（计算机应用技术专业论文）教学网络dids数据分析方法的研究与改进.pdf

原创性声明 删幽i i f f f j j i f i f i f 【y 18 3 3 4 4 莒 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研 究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人 或集体已经发表或撰写过的科研成果。对本文的研究做出重要贡献的个人和集 体，均已在文中以明确方式标明。本声明的法律责任由本人承担。 学位论文作者： a 9 蠢巍 日期： 如妒年i 月“日 学位论文使用授权声明 本人在导师指导下完成的论文及相关的职务作品，知识产权归属郑州大学。 根据郑州大学有关保留、使用学位论文的规定，同意学校保留或向国家有关部 门或机构送交论文的复印件和电子版，允许论文被查阅和借阅；本人授权郑州 大学可以将本学位论文的全部或部分编入有关数据库进行检索，可以采用影印、 缩印或者其他复制手段保存论文和汇编本学位论文。本人离校后发表、使用学 位论文或与该学位论文直接相关的学术论文或成果时，第一署名单位仍然为郑 州大学。保密论文在解密后应遵守此规定。 学位论文作者：赳舌夔 日期：如o 年占月) 6 日 摘要 摘要 在网络普及的今天，网络安全问题日益严重。入侵检测系统已经成为防火 墙之后的第二道安全防线，在一定程度上维护了网络安全，但是在入侵检测系 统中存在严重的误报和漏报现象，无法拦截一些攻击的变种，对一些新的攻击 手段也无所适从。所以目前的入侵检测系统数据分析方法有待改进提高，以保 证网络完全。 数据分析是入侵检测系统中关键的一环，数据分析方法的好坏直接关系到 入侵检测系统的性能高低。传统的模式匹配算法执行的效率比较低，耗费时间 长，误报率也比较高；即使模式匹配算法结合了协议分析技术应用于入侵检测 系统，检测效率虽有所提高，但是还不尽人意，有待进一步提高。 对此，本文的主要研究内容体现在以下几点： ( 1 ) 通过认真学习网络攻击技术和黑客技术，对攻击属性有了更深的理解， 经过分析攻击特性，为如何改进提高数据分析方法奠定了理论基础。 ( 2 ) 分析了遗传算法，根据遗传进化原理启发式搜索网络特征空间，提出了 基于进化选择的入侵规则自学习方法。在这种情况下产生的个体具有高度的适 应性，可以自动归纳出某种入侵的共同属性。基于这种算法就可以得到好的属 性，产生新的规则，对病毒等攻击手段的变异也能起作用，提高了检测效率。 决策树算法的改进。针对决策树i d 3 算法选取取值较多的属性分裂训练集 的缺点，改进了信息增益公式，得到更好的划分属性，精简了决策树，规则集 也得到了简化，并且包含了主要的攻击属性，提高了检测效率，与修改前相比， 减少了误报和漏报情况的发生。 ( 3 ) 设计并实现了数据分析模块的各个功能小模块：协议分析模块、会话跟 踪模块、碎包及解码处理模块还有针对教学网络的防黄模块。同时搭建了实验 环境，验证了算法改进的有效性。 关键词：入侵检测数据分析遗传算法协议分析决策树防黄 a b s t r a c t y o uc a ns e et h ea p p l i c a t i o no fn e t w o r ke v e r y w h e r et o d a y , a n dt h ep r o b l e r mo f n e t w o r ks e c u r i t yi sm o r es e r i o u sd a yb yd a y t h ei n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) h a sb e e nt h es e c o n ds e c u r i t yl i n ea f t e rt h ef i r e w a l l ，a n dt h en e t w o r ks e c u r i t yh a sb e e n u n d e rt h ep r o t e c t i o no fi d s ，b u tt h ef a u l ta l a r ma n do m i s s i o na l a r mi ss e i o u si ni d s ， t os o m ee x t e n t ，t h es y s t e mc a l l ti n t e r c e p t e dt h ec h a n g e da t t a c k ，a n dt os o m en e w a t t a c k s ，i th a sn oc h o i c eb u tl e tt h e mg o t h ed a t aa n a l y s i so fi d sc a n ti d e n t i f ya n d i n t e r c e p tt h en e wa t t a c k s ，s oi ti st ob ei m p r o v e da n d e n h a n c e d t h ed a t aa n n l y s i si si m p o r t a n ti ni d s i tw i l lh a v ead i r e c tb e a r i n go nt h e p e r f o r m a n c eo ft h el e v e lo fi d s f o re x t a n c e ，t h ep a t t e r nm a t c h i n ga l g o r i t h mh a sl o w e f f i c i e n c ya n dh i g h o m i s s i o nr a t e ，a n di tt o o k l o n gt i m et o d e t e c ta t t a c k s ；t h e c o m b i n a t i o no fp a t t e r nm a t c h i n ga n dp r o t o c o la n a l y s i si su s e di ni d s ，t h ee f f i c i e n c y o fi n d e c t i o ni si m p r o v e d ，b u ti tc a n tm e e tt h er e q u i r e m e n to fn e t w o r ks e c u r i t y , s oi ti s g o i n gt ob ei m p r o v e d t h i sa r t i c l em a i n l yc o n t a i n ss e v e r a lp o i n t sa sf o l l o w i n g ： ( 1 ) a f t e rt h es t u d yo fn e t w o r ka t t a c kt e c h n o l o g ya n dh a c k e rt e c h n o l o g y , t h e c o m p r e h e n s i o no fa t t a c ka t t r i b u t ei sm o r ee n g r a i n e d ；a n dw i t ht h ea n a l y s i so fa t t a c k s a t t r i b u t e s ，i tl a y sat h e o r e t i c a lf o u n d a t i o nf o ri m p r o v e m e n to fd a t aa n a l y s i s ( 2 ) a n a l y s i sg e n e t i ca l g o r i t h m ( g a ) b a s e do nt h ep r i n c i p l eo fg e n e t i c e v o l u t i o na n dt h ei n s p i r e dw a yo fs e a r c h i n gt h es p a c eo fn e t w o r ka t t r i b u t e s ，t h e i n t r u s i o nr u l e ss e l f l e a r n i n gm e t h o dw a sa d v a n c e d t h eg o o da t t r i b u t e sw o u l db e c h o s e nb a s e do nt h en e wa l g o r i t h m ，a n dt h e nt h en e wr u l e sw o u l db eb o r n i tc o u l d i n d e c tt h ec h a n g e dv i r u s ，a n dt h ee f f i c i e n c yi n c r e a s e s t h ed e c i s i o nt r e ea l g o r i t h mw a si m p r o v e dt o o a c c o r d i n gt ot h ei d 3a l t o r i t h m f a u l to fs e l e c t i n gt h ea t t r i b u t ew i t hm o r ev a l u e s ，t h ei n f o r m a t i o ng a i nf o r m u l ai s i m p r o v e d ，t h ed e c i s i o nt r e eb a s e do nn e wa l g o r i t h mw o u l d b es i m p l i f i e d ，a n dt h en e w r u l e sw e r eb o r na tt h es a m et i m e ，w h i c hi n c l u d e dm a i na t t r i b u t e s ，t h ei n d e t e c t i o nh a d b e e ni m p r o v e d t h e nt h ef a u l tr a t ea n do m i s s i o nr a t ed e c r e a s e ( 3 ) d e s i g n e da n dr e a l i z e de a c hf u n c t i o nm o d u l eo fd a t aa n a l y s i sm o d u l e ： a b s t r a c t p r o t o c o la n a l y s i sm o d u l e ，s e s s i o nt r a c k i n gm o d u l e ，b r o k e np a c k e ta n dd e c o d i n g t r e a t m e n tm o d u l e ，t h el a s ti sp r e v e n t i n gy e l l o wp a g e sm o d u l e ，w h i c hi sd e s i g n e df o r n e t w o r kt e a c h i n g a tt h es a m et i m e ，t h ee x p e r i m e n te n v i r o n m e n t sw e r ed e p l o y e di n t h e l a bw h i c hp r o v e dt h ee f f i c i e n c yo fa l o g i t h mi m p r o v e m e n t k e yw o r d s ：i n t r u s i o nd e t e c t i o n ；d a t aa n a l y s i s ；g e n e t i ca l g o r i t h m ；p r o t o c o l a n a l y s i s ；d e c i s i o nt r e e ；p r e v e n t i n gy e l l o wp a g e i l l 目录 目录 摘j i l 手i a b s t r a c t i i 目蜀之：i v 图表清单v i 图目录v i j i 曼目录v ii 1 绪论。l 1 1 研究背景与意义l 1 2 入侵检测系统数据分析技术2 1 3国内外现状及进展3 1 4 论文的主要工作及结构。4 2 入侵检测数据分析方法6 2 1s n o n 入侵检测系统6 2 2 数据分析算法8 2 2 1 物元分析方法8 2 2 2 状态转换分析方法l3 2 2 3 遗传算法15 2 2 4 模式匹配算法。1 8 2 3 本章小结1 9 3 决策树i d 3 算法的研究及改进2 0 3 1数据挖掘在入侵检测中的应用2 0 3 2 决策树算法在入侵检测中的应用2 1 3 2 1 决策树算法。2l 3 2 2 i d 3 算法概述2 3 3 3 i d 3 算法的不足和改进2 4 i v 目录 3 3 1i d 3 算法的不足 2 4 3 3 2i d 3 算法的改进。2 5 3 3 3 实验及结果分析2 6 3 4 本章小结。3 4 4 系统设计与测试分析3 5 4 1数据分析各功能模块的设计及实现3 5 4 1 1 协议分析模块3 5 4 1 2 会话跟踪模块。3 9 4 1 3 碎包及解码处理模块。4 0 4 1 4 防黄模块。4 2 4 2 教学网络拓扑结构4 3 4 3 测试与性能分析4 4 4 3 1 入侵检测决策树4 4 4 3 2 性能分析。4 8 4 4 本章小结一5 0 5 总结与展望5 1 5 1总结5 1 5 2 对数据分析技术的展望5 l 参考文献5 2 致谢5 4 个人简历、在学校期间发表的论文5 5 v 图表清单 图表清单 图目录 图1 1 图2 1 图2 2 图2 3 图2 4 图2 5 图2 6 图2 7 图2 8 图3 1 图3 2 图3 3 图3 4 图3 5 图3 6 图3 7 图3 8 图3 9 图3 1 0 图4 1 图4 2 图4 3 图4 4 图4 5 图4 6 图4 7 误用检测原理模型4 c i d f 模! g ! 6 s n o r t 工作流程图7 入侵检测可拓变换 1 2 基于物元分析的d l d s 框架1 2 状态转换图表。1 3 t c p f l p 连接的c p - n e t 模式1 4 遗传算法流程图1 5 遗传算法示意图1 6 数据挖掘过程流程图2 ；0 决策树示意图2 2 基于决策树的入侵检测过程2 3 s n o r t 抓包命令3 0 a c i d 主页3 0 a l e r t 数据3 1 u d p 数据。3 1 修改前的决策树。3 2 修改后的决策树3 3 修改前后检测时间比较3 4 数据帧的分解3 5 协议分析模型图3 6 教学网络拓扑结构图 r 2 l 入侵检测决策树4 7 决策树算法修改前后入侵检测时间4 8 在简单配置s n o r t 下的报警情况4 9 配置s n o r t 后的报警情况4 9 v i 图表清单 表目录 表3 1 表3 2 表4 1 表4 2 表4 3 表4 4 表4 5 表4 6 表4 7 数据训练集 修改前后信息增益值比较。3 3 k d dc u p9 9 入侵训练集种类和名称4 5 t c p 连接基本属性4 5 流量属性4 5 内容属性j 。4 6 其他属性4 6 测试数据的误报率和漏报率。4 9 结果比较。5 0 v 1 绪论 1绪论 1 1 研究背景与意义 随着计算机技术和通信技术的推广，网络在日常生活、电子商务、学习和 工作中等的应用愈加广泛，所以网络安全愈显重要。网络是一把双刃剑，在带 给用户方便的同时，安全性问题也让用户防不胜防。以蠕虫病毒、木马程序、 黑客入侵等为主的安全威胁关系到网络用户的切身利益。 计算机网络在传输信息和提供共享便利的同时也为计算机病毒的传播提供 了传播路径。例如，“网页病毒下载器 病毒是一种蠕虫病毒，它能删除系统文 件s v c h o s t e x e ，并在系统目录下建立同名的病毒文件；它还试图关闭杀毒软件， 并且有比较强的自保能力，并在被感染的客户端或服务器中大量复制，清除该 病毒时的难度很大。在不影响网络或计算机正常工作的情况下，黑客通过破译 截获用户的数据以获得关键信息。 随着网络的发展，攻击的种类越来越多，尤其是数字化攻击。数字化攻击 给全球经济造成的损失将越来越大。据美国f b i 统计，美国每年因网络安全造 成的损失高达7 5 亿美元。在2 0 0 2 年2 月7 、8 、9 日黑客大规模的攻击行动中， 雅虎网站的网络停止运行了3 小时，这令它损失了几百万美金的交易。2 0 1 0 年 1 月2 5 号w e b 安全网关领先者a n c h i v a 公司发布( ( 2 0 0 9 年第四季度威胁报告， 在报告中指出，本季度a n c h i v a 安全实验室共截获各类m a l w a r e 约2 0 0 万，比上 季度大幅上升。木马所占的比例与上季度相比略为上升，占一半以上；大型社 交网站被入侵，3 2 0 0 万用户信息被窃取。黑客、计算机病毒、木马等是威胁网 络安全的元凶。网络安全问题成为全球一场没有硝烟的战争。 网络进入世界每一角落，网络技术变得更为复杂。黑客和攻击者的手段花 样百出，对信息资源、系统和网络安全造成威胁和破坏。据有关部门统计，对 网络系统的入侵攻击8 0 i l l 来自于内网。防火墙技术或访问控制技术能起到阻止 来之外网的攻击以保护内网的作用，但是内网之间的相互攻击，防火墙起不到 任何作用。因此对恶意行为的入侵进行检测、识别并作出响应在网络安全中的 作用越来越大。 关于网络安全问题，人们提出了很多防御措施。防火墙是常用的一种安全 1 1 绪论 措施，但这是一种被动的方法。为了更好的保护信息的安全，入侵检测技术 ( i n t r u s i o nd e t e c t i o n ) 应运而生，随之而来的是入侵检测系统【2 1 ( i n t r u s i o nd e t e c t i o n s y s t e m ，i d s ) 。它经常作为防火墙之后的第二道安全防线。入侵检测系统通过分 析检测捕获到的数据，发现异常行为和活动。它在对网络传递的信息进行检测 的同时不影响网络性能，能够对内部攻击、外部攻击和误操作实时跟踪。 我院机房有近6 0 0 台微机，担负着郑州大学4 万多学生的计算机上机课的 教学任务。教学工作的正常进行需要教学网络的安全性做保障。上机时，一些 学生需要往u 盘里拷资料，u 盘就可能传染机房的机器病毒；还有一些学生上 机时不专心学习，无意打开黄色网页，会经常引起教学网络故障，导致被学校 网络中心拉入黑名单，从而影响了教学工作的正常进行。由于学生多，经常造 成网络安全故障，教学网安全很难管理。 本课题主要针对教学网络分布式入侵检测系统环境，研究和改进一套适合 教学网络的入侵检测数据处理分析方法，降低误报率和漏报率，同时实现对黄 色网页的拦截。对网络安全技术和有关网络协议、系统漏洞扫描、攻击手法、 可疑行为、数据挖掘等进行了深入的学习研究，针对教学网络分布式入侵检测 系统( d i d s ) 制定相应的数据采集和分析算法。由检测设备识别已知的攻击特征 和异常行为，形成报警消息，发送至控制管理中心。这其中包括数据采集、数 据分析技术和编程，编写数据分析模块( 包括：解码及碎包处理模块、会话跟 踪模块、协议分析模块等) 。 入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获 内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分 析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事 件，作为网络管理员事后分析的依据；如果情况严重，系统可以发出实时报警， 使得学校管理员能够及时采取应对措施。 一个好的数据分析方法在入侵检测系统中的地位是至关重要的。 1 2 入侵检测系统数据分析技术 对入侵检测技术的研究开始于2 0 世纪8 0 年代，发展至今已有3 0 年的历程。 大致经历了三个时期：基于主机的入侵检测技术，基于网络的入侵检测技术和 分布式入侵检测技术。目前已经向入侵防御系统【3 】( i p s ) 发展。 2 1 绪论 在1 9 9 1 年提出的第一个分布式入侵检测系统将主机入侵检测和网络入侵检 测结合，能适应异构环境。该系统收集位于不同地点的数据，进行统一分析后， 判断被保护系统是否受到攻击。从此，分布式入侵检测进入发展阶段。 现有的入侵检测技术可分为：误用检测【4 j 、异常检测和混合检测。本文采用 的实验环境是s n o r t 入侵检测系统，它是基于误用检测系统的。误用检测的思想 最早由d o r o t h yd e n n i n g 博士提出。首先利用己知的攻击建立检测模型，然后将 待检测数据与模型比较，如果两者相匹配，就说明被检测数据属于攻击类型。 用入侵模式准确地描述入侵活动的特征、条件、排列和关系是误用检测的关键， 只有描述精确，才能进行有效检测。 误用检测重要的研究方法有：模式匹配、状态转移分析、特征分析、着色 p e t r i 网、数据挖掘等。其中数据挖掘在入侵检测系统的应用越来越广，尤其是 在数据分析阶段更为重要。哥伦比亚大学的s t o l f o 和l e e 首先提出了基于数据挖 掘技术的入侵检测方法，并且做了很多探索研究工作和实践1 5 】【6 胴。在教学网中， 对于海量的网络数据，必须采取一个好的分类算法进行数据分析，才能提高检 测的效率和准确度，决策树是数据挖掘中比较出色的归纳分类算法。 1 3 国内外现状及进展 在入侵检测系统中，常用的检测技术是误用检测和异常检测。随着入侵检 测系统的发展，其检测技术也在不断改进。 在异常检测技术中，通常采用专家系统、统计分析、神经网络和计算机免 疫学等方法。在i d s 中最早采用的是统计分析法，但是它不能提供实时检测， 属于事后分析。操作模型、均值与标准差模型、时间序列模型、马尔科夫过程 模型、均值与标准偏差模型等都属于统计分析法。这些模型采用阈值检测、启 发式阈值检测、目标完整性检测、量化分析和数据精简。神经网络是具有学习 能力的一种分析方法，其处理步骤是：( 1 ) 入侵分析模型检测器的构造1 8 j ：使用代 表用户行为的历史数据进行训练，完成网络的构建和组装；( 2 ) 入侵分析模型的 实际执行【8 j ：把输入的时间数据和参考的历史行为进行比较，推断两者的相似或 者差异情况。免疫系统最近才用于计算机系统保护。新墨西哥大学的研究人员 在这方面进行了探索，通过大量实验发现生物免疫系统和计算机系统的保护机 制之间有某种相似性i 引。该小组提出了短序列匹配算法，用于计算实际系统调用 3 1 绪论 序列与正常序列模式的相似度。免疫方法的特征是：分层保护、分布式检测、 能够检测未知攻击类型。 i d s 采用误用检测技术时，采用模式匹配【9 1 【1 0 1 判断入侵行为，后来发展到模 式匹配技术结合协议分析技术来提高检测效率。特征分析是误用检测技术的另 外一种常用研究方法，以一种直观的方式将攻击的语义描述转化为可以在审计 日志中发现的信息。误用检测技术的原理如图1 1 所示。基于误用检测原理的入 侵检测方法和技术主要有：基于条件概率误用检测方法；基于专家系统误用检 测方法；基于状态迁移分析误用检测方法；基于键盘监控误用检测方法；模型 误用检测方法。 图1 1 误用检测原理模型 专家系统和数据挖掘是两种通用的检测方法。采用专家系统的误用检测系 统有i s o a 、n i d x 、n i d e s 、i d e s 等；基于专家系统的异常检测系统有： c o m p u t e r w a t c h 、w i s d o m & s e n s e 。数据挖掘在入侵检测系统中的应用，关联规则 挖掘和频繁情节模式挖掘最先应用于i d s 中；后来，基于模糊数据挖掘的检测 方法被提出；随后，e s k i n 1 1 l 等人又提出了将数据挖掘中的孤立点分析方法应用 到i d s 研究中。目前应用于i d s 的数据挖掘方法主要集中在关联规则挖掘和频 繁情节模式挖掘上。 1 4 论文的主要工作及结构 本文的主要工作是，对网络安全技术和有关网络协议、系统漏洞扫描、攻 击手法、可疑行为、遗传算法、决策树算法等有一个很深入的学习研究，然后 针对建立的教学网络分布式入侵检测系统( d i d s ) 锘t j 定相应的数据采集和分析算 法。主要研究了入侵检测系统中常用的数据分析方法，并对数据分析方法进行 改进，来提高检测的速度和准确度，并尝试着拦截黄色网页。 本文的论文结构安排如下： 4 1 绪论 第1 章绪论：主要介绍本课题研究的背景和意义以及数据分析技术的研究 现状和发展方向。 第2 章入侵检测系统数据分析方法：简单介绍分布式入侵检测特点以及 s n o r t 入侵检测系统，重点介绍了该系统常用的数据分析方法。同时，也针对遗 传算法的缺点，提出了基于进化选择入侵规则自学习方法。 第3 章决策树i d 3 算法的研究及改进：介绍了数据挖掘在入侵检测中的应 用，重点介绍了决策树算法。介绍了决策树算法的理论基础，对决策树算法的 不足作出了改进，并通过实验证明了算法改进的有效性。 第4 章系统设计及测试分析：介绍了数据分析模块中的协议分析模块、会 话跟踪模块、碎包及解码处理模块的设计及实现，并利用比较权威的入侵检测 数据集进行测试和性能比较分析。 第5 章总结和展望：对本文主要工作的一个总结以及对入侵检测系统数据 分析技术的一个展望。 5 2 入侵检测数据分析方法 2 入侵检测数据分析方法 计算机和网络遭受的攻击越来越多，为了防御攻击，提出了很多预防攻击 技术。于是一种能发现入侵并发出报警的技术产生了一入侵检钡l j ( i n t r u s i o n d e t e c t i o n ) ，随之产生了入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 。数据分 析是入侵检测的重点，数据分析的好坏关系到入侵检测性能的高低。所以入侵 检测数据分析方法成了研究的热点。 2 1s n o r t 入侵检测系统 “网络安全【1 2 】的意义是保护计算机和网络系统中的软硬件及其数据不受 偶然或恶意原因遭到破坏、更改、泄露，保障系统连续正常运行，网络服务持 续进行。 计算机面临的威胁是多种多样的。按照其来源划分为：物理安全威胁、计 算机技术隐患、用户使用的缺陷和恶意程序【1 3 1 等。从层次体系上，网络安全可 划分为：联网安全、操作系统安全、逻辑安全和物理安全四个层次。计算机网 络安全技术【8 】涉及到很多方面，如安全监控技术、安全协议、防火墙技术、身份 认证技术【1 4 】【1 5 1 、访问控制技术【1 6 l 和密码技术等。它们都不是独立存在的，而是 互为补充和利用，相辅相成的。总的来说可分为被动的防御技术和主动的防御 技术。主动的防御技术以探测与控制为主，入侵检测技术【1 7 】是主动防御。公共 入侵检测框架( c i d f ) 如图2 1 所示。 图2 1c i d f 模型 6 2 入侵检测数据分析方法 入侵检测系统是一种动态防御，具有实时检测功能，提供给管理员实时报 告。它还具有窥探功能，只须一个监听端口，不需要转发任何流量，即可在网 络上收集它所关心的报文。对收集的报文，入侵检测系统提取收集到报文的流 量，统计特征值，然后与内置的规则库进行分析匹配。 本文采用基于s n o r t 入侵检测系统。它是一个开源的、轻量级的、可扩展的、 可移植的网络入侵检测系统，具有协议分析和实时处理数据的能力，对内容进 行搜索、匹配，能够检测出各种不同的攻击方式，同时对攻击进行实时报警。 根据具体的网络环境和目的，可以配置不同的s n o r t 入侵检测系统。s n o r t 工作的具体过程如图2 2 所示。 _ 。 包解码引擎 嗅 探盛l 预处理器 检测引擎 臣扫 输出插件 报警日志 图2 2s n o r t 工作流程图 通过嗅探方式从网络中捕获数据包。调用解码函数p r o c e s s p a c k e t ( ) ，将各种 信息存储到全局变量p a c k e t 中。数据包解码用到的函数有s e t p k t p r o c e s s o r ( ) 、 d e c o d e f d d i p k t ( ) 、d e c o d e e n c p k t ( ) 、d e c o d e e t h p k t ( ) 、d e c o d e l e e e 8 0 2 1 1 p k t ( ) 、 d e c o d e p p p k t ( ) 、d e c o d e i p ( ) 、d e c o d e a r p ( ) 、d e c o d e l c m p ( ) 、d e c o d e t c p ( ) 等。 预处理器的任务是协议编码、协议异常检测、数据流重组和数据包分片重 组。 检测引擎的作用是检测入侵行为。它由规则、规则数据库结构的构建、建 立在数据库结构上的模式匹配三部分组成。 7 2 入侵检测数据分析方法 2 2 数据分析算法 数据包经过预处理和变换之后，成为信息特征向量，进而采用入侵检测数 据分析算法进行分析，判断是否有入侵发生。数据分析算法的优劣关系到入侵 检测系统性能的高低。一个好的数据分析算法应该具有： ( 1 ) 高检出率：通过数据分析能够发现尽可能多的入侵； ( 2 ) 速度快：早一秒发现入侵，就能把损失降到最低； ( 3 ) 低误报率：算法能够准确地判断入侵行为和正常活动； ( 4 ) 运行环境容易实现：需满足普通的运行环境，不能只停留在理论和实验 室中。 现在常用的数据分析算法有物元分析、遗传算法、模式匹配、决策树等。 2 2 1 物元分析方法 ( 一) 物元分析理论 物元分析理论研究方向是探讨处理矛盾的规律与方法，其基础是可拓集合 与物元，最小逻辑单位是物元。物元是一个有序三元组r = ( n ，c v ) ，其中，n 表 示事物，c 表示特征的名称，v 与n 、c 有关，三者之间的关系可以用关系式v = c ( n ) 。 一个事物可以通过自身的特征来表现自己，通常情况特征可分为：功能特征、 性质特征、实义特征。一个事物可以有m 个特征以及对应的m 个量值，此时可 以表示为：r = ( n ；( c 1 v 1 ) ，( c 2 ，v 9 ，v n ) ) = ( r 1 ，r 2 ，r n ) 。 解决问题的方式是通过物元变换来实现的。物元变换的实质是对其要素事 物、特征、量值的变换或它们的组合，它具有4 种基本变换：置换、分解、增 删和扩缩，同时也具有4 种运算：积、逆、或、与。物元的可拓性可能成为解 决问题的新途径。可拓集合是研究解决问题的基础，它是通过关联函数来刻画 的。建立关联函数的过程【8 】是： 给定论域u 和特征c 的量域v ( c ) ； 对事物n u ，作r = ( n ，c c ( n ) ) ； “聊数量化为x o ( 一o o ，+ ) ，得r = ( n ，c ，x 0 ) ； 规定关于量值的要求； 建立实轴上的关联函数k ( x o ) ； 计算k ( x 0 ) ，表示c ( 符合要求的程度； k ( r ) = k ( x 0 ) 表示n 符合要求的程度。 8 2 入侵检测数据分析方法 ( 二) 可拓集合 可拓集合用( ，+ o o ) 之间的实数来表示事物具有的某种性质的程度，其定 义如下：设u 为论域，若对u 中任何元素u ，u u ，都有一实数y ( - ，+ ) 与之对应，则称以= ( u ，y ) lu u ，y = k ( u ) ( - ，+ ) ) 为论域u 上的一个可拓集 合，其中，k ( u ) 为以的关联函数，y = k ( u ) 为元素u 关于以的关联度。以的正 域、负域和零界定义如下： 正域：a = u iu u ，取u ) = o ， 负域：一a = u iu e u ，k ( u ) = o ) ， 零界：j 0 = u iu u ，k ( u ) = o 。 ( 三) 复合物元 在物元分析理论中，物元的特征与量值的论域都是简单的类型，但是对于 复杂系统的特征，简单物元模型很难表达和解决问题，所以提出了复合物元。 若物元r = ( n ，c ，v ) 中部分特征与量值的论域仍然是物元，则r 是复合物元。 复合物元的基本运算有6 种：物元r i = ( n 1 ，n c l ， ) ，物元r 2 = ( n 2 ，n c 2 ， ) 。 加法：r = r l + r 2 。 若c l = c 2 ，r = ( n 1 + n 2 ，n c l + n c 2 ， ) ； 若c l c 2 ，r = ( n i + n 2 ；n c l + n c 2 ；( ， ) n 叉乘 r = ( n l x n 2 ，n c l x n c 2 ， ) 。 右数乘 若物元r l = ( n 1 ，n c l ， ) 中v 1 的论域为数值类型，r l 和实数a 的右数乘 定义为：r = r l a = ( n l a ，n c l a ， ) 。 其中，n l a 表示事物n 1 中关于特征c 1 的量值v 1 为变为a v l 后的事物。 左数乘 若物元r 1 = ( n l ，n c l ， ) 中v l 的论域为数值类型，r l 和实数a 的右数乘 定义为：r = a r l = ( a n l ，a n c l ， ) 。 其中，a n l 表示a 个事物n 1 的同类事物。 减法 r = r 1 - r 2 = ( n 1 一n 2 ，n c l - n c 2 ， ) 。 除法 9 2 入侵检测数据分析方法 r = r l + r 2 = ( n 1 - - n 2 ，n c l + n c 2 ， ) 。 ( 四) 基于复合物元的建模 入侵检测系统比较复杂，无法依靠简单的数量关系来解决。复合物元的出 现为入侵检测提供了新思路。入侵检测通过分析网络数据包和审计日志来判断 是否有入侵。由于攻击手段的多样性，很多事件不能通过简单分析就加以判断， 必须依靠具体情况来分析。 对于一个审计事件，建立的复合物元模型如下： r e v c tt e v e n t ， s u b j e c t ， s 0 b j e c t ，0 a c t i o n ， a t i m e ，t ( 2 1 ) 其中，e v e n t 表示系统审计事件；s u b j e c t 表示主体，s 为主体的值；o b j e c t 是审计对象，包括网络服务、文件、设备、命令等，o 为对象的值；a c t i o n 是主 体对目标的操作，如记录更新、文件读写、用户登录与退出等，a 代表操作的值， 即具体动作；t i m e 表示发生时间，t 是具体时间点。 ( 五) 基于物元分析的入侵检测变换 在d i d s 中，置换、合并、分解、过滤是主要的物元变换，而重要的关联函 数变换是验证和增强。 置换：物元r 1 变成物元r 2 的过程就叫变换，表示为t ( r 1 ) = r 2 。通过这 种变换就可把网络和主机审计事件变成与d i d s 格式相符合的审计事件。 过滤： a 正过滤：即保留可拓集合正域的变换，表示为： 郴) 胫竺加 ( 2 2 一)r 俾) - i z ) i 乃，k 俾) s0 、 b 负过滤：即保留可拓集合负域的变换，表示为： 凇) j 竺竺卸 ( 2 3 ) r ( 足) - i z = ，) l j 2 j ，k 俾) 0 、 c 保留可拓集合正可拓域的变换是正可拓过滤，表示为： 郴) f 竺裟洲 ( 2 4 ) r 俾) 一( z 4 ) i j 2 j ，k 俾) 0 正常情况下，负过滤网络审计事件，这样就可以忽略大量无关信息，较少 负荷。当有可疑行为发生时，负可拓过滤或不加过滤来处理。 合并：将两个或两个以上的物元变换成一个物元，表达式为t ( r 1 ，r 2 ， r n ) = r 。在i d s 中，高层的事件是由底层事件经过合并产生的。 分解：与合并互逆，它是将一个物元分解为多个物元的过程。即：可r ) = r 1 ，r 2 ，r n ) 。例如：口令文件的更改可以分解成文件操作和用户i s l 令更改。 增强：是对可拓集合的关联函数变换。 设物元r l ，r 2 ，对应的可拓集合关联函数分别是k l ，k 2 ，物元增强关联函 数k 可以定义如下： 鼢晔i o , 蝴然 仁回 q 唧心魄) ) 【乙 删。踹裟寄嗽 、 10 s 觚 ) ) s 印q 龟仅) ) u 对于来自不同监视器的事件中，用增强变换可以同时判断入侵事件主体的 关系。例如，主机监视器监测到某一个节点有异常，网络监视器也监测到对同 一主机的入侵，这两个事件可相互增强。 验证：设k 1 、k 2 分别是物元r 的两个可拓集合关联函数，则其验证关 联函数为： 删= 岳o , s 鼢g n ( k 删i ( r ) ) 一 ( 2 8 ) 一i= u j 验证变换用于同一个事件输入到不同的分析器得到相同的结果。例如，把 采用状态分析方法的入侵检测结果用统计分析得到证实。 ( 六) 入侵检测物元分析方法 由于一些入侵在不同层次之间结合不同应用进行攻击，所以要从系统的角 度进行分析和处理。从底层往高层要通过合并变换，相反，从高层往底层要通 过分解；在同层之间，可拓变换主要是：置换、过滤、合并、分解、增强和验 证，