（计算机应用技术专业论文）基于网络的入侵检测系统的研究和实现.pdf

摘要随着经济和技术的发展，计算机网络在人们的生活中占有越来越重要的位置，同时由网络引起的安全问题越来越引起人们的重视，每年由于网络安全问题，比如黑客入侵，病毒感染等造成的经济损失每年递增，已经达到成千上万美元。这就要求我们必须加大力度开展网络安全技术研究，设计出更有效的网络安全系统。目前有很多网络安全系统，分别从不同的方面和角度来进行安全方面的研究，例如防火墙、认证、加密等技术和方法，但是这些主要是一些主动式的网络安全技术，入侵检测技术作为一种被动式的网络安全技术，这些年来也引起了越来越多的人注意，入侵检测技术随着市场的需求推动和技术自身的发展，出现了一些新的形式，如部署方式从集中式向分布式职能a g e n t ( 代理) 发展，检测技术从协议分析+ 模式匹配向神经网络、入侵检测及数据挖掘发展；响应方式从被动的告警向主动的联动，自动阻断发展等等，硬件体系从工控机向a s i c ( a p p l i c a t i o n - s p e c i f i ci n t e g r a t e dc i r c u i t ，专有集成电路) ，f p g a ( f i e l d - p r o g r a m m a b l eg a t ea r r a y , 硬件协处理器) 、r i s c ! ( r c d u c e r li n s t r u c a t i o ns e tc o m p u t e r , 精简指令计算机) 等方向发展。通过在研究生学习阶段阅读大量国内外的文献和资料，我对于目前网络安全状况和网络安全技术有一个比较好的了解和掌握并详细研究了国内外的入侵检测方面所做的工作，根据目前入侵检测的发展水平和实际应用情况，构建一套入侵检测系统，这套系统是三层分布式结构，符合国际上通用的入侵检测系统框架c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) ，并在实际模拟环境中取得了较好的效果，然后在此系统上做一些研究和分析工作，结合研究和系统实际运行结果提出一些改进方案，并讨论下一步开展研究工作的方向。关键词：网络安全，入侵检测，c i d f ，b o y e r m o o r e 算法，改进算法a b s t r a c ta l o n gw i t he c o n o m ya n dt e c h n i c a ld e v e l o p m e n t , n e t w o r ko c c u p yt h em o l ea n dm o r ei m p o r t a n tp o s i t i o ni nt h el i f eo fp e o p l e ，a tt h es a n l et i m e ，t h es a f ep r o b l e mw h i c hn e t w o r kc a u s em a k em o r ea n dm o r ep e o p l en o t i c 2 ，e v e r yy e a rb e c a u s eo fs a f ep r o b l e mi nn e t w o r k ，f o re x a m p l e ，h a c k e ri n v a d e s ，t h ev i r u si n f e c t i o ne t c t h e s er e s u l ti ne c o n o m i ce x p e n s ew h i c hi n e r e a s ea n n u a l l y , i th a sa t t a i n e dt h o u s a n d so fm i l l i o nd o l l a r ，t h i sw i l lr e q u i r ew em u s tp a ya t t e n t i o nt ot h en e t w o r ks e c u r i t y t h e r ei sal o to fs a 侥s y s t e m sn o w , t l l e ya r ep r o c e e d i n gt h en e t w o r ks e c u r i t yd i s t i n g u i s hf r o mt h ed i f f e r e n ta s p e c t ，f o re x a m p l et h ef i r e w a l l 、a u t h e n t i c a t i o n 、e n c r y p t ，b u ta l lt h e s es a f et e c h n i q u ei nn e t w o r ka r ea c t i v et e c h n o l o g y , i n t r u s i o nd e t e c t i o ni sap a s s i v et e c h n o l o g y , w h i c ha l s oc a u s e dm o r ea n dm o r et h ea t t e n t i o no fp e o p l ei nr e c e n ty e a r s ，w i t ht h ep u s ho fm a r k e tn e e da n dt e c h n i q u ed e v e l o p m e n t ，t h e r ea p p e a r e ds o m en e wf o r m s ，s u c ha s ，t h ew a yo fd e p l o y m e n tf r o mc e n t r a l i z et od i s t r i b u t ea g e n t h ed e t e c t i o nt e c h n i q u ed e v e l o pf r o mt h ea n a l y s i so fp r o t o c o la n dt h ep a t t e r nm a t c ht ot h en e r v en e t w o r k 、d a t am i n i n go u t ，t h ew a yo f r e s p o n s ef r o mt h ep a s s i v ea l a r mt ot h ea c t i v el i n k a g e ，t h eh a f d w a r es y s t e md e v e l o pf r o mt h ec o n t r o lm a c h i n eo fi n d u s t r yt oa s i c ( a p p l i c a t i o n - s p e c i f i ci n t e g r a t e dc i r c u i t ，t ) 、f p g a ( f i e l d p r o g r a m m a b l eg a t ea r r a y ) 、n s c ( r e d u c e di n s t r u c t i o ns e tc o m p m e r ) t h r o u g ht h el a r g eq u a n t i t yo f d o m e s t i ca n di n t e r n a t i o n a ll i t e r a t u r e ，ih a sak n o w l e d g eo f t h ec u r r e n ts t a t u so f n e t w o r ks e c u r i t ya n dn e t w o r kt e c h n i q u e ，is t u d yt h ew o r ko fi n t r u s i o nd e t e c t i o ni nd e t a i l ，a c c o r d i n gt ot h ed e v e l o p m e n tl e v e lo fi n t r u s i o nd e t e c t i o na n da p p l i e dc i r c u m s t a n c e ，s e tu pa l li n t r u s i o nd e t e c t i o ns y s t e m ，w h i c ha c c o r d s 、耐t l lt h ec o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k , a n dh a sag o o dr e s u l ti na c t u a ls i m u l a t ee n v i r o n m e n t ，t h e nm a k es o m er e s e a r c hw o r ki nt h es y s t e m ，p u tf o r w a r dt h es o m ei m p r o v e m e n tp r o j e c t ，a n dt h en e x ts t u d yd i r e c t i o nk e yw o r d s ：n e t w o r ks e c u r i t y ,i n t r u s i o nd e t e c t i o n , c i d f ,b o y e r m o o r e a l g o r i t h m ，t h ei m p r o v e m e n t a l g o r i t h m郑重声明本人的学位论文是在导师指导下独立撰写并完成的，学位论文没有剽窃、抄袭等违反学术道德、学术规范的侵权行为，否则，本人愿意承担由此产生的一切法律责任和法律后果，特此郑重声明。学位论文作者( 签名) ：年月日基于网络的入侵检测系统的研究和实现第1 章绪论1 1 选题的意义随着经济和技术的发展，计算机网络在人们的生活中占有越来越重要的位置，网络为人们带来了工作、生活上的便利，整个社会已经离不开网络，由于技术发展的原因，t c p i p 网络协议( i p v 4 ) 在网络安全方面存在很多问题，由此引发的安全问题越来越引起人们的重视。俗话说：“道高一尺，魔高一丈”，由于网络安全问题，例如黑客入侵，病毒感染造成的经济损失每年递增，已经达到上千亿美元。这就要求我们必须对网络安全熏视起来。自从网络诞生以来，安全和攻击一直都存在，由于攻击方式的不断变化和发展，相应的网络安全防范手段也有了很大的进步，当然随着网络安全防范手段的进步，攻击手段也在发生着变化，所以有人说这是一场没有结局的战争，因此，计算机安全已经成为计算机科学中一个很重要的分支，越来越多的人投入到计算机网络安全研究中。目前有很多安全系统，分别从不同的方面和角度来进行安全方面的研究，例如采用防火墙、认证、加密方法，但是这些是主动式的网络安全技术，入侵检测技术作为一种被动式的网络安全技术，这些年来也引起了越来越多的人注意，入侵检测技术由于市场的需求推动和技术自身的发展，出现了一些新的形式，如部署方式从集中式向分布式职能a g e n t ( 代理) 发展，检测技术从协议分析+ 模式匹配向神经网络、入侵检测及数据挖掘发展；响应方式从被动的告警向主动的联动，自动阻断发展等等，硬件体系从工控机向a s i c ( a p p l i c a t i o n - s p e c i f i ci n t e g r a t e dc i r c u i t , 专有集成电路) ，f p g a ( f i e l d p r o g r a m m a b l eg a t ea r r a y , 硬件协处理器) 、r i s c ( r e d u e c dl n s t r u c a t i o ns e tc o m p u t e r , 精简指令计算机) 等方向发展。在阅读和整理与网络安全有关的文献资料后，根据自己的研究兴趣和工作经验，选择了基于网络的入侵检测作为自己的研究课题，希望在入侵检测方面做一些有意义的工作，能够为入侵检测方面的研究添砖加瓦，同时也为今后进一步开展计算机网络安全研究打下基础。基于网络的入侵检测系统的研究和实现1 2 研究工作内容概要通过大量阅读国内外的文献和资料，对于目前网络安全状况和网络安全技术有一个比较好的了解和掌握，详细研究了国内外在入侵检测方面所做的工作，根据目前入侵检测的发展水平和实际应用情况，构建一套入侵检测系统，这套系统是三层分布式体系结构，符合国际上通用的入侵检测系统框架c i d f ( c o n u n o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) ，并在实际模拟环境中有较好的效果，然后在此系统上做一些研究工作，提出一些改进方案，以及下一步开展研究工作的方向。1 3 章节安排第1 章对课题的背景和研究内容进行简略的描述。第2 章对目前网络安全现状进行了说明，例如目前网络中攻击源相对集中，亚湘国家受害严重；系统漏洞发现加快，攻击爆发时间变短等，并对目前网络安全用到的技术进行了说明，例如认证技术，访问控制技术，数据完整性技术，加密技术等等。第3 章对目前入侵检测技术发展历程，以及发展的方向和目前的水平进行了说明，对入侵检测中比较重要的模型框架进行了详述。第4 章利用现有的环境构建一套入侵检测系统并进行改进，在实际应用中得到了较好的效果。第5 章对于目前入侵检测系统存在的问题进行了自己的阐述，根据国内外的研究现状，提出了自己的理论解决方案。最后结论部分对全文进行了总结，并讨论入侵检测下一步的研究方向和应用前景。2基于网络的入侵检测系统的研究和实现第2 章网络安全2 1 网络安全威胁随着信息时代的到来，电子商务、电子政务、金融网络、网络虚拟社区等已经走进人们的生活，计算机网络已经成为现代社会生产、生活中不可或缺的一部分，已经成为2 1 世纪全球最重要的基础设施。但是，网络协议在安全方面存在着隐患，网络固有的开放性，尤其是i n t e r n e t 的跨国界性，使网络一开始就面临巨大的安全风险。而网络协议，各种软件的不完善以及网络管理人员的错误使这种风险成为现实的灾难，网络入侵事件不断发生，至于政府网站被破坏、军事机密被窃取的事件也时有发生，i n t e i n e t 成了黑客的乐园。对网络安全的威胁主要来自于以下几个方面。( 1 ) 通信的威胁通信侦听，是指数据在传输过程中被窃取。它包括搭线监听、电磁接受，传输监控等情况。决定这种威胁的主要因素是传输介质和使用的协议类型。通信渗透，是指通过网络对系统进行攻击，它包括这几种类型黑客对系统的攻击、故意的拒绝服务、欺骗攻击、垃圾邮件攻击等等通信操纵，是指通过网络进入系统窃取数据并进行破坏性操作，它包括错误信息的插入，故意的无序传送、故意的延时传送、故意的错误路线等类型。连接失败，它包括服务提供者不可用、数据连接失败、消息末传送、意外的传送次序混乱、意外的传送延误、意外的拒绝服务。抵赖，它包括否认发送了信息( 发出者的抵赖) 和否认接受到信息( 接受者的抵赖) ，一般都是指用户对自己的操作或未操作的否认。恶意代码的嵌入，通过网络通信的途径传播的破坏性代码，它包括电子邮件的病毒、敌意的机动代码等。( 2 ) 逻辑的威胁- 用户身份的假冒，是用户对未获得访问许可的资源的访问企图。这基于网络的入侵检测系统的研究和实现些用户可能试图通过采用各种手段非法获取被授权用户的口令、密钥等来假冒成该用户而获得信息的访问许可。也就是合法用户的越权行为。应用程序的非授权使用，是指用户使用被授予访问权限的账号来达到未授权目的的可能性，也就是合法用户的越权行为。损害或破坏程序的引入，包括病毒，特洛伊木马、蠕虫、逻辑炸弹等。这些安全隐患源于代码，表现在系统的使用过程中，大多具有毁灭性。( 3 ) 人员错误的威胁主要有人员的操作错误、硬件软件数据维护错误以及安全策略的定制错误等形式。( 4 ) 技术故障的威胁包括主机技术故障、存储设备技术故障、网络管理、服务技术故障、网关技术故障、应用软件的故障等等。( 5 ) 物理和环境的威胁水火灾等自然灾害，偷窃或人员的故意损害构成物理和环境对网络的威胁。2 2 网络安全现状在2 0 0 3 年，根据趋势科技的统计，计算机病毒给全球企业带来的损失就多达5 5 0 亿美元uj ，到了2 0 0 4 计算机安全形式依然没有得到丝毫好转。2 0 0 4 年1 月2 6 号被称为“历史上最厉害的电子邮件蠕虫”的m y d o o m来势汹汹，又为全球添加了2 6 1 亿美元的损失。而且相对过去而言当前的计算机网络安全状况具有许多新的特点和问题，值得我们关注。2 2 1 攻击发源相对集中，亚洲国家受害严重根据s y m a n t e e 公司在2 0 0 3 年9 月对2 0 0 3 年上半年全球计算机网络安全威胁的分析，全球8 0 的网络攻击事件的发源地集中在1 0 个国家内，其中美国是网络攻击的一个主要发源地，攻击源在美国的网络攻击占全球网络攻击事件的一半左右。不过值得指出的是，网络攻击发源地的地址不一定就是发起攻击的黑客的口地址h ，因为有经验的黑客总是选择使用已4基于网络的入侵检测系统的研究和实现经被攻破的主机发动攻击，以免暴露自己。在全球网络攻击下，亚洲的网络由于技术相对落后和管理问题，极有可能成为攻击的受害者和垃圾邮件的中转站。2 0 0 4 年趋势科技在1 月病毒回顾与趋势中指出2 0 0 4 年1月份亚洲计算机的病毒感染率为3 6 3 ，居全球第一位。其中半数以上病毒是通过电子邮件或网络媒介传播的。2 2 2 间谍软件不请自来，恶意软件威胁安全“间谍软件”定义如下：任何没有被用户知晓并且明确授权但在后台监听此用户网络连接信息的程序。即用户没有打算安装、也不希望安装，但是却很难从计算机中清除的程序。间谍软件在用户不知情的情况下监听用户的网络连接，收集并发送用户的信息。间谍软件会收集用户访问的网址，用户的i p 地址，用户计算机的信息( 例如浏览的时间，浏览器的类型、操作系统和c p u 速度等) 。间谍软件一般隐藏在其他的应用程序、游戏、媒体播放器和计费软件时，这些间谍软件就可以随之在用户的计算机上驻扎下来，在后台收集、维护、监控并发送有关用户和计算机的信息。比如美国有一家名为1 8 0 s o l u t i o n s 的公司，它推出了“n c a s e ”间谍软件在与流行的免费软件捆绑之后，被用户安装到电脑上，当用户上网时，它就能弹出相应的广告。截至到2 0 0 3 年9 月，被”n c a s e “引导到“d e l l c o m ”的消费者购买了将近4 0 0 万美元的戴尔电脑，这使1 8 0 s o l u t i o n s 挣到了1 0 万美元以上的中介费。据安全软件厂商p c s t p a t r o l l 公司的统计，在过去的几年里互联网上有害软件的数量增长迅速。这些软件通过不同方式盗取用户的信息，并且威胁着用户计算机的安全。不幸的是现在很多的杀毒软件对有害软件的识别能力还很低，清除有害软件也比清除病毒更加困难。2 2 3电子邮件问题严重，垃圾病毒相互勾结电子邮件是我们使用最多的网络功能，它快速传播信息、方便我们的学习和生活。但是邮件的安全问题也是层出不穷。垃圾邮件和病毒是困扰电子邮件的两个主要问题，亟待得到解决。传播垃圾邮件会占用网络带宽和服务器资源，阅读和删除它们也会浪费大量的时间。据统计每年全球垃圾邮件造成的损失多达2 0 亿美元。基于网络的入侵检测系统的研究和实现随着垃圾邮件到来的不仅仅是没有用的信息，还有病毒和恶意代码。网络蠕虫m y d o o m 是通过垃圾邮件传播的一个典型例子。从传播的范围和速度来说，垃圾由日件是蠕虫( 病毒) 的“最佳拍档”。如何避免蠕虫借助垃圾邮件扩散或者垃圾邮件发送者借助网络蠕虫投递邮件，都是网络安全工作者面临的重大挑战。2 2 4 攻击手段更加灵活，混合攻击急剧增多与传统黑客攻击技术相比，当前的黑客手段和计算机病毒技术结合日渐紧密。最突出的例子是网络蠕虫的大量出现。蠕虫不像早期的病毒一样仅仅借助电子邮件等传统的途径进行传播，而且直接寻找系统弱点，利用缓冲区溢出、攻击弱口令等黑客攻击的排头兵和探路者的角色。病毒可以进入黑客无法到达的企业私有网络空间，窃取机密信息或者为黑客安装后门。在攻击方法上，混合攻击出现的次数越来越多，攻击效果更为显著。所谓的混合攻击，一方面是指在同一次攻击中，即包含病毒攻击、黑客攻击、也包含隐通道攻击、拒绝服务攻击，并可能包含口令攻击、路由攻击、中间人攻击等多种攻击方式；第二方面是指攻击来自不同的地方或来自系统的不同部分，如服务器、客户端、网关等等。混合攻击可以更快地在更多计算机上扩散病毒，造成更大危害。混合攻击的目标主要有微软的i i s 服务器、i e 浏览器等。红色代码、爱虫。n i m d a 和m y d o o m 等蠕虫都是采用混合攻击的方式快速传播的。除了在传播手法上的丰富和加强外，现在的病毒和蠕虫已经越来越注意保护自身。有些病毒对自身的代码进行随机加密和压缩，以避免被病毒程序识别；还有些蠕虫病毒主动采取行动，对付计算机上的杀毒软件。例如：“求职信”的变种病毒还可以自动关闭被感染的计算机上的防病毒软件；m y d o o m 的变种不仅具有原来病毒的功能，还能够屏蔽杀毒软件厂商的网站，导致杀毒软件无法自动升级，从而无法清除m y d o o m 病毒。2 2 5 系统漏洞发现加快，攻击爆发时间变短近年来新的计算机系统安全漏洞不断披发现。根据s y m a n t e c 统计，2 0 0 2 年s y m a n t e c 新发现的漏洞数目比2 0 0 1 年增加了8 2 ；在2 0 0 3 年新发现漏洞的数量继续增加，仅2 0 0 3 年上半年就达到了1 4 3 2 个。在这些漏6基于网络的入侵检测系统的研究和实现洞中，大部分的漏洞的危险程度为中等或严重【2 】。而且超过一半的漏洞可以被远程攻击。大量系统漏洞的发现，使计算机网络很容易遭受攻击。研究显示，网络攻击者热衷于攻击新发现的漏洞。在所有新攻击方法中，6 4 的攻击针对一年之内发现的漏洞。有些漏洞的发现相距针对此漏洞的攻击爆发的时间相当短，以致于很多网络管理员还来不及给系统打补丁。据专家预测，在今后的相当一段时间内利用被广泛利用的软件存在的漏洞的攻击方式将大行其道。微软的操作系统和产品仍是黑客和病毒制作者攻击的首选目标。除i i s 网络服务器和w i n d o w s 2 0 0 3s e r v e r 外，大量n e t 代码为黑客提供了肥沃的土壤。只要漏洞被知晓，黑客们用来开发新蠕虫的时间就会缩短。某些网络攻击可能在厂家的补丁程序发布以前爆发，造成更严重的后果。2 2 6 黑客攻击范围扩大，新的应用成为目标由于计算机网络上新协议、新平台和新软件的使用，也随着人们对互联网认识的深入，一些新的或原来没有被注意到的安全漏洞和不足逐渐暴露出来，这些漏洞和不足就成了网络攻击的新目标。2 3 网络安全技术从技术角度看，网络安全取决了以下两个方面：一是网络设备的硬件；二是网络设备的操作系统和应用软件。如果一个国家在上述两方面不能够同时拥有自主知识产权，该国的网络安全将失去基本保障，其安全潜在的控制在提供网络设备的国家手中，所以，对于我国而言，网络安全的发展趋势将是逐步自主研制开发计算机核心软件( 如操作系统) 和网络设备。从理论角度分析，网络安全由密码学和安全协议支持。密码的公钥体制和私钥体制将继续共存，它们将根据新的攻击方法进行改进。这方面，我国将会大力度用于新型、实用密码体制的研究与开发，而在安全协议方面的研究与西方发达国家的差距更大，在短期内可能难以改变，在全球方面，今天的网络安全技术研究主要集中以下几个方面：认证方式一般包含两种：一种是第三方信任；另一种是直接信任，防止信息被非法窃取或伪造。认证主要解决3 个问题：你了解什么( 了解7基于阿络的入侵检测系统的研究和实现密码) ，你有什么( 用户持有智能卡j a v a 卡) ，你是谁( 生物统计学，如指纹、虹膜鉴别) ，如密钥认证、生物签名( 基于杂凑算法) ，生物识别等技术。访问控制技术包含包过滤技术、代理服务技术，复合型技术、审计技术、路由器加密技术。数据完整性技术可采用数据备份和恢复等。加密技术种类繁多，它是保障信息安全最关键和最基本的技术手段和理论基础。常用的加密技术分为软件加密和硬件加密。常用的加密技术分为软件加密和硬件加密，两种方法各有其所长。对称密钥( 包含分组密码和流密码) 即加密和解密使用同样的密钥，目前有d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 算法、三重d e s 算法、i d e s 算法，a e s ( a d v a n c e ae n c r y p t i o ns t a n d a r d ) 算法，缺点是密钥长度短、密码空间小，“穷举”方式进攻的代价小，它的机制就是采用初始置换，密钥生成、乘积变换、逆初始置换等几个环节。非对称密钥加密和解密使用不同钥匙，即公开密钥和秘密密钥。公开密钥( 公钥) 用于机密性信息的加密；秘密密钥( 私钥) 用于对加密信息的解密。主要有r s a 算法、d h 算法、e c d h 算法，其优点在于易实现密钥管理，便于数字签名，不足之处是算法较复杂，加密解密花费时间长。从目前实际的安全防范应用中，尤其是信息量较大、网络结构复杂时，通常采用对称密钥加密技术。为了防范密钥受到各种形式的黑客攻击，如基于i n t e r n e t 的联机运算，即利用许多台采用“穷举”方式来破译密码。因此，密钥的长度越来越长。目前一般密钥的长度为6 4 b ，1 2 8 b ，实践证明它是安全的，同时也满足计算机的速度。抗抵赖性的实现可以采用数字签名技术等。此外，在具体应用中还有扫描评估、信息的分析与监控，防病毒保护、安全管理、网络安全检测等。在信息网络建设中一般采用许多安全措施的集成，如物理安全，防火墙网络安全扫描评估系统、系统实时扫描评估系统、信息流捕获分析系统、安全实时监控系统、漏洞扫描技术、入侵检测与实时响应系统、网络病毒防护系统、访问控铡及信息的加密系统。各种技术和措施的恰当综合使用，才能达到网络整体安全的目标。基于网络的入侵检铡系统的研究和实现第3 章入侵检测3 1 入侵检测及其发展入侵检测技术自2 0 世纪8 0 年代早期提出以来，经过2 0 多年的不断发展，从最初的一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种实际原型系统，并且在近l o 年内涌现出许多商用入侵检测系统产品，成为计算机安全防护领域内不可缺少的一种重要的安全防护技术。1 9 8 0 年，a n d e r s o n 对其完成的一份技术报告中提出了改进安全审计系统的定义的建议，以便用于检测计算机用户的非授权活动，同时，提出了基本的检测思路。1 9 8 4 1 9 8 6 年，d e n n i n g 和n e u m a n n 在s r i 公司内设计和实现了著名的i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ，入侵检测专家系统) ，该系统是早期入侵检测系统中最有影响力的一个。i d e s 系统采纳了a n d e r s o n 提出的若干建议。i d e s 系统包括了统计分析组件和专家系统组件，同时实现了基于统计分析的异常检测技术和基于规则的滥用检测技术。i d e s 系统的设计思路给后来的很多类似系统提供了启发。1 9 8 7 年，d o r o t h yd e n n i n g 发表的经典论文“a ni n t r u s i o nd e t e c t i o nm o d a l ”中提出入侵检测的基本模型，并提出了几种可用于入侵检测的统计模型。d e n n i n g 的论文正式启动了入侵检测领域内的研究工作。同年，在s r i 召开了首次入侵检测方面的专题研讨会。1 9 8 9 1 9 9 1 年，s t e p h e ns m a h a 设计开发了h a y s t a c k 入侵检测系统，该系统用于美国空军内部网络的安全检测目的。h a y s t a c k 同时采用了两种不同的统计分析检测技术，来发现异常的用户目的。早期的原烈系统采用批处理的离线处理方式。1 9 9 0 年，加州大学d a v i s 分校的t o d dh e b e r l i e n 发表在i e e e ( i n s t i t u t eo f e l e c t r i c a la n de l e c t r o n i c se n g i n e e r s 。美国电子电气工程师学会) 上的论文“an e t w o r ks e c u r i t ym o n i t o r , 标志着入侵检测第一次将网络数据包作为实际输入的信息源。n s m 系统截获t c p i p 分组数据，可用于监控异构网络环境的异常活动。9基于网络的入侵检测系统的研究和实现1 9 9 1 年，在多个部门的赞助支持下，在n s m 系统和h a y s t a c k 系统的基础上，s t e p h e ns m a h a 主持设计开发了d i d s ( d i s t d b u t c di n t r u s i o nd e t e c t i o ns y s t e m ，分布式入侵检测系统) ，d i d s 是首次将主机入侵检测和网络入侵检测技术进行集成的一次努力，它具备在目标网络环境下跟踪特定用户异常活动的能力。1 9 9 2 年，加州大学圣巴巴拉分校的p o r r a d 和i l g u n 提出了状态转移分析的入侵检测技术，并实现了原型系统u s t a t , 之后发展n s t a t 、n e t s t a t 等系统。差不多同一时期，k a t h l e e nj a c k s o n 在l o sa l a m o s 国家实验室设计开发了n a d i r 入侵检测系统，该系统用于监控l o sa l a m o s 的内部计算机网络环境，采用了以每周计算活动档案的统计分析技术来描述用户的活动情况，并使用专家系统规则来检测异常的用户行为。而s a i c 和h a y s t a c kl a b s 分别开发出了c m d s 系统和s t a l k e r 系统，这两个系统是首批投入商用的主机入侵检测系统。1 9 9 4 年，p o r r a s 在s r i 开发i d e s 系统的后继版本n i d e s 系统，后者在系统整体结构设计和统计分析算法上有了较大改进。进一步，s r i 开发了用于分布式环境的e m e r a l d 系统，该系统设计在大型分布式网络环境下工作，具备在不同功能层次上进行分析检测的能力，体现了不同检测部件之间的协作能力。e m e r a l d 采纳了i d e s 和n i d e s 的检测技术，具备统计分析和规则分析的能力。1 9 9 5 年，普渡大学的s k u m a r 在s t a t 的思路基础上，提出了基于有色p e t r i 网的模式匹配计算模型，并实现了i d i o t 原型系统。1 9 9 6 年，新墨西哥大学的f o r r e s t 提出了基于计算机免疫学的入侵检测技术。1 9 9 7 年，c i s c o 公司开始将入侵检测技术嵌入到路由器，同时，i s s公司发布了基于w i n d o w s 平台的r e a l s e c u r e 入侵检测系统，自此拉开商用网络入侵检测系统的发展序幕。1 9 9 8 年，m i t 的r i c h a r dl i p p m a n n 等人为d a r p a 进行了一次入侵检测系统的离线评估活动，该评估活动使用的是人工合成的模拟数据，最l o基于网络的入侵检涮系统的研究和实现后的测试结果对于后来的入侵检测系统的开发和评估工作都产生了较大影响。1 9 9 9 年，l o sa l a m o s 的v p a x s o n 开发了b r o 系统，用于高速网络环境下的入侵检测。b r o 系统在设计上考虑了鲁棒性、安全性，并处理了许多反规避的技术问题。同年，加州大学的d a v i s 分校发布了g r i d s 系统，该系统试图为入侵检测技术扩展到大型网络环境提供了一个实际的解决方案。w e n k el e e 提出了用于入侵检测的数据挖掘技术框架。2 0 0 0 年，普渡大学的d i e g oz a m b o n i 和e s p a f f o r d 提出了入侵检测的自治代理结构，并实现了原型系统a f f i d 系统。3 2 入侵检测与p 2 d r 模型p 2 d r 模型最早由i s s 公司提出，p 2 d r 是p o l i c y ( 策略) 、p r o t e c ti o n ( 防护) ，d e t e c ti o n ( 检测) 、r e s p o n s e ( 响应) 的缩写，特点是动态性和基于时间的特性，是在整体的安全策略( p o l i c y ) 的控制和指导下，在综合运用防护工具( p r o t e c t i o n ) 的同时，利用检测工具( d e t e c t i o n ) 了解和评估系统的安全状态，通过适当的响应( r e s p o n s e )将系统调整到“最安全”和“风险最低”状态。防护、检测和响应组成了一个完整的、动态的安全循环。其模型图如图3 1 所示：图3 一lp 2 d r 模型入侵检测就是p 2 d r 模型中的检测，它的作用在于承接防护和响应的过程。入侵检测是p 2 d r 模型作为一个动态安全模型的关键所在，可以说提出p 2 d r 模型的原因就是入侵检测技术，这一点可以从p 2 d r 模型的提出基于网络的入侵检测系统的研究和实现者看出一i s s 正是全球领先的入侵检测系统提供商。网络安全这几年的热点发展过程基本上是按照以下顺序进行：防火墙技术的研究：在网络边界保卫内部网v p n ( v i r t u a lp r i v a t en e t w o r k , 虚拟个人网络j 技术的研究：连接分散的内部网，完成内部网外延的扩大，与防火墙技术结合比较紧密。认证p k i 技术的研究：进一步扩大内部网的外延，同时建立广义的信任关系。入侵检测技术的研究。可以看出，除了入侵检测技术，其他几项都是立足于防。从这个发展趋势可以看出，在不断加强防护的同时，人们已经越来越意识到只有防护是不够的，这两年频繁的网络攻击事件也证明了这种观点。如果与真实世界相比拟的话，防火墙等技术就像是一个大楼的安防系统，虽然它可能很先进也很完备，但是仍然需要与监视系统结合来进行，仍然需要不断地检查大楼包括安防系统本身。网络安全也是如此，在设计现有防护系统的时候，只可能考虑到己知的安全威胁与有限范围内的未知安全威胁。防护技术只能做到尽量阻止攻击企图的得逞或者延缓这个过程，而不能阻止各种攻击事件的发生。更何况在安全系统的实现过程中，还有可能留下或多或少的漏洞，这些都需要在运行过程中通过检测手段的引入加以弥补。3 3 入侵检测的定义及分类美国国家安全通信委员会( n s t a c ) 下属的入侵检测小组( i d w g i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ) 在1 9 9 7 年给出的关于“入侵检测”的定义为：入侵检测是对企图入侵，正在进行的入侵或者已经发生的入侵进行识别的过程。从数据来源看，入侵检测通常可以分为两类：基于主机的入侵检测和基于网络的入侵检测【3 】 4 】。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源，并辅以主机上的其他信息，例如文1 2基于网络的入侵检测系统的研究和实现件系统属性、进程状态等，在此基础上完成检测攻击行为的任务。基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源，并通过协议分析、特征匹配、统计分析等手段发现当前的攻击行为。从数据分析手段看，入侵检测通常可以分为两类：误用( m i s u s e i ) 入侵检测和异常( a n o m a l y ) 入侵检测p 1 。误用入侵检测的技术基础是分析各种类型的攻击手段，并找出可能的“攻击特征”集合。误用入侵检测利用这些特征集合或者是对应的规则集合，对当前的数据来源进行各种处理后，再进行特征匹配或者规则匹配工作，如果发现满足条件的匹配，则指示发生了一次攻击行为。这里所指的“特征匹配”根据不同的具体实现手段而各不相同，从最基本的字符串匹配，到基于状态转移的分析模型等。异常入侵检测的假设条件是对攻击行为的检测可以通过观察当前活动与系统历史正常活动情况之间的差异来实现。异常入侵检测通常都会建立一个关于系统正常活动的状态模型并不断进行更新，然后将用户当前的活动情况与这个正常模型进行对比，如果发现了超过设定阀值并不断进行更新，然后将用户当前的活动情况与这个正常模型进行对比，如果发现了超过设定阀值的差异程度，则指示发现了非法攻击行为。3 4 入侵检测技术对于各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。对于基于异常的检测和基于误用的检测，分别采用不同的入侵检测技术，我们在分析获得的数据时，可以分为基于行为的检测和基于知识的检测。3 4 1 基于行为的检测基于行为的检测根据使用者的行为或资源使用情况来判断是否有入侵行为，而不依赖于具体行为是否出现来检测，所以也被称为异常检测。基于行为的检测与系统无关，通用性较强。它甚至有可能检测出以前未出现过的攻击方法，不像基于知识的检测那样受已知性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述，况且在用户数目众多，或工作目经常改变的环境中。其次由于统计表要不断更新，入侵者如果知道基于阿络的入侵检测系统的研究和实现某系统在检测器的监视之下，他们能慢慢地训练检测系统，以致于最初认为是异常的行为，经一段时间训练后也认为是正常的了。基于行为的检测方法主要有以下三种。3 4 1 1 概率统计方法概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先，检测器根据用户对象的动作为每个用户都建立一个用户特征表，通过比较当前特征与己存储定型的以前特征，从而判断是否是异常行为。用户特征表需要根据审计记录不断地加以更新，用于描述特征的变量类型有：操作密度：度量操作执行的速率，常用于检测通过长时间平均觉察不到的异常行为；审计记录分布：度量在最新记录中所有操作类型的分布；范畴尺度：度量在一定动作范畴内特定操作的分布情况；数值尺度：度量那些产生数值结果的操作，如c p u 使用量，i o 使用量。这些变量所记录的具体操作包括：c p u 的使用，i 0 的使用，使用地点及时间，邮件使用，编辑器使用，编译器使用，所创建、删除、访问或改变的目录及文件，网络上活动等。在s t i c s l 的入侵检测专家系统( i d e s ) 中给出了一个特征表的结构： 其中的变量名、主体、客体唯一确定了每一个特征表，特征值由系统根据审计数据周期性地产生。这个特征值是所有有悖于用户特征的异常程度值的函数。如果假设s 。s 2 ，”s n 分别是用于描速特征的变量m 。，m ”，的异常程度值，s 。值越大说明异常程度越大。则这个特征值可以用所有s 。的加权平方和来表示：m = a ，s i s + a z s , z + 十钆s f ，a i o ，其中a j o 表示每一个特征的权重。如果选用标准作为判别准则，则标准偏差为0 ，其中均值1 1 = m n ，如果某s值超出了l j d 0 就认为出现异常。这种方法的优越性在于能应用成熟的概率统计理论。但也有一些不足之处，如：统计检测对事件发生的次序不敏感，也就是说，完全依靠统计1 4基于网络的入侵检测系统的研究和实现理论可能漏检那些彼此关联事件的入侵行为。其次，定义是否入侵的判断阀值也比较困难。阀值太低则漏检率提高，阀值太高则误报率提高。3 4 1 2 神经网络方法利用神经网络入侵检测的基本思想是用一系列信息单元( 命令) 训练神经单元，这样在给定一组输入后，就可能预测输出。与统计理论相比，神经网络更好地表达了变量间的非线性关系，并且能自动学习并更新。实验表明u n i x 系统管理员的行为几乎全是可以预测的，对于一般用户，不可预测的行为也只占了很少的一部分。用于检测的神经网络模块大致是这样的：当前命令和刚过去的w 个命令组成了网络的输入，其中w 是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后，该网络就形成了相应的特征表，于是网络对下一个事件的预测错误率在一定程度上反映了用户行为的异常程度。基于神经网络的检测思想可用图3 - 2 表示：c h m o dv ip w d输入层预测的下一个指令一输出层图3 - 2 神经网络检测思想图中输入层的w 个箭头代表了用户最近的w 个命令，输入层预测用户将要发生的下一个动作。神经网络方法的优点在于能更好地处理原始数据的随机特性，即不需要对这些数据作任何统计假设，并且有较好的抗干扰能力。缺点在于网络拓扑结构以及各元素的权重很难确定，命令窗口w 的大小也难以选取。窗口太小，则网络输出不好，窗口太大，则网络会因为大量无关数据而降低效率。3 4 1 3 基于人工免疫的方法生物免疫系统具有很强的自我保护能力，特别是它能够识别未知抗原的能力，将这种能力模拟应用到网络安全中，使得基于人工免疫的网络安全新机制研究倍加引人注目。生物免疫系统的基本功能是识别自我和非我，并将非我分类清除。生物免疫系统具有免疫识别、免疫记忆、免疫调节和免疫耐受等功能特征，能有效识别外来侵入者，维持机体本身的平衡，保证生物体自身的生存和基于网络的入侵检测系统的研究和实现发展。其中免疫识别是指免疫系统不仅能够识别已知抗原，同时还能够识别未知抗原，免疫记忆则是指功能特征能够对再次入侵的抗原发生快速反应( 即二次应答) 。免疫调节是维持机体内环境稳定的关键，如果免疫调节功能异常，对自身成分产生强烈的免疫攻击，造成细胞破坏，功能丧失，就会发生自身免疫疾病。免疫耐受是指免疫系统长期存在的对某类特定抗原的无反应性。从信息处理的角度来看，免疫系统是一个自适应、自学习、自组织、并行处理和分布协调的复杂系统。目前，国际上不少研究人员已经认识到生物免疫系统中蕴涵了丰富且有效的信息处理机制，并针对计算机网络抗入侵