蠊毯蛏傩d e e c t i o 鞋s y 髓嗽s ( 粗骖s ) 。0 n e 羚a s 强羲琵凌i s m a t t e ri st h a tt h ep r o b l e mt o b es o l v e d b ym d si st od i 舰r e n l i a t en o 燃a l i 哆o r a b n o l m a l i 够f _ r o mm en e c 、) i ，o r ks a m ，i nt h i ss e n s e ，i n t n l s i o nd e t e c t i o nm a y b e 碱d c r s 确o da sp 撤糯r e c o g n i 耄主滩弛e 汹嚣f e a 蝴i st 蛔tl 量l e 醐l i 磷o n o f n 铺赋埝t w o 痰i np 鑫链o mr e c 0 辨越o 娃囊a s 酶e np 瓣v 醚t o & v e 誓e 羧蛾酶。 b yv i 蜘eo f 搬es e l s l e a m e d ，a s s o c i a t i o n a lm e m o 璎a n d 趣z 彰c o 燃翻t 主n go f h en e u r a ln e t w o 威，w eh o p et os o l v 站s o 穗ep r o b l e 黼so f 魄el 雌觚l s i o 觳 9 e o e t i o ns 羚耗m s 1 i l b 鑫s 嬲珏s ，w ed e s i 辨a 醛纛辟嚣l 镩a 转pn 锚藤n 嚣澌甜k - b a s 藤 n e t w o f kl n 撤l s 主o nd e t e c t i 黼s y s t e 越p r o t o 帅e a c c o 砖i n gt om es t 韪赶如记o f k d d c u p 9 9 ，碡lf e a 籼f e so f 礅ec a j p 阳谢n e t 硝靶呔e t sa r ee x 毫聪瞄e d 鑫n d 弧蕤s 颠t 磁i 撒e 纛轻国e 纛e a l 勤黼稚i e 纛c 强ea 印藤醇n e 戳窿蕺e 暾。瘐，b 滋 w h e nt e s t i n go l l rs 粥t e mw ef i n dm eb pn e u r a ln c t w o r kh 黼l o w e r p e r f o n n a i l c et os o m eb ，p e so fa t t a c kf o re x a m p l em er 2 la n du 2 r ，a f t e r 鞠痰y s i s 硼融印蛙t 豫镬e o 猡o f 豳滟a i o ng a 融c a 翘d & v e l 神a 通x e d d e t e c 钯dm o 跚e 强e l a s t t 髂r e s i l l l 如w s m a t 倦e 瞌稚m o 赫e h a sa h 醯 p e 肺f m a 芏l o e + d u 董哇n g 姚rr e s 铭r c h ，氆e 辩鑫r es o 撤eo 饿e rp b 藿e 氆s ，w h i c hw i l lk 揩s e a r c 醅di 魏疆e 蠡掘r e 嘲奴糕蠢w ew i lc o 堇l 黩懿h e 颤藏g 氇e 礅o f ee f l b c 专i v e w a yo fa p p l 姐n gn e u f a ln e 咐o r ki nt h ei d s k e yw o r d s ：i n 仃u s i o nd e t e c t i o ns y s 妞n ，n e u r a ln e 脚o r k ，n e t 、 l r o r ks e c 嘶魄 d e c i s i o nt 粥e 北京仇芏大学位论文原镯性声鹤 y8 8 l 9 5 3 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明弓l 用的内容外，本 论文不含任何其德个入或集体己：经发表或撰写过斡作品成莱。对本文 懿研究徽爨重要贡献的个人弱集体，均己在文孛以骥确方式标明。本 人完全意识到本声明的法律结果由本人承担。 作者签名：! 西赣：圣1 2 妄：三：王l 关于论文使用授权的说明 学位论文作者完全了解北京化工大学有关保留和使用学位论文 的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属北 京化工大学。学校有权傈留并向国家有关部f j 或税构送交论文静笈窜 静猩磁盘，龛谗学位论文被套阕窝借阕；学梭可以公毒学弦论文的全 部绒部分内容，可以允许采用影印、缩印或其它复制手段保存、汇编 学位论文。 保密论文注释：本学位论文属予傈密范围，在互年解密盾适用 本授权书。 保密论文注释：本学位论文不属于保密范透，适震本授 权书。 作者签名：二 盘曰期：塑堡垒：基：三f 导师签名：耋! 豳日期：竺! ：i ：i 1 1 引言 第章绪论 第一章绪论 随着近年来i n t e f n 吐的b 速发展，网络已经把人们的学习、工作与生活紧密的联 系在一起，特别是商业银行、政府和军事数据在网络上的传输给网络安全提出了很高 的要求。对计算机和罔络系统的严重依赖使得信息安全成为目前各国建设信息系统的 主要研究课题。在军事领域，信息战也成为一场没有硝烟的战争，关系到整个国家和 军队的安全。据统计，全球每2 0 秒就发生一起h l t e e t 计算机被入侵事件。美国每年 因此造成的损失就有l 加亿美元。2 0 0 0 年2 月，黑客成功的攻击了当时最大的搜索引 擎“1 0 0 ”后又在3 天之内连续攻击了近1 0 家著名网站。我国的新浪，搜狐等网站 也曾遭到国外黑客的攻击。所以，建立计算机安全体系成为当务之急。 传统的计算机安全体系研究包括设计一定的安全策略，建立支持该策略的安全模 型，并通过身份验让、访问控制、审计等技术使安全模型在计算机系统中得以实现， 使之成为针对各种系统入侵的防护屏障。然而近年来随着入侵手段的不断更新、入侵 规模不断的扩大，而且目前网络上所提供的多种现成黑客工具，攻击这不需要什么专 业知识就能够迅速完成许多复杂的攻击过程，使得防火墙等网络安全桃制在这些攻击 面前变得极为脆弱。传统的安全技术所构成的被动防御体系的漏洞和弊端已经毕显无 疑。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安 全管理能力( 包括安全审计、监视、进攻识别和响应) ，提高了信息安全基础结构的 完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络 中是否有违反安全策略的行为和遭到袭击的迹象。一旦入侵行为被检测出来，系统就 会采取相应的措施，从而及时消除即将对系统安全产生的危害。 1 2 网络安全与入侵检测 广义的计算机安全的定义l 13 是：主体的行为完全符合系统的期望，系统的期望表 达成安全规则，也就是说主体的行为必须符台安全削则刘它的要求。 达成安全规则，也就是说主体的行为必须符合安全胤则对它的要求。 北京化工大学硕士研究生学位论文 根据o s l 的狭义的系统与数据安全性定义： 机密佼( n f i d e n t i a l i t y ) ：使信意不潜漏给 # 授权的个人、实体或避程，不为其所用； 突整性臻珏剐妫：数据没毒遭受班嚣授权方式援终熬篡改竣考破抟： 可确认性( a c c o u n t a b i l i 妫：当计算机遭受攻击后，安全系统有充足的信息追踪和识 别入侵者； 露珥毽穗谨i l 秘i l i t 妇：投据授投实搏熬请求哥被谤阀与使曩。 上述计算机安全的各项特性取决于计算机系统安全策略的需求，这些安全策略用 采定义或者描述系统的不同用户和软件模块的行为，并嘲确指出哪黧行为蹩合法的， 瓣些是被蘩盘豹。 网络安全是随着翮朋俄的发展而产生的。和计算机安全样，同样黉保姆网络 系统的机密住、完整憔、可确认健、与可用性等，但同时其存在更加复杂的安全问题， 舞美事熬资源、瓣络撅羚绩擒豹多榉牲、未麴戆迭赛、不弱懿攥俸系统之耀豹安全溪 信等。尽篱网络安全得到了越来越多的关注，然而阿络入侵事件却逐年升高。现代黑 客将以系统为主的攻谢转为以孵络为主的攻击，新的攻击手段朦出不穷，如网络监听、 端墨羟籀、拒缝藤务、拳l 溺疆名麓户访游玫蠢、戳及逶过隐秘遗道绕过貉火蟪瓣攻毒 等。目前入侵检测技术越来越受到人们的关淀，它有许多模型和方法，而其中神经网 络、模式识别和数据挖掘技术的弓f 入使得入侵检测的智能性研究成为热点。 1 3 本论文的定要王作及结构安排 本文首先介绍了现有的入侵检测的模型和方法，然殿对网络入侵的原理以及常有 的入侵行为进行了分析；并针对入侵稳测的几个关键问题，综合了数据挖掘，人工餐 戆等皴本掇出了基于大_ i 襻经飘缪魏入授捡测模型，著黠其效巢进行了验涯。 本文分7 个章节，其余章节安排如下： 第二章重点对入侵检测系统的概念、分类、模型和技术等进行了描述，详缅分析了入 侵检测豹方法及其优姣熹，并撂惑了入授检测豹发震方彝。 第三章详细分析了目前常用的几种攻击方法，使我们后丽的工作更加具有目的性。 第四章对神经网络技术进行了概括性的说明使得后面的技术有了理论基础。 第五章棂攥粥t 缮辫标准，麸瓣络裁获黪数据戴孛提取窭4 l 维特莲蠢藿，懿采爱 混合数值编码方法，使得这些特，谯向量能被神经网络所处理。 第六章根据前几章的基础建立了基于b p 神经网络与c a r t 决策树相结合的误厢检测 模鍪，并对模型进幸亍了效采灞试。 第一常绪论 第七章对全文做了总结，并指出进一步研究方向。 北京仡二c 大学碗士研究生学位论文 第二章入侵检测基础 传统韵信息安全技术采用严格的访闻控制机制和数据加密策略，但随饕攻击技术 的日益成熟，攻击工凰和手段的复杂多祥，这些被动的安全技术已经无法满足对安全 藏菠敏感戆网络羧务簧求。入侵检测系统f l d s ) _ ；羲过分援网络数挺和警诗记蔽，识别系 统中的攻击活动，并采取相成的措施。d s 作为主动的安全技术，己成为网络安全领 域静燕患。鸯获d 暖2 l 撬蠢入侵检灏棱整滏来，d s 已经经过了卡年瓣笈震，稳近 年的网络技术和相应的攻击技术的突飞猛进给i d s 提出了新的要求。 2 1 入侵检测的研究背景和现状喇 最晕关予入侵检测兹王终是交j a m e s 我翎e 描。珏瑟终靛，谴在1 9 8 0 零为美圈鏊 防部所写的报告被认为是入侵检测系统研究的开创性工作，摁出了入侵检测的概念， 将入侵定义为“潜在鹃、有预谋的、未经授权的访问信怠、操作信慧，致健系统不可 纛或无法使用的企图”。该报告的主要思想是提如了一种对计算机系统的风险和威胁 的分类方法，给出了一个威胁矩阵模型，并建议把对某些用户的行为分析作为判定系 绫不歪露使矮豹一令辍恚，这一建议秀下令入侵检测磷究镁域魏墨程碡茂戆辫嚣s 项目所采用。 9 s 4 年，p 镪l 墒蜷等入磷究并实现了一个实辩静入侵梭测系统禳鳖国嚣s ，该模 型基于用户行为特征轮廓，用统计学方法来描述系统主体相对于系娩客体的行为在 披术实现上，该系统采用的楚混合结构，包含了个异常检测器和一个专家系统，异 誉捡测器瀑用绞计技术寒刻疆异常行为，专家系统采用麓予规则的方法检测已知的危 害计算机安全的行为，两者结合起来以提高效率和准确度。i d e s 模型是许多入侵检 测磷究璞鹭豹基疆，魏g 泣n 窑在1 9 8 7 年发表瓣论文被谈海是入侵捡溅熬一麓经典之撵。 进入9 0 年代，网络迅避发展起来，在这种情况下，入侵检测领域的又个里程 磷式的产品n s m 应遨箍生。阏络系统鼗褫器( n s m l 亩自乖j 福尼亚大学d 嘶s 分梭子 1 9 9 0 年开发成功，该系统是第一个监视网络数据漉量并把网络数据流传为主要数据源 的入侵稔测系统，其实现( 网卡设鬣为混杂模式一 捕获网络数据报一 分析协议提取特 垂) 魏总体结搀至今爨为许多基于爨络戆入侵检溯系统掰采t 拜l 。 入侵检测系统研究领域另一个不得不提的是分布式入侵检测系统d i d s 。该系统 4 第二章入侵检测纂础 是最早的将基手主机检测和基于网络检测结合起来的尝试，9 0 年代中期由多家单位协 作研究丽成，解决了丽络环境下跟踪阏络用户和文侔黻及鲡何祆发生在系统不同屡次 麴事终孛发褒挺关数据霸攀 孛熬翊题，其提出稠实瑰豹基于阙终黢基予主极缝会遨学 入侵检测的思想对今天的入侵梭测研究仍具有重凄的现实意义。 1 9 9 4 年，m a f kc m s b i e 和g e l l es p a 韵r d 【5 】建议使嗣自治代理( a u t o n o m o i l sa g 雌t s ) 以便提薅国s 黪霉秘缩矬、霹缳护牲、效率窝容链蛙，谈理念菲常簿会延在遴器懿诗 算机科学其他领域如软件代理的研究。另条致力于解决当代绝大多数入侵梭测系统 伸缩性不足的途径于1 9 9 6 年掇出，这就是g r i d s ( 融即h ，b 髂e dh l t r u s i o nd e t e c t i o n s 粥弛弗熬设诗帮实溪，该系统使褥瓣大攥模叁动凌协目攻涛兹梭溅更为便零l ，这些 攻击有时甚至可能跨过多个管理领域。同年，f o 麟e s t 等人将免疫礅理运用到分布式入 侵检测领域，并取褥了较好效聚。1 9 9 8 年r 0 s s a n d c r s o n 和a b i d a 船l a t t a l ( 给入侵检测 带来了翎薪，蒋痿惑检索按术譬l 迸裂入侵黢测。 入侵检测经过十年的发展，己有了长足的进步。基于专家系统的d s 对已知的攻 击十分裔效，丈量用于商用入侵检测系统的开发，如i s s 砸讼司的r e a l s e c u r e 系统和 b 鬏。系统模蘩；随麓薪熬凌毒技术不断瀣瑷，专家系绞滩激捡溅菇乏翔豹竣壶，毽戴入 侵检测的智能研究成为i d s 研究的主要方内。基于状态转移分析的i d s ，如u s d 蛾， 入侵被表示成为目标系统的状态转换阔，它虽然隧在一定程度上预测下步可能的攻 击，毽怒它戆够检溺懿入侵模式弱隈于指怒豹连续事佟，舔不髓稔灞更复杂豹形式； 1 9 9 6 年h d o v i c m e 以及其他学者利用遗传算法对入侵检测闯题进行了建模。1 9 9 8 年， c a i l l l a d y 【4 7 j 提出的用于入侵检测的m l p 模型。1 9 9 9 年w c i l k e l r e e 在其博士论文中掇出 了一个宠整静基于数据挖掘酶入侵裣浏模鼙，为数攥挖掘在该邻域酶纛蔫镞了开剑往 的工作。 2 。2 入侵捡溯的辩念秘分类 z 2 1 入侵检测的概念 根据c i d f ( c o ni n t n l s i o nd e t e c t i o l if r h n e w o f k ) f 3 】标潦，i d s 就是通过从计算机 网络或键4 算枫系统申麴若于关键点收集售感并对其避磐分掇，簌中发联网络或系统孛 是否有造反安全策略的行为和遭到袭击的迹象的网络安全技术。简单的说，入侵检测 就蹙通过对系统数据的分析，敷现非授权的瞬络访阿和攻击行者警 入餐捡测系统瘦具毒以下6 个方嚣载特性： 北京化工犬学确士研究生学位论文 鉴援、分耩焉户及系统活动； 系统构造和弱点静率； ； 识别茨浃汪躲进攻靛滔动模式井自柽关入士报警； 异掌褥为模式瓣分凝； 谖佶羹要系统葶爨数据文停数竞艇性； 操终系统豹睾计鼹踪管理，共识别用户违及安全繁咯懿行为。 2 。2 。2 分类 目前对入侵榆测技术的分类方法有许多，但主要有以下几种分类方法。 蘩于根据采用的策珞不同进行的分类 根据采用的策略不同可分为羿常检测( a n o n l a l yd 曲。c t i o n ) 和误用入侵检测 f m i s u s ed e t e 蕊o n 或称r i 越争b a s e dd e t 。c t i o l l ) 两大类圈静曾。前者通过采集和统计发现网 络或系统率异常行为，它试萄用定量方式籀述可接受的行为特征，班区分非正常的、 潜在豹入侵毪行为。假定所有入侵行为都是与正常行为不问酌。如果建立系统正常行 为豹翔述，那么理论上可戮艳所裔与芷常轨述不阉的系统状态视为可疑企图【9 】。对于 异常润值与特征静选择是异常发现技术静关键。醴：翔，通过流量统计分析将异常时间 懿异常鼹络瀛量栽为霹疑。由于髯常入侵检测蹩建立在正常模式的基础之上，而芷常 模式定义卡分复杂，努致误报警率高。磊磊者是指乖l 掰已知系统和应瘸软件静弱点以 及攻击模式寒检测入侵。骰定所寄入餐行为和手段( 及其交种) 都煞够表达为一释模式 或特 i e ，郎攻击签名，那么爨有已知靛入侵方法鄹鹫以耀匿粥鹣方法发瑗。倒懿， p o r 芏s c a n 袭专具有在娥瓣阀内扫描多个戏擎、u p p 漆西静特征，b 0 本避黪网络数 攒包艇含固定蛇黪缝璐，救以事先裳义耀则送行捡测，所良误震入侵检溅对已熟煞 入侵模式识别率瑟，织其无法捡测叛的玫走嚣为裁模袋。 瑕据体系缝拇分类 根据体系结构的不同可以分为基予主规的妨s ( 壬e s t - b a s i d s ) 秘基于网终的 i d s 洲e 嘲o r k b a s e di d s ) 。纂予主极的i d s 安装在独立的主机上，通过竣规w 烈d o w s n t 上的系统豢馋、日志以及u n 环境下魄s y s l o g 文传可以精确地判凝入授事件， 一旦这些系统文 牛有变化，i d s 将耨的旦惑记录与攻落签名比较，以发现它l f 】是否匹 配。如匹配，l d s 将向管理员报警并采取相应行动。 纂于主机的m s 昀主要优势：非常适用于加密和交换嘲环境，避实时检测和应答， 并且不需疆额赡的硬件。缺点是检测攀底，无法单独使用。 基于网络的m s 使用原始的网络分组数据包作为进行攻击分析的数据源，一般需 第三章入经检测基础 要一个独立的网络适配器，将其设置为杂收模式来实时监听所有通过网络进行传输的 数据包f 9 l 并与攻击籀名匹配，一旦稔测到攻击，i d s 将对福关事件进行报警。 基予网终黥入寝检测主要傀点毒：霹以耱确熬检测己熟熬攻涛，梭测率嶷，势能 够对未成功的攻击毙图进行检测：缺点是无法j | 鑫控高速度、大流量的交换网，也无法 检测新的攻击。 蔽掇工终方式靛分类 离线检测：这是一种非实时工作的系统，在事件发生后分析审计事件，从中检查 傍事件。这类系统的成本低，可戳分析大量事件，调查长期的情况，可以为在线检 鼬诞供竣壹穰愚。稳枣予是在攀螽遴行，不憩对系统提供及露兹保护。露虽缀多入侵 在完成骺都将审计攀件去掉，使其无法审计。 在线检测：对网络数据包娥主机的审计事件进行实时分析，可以快速反陂，保护 系统匏安全；毽在系统怒模较大戆，难致绦涯实跨链秘较低懿误羧警率穗瀑缀警率。 2 ，3 天侵检测模型 2 3 1d e n n i n g 模艇 最早的入侵检测模型出d o r o 恬l yd e n i l i n g 嘲在1 9 8 6 年提出的，该模型与其体系 绞秘具体辕入无关，霸憩对戳囊豹大部分馕爱入侵检援系绞敷骚究其鸯较大瓣参考馀 值，事实上这个模型被大多数其后的入侵检测系统研究者所应用，其质的大多数入侵 检测系统都怒对该模型的迸一步改谶和深化，胬2 1 给出了该模瓣的系统结构： 窜诗纪最穰终数据包 图2 1 入侵检测d e n n i n g 模型 爹嘻2 - ld n 法gm o d u l eo f 璐s 在这一模型中，事件产生器相当于一个触发装置，由外部输入触发，外部的输入 在不同的环境犟各不相同，一般可以是操作系统审计踪迹、系统日志阱及网络数据包 7 腮旦竺一 百 乾京讫工大掌壤士研究生学控论文 等，事件产生器对这些输入进行处理，产生的结果就鼹所谓的事件，这些事件就构成 了送一步梭溯戆基磕；挟该圈来看，攀傍滚逮短为黪惩模块和撬耍l 模块窑圭进行下一步 簸理，这两个模块是系统瀚核心。行为特征模块应用豹是异常检测技术，其核心逶一 个行为特征袭，行为特征袭包含了用于计算用户行为特征的所有变擞，这些变墩可以 根据具体所采纳的统计方法以及事 牛记录中的具体动作模式丽定义。比如在慧名蛉 瓣e s 中，这璧变量惫瑟了斌户莛否谤瓣了菜一令强疑、援户谤阏了戮些文佟、蹋户 使用了哪些命令、用户使用命令的时间阆隔等等。由于用户的行为在很大程度上是比 较稳定的，比如一个程序员，可能每天上午打开机器，查看一下邮件和新闻，然后打 ，l 编辑器秀戆编程工传，疆懿莱菜一天该程痔员夔霉j ：必塞璎较丈熬镄差，藏可苏认失 出现了异常，如果经过计算处理认为该异常己经超过了门限值，就认为有恶意彳予为产 生，这时行为特征表会产缴异常记录，弗采取相应措旅；规则模块采用的是误用检测 技术，其核心楚一个规爱4 黎，援则集包禽若干援则，这些规则说明? 当有什么悸凝发 生对应该触发怎样戆动 譬。舜常检测技术和误霜裣篌l 技术各有专| | 己劣，存在一定鹃嚣静 性，因此在实际的系统中缀常将两者结起使用。 异常检测器和模式匹配器所关心的数据各有侧重，即使对相间的数据源，其傣息 | l 每采集方式署耩处理方式逮苓一蘩。对误躅验溅器，嚣溪先准备努辩入接嚣秀逶簿攘述 纳入侵模式艨，并在系统工作中不断扩宽；而对于异常检测器，撮成该首先利用收集 的数据，采取一定的统计方法建立相应的系统轮廓模激，作为系统溉常运行的参考基 漆，这个过稷惑系统的剖掇弓l 擎来完成，在系统的剖耩弓l 擎建立起来以后，异鬻检测 器就霉竣不断的诗算相瘦统计量酶变讫情况，一旦系统镶移参考慕糯超过许可藏疆就 认为系统发生异常。 2 3 2c i d f 模型 透年寒，s 眩瞳s 攮撼翻垂穗强等入箍逡了e l d 謦嘲f c 8 m 氆蝴瓤蛔s i o nd e 妇幢o n f r 锄e w o r k ) 横型，它将个入侵检测系统分为以下组件：事件产生器( e v e n t g c n e r a t o r s ) 、事件分析器( e v ta n a l ) ，z e r 8 ) 、响应单元( r e s p o n s eu n i t s ) 、事件数据库 嚣v 。n td 酗a s 嘲，魏图2 以藏示。缀传之闻懿交互数疆( 黎g i d 0 对象) ，被封装弱 c d i f 消意中进行传递。c 拗f 将王d s 需癸分析的数爨统称为事件( e v e n t ) ，它可以是网 络中的数据包，也可以是从系统日志等越他途径得到的信息。事件产生器的目的慰从 熬个计算环境中获褥事 牛，势向系统的其他部分提供此事 牛。事件分板器分析德剥蛇 数据，并产垒分辑绪莱。响应擎元襄燕辩辑结采傲爨反应魏功懿攀元，它可戳徽出 切断连接、改变文件属性等强烈反应，也可以只是简单的报警。 第二章入侵检测基础 豳2 - 2 c m f 入侵检测模型 f 酶2 2e 彩f o d 谢e 程d s 事件数据库最存放各种中间和最终数据的地方的统称，它可隧是复杂的数据席， 改q 矗是麓单豹文本文传。强翦入侵捡测产品多是采用c 黝f 模型，e 国f 藤在开发秘 完善之中，并有可能成为入侵检测系统的标准。 2 。4 经典的入侵检测方法 2 4 1 异常检测技术 2 4 1 1 旗子统计的异常检测技术 统计界常检测方法根据异常检测器观察主体的活动，然后产生刻画这魑活动的行 为瓣轮廓。每一个轮藤保谨记录主体当蓊褥为，并定潜缝游当蘩靛轮廓与存储豹轮辩 合并。通道比较当前的轮廓与已存储的轮廓来判断异常行为，从而检测出网络入侵。 一个典型瓣基予绫诗异露梭溺静系统是s 袋l 轴t 黝l a 镬柏鑫l 匏n l d 蓦s 。n l 髓s 逶避在 任意给定的时刻，对一，4 爿。的变量值进行测量，推理判断系统是否有入侵发生， 每个名，露= l ，2 拜) 变量表示系统不鬻方瑟瓣特征( 麴s y k 数蠡包数强、弱户登录失觳 次数、c p u 使用率，网络流量等) 。m 。埘，m ，肘。为预测出的正常情况下该数据的 麓骧篷，剿定义在薅利戆捡溅蘧鼗麓； ，南( “t ( f ) 一尉t ) 2 + j 耄荔( 4 ( 。一m 2 ( f ) ) 2 + j 蠢荔( 文( f ) 一m 。( 嘞2 其中，口。0 为体王兕重要稷度的权值，即敏感度，( o 越小，通信过程越接近正常情 援。当磅超过预先竣定耱阚疆嚣，就谈为辩络入橙发生了。一般两言， 9 北京化工大学硕士研究生学位论文 m ，吖，膨，槲。不是相互独立的，需嚣更复杂的函数处理其相美性。常见的几种测 量类型翔下： 1 ) 活动强度测量( a 暾i v i t yh l t e l l s i 哆m c a 咄岱) ：描述活动处理速度。通常用髂检测 突发性行为。 2 ) 审计记录分布测鬣( a u d i tr e c o r dd i s 砸b u t i o nm e a s u r e s ) ：描述最邋审计记录中 所有活动类型分布状况。如特定的用户在整个系统使用中文件访闯和i ，o 活动分布。 3 ) 类型测量( c a t e g o r i 蕊m e a s u r 髂) ；描述特定的活动在各种类型分布状况。如在 系统中，从各个物理位鼹来的远程登录相关频度，每个邮件发遴藿、编译器、s h d l 、 编辑器的相关使糟。测爨关注的楚潘动出现的浚数的多少。 4 ) 顺序测量( 0 柑i n a lm e a 汕燃) ：描述活动的输出结果，以数字值来袭示。如特定 的用户( 碧u 和使用蕊量。 统计异常检测方法的有利之处是所殿用的技术方法在统计学得到很好的研究。例 如，位于标准方差两衡豹数据胃诀为楚辩常静。 但纂于统计的异常稔测有以下的缺点： 1 ) 统计潮羹对事释酶发生蠡尊次序不敏懑，攀缝豹统计入侵稔澜系统w 箍不会发觉 事件当中依次相连的入侵行为。 2 ) 攀缝夔绕诗久镘捡溅系绕容荔被入侵者邋过长辩闻菸调练使模蹙逶瘟箕入侵 行为，而不被发现。 3 ) 滚骧确定麓叛异常瓣阖蕊，阂篷汲餮绱繇残镶离稳会学数误报警攀 牟。 4 ) 统计异常检测行为类型模型是有限的。运用统计技术对异常作形式化处理需要 缓设数攒来源稳定，篷焱骥实培援下这耱霰设势不戆是戆够满爨。 2 4 1 2 基于抻疑网络的i d s 人工神经网络f a n n ) 自从2 0 世纪5 0 年代r o s 盟b l a l t 首次将单层感知器应用于模 式分类学习瑷来，已经裔了4 0 多年的研究历史。入工种经网络中每个神经元的结构 和功能怒相对简单和有限的，但雁是这终众多结构简单、功能有限的神经元的“微观” 活动，耥成了复杂静“宏观效应”能完成各种复杂韵信憋识翱和任务处攥。人工神经 网络的信息分布溅存储和并行式处理为信息高速处理创造了条件，且带来了对不完整 信惠的容错牲和联怒记忆能力。藩线往全局俸丽特征使箕处理起大规模饕线桎酌复杂 动力学系统得心腹手。熨重要的足人工神经网络无需预编程，无需制定工作规则，它 暹过学习鑫行鬏悟事耱内在蔑律。这种鑫缀缓、鑫学习及维理豹囊适应麓力是神经阚 络相对于传统a i 和其它计算模烈的最大优势。如今人工神经网络已与模糊逻辑、概 第二章入橙检测基础 奉攘理、逮馋算法、滢连系统、嫠念羽终黻及是郝学习方法擒蔽耨我磐熬诗算内核 软计算。 嚣蘸，毒孛经霹络已有多耱模型在d s 中应矮【羽f 1 3 1 5 】f 碰1 卫n q 。只要提供系缓靛 审计迹( a u d i t 仃a c e s l 数据，神经网络就可以通过自学习从中提取正常的用p 或系统活 费熬特征模式，露不嘉要获取攒述用户孬兔特缝繁戳及嬲户毒亍为特铥测艨的统诗分 布。另一方面，神经网络也可以作为误用梭溯。神经网络可以利用大量入侵实例对其 进行训练学会入侵鳃谖，获褥预测熬藐力，并且这一过程掰以是完全抽象豹计算，季睾 绎网络可以自动掌握系统的各个度量之间的内在关系，使黧最大限度地逼：i 琏于现实的 糸统工俸模型或网络攻击模型，从嚣对于输入绘它的任何监澳4 数据都能做出栩当爱确 的判断。 2 4 1 3 基于数据挖掘的l 计算穰i 联网导致丈量渗诗记录，瑟虽枣诗记录大多是潋文 孛形式存放f 翔淤系 统s y s l o 曲，若单独依靠手工方法去发现记渌中的异常现象是十分困难的，往往操作不 矮，且不雾荔技凄审诗记交淫载朝轰关系。愀el 窝s a l v 粕撼l 。s 稔l 南将数据挖糕 技术应用到入侵检测研究领域中【1 9 】【2 0 l 【2 l 】，从海量审计数据成数据流中提取感兴趣的知 谈，这些皴识是豫客兹、攀先未知瓣、潜凌熬有髑信息，掇取兹熟识表示必概念、艘 则、规律、模式等形式，并可用这些知识去检测异常入侵。其研究的目标怒尽可能地 减少在建立一个入侵捡溅系绞中豹乎工嚣经验成分。这里袋埂以数据荛中熬观煮， 把入侵检测问题看作是一个数据分析的过稷。 同统诗概率方法相比，数据挖握方法哭蠢如下优点：数据挖掘体现了一个竞熬的 数据分析过程。它般包括数据猴备、数据预处理、建立挖掘模型、模型评估和解释 等。另终，它也是一个迭代的过程，通过不断地调整参数靼方法以= 导到较好的模溅。 基于数据挖掘的界常检测方法，目前己有现成的 d 算法可以借用。这种方法的优 点是可适废处理大量数据的情况。但是，辩于实时入侵检测则还存在惩题，需要开发 出有效的数据挖掘算法和相适应的分布式体系。 2 。4 ，2 误用检测技术陶 北京化工大学硕士研究生学位论文 2 。毒，2 萎手奄寰豢统鹣l 胬 蒸予专家系统豹入侵猃溅【嚣l 豹原襄是经褥与毫箱入侵模鍪符合魏行为酃是入侵 行为，它首先臻求建立融知的攻击签名库，即将入侵知识进行编码表示成i f t h e n 规则。然后对搬蘸系统嗣悫文件帮数据包进行特征抽取，积签名麾中的攻逡签名进行 匹配，判断是荫出现入侵行为，这种方法检测准确性嵩，而且可精确判定是何种攻击。 规则可以根据i d s 类型不同来定义。如基于网络的i d s 专家系统中的规则就包含和网 锯捌关靛死令帮势，蘩鲶疆夔方法、谤议、遴逐懿方蠢、特薤德簿。基予这穗模鼙懿 入侵检测主要问题是只能检测已知的攻击。 2 5 入侵检测的发展方向 随着黑客技术的不断发展，入侵行为表现为不确定性、复杂性、多样性蒋特点。 一些瀑客缝缓己经舞辩搿绕过入覆检溺系统f | 蚤s ) 或玫表强s 系绫铎为磅究重熹。获 目前阑外入侵梭测研究的发展趋势来看，今后入侵检测的工作将侧重在以下几个方 面； 1 ) 如何解决高速交换阏环境靛入侵检测阍题；离遮网络，菇其是交换技术韵发 展以及通过加椒信遒的数据通信使得通过共摩网段侦听的网络数据采集方法显得不 是，嚣大量豹遴售量对数据分摄毽爨爨了瓤瓣要求。 2 ) 大规模分布式的入侵检测系统以及异构系统之间的协作和数据共攀问题；需 要制定统一的入侵模式摩，为不同系统的入侵描述建立转换机制。 3 ) 入侵稔测兹智畿狡溺题；入侵方法越来越多榉织与综合豫，尽管嚣经有狰缀 网络与遗传算法等模式识别方法应用在入侵检测上，但是这只是初步的研究工作，需 要砖麓能他的獭s 加以遴一步的研究鞋解决其基学习与鑫适应憩力。 4 ) 入侵检测的自我保护闻题；m s 自身的安全性掇关重要，需要和冀它的安全 机制配合使用。 5 ) 建立有效豹天稷梭溅豹评测方洼；蔫户在选择l 转s 籽，簧黉对众多豹l d s 系统 进行评价，评价指标包括i d s 检测范围、系统资源占用、i d s 系统自身的可靠性。因 此设计通用的入侵检测测试与评估的平台，实现对多秘l d s 系统豹统一评镳，己成为 当前i d s 的另一重要研究与发展领域。 6 ) 与其它网络安全技术相结合，如结合防火墙、安全电子交易等新的网络安全与 毫予褒务按术，撬撰完整豹网络安全穰簿。 嚣三三章a 寝褥鸯撬琏 第三耄入侵好隽搓述 校据 梦盼辇美莓薅游郯离缭磷囊语鲻爨f 溅鞭 a ) 1 9 辨年豹入侵捡测洋毽摄整 【2 钔，目前常用的攻击手段和方法可分为：拒绝服务攻击( d 眺i a lo f s e r v i c e ) 、探测攻击 确 f 哆、送覆攥户簧誊蛾瓣 授毅谤阏r 麟 e 镪辩孙c a lh s 铘、 授投获褥趱缓蘩户 1 1 墩击s c rt 0r o o t ) 。本章对几种类型的入侵行为进行了详细的描述和分析，为我 襄袭矮嚣章节中设诗a 覆捡溅系统努下了袋安豹螯楼，谶谴鬟察豹设诗更麴其嘉蛰避 健。 3 。 糖绝骚舞墩壹跚甾 掇绝服务攻街的英文粥字是“d 删a lo f s e 删c e ”，简称臼l o 嚣4 拒绝服务攻涛抬一个 援 户占据了大量鹣共享资源，傻系绞没有剩余的炎源绘焚悠用户健攘魏攻击方式。拒 绝虢务哥戳蘑来竣击域名服务器、路由嚣爱其窀鼯络搡律糯务，镶c p u 、磁盘空简、 打印机、调制解调器等资激的可用蚀降低。拒绝服务一般分两种；一是试图破坏资灏， 蕊蓬稼薏天霹鼓篌矮。翅酸嚣囊攮毁落惑、裂豫文箨、撩式往雍撵、留颟曦滚等。= 怒过载魑系绕服务或者消耗一些资源，通过这样的方式可以造成葳它用户不能使用 这个联务。 嘏绝服务韵玻壹方式为：攻责黉传送众多蘩求褊试懿僚怠蜀服务器，筏自菠务器墼 充斥麓这种无蔫的信息。掰有豹僚惫都有鬻酗麓懿盘霰镪缝，敬至子当骧务器试强隧 煲封，龆爱法找捌用户。照务器予怒蜇瓣簿谈，囊至超_ ；鬟= 预先设定瓣等拷辩翊，熬舞 秀切断涟臻。殿务器留繇涟接薅，嚣客孬黢传送耨甄需要确试鹣德患，逡个过载髑 而复始，最终导致服务器瘫痰。拒绝服务攻击的典裂方法脊：s y nf l o o d i n g ，a r d r ， u 却s t 材撒，毛a 巅，s m 惑p 琏g o f 静e a 蠡，酣采 b 瓣羚等。 3 ， s 鞭f l d j n g 翻e 酞娃n e ) s y nf l o o d 撼g 攻击又猕n 卿n 协是最基本戆埝s 玻整方式。遐过灵发遴裙黧纯 静s y n 仅，雨不发送对擞务器酶a c k 确试包，导致服务器一直等待a c k 镪。些 t c p 鹿p 堆栈的寞联只能等待扶有隈数量计算梳发采的a e k 消惑，瞧就是说，只蠢育 北京化工大学硕士研究生学位论文 限的内存缓冲区用于创建连接。如果这一缓冲区充满了虚假连接的初始信息，该服务 器就会对接下来的连接停止响应，直至缓冲区里的连接企图超时。 s y nf l o o d i 雌攻击往往结合口地址伪造技术。攻击者发送s y n 请求所使用的源 地址是一个合法但虚假的口地址。由于客户端是由i p 地址确定的，因而服务器就向 该i p 地址发送响应，结果自然杏无音讯。与此同时，口包会通知服务器该主机不可 到达。但服务器会认为是一种暂时错误，因而继续尝试连接，直至确信无法连接，自 然在这段时间内服务器就停止了对新的连接请求的响应。当然欺骗性的i p 源地址不 会是那些正在工作的i p 地址。因为这样一来，真正i p 持有者会收到s y n ，a c k 响应， l f u 随之发送r s t 给服务器，从而断开连接。 3 1 2p i n go fd e a t h ( p o d ) 由于在早期阶段，路由器对包的最大尺寸都要限制。许多操作系统对t c p i p 堆 栈的实现在i c m p 包上都是规定6 4 k b ，并且在对包头进行读取之后，要根据该包头 里包含的信息作为有效载荷生成缓冲区。当收到畸形的，声称自己尺寸超过i c m p 上 限的包，也就是加载的尺寸超过6 4 k 上限时，就会出现内存分配错误，导致t c p i p 堆栈崩溃，直至包接收方死机。 3 1 3 碎片攻击 i p 碎片攻击的原理是利用发送异常的分片，如果操作系统内核在处理分片重组时 没有考虑到所有的异常情况，将可能引向异常的流程，造成拒绝服务。该类攻击的典 型例子是t 船r d f o d 和j o l t 2 。 泪滴( t e a r d m p ) 泪滴攻击利用那些在t c p i p 堆栈实现中信任口碎片包头所包含的信息来实现自 己的攻击。i p 分段信息指示该分段所包含的是原数据包中哪一段，某些t c p i p 在收 到含有重叠偏移的伪造分段时将崩溃。 攻击者发送两个分片i p 包，其中第二个与第一个在位置上完全重合，如下图3 1 所示。操作系统在处理时发现有位置重合：o 历“2 跏d 1 ，于是将d 胎e 纪向后调到 8 n d l ：q 班e f 2 = 册d 1 ，然后更改z 蹦2 的值：z m 2 = e 材2 一够甜2 。则此时彪n 2 变成了一 个小于零的值，那么在以后处理时若不加注意便会出现系统崩溃的问题。 第三帮入侵行为描述 j 0 1 t 2 j o 趁怒凝出现夔利弱分冀进行攻舞夔翟缪，a ：学可殴造藏当翦瘊鸯豹w i 勰。w s 平台( 9 5 ，9 8 ，n t ，2 0 0 0 ) 死机。它的原理是发送许多相同的分片包，髓这些包的片偏移量 q 拶妊值邸l 粥8 = 6 5 5 2 渤勰) 与总长发f 4 8 跏) 之霍超潦了荸个强懿懿长发限裁 ( 6 5 5 3 6 b y t e s ) 。如图3 _ 2 所示。 0 3 1 。4l a n d 攻击 0 腿e tl 0 f b e l 2 长度1 分片l 匿3 1 泪滴攻击 f l g 3 - lt t 帅 +。1”。+。 最大的i p 数据包 l 一一。_ | 6 5 5 2 0r j o l t 2 分片包 l | 图3 0j 0 1 t 2 攻击 秘9 3 2j o l t 2 e n d 2 6 5 5 3 5 农l a l l d 攻击中，攻击者发送一个伪造的8 y n 龟，它的源地址和日的地址都被设 鲞或菜一令辍务器撼蛙。越举黪等致接牧方缀务器蠢它鑫懑懿逮聚发送s y 搿a c k 璃 应，结果这个地址又发回a c k 响应并创建一个空连接，每一个这样的连接都将保留 直翻越时。不同酶璨俸系统对l a n d 攻港反应不雨，许多t 跗i x 系统将麟溃，n t 交酶 极其缓慢。 北京化工大学硕士研究生学位论文 3 1 5 分布式拒绝服务攻击( o s ) 分布式拒绝服务攻击的英文名字是“d i s 砸b u t e dd e i l i a lo f s e r v i c e ”，简称d d o s 。 分布式拒绝服务攻击的原理：探测扫描大量主机以找到可以入侵的目标主机，通过一 些远程溢出漏洞攻击程序，入侵有安全漏洞的目标主机并获取系统的控制权，在被入 侵的主机上安装并运行攻击守护进程，然后利用多台己被攻击者控制的机器对另一台 单机进行扫描和攻击，在大小悬殊的带宽之比下被攻击的主机很快失去反应能力。整 个过程都是自动化的，攻击者可以在几秒钟内入侵一台主机并安装攻击工具，这样， 在一个小时之内就可以入侵数千台主机。 分布式拒绝服务攻击采用了一种比较特别的体系结构，由c l i e n t 程序和d a e m o