（计算机软件与理论专业论文）径向基神经网络在入侵检测中的应用研究.pdf

摘要 摘要 计算机网络和信息技术的快速发展，使人们日常生活及工作环境对计算机 网络和信息系统的依赖越来越密切，对网络安全的要求也越来越高。当前网络 安全防护技术有很多，如防火墙，访问控制和数据加密等。但是这些技术都是 静态防御技术，不能完全确保网络的安全和抵御黑客的攻击。在此背景下，主 动且动态地对网络进行安全防护的入侵检测系统不可避免地成为网络安全发展 的一个新方向，是传统网络安全技术的必要补充。 入侵检测技术的方法模型有很多，但检测率低误报率高是目前入侵检测系 统普遍存在的问题，而攻击方式的不断变化更新对入侵检测系统的灵活性、智 能性提出了更高的要求。神经网络具有并行计算，非线性，自适应学习和调 整，可以分析处理不完整有失真的数据，抗干扰能力强等特性，使其在入侵检 测领域中得以应用。 b p 网络模型是应用最多范围最广的一种神经网络，在入侵检测领域中已 经得到应用。与b p 网络模型相比，径向基神经网络不需要进行反向误差传播 的计算，而是完全前向的计算过程，具有训练时间短且不易收敛到局部最小的 优点。目前国内对径向基神经网络的应用研究还非常有限，尤其是概率神经网 络和广义回归神经网络，在入侵检测领域中还没有相关的应用研究资料。 本文将三种径向基神经网络应用到入侵检测中，并利用自适应共振理论， 建立一个入侵检测模型，用于入侵模式识别的分类和预测。通过使用神经网络 规则抽取算法抽取出入侵模式规则，该模型既可用于异常检测又可用于滥用检 测，从而提高入侵检测系统的检测率并降低误报率。 关键词：网络安全，入侵检测，模式识别，径向基神经网络 查三些查兰三兰堡圭耋堡兰三 a b s t r a c t p e o p l e sd a i l yl i f ea n dw o r ki r l c r e a s i n g l yd e p e n do nc o m p u t e rn e “v o r ka n d i n f b m a t i o nt e c h n o l o g yb e c a u s et h e i rq u i c kd e v e l o p m e n t s ，a n da l s ot h en e t 、v o r k s e c u r i t yd c m a n d sr e a c hh i 曲e rl e v e l b u t ，e v e nm e r ea r cp l e n t yo ft h ec u r r e n t p m t e c t i o nt e c h n o l o g i e so fn e t w o r ks e c u r i 妙，s u c ha sf i r e w a l l ，a c c e s sc o n 奸o l l i n ga n d d a t ae n c r y p t i o na n ds oo n ，a l lt h e s et e c h n o l o 酉e sc a nn o te n t i r e l yi n s u r et h en e t 、v o r k s e c u r i t ya n dp r e v e n tt h ch a c k e r s a t t a c ks o ，r e s e a r c h i n ga 1 1 dd e v e l o p i n gn e w i n t m s i o nd e t e c t i o ns y s t e m ，w h i c hc a ni n i t i a t i v e l ya n dd ”锄i c a l l yp r o t e c tt h e n e t w o r k ，u n a v o i d l yb e c o m ean e wp r i m a r yd i r c c t i o no ft h en e t w o r ks e c u r i t y i n 缸u s i o nd e t c c t i o nt e c h n o l o g ya p p l i e dm a n ym e t h o dm o d e l s ac o m m o n p r o b l e mw i f h i na l im e s em e t h o d si st h a tt h et h ed e t e c t i o n s 吼t eo ff 甜s ep o s i t i v ei s h i g ha n ds p e e di si sl o w f u r t h e r n l o r e ，t h ec o n t i n u o u s l yv a r y i n ga n dc h a n g i n ga t t a c k m o d e si m p o s em o r e d e m a n d so nf l e x i b i l i t ya n di n t e l l i g e n c yo ft h ei n t n l s i o n d e t e c t i o ns y s t e m n e u r a ln e t 、v o r k so u t s t a n d i n ga b i l i t i e s ，p a r a l l e lc o m p u t i n g ，n o n l i n e a r i t y ，s e l f - a d a p t i v e ，h a n d l i n gd i s t o n i o nd a t a ，a n t i _ j 砌m i n 蜀m a k ei t s e l fav e r y s i g n i f i c a n tt 0 0 1a p p l y i n gi nt h ei n t i u s i o nc l e t e c t i o nf i e l d b pm o d e l ，o n eo fm em o s tw i d e l yu s e dn e u m ln e t w o r k s ，i sa l r e a d ya p p l i e di n t h ei n t r u s i o nd e t e c t i o nf i e l d i nc o m p a r i s o nw i t hb pn e t w o r kr n o d e l ，r b fn e u r a l n e 研o r ki sn o ta ne r b a c kp r o p a g a t i o nm e m o db u ta ne n t i r e 的n tp r o p a g a t i o n m e t h o d ，w i t hs h o n e rt m i n i n gt i m ea n dt h eq u a l 畸n o ts u b j e c tt ob et r a p p e di nl o c a l m i n i m i z a t i o nv a l u e a tp r c s e n t ，d o m e s t i cs c i e n t i s t sm r e l ys t u d yt h er b fn e u m l n e m o r ka n di t s 印p l i c a t i o n ，e s p e c i a l l yt h ep r o b a b i l i s t i cn e u m ln e 研o r ka n dg e n e r a l r e g f e s s i o nn e w a ln e 觚o r k i tc a nt e l l 舶mt h ef 砒st h a tn os u c hp a p e r sf o c u s i n g o ni n 廿u s i o nd e t e c t i o nf i e l d s i nm i sp a p e r ，m r c er a d i a lb a s i sm n c t i o nn e u r a ln e t 、v o r km o d e l sc o m b i n i n g w i t ha d a p t i v er e s o n a n c et h e o r ya r ep r e s e n t e df o ri n t m s i o nd e t e c t i o nc l a s s m c a t i o n 蛐d p r e d i c t i o n b ym l ee x 昀c t i n ga r i t h m e t i c ，m e yi n c r e a s ed e t e c t i o nr a t ea n dr e d u c e f a l s ep o s i t i v er a t eo f 髓i n t r u s i o nd e t e c t i o ns y s t e m ，w h i c hc a nb eu s e dt ob o t h a b s t r a c t m i s u s ed e t e c t i o na n da n o m a l yd e t e c t i o n k e y w o m ：n e t 、v o r ks e c u r i t y ， i n t m s i o nd e t e c t i o n ，p a mi d e n t i f i c a t i o n ，砌3 f n e u m ln e m o r k 第一章绪论 第一章绪论 1 1 引言 计算机网络和信息技术的快速发展，促进了信息的检索、传送、存储、处理 和控制等的应用与发展，实现了高速度和高效率办公，使人们日常生活及工作环 境对计算机网络和信息系统的依赖越来越密切。尽管网络信息系统为人们提供了 巨大的方便，但是受技术和社会因素的影响，网络信息系统存在着各种安全缺 陷。攻击者经常利用这些系统具有的漏洞，进行攻击和入侵，给计算机系统造成 严重的损害“。2 1 。图卜l 和图卜2 分别为美国卡内基梅隆大学计算机紧急响应小 组c e r t 从1 9 9 5 年到2 0 0 3 年的安全缺陷报告和攻击事件报告的统计图0 1 。 缺陷数目 1 9 9 51 9 9 6 1 9 9 71 9 9 8 1 9 9 92 0 0 02 0 0 l2 0 0 2 2 0 0 3 图卜lc e r t 收到的安全缺陷报告 f i g1 1s e c u r i t yr e p o r tr e c e i v e db yc e r t 从图中可以看到，安全缺陷和攻击事件数目大幅上升，我们所面临的网络安 全问题越来越严峻。传统的网络安全防护措施有防火墙，加密技术，访问控制， 反病毒技术，审计及事后监督等。防火墙是一种常用的网络安全防护技术，但防 火墙是一种被动防御的网络安全工具，不能检测和阻止来自内部的攻击。入侵者 |；姗湖咖黝咖咖o 4 4 3 3 2 2 l 1 广东工业大学工学硕士学位论文 可以找到防火墙的漏洞，并绕过防火墙进行攻击。随着网络安全问题的不断暴露 和攻击技术的日益进步，这些被动、静态的传统防护技术已不能满足当前网络安 全的要求。因此，主动的、动态地对整个系统或网络状态进行监测和保护的入侵 检测系统可以作为传统网络安全产品的重要补充，是一个当前热门的研究领域。 攻击数目 t 6 0 0 0 0 1 4 0 0 0 0 1 2 0 0 0 0 1 0 0 0 0 0 8 0 0 0 0 6 0 0 0 0 4 0 0 0 0 2 0 0 0 0 o 图卜2c e r t 收到的攻击事件报告 f i g1 2i n t r u s i o nr e p o r tr e c e i v e db yc e r t 入侵检测是一种主动并动态检测计算机网络和系统以识别违反安全策略事件 的技术，可以发现安全问题，识别入侵行为，对入侵行为报警，以及采取适当的 措施来阻止入侵事件或弥补对计算机和网络造成的损害“1 。入侵检测技术的研 究始于2 0 世纪8 0 年代末，是在传统的审计技术之上发展起来的，现已成为网络 安全技术的重要组成部分。国内外在这一方面做了大量的研究，也有相关的商业 产品面市。 入侵检测技术的方法模型有很多，但检测率低误报率高是目前入侵检测系统 普遍存在的问题，而攻击方式的不断变化更新对入侵检测系统的灵活性、智能性 提出了更高的要求。神经网络具有并行计算，非线性，自适应学习和调整，可以 分析处理不完整有失真的数据，抗干扰能力强等特性”1 ，使其在入侵检测领域 中得以应用。 在对网络攻击数据特征和前人入侵检测方法进行分析研究的基础上，本文将 三种径向基神经网络应用到入侵检测中，用于入侵模式识别的分类和预测，通过 第一章绪论 比较研究得出适当的参数及应用环境，并结合自适应共振理论方法，建立入侵检 测模型，从而提高了入侵检测系统的检测率并降低误报率。 1 2 传统的网络安全技术 国际标准化组织( i s o ) 对计算机系统安全的定义是：为数据处理系统建立 和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意 的原因遭到破坏、更改和泄露。网络安全可以用保密性、完整性和可用性三个目 标来定义： 保密性指只能由授权用户访问信息，防止信息不适当的泄漏； 完整性指防止信息被不适当的修改； 可用性指信息和系统资源能够持续工作。 由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网 络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网 络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、 丢失和泄露等。 传统的网络安全技术如数据加密、身份认证、访问控制、防火墙等早已在网 络上得到应用，一些重要的网络中还使用了网络安全的硬件产品如安全服务器、 v p n 、物理隔离卡等。 网络安全通常分为五个层次，体现为如图卜3 的体系结构。 数据层加密 应用层访问控制授权 用户层用户组管理单机登录授权 系统层 反病毒 风险评估入侵检测审计分析 网络层 防火墙通信安全 图卜3 网络安全的体系结构 f i g1 3s t r u c t u r eo fn e t w o r ks e c u r i t y 网络安全技术体现为保障以上某个或某几个层次的安全。 传统的网络安全技术主要使用以下几种网络安全机制。 1 数据加密 信息交换加密技术分为两类：即对称加密和非对称加密。具体如下： ( 1 ) 对称加密技术 广东工业大学t 学硕士学位论文 在对称加密技术中，对信息的加密和解密都使用相同的密钥，其典型的算法 是d e s ( d i g i t a le n c r y p t i o ns t a n d a r d 数据加密标准) 。这种加密方法计算量 小和效率高，可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的 加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以 得以保证。对称加密技术也存在一些不足，如果交换一方有n 个交换对象，那么 他就要维护n 个私有密钥，对称加密存在的另一个问题是双方共享一把私有密 钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。 ( 2 ) 非对称加密技术 在非对称加密体系中，密钥被分解为一对( 即公开密钥和私有密钥) 。这对 密钥中任何一把都可以作为公开密钥( 加密密钥) 通过非保密方式向他人公开， 而另一把作为私有密钥( 解密密钥) 加以保存。公开密钥用于加密，私有密钥用 于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只 对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就 可以建立安全通信，广泛应用于身份认让、数字签名等信息交换领域。非对称加 密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然 结果。最具有代表性是r s a 公钥密码体制，其安全性是基于分解大整数的困难 性，到目前为止，无法找到一个有效的算法来分解两大素数之积，分解2 0 4 8 b i t 的大整数已经超过了6 4 位计算机的运算能力，因此在目前和预见的将来，它是 足够安全的。 数据加密机制虽然能保障数据在传送过程中的不被真实读取，但不能保障数 据在传送过程中不被修改，而且数据加密存在密钥保管和分发的困难。 2 数字签名和身份识别 数字签名和加密很相似，一般是签名者利用秘密密钥( 私钥) 对需要签名的 数据进行加密，验证方利用签名者的公开密钥( 公钥) 对签名数据进行解密运 算。 身份识别技术可用于通信过程中的不可抵赖要求的实现，如果用户提供的密 码与系统拥有的密码是一致的，系统就认为用户的身份合法并允许用户访问系 统。数字签名作为身份认证技术的一种具体技术，可作为验证发送者身份与消息 完整的根据。这种认证方法利用了基于私有公共密钥对，使用私有密钥为其数 字签名，利用数字认证机构提供的公共密钥，任何人均可验证签名的真实性。 第一章绪论 这种安全技术可以防止一些非授权用户操作计算机，但不能防止内部人员滥 用授权和发动攻击。 3 访问控制 访问控制机制是根据主体的访问权限来限制对客体的访问。当一个主体试图 非法使用一个未经授权使用的客体( 资源) 时，访问控制将拒绝这一企图，并可 以附带报告这一事件给审计跟踪系统，审计跟踪系统产生一个报警或形成部分追 踪审计。 4 防火墙技术 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以 非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环 境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照 一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运 行状态。 防火墙使用的机制包括代理服务器、网络数据包过滤器和加密数据通道 ( 虚拟专用网) 。防火墙过滤网络数据包，根据指定的安全策略决定是否让网络 数据包通过，也可以通过转换网络地址将内部网络的配置细节隐藏起来，以防范 潜在的入侵者。 防火墙处于五层网络安全体系中的最底层，属于网络层安全技术范畴。负责 网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变 化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统 防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。 虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无 法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的 用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，不能防范绕 过防火墙的攻击和i p 分组攻击，以及无法防范数据驱动型的攻击，不能防范由 于系统或应用服务的漏洞造成的恶意攻击及其它攻击等。 1 3 课题确立的背景和意义 通过对几种常见的网络安全技术进行研究分析，可以看出这些网络安全技术 大多数是被动式的防御系统。主要是保障数据在传送过程中的安全，或抵御外部 广末工业大学工学硕士学位论文 恶意和非授权的请求。随着计算机网络应用的普及，越来越多的关键信息被放在 联网系统上，这使得计算机系统的安全性显得越来越重要。有些网络攻击方法使 用的攻击技术变得越来越高级，攻击工具与手法日趋复杂多样，而且攻击的频度 和数量也迅速增长。分布式、动态变化、发展迅速的网络安全问题使得缺乏动态 反应的静态防御安全技术更加捉襟见肘。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是一种主动式防御工 具，根据网络攻击的特征或在系统日志上留下的痕迹，结合用户权限与系统状态 等信息，采用统计分析或智能分析算法等来监控系统或网络的安全状态。早在 1 9 8 0 年，a n d e r s o n 就指出，入侵检测( i n t r u s i o nd e t e c t i o n ) 是基于防御的安 全技术的一个有力补充。入侵检测系统通过分析系统产生的大量信息，能够及时 ( 或实时) 地发现各种安全问题，并且能够采取相应措施来避免或弥补发生的任 何损害。入侵检测并不能阻止某些入侵，但它能帮助系统管理员在非法入侵者进 入网络时就侦查到。如果响应设置得合理，i d s 就能帮助系统管理员阻止黑客的 进一步攻击，弥补被动式网络安全组件的不足之处。入侵检测技术己成为近几年 和未来一段时间内网络安全的研究热点与重点。 目前已有一些商业的入侵检测系统产品面世，然而国内在这方面的研究最近 几年才逐渐展开，虽然也有一些商用或实验室的入侵检测系统，但大部分是步外 国研究之后或国外i d s 产品稍加修改后的复制品。 神经网络使用自适应学习技术来描述异常行为，由许多简单的神经元处理单 元，通过使用加权的连接相互作用组成，利用实例可以自适应或自学习地形成神 经网络中的权函数，以使网络正确理解和解决特定的问题并达到最佳性能。神经 网络作为一种并行的计算模型，更好的表达了变量间的非线性关系，能够自适应 学习并更新，能够很好的处理原始数据的随机特性，不需要对这些数据做任何统 计假设，即使来自网络的数据不完整有失真，也能对它们进行分析，并且有较好 的抗干扰能力。神经网络的这些特性使其在入侵检测的模式识别技术中得以应 用。 本课题在研究当前主要的入侵检测技术的基础上，提出了将径向基神经网络 应用于入侵检测系统，采用结合自适应共振理论方法加以实现，用于网络入侵检 测。 第一章绪论 1 4 章节安排 论文共分为6 章，各章的内容安排如下： 第一章绪论部分。主要讨论当前网络安全的重要性，现有的网络安全技术 的优缺点。提出入侵检测技术，分析入侵检测发展的主要问题。进一步提出课题 的研究意义。 第二章入侵检测技术。介绍国内外关于入侵检测的相关研究工作，分析几 种入侵检测技术的特点与局限性。 第三章神经网络模型介绍，规则抽取。 第四章基于径向基神经网络的网络入侵检测模型。 第五章检测实验与结果分析。通过完成几个网络攻击的实验来验证第四章 检测模型的检测准确性等，从实践上对基于径向基神经网络的网络入侵检测系统 进行验证。 广东工业大学工学硕士学位论文 第二章入侵检测技术 2 1 入侵和入侵检测 a n d e r s o n 1 在1 9 8 0 年介绍入侵检测的概念时，将入侵定义为：未经授权而 蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用的潜在可能。h e a d y 等 给出另外的入侵定义：入侵是指有关试图破坏资源完整性、机密性及可用性的活 动集合。k u m a r 则将入侵定义为：一切违反系统安全策略的行为。s m a h a 从分类 角度指出，入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服 务、恶意使用6 种主要类型。 入侵检测( i n t r u s i o nd e t e c t i o n ) ，即临测、分析计算机系统和网络中的 事件以发现入侵迹象的过程。入侵检测基于这样一个假设：入侵行为与正常行为 有明显不同，是能够被检测出来的。入侵检测系统( i n t r u s i 。nd e t e c t i o n s y s t e m ，简称i d s ) ，就是能够自动操作入侵检测过程的软件或硬件设备，是 一种币4 用入侵者攻击时所留下的痕迹，如登录失败记录等信息，来有效地发现来 自外部或内部的非法入侵的检测技术。 2 2 入侵检测研究的发展 a n d e r s o n 在1 9 8 0 年写的一份报告被认为是入侵检测的开创性工作。在这份 报告中，他将入侵行为划分为外部闯入、内部授权用户的越权使用和滥用等三种 类型，并提出用审计踪迹( a u d i tt r a i l ) 监视入侵威胁。 1 9 8 7 年，d e n n i n g 提出第一个基于统计方法的异常入侵检测模型，首次将入 侵检测作为一种计算机系统安全的防御措施提出。 1 9 8 8 年，l u n t 等人进一步改进d e n n i n g 提出的入侵检测模型，并创建入侵 检测专家系统( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ，简称i d e s ) ，该系统用 于检测对单一主机的入侵尝试，提出与系统无关的实时检测思想。1 9 9 5 年开发 的n i d e s ( n e x t g e n e r a t i o ni n t r u s i o nd e t e c t i o ns y s t e m ) ，可以检测多个主 机上的入侵。 8 第二章入侵检测技术 从1 9 8 7 年到1 9 9 1 年，美国空军密码支持中心为了帮助安全官员发现美国空 军s b l c ( s t a n d a r db a s el e v e lc o m p u t e r s ) 的内部人员的不正当使用而设计 开发h a y s t a c k 系统，以批处理方式执行异常检测。 1 9 8 9 年，美国国家计算机安全中心( n c s c ) 在m u l t i c s 主机上开发的m i d a s ( m u l t i c si n t r u s i o nd e t e c t i o na n da l e r t i n gs y s t 鲫) 投入运行，m i d a s 采 用混合分析策略，把基于统计的异常检测和基于规则的专家系统方法结合起来， 是第一个监控与互联网连接的操作系统的入侵检测系统。 1 9 9 0 年，加州大学d a v i s 分校开发了一个基于网络的入侵检测系统一n s m ( n e t w o r ks e c u r i t ym o n i t o r ) ，运行平台是s u nu n i xz 作站。这是入侵检测 系统第一次监视网络数据包并将其作为主要数据源。 1 9 9 1 年，n a d i r ( n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t e r ) 与d i d s ( d i s t r i b u t ei n t r u s i o nd e t e c t i o ns y s t e m ) 提出收集和合并处理来自 多个主机的审计信息以检测一系列主机的协同攻击。1 9 9 4 年，c r o s b i e 和 s p a f f o r d 建议使用自治代理( a u t o n o m o u sa g e n t s ) 以便提高i d s 的可伸缩性、 可维护性、效率和容错性，该理念非常符合正在进行的计算机科学其他领域( 如 软件代理，即s o f t w a r ea g e n t ) 的研究。 近年的主要创新包括：f o r r e s t “2 1 等将免疫原理运用到分布式入侵检测领 域；1 9 9 8 年a n d e r s o n 和k h a t t a k 将信息检索技术引进到入侵检测：将人工神经 网络技术应用于入侵检测分析引擎中。 为了提高i d s 产品、组件及与其他安全产品之间的互操作性，美国国防高级 研究计划署( d e f e n s ea d v a n c e dr e s e a r c hp r o j e c ta g e n c y ，简称d a r p a ) 和 i n t e r n e t 工程任务组( i n t e r n e te n g i n e e r i n gt a s kf o r c e ，简称i e t f ) 的入侵 检测工作组( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ，简称i d w g ) 发起制订了一 系列建议草案，从体系结构、a p i 、通信机制、语言格式等方面规范i d s 的标 准。d a r p a 提出的建议是公共入侵检测框架( c o m o ni n t r u s i o nd e t e c t i o n f r a m e w o “，简称c i d f ) ，最早由加州大学d a v i s 分校安全实验室主持起草工 作，c i d f 正在开发和讨论之中，有可能成为入侵检测系统的标准”i 。 国内的入侵监测系统的研究在近几年才开始，在检测理论( 有遗传算法、基 于攻击分类的监测、模糊推理) 、检测模型( 分布式协作模型、多a g e n t ) 、商 用产品( n e t c o p 、天眼、s k y b e l l ) 的研究上取得一定的进展。 9 广东工业大学工学硕士学位论文 2 3 入侵检测系统分类 入侵检测系统可以从两个角度进行分类：检测数据源和数据分析技术。 2 3 1 检测数据源 根据入侵检测系统的数据源，通常将入侵检测系统分为两类：基于主机的入 侵检测系统( h o s t b a s e di d s ) 和基于网络的入侵检测系统( n e t w o r k b a s e d i d s ) 。基于主机的入侵检测系统从单个主机上提取数据作为入侵分析的数据 源，而基于网络的入侵检测系统从网络上提取数据作为入侵分析的数据源。 基于主机的入侵检测系统 基于主机的入侵检测系统通过提取被保护系统的审计踪迹和系统日志等运行 数据并进行入侵分析来实现入侵检测的功能。可阱通过多种方法实现，例如检测 系统设置以发现不正当的系统设置和系统设置的不正当更改：对系统安全状态进 行定期检查以发现不正常的安全状态；主机日志的安全审计等。 基于主机的入侵检测系统的优点是：检测效率高，分析代价小，分析速度 快；可以监测关键系统文件和可执行文件的更改，能够检测到那些欲重写关键系 统文件或者安装特洛伊木马或后门的尝试并将它们中断，而基于网络的入侵检测 系统很难检测到这些行为；可安装在交换式网络环境中所需监测的重要主机上， 在交换的环境中具有更高的能见度；可以比基于网络的入侵检测系统更加准确地 判断攻击是否成功。 基于主机的入侵检测系统存在的问题是：难于管理，对于每一台被监测的主 机都需要逐一进行配置和管理，要求系统本身应该具备基本的安全功能并具有合 理的设置，然后才能提取入侵信息；即使进行了正确的设置，对操作系统熟悉的 攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去，从而不被发觉；不 适用于检测网络扫描等针对整个网络的攻击：某些拒绝服务攻击能使基于主机的 入侵检测系统失效：在数据提取的实时性、充分性、可靠性方面基于主机日志的 入侵检测系统不如基于网络的入侵检测系统。 基于网络的入侵检测系统 基于网络的入侵检测系统通过网络监视来实现数据提取。基于网络的入侵检 测系统通常由多个单一功能目标的监测器组成，它们被放置在网络的不同位置， 第二章入侵检测技术 监听并分析网络数据包，并向中央控制台报告入侵。由于监测器只是运行入侵检 测系统，它们也更加容易保证安全。而且，监测器常常被设计成在一种“隐秘” 的方式下运行，以使攻击者更加难于发现它们的存在和确定它们的位置。 基于网络的入侵检测系统的优点是：只要较少的监测器就可以保护一个网 络；处于被动接收方式，很难被攻击者发现；不改变系统和网络的工作模式，也 不影响主机性能和网络性能，对现有网络的影响很小；可从低层开始分析，对基 于协议攻击的入侵手段有较强的分析能力。 基于网络的入侵检测系统存在的问题是：对于大型的高负荷的网络会产生丢 包现象，因而可能不能识别出那些在网络传输高峰期内发动的攻击：对于交换式 的网络不能监听到所有的网络数据包；无法分析加密的网络数据包；只能检测到 一个发动的攻击，但是不能判断该攻击是否己经成功。 由于基于网络的入侵检测容易处理和分析数据，因此目前很多入侵检测系统 倾向于采用基于网络的检测手段来实现。 2 3 2 数据分析技术 入侵检测系统根据检测数据分析技术可分为误用检测( m i s u s ed e t e c t i o n ) 和异常检测( a n o m a l yd e t e c t i o n ) 。误用检测搜索与已知攻击行为特征模式相 匹配的行为模式。当前的大多数商业入侵检测系统，如s n o r t ，r e a l s e c u r e t m ， n f r t m c i s c os e c u r e t m 等，都是使用误用入侵检测技术。异常检测搜索异常的行 为模式，目前在商业入侵检测系统中只是得到有限的利用。 图2 1 异常检测模型 f i g2 1m o d e lo fa n o m a l yd e t e c t i o n 图2 2 误用入侵检测模型 f i g2 2m o d e lo fm i s u s e m o d e l 广东工业大学工学硕士学位论文 异常检测 异常检测，也称为基于统计的入侵检测。异常检测技术是建立在如下假设的 基础上：即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户的活 动规律而被检测出来。异常检测基于己掌握的被保护对象的正常工作模式，并假 定这种工作模式是相对稳定的。在这种入侵检测系统中一般要先建立一个初始模 型，该模型反映了被保护的网络系统、操作系统或应用系统的正常行为。在被保 护对象的运行过程中，入侵检测系统将当前监测到的活动与初始模型相比较，当 发生偏差时，则认为有异常情况发生，产生报警。异常检测的原理模型见图2 1 。 异常检测的优点是：能够检查出利用新的或不可预见的弱点进行入侵的企 图，由此可能发现一些新的攻击行为：不需要了解系统缺陷，具有较强的适应 性；对那些并未利用系统弱点，但滥用特权的合法用户攻击行为也能检测出来。 异常检测存在的问题是：难以确定评判指标，误报率很高；在异常检测系统 的学习阶段，入侵者能用某种入侵行为逐步训练检测系统，使系统无法检测到该 种入侵行为。 常用的异常检测技术有统计分析( s t a t i s t i c sa n a l y s i s ) 技术，神经网络 ( n e u r a ln e t w o r k ) 模型，数据挖掘( d a t am i n i n g ) 等。 误用检测 误用检测，也称为滥用检测，或者基于特征的检测。误用检测建立在对已知 的各种攻击行为特征模式的知识积累上。将所监视到的行为与系统内置知识库中 的己知攻击行为特征模式相匹配，发现匹配的行为，就按照一定的策略进行响 应，如报警、阻断恶意连接或记录日志等。误用检测的原理模型见图2 2 。 误用检测的优点是：检测过程简单、直接，无需训练，对已知攻击检测率 高，可以有针对性的建立高效的入侵检测系统。 误用检测的存在的问题是：漏报率高，检测范围受己知攻击行为知识的局 限，检测入侵行为的能力取决于其数据库的及时更新程度，维护工作量特别大； 难以检测出内部人员的入侵行为，如合法用户的泄漏；无法检测未知的攻击和己 知攻击的变种；多种攻击类另n 检测时整体效率低下。 第二章入侵检测技术 常用的误用检测技术有专家系统( e x p e r ts y s t e m ) 技术、特征分析 ( s i g n a t u r ea n a l y s i s ) 技术、状态转移分析( s t a t e t r a n s i t i o na n a l y s i s ) 技术等。 2 4 入侵检测系统功能构成 为了各个入侵检测研究项目能够共享信息和资源，提高入侵检测系统之间的 互操作性，使入侵检测组件能够在其他系统中重用，近几年来，国际上有些组织 或个人对入侵检测系统的标准化进行了研究。c i d f 工作组提出的公共入侵检测 框架c i d f ( t h ec o 舢o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 就是其中的一个标 准，目的是致力于研究协议和应用编程接口。目前，c i d f 已在入侵检测标准化 领域占有取足轻重的地位。 c i d f 阐述了一个入侵检测系统的通用模型，它将一个入侵检测系统分为四个 组件：事件产生器( e v e n tg e n e r a t o r s ) ，事件分析器( e v e n ta n a l y z e r s ) ， 响应单元( r e s p o n s eu n i t s ) 和事件数据库( e v e n td a t a b a s e s ) ，另外还有远 程管理，功能结构如图2 3 所示。 c i d f 将入侵检测系统需要分析的数据统称为事件( e v e n t ) ，它可以是网络 中的数据包，也可以是从系统日志等其他途径得到的信息。 事件产生器的目的是提取与被保护系统相关的运行数据或记录，对数据进行 简单的过滤，并向系统的其他部分提供此事件。 事件分析器分析得到的数据，产生分析结果，就是在提取到的运行数据中找 出入侵的痕迹，将授权的正常访问行为和非授权的不正常访问行为区分开，分析 出入侵行为并对入侵者进行定位。 响应单元则是对分析结果作出反应的功能单元，在分析出入侵行为后被触 发，根据入侵行为产生响应，它可以作出切断连改变文件属性等强烈反应，也可 以只是简单的报警。 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据 库，也可以是简单的文本文件。 在这个模型中，前三者以程序的形式出现，而最后一个则往往是文件或数据 流的形式。 广东工业大学工学硕士学位论文 网络数据 图2 3 入侵检测系统功能构成 f i g2 3f u n c t i o ns t r u c t u r eo fi n t r u s i o nd e t e c t i o ns y s t e m 2 5 当前的研究现状 入侵检测技术有很多种方法模型，随着对计算机系统弱点和攻击方法的不 断收集和研究，对入侵行为的特征化描述方法越来越有效，使得滥用检测方法的 发展比较成熟，使用广泛，大部分现有的入侵检测工具都是基于滥用检测的。滥 用检测采用的主要技术及典型的产品有：模式匹配( s n o r t 和b r o ) 、专家系统 ( i d e s ，d i d s 和c m d s ) 、状态转换分析( s t a t ，u s t a t 和n s t a t ) 等。 同滥用检测相比，异常捡测的最大缺点就是错误率太高，所以实际应用相 当有限，提高异常检测的准确度是当前入侵检测技术的一个研究方向。常见的异 常检测技术主要有基于统计的( n i d e s ，m i d a s 和h a y s t a c k ) 、基于神经网络的 和基于进化计算的。 鉴于入侵检测系统存在的问题，对网络攻击方法的认识不足是其原因之 一。而对网络攻击方法的分类研究可以为入侵检测的进步发展提供最根本的帮 助。 入侵检测系统要识别出网络攻击，就必须对入侵的特征、行为和本质等有 足够的了解，这样才能做出正确的判断。攻击方式的不断变化更新，种类越来越 多，这给全面认识所有的攻击方法带来了困难。一套好的分类机制会给入侵检测 的实现带来很大的便利，也会给系统管理员在配置网络的安全性时有重点地采取 第二章入侵检测技术 相应措施，可以将网络攻击方法特征分析人员从成千上万种攻击方法中解脱出 来。 因此，要求入侵检测系统对网络攻击方法进行分类，然后对攻击类别采取 相应的措施，摆脱对大量攻击方法个体的研究，使入侵检测系统具有更高的灵活 性，智能性。 2 6 神经网络在入侵检测中的应用 神经网络的研究始于2 0 世纪4 0 年代。1 9 4 3 年，m c c u l l o c h 与p i t t s 提出了 人工神经元的数学模型一m p 模型。1 9 8 6 年，r u m e l h a r t 和m c c e l l a n d “”提出了误 差反向传播网络模型( b a c kp r o p a g a t i o nn e u r a l t w o r k ，b p n n ) 。b p 算法是 一种全局寻优算法，绝大部分的神经网络模型都是基于b p 算法的，是至今影响 最大、应用最广泛的一种神经网络学习算法。 对于神经网络在入侵检测中的应用，前人已经做了若干研究工作。d e b a r “5 1 等人采用递归型b p 网络，在对所收集的审计记录进行分析的基础上，对系统各 用户的行为方式进行建模，并同时结合传统的专家系统进行入侵检测。t a n “6 为 适应入侵检测的要求，对传统的多层前馈网络( m l f f ) 的训练算法进行改进，并 用于建模用户的各个行为特征。g h o s h 和s c h 、v a r t z b a r d “7 1 采用基于多层感知器 ( m l p ) 的异常检测模型，通过对程序执行中系统调用序列记录的分析，来监视 特定程序的运行状态。c a n n a d y 和m a h a f f e y “”将m l p 模型和s o m m l p 混合模型应 用到基于网络流量的滥用检测模型中。实验结果表明，该模型可以从正常网络流 量中识别出诸如表示i s s 和s a t a n 扫描、s y nf 1 0 0 d 攻击活动的数据包。 b o n i f a c i o “”等人首先构建网络会话的数据矢量，并对数据负载中的可疑特征字 符串进行编码后，连同目标端口号一起构成b p 网络的输入特征矢量，送入神经 网络进行洲练。训练完毕后的b p 网络即可进行滥用入侵检测。m i t 的l i p p m a n n 和c u n n i n g h a m 。“明确提出采用关键词和神经网络相结合的方法进行网络入侵检 测并针对t e l n e t 服务会话进行了相关研究，采用网络进行训练和识别。 b p 网络在入侵检测中已经得到了很多实际应用并取得了相应的检测性能， 基于b p 算法的应用研究也是最多的，目前在入侵检测领域中已经得到应用。但 是在实验中也暴裙出很多问题，诸如在训练大样本集时陷入局部最优点、训练时 间长不易收敛、逼近能力不足等。“。 广东工业大学工学硕士学位论文 2 7 小结 由于入侵检测技术在网络安全防护中所起的作用至关重要，因此受到了广 泛的重视。本章通过分析当前几种入侵检测技术的特点，提出将径向基神经网络 应用于入侵检测中。 与b p 网络模型相比，径向基神经网络不需要进行反向误差传播的计算，而 是完全前向的计算过程，具有训练时间短且不易收敛到局部最小的优点。目前国 内对径向基神经网络的