（计算机应用技术专业论文）基于神经网络的实时入侵检测系统的研究和实现.pdf

摘要 随着 n t e r n e t 的发展，网络丰富的信息资源给用户带来了极大的方便，但同 时也给上网用户带来了安全问题。目前，网络的攻击手段越来越多，入侵手段也 不断更新。由于网络的攻击造成的损失是难以估量的，尤其是政府和军事机构对 网络的安全提出了更高的要求。抵制攻击常用的机制是防火墙，它是被动的网络 安全机制，对许多攻击难以检测，尤其是来自内部网络的攻击。入侵检测弥补了 传统安全技术的不足，是一种主动的防御技术。其通过对行为、安全珂志、审计 数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图， 并对入侵行为聚取相应的措施。 入侵检测系统智能化的研究是目前网络安全领域的研究热点，现阶段常用的 有神经网络、遗传算法、模糊技术、免疫原理等方法。神经网络具有自组织、自 学习和推广能力等优势。将神经网络方法应用于入侵检测系统中，使系统既可以 对已知攻击有较好的识别能力，又具有检测未知攻击的能力。 本论文概述了入侵检测系统和神经网络的基本概念及现有入侵检测技术的不 足：提出带检测的网络训练方法，并和单样本、批样本网络训练方法进行了比较： 根据t c p i p 协议族攻击的特征，提出在传输层上将捕获的数据包分成三类( u d p 、 t c p 和i c m p ) 分别进行编码并输入到三个不同的神经网络中训练、检测。运用文 中介绍的方法，没计并实现了一个基于b p 神经网络的实时入侵检测系统的原型。 浚原型系统具有通用性和可扩展性，能够根据需要灵活调整网络结构和训练参数， 可以发展为更精确的网络入侵检测系统。最后给出了实验设计及其结果，证明了 文中提出的带检测的网络训练方法的有效性以及采用对数据包分类处理的思想既 能减少网络训练的次数，又能提高网络检测的精度。 关键字：入侵检测，b p 神经网络，t c p p 协议，神经网络训练 a b s t r a c t w it ht h ed e v e l o p m e n to ft h ei n t e r n e t ，t h er i c hr e s o u r c e so nin t e r n e t b r i n gu s e r ss om u c hc o n v e n i e n c ea sw e l la sp r o b e m so fs c c u r i t yt h eu s e r s m u s tf a c ew it ha tt h es a m eti m e n o w a d a y s ，t h e r ea r em o r ea n dm o r ea t t a c kin g m e a n sa n dt h ei n t r u s i o nm e a n sa r ec e n t i n u a l l yu p d a t i n g t h el o s s e s r e s u t in gf r o mn e t w o r ka t t a c k i n ga r ei n e s t i m a me ，s oe s p e c i aj1yt h e g o v e r n m e n ta n dm i l i t a r yo r g a n z a t i o n sb r i n gf o r w a r dh i g h e rr e q u i r e 瑚e n t s t ot h en e t w o r ks e c u r i t y t h ec o m m o nm e c h a n is ma g a i n s ta t t a c k in gi sf i r e w a l l w h jc hisp a s s iv ea n dd i f f i c u l tt od e t e c tal o to fa t t a c k s e s p e c i a l l yt h o s e c o m i n gf r o mt h ei n t r a n e t i n t r u s i o nd e t e c t i o nm a k e su pt h ed i s a d v a n t a g e s o ft h et r a d i t i o n a ls e c u r i t yt e c h n o l n a ya n dr e s u l tina c t i v ed e f e n s e b y a n a l y z i n gt h ei n f o r m a t i o nc o m i n gf r o mn e t w o r k s ，s u c h a sp e r f o r m a n c e s ， s e c u r e1 0 9 s ，a u d i td a t aa n do t h e ra t t a i n a b l ein f o r m a t i o n ，i n t r u s i o n d e t e c t i o nc a nf i n ds o r ea t t e m p t st h a tw lo rh a v ec r a s h e di n t ot h es y s t e m a n dt a k e sr e l e v a n tm e a s u r e sa g a i n s ti n t r u s i o n s t h er e s e a r c hi n t oi n t e l i g e n tt e c h n o l o g yi ni n t r u s i o nd e t e c t i n gs y s t e m ish otinn et w o r ks e c u r it yr e s e a r c ha tp r e s e nt t h e r ea r es o m ec o m m o n i n t e l l i g e n tt e c h n 0 1 0 9 i e s ，s u c ha sn e u r a ln e t w o r k ，g e n e t i ca l g e r i t h m ，f u z z y t e c h n o o g ya n di m m u n ep r i n c l p l e n e u r a ln e t w o r kh a st h ea d v a n t a g e so f s e 卜o r g a n i z a t i o n ，s e l f - s t u d ya n da b i l i t yo fg e n e r a i z a t i o n 。a p p l y in g n e u r a ln e t w o r ki n t oi n t r u s i o nd e t e c t in gs y s t e mw i 】1e n d o wj tw i t hg o o d r e c o g n jz jn ga b i l i t yt ot h eu n k n o w na t t a c k sa sw e l la st ot h ek n o w no n e s t h i sp a p e rs u m m a r i z e st h eb a s i cc o n c e p t so fi n t r u s i o nd e t e c t i n gs y s t e m a n dn e u r a in e t w o r ka n dt h ed i s a d v a n t a g e so fp r e s c n ti n t r u s i o rd e t e e t i o n 1 tp r o p o s e san e wm e t h o do ft r a i n i n gn e u r a ln e t w o r kw i t ht h ec h e c k in g f u n c t i o na n dc o m p a r e si tw i t ho t h e rt r a i n i n gn e t w o r k so fs i n g l es w a t c ha n d b a t c hs w a t c h a c c o r d n gt ot h ec h a r a c t e r so fa t t a c k st o w a r d st c p i p p r o t o c o l ，i tp r o p o s e st h a td a t ap a c k e t sc a p t u r e do nt h et r a n s f e r r i n gl a y e r b ec l a s s j f je di n t ot h r e et y p e s ( n a m e l yu d p ，t c pa n di c m p ) a n dt h e ne n c o d e d r e s p e c t i v e lya n di n p u ti n t ot h r e ed i f f e r e n tn e u r a ln e t w o r k st ob et r a i n e d a n dt e s t e d t h r o u g ht h em e t h o dp r o p o s e dh e r e ，am o d e lo f ir l s t a n ti n t r u s i o n d e t e c t i o ns y s t e mi sd e s i g n e da n da c h i e v e db a s e do nn e u r a ln e t w o r k ，w h i c h isu n i v e r s a la n de x t e n d i b l ea n dc a nf l e x i b l ya d j u s tt h ep a r a m e t e r so ft h e n e t w o r ks t r u c t u r ea n dt r a i n i n ga n df u r t h e r m o r e ，m a yd e v e l o pj r i t eam o r e a c c u r a t en e t w o r kjn t r u s i o nd e t e c t i n gs y s t e m a tt h ee n d o f p a p e r ， e x p e r i m e n t a ld e s i g n i n ga n dr e s u l t sa r ep r e s e n t e d ，p r o v i n gt h em e t h o do f t r a i n i n gn e u r a n e t w o r kw i t hf u n c t i o no fd e t e c t i o nise f f e c t i v ea n dp r o v i n g t h ei d e ao fd i s p o s i n gd a t ap a c k e t sr e s p e c t i v e l yc a nr e d u c et h et i m eo f t r a i n i n g n e u r a ln e t w o r ka n d i m p r o v e t h ep r e c is i o no fn e u r a ln e t w o r k d e t e c t o n k e y w o r d s ：i n t r u s i o nd e t e c t i o n ，b pn e u r a ln e t w o r k ，t c p pp r o t o c o l l r a in in gn e u r a ln e t w o r k 独创性声明 y 8 6 6 3 3 4 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得丞i 圭互些太堂或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示了谢意。 学位论文作者签名： 彤矾嘞签字r 期：矽簿月f 1 学位论文版权使用授权书 本学位论文作者完全了解丞洼王些太堂有关保留、使用学位论文的规 定。特授权五注王些塞堂可以将学位论文的全部或部分内容编入有关数据库进 行检索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意 学校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 导师签名 凇耔 i 签字同翌年月同 笏 研佑吁月 口 ； 鳓 磊 者 睹 矿 划 辄 沦 r 位 字 学 鉴 学位论文的主要创新点 、针对单样本神经网络训练和批样本神经网络训练存在的缺陷，提 出带检测的神经网络训练方法，采用正确率作为衡量网络训练是否结 束的标志。实验证明，采用带检测的神经网络训练方法可以减少网络 训练的次数。 二、根据t c p i p 协议族攻击的特征，提出在传输层上将捕获的数据包 分成三类( u d p 、t c p 和i c m p ) 分别进行编码并输入到三个不同的神 经网络中训练、检测。实验证明，这种分类处理的思想既能减少网络 训练的次数，又能提高网络检测的精度。 始一章绪论 1 1 引言 第一章绪论 本章首先概述了网络安全，论述了保证网络安全的两种手段。然后介绍了入 侵检测的概念，指出入侵检测在计算机安全中的重要性，随后简迷人工神经网络 在入侵检测系统中的研究现况，最后提出本论文的研究目的和内容。 1 2 网络安全概述 国际标准化组织( i s o ) 对计算机系统安全的定义是：为数据处理系统建立和 采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的 原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为：通过采用各 种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性 和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数 据不会发生增加、修改、丢失和泄露等。 网络安全( 计算机网络安全) 是一个很宽泛的领域，从网络结构上可以分为系 统安全和传输安全。系统安全是指计算机操作系统的安全，计算机操作系统的安 全级别在国家计算机安全中心( n c s c ) 桔皮书中给予明确，出高到低分别为：a l 、 b 3 、b 2 、b l 、c 2 、c 1 、d 共7 个安全级别。全世界达到b 3 级别的系统只有 一二个，目| j i 还没有达到a 1 级别的操作系统，操作系统安全是当前信息系统最重 要也是最复杂的安全问题。大家所熟悉的w i n d o w s9 5 为d 安全级别，n o v e ll 为 c 1 缴。作为互联网支撵操作系统的u n i x ( h pu n i x 、1 b ma i x 、s u ns o i a r i s 等) 和w i n d o w sn t ( 包括2 0 0 0 和x p ) ，都只具备c 2 级安全能力，电子政务般要 求采用b l 级系统。 传输安全主要是指信息在网络中传递，数据在途中被窃听、修改和破坏，以 及黑客将数据中途拦截，与用户建立虚假连接，导致用户关键数据向外人丌放。 网络安全问题往往具有伴随性，即伴随网络的扩张和功能的丰富，网络安全 问题会随之变得更加复杂和多样，网络系统随时都会面临新出现的漏洞和隐患， 所以网络安全问题是为保障信息安全随时需要考虑的问题。 网络安全就是借助于一定安全策略，使信息在网络环境中的保密性、完整性 及可用性( c i a ) 受到保护，其主要目标是确保经网络传输的信息到达目的计算机 后没有任何改变或丢失，以及只有授权者可以获取响应信息。因此必须确保所有 组网部件能根据需求提供必要的功能。 第一章缔论 典型的网络威胁主要来源有恶意攻击、安全缺陷、软件漏洞、结构隐患等几 个方面。攻击人员有：内部人员( 包括信息系统的管理者、使用者和决策者) ；准 内部人员( 包括信息系统的丌发者、维护者等) ；特殊身份人员( 具有特殊身份的人， l p , 女n ，审计人员、稽查人员、记者等) ：外部黑客或小组；竞争对手；网络恐怖组 织：军事组织或国家组织等”。典型攻击主要有：拒绝访问服务( d o s ) ；否定，某 用户可能否认发送或接收某一事务处理或信息：冒充，当攻击者冒充合法用户访 问网络时，会给网络环境造成威胁；修改：重复播发；窃听( 网络监听) ：病毒侵 害等川1 。 中国互联网络信息中心( c n n i c ) 于2 0 0 2 年1 月1 5r 在北京发布了第九次中 国互联网络发展状况统计报告”。报告显示，目自i r 我国上网计算机约1 2 5 4 台， 嘲民总数已经达到3 3 7 0 万人，比去年同期增长4 9 8 ；我国国际线路总容。鞋为 7 5 9 7 5 m ，比去年同期增长l - 7 倍。互联网在中国已经进入了高速发展期，并逐步 进入了人们的r 常生活，为人们的信息交流提供了极大的便利。但是，我们也应 该注意到，在现实生活中，便利性和安全性始终是一对矛盾，网络环境中也同样 如此。i n t e r n e t 本身所具有的丌放性和共享性对信息的安全问题提出了严峻的挑 战。 在国内，黑客事件同样频繁出现。据统计，源自我国的黑客事件在国际上排 名第三。根据c n n i c 的统计报告”，用户认为目前网上交易存在的最大问题是安全 性得不到保障，有3 1 的用户认可这一点，这说明人们对信息安全问题已经，r l ：始重 视。据统计，我国7 6 3 的网民有过虚拟财产被盗的经历”。 在中国互联网络面临大发展的今天，加强信息安全是目胁运营和维护网络，l 三 态环境的关键所在。我们必须采取各种可能的手段保护网络世界的信息安全。除 了提高国民的安全意识，加强法律、法规、制度等管理措施外，还应当使用现代 化的信息安全技术手段提高网络信息系统的安全能力，这是在未来信息社会中能 够生存的必由之路。 j 3 网络安全的保证 1 3 1 防火墙 防火墙是指安装在内部网络与i n t e r n e t 之间，或者内部网络与内部网络之问 可以限制相互访问的部件或设备。防火墙又可以分为硬件防火墙与软件防火墙。 硬件防火墙是一些厂商设计好的硬件，里面的系统软件已经设定好了数据包的过 滤机制。软件防火墙是保护系统网络安全的一套软件。 防火墙的功能有：( 1 ) 过滤掉不安全服务和非法用户； ( 2 ) 控制对特殊站 点的访问； ( 3 ) 提供监视i n t e r n e t 安全和预警的端点。 第一章绪论 防火墙的技术类型：防火墙的技术可根据防范的方式和侧重点的不同而分为 很多种类型，但总体来讲可分为包过滤型、网络地址转换一n a t 、代理型和监测型 等几大类型”1 。 1 包过滤防火墙 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。 网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据 包，每个数据包中都会包含一些特定信息，如数据的源地址、目标地址、t c p i j d p 源端口和目标端口等。防火墙通过读取数掘包中的地址信息来判断这些”包”是否 来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数 据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用，实现成本较低。在应用环境比较简单的情况 下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是 明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、 月标和端口等网络信息进行判断，无法识别基于应用层的恶意入侵，如恶意的j a v a 小程序以及电子邮件中附带的病毒。而且有经验的黑客很容易伪造l p 地址，骗过 包过滤型防火墙。 2 网络地址转化n a t 网络地址转换是一种用于把i p 地址转换成临对的、外部的、注册的i p 地址 标准。它允许具有私有i p 地址的内部网络访问因特网。它还意味着用户不需要为 其刚络中每一台机器取得注册的公有i p 地址。 n a t 的工作过程是：在内部网络通过安全网卡( 即设置为私有地址的网卡) 访 问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个 伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡( 即设置为公有地 址的网卡) 与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网 络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通 过个丌放的i p 地址和端口来请求访问。o l m 防火墙“1 根据预先定义好的映射规 则束判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接 受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时， 防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网 络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行 常规操作即可。 3 代理服务型防火墙 代理服务( p r o x ys e r v i c e ) 也称链路级网关或t c p 通道，也有人将它归于应 用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙 技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机 第一章绪论 系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计 算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的 作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时 当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。应用代理型防 火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也 常结合过滤器的功能。它工作在o s i 模型的最高层，掌握着应用系统中可用作安 全决策的全部信息。 4 监测型 监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。 监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分 析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检 测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和 其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶 意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相 当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义， 而且在安全性上也超越了前两代产品。 虽然监测型防火墙安全性上己超越了包过滤型和代理服务器型防火墙，但d 于蠊测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙 产品仍然以第- - i t 代理型产品为主，但在某些方面也已经丌始使用监测型防火墙。 基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型 技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的 总成本。 1 3 2 入侵检测 根据c i d f ( c o m m o ni n t r u s i o id e t e c t i o nf r a m e w o r k ) 标准“”，i d s 就是通 过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发 现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的网络安全技术。 1 为什么要引入入侵检测系统 防火墙有很多无能为力的地方：u “ ( 1 ) 防火墙防不住绕过防火墙的攻击。比如，防火墙不限制从内部网络到外 部网络的连接，那么，一些内部用户可能形成一个直接通往i n t e r n e t 的连接，从 而绕过防火墙，造成一个潜在的后门。恶意的外部用户直接连接到内部用户的机 器h ，以这个内部用户的机器为跳板，发起绕过防火墙的不受限制的攻击。 第一章绪论 ( 2 ) 防火墙对数掘驱动式攻击也无能为力。防火墙有时可以防止某些特定的 数据包进入网络当中，但在某些情况下，它并不能保证网络一定就很安全。比如， 看下面的几个例子： 防火墙并不能很有效的抵挡病毒或木马程序：假设在某台计算机上已经开放 了w w w 服务，那么防火墙一定要将w w w 服务的p o r t 丌放给c l je n t 端登录j 行。 也就是说，只要进入您的主机的数据包是要求w w w 数据的，就可以通过防火墒。 这时，如果此主机的w 皑服务器软件有漏洞，或者本身向此主机请求w w w 服务的 数据包就是病毒在侦测该系统时，这时的防火墙起不到作用。因为本束设定的规 则就是让它通过。尤其几年前的n i m d a 病毒就是攻击w w w 主机，它是透过入侵w w w 主机的8 0 端口。 ( 3 ) 防火墙对于柬自局域网内部网络的攻击起不到任何作用。一般来说，对 于局域网罩面的主机都没有什么防火墙的设定，不过，局域网罩面总是可能有些 攻击存在的。据研究，约有8 0 的网络攻击行为发生在内部网，防火墙无法对局域 网内部主机及拨号用户进行保护。出于局域网大量采用广播方式，在内部极易被 窥探和欺骗。大部分网络协议均未采取相应保密措施，明码传输数据，给网络安 全留下极大隐患。 2 现有的入侵检测系统的不足 不同的入侵检测算法将直接决定检测系统的检测精度及速度，所以选用好的 入侵检测算法是非常重要的。入侵检测算法大致有简单模式匹配、专家系统、模 型推理、状态转换分析等。目的多数商业化的入侵检测产品都采用简单模式匹配。 其特点是原理简单、扩展性好、检测效率高、可以实时捡测，但只能适用于比较 简单的攻击方式，并且误报率高。著名的网络入侵检测工具s n o r t 1 就采用了这种 检测方式。 专家系统是最早的误用检测方案之一，被许多经典的检钡4 模型所采用。专家 系统中的攻击知识通常使用i f - t h e n 的语法规则表示。用来表示攻击发生的条件 排列在规则的左边( if 部分) ，当这些条件满足时，系统采取规则右边( t h e n 部 分) 所给出的动作。专家系统应用于入侵检测时，存在以下一些实际的问题：( 1 ) 处理海量数据时存在效率问题。这是因为专家系统的推理和决策模块通常使用解 释型语言实现，执行速度比编译型语言要慢；( 2 ) 只能检测已知的攻击模式( 这 是误用检测的通病) ：( 3 ) 规则库的维护同样是一项艰巨的任务，更改规则时必 须考虑到对知识库中其它舰则的影响。经典的检测模型有：m i d a s “、i d e s 1 、n e x t g e n e r a t i o ni d e s ( n i d e s ) “、d i d s ”和c m d s ”。在 l l i i d a s 、i d e s 和n 1 d e s 中， 所采用的专家系统是由a l a nw h i t e h u r s t 设计的p - b e s t ，d i d s 和c m d s 则使用了 山美国国家航空和宇宙航行局( n a t i o n a la e r o n a u t i c sa n ds p a c e a d m in i s t r a t i o n ，n a s a ) 丌发的c l i p s 系统。 第一带绪论 状念转换分析( s t a t ) ”“1 最早由r g e m m e r e r 提出。状态转移分析是使用高 层状态转移图柬表示和检测已知攻击模式的误用检测技术。s t a t 系统同时也包含 了以下一些缺陷：( 1 ) 当前状态的断言和特征行为需要手工编码： ( 2 ) 断言和 特征行为在用于表示复杂的、细致的入侵模式时可能存在问题； ( 3 ) 对当前状态 下得出的断言进行评估时，可能需要从目标系统获取额外的信息，这个过程通常 会导致系统性能的下降；( 4 ) s t a t 系统是属于研究性质的原型系统，不能检测一 些常见的攻击手段，实际应用时必须与其它检测器协同工作。状态转移分析技术 的典型代表是s t a t ”及u s t a t “”( s t a t 的u n i x 版本) ，前者由u cs a n t ab a r b a b a 的p h i l1 i pp o r r a s 和r i c h a r dk e m m e r e r 开发，后者由k o r a li g u n 和k e n n l e r e r 完成。 本课题采用的入侵检测算法是基于b p 神经网络，关于神经网络在入侵检测上 的应用详见第三章。 1 。4 课题研究的背景及主要内容 1 4 1 课题研究的背景 最早提出使用神经网络来构造系统用户行为模式的是f o x ，他使用k o h o n e n 的s e l fo r g a n i z i n gm a p ( s o b l ) 自主学习算法来发现数据中隐藏的结构”。t u l a n e u n i v 的d a v i de n d e r 针对s o l a r i s 系统的b s m 模块所产生的系统调用审计数掘， 使用神经网络进行机器学习。”。a n u pk g h o s h 也采用针对特定程序的异常检测， 建立软件程序的进程级( p r o c e s s l e v e l ) 行为模式( s o f t w a r eb e h a v i o rp r o f i e ) ， 通过区分正常软件行为和恶意软件行为来发现异常。使用预先分类的输入资料对 神经网络进行训练，学习出正常和非正常的程序行为”。g h o s h 还对简单的系统调 用序列匹配、后向传播网络( b a c k p r o p a g a t i 0 1 3n e t w o r k ) 和e l m a n 网络进行了比 较”“。 在国内也有许多的学者从事这方面的研究。潘志松综合利用数据挖掘、人工 免疫、扶色系统等理论和技术，提出了基于人工神经网络的入侵检测模型”。1 。连一 峰用遗传算法来优化神经网络的权值和阈值，从而可以消除“黑箱”问题”“。杨 森等提出了一种应用自组织特征映射神经网络技术构建了分布式入侵检测系统模 型”。李之堂等将模糊神经网络应用于入侵检测领域”。 1 。4 2 课题研究的主要内容 本论文概述了入侵检测系统和人工神经网络的基本概念，比较了各种入侵检 测技术的优缺点，论述了人工神经网络在入侵检测中的应用方法及应用优势。提 出对捕获的网络数据包进行分类、量化，并分别送到结构不同的神经网络中进行 第一章绪论 训练及检测。提出了一种带检测的神经网络训练方法。建立了一个简化的基于神 经网络的实时网络入侵检测系统原型。最后给出了实验设计和结果。 本文的主要工作： ( 1 ) 提出了在传输层进行入侵检测，对捕获的数据包分类处理； ( 2 ) 提出了一种带检测的神经网络训练方法； ( 3 ) 设计并实现了一个基于神经网络的实时入侵检测系统的原型，并进行了 实验验证和比较。 旃一帝入侵榆测苹础驶研究现状 2 1 引言 第二章入侵检测基础及研究现状 本章首先介绍了入侵检测的分类、入侵检测的方法。然后对入侵检测系统的 通用模型进行了简述。最后介绍了入侵检测的研究历史、现状及其发展方向。 2 2 入侵检测的原理 入侵检测( i n t r u s i o nd e t e c t i o n ) 作为- f 新兴的安全技术，以其对网络系 统的实时监测和快速响应的特性，逐渐发展成为保障网络系统安全的关键部件。 入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性行 为的一种网络安全技术。它通过监视受保护系统的状念和活动，采用误用检测 ( m is u s ed e t e c t i o n ) 或异常检测( a n o m a l yd e t e c t i o n ) 的方式，发现非授权的 或恶意的系统及网络行为，为防范入侵行为提供有效的手段。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，1 d s ) 就是执行入侵检测工作 的硬件或软件产品”“。i d s 通过实时的分橱，检查特定的攻击模式、系统配置、系 统漏洞、存在缺陷的程序版本以及系统或用户的行为模式，监控与安全有关的涌 动。 2 。3 入侵检测的分类 袱掘入侵检测系统的信息源，通常将入侵检测系统分为三类”：基于宅机的入 侵检测系统( h o s t b a s e di d s ) 、基于网络的入侵检测系统( n e t w o r k b a s e di d s ) 和 鏊j i 应用程序的入侵检测系统( a p p l i c a t j o n b a s e di d s ) 。基于主机的入侵检测系 统检测的信息主要来自操作系统的审计踪迹和系统同志。基于网络的入侵检测系 统的信息源是网络数据包。基于应用程序的入侵检测系统的信息源则是应用程序 产 4 - ：i i ：j 事务r = 志，它实际上是基于主机的入侵检测系统的一个特例。二二种入侵检 测手段都具有自己的优点和不足，可相互补充。 2 3 1 基于主机的入侵检测系统 i 基于主机的入侵检测系统的优点 ( i ) 基于主机的入侵检测系统比基于网络的入侵检测系统更加深入、广泛。 基于主机的入侵检测系统可以很容易地监测一些活动，如对敏感文件、目录、程 序或端口的存耿；可以监测所有用户登录及退出登录的情况，以及每位用户的联 第一二幸入侵榆测捧础及研究现状 接状念；可以监测关键系统文件和可执行文件的更改，能够检测到那些欲重写关 键系统文件或者安装特洛伊木马或后门的尝试并将它们中断，而基于网络的入侵 检测系统检测到这些行为是很难的。 ( 2 ) 与基于主机的入侵检测系统相比，基于网络的入侵检测系统只能监视经 过本网段的活动，并且精确度较差，在交换网络环境难于配置，防入侵欺骗的能 力也比较差，但是它也可以提供实时网络监视，并且监视粒度更细致。 ( 3 ) 基于网络的入侵检测系统对加密的数据显得无能为力，而基于主机的入 侵检测系统没有这方面的限制。可以确定攻击是否成功。由于基于主机的入侵检 测系统使用含有已发生事件信息，它们可以比基于网络的入侵检测系统更加准确 地判断攻击是否成功。在这方面，基于主机的入侵检测系统是基于网络的入侵检 测系统完美补充，网络部分可以尽早提供警告，主机部分可以确定攻击成功与否。 可针对一i 同操作系统的特点判断应用层的入侵事件。 2 基于主机的入侵检测系统的缺陷 出于它是一种主动的检测机制，容易被攻击者发现，受到攻击。不适用于一 些网络攻击，如网络扫描、拒绝服务攻击等。基于主机的入侵检测系统会降低被 监测主机的性能。难于管理。对于每一台被监测的主机都需要逐进行配置和管 理。 2 3 2 基于网络的入侵检测系统 1 基于网络的入侵检测系统的优点 ( 1 ) 对基于协议攻击的入侵手段有较强的分析能力，可以从协议的任意一层 分析数据包，可以发现对基于主机的入侵检测系统柬蜕不容易发现的攻击。这些 攻击包括基于非法格式包的攻击和各种各样的拒绝服务攻击。 ( 2 ) 是一种被动式的检测机制，攻击者很难发现。一个网络监测器不像一个 主机那样显跟，因而也不那么容易遭受攻击。而且，监测器不运行其他的应用程 序，不提供网络服务，可以不响应其他计算机。因此可咀做得比较安全。 ( 3 ) 容易构建分布式的入侵检测系统。基于网络的入侵检测系统通常由多个 单一功能目标的监测器组成，它们被放置在网络的不同位置，监听并分析网络数 据包，可以自己响应，也可以向中央控制台报告入侵信息，并由中央控制台决定 响应的方式。 ( 4 ) 不影响主机性能和网络性能，部署基于网络的入侵检测系统对现有网络 的影响很小。 2 基于网络的入侵检测系统的缺陷 9 第一章入侵榆测幕础及研究现状 ( 1 ) 对于网络流量很大的网络，它会产生丢包现象，很难处理所有的网络数 据包，有可能不能识别出那些在网络传输高峰期内发动的攻击。使用硬件来解决 这问题也是可行的。 ( 2 ) 在某些采用交换技术的网络环境中，交换机制使得网络报文不能在子网 内任意厂+ 播，只能在设定的虚拟网( v l a n ) 内广播。基于网络的人侵检测系统一般 都是通过设置网卡为混杂模式束实现监听本子网的数据包。这就使得网络监测器 只能监听到本虚网内的数据包，监听范围大为减小，监昕的能力也受到削弱。但 目前很多的交换机都提供设置s p a n n i n g 端口，将其个端口设置为s p a n n i n g 端 口后，所有经过该交换机的数据都被转发到s p a n n i n g 端口上，s p a n n i n g 端口设置 部分地解决了在交换网络环境下存在的网络监测问题，但是如果一个子网巾存在 多个交换机并且它们采用级连方式工作的话，下级交换机内部的交换数据就不会 传递到上级交换机中，因此，如果要对全子网进行监测的话，就需要在每一个交 换机上没置一个s p a n n i n g 端口，在监测器上安装多块监听网卡，每一块网卡连接 一个s p a n n i n g 端口并接收该端口上的所有数据包，这样就可以监听到整个子网的 数据包，但在不同级交换机上监听到的数据包会有很多重复的成分。 ( 3 ) 对于加密的网络数据包，基于网络的入侵检测系统无法进行分析。这个 问题随着虚拟专用网的使用同益显著。 ( 4 ) 基于网络的入侵检测系统只能检测到发动的攻击，但是不能判断该攻击 是否己经成功。这就意味着管理员必须在接到攻击报警后，手工检查每台受到攻 击的主机，并判断它们是否已被渗透。 2 4 入侵检测的方法 目i j i ，入侵检测的方法可以分为两大类：误用检测( m i s u s ed el e c t i o n ) 和异常 检测( a n o m a l yd e t e c t i o n ) 。“。误用检测搜索与已知攻击行为特征模式相匹配的行 为模式。当酊的大多数商业入侵检测系统，如s n o r t ，r e a l s e c u r e t m ，n f r t m c is c o s e c u r e t 等，都是使用误用入侵检测技术。异常检测基于正常的行为模式搜索异 常的行为模式。异常检测技术目前在商业入侵检测系统中只是得到有限的利用。 2 4 ，l 误用检测 误用检测基于已掌握的知识一攻击行为特征模式，这种系统中般内置知识 库，知识库中存储着已知攻击行为的特征模式。入侵检测系统将其所监视到的行 为与知识库中的己知攻击行为特征模式相匹配，当发现匹配的行为时，就按照一 定的策略进行响应，如报警、阻断恶意连接或记录r 志等。误用检测的优点在于 鹕_ 二章入侵榆测皋础投蚵f 究现状 具有非常低的误差率，并且因为检测结果有明确的参照，从而有利于安全管理人 员采取清晰明确的预防保护措施。 然而，误用检测的一个明显缺陷在于，检测范围受己知攻击行为知识的局限。 攻击技术在不断发展，收集到所有最新的攻击行为特征模式是不可能的，维护工 作量也特别大：而且，将具体入侵手段抽象成知识也很困难。另个存在的问题 是可移植性不好，因为关于网络攻击的信息绝大多数是与主机的操作系统、软件 平台和应用系统密切相关的。另外，难以检测出内部人员的入侵行为，如合法用 户的泄漏，因为这些入侵行为并没有利用系统脆弱性。 误用检测最适用于已知攻击行为的可靠检测，但是它仅能检测你知道的。常 闰的误用检测技术有专家系统( e x p e r ts y s t e m ) 技术、特征分析( s i g n a t u r e a n a ly s js ) 技术、状态转移分析( s t a t e t r a n s i t i o na n a ly s i s ) 技术等。 2 4 2 异常检测 异常检测是建立在如下假设基础上的，即任何一种入侵行为都能由于其偏离 讵常或者所期望的系统和用户的活动规律而被检测出来。异常检测基于己掌握的 被保护对象的正常工作模式，并假定这种工作模式是相对稳定的。在这种入侵检 测系统中一般要先建立一个初始模型，该模型反映了被保护的网络系统、操作系 统或应用系统的f 常行为。在被保护对象的运行过程中，入侵检测系统将当l j 监 测到的活动与初始模型相比较，当发生偏差时，则认为有异常情况发生，产生报 警。 法方法的优点是：能够检查出利用新的或不可预见的弱点进行入侵的企图，由 此可能发现一些新的攻击行为；同时，它较少地依赖特定的操作系统环境，移植 性较好；另外对那些并未利用系统弱点，但滥用特权的台法用户攻击行为也能检 测出来。 异常检测的主要缺陷在于误警率很高。因为不可能对整个系统内的所有用户 行为进行全面的描述，况且每个用户的行为是经常改变的，尤其在用户数目众多， 或工作目的经常改变的环境中。其次，在异常检测系统的学习阶段，入侵者能用 某种入侵行为慢慢地训练检测系统，如果训练成功，系统将无法检测到该种入侵 行为。 常用的异常检测技术有统计分析( s t a t i s t i c sa n a l y s i s ) 技术。 2 5 入侵检测系统的通用模型( c id f ) 目前大部分的入侵检测系统都是独立研究与开发的，不同系统之间缺乏互操 作性和互用性。一个入侵检测系统的模块无法与另一个入侵检测系统的模块进行 第二幸入侵榆测枯础及研究现状 数据共享，在同一个主机上两个不同的入侵检测系统无法共存，为了验证或改进 某个部分的功能就必须重新构建整个入侵检测系统而无法重用现有的系统和构 件，这就对入侵检测系统的标准提出了要求。c i d f ( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) 是为了解决不同入侵检测系统的互操作性和共存问题而提出的入侵检 测的框架。 c i d f 早期由美国国防部高级研究计划局赞助研究，现在由c i d f 工作组负责， 是一个开放组织。c i d f 阐述了一个入侵检测系统(