（计算机软件与理论专业论文）基于rbf神经网络入侵检测模型的研究.pdf

基于r b f 神经网络入侵检测模型的研究摘要入侵检测是一种主动的网络安全防御措施，它不仅可以通过监测网络实现对内部攻击、外部攻击和误操作的实时保护，有效弥补防火墙的不足。而且还能够结合其他网络安全产品，对网络安全进行全方位的保护。具有主动性和实时性的特点，是防火墙重要的和有益的补充。但传统的入侵检测系统仍存在检测速度慢，漏检率高等缺陷。本文从介绍入侵检测的基本概念入手，首先介绍了入侵检测的分类、现有的常见的网络攻击以及现有的安全措施，并分析了现有入侵检测系统存在的不足之处。在入侵检测系统中，如果仅仅利用正常规则库，只能判断数据是正常还是异常，假设正常规则库不完备会导致误报率很高，也检测不出具体的入侵类型；而仅仅采用神经网络进行入侵类型的识别，则所有待检测数据都要通过神经网络来处理，就增加了时间复杂度。所以，我们从加快检测速度、提高识别精度的角度出发，提出了一个基于自适应遗传算法的r b f 神经网络的入侵检测模型。同时本文介绍了人工神经网络在入侵检测中的应用，重点介绍了b p 神经网络，针对b p 神经网络在实际应用中存在的问题，对b p 算法进行了深入的研究并总结了其缺陷所在。通过比较，我们最终采用了r b f 神经网络应用到该模型中进行入侵检测，并用自适应遗传算法优化r b f 网络的相关参数，详细分析了该模型的设计思路和各模块的实现过程，重点研究r b f 网络模块。理论上来说，该模型结合了r b f 神经网络和自适应遗传算法的优点，从一定程度上可以提高入侵检测的准确率、降低误报率。最后分析了该模型的检测性能和效率，通过对比试验，结果表明r b f 神经网络和自适应遗传算法应用于入侵检测是可行的，本文提出的一个基于自适应遗传算法的r b f 神经网络的入侵检测模型有一定的研究价值。关键词：入侵检测；r b f 神经网络；b p 神经网络；自适应遗传算法r e s e a r c ho nm o d e lo fi d sb a s e do nr b fn e u r a ln e t w o r ka b s t r a c ti n t r u s i o nd e t e c t i o ni sa l la c t i v ep r e v e n t i v em e a s u r eo fn e t w o r ks e c u r i t y , i tn o to n l yc a nb ea c h i e v e db ym o n i t o r i n gt h en e t w o r kf o ri n t e r n a la t t a c k s ，e x t e r n a la t t a c k sa n dm i s u s ei nr e a l - t i m ep r o t e c t i o n ，a n dm a k eu paf i r e w a l le f f e c t i v e l y b u ta l s oc a l lb ec o m b i n e dw i t ho t h e rn e t w o r ks e c u r i t yp r o d u c t s ，t op r o t e c tn e t w o r ka l l r o u n d w i t ht h ei n i t i a t i v ea n dr e a l - t i m e ，i ti sa ni m p o r t a n ta n du s e f u ls u p p l e m e n tf o rf i r e w a l l h o w e v e r ，t r a d i t i o n a li n t r u s i o nd e t e c t i o ns y s t e m sw h o s ed e t e c t i o ns p e e di ss t i l ls l o w , a n df a l s en e g a t i v er a t ei sh i g h t h i sd i s s e r t a t i o ni sd e s c r i b e df r o mt h eb a s i cc o n c e p t so fi n t r u s i o nd e t e c t i o n ，f i r s t l yi n t r o d u c e s t h ec l a s s i f i c a t i o no fi n t r u s i o nd e t e c t i o n ，t h ee x i s t i n gc o m m o nn e t w o r ka t t a c k sa n ds e c u r i t ym e a s u r e s ，a n da n a l y z e st h ee x i s t i n gd e f i c i e n c i e s i ni n t r u s i o nd e t e c t i o ns y s t e m ，i fo n l yt ou s et h en o r m a lr u l eb a s e ，o n l yt od e t e r m i n et h ed a t ai sn o r m a lo ra b n o r m a l ，a s s u m i n gt h a tt h en o r m a lr u l eb a s ei sn o tc o m p l e t e ，i tw i l ll e a dt oh i 曲r a t eo ff a l s ea l a r m ，b u ta l s oc a l ln o td e t e c ts p e c i f i ci n t r u s i o nt y p e ；b u ts i m p l yu s i n gn e u r a ln e t w o r kt oi d e n t i f yt h ei n v a s i o nt y p e ，a l lt h et e s td a t am u s tb eh a n d l e dt h r o u g ht h en e u r a ln e t w o r k ，w h i c hi n c r e a s e st h et i m ec o m p l e x i t y t h e r e f o r e ，f r o mt h ep o i n to fa c c e l e r a t i n gt h ed e t e c t i o ns p e e da n di m p r o v i n gt h ei d e n t i f i c a t i o na c c u r a c y , w ep u tf o r w a r dam o d e lo fi d sb a s e do nr b fn e u r a ln e t w o r ko fa d a p t i v eg e n e t i ca l g o r i t h m a tt h es a m et i m e ，t h i sp a p e rp r o d u c e st h ea r t i f i c i a ln e u r a ln e t w o r k st oa p p l yi ni n t r u s i o nd e t e c t i o n , f o c u s i n go nb pn e u r a ln e t w o r k 。c o n s i d e r i n gt h ep r o b l e m so fb pn e u r a ln e t w o r ki np r a c t i c e ，w em a k ea ni n d e p t hs t u d yo fb pa l g o r i t h ma n ds u m m a r yi t ss h o r t c o m i n g s b yc o m p a r i s o n ，w eh a v ef i n a l l yc h o s e nr b fn e u r a ln e t w o r kt oa p p l yt h em o d e lf o ri n t r u s i o nd e t e c t i o n ，a n du s eg e n e t i ca l g o r i t h mt oo p t i m i z er b fn e t w o r k ，a n a l y z et h ed e s i g ni d e a so ft h em o d e la n dt h ei m p l e m e n t a t i o np r o c e s so fe a c hm o d u l ei nd e t a i l ，o fc o u r s er b fn e t w o r km o d u l ei st h em o s ti m p o r t a n t i nt h e o r y ,t h em o d e lc o m b i n e st h ea d v a n t a g e so fr b fn e u r a ln e t w o r ka n ds e l f - a d a p t i v eg e n e t i ca l g o r i t h m s ，f r o mac e r t a i ne x t e n t ，i tc a ni m p r o v et h ea c c u r a c yo fi n t r u s i o nd e t e c t i o nt or e d u c ef a l s ea l a r mr a t e f i n a l l y , w et e s tt h ep e r f o r m a n c ea n de f f i c i e n c yo ft h em o d e l ，b yc o m p a r i n gt h et e s tr e s u l t ss h o wt h a tt h er b fn e u r a ln e t w o r ka n da d a p t i v eg e n e t i ca l g o r i t h ma r ea p p l i e dt ot h ei n t r u s i o nd e t e c t i o nw h i c hi sf e a s i b l e t h em o d e lo fi d sb a s e do nr b fi in e u r a ln e t w o r ko fa d a p t i v eg e n e t i ca l g o r i t h mp r o p o s e di nt h i sp a p e rh a sac e r t a i nr e s e a r c hv a l u e k e y w o r d s ：i n t r u s i o nd e t e c t i o n ；r b fn e u r a ln e t w o r k ；b pn e u r a ln e t w o r k ；a d a p t i v eg e n e t i ca l g o r i t h mi i i插图清单图2 1 通用的入侵检测系统流程示意图5图2 2d o s 攻击原理图8图2 3 溢出示意图9图2 4p 2 d r 模型示意图1 3图3 1 人工神经元模型1 6图3 2 神经元变换函数的三种类型1 6图3 3 前向网络示意图1 7图3 4 输入输出有反馈的前向网络示意图1 7图3 5 层内互联前向网络1 8图3 6 互连网络1 8图3 7 含有两个隐层的b p 网络2 l图3 8b p 学习算法流程图2 3图4 1r b f 网络结构；2 6图4 2 基于自适应遗传算法的r b f 网络入侵检测模型3 0图5 1 主界面3 4图5 2 参数设置3 5图5 3 神经网络训练界面3 6图5 4 入侵检测界面3 6图5 5 训练时间对比3 7v i i表格清单表5 1 基于改进遗传算法的r b f 网络和b p 网络d r 对照表3 8表5 2 基于改进遗传算法的r b f 网络和b p 网络f a r 对照表3 8v i i i独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得金e 巴王些太堂或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。学位论文作者签字：聋德论签字日期：& 卟，年华月沙日学位论文版权使用授权书本学位论文作者完全了解金胆工些太堂有关保留、使用学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借阅。本人授权金胆王些太堂可以将学位论文的全部或部分论文内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。( 保密的学位论文在解密后适用本授权书)学位论文者签名：缉隗硌导师签名：签字日期：出f 年牛月矿日签字日规矽f ，夕年彤月砂日学位论文作者毕业后去向：工作单位：通讯地址：电话：邮编：致谢论文是在我的导师叶震老师的悉心指导和亲切关怀下完成的。在本文写作期间，叶老师给了我很多有建设性的意见和建议，并对文稿进行多次悉心的审阅，使我能够顺利的完成论文和学业。论文的每一阶段都倾注了导师的大量心血，在此，谨表示最诚挚的敬意和衷心的感谢。感谢和我一起学习的夏竹青、王旭、刘庆俞同学，感谢他们在三年研究生学习期间在生活上和学习上给我的帮助和支持，他们的意见让我获益匪浅。在此，我要特别感谢我的父母，在我上学期间，是他们最有力的鼓励和支持，使我在学习和生活上无后顾之忧。最后，感谢所有帮助过我的老师、同学和朋友。i v作者：华德梅2 0 1 0 年4 月1 1 研究背景及意义第一章绪论随着计算机技术的发展，计算机网络得到广泛使用，计算机网络之间的信息传输量也急剧增长，因此一些机构和部门在得益于网络的同时，其保存的数据也遭到了不同程度的破坏，数据的安全性和他们自身的利益受到了严重的威胁。互联网的开放性，特别是其跨国界性、无主管性、不设防性以及法律约束的欠缺，给互联网本身带来了巨大的安全风险，网络攻击行为大量出现，更有甚者，攻击者将数据库中的重要信息删除、制造并传播计算机病毒，甚至使企业的整个网络瘫痪。虽然近年来网络安全越来越得到关注，但网络入侵的种类越来越多，技巧越来越复杂，始终在明处抵挡外来攻击的防火墙难以抵挡黑客针对防火墙的防不胜防的手段翻新，以及很多来源于网络内部的攻击，使得原有的防火墙越来越难以单独保障网络的安全，构成了极大的安全威胁。我国公安部2 0 0 9 年全国信息网络安全状况暨计算机病毒疫情调查报告u 1 结果显示：2 0 0 9 年被调查对象发生网络安全事件的比例为4 3 ，比2 0 0 8 年大幅下降2 0 ；感染计算机病毒的比例为7 0 5 ，比2 0 0 8 年大幅降低1 5 ，两项比例均为调查活动开展以来历年最低。但调查还发现，计算机病毒木马对信息网络安全的威胁越来越突出，未修补系统安全漏洞仍然是导致安全事件发生的最主要原因。根据国家计算机病毒应急处理中心病毒样本库的统计，2 0 0 9 年新增病毒样本2 9 9 万个，是2 0 0 8 年新增病毒数的3 2 倍，其中木马程序巨量增加。截至2 0 0 9 年底，木马样本共3 3 0 万多个，占病毒木马样本总数的7 2 9 ，而2 0 0 8 年这一比例只有5 4 ；2 0 0 9 年发现新增木马2 4 6 万多个，是2 0 0 8 年新增木马的5 5 倍。跟踪监测和研究分析表明，当前，计算机病毒木马本土化趋势加剧，变种速度更快、变化更多，潜伏性和隐蔽性增强、识别更难，与防病毒软件的对抗能力更强，攻击目标明确，趋利目的明显。因此，计算机用户帐号密码被盗现象日益增多。病毒木马传播的主要渠道是网页挂马和移动存储介质，其中网页挂马出现复合化趋势。在被调查单位中，网络安全给系统带来的损失也是不可估量的。因此很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就是入侵检测。入侵检测是近年来发现的新型网络安全技术，采用软硬件结合的方法，是防火墙的重要的和有益的补充，为网络安全提供实时的入侵检测及采取相应的防护手段，例如记录证据、跟踪入侵、恢复或断开网络连接等。入侵检测作为一个全新的发展领域，已成为网络安全中非常重要的一个研究和应用课题。计算机网络安全问题己不再仅仅是学术问题，它直接关系到我们每个人自身的信息安全，乃至一个国家的信息安全，金融、国防和政府等关键部门以及电子商务等重要商业机构正在大规模地溶入互联网，同时它们也正在越来越多地成为被攻击的目标，因此，研究高效的网络安全防护和检测技术，开发实用的网络安全检测系统具有重大的研究、实践和商业意义。1 2 研究现状及不足对入侵检测的研究口1 最早可追溯到2 0 世纪8 0 年代，但受到重视和快速发展还是在i n t e m e t 兴起之后。按时间顺序入侵检测技术的研究和发展历史概况如下：1 9 8 0 年，j a m e sa d e r s o n 首先提出了入侵检测的概念，他将入侵划分为外部闯入、内部授权用户的越权使用和滥用类型，并提出用审计追踪来监视入侵威胁。1 9 8 6 年，为检测用户对数据库的异常访问，在i b m 主机上c o b o l 开发的d i s c o v e r y 系统成为最早的基于主机的i d s 雏形之一。1 9 8 7 年，d e n n i n g 提出了一个经典的入侵检测模型，首次将入侵检测的概念作为一种计算机系统的安全防御措施提出。1 9 8 8 年，t e r e s al u n t 等人改进了d e n n i n g 提出的入侵检测模型，并创建了i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，提出了与平台无关的实时检测思想。同年，美国军方和政府为u n i s y s 大型主机开发了h a y s t a c k 系统，为m u l t i c s主机开发了m i d a s 。1 9 8 9 年，l o sa l a m o s 美国国家实验室开发了w & s ( w i s d o ma n ds e n s e ) ，p l a n n i n gr e s e a r c h 公司开发了i s o a ( i n f o r m a t i o ns e c u r i t yo f f i c e r sa s s i s t a n t ) 。1 9 9 0 年，h e b e r l e i n 等提出新概念：基于网络的入侵检测一n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。从此，入侵检测被分为两个基本类型：基于主机的和基于网络的3 j 。19 91 年，n a d i r ( n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t ) 与d i d s( d i s t r i b u t ei n t r u s i o nd e t e c t i o ns y s t e m ) 提出了收集和合并处理来自多个主机的审计信息来检测针对一系列主机的协同攻击【4 】。1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 建议在i d s 中使用自治代理( a u t o n o m o u sa g e n t s ) 来提高i d s 的可伸缩性、可维护性、效率和容错性。1 9 9 5 年，i d e s 的完善版本n i d e s ( n e x t - g e n e r a t i o ni n t r u s i o nd e t e c t i o ns y s t e m )实现了可以检测多个主机上的入侵。19 9 6 年，g r i d s ( g r a p h b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 的设计和实现使得对大规模自动协同攻击的检测更为便利。同年，f o r r e s t 将免疫原理运用到分布式入侵检测领域。此后，在i d s 中还出现了遗传算法、遗传编程的运用。21 9 9 8 年，r o s sa n d e r s o n 和a b i d ak h a t t a k 将信息检索技术引入到了入侵检测领域。1 9 9 9 年，l o sa l a m o s 的v p a x s o n 开发了b r o 系统，用于高速网络环境下的入侵检测。同年，w l e e 提出和实现了在c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k )上实现多极i d s ，并运用数据挖掘技术对审计数据进行处理。2 0 0 0 年，普渡大学的d i e g oz a m b o n i 和e s p a f f o r d 提出了入侵检测的自治代理结构，并实现了原型系统a f f i d 系统。从2o 世纪9 0 年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并且在智能化和分布式两个方向取得了长足的进展。目前s r i c s l 、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。我国也制定了保障国家信息网络空间安全战略规划，启动了相关项目。2 0 0 4 年，国内惟一一款经过公安部权威认证的增强型主机入侵检测安全软件产品一曙光g o d e y e h o d s 主机入侵检测系统正式问世；国际信息安全领域最权威的漏洞知识库( c v e ) 认证管理机构m i t r e 公司在美国公布了首批获得c v e 兼容认证的企业和产品名单。上海金诺网安安全技术发展股份有限公司的产品网络入侵检测系统( k i d s ) 是国内惟一上榜产品。这标志着中国安全企业及其产品已开始与国际接轨，在入侵检测系统和产品方面的研发成果已得到国际权威组织的认可。尽管对网络入侵检测系统的研究已经取得了很多成果，但还存在一些难以克服的问题，如：如何识别大规模的组合、分布式的入侵攻击，目前还没有比较好和成熟的解决方案；难以检测出具有欺骗性的入侵；没有一种简单的方法能够对入侵检测系统进行测试，未知的入侵模式难以模拟，已知的入侵模式难以重现，审计记录格式的不规范也给入侵检测的实验与比较造成诸多不便。总结一下，现存的入侵检测系统存在如下问题：( 1 ) 入侵检测系统本身还有很大的发展空间，与成熟相差甚远。并且，当前绝大多数入侵检测系统检测攻击的原理类似于病毒检测，而具有自学习、自适应的入侵检测系统还远未成熟，入侵检测技术在理论上还有待突破。( 2 ) 现有的入侵检测系统虚警率偏高，严重干扰了结果，干扰管理员的注意力。( 3 ) 攻击响应以及如何处理攻击以恢复网络还有待于提高。在入侵检测系统中这个部分本来是非常重要的，但是却常常被忽略掉。( 4 ) 入侵检测系统与其他安全产品不够协作工作：为了帮助入侵检测系统进一步增强其本身的检测和适应能力，目前，在网络系统中往往不止采用一种安全技术，而是使用很多其他的网络安全产品，例如：身份认证系统、防火墙等。它们之间相互沟通、相互配合，以达到更好的检测效果。( 5 ) 入侵检测系统对其检测结果并没有让人容易理解的数据或图表展示。也缺少对其结果进行说明或分析的工具，妨碍了用户的进一步理解。( 6 ) i d s 缺少国际统一的标准。1 3 研究内容及章节安排结合目前入侵检测系统的热点研究方向，针对现有入侵检测系统存在的不足，本文提出了一种基于自适应遗传算法的r b f 神经网络入侵检测新模型。该模型采用数据挖掘方法建立聚簇规则集，用改进的遗传算法优化r b f 网络，用已训练好的r b f 网络对与聚簇规则集中不匹配的可疑行为进行检测，通过神经网络判断其是攻击行为还是正常数据，从而进行相应处理。全文共分六章，具体的章节内容安排如下：第1 章为绪论，在本章中主要介绍课题的研究背景、本课题研究的意义和国内外对入侵检测系统的研究现状，并指出现有入侵检测技术的不足，最后介绍了本文的研究内容。第2 章介绍入侵检测的定义、分类等一般性知识，简要分析了现有常见的攻击手段及防范措施。第3 章简要介绍了神经网络技术，对神经网络应用于入侵检测进行研究和分析，并具体分析了b p 神经网络以及其算法存在的缺陷，最后选择r b f 神经网络技术应用在入侵检测中。第4 章给出一个基于自适应遗传算法的r b f 神经网络的入侵检测系统设计模型，阐述了该模型的设计思想、模型原理图，并就网络数据处理模块中的数据采集模块、异常检测引擎模块、聚簇规则集模块和r b f 神经网络模块的原理和实现给予详细的介绍。第5 章通过基于自适应遗传算法的r b f 神经网络和基于b p 神经网络的比较给出实验结果，并对实验数据进行了分析。第6 章总结本文所做的工作，并指出了有待进一步改善的地方和今后工作努力的方向。4第二章入侵检测和网络安全概述2 1 入侵检测的相关概念“入侵”是描述一个系统妥协行为的正式术语【5 】。对比：入侵防御：保护系统，例如使用访问控制。入侵检测是入侵防护的第二道防线，要么成功地检测出试图威胁系统的行为要么检测失败，但通常都能够成功检测。入侵恢复：在安全事件中一个系统已经被破坏后，就必须采取这一步进行系统的恢复，如从备份中恢复系统。入侵恢复和一般的灾难恢复相关。对比：物理入侵：只要有足够的时间，某人通过物理访问闯入电脑将是可能的。一种方法是关闭电源并从软盘或光驱启动，另一种方法是将计算机上的磁盘驱动器删除。本地入侵：用户输入同一个用户的帐号登录到机器目的是为了获取管理员权限。这在u n i x 系统下比在w i n d o w s 下更受关注。尽管被称为本地入侵，但是用户也可以远程连接到计算机。远程入侵：攻击者不进行其他的访问只通过发送数据包给别的机器的一种入侵方式，大部分人都认为网络中的黑客是远程入侵。入侵检测是一种计算机和网络的安全管理系统。它通过监控网络动态收集和分析来自网络各方面的信息来寻找入侵的痕迹，发现可能的安全漏洞，以保障系统资源的完整和可用【6 】。一个通用的入侵检测系统，如图2 1 所示，具有如下的结构：数据提取模块的作用在于为系统提供数据，将处理过的数据提交给数据分析模块；数据分析模块的作用在于对数据进行深入分析，发现攻击并根据分析的结果产生事件，传递给结果处理模块。结果处理模块的作用在于警告与反应，从非技术的角度来说，结果处理模块的告警是通知管理员。数数| 捕获的数耖据处理过的数莎据提分取析处l理结事件l果图2 1 通用的入侵检测系统流程不恿图理想的入侵检测系统应该完成如下几个目标：( 1 ) 检测各种入侵。不管是来自网络内部的还是网络外部的入侵，都要加以检测。另外，无论是现在已知的还是先前未知的攻击也应该检测。这就要求入侵检测有这样的一种机制：自学习能力或者对新类型的攻击有适应能力或者能够改变正常用户行为活动。( 2 ) 适时检测入侵。这里的适时未必就是实时。经常适时满足在很短的时间内发现入侵，而实时入侵检测提出问题的回应。如果每一个要求和活动必须在他们被执行前加以分析，那么在被监控的计算机或者网络变得不可用之前仅仅做了简单的分析。另一方面，在极少数情况下，确定了一年前发生的一个入侵是没法使用的。( 3 ) 以简单、易理解的形式给出分析。理想情况下，当没有入侵发生的时候，绿灯亮，当发生入侵的时候，红灯亮。不幸的是，入侵很少有这么明确表示的，因此入侵检测机制必须提供更复杂的数据给网页安全专员，由网页安全专员决定采取什么样的措施。由于入侵检测机制可能不止监控一个系统，所以用户界面是至关重要的，这个就导致了下一个要求。( 4 ) 准确性。当入侵检测系统报告发生了一个攻击时一个误报发生了，并没有真正的攻击在进行。误报不但减少了对结果的正确性的信任，而且增加了涉及到的工作量。尽管如此，可是漏报给人的印象更坏，因为一个入侵检测系统的目的是报告攻击，如果漏报率比较高，那么就会让人对入侵检测系统失去信心，甚至入侵成功造成严重损失。因此，一个入侵检测系统的目标是要减少误报和漏报。2 2 入侵检测系统的分类( 1 ) 按检测方法分类入侵检测系统有很多种分类方法【j 7 1 ，具体介绍如下：入侵检测技术峭j 按照采用的检测方法可分为两大类型：异常入侵检测( a n o m a l yd e t e c t i o n ) 和误用入侵检测( m i s u s ed e t e c t i o n ) 。异常入侵检测其前提是不期望的行为是一个入侵的证据，即它隐含之意就是相信某一系列指标可以代表一个用户或者一个过程期望的行为，每一个指标都和一个主题或一个对象相关。异常检测的核心理念是能够检测出与正常值的差异超出指定的阈值【9 】。超出了就是异常的，但是总结了一个值是异常的就对应着有一个方法能够总结出正常的值，这个方法就是统计建模。例如：入侵检测专家系统建立它的异常检测方案基于的前提是事件值对应的是一个高斯分布。如果是高斯分布，那么模型工作正常，否则的话，模型与事件不匹配，要么发生太多的误报，要么有太多的漏报。前者有太多的数据向安全专员袭来，这样可能会使得他们错过了真正的异常行为，后者仅仅不报告应该报告事件，实验表明：该分布显然不是高斯分布。异常检测寻找不期望的行为，期望的行为或者过程、用户以及用户组的特征被开发作为底线。当某些事件超过这个底线的时候，就作为一个可能的入侵加以报告。在某些情况下，轮廓随着时间而改变。如此，用户的期望行为也随着它们实际活动的改变而不断更新。误用入侵检测也就是基于规则的检测。误用建模要求系统漏洞或者攻击者试图进入的潜在漏洞的知识。入侵检测系统把这些知识合并成一个规则集。当数据通过入侵检测系统的时候，运用规则集于数据决定是否数据的任何序列与任何规则匹配与否。如果相匹配，表明一个可能的入侵已经发生。误用入侵检测系6统经常使用专家系统分析数据和运用规则集【l0 1 。这些系统不能检测规则集中没有的攻击。先前未知的攻击，甚至已知攻击的变种也难以被检测。误用检测寻找代表入侵的己知事件的序列，一个攻击特征库提供了要求的信息。理论上来说，一个专家系统将使用特征库来检测先前未知的攻击，但是这种努力还没有真正成功。( 2 ) 按数据来源分类入侵检测系统按所用数据来源可分为基于主机的i d s 和基于网络的i d s 。基于主机的入侵检测系统安装在本地计算机上的入侵检测系统，这使得基于主机的入侵检测系统与基于网络的入侵检测系统相比灵活得多。主机入侵检测系统通常需要在受保护的主机上安装专门的检测代理，使用系统和应用日志来获得事件的记录。基于主机的i d s 可以被安装在许多不同类型的机器上，如服务器，工作站和笔记本电脑。对传输到主机的信息进行分析和传递如果没有发现潜在的恶意数据包，那么就将这些信息传递给主机。基于主机的i d s 更侧重于本地机器方面的变化，基于主机的i d s 有更多的平台也切合计算机世界市场竞争激烈的今天的需要，它的确可以做到对机器进行全面的安全分析和保护。基于网络的入侵检测系统监控网络上的数据包试图发现正在企图闯入系统的黑客。它比基于主机的入侵检测系统相比能提供更多不同的信息，它能检测出基于网络的攻击，如拒绝服务攻击。一个典型的例子是在目标机器上监控大量的t c p 连接请求到许多不同的端口，因而可以发现某人是否正在尝试着一个t c p端口扫描。基于网络的入侵检测系统要么运行在查看网络通信的目标主机上，要么运行在一个独立的机器上监控所有的网络通信。所以说，基于网络的入侵检测系统可以监视多台机器也能监控通信本身的内容，而其它的仅仅只能监控一台机器。( 3 ) 按组成方式分类i d s 按组成方式可分为集中式i d s 、分层式i d s 和分布式i d s 。集中式入侵检测系统系统由一个集中的入侵检测服务器和运行于各个主机的简单的审计程序组成。在集中式入侵检测系统中，无论受监视的网络中有多少台主机，数据分析都是在一个固定的位置进行，它采用单个数据分析组件即检测服务器对数据进行分析，因此其扩展性较差，存在单点故障问题。该系统还有个致命的缺陷，如果检测服务器坏了，那么整个系统也就崩溃了。分层式入侵检测系统网络被分层管理，i d s 被分布在每层并只分析该网段的数据，并将分析结果传到临近的上一层，而不用将收集的数据传给检测服务器，克服了集中式入侵检测系统中单点实现的缺陷。基于图形的i d s i l l j 正在实施中。分层实施通过分布地分析数据使系统具有更好的可升级性。不过较高层次的监视器被攻破了，那些从网络多路发起的进攻将不会被检测到。分布式入侵检测系统由多种入侵检测系统组成，在一个大型的网络中它7们互相沟通，或者与一个中央服务器通信以利于提高网络监控、事故分析和即时攻击数据。通过这些相互合作的代理分布于网络、事故分析以及网络操作中，安全人员就可以知道他们的网络中发生的事件。一个分布式入侵检测系统还允许公司通过集中管理其攻击记录，给安全分析师一个快速简单的方法柬指出新的攻击趋势和模式，并确定跨多个嘲络段的威胁1 1 2 州】。23 常用的攻击技术231 扫描技术网络攻击的第一步就是找到目标主机的信息，如果是一个陌生的网络主机，攻击一般先采用扫描技术获取目标主机的操作系统、提供的服务、软件版本等相关信息。扫描技术主要有端口扫描、操作系统指纹扫描和漏洞扫描。到目前为止，扫描器仍然是一把双刃剑既被管理员用于检查系统的安全性，也被攻击者用于搜寻目标系统的安全漏洞。232 拒绝服务攻击拒绝服务攻击( d o s ) j e 要目的是使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。主要的攻击方法有s y nf l o o d ，u d pf l o o d ，i e m pf l o o d ，d e a t ho f p i n g 等，从网络攻击的各种方法和所产生的破坏情况来看，d o s 是一种很简单但又很有效的进攻方式。d o s 攻击的原理如图22 所示。囤22d o s 攻击原理图从图22 中我们可以看出d o s 攻击的基本过程：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽，拒绝正常用户的连接请求。当前d o s零一雩一已向d d o s 1 5 】转变，攻击者利用病毒、木马等工具侵入其他主机，控制这些傀儡主机同时向目标主机攻击。2 3 3 溢出攻击缓冲区溢出攻击【l6 】是最为臭名昭著的入侵，也最难防备，在当前的系统和服务程序中广泛存在。所谓缓冲区溢出攻击，指的是通过重写堆栈中存储的e i p ( 指令寄存器) 存储器内容，使程序跳转到指定的代码( s h e l l c o d e ) 处执行。目的在于扰乱具有某些特权的程序的功能，这样可以使得攻击者取得程序的控制权，如果该程序具有足够的权限，那么整个主机就被控制了。缓冲区溢出攻击之所以成为一种常见的安全攻击手段，其原因在于缓冲区溢出漏洞太普遍了，并且易于实现。而且，缓冲区溢出成为远程攻击的主要手段其原因在于缓冲区溢出漏洞给予了攻击者他所想要的一切：植入并且执行攻击代码。被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序，从而得到被攻击主机的控制权。攻击方法攻击者要达到目的需要精心构建一个字符串覆盖缓冲区以外的数据，更改堆栈中的r o t 值，从而在程序返回时e i p 指针指向特定的地址，执行一个新的功能，通常是一段s h e l l c o d e 或某个特定功能。如图2 3 所示：ib u f f e r ll 其他b u f f e rle b plr e ti图2 3 溢出示意图输入的字符串改写r e t 的地址，使其指向b u f f e r l ，b u f f e r l 中是一段可执行的机器码，可以实现一个功能，如获取一个s h e l l 等。2 3 4 口令入侵口令入侵是指首先获得某个合法账号的口令并登陆到目标主机，然后进行攻击活动。有时可以通过用户的个人信息对用户的密码加以猜测。口令破解是获得存储在计算机系统中或数据传输过程中的密码。访问电脑系统的密码通常被存储在一个数据库中，因此当用户试图登录或访问受限资源的时候系统可以执行密码验证来维护系统密码的机密性，并且密码验证的数据不以明文形式存储，而是用一种单向函数应用于密码，可能是与其他数据的组合，结果值被存储。当用户尝试输入密码并验证的时候，同样的函数被用来比较输入的值和存储的结果值，如果他们相匹配，那么输入的密码是正确的。为简单起见，我们讨论用一个函数的方式作为一个哈希函数，它的输出作为一个哈希密码。如果系统使用一个设计不当的密码散列函数来保护存储的密码，那么攻击者可以利用任何弱点来恢复精心9选择的密码。获得用户的口令一般有三种方法：( 1 ) 是通过监听网络非法得到用户口令；( 2 ) 是在知道用户的账号后利用一些专门软件强行破解用户口令；( 3 ) 是利用系统管理员的失误。2 3 5 欺骗攻击欺骗攻击无非就是捏造别人的源地址，它不用于随机扫描技术和其他确定系统漏洞的技术，欺骗攻击仅仅发生在一台特定的机器被确定为易受攻击的后。当黑客准备欺骗攻击时，他必须知道目标网络是脆弱的，然后对该机器进行攻击。欺骗攻击是用一台机器冒充另一台机器的行为。想要了解这是如何发生的，你就必须知道点身份验证方面的知识。当用户连接到网络的时候，通常会遇到某种形式的认证。网络可能是定位到用户的家中、他的办公室或者是互联网中。对于普通用户来说已知认证例程的最好的部分是发生在应用层上，即这些认证方法对用户是完全可见的。举个典型的例子：当用户在f p t 或t e l n e t 遇到密码提示问题时，用户输入一个用户名和密码，一旦身份被验证，用户就获得了资源的访问权。在互联网上，基于应用层的验证例程是很少的。认证例程发生的每一秒钟用户是完全看不见的。这些例程和基于应用层上的验证例程有着根本性的区别。在应用层上的验证，一台机器挑战用户，机器要求用户能够识别用户本身。相比之下，非应用层验证例程发生在机器之间。一台机器要求另一台机器某种形式的验证，除非该验证产生并生效了，否则的话，机器间不可能发生挑战响应的对话。这种机器对机器的对话总是自动发生的，在i p 欺骗攻击中，黑客企图利用机器间自动对话的本质，因而，口欺骗是因为它获得非凡的访问方法而从不使用用户名和密码。对于很多人来说，这个都很难把握j 因此，在互联网上i p 欺骗的报告总是会引起不必要的恐慌。2 3 6 恶意代码攻击恶意程序代码是当前安全的另一个重要威胁。恶意代码已经由最初的计算机病毒演化成多种多样的有害程序，传播途径也多样化，网络成为主要的传播源。目前，主要的恶意程序有以下几类：1 、计算机病毒，它通过感染可执行文件、w o r d 文档等文件传播，意图恶意破坏计算机软、硬件或恶作剧，影响计算机正常运行；2 、后门黑客程序，黑客植入他人计算机，企图获取他人主机的控制权；3 、蠕虫，通过互联网的电子邮件等传播或者利用系统漏洞传播，它本身是一个完成作者定义功能的程序；4 、木马，它取名于神话特洛伊木马，乍一看它似乎是一个很有用的软件，但实际上一旦安装或运行在计算机上就会干破坏工作。在接收完一个木马，往往会因受骗而打开它们，因为它们看起来似乎是合法来源的l o软件或文件。木马本身通常是一个w i n d o w s 可执行的程序文件，因此必须有一个可执行文件扩展名，如c x e ，c o r n ，s e t , b a t 等。由于w i n d o w s 有时会默认配置为隐藏用户文件的扩展名，特洛伊木马是一个扩展，它可能伪装成名称为r e a d m e t x t e x e 文件，随着隐藏文件的扩展名，用户只能看到r e a d m e t x t ，可能认为是一个无害的文本文件。当收件人双击该附件打开时，木马可能表面上做用户期望它做的事，如打开文本文件，而真正受害者对这个隐藏的目标却一无所知。与此同时，木马可能会谨慎地修改或删除文件，更改计算机的配置，甚至以此为基地向当地或其他网络发动攻击。当木马在您的计算机中活动时，结果可能不同。有些木马被设计用来恼人的，如恶意改变你的桌面，通过删除文件或破坏你的系统造成信息的损害。木马也可以在你的计算机上创建一个恶意的用户访问，安装后门让您的系统或者个人机密信息受到严重影响或泄密。不像病毒和蠕虫，木马不会重现感染其他文件也不会自我复制。5 、网页恶意代码，它被置于网页中，利用浏览器的漏洞或用户的错误设置，利用它可以用来传播木马、后门、病毒等程序，也可以直接破坏用户计算机。2 4 网络安全体系2 4 1 防火墙防火墙是指设置在不同网络( 如可信任的企业内部网络和不可信任的公共网) 或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。它是不同网络或网络安全域之间信息的唯一出入口。防火墙必须只允许授权的数据通过，并且本身也必须能够免于被攻击，它是提供信息安全服务、实现网络和信息安全的基础设施，是最先受到人们重视的网络安全产品。实现防火墙的技术主要包括四大类：包过滤型防火墙、应用级网关、电路级网关和混合型防火墙。它们之间各有所长，具体使用哪一种或者混合使用，要看具体情况。2 4 2 入侵检测系统入侵检测系统是一种新型的、主动的网络安全技术，它采用软硬件结合的方法，是防火墙的重要的和有益的补充，不但为网络安全提供实时的入侵检测及采取相应的防护手段，并且能够结合其它网络安全产品，全方位的保护网络的安全。根据n i s t ( 美国国家标准技术研究院) 的业界最佳实践文档，获得和使用i d s有几个重要的原因：( 1 ) 增加攻击或滥用系统的人被发