（计算机软件与理论专业论文）基于支持向量机的入侵检测研究.pdf

西华大学硕士学位论文 基于支持向量机的入侵检测研究 计算机软件与理论专业 研究生刘志才指导教师彭宏 摘要 随着计算机和网络技术的广泛应用，计算机病毒和网络攻击等的威胁日益 加剧，信息安全技术越来越受到人们的关注。现有技术受到越来越严峻的挑战， 身份认证、入侵检测、病毒检测等成为网络安全研究的热点 支持向量机是从统计学习理论上发展起来的一种新颖的模式识别方法，有 着其他机器学习方法无法比拟的优势，如结构风险最小化、全局唯一解、良好 的推广能力、在非线性和高维模式中也表现出很好效果目前也有较多的人尝 试将机器智能应用于入侵检测领域，本文将支持向量机应用于入侵检测，模拟 实验取得了较好的效果本文的研究内容分为两个方面，其一是利用 o n e c l a s ss 进行击键特征识别的研究，其二是利用增量支持向量机方法对 注册表的异常访问进行识别。内容如下： 第一，基于支持向量机的击键特征识别研究已有的研究表明击键特征是 一种生物特征，即每个人敲击键盘时所表现出来的特征都存在区别于他人之 处，如击键轻重，击键快慢等等，它可以作为一种身份认证方式。和传统的保 护方法( 如口令、密钥等) 比较，击键特征能提供一种更好的保护目前对击 键特征进行识别的研究也比较多，采用的方法如概率统计、神经网络等等本 文利用支持向量机在仅有小样本正例击键特征的情况下建立击键特征检测模 型，通过大量的实验表明，该方法实验效果较好。 第二，利用支持向量机进行系统重要文件的异常访问识别的研究早期的 恶意程序检测方法主要应用特征签字来进行检测，这些签字包括不同的属性， 如文件名、内容、特征字符串等，这些方法均建立在在对已知病毒分析的基础 西华大学硕士学位论文 上，未知病毒却不可能包含这些特征，所以对未知病毒的检测无能为力。利用 支持向量机可以建立系统正常运行状况下的访问模型，利用该模型可以发现异 常的访问事件，以此可以发现入侵行为和遭受未知病毒的攻击行为。恶意程序 检测的一个关键问题是如何设计出能检测未知恶意程序的检测系统，目前针对 未知病毒或攻击行为的检测目前也提出了多种机械学习方法，如采用神经网络 方法、r i p p e r 归纳学习方法等等在本文中，我们采用w i n d o w s 注册表作为 信息源并利用增量支持向量机异常检测模型，对未知访问行为起到一定的检测 作用，同时和传统方法相比能有效减少训练时间。 关键词：入侵检测、支持向量机、o n e - c l a s s 支持向量机、增量支持向量机、 击键特征 西华大学硕士学位论文 t h er e s e a r c ho fi n t r u s i o nd e t e c t i o nb a s e do n s u p p o r tv e c t o ra p p r o a c h m d c a n d i d a t e ：l i uz h i c a i s u p e r v i s o r ：p e n gh o n g w i t ht h ee x t e n s i v e a p p l i c a t i o n o fc o m p u t e rt e c h n o l o g ya n di n t e r a c t t e c h n o l o g y , c o m p u t e rv i r u s e s ，n e t w o r ka t t a c k sa n do t h e rs e c u r i t yt h r e a t sa l eg e t t i n g i n t e n s e ；p e o p l ei ni n c r e a s i n gn u m b e r sa c o n c c m c d w i t ht h ei n f o r m a t i o ns e c u r i t y t h e r ea l em o r es e v e r ec h a l l e n g e si nc u r r e n tt e c h n o l o g y a n da u t h e n t i c a t i o n , i n t r u s i o nd e t e c t i o n , v i r u sd e t e c t i o na n do t h e rn e t w o r ks e c u r i t yh a v eb e c a ) m eh o t t o p i c st o d a y 一 s u p p o r tv e c t o rm a c h i n ei sa n o v e lm e t h o do fp a t t e r nr e c o g n i t i o nd e v c l o p e d f r o ms t a t i s t i c a ll e a r n i n gt h e o r y , w h i c hh a su n m a t c h e de x c e l l e n c e sb yo t h e rm a c h i n e l e a r n i n gm e t h o d s ，f o ri n s t a n c e ：s t r u c t u r a lr i s km i n i m i z a t i o n , t h eo v e r a l lu n i q u e n e s s o ft h es o l u t i o n , t h ep r o m o t i o no fg o o da n dh i g h - d i m e n s i o n a ln o n l i n e a rm o d e l , a n d a l s os h o w e dg o o dr e s u l t s i nt h i sp a p e r , w ew i l l 哪s u p p o r tv e c t o rm a c h i n e si nt h e a l e ao fm t 眦i o nd e t e c t i o na n dv i r u sd e t e c t i o n e x p e r i m e n t a lr e s u l t ss h o wt h a tt h e s v ma l g o r i t h m sa l ep r o m i s i n 舀t h ep a p e ri sd i v i d e di n t ot w oa r e a s ：f i r s ti su s i n g s v ma l g o r i t h m sf o ru s e r sk e y s t r o k es e q u e n c e sr e c o g n i t i o n , s e c o n di su s i n g s u p p o r tv e c t o rm a c h i n e s t od e t e c tw m d o w sr e g i s t r y ? sa b n o r m a la o s s f i r s t l y , t h eh o s t - b a s e di n t r u s i o nd e t e c t i o nb a s e do n 如p p o r tv c c t 町a p p r o a c h a n dk c y s 订o k cs e q u e n c e s p r e v i o u sw o r k si nt h i s 撇h a ds h o w nt h a tt h ek e y s t r o k e s e q u e n c e sa u t h e n t i c a t ea u s e ra sar e a lp o s s i b i l i t y , i nw h i c hc a s ei tc o u l db eu s e da s a na u t h e n t i c a t i o nm e t h o d a n db e s i d e s ，k e y s t r o k es e q u e n c e sh a v em o r em e r i t s a n dp r o v i d eab e t t e rp r o t e c t i o nt h a nt h et r a d i t i o n a lm e t h o d - p a s s w o r dp r o t e c t i o n m 西华大学硕士学位论文 m a n ya l g o r i t h m sh a v e b e e np r o p o s e df o rt h ei d e n t i f i c a t i o no ft h e k e y s t r o k e s e q u e n c e s , p r 曲a b i l i s t 弛n e u r a ln e t w o r k s , a n ds of o r t h n l i sp a p e rp r o p o s e d s u p p o r t v e c t o rm a c h i n ea l g o r i t h mf o rt h e r e o r g a n i z a t i o no fu s e r sk e y s t r o k e s e q u e n c e s a c c o r d i n gt ot h i sa l g o r i t h m ，o n l yaf e ws a m p l ec a s e so fk e y s t r o k e c h a r a a e d s f i c sa r en e e d e dt oe s t a b l i s had e t e c t i o nm o d e la n dt h em o d e lh a sa n e x c e u e n tr e c o g n i t i o nr a t e s e c o n d l y , t h ea p p f i c a t i o no fs u p p o r tv e c t o rm a c h i n e sf o rt h eu n u s u a la c c 懿 s y s t e mi d e n t i f i c a t i o no fi m p o r t a n td o c u m e n t s s i n c es i g n a t u r e si n c l u d ev a r i o u s a t t r i b u t e s , s u c ha sf d en a m e , c o n t e n ta n dt h ef e a t u r es t i i n g 口e a r l yd e t e c t i o no f m a l i c i o u sp r o c e d u r e si nm a j o ra p p l i c a t i o n sd e t e c t e dt h et h e s es i g n a t u r ef e a t u r e s t h e s em e t h o d sa r cb a s e do rt h ek n o w l e d g eo ft h ev i r u s , a n di ti si m p o s s i b l et og e t t h e s ef e a t u r e so fu n k n o w nv i r u s t h e r e f o r e ，t h eu n k n o w nv i r u s e sw e r en o t d e t e c t e db yt r a d i t i o n a lm e t h o d t oa d d r e s st h i sp r o b l e m , w eu s es u p p o rv e c t o r m a c h i n es y s t e mt oa s t a b f i s ht h en o r m a l 副x 麟m o d e l w h i c hc o u l dd e t e c tt h e u n m o r a la c c e s s , d e t e c ta l lu r k f l o w l lv i r u sa n df i n di n t r u s i o na t t a c k s t h e c h a l l e n g ei nm a l w a r ed e t e c t i o ni sh o wt od e s i g nad e t e c t i o ns y s t e mt od e t e c t u n k n o w l im a l w a r e m a n ya l g o r i t h m sa i eu s e dt os o l v et h ep r o b l e m ：n e u r a l n e t w o r k s , r i p p e ri n d u c t i v el e a r n i n gm e t h o d se t c i nt h i sp a p e r , w eu s ev 孵m d o w s r e g i s t r ya sa s o u r c eo fi n f o r m a t i o nt oe s t a b l i s ha n o m a l yd e t e c t i o nm o d e lb yu s i n g i n c r e m e n t a ls u p p o r tv e c t o rm a c h i n e , t h er e s u l t ss h o w e dt h a ti n c r e m e n t a ls u p p o r t v e c t o rm a c h i n ea c h i e v e da h i g hd e t e c t i o nr a t ea n dr e d u c e dt r a i n i n gt i m ee f f i c i e n t l y k e y ：i n t r u s i o nd e t e c t i o n ；i d e n t i t ya u t h e n t i c a t i o n ；o c - s v m ；k e y s t r o k e c h a r a c t e r i s t i c s ；w i n d o w sr e g i s 仃) r ；v l r u sd e t e c t i o n ；i n c r e m e n t a ls u p p o r tv e c t o r m a c h i n e i v 西华大学硕士学位论文 申明 本学位论文是在导师的指导下完成的研究工作和取得的研究成果。除了文 中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研 究成果，也不包括为西华大学或其他教育机构的学位或证书而使用过的材料 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明 并表示谢意。论文成果归西华大学所有，特此申明。 作者签名翻岛才口芦f 月伽 翩鹳妒 俨月日 西华大学硕士学位论文 1 绪论 本章从介绍网络安全的概念入手，首先列举当前网络安全中存在的威胁， 随后介绍入侵检测发展历史与现状，最后介绍本论文研究的背景与意义，以及 本论文研究内容与结构 1 1 概述 安全的概念始于6 0 年代，由于当时计算机并未普及，所以安全问题一直 控制在较小的范围内。随着计算机性能和i n t e r n e t 的急速发展，每天成千上万的 研究所，个人、商家在上网，计算机和网络应用范围越来越广泛。在军事、经 济、卫生、科技等领域，个人、企业以及政府部门越来越多地依靠网络传递信 息然而网络的开放性、共享性使其易受到外界不经意的影响和刻意的破坏， 所以现在每一个人都可能面对安全问题。网络安全已经成为各国政府、各大公 司和个人用户极为重视的热点问题。有关网络安全威胁的报道时常令人震惊， 目前针对流行的操作系统等的攻击越来越普遍，因此计算机网络管理员以及用 户都必须应付不断变化且日益复杂的安全环境。黑客和计算机病毒都是普遍的 威胁，发展至今，木马程序、病毒程序不断地变种结合，破坏力和传播能力大 大加强。主要的在线电子商务、电子政务都被证明是易受攻击的例如，e - b a y 和a m a z o n c o m 都是恶意攻击的受害者对于攻击事件本身，1 9 踞年的r o b e r t m o r n si n t e m e tw o r m ( 1 需虫) 至今仍使得人们谈虎色变 计算机安全是什么? 计算机安全可以分为物理安全和逻辑安全，其中物理 安全是指系统设备及相关设施保护以免受人为的或自然破坏力的影响；而逻辑 安全是指信息的可用性、完整性和保密性在网络环境中，安全指的是一种能 够识别和消除不安全因素的能力，这种能力提供对数据的可靠性、可用性、保 密性、完整性等进行保护可靠性是指网络信息系统能够在规定条件下和规定 时间内完成规定功能的特征；可用性是网络信息可被授权实体访问并按需求使 用的特性；保密性是指防止泄露给非授权个人和实体，信息只能为授权用户使 西华大学硕士学位论文 用的特性：完整性是网络信息未经授权不能进行改变的特征【1 1 为达到以上目标，信息安全需要保护的内容有那些呢? 总的来说，信息安 全需要保护以下内容，首先，保证物理设备安全。计算机网络的物理安全是整 个网络系统安全的前提，如可靠的电力保障、安全守卫、消防保障等；同时， 几乎所有的计算机都很容易受到本地攻击，对于恶意用户可以物理接触的计算 机，几乎毫无安全性可言其二，网络结构的安全保证网络拓扑结构决定了 硬件设备如何连接，信息如何通过这些连接进行传输，因此网络拓扑结构设计 将影响到网络系统的安全性，如在设计时有必要将公开服务器( 如w e b 、d n s 、 e m a i l 等) 和外网及内部其它业务网络进行隔离，以避免网络结构信息外泄， 可有效防范信息监听；同时还要对外网的服务请求加以过滤，只允许正常通信 的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝，该 功能正是防火墙提供的功能其三，系统的安全网络设备和网络操作系统往 往是直接的攻击目标，它们是否安全可靠直接影响网络安全但是遗憾的是， 没有绝对安全的操作系统；同时，系统管理也是直接影响操作系统和设备的安 全性之一其四，应用系统的安全。应用系统通常指完成各种服务的软件，它 们种类繁多，但是现有的软件工程还不能保证开发出绝对无错的应用系统，各 种广泛使用的应用系统频频爆出漏洞，间接的危害操作系统的安全，如 s e n d m a i l 、w u - f t p 、a p a c h e 等等均报出过不同程度的安全漏洞，直接或间接的 危害到操作系统的安全。面对当前如此复杂的网络环境和名目繁多的各种应用 而言，保障安全无疑是一种前所未有的挑战闭 问题之源是什么? 导致安全问题的原因大概可分为以下三个方面，其一是 系统的错误配置面对个人或专业破译组织的各种攻击，人们显然准备不足 国内很多担任系统管理工作的工作人员往往并未受过系统的安全培训，同时， 据r r 界企业社团a a 的调查显示，美国7 5 9 扛8 5 网站不能捕捉攻击者的踪 迹，7 5 的网站遭受信息失窃这时候，系统日志和防火墙在错误配置下并未 起到任何作用其二是系统缺陷如各种服务导致的本地或远程攻击，对这一 点只能由系统开发人员控制，作为管理者只能跟进系统的更新而对临时暴出的 安全漏洞无能为力虽然现阶段针对各种系统开发出的安全补丁，如 s e l j n 慨1 3 l 、l i d s 、g r s e , c e d t y 等给人们带来一丝曙光，但是目前其配置和管理 难度却是一个极大的障碍；同时考虑其对系统性能的影响，遭到很多人的排斥 2 西华大学硕士学位论文 由于漏洞的存在，它可被攻击者利用，也可以被病毒程序利用，形成病毒特征 与攻击特征，使得这种攻击越来越难以防范其三是个人安全意识，感受到威 胁是每个人应该具备的意识，产生这种意识的理由很简单：网络是不安全的， 没有绝对安全的系统。如用户网上购物时由于安全意识的淡薄往往使得密码遭 受窃取。 人们在积极地寻求安全对策。在这种情况下加密技术、防火墙技术以及缓 冲溢出保护技术等等应运而生，但是仍然有不尽人意之处为了能及时发现入 侵行为，我们需要一种能自动和智能的工具来检测入侵企图，这种工具便是入 侵检测系统( m s ) 目前越来越多的人正积极寻求更接近人思维的解决方案， 人工智能技术是其中之一，目前采用神经网络【4 1 、支持向量机嘲等智能算法的 安全研究较多本文将支持向量机方法应用到入侵检测上，通过将人的击键特 征和系统重要文件作为审计数据来源并采用支持向量机方法对其进行分析，以 期能更智能的发现和识别入侵 1 1 1 入侵检测的发展与现状 入侵检测的概念始于2 0 世纪年代早期在1 9 年j a m e sp a n d e r s o n 在给一个保密客户写的一份题为计算机安全威胁监控与监视) 的技术报告中 指出，审计记录可以用于识别计算机误用，他首次提出“威胁”等术语，第一次 详细阐述了入侵检测的概念。1 9 8 4 年到1 9 8 6 年乔治敦大学的d o r o t h yd e n n i n g 和s r i 公司计算机科学实验室的p e t e r n e u m a n n 研究出了一个实时入侵检测系 统模型m e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m s 入侵检测专家系统) ，是第一 个在一个应用中运用了统计和基于规则两种技术的系统，是入侵检测研究中最 有影响的一个系统1 9 8 9 年，加州大学戴维斯分校的t b d dh e b e r l e i n 写了一篇 论文a n e t w o r k s e c u r i t y m o n i t o r ) 阐述了网络安全监控的相关内容，第一次 直接将网络流作为审计数据来源，网络入侵检测从此产生 入侵检测按分析系统来划分可以划分为：异常检测( a n o m a l yd e t e c t i o n ) 和误用检测( m i s u s ed e t e c t i o n ) 。异常检测是基于行为的检测，该检测是根据 使用者的行为或资源使用状况来判断是否入侵误用检测是基于知识的检测， 3 西华大学硕士学位论文 它根据已知的攻击方法定义好入侵模式，通过判断这些入侵模式是否出现来检 测【1 1 二十多年来，国内外一些研究机构和企业已研究或开发出了多种类型的入 侵检测系统。其中有主要用来验证一些概念和算法的研究用的系统，较为知名 的有：加州大学圣巴巴拉分校开发的n e t s t a t ，它采用的技术是基于状态转换 的入侵检测；美国l a w r e n c ei i v e r m o r e 国家实验室开发的b r o ，开发它的主要 目的是研究入侵检测系统的健壮性，即研究采用何种措施可以防止入侵检测系 统本身被攻击还有一些流行的商用入侵检测系统，而这些产品无一例外的都 是采用误用检测技术，今后的入侵检测技术大致可朝智能化入侵检测方向发 展。 智能化入侵检测即使用智能化的方法与手段来进行入侵检测。所谓的智能 化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法， 这些方法常用于入侵特征的辨识与泛化利用专家系统的思想来构建入侵检测 系统也是常用的方法之一特别是具有自学习能力的专家系统，实现了知识库 的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，具有更广泛 的应用前景数据挖掘技术的目的是从海量信息中提取出简洁、精练的系统正 常模型。当前采用数据挖掘技术的智能化入侵检测系统的研究有：基于免疫系 统和数据挖掘的入侵检测模型旧，采用数据挖掘的方法建立实时入侵检测模型 r 玎，采用数据挖掘的方法的网络入侵检测模型嘲，改进型的数据挖掘的入侵检 测系统1 9 1 采用神经网络进行入侵检测研究的有：采用支持向量机和神经网络 相结合的方法辨识重要特钳1 川；采用从神经网络中提取规则来建立计算机网 络入侵检测模型l i ” 可作为入侵检测信息源的方法有个人击键特征和系统重要配置文件的访 问行为“生物测定学”领域的研究早已经使通过记录击键动作之问的时间间隔 来识别击键人的身份成为有效可行的技术，该技术被称为“击键特征识别”技 术，现阶段常用的有概率统计、神经网络、自适应算法等方法目前已有较多 研究，如：采用概率统计的方法进行用户击键特征识别【蝎；采用击键特征识 别替换传统的密码认证方式来认证w e b 用户登录过程【廿l ；采用神经网络、高 斯牛顿与梯度下降法的结合进行用户击键特征识别的研究【川；新的自适应击 键特征识别算法m 1 ；史扬等提出一种判别某一击键序列是否为特定用户的行 4 西华大学硕士学位论文 为的方案【1 6 l ；高艳等采用改进贝叶斯方法识别击键特征，并实现了主机入侵 检测m ；f a b i a n 等将击键动力学作为一种生物特征身份认证系统进行研究旧 在传统的对注册表监控技术基础上，人们提出了更多更新的要求，智能化的监 控和检测技术是其中之一。近年来，很多人也开展了这方面的研究工作 k a t h e r i n eah e l l e r 等采用一分类支持向量机建立注册表异常检测( r e g i s t r y a n o m a l yd e t e c t i o n , r a d ) 系统来对注册表异常访问进行检测【1 9 1 ；s a ls t o l f o 等 采用数据包头异常检测( p a c k e th e a d e ra n o m a l yd e t e c t i o n , p h a d ) 算法，在 密度估计的基础上利用注册表监控技术检测恶意程序【刎。 1 1 2 课题研究的背景争意义 最初的计算机应用仅仅是一般的单机计算或文字处理等，伴随网络技术的 发展，计算机的应用范围飞速的拓展，从一般的即时通讯到商务应用，人们获 取信息的范围也越来越广泛。正是在这种状况下，各种网络攻击技术、病毒技 术也变得不再神秘，各种攻击工具等可用资源触手可及，对这些工具稍加利用， 普通网络用户也会变成网络安全的巨大威胁。可以说，网络安全已是现实生活 中人们不可回避的问题。用于安全防范的措施一般有很多，如安装防火墙等。 防火墙技术现在对大多数人来说并不陌生。防火墙将网络上的信息流通过 相应的网络接口接收上来，按照t c p i p 协议结构顺序上传，在适当的协议层 进行安全审查，然后将符合条件的报文从相应的网络接口送出，而对于那些不 符合通过条件的报文则予以阻断。防火墙安装设置简单，可以在不改变网络状 态的情况下对网络进行实时监控，在很大程度上阻挡非法用户和恶意程序的进 入，对防火墙内的系统进行保护然而防火墙只是被动的防御体系，对于完整 的计算机安全系统来说仅有防火墙还远不能符合要求据报道，美国国防部已 经花费了数十亿美元用于整治网络安全，但是网络安全问题还是不断涌现现 在全世界的公司都面临着网络被攻击的危险在2 0 0 3 年。全球1 3 台最重要的 母服务器中的9 台都遭到了黑客袭击。防火墙等网络安全技术的侧重点不同或 局限性各不相同，这种情况下入侵检测系统m s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 越来越受到人们的关注1 1 j 5 西华大学硕士学位论文 入侵检测就是指在特定的环境中发现和识别未经授权的或恶意的攻击和 入侵，并对此作出反应的过程。而入侵检测系统 d s 是一套运用入侵检测技 术对计算机或网络资源进行实时检测的系统工具k ) s 一方面要检测未经授权 对象对系统的入侵，另一方面还要监控授权对象对系统资源的非法操作 入侵检测系统的作用主要有以下几个方面： 1 ) 监视、分析用户和系统的运行状况，查找非法用户和合法用户的越权 操作： 2 ) 检测系统配置的正确性和安全漏洞，并提示系统管理员修补漏洞； 3 ) 对用户正常活动的统计分析，发现攻击行为的规律； 4 ) 查找系统程序和数据的一致性和正确性； 5 ) 能够实时地对检测到的攻击行为进行响应； 6 ) 对操作系统的审计跟踪管理，并识别用户违反安全策略的行为 入侵检测技术作为网络安全中重要的组成部分，已经成为网络安全技术中 的一个热门政治、军事、文化、经济、教育、卫生、科技、公共服务等都在 普及网络，他们面临的安全问题也越来越突出，特别是在关键应用系统如金融、 电信、民航、电力等系统中可以预见，随着网络的发展，网络安全问题会越 来越严重，会越来越被人们重视，当然网络安全技术也会越来越成熟但是入 侵检测系统目前仍然存在诸多矛盾： 1 ) 误报和漏报的矛盾； 2 ) 隐私和安全的矛盾； 。 被动分析与主动发现的矛盾； 海量信息与分析代价的矛盾； 9 功能性和可管理性的矛盾； 6 ) 单一的产品与复杂的网络应用的矛盾。 基于以上原因，越来越多的人开始了智能化入侵检测技术的研究本文研 究工作针对的是击键特征识别和注册表监控两个方面 击键特征识别即依靠击键数据对用户进行分类识别，它是生物特征识别的 一种方法，它是针对口令机制存在的不足提出的可用于身份认证的生物特征 主要有用户的眼底图像、指纹、面容、嗓音和击键节奏等。对用户的眼底图像、 指纹、头像等的识别均需要特殊的硬件设备，且有些设备价格相当昂贵，不利 6 西华大学硕士学位论文 于系统的实施和推广1 2 1 1 。而了解用户的击键节奏不需要添加新的硬件，是各 种生物特征用户认证技术中代价最小的一种，易于为用户所接受1 1 6 1 。近年来， 生物特征识别技术以其特有的稳定性、唯一性和方便性，被广泛地应用在国防 安全、执法、福利发放、银行、股市证券、疾病诊断、户籍身份证管理等方面 击键特征识别作为生物特征识别方法之一，应用于信息安全领域，可以避免信 息系统单纯依靠口令认证用户身份的不安全性，同时比起其它识别技术而言具 有更大的自主性和灵活性，因此这方面的研究也比较多【堋击键特征识别在 身份认证、入侵检测中极具潜在应用价值，本文研究的目的是利用击键特性进 行系统的入侵检测，实时的捕捉用户击键特征，并以此判断用户身份，从而达 到检测入侵行为的目的。 m i c r o s o f tw i n d o w s 操作系统是目前使用最为广泛的操作系统，也是最容 易遭受攻击的操作系统。而注册表作为w i n d o w s 操作系统的核心。同时也是 w i n d o w s 系统中最脆弱的部分，更加成为攻击者关注的对象w i n d o w s 中所 有程序运行时都会依赖注册表进行操作，同时，几乎所有的系统活动都会影响 注册表，因此注册表可以作为一个很好的审计数据源，对注册表进行监控和分 析在维护系统安全上有着重要的意义刚很多杀毒软件很早就通过监控注册 表来发现病毒，但是目前这种方法只对已知病毒有效，对未知病毒却无能为力； 安全补丁也是同样的道理，只能针对已知漏洞采取防范措旖，对未知漏洞却束 手无策【1 9 1 并且，在很多情况下不可能及时修补系统或更新杀毒软件病毒库， 所以有必要研究未知病毒或未知攻击的防范技术研究发现，用户和系统程序 的活动对注册表的影响是规则的，对注册表采用数据挖掘的方法进行监控可以 发现异常的不规则行为，从而可以发现未知病毒或未知的攻击本文将深入研 究注册表监控技术，从而发现入侵行为，达到入侵检测的目的 本文将采用数据挖掘的方法，将击键特征识别和注册表监控相结合，建立 一套智能入侵检测模型，以期能高效的发现入侵、识别入侵 1 2 论文结构 全文以下各章的内容作如下安捧： 7 西华大学硕士学位论文 第二章入侵检测技术，介绍入侵检测的组成和相应工作原理。 第三章在对支持向量机的理论背景作了一个简要的介绍，阐述了支持向量 机在线性可分和非线性可分下的算法及其算法里面各参数的意义和作用。并分 析了核函数对支持向量机的重要作用，介绍了三种常用的核函数。最后介绍了 支持向量机在入侵检测中较成功的运用和目前不可忽略尚存在的一些问题。 第四章引入一分类支持向量机用于击键特征识别。介绍击键特征识别方法 的研究现状以及如何采用一分类支持向量机进行击键特征识别方法。最后是击 键特征的提取工作和模拟试验 第五章采用增量一分类支持向量机监控w i n d o w s 注册表( 操作系统重要 文件) ，采用这种方法发现和识别入侵 第六章对本文的研究工作进行了总结和展望 8 西华大学硕士学位论文 2 入侵检测 提高对入侵行为的侦测和响应是网络安全中重要的一个课题，本章介绍 了入侵检测的相关概念以及其产生的原因，随后在分析入侵检测原理的基础上 介绍了入侵检测的分类 2 1 入侵检测产生原因及其定义 传统的防护技术是基于操作系统或者网络设备本身，即提高设备或软件 抗攻击能力，如安全级别为b 级的操作系统、软硬件防火墙、加密技术、身 份认证等。这些技术大大提高了安全性，在一定程度上保证了信息的可用性、 完整性和保密性，但是这是一种消极的防御技术缺点显而易见：我们不知道 合法用户和非法用户是否尝试越权操作? 操作是否成功? 其行为是否为攻击 行为? 知道攻击来自何处? 等等 仅仅消极地防御会带来很多问题： 1 ) 防护系统的盲目建设。不了解真正的“威胁”所在，在没有找到关键安 全切入点前盲目投入，导致不必要的浪费。 2 ) 对安全状况盲目乐观迄今为止，软件工程技术还不能保证任何一个 系统( 底层系统和应用软件系统) 百分之百不存在安全漏洞因为防御系统本 身可能就存在安全漏洞，所以防御系统的建设并不是一劳永逸的防御系统可 能在悄无声息的情况被攻破，而管理员仍然无所察举，对各种异常访问、越权 操作视而不见这种盲目乐观的行为将导致安全问题越来越严重 在这种情况下，入侵检测显得尤为重要。入侵检测作为一种积极的防御 技术，提供对内部攻击、外部攻击和各种异常操作行为的报警与实时保护它 提供如下功能： 1 ) 监视、分析系统用户和系统的运行状况，查找非法用户和合法用户的 越权操作； 2 ) 监测系统安全漏洞，提示管理员修复漏洞； 3 ) 识别反映已知进攻的活动模式并向相关人士报警； 9 西华大学硕士学位论文 4 ) 检查系统的一致性和正确性； 5 ) 实时对攻击行为作出反应； 6 ) 对操作系统审计跟踪，识别用户违反安全策略的行为。 由此可见，入侵检测的重要性是不言而喻的，国内外重要关键部门、关键 业务部门越来越多的配备i d s 系统。 由此，我们可以认为入侵检测就是指在特定的环境中发现和识别未经授权 的或恶意的攻击和入侵，并对此作出反应的过程。而入侵检测系统i d s 是一 套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。i d s 一方 面要检测未经授权对象对系统的入侵，另一方面还要监控授权对象对系统资源 的非法操作。 2 2 入侵检测技术原理与应用 入侵检测系统的工作原理可以概括为：收集系统和非系统中的信息然后对 收集到的数据进行分析，并采取相应措施 信息收集是在目标系统上收集实体的活动，如收集系统、网络的数据及用 户活动的状态和行为。入侵检测很大程度上依赖于收集信息的可靠性和正确 性，因此，有必要利用真正的且精确的软件来收集这些信息例如：替换被程 序调用的子程序、记录文件和其它工具的情况，在u n i x i 血u x 系统下类似 r o o t k i t 的工具会产生类似的行为，目前针对该行为常用的检测方法是通过系 统校验码( 如m d 5 ) 来核对文件进程来检测入侵，类似的工具有a i d e 2 2 1 a i d e 工具利用系统文件校验码在时间和空间上的独立性来实现入侵行为的监 测 系统日志文件是操作系统重要文件之一，系统的活动与用户的活动会被记 录，因此，系统和网络日志文件信息是入侵检测信息重要来源之一日志中包 含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人 正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入 侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型， 每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、 西华大学硕士学位论文 用户d 改变、用户对文件的访问、授权和认证信息等内容。但是遗憾的是尚 未有好的日志分析工具，面对庞大的日志系统，光靠人为分析几乎是不可能的。 网络环境中的文件系统包含很多软件和数据文件，他们经常是黑客修改或 破坏的目标。目录和文件中非正常改变( 包括修改、创建和删除) ，特别是那 些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号黑客经常 替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们 的活动痕迹，都会尽力去替换系统程序或修改系统日志文件 网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和 特定目的的应用，例如w e b 服务器，每个在系统上执行的程序由一到多个进 程来实现。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方 式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它 进程，以及与网络间其它进程的通讯 上述方法是常用入侵检测信息来源，一旦确定主题活动信息，就需要建立 规则集来匹配各种活动信息。规则集是检测入侵是否发生的处理引擎，通过专 家系统或者传统统计方法匹配规则分析收集到的记录，判断入侵行为并采取相 应措施。 下面给出一个入侵检测模型的体系结构 入侵检测系统一般由六部分组成 1 ) 主体：启动活动的实体 2 ) 对象：系统资源，如文件、设备等 3 ) 审计记录： 构成的六元组 4 ) 活动简档：保存主体正常活动的有关信息。 5 ) 异常记录：用以表示异常事情发生的情况。 6 ) 活动规则：检测入侵是否发生的处理引擎 1 1 西华大学硕士学位论文 2 3 入侵检测分类 f i g 2 - 1 ：l n m ! s i o nd e t e c t i o nm o d e l 图2 - 1 ：入侵检测模型 入侵检测系统按检测系统所在位置可分为主机型和网络型 主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然 也可以通过其他手段( 如监督系统调用) 从所在的主机收集信息进行分析主 机型入侵检测系统保护的一般是所在的系统 网络型入侵检测系统的数据源则是网络上的数据包往往将一台机子的网 卡设于混杂模式( p r o m i s cm o d e ) 。监听所有本网段内的数据包并进行判断一 般网络型入侵检测系统担负着保护整个网段的任务 网络型i d s 的优点是简便：一个网段上只需安装一个或几个这样的系统， 便可以监测整个网段的情况且由于往往分出单独的计算机做这种应用，不会 给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速 网络的普及，这种结构正受到越来越大的挑战。 西华大学硕士学位论文 主机型i d s 的缺点是：必须为不同平台开发不同的程序、增加系统负荷、 所需安装的软件数量众多等，但是内在结构却没有任何束缚，同时可以利用操 作系统本身提供的功能、并结合异常分析，更准确的报告攻击行为 2 3 1 异常检测 实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存 储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦 发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这 个检测过程是不断循环进行的。 而事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根 据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如 果有就断开连接，并记录入侵证据和进行数据恢复事后入侵检测是管理员定 期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系 统。 从技术上，入侵检测也可分为两类：一种是异常检测( a n o m a l yd e t e c t i o n ) ， 另一种误用检测( m i s u s ed e t e c t i o n ) 异常检测模型如下： 西华大学硕士学位论文 f i 9 2 - 2 ：a n o m a l y d e t e c t i o n m o d e l 图2 - 2 ：异常检测模型 异常检测是基于行为的检测，即根据使用者的行为或者资源的使用状况来 判断入侵行为是否发生而基于异常的检测技术则是先定义一组系统“正常” 情况的数值，如c p u 利用率、内存利用率、文件校验和等( 如m d 5 等) ，然 后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹 象这种检测方式的核心在于如何定义所谓的“正常情况然而，基于异常的 检测技术则无法准确判别出攻击的手法，但它可以判别的范围更广范，甚至能 检测到未知攻击 异常检测常用方法有以下两种。 1 ) 统计分析 概率统计方法是基于行为的入侵检测中应用最早的也是最多的一种方法 它首先对对象的行为建立一个特征表，通过比较捕获的特征值与正常行为的特 征值的异同来检测入侵行为 这些特征变量一般有以下类型； 操作密度：度量操作执行的速率，用于检测长时间平均观察不到的异常行 1 4 西华大学硕士学位论文 为： 审计记录分布：度量在最新纪录中所有操作类型的分布： 范畴尺度：度量在一定动作范畴内特定操作的分布情况； 数值尺度：度量那些产生数值结果的操作，如c p u 使用量，f o 使用量 这种方法优越性在于概率统计理论的成熟性，但是不足之处在于对事件发 生的次序不敏感，即不能检测关联事件的入侵行为 2 ) 神经网络 神经网络方法在入侵检测中已有较多应用，它有很多优点，如自适应性、 自学习能力等乃捌。在神经网络检测模型中，只要提供系统