（计算机软件与理论专业论文）基于人工免疫原理的入侵检测算法研究.pdf

， 南京邮电大学 硕士学位论文摘要 学科、专业：工学计算机软件与理论 研究方向：软件技术及其在通信中的应用 作者：2 0 0 7 级研究生李献珍 指导教师：陈春玲 中文题目：基于人工免疫原理的入侵检测算法研究 英文题目：r e s e a r c ho fi n s t r u s i o nd e t e c t i o na l g o r i t h mb a s e da r t i f i c i a l i m m u n es y s t e m 主题词：入侵检测，人工免疫，否定选择算法，粒子群优化算法，k d d l 9 9 9 数据集 k e y w o r d s ：i n t r u s i o nd e t e c t i o ns y s t e m ，a r t i f i c i a li m m u n es y s t e m ，n e g a t i v e s e l e c t i o n a l g o r i t h m ，p a r t i c l e s w a r m o p t i m i z a t i o na l g o r i t h m ， k d d l 9 9 9 9m 6 帆3 哪55帆71洲y 南京邮电大学硕士研究生学位论文 摘要 摘要 基于人工免疫的入侵检测系统中，不管是基于什么免疫原理的入侵检测系统，检测器 都是其核心部件，检测器的生成速度和在非我空间的分布状况直接影响着系统的性能。目 前基于人工免疫的否定选择算法对于高维的数据要求生成的检测器数量过多导致检测效 率低，同时存在正确检测率低、误报率高等问题。针对上述问题探讨了入侵检测、人工免 疫和否定选择算法的基本概念和研究现状，提出了改进的否定选择算法，以达到用尽可能 少的检测器覆盖非我空间，提高正确检测率降低误报率。 改进的否定选择算法首先采用带权值的粒子群算法对初始检测器的分布进行优化，使 检测器尽可能多地分布到异常样本密度大的区域中，这样只需要生成少量的检测器就可以 尽可能多地覆盖非我空间就能产生很好的检测效果；其次，改进了在粒子群优化的过程中 处理粒子之间的相互冲突的算法。为验证改进后的算法，基于m i c r o s o f tv i s u a lc + + 6 0 和 m a t l a b7 0 构建了仿真实验平台，采用低维的人工生成数据和高维的k d dc u p1 9 9 9 数 据集对改进的算法进行了仿真实验，实验结果表明，改进的算法在不影响检测率的同时大 大降低了检测器的数量，而且提高了正确检测率降低了误报率。 将粒子群算法应用到否定选择算法中，可以很好的优化初始检测器的分布，生成更好 的覆盖非我空间的成熟检测器，有效地降低了检测器的数量，提高了正确检测率，降低了 误报率从而提高检测系统的性能。 关键词：入侵检测，人工免疫，否定选择算法，粒子群优化算法，k d d l 9 9 9 数据集。 南京邮电大学硕士研究生学位论文 a b s t r a c t a b s t r a c t i nt h ei n t r u s i o n d e t e c t i o ns y s t e m sb a s e do na r t i f i c i a li m m u n e ，d e t e c t o ri st h ec o r e c o m p o n e n t s o fi n t r u s i o nd e t e t i o n s y s t e m ，r e g a r d l e s s o fw h a tt h ei m m u n et h e o r yi ti s b a s e d d e t e c t o rg e n e r a t i o nr a t ea n dd i s t r i b u t i o ni nt h en o n - s e l fs p a c ea f f e c tt h es y s t e m p e r f o r m a n c e c u r r e n t l yn e g a t i v es e l e c t i o na l g o r i t h mb a s e do na r t i f i c i a li m m u n er e q u i r e sm o r e d e t e c t o r sf o rh i g h d i m e n s i o n a ld a t a ，w h i c hl e a dt ol o we f f i c i e n c y , w h i l et h ec o r r e c td e t e c t i o nr a t e i sl o wa n dt h e r ei sh i g hf a l s ea l a r mr a t ei s s u e s ，i nr e s p o n s et ot h e s ei s s u e s ，d i s c u s s e sa n ds t u d y t h ec o n c e p ta n dt h ep r e s e n ts i t u a t i o no fi n t r u s i o nd e t e c t i o n ，a r t i f i c i a li m m u n ea n dn e g a t i v e s e l e c t i o na l g o r i t h m ，p r o p o s et h ei m p r o v e dn e g a t i v es e l e c t i o na l g o r i t h mt oc o v e rt h em o r en o n s e l f s p a c ew i t hm i n i m a ld e t e c t o ra n di m p r o v et h ec o r r e c td e t e c t i o nr a t et or e d u c ef a l s ea l a r mr a t e i m p r o v e dn e g a t i v es e l e c t i o na l g o r i t h mf i r s tu s e saw e i g h t e dv a l u eo ft h ep a r t i c l es w a r m a l g o r i t h mt oo p t i m i z et h ed i s t r i b u t i o no fi n i t i a ld e t e c t o r , s ot h a tm a k e t h ed e t e c t o rd i s t r i b u tt ot h e s p a c ew h e r et h en o n s e l fs a m p l ed e s i t yi sl a r g e ra sm u c ha sp o s s i b l e ，s ot h a to n l yn e e dt og e n e r a t e as m a l ln u m b e ro fd e t e c t o r sc a nb ea sm u c ha sp o s s i b l et oc o v e rt h en o n s e l fs p a c ea n dp r o d u c e g o o dd e t e c t i o nr e s u l t s ；s e c o n d l y , i m p r o v ec o n f l i c ta l g o r i t h mb e t w e e np a r t i c l e si nt h ep a r t i c l e s w a r mo p t i m i z a t i o np r o c e s s t ov e r i f yt h ei m p r o v e da l g o r i t h m ，b a s e do nm i c r o s o f tv i s u a lc + + 6 0a n dm a t l a b7 0t ob u i l das i m u l a t i o np l a t f o r m ，c o n d u c tas i m u l a t i o ne x p e r i m e n tf o rt h e i m p r o v e da l g o r i t h mw i t ht h ea r t i f i c i a l l yg e n e r a t e dl o w d i m e n s i o n a ld a t aa n dh i g h - d i m e n s i o n a l k d dc u p19 9 9d a t as e t ，t h er e s u l t ss h o wt h a tt h ei m p r o v e da l g o r i t h md o e sn o ta f f e c tt h e d e t e c t i o nr a t e ，w h i l es i g n i f i c a n t l yr e d u c i n gt h en u m b e ro fd e t e c t o r s ，b u ta l s ot oi m p r o v et h e c o r r e c td e t e c t i o nr a t er e d u c e st h ef a l s ea l a r mr a t e t h ep a r t i c l es w a r ma l g o r i t h ma p p l i e dt ot h en e g a t i v es e l e c t i o na l g o r i t h m ，i tc a nb eag o o d o p t i m i z a t i o no ft h ed i s t r i b u t i o no ft h ei n i t i a ld e t e c t o rt og e n e r a t eab e t t e rc o v e r a g eo fn o n s e l f s p a c e ，m a t u r ed e t e c t o r s ，e f f e c t i v e l yr e d u c et h en u m b e ro fd e t e c t o r s ，i m p r o v et h ec o r r e c t d e t e c t i o nr a t ea n dr e d u c et h ef a l s ea l a r mr a t e ，s oi m p r o v et h ed e t e c t i o ns y s t e mp e r f o r m a n c e k e y w o r d s ： i n t r u s i o nd e t e c t i o ns y s t e m ，a r t i f i c i a li m m u n es y s t e m ，n e g a t i v es e l e c t i o n a l g o r i t h m ，p a r t i c l es w a r mo p t i m i z a t i o na l g o r i t h m ，k d d 19 9 9 i i 南京邮电大学硕士研究生学位论文目录 目录 摘要i a b s t r a c t i i 目勇芑川 缩略词一v 第一章绪论1 1 1 研究背景一1 1 2 国内外研究现状一1 1 3 论文研究工作一3 1 4 论文组织结构一3 第二章入侵检测研究5 2 1 入侵检测的概念5 2 2 入侵检测系统及分类一6 2 2 1 入侵检测系统概念6 2 2 2 入侵检测系统分类6 2 - 3 入侵检测技术及分类1 0 2 3 1 异常检测一1 0 2 - 3 2 误用检测。1 1 2 4 入侵检测面临的问题及发展趋势1 1 2 4 1 面临的问题1 1 2 4 2 发展趋势j 1 3 2 5 本章小结1 3 第三章人工免疫研究1 4 3 1 人工免疫原理概述1 4 3 1 1 形态空间1 5 3 1 2 自体非自体1 5 3 1 3 抗原抗体1 6 3 1 4 亲和力计算：1 6 3 2 人工免疫算法1 6 3 2 1 免疫算法的基本架构1 6 3 2 2 肯定选择算法1 7 3 2 3 克隆选则算法一1 8 3 2 4 否定选择算法1 9 3 3 本章小结。2 0 第四章否定选择算法研究2 1 4 1 否定选择算法的数学定义2 1 4 2 否定选择算法的发展2 1 4 2 1 二进制编码的否定选择算法2 1 4 2 2 实数编码的否定选择算法2 4 4 3 否定选择算法存在的问题2 8 4 4 本章小结2 8 第五章改进的否定选择算法研究2 9 i i i 南京邮电大学硕士研究生学位论文 目录 5 1 粒子群算法2 9 5 1 1 粒子群算法介绍2 9 5 1 2 基本的粒子群算法的过程2 9 5 i 3 带权值的粒子群算法3 0 5 2 基于带权值的粒子群优化算法的否定选择算法研究3 1 5 2 1 算法的设计思想3 1 5 2 2 适应度函数3 2 5 2 - 3 粒子群算法对检测器的优化3 2 5 3 检测器优化过程中检测器冲突算法的改进：3 3 5 3 1 检测器与检测器之间的冲突处理j 3 3 5 3 2 检测器与自体之间的冲突处理3 8 5 4 基于改进的否定选择算法的入侵检测系统模型设计4 1 5 5 本章小结4 2 第六章仿真实验与结果分析4 3 6 1 实验数据集4 3 6 1 1 实验环境4 3 6 1 2 人工生成实验数据集4 3 6 1 3k d dc u p1 9 9 9 数据集4 3 6 2 仿真实验4 4 6 2 。1 改进的粒子冲突处理算法实验4 4 6 2 2 改进的粒子群优化算法对检测器分布的优化实验4 9 6 3 本章小结5 2 第七章总结和展望5 3 7 1 论文的工作总结5 3 7 2 研究展望5 3 致诩 5 5 参考文献5 6 攻读硕士阶段发表的论文6 0 i v 南京邮电大学硕士研究生学位论文 缩略词 缩略词 缩略词英文全称 译文 d i d sd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m 分布式入侵检测系统 h l d sh o s ti n t r u s i o nd e t e c t i o ns y s t e m 基于主机的入侵检测系统 i d si n t r u s i o nd e t e c t i o ns y s t e m 入侵检测系统 k d d k n o w l e d g ed i s c o v e r y i nd a t a b a s 从数据库中发现知识 m h c m a j o rh i s t o c o m p a t i b i l i t yc o m p l e x 主要组织相容性复合体 m u l t i c si n t r u s i o nd e t e c t i o na n da l e r t i n g m i d a s 多路入侵检测和告警系统 s y s t e m n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o n n a d i r 网络异常检测和入侵报告 r e p o r t e r n e x tg e n e r a t i o ni n t r u s i o nd e t e c t i o ne x p e r t n i d e s 下一代入侵检测专家系统 s y s t e m n i d sn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m 基于网络的入侵检测系统 n s a n e g a t i v es e l e c t i o na l g o r i t h m s 否定选择算法 p s op a r t i c l es w a r mo p t i m i z a t i o n 粒子群优化 v 南京邮电大学硕士研究生学位论文第一章绪论 1 1 研究背景 第一章绪论 随着网路技术的发展和应用范围的扩大，针对网络和计算机的入侵越来越多，入侵检 测系统的研究成为计算机网络安全技术研究的重要组成部分。 入侵检测是主动防御的典范，它不仅可以通过检测网络实现对内部攻击、外部攻击和 误操作的实时控制，有效地弥补静态防御的不足，而且还可以结合其它网络安全产品，对 网络进行全方位的保护，其具有主动性和实时性的特点，是静态防御性安全产品的有益补 充。因此人们对入侵检测技术的研究具有极大的热情。近年来，入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，i d s ) 中的新技术层出不穷。 人工免疫系统与入侵检测系统具有惊人的相似性，两者都要在不断变化的环境中维持 系统的稳定性，前者主要是保护机体不收外界病毒，细菌等的侵害，而后者主要是保护计 算机系统不受恶意事件的危害，这种相似性为人工免疫提供了一种很好的参考，而且人工 免疫系统还具有耐受性、学习与认知、分布性、鲁棒性、适应性、多样性、免疫反馈、自 组织性等特点，而这些特点正是当前入侵检测领域所期望的，因此，基于人工免疫原理的 入侵检测成为热门的研究方向。 从生物免疫系统中提取原理、结构和算法并将其运用到计算机系统的病毒检测中去有 利于克服当前i d s 所面临的问题。基于人工免疫原理的算法已经提出了很多，并且在入侵 检测中取到了很好的效果，因此，将免疫系统中的免疫机制运用到入侵检测中的研究已经 越来越重要。 1 2 国内外研究现状 入侵检测的概念由j a m e sp a n d e r s o n 在1 9 8 0 年首次提出。1 9 8 0 年4 月，他为美国空 军做了一份题为“计算机安全威胁监控与监视”( “c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n g a n ds u r v e i l l a n c e ”) 的技术报告，这份报告被公认为入侵检测的开山之作。在报告中， 他首次提出了入侵的概念，将入侵尝试或威胁定义为：潜在的有预谋未经授权的访问信息、 操作信息、致使系统不可靠或无法使用的企图【l 】。1 9 8 3 年d o r o t h yd e n n i n g 博士开始给政 府做一个工程项目，这个项目致力于入侵检测研究。他们的目标是分析从政府主机来的审 南京邮电大学硕士研究生学位论文第一章绪论 计数据并且针对用户的行为建立用户轮廓文件。她首先提出了一个实时的入侵检测系统抽 象模型【3 1 ，首次将入侵检测的概念作为一种解决计算机系统安全防御问题的措施提出。她 提出的模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为以后构建入侵 检测系统提供了一个通用的框架，它的划时代意义在于提出了反常活动和计算机不正当使 用之间的相关性。按照这个思想，利用审计记录建立用户或者用户组活动的特性，通过与 当前会话的审计数据进行比较，从而发现异常。例如，特征可以是特定资源被使用的数量 和相关事件之间的时间长度等。该方法的优点是：无需了解入侵者所使用的特定机制就可 以检测入侵。但存在的问题包括：特征的不确定性难以准确判断异常，有耐心的攻击者可 以逐渐更改行为特征导致检测失败等。针对这个情况，当时提出了第二种工作原理：利用 专家系统和既定规则，检查活动中的异常攻击，这个方法可以准确的描述异常行为进行匹 配，从而发现入侵行为。随后相继出现了一系列著名的入侵检测模型如 m i d a s 6 1 ，d i d s 7 1 ，n a d i r i 引，n i d e s 9 1 。这些模型发展了异常检测和误用检测两种技术，建立了 一系列基于主机、基于网络的入侵检测系统。m i d a s 主要是为美国国家计算机安全中心 m u l t i c s 主机开发的。1 9 8 8 年“莫里斯蠕虫事件”发生之后，网络安全引起了军方、学术 界和企业的高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦 斯利弗摩尔国家实验室、加州大学戴维斯分校、h a y s t a c k 实验室，开展对d i d s 的研究， 将基于主机和基于网络的检测方法集成到一起。d i d s 是分布式入侵检测系统历史上的个 里程碑式的产品，它的检测模型采用了分层结构。1 9 9 1 年，n a d i r r r 与d i d s 提出了收集 和合并处理来自多个主机的审计信息以检测一系列主机的协同攻击。1 9 9 5 年开发的n i d e s 可以检测多个主机上的入侵。 美国新墨西哥大学的s f o r e s t 小组最早把人工免疫的概念引入入侵检测系统。1 9 9 4 年美国学者f o r r e s t 等人首先提出了否定选择算法【l0 1 ，用来生成检测器并且完成了检测器 的耐受过程产生成熟的检测器，提出了计算机免疫系统的概念，将其应用到了入侵检测系 统中取得了良好的效果。d a s g u p t a 于1 9 9 9 年建立了一套计算机免疫系统【i ，用来抵御外来 入侵，保障计算机系统的安全。同时d a s g u p t a 及其学生一直致力于否定选择算法的研究， 并应用到计算机安全和异常检测及工业应用中。2 0 0 2 年，k i m 和b e n t l e y 提出了动态克隆 选择算法l l 引，主要用于网络入侵检测。 国内在计算机免疫方面也有大量研究，一些公司也推出了自己的产品。2 0 0 2 年，武汉 大学的梁意文教授【l3 】利用免疫原理对大规模网络入侵检测和预警技术进行了研究。2 0 0 3 年，四川大学李涛教授【1 4 】提出了基于免疫的大规模网络入侵动态入侵检测模型，并将随机 2 南京邮电大学硕士研究生学位论文 第一章绪论 过程引入计算机免疫的研究中。基于人工免疫原理的入侵检测技术建立了一个具有自动免 疫功能的计算机信息安全防御系统，可以满足国家和重要部门的信息安全需求，是个急需 研究的课题。 1 3 论文研究工作 将人工免疫原理应用于入侵检测中的研究课题很多，比如入侵检测系统模型的建立、 入侵行为的特征提取和表示、检测器的生成算法、抗原抗体之间的匹配算法、检测器的表 示等等。不管是基于什么样免疫原理的入侵检测系统，检测器都是其核心部件，检测器数 量的多少，生成速度的快慢直接影响着系统的性能。因此本文针对否定选择算法进行研究， 主要完成以下几个方面的研究工作： 1 深入理解入侵检测系统、人工免疫原理和人工免疫算法，探讨它们的国内外研究现 状及存在的问题。 2 深入研究否定选择算法的原理及发展过程，分析其存在的缺陷。在此基础上，应用 带权值的粒子群优化算法对实值可变半径否定选择算法进行改进，以优化抗体对非自体的 覆盖。 3 在粒子群优化过程中会出现粒子之间的冲突，文献 2 7 提出的粒子冲突算法时间复 杂度高并且对于粒子数多的情况处理效果不好，对此我们提出改进的粒子冲突算法，以改 善其时间复杂度 4 对改进的算法进行实验仿真，以检验改进算法的优越性。 1 4 论文组织结构 论文内容共分为七章，安排如下： 第一章绪论。介绍研究背景、国内外研究现状及本人所做的主要工作。 第二章入侵检测系统研究。对入侵检测系统的基本概念、分类及面临的问题和发展趋 势做了详细的论述，重点分析研究了入侵检测技术的基本原理和几种典型的入侵检测模 型。 第三章人工免疫研究。论述了人工免疫基本原理，详细分析了几种人工免疫算法。 第四章否定选择算法研究。详细描述了否定选择算法的定义，研究了否定选择算法的 发展过程并分析了其存在的问题，编码实现了实值可变半径否定选择算法。 第五章改进的否定选择算法研究。介绍了粒子群算法的思想，并将带权值的粒子群算 二l 南京邮电大学硕士研究生学位论文第一章绪论 法应用到实值可变半径否定选择算法中，对检测器的分布进行优化，同时改进了粒子之间 的冲突算法，并编码实现了算法。在改进算法的基础上，建立了一个入侵检测系统模型。 第六章仿真实验及结果分析。利用人工生成的二维数据和通过k d d l 9 9 数据集对改进 的算法进行了仿真，并做了实验结果分析。 第七章总结和展望。对论文进行工作总结，并提出下一步研究方向。 4 南京邮电大学硕士研究生学位论文 第二章入侵检测研究 第二章入侵检测研究 入侵检测技术是近二十年来出现的一种主动保护计算机免受入侵攻击的新型网络安 全技术。它一般是通过离线或在线分析系统的审计数据，当发现有入侵企图或入侵行为的 时候，能够及时报告网络管理员，从而使管理员采取一定的补救措施，如断开连接，防止 错误数据蔓延，向入侵者发出警告等。入侵检测系统能够提供对内部攻击、外部攻击和误 操作的实时检测，是网络安全技术极其重要的组成部分。本章对入侵检测系统做了全面介 绍，概述了入侵检测技术的基本概念，对其关键技术进行了深入分析。 2 1 入侵检测的概念 入侵检测就是识别那些非授权使用计算机的个体( 如黑客) 和虽有合法授权但是滥用 其权限的用户( 如内部攻击) 。它通过对计算机网络或计算机系统的若干关键点收集信息 并对其进行分析，从中发现网络或系统中是否有违反系统安全策略的行为和被攻击的迹 象。 ej a m e sa n d e r s o n 【1 1 在其技术报告中首次提出了入侵的概念与入侵检测的基本框架， 他将入侵分为以下几类： 1 外部渗透者，指获得系统访问权的非法用户入侵。 2 伪装者，包括外部渗透和系统其它授权用户的入侵，企图利用他人授权信息对系统 进行访问。 3 滥用权力者，指系统合法用户违反系统安全策略滥用权力的入侵。 4 秘密用户，指在低于正常审计机制下操作系统的入侵，由于入侵行为征兆隐蔽，不 容易被检测到。 而真正揭示入侵检测的是由d o r o t h yd e n n i n g 和p e t e rn e u m a n n 联合研究提出的i d s 模 型【2 1 。d e n n i n g 给出了入侵行为可检测条件，即系统能够为正常用户行为自动建模，当某操 作行为明显偏离正常模型时，系统认为处于异常状态并存在入侵可能。 总之，入侵检测是对危及系统安全，即对系统保密性、完整性和可用性的恶意行为的 识别和反应过程，其基本前提条件包括用户和程序行为是可见的以及正常行为和入侵行为 具有截然不同的迹象。 南京邮电大学硕士研究生学位论文第二章入侵检测研究 2 2 入侵检测系统及分类 2 2 1 入侵检测系统概念 入侵是指违背访问目标安全策略的行为。入侵检测通过收集操作系统、系统程序、应 用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。具有入侵检测 功能的系统称为i d s 。一个入侵检测系统通常由以下一些基本组件构成： 1 事件产生器 事件产生器是入侵检测系统中负责原始数据采集的部分，它对数据流、日志文件等进 行追踪，然后将搜集到的原始数据转换为事件，并向系统的其他部分提供此事件。 2 事件分析器 事件分析器接收事件信息，然后对它们进行分析，判断是否是入侵行为或异常行为。 最后将判断的结果转换为警告信息。 3 事件数据库 事件数据库是存放各种中间和最终数据的地方。它从事件产生器或事件分析器接收数 据，一般会将数据进行较长时间的保存。它可以是复杂的数据库，也可以是简单的文本文 件。 4 响应单元 响应单元根据警告信息作出反应，它可以做出切断连接、改变文件属性等强烈反应，也可 以只是简单的报警，它是入侵检测系统中的主动武器。 i d s 通过对计算机网络和主机系统中的关键信息进行实时采集和分析，从而判断出非 法用户入侵和合法用户滥用资源的行为，并做出适当响应。它在传统的网络安全技术的基 础上，实现了检测与响应，起着主动防御作用，从而使得对网络安全事故的处理，由原来 的事后发现发展到事前警报、自动响应，并可以为追究入侵者的法律责任提供有效证据。 2 2 2 入侵检测系统分类 通过对现有入侵检测系统的研究，论文分别从检测数据来源、i d s 的体系结构、入侵 检测方法、入侵响应方式和检测时机的不同进行分类。 1 根据i d s 使用的数据来源类型分类 按照入侵检测数据来源可以将入侵检测系统分为基于主机的入侵检测系统( h o s t 6 南京邮电大学硕士研究生学位论文第二章入侵检测研究 i n t r u s i o nd e t e c t i o ns y s t e m ，h i d s ) 和基于网络的入侵检测系统( n e t w o r ki n t r u s i o nd e t e c t i o n s y s t e m ，n i d s ) 。 h i d s 它以本地主机系统的数据作为数据源，以发现主机的非法使用和入侵，其中常 用的数据源就是审计日志，也可扩展到系统日志、应用程序日志、系统状态、系统调用信 息等。h i d s 监视和保护的对象一般是其所在的本地系统，由代理来实现，代理是运行在 目标主机上的可执行程序。 n i d s 它以网络数据包作为数据源，对n i d s 所在的网络进行主动监控，以检测网络中 的异常行为。图2 1 为n i d s 的工作流程。 图2 1 网络型入侵检测系统的工作流程 n i d s 通常以内联方式连接在需要检测的网络中，对接口上接收到的网络数据包进行 攻击检测，如果判定数据包是网络攻击，则进行响应处理，具体措施包括丢弃该数据包、 报警等；否则转发该数据包。实际实施时，一般将n i d s 放置在比较重要的网段内，将其 所在主机的网卡设为混杂模式，从而捕获经过它的所有数据包。由此可见，n i d s 监视和 保护的对象是整个共享子网。 h i d s 与n i d s 各有所长各有所短，通过分析，论文给出了h i d s 和n i d s 的比较，如 表2 1 所示。 7 南京邮电大学硕士研究生学位论文第二章入侵检测研究 表2 1t i i d s 和n i d s 的比较 h i d sn i d s 以软件方式安装在需要保护的主机上，以在线方式安装在网络中，一般处 部署方式 一般处于应用程序和操作系统之间于边界防火墙和内部网络之间 系统调用、文件系统访问、注册表访问数据包的头部信息、网络负荷、重 检测对象 和i o 操作 组后的对象、数据流和流萤统计 服务器、工作站和重要的主机及运行于内网中的主机、路由器、交换机和 保护对象 其中的应用程序其他终端设备 安全事件流程匹配、病毒行为特征匹配 模式匹配、已知协议异常分析、上 识别已知攻击的手段 下文和基于流的规则匹配 识别未知攻击的手段 策略违背、统计和深度检测技术未知协议异常检测、流量异常检测 基于软件代理形式，与操作系统有关，基于专业化定制的集成电路实现 实现方式 不同的平台需要不同的软件代理程序的硬件设备，与平台无关 提供“零日”保护，很少甚至不需要安 能够阻止蠕虫病毒的传播；防止未 优点 全更新：在内核层阻止攻击知攻击；与平台无关 费用高昂；部署复杂可能造成单点故障；部署费用高； 缺点 需要安全更新 2 根据i d s 的体系结构分类 根据i d s 的体系结构，可以将其分为集中式、等级式和分布式。 集中式结构的i d s 可能有多个分布于不同主机上的审计程序，但只有一个中央入侵检 测服务器【1 6 , 1 7 】。审计程序把当地收集到的数据发送给中央服务器进行分析处理。这种结构 的i d s 无法适应大规模网络环境，在可伸缩性、可配置性方面存在致命缺陷，主要包括网 络规模的增加，会导致网络性能大大降低；系统安全性脆弱，一旦中央服务器出现故障， 整个系统就会陷入瘫痪；配置服务器比较复杂繁琐。 为了克服集中的缺点，等级式i d s 被提出来1 8 】。它用来监控大型网络，定义了若干个 分等级的监控区，每个i d s 负责一个区，每一级i d s 只负责所监控区的分析，然后将当地 的分析结果传送给上一级i d s 。这种结构仍存在两个问题：当网络拓扑结构改变时，区域 分析结果的汇总机制也需要做相应的调整；这种结构的i d s 最后还是要把各地收集到的结 果传送到最高级的检测服务器进行全局分析，所以系统的安全性并没有实质性的改进。 分布式i d s 是将中央检测服务器的任务分配给多个基于主机的i d s ，这些i d s 不分等 级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都得到了显著 的提高，但维护成本却高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计 开销、跟踪分析等。 3 根据i d s 采用的入侵检测方法分类 根据i d s 采用的入侵检测方法不同，可将其分为异常i d s 、误用的i d s 和混合型i d s 。 8 南京邮电大学硕士研究生学位论文 第二章入侵检测研究 异常i d s ：异常检测也叫基于行为的检测，是利用统计的方法来检测系统的异常行为。 异常检测假设任何对系统的入侵和误操作都会导致系统异常。它首先建立统计概率模型， 明确所观察对象的正常情况，然后决定在何种程度上将个行为标为“异常”，再通过检 测系统的行为或使用情况的变化来完成对“异常”行为的检测。异常检测只能识别出那些 与正常过程有较大偏差的行为，由于对各种网络环境的适应性不强，且缺乏精确的判定标 准，异常检测经常会出现误报的现象。 误用的i d s ：误用检测也叫基于知识的检测，是指运用已知的攻击方法，根据已定义 好的入侵模式，通过判断这些入侵模式是否出现来检测入侵。这种方法由于依据具体特征 库进行判断，所以对已知的攻击类型非常有效；并且因为检测结果有明确的参照，也为系 统管理员做出相应措施提供了方便。但这种方法对攻击的变种和新的攻击几乎无能为力； 同时由于对具体系统的依赖性太强，系统移植性不好，维护工作量大，并且检测范围受已 知知识的局限。 混合型i d s ：由于基于误用的i d s 和基于异常的i d s 各有其优势和不足，因此在许多 i d s 中同时采用了这两种不同的入侵检测方法，这种i d s 称为混合型i d s 。混合型i d s 中 异常检测器和误用检测器之间应该是相互约束的。由于异常检测难以克服其局限性，因而 许多商用i d s 基本上采用的都是基于误用的入侵检测方法。许多科研人员正在努力研究能 应用于实际入侵检测系统的异常检测器。 4 根据i d s 采用的响应方式分类 根据i d s 采用的响应方式不同，可将其分为被动响应i d s 和主动响应i d s 。 被动响应i d s ：系统检测到入侵后，仅仅记录所检测到的异常活动信息，并将警报信 息报告给系统管理员，由系统管理员决定接下来应该采取什么措施。在早期的入侵检测系 统中，都是采取被动响应方式。 主动响应i d s ：系统检测到入侵后，采取某种响应手段或措施阻塞攻击的进程或者改 变受攻击的网络环境配置，以尽可能减少危害或阻止入侵。主动响应采取的措施有追踪入 侵、切断攻击发起主机或网络的连接、反向攻击入侵主机等。更为先进的主动响应手段包 括自动修补目标系统的安全漏洞、动态更改检测系统的检测规则集合等方法，甚至包括与 “蜜罐”系统密切合作，积极收集攻击行为的信息和入侵证据等。 5 根据i d s 的检测时机分类 根据i d s 的检测时机不同，可将其分为离线检测i d s 和在线检测i d s 。 离线检测i d s 是一种非实时工作的系统，在事件发生后分析审计事件，从中检查入侵 9 南京邮电大学硕士研究生学位论文第二章入侵检测研究 事件。这类系统的成本低，可以分析大量事件，调查长期的情况，有利于其它方法建立模 型。但由于是在事后进行，不能对系统提供及时的保护。而且很多入侵在完成后都将审计 事件去掉使其无法审计。在线检测i d s 对网络数据包或主机的审计事件进行实时分析，可 以快速反应，保护系统的安全，但在系统规模较大时，难以保证实时性。 2 3 入侵检测技术及分类 入侵检测技术是入侵检测系统的核心，它直接关系到攻击的检测效果、效率、误报率 等性能。入侵检测技术主要分为异常检测技术和误用检测技术两大类。 2 3 1 异常检测 异常检测( a n o m a l yd e t e c t i o n ，a d ) ，也称为基于行为的检测，它根据使用者的行为 或资源使用情况是否偏离正常模式来判断是否入侵。使用异常检测的系统建立起一个正常 行为模式的基线，任何偏离这条基线的行为都将作为可能的入侵行为被标示出来，异常的 判断多是根据事件出现的频率，高于还是低于标准作为判断的依据。 异常检测模型如图2 2 所示，系统首先对事件行为进行统计分析，建立正常行为模型， 并定义正常行为判断的基线。检测时，将检测到的行为与预定义的正常行为进行比较，若 与基线的偏差在正常范围之内，则判为正常行为，反之为入侵行为，并进行相应的响应处 理。从另一层次上讲，异常检测能研究用户使用的模式，比如记录每天被执行的程序等。 异常检测的优点是可检测到未知的入侵行为和更为复杂的入侵行为；缺点是只能识别出与 正常行为有较大偏差的行为，且无法知道具体的入侵情况，故误报和漏报率较高。同时， 由于正常行为模型相对固定，所以异常检测模型对网络环境的适应性不强，也不适应用户 正常行为的突然改变。 图2 2 异常检测模型 1 0 南京邮电大学硕士研究生学位论文第二章入侵检测研究 如果入侵行为的集合仅仅与异常行为的集合存在交集，而非完全一致，将会导致误报 和漏报。要解决这个问题就要选择一个恰当的基线和属性进行监控。同时，异常检测系统 通常是计算复杂程度较高的系统，因为它必须跟踪，甚