（计算机应用技术专业论文）基于数据挖掘与云模型的入侵检测技术的应用研究.pdf

摘。要 摘要 随着网络技术的不断发展和网络用户的不断增加，人们得益于网络带来的便利的同 时，计算机和网络系统的安全保护问题也越来越突出，网络安全变得越来越重要。目前 的网络安全技术如防火墙、信息加密，作为网络安全的第一道防线是远远不能有效阻止 来自网络上的入侵的。针对网络系统的攻击越来越普遍，攻击手法的日趋复杂，入侵检 测技术也随着网络技术和相关学科的发展而日趋成熟，成为网络安全的第二道防线。它 对计算机和网络资源上的恶意使用行为进行识别和响应，不仅检测来自外部的入侵行 为，同时也监督内部用户的未授权活动。 云模型反映宇宙中事物或人类知识中概念的两种不确定性：模糊性( 边界的亦此亦 彼性) 和随机性( 发生的概率) 。云模型把模糊性和随机性完全集成在一起，它研究自然语 言中的最基本的语言值( 又称语言原子) 所蕴含的不确定性的普遍规律，它使得从语言值 表达的定性信息中获得定量数据的范围和分布规律成为可能，也使把精确数值有效转换 为恰当的定性语言值表达成为可能。 数据挖掘是一项通用的知识发现技术。其目的是从海量数据中提取出感兴趣的数据 信息，以发现未知的攻击。利用数据挖掘的方法可以建立一套完整的基于数据挖掘的入 侵检测模型。 本文主要采用数据挖掘方法，以数据为中心，将入侵检测看成是一个数据分析过程， 运用决策树c 4 5 算法对属性进行约减，用聚类中的k - m e a n s 算法对数据进行聚类，从而 提出一种基于云模型的入侵检测方法，实现对网络级数据的入侵检测。由于入侵行为和 系统运行行为往往都是随机和不确定的，因此通过云模型建立的入侵检测系统能具有较 准确的检测能力和适应能力。 从实验结果上看，基于云模型的检测系统具有较高的检测率，并能够适应超熵变化 带来的不确定性，这使得该检测系统能够较好地减少系统设计时带来的人为因素。 关键词：入侵检测；云模型；数据挖掘 久造交通人学。r ：学硕十学何论文 a b s t r a c t wl t ht h ec o n t i n u o u sd e v e l o p m e n to fn e t w o r kt e c h n o l o g ya n di n t e r a c tu s e r sc o n t i n u e st o i n c r e a s e ，p e o p l eb e n e f i tf r o mt h ec o n v e n i e n c e o ft h ei n t e r n e t ，a tt h es a m et i m e ，c o m p u t e ra n d n e t w o r ks e c u r i t yp r o t e c t i o ns y s t e mp r o b l e m sa r em o r ea n dm o r ep r o m i n e n t n e t w o r ks e c u r i t y i s b e c o m i n gi n c r e a s i n g l yi m p o r t a n t n cc u r r e n t n e t w o r ks e c u r i t yt e c h n o l o g i e ss u c ha s f i r e w a l l s ，m e s s a g ee n c r y p t i o na st h ef i r s tl i n eo fd e f e n s ec a nn o te f f e c t i v e l ys t o pt h ei n v a s i o n f r o mt h en e t w o r k n e t w o r ka t t a c k sb e c o m em o r ea n dm o r ec o m m o na n da t t a c km e t h o d sa r e b e c o m i n gm o r ea n dm o r ec o m p l i c a t e d ，i n t r u s i o nd e t e c t i o nt e c h n o l o g yw i t ht h en e t w o r k t e c h n o l o g ya n dt h ed e v e l o p m e n to fr e l e v a n td i s c i p l i n e sb e c o m i n gm o r ea n dm o r em a t u r e 嬲 n e t w o r ks e c u r i t y ss e c o n dl i n eo fd e f e n s e i tc a nb eo nt h ec o m p u t e ra n dt h en e t w o r ko f m a l i c i o u su s eo fr e s o u r c e st oi d e n t i f ya n dr e s p o n dt oa c t sn o to n l yf r o me x t e r n a li n t r u s i o n d e t e c t i o n ，b u ta l s ot h es u p e r v i s i o no ft h ei n t e r n a lu s e r so fu n a u t h o r i z e da c t i v i t i e s c l o u dm o d e lr e f l e c t st w ou n c e r t a i n t i e so ft h ec o n c e p t so ft h eo b j e c ti nu n i v e r s ea n dt h e k n o w l e d g eo ft h eh u m a nb e i n g ：f u z z i n e s sa n dr a n d o m n e s s c l o u dm o d e lp u tt h ef u z z i n e s s a n dr a n d o m n e s st o g e t h e rc o m p l e t e l y ；i ts t u d i e st h eu n i v e r s a ll a w so ft h eu n c e r t a i n t i e si m p l i e d i nt h eb a s i cl a n g u a g ev a l u ei nt h en a t u r a ll a n g u a g e ，a n di tm a k e si tp o s s i b l et og a i nt h ee x t e n t a n dd i s t r i b u t i o no ft h eq u a n t i t a t i v ed a t ar a n g ef r o mt h eq u a l i t a t i v ei n f o r m a t i o ne x p r e s s e db y l a n g u a g ev a l u e s ；i t sa l s om a k ei tp o s s i b l et ot r a n s f o r me f f i c i e n t l yt h ee x a c tn u m e r i cv a l u e i n t ot h es u i t a b l ee x p r e s s i o no fq u a l i t a t i v el i n g u i s t i cv a l u e s d a t am i n i n gi sau n i v e r s a lk n o w l e d g ed i s c o v e r yt e c h n i q u e i t sp u r p o s ei st oe x t r a c t i n t e r e s t i n gd a t ai n f o r m a t i o nf r o mal a r g en u m b e ro ft h ed a t ai no r d e rt of i n dt h eu n k n o w n a t t a c k w i t ht h em e t h o do ft h ed a t am i n i n g , w ec a ne s t a b l i s ha ni n t e g r a l i t yi n t r u s i o nd e t e c t i o n m o d e lb a s e do ni t t h ep a p e rm a i n l yu s e st h ed a t am i n i n gm e t h o d ，w h i c hi sd a t a c e n t r i c ；i tr e g a r d st h e i n t r u s i o nd e t e c t i o na sad a t aa n a l y s i sp r o c e s s ，a n du s e st h ec 4 5a l g o r i t h mt or e d u c et h e a t t r i b u t ea n dk - m e a n sa l g o r i t h mt oc l u s t e rt h ed a t a ，s ot h a ti tc a np u tf o r w a r di n t m s i o n d e t e c t i o nm e t h o dt oi m p l e m e n tt h ed e t e c t i o no ft h en e t w o r kd a t a b e c a u s eo ft h er a n d o m n e s s a n du n c e r t a i n t i e so ft h ei n t r u s i o nb e h a v e sa n dt h es y s t e mo p e r a t i o n ，t h ei n t r u s i o nd e t e c t i o n s y s t e mb a s e do nt h ec l o u d m o d e lh a st h ee x a c td e t e c t i n gc a p a b i l i t ya n da d a p t a b i l i t y n ee x p e r i m e n ts h o wt h a ti n t r u s i o nd e t e c t i o ns y s t e mb a s e do nt h ec l o u dm o d e lh a s h i g h e rd e t e c t i o nr a t ea n da d a p tt h eu n c e r t a i nt h ec h a n g e so fh y p e re n t r o p yb r i n g s ，i tm a k e st h e i n t r u s i o nd e t e c t i o ns y s t e mt or e d u c et h eh u m a nf a c t o rw h e nt h es y s t e mb e e nd e i g n e d k e yw o r d s ：i n t r u s i o nd e t e c t i o n ：c l o u dm o d e l ；d a t am i n i n g i l 大连交通大学学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了文中特别加以标注和致谢及参考 文献的地方外，论文中不包含他人或集体已经发表或撰写过的研究成 果，也不包含为获得太董塞通太堂或其他教育机构的学位或证书而 使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在 论文中作了明确的说明并表示谢意。 本人完全意识到本声明的法律效力，申请学位论文与资料若有不 实之处，由本人承担一切相关责任。 学位论文作者签名：司移醇 日期：z 干年l 乙月【了日 大连交通大学学位论文版权使用授权书 本学位论文作者完全了解太董塞通太堂有关保护知识产权及保 留、使用学位论文的规定，即：研究生在校攻读学位期间论文工作的 知识产权单位属太整塞通太堂，本人保证毕业离校后，发表或使用 论文工作成果时署名单位仍然为太整塞通太堂。学校有权保留并向 国家有关部门或机构送交论文的复印件及其电子文档，允许论文被查 阅和借阅。 本人授权太董塞通太堂可以将学位论文的全部或部分内容编入 中国科学技术信息研究所中国学位论文全文数据库等相关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论 文。 ( 保密的学位论文在解密后应遵守此规定) 学位论文作者签名：掷绺触 日期：泐婶年lz 月i 弓日 学位论文作者毕业后去向： 工作单位： 通讯地址： 电。子信箱： 导师鲐象，r 丁 纱l 。 日期：劢c ，审年i 乞月i 了日 电话： 邮编： 绪论 第一章绪论 1 1 课题研究背景及意义 随着网络技术的不断发展和网络用户的不断增加，人们得益于网络带来的便利的同 时，计算机和网络系统的安全保护问题也越来越突出，网络安全变得越来越重要。目前 的网络安全技术如防火墙、信息加密，作为网络安全的第一道防线是远远不能有效阻止 来自网络上的入侵的。针对网络系统的攻击越来越普遍，攻击手法的同趋复杂，入侵检 测技术也随着网络技术和相关学科的发展而日趋成熟，成为网络安全的第二道防线。它 对计算机和网络资源上的恶意使用行为进行识别和响应，不仅检测来自外部的入侵行 为，同时也监督内部用户的未授权活动。 计算机网络的高速发展与普及，网络己经应用到社会生活的各方各面。伴随着应用 领域的不断拓展，以及应用数量的不断增加，网络系统受到越来越多的攻击和入侵威胁， 资源共享和分布的特点急剧增加了网络安全的脆弱性和遭受攻击的可能性以及风险性， 网络安全问题已经越来越受到人们的重视。入侵检测技术是近年来顺应网络安全需求发 展起来的一种新兴技术，并得到快速发展。入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ， i d s ) 可以对系统或网络资源进行实时检测，及时发现闯入系统或网络的入侵者，也可以 预防合法用户对资源的误操作，是保证网络安全的关键技术和重要手段，它也是一种主 动保护自己免受攻击的网络安全技术。入侵检测系统分为数据采集、数据分析和响应三 个部分。为了寻找入侵行为和痕迹，数据采集从网络系统的多个点进行，采集内容包括 系统日志、网络数据包、重要文件以及用户活动的状态与行为等。数据分析则通过模式 匹配、异常检测和完整性检测三种技术手段对采集的数据进行分析。 入侵检测作为一种积极主动的安全防护技术，在网络系统受到危害之前拦截和响应 入侵，提供了对内部攻击、外部攻击和误操作的实时保护。入侵检测技术根据检测所用 分析方法不同，可分为误用检测【1 ，2 l ( m i s u s ed e t e c t i o n ) 和异常检测【 - 2 l ( a n o m a l yd e t e c t i o n ) 。 常用的检测方法有模式匹配、概率统计方法、专家系统、神经网络、模型推理等。入侵 检测系统根据信息源不同，分为基于主机型的入侵检测系统，基于网络型的入侵检测系 统和分布式入侵检测系统。 大多数的入侵检测系统都使用误用检测技术。误用检测技术需要事先将入侵信息的 特征信息输入入侵信息特征库，检测时依据具体特征库进行判断是否有入侵，准确度很 高。但对新的特征库以外的入侵信息则难以识别，存在误报率和漏报率较高的问题。异 常检测模型把用户习惯行为特征存储在特征数据库中，然后将用户当前行为与特征数据 大连交通入学。p 硕l ：。学何沦文 库中的特征进行比较，若两者偏差足够大，则说明发生了入侵。这种方法的优点是能检 测出未知的攻击类型，适应性强。异常入侵检测技术可以分为需要指导的异常检测和无 需指导的异常检测。需要指导的异常检测通过观察得到的正常数据建立正常数据模型， 然后检测那些偏离正常模型的异常数据。缺陷是需要一组完全正常的数据来训练获得模 型，如果训练数据中包含攻击数据的话，这些攻击就很难检测到。因为该方法把这些攻 击数据认为是正常数据，另一方面，获取这些训练数据也是很困难的。所以目前入侵检 测技术研究的重点转移到了无需指导的异常检测，这种技术利用一组没有标记的数据作 为输入，发现其中存在的攻击数据。它不需要完全正常的训练数据，只需要未加工的网 络原始数据就可以了。入侵检测系统一旦发现入侵行为，立即会进入响应过程，包括日 志、告警和安全控制等。 随着网络范围的不断扩大，网络技术的不断进步，网络攻击也日益增多，而且危害 程度也越来越大。入侵检测需要采集处理的数据很多，利用传统的入侵检测方法已经不 能适应。传统的模式匹配检测是基于已知的攻击或系统的明显漏洞识别入侵，这种方法 的缺点是无法检测未知的攻击。而传统的异常检测技术利用统计学的方法建立常规状态 库，对不满足常规条件的行为判断为异常。这种方法缺点是误报率高。并且现存的i d s 缺少有效性、适用性和扩展性。需要找到一种提高i d s 有效性、适用性和扩展性的方法。 1 2 本文主要研究内容 入侵检测基于两个基本的前提：一是系统活动是可以观察到的；二是合法行为和入 侵行为是可以区分的，也就是说可以通过提取用户行为的特征来分析、判断该行为的合 法性。我们把从原始审计数据或网络数据中提取出来的证据称为“特征”，使用特征建 立和评价入侵检测模型。特征提取就是确定从原始审计数据或网络数据中提取那些包含 关键行为并对分析最有用的证据。建立一个入侵检测系统需要解决两个基本问题：一个 是如何充分、可靠地提取特征；二是如何高效、准确地判断行为的合法性。 本文主要研究的内容为，把云模型的理论应用到入侵检测系统中来。该方法通过监 控系统资源的使用情况( 例如网络的流量、内存使用情况) ，并对这些监控资源的原始数 据进行处理，然后将处理后的数据输入到云决策器，云决策器根据设定的规则做出入侵 决策。本文主要采用数据挖掘方法，以数据为中心，将入侵检测看成是一个数据分析过 程，提出一种基于云模型的入侵检测方法，该方法通过对系统级、用户级、网络级数据 的检测，通过数据变换得到原始资源数据的概念划分，通过判断数据偏离程度做出入侵 告警。由于入侵行为和系统运行行为往往都是随机和不确定的，因此通过云模型建立的 入侵检测系统能具有较准确的检测能力和适应能力。 2 绪论 数据挖掘作为一门新兴的交叉学科具有很多富有挑战性的研究课题，其涉及的内 容、研究的方向广泛而又丰富。本文的研究工作主要依靠李德毅院士所提出的云模型为 有力工具，围绕入侵检测领域中的数据挖掘方法而展丌的。本文的工作主要包括以下几 方面： 第一章：概要的阐述了论文的基本情况和研究背景，以及文章要研究的内容。 第二章：介绍了入侵检测研究的背景和入侵检测的概念，并对入侵检测技术的原理 和现有入侵检测系统的系统构成及其所采用的技术、发展趋势和主要问题进行了分析。 第三章：介绍了本文的理论基础，数据挖掘方法以及云模型的理论。 第四章：主要介绍了文章的核心，就是如何把云模型应用到本文中，描述了云模型 在入侵检测中的应用。 第五章：主要介绍了对比实验。 结论：对文章的总结和展望。 3 人迓交通人学f ：学硕卜学付沦文 2 1 入侵检测简介 第二章入侵检测技术简述 2 1 1 入侵检测的定义 入侵检狈f ( i n t r u s i o nd e t e c t i o n ) 顾名思义【3 1 ，就是对入侵行为的发觉，它通过从计算机 网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安 全策略的行为和被攻击的迹象。 2 1 2 入侵检测系统的分类 按照数据来源可分为三类：基于主机的入侵检测系统、基于网络的入侵检测系统和 分布式入侵检测系统( 混合型) 1 4 】。 ( 1 ) 基于主机的入侵检测系统 一般从受检主机的审计记录和日志文件并辅以其上的其他信息，如文件系统属性、 进程状态等来检测入侵。早期的入侵检测系统如d e n n i n g 的i d e s ，基本上都是基于主机 的。该技术由于可在受检主机上运行或为它单独运行，故有以下优点： 能够较为准确地检测到发生在主机系统高层的复杂攻击行为，包括许多发生在 应用进程级别上的攻击，这往往是基于网络的入侵检测无法检测到的。 基本上不需要增加新的硬件。 但基于主机的入侵检测技术也存在一些缺陷： 严重依赖于特定的系统平台，基本上无法在不同系统平台上移植。 在受检主机上运行会影响主机的运行性能。 无法对网络环境下的大量攻击进行检测和响应。 ( 2 ) 基于网络的入侵检测系统 主要是通过被动监听网络中的流量，捕获数据包来获得必要检测数据，通过协议分 析、特征匹配、统计分析等手段发现来自网络的攻击。 它有以下优点： 能实时监控网络数据，对当前发生和潜在的攻击进行检测和迅速响应。 独立于受检主机的系统类型，不存在移植性问题。 通常采用专门独立主机和被动监听的工作模式，运行不影响其它受检主机运行 效率。 系统配置容易，基本不用更改网络拓扑结构和其它受检主机。 4 第j ：章入侵检测技术简述 同时它的局限性是： 只能检测同一网段，无法直接检测交换式网络中不同网段主机的攻击行为。 在高速网络中，数据包捕获和处理速度往往无法适应，易发生丢包，影响检测 的准确性。 无法检测应用进程级别上的攻击。 ( 3 ) 分布式( 混合型) 入侵检测系统 2 0 世纪9 0 年代后人们尝试将上述两种检测技术结合，最早实现的是d i d s 系统，被 称为混合型( h y b r i d ) 系统。从技术发展看，本质上是分布式检测架构的思路，习惯上也 称其为分布式入侵检测技术。 这类系统一般由多个部件组成，部件可根据检测的需要和网络的拓扑特点分布在网 络的各个部分，完成相应的功能，分别进行数据采集、数据分析等，通过中心的控制部 件进行协调和综合，产生检测结果和做出响应，在这种结构下，不仅可以检测到针对单 独主机的入侵，也可以检测到针对整个网络的攻击行为。 分布式入侵检测系统是目前的研究热点，也是未来发展的趋势，它所体现的思想是 分布式检测架构的思路。但分布式入侵检测系统本身还很不成熟，还存在很多问题：系 统资源如何有效分配，i d s 之间的信息交换和共享机制如何形成一个统一的标准，各检 测实体如何通信等等。 2 1 3 主要的检测方法 入侵检测技术可以分为两大类：异常检澳1 ( a n o m a l yd e t e c t i o n ) 和误用检钡, 1 ( m i s u s e d e t e c t i o n ) 。如表2 1 所示【5 j 。 表2 1 误用检测和异常检测 t a b l e2 1a b u s ed e t e c t i o na n da n o m a l yd e t e c t i o n 分析策略误用检测异常检测 缺省即允许基于信号的误用检测基丁机器学习的异常检测 缺省即禁止基于策略的误用检测基于轮廓的异常检测 ( 1 ) 异常检测技术 异常检测【6 ( a n o m a l yd e t e c t i o n ) ，也称为基于行为的检测，主要为被监控的信息系 统构造一个关于系统正常行为的参考模型( 有关用户、系统关键程序等的特征轮廓) ，然 后检查系统的运行情况，若与给定的参考模型存在较大的编差，则认为系统受到了入 5 人连交通人学厂学硕 学佗论文 侵攻击异常检测的主要前提是将入侵检测活动作为异常活动的子集，理想状况是异常 活动集于入侵活动集等同。这样，若能检测所有的异常活动，则可检测所有入侵性活动。 异常入侵检测方法依赖于异常模型的建立，不同模型构成不同的检测方法。 异常检测的一个很大的优点是不需要保存各种攻击特征的数据库。随着统计数据的 增加，检测的准确性会越来越高，可能还会检测到一些未知的攻击。但由于用户的行为 有很大的不确定性，很难对其行为确定正常范围，因此门限值的确定也比较困难，出错 的概率比较大。同时，它只能说明系统发生了异常的情况，并不能指出系统遭受了什么 样的攻击，这给系统管理员采取应对措施带来了一定困难。异常检测中常用的方法有： 量化分析、统计分析和神经网络。 量化分析技术 量化分析技术分为目标完整性检测( t a r g e t - b a s e di n t e g r i t yc h e e k s ) 和门限检测 ( t h r e s h o l dd e t e c t i o n ) 。目标完整性检测方法适用于基于主机的入侵检测系统，主要针对 被检测主机中某些关键的对象，如敏感文件，检测其是否受到无意或者恶意的更改，判 断是否有攻击发生。门限检测是最简单的一种量化分析方法，其思路是记录主体在某一 段时间内的行为属性，及其变化情况，与预先设定的门限范围做比较，如果出现较为明 显的偏差，就认为该系统发生了异常。 统计分析技术 统计分析技术采用统计分析的方法为每一个系统用户和系统主体建立统计行为模 式。所建立的模式被定期的更新，以便及时反映用户行为随时间推移而产生的变化。检 测系统维护一个由行为模式组成的统计知识库，每个模式采用一系列系统度量( 如文件 的访问、终端的使用、c p u 的时间占用等) 来表示特定用户的正常行为，当用户的行为偏 离其正常的行为模式时，就认为发生了入侵。统计分析的方法可以针对那些冒充合法用 户的入侵者，通过发现其异常的行为来发现入侵，并且不需要像误用检测系统那样需要 维护规则库。但是统计分析所采用的度量必须要精心挑选，要能根据用户行为的改变产 生一致性变化。同时统计分析的方法多是以批处理的方式对审计记录进行分析的，因此 实时性较差。 神经网络技术 神经网络是人工智能罩的一项技术，它是由大量并行的分布式处理单元组成。每个 单元都能存储一定的“知识，单元之间通过带有权值的连接进行交互。神经网络所包 含的知识体现在网络结构当中，学习过程也就表现为权值的改变和连接的增加或删除。 利用神经网络检测入侵包括两个阶段。首先是学习阶段，这个阶段使用代表用户行为的 历史数据进行训练，完成神经网络的构建和组装；接着便进入入侵分析阶段，网络接收 6 第二章入侵检测技术简述 输入的事件数据，与参考的历史行为比较，判断出两者的相似度或偏离度。神经网络使 用以下方法来标识异常的事件：改变单元的状态、改变连接的权值、添加或删除连接。 同时也具有对所定义的正常模式进行逐步修正的功能。 神经网络方法的优点在于能更好地处理原始数据的随机特性，即不需要对这些数据 作任何统计假设，并且有较好的抗干扰能力。缺点在于网络拓扑结构以及各元素的权重 很难确定。但目前神经网络技术尚不十分成熟，所以还没有较为完善的产品。 ( 2 ) 误用检测技术 误用检测【6 l ( m i s u s ed e t e c t i o n ) ，也称为基于知识的检测，主要利用收集到的已知入 侵或攻击的相关知识( 入侵攻击的特征、模式等) 来检查系统中是否出现这些已知入侵攻 击的特征和模式，并据此判断系统是否遭受到攻击。入侵模式可以通过分析历史的审计 记录自动生成，也可以通过预先定义一些模式来实现。入侵模式说明了那些导致安全突 破或者其他误用的事件中的特征、条件、排列和关系。 误用检测能迅速发现已知的攻击，并指出攻击的类型，便于采取应对措施；、同时用 户可以根据自身情况选择所要监控的事件类型和数量；但其缺点也是显而易见的：由于 依赖误用模式库，它只能检测数据库中已有的攻击，对未知的攻击无能为力，这便要求 不断地升级数据库，加入新攻击的特征码；随着数据库的不断扩大，检测所要耗费的存 储和计算资源也会越来越大；由于没有通用的模式定义语言，数据库的扩展很困难，增 加自己的模式往往很复杂；并且将对攻击的自然语言描述转换成模式是比较困难的，如 果模式不能被正确定义，将无法检测到入侵。误用检测是基于已知的系统缺陷和入侵模 式进行的，故又称特征检测。它能够准确地检测到某些特征的攻击，但过度依赖事先定 义好的安全策略，所以无法检测系统未知的攻击类型，误用检测通过对已知决策规则编 程来实现。 2 1 4 攻击技术 ( 1 ) 特权提升攻击 口令攻击 要想获得对机器或者网络的访问权，最简单有效的办法是破译用户的口令。攻击者 一旦通过猜测或者是其他手段破译了用户的口令，他就能访问到合法用户能访问到的任 何资源。合法用户在向系统输入口令时，为了避免输入的口令被旁边的人看到，系统通 常不会显示你键入的口令字符，而是以星号吩代替字符显示。当把口令存入机器以 后，下次登录时系统会自动从存储在日令文件中取出相应的口令进行登录。入侵者可以 利用目标主机的f i n g e r 功能得到该主机上的某个合法用户的帐号，然后再进行合法用户 7 人连交通人，l ：。硕i 。学f ，论文 口令的破泽。采用口令恢复软件可以把“平”还原显示为原来的口令字符。入侵者可以 通过口令破解软件如j o h n t h e r i p p e r 、l o p h t c r a c k 、n t c r a c k 、c r a c k e rj a c k 、d i c t i o n a r ym a k e r 等从预先准备好的字典中取出一个，进行加密，然后与口令文件中的口令比较，看看与 哪个一致，如果匹配成功，则攻击者就获得了对应帐号的口令，此口令即为匹配前进行 加密的那个。 窃听 窃听攻击分为本地窃听和网络窃听两种。对于本地窃听，入侵者可以事先在本地安 装木马等窃听软件或者是通过击键记录器等硬件来完成窃听。网络窃听是指在一个共享 式局域网中利用网络窃听设备，如嗅探器，窃听在共享式网络中的所有的流量，从而获 得对窃听者有价值的信息。 扫描 扫描器能够发现网络上潜在的安全漏洞。扫描可以分为三个步骤：第一，发现目标 主机或网络；第二，发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务 以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、 路由设备以及各主机的信息。第三，根据搜集到的信息判断或者进一步测试系统是否存 在安全漏洞。可以采用一种叫做漏洞扫描器的软件它是一种自动检测远程或本地主机安 全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护的w e b 服务器的各 种t c p 端口的分配、提供的服务、w e b 服务软件版本和这些服务及软件呈现在i n t e r n e t 上 的安全漏洞。 木马攻击 特洛伊木马本质上是一个程序，它可以长期驻留在目标计算机里，随计算机自动启 动，并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。 木马，其实质只是一个通过端口进行通信的网络客户服务程序。当载体程序执行时，木 马就进行一些恶意的操作，最典型的操作就是在系统中安装后门。木马一旦被植入到被 攻击主机，它就会通过一定的方式把相应信息，如电子邮箱的密码，主机的l p 地址、打 开的端口号等信息发送给攻击者，这样，攻击者可以通过已经安装好的后门来控制该系 统。 缓冲区溢出攻击 缓冲区溢出是一种非常普遍、非常危险的漏洞。在各种操作系统、应用软件中广泛 存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统当机、重新启动等后果。更 为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法 操作。缓冲区溢出攻击是指通过修改某些内存区域，把一段恶意代码存储到一个b u f f e r 8 第二：章入f 王榆测技术简迓 中，并且使这个b u f f e r 被溢出，而破坏程序的堆栈，使程序转而执行其它指令，以达到 攻。0 的 i 的。与其他的攻击类型相比，缓冲区溢出攻击不：屠要太多的先决条件，杀伤力 很强，技术性强。 ( 2 ) 拒绝服务攻击( d o s ，d d o s ) 服务是指系统提供的用户在对其使用中会受益的功能。简单的讲，拒绝服务就是用 超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源，致使网络服务瘫痪的 一种攻击手段。在早期，拒绝服务攻击主要是针对处理能力比较弱的单机，如个人p c ， 或是窄带宽连接的网站，对拥有高带宽连接，高性能设备的网站影响不大。d o s 攻击的 典型过程分为：准备阶段，收集目标信息，占领傀儡机和控制台，攻击的实施。拒绝服 务攻击可分为两种攻击形式：第一，剧毒包型拒绝服务攻击，包括：t e a r d r o p ，l a n d 攻 击，p i n go fd e a t h ，循环攻击( e c h o c h a r g e n ) 四种形式；第二，风暴型拒绝服务攻击包括： s y n 风暴，p i n g 风暴，t c p 连接耗尽，u d p 风暴，邮件炸弹五种形式。 ( 3 ) 病毒和蠕虫攻击 感染、潜伏、可触发、破坏是木马、病毒、蠕虫的基本特性。感染使病毒得以传播， 破坏性体现了病毒的杀伤能力。病毒和蠕虫一旦触发就会对计算机造成巨大的破坏。计 算机病毒的触发机制分为以下八种： 日期触发：特定日期触发、月份触发、前半年后半年触发等。 时间触发：特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触 发等。 键盘触发：击键次数触发、组合键触发、热启动触发等。 感染触发：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失 败触发等。 启动触发：病毒对机器的启动次数计数，并将此值作为触发条件。 访问磁盘次数触发：病毒对磁盘i o 访问的次数进行计数，以预定次数做触发条 件。 调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。 c p u 型号主板型号触发：病毒能识别运行环境的c p u 型号主板型号，以预定 c p u 型号主板型号做触发条件。 2 2 入侵检测原理 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) ；是x , 侵检测的具体实现，是由计 算机软件和硬件组合而成的计算机安全系统。入侵检测系统对系统进行实时监控，获取 9 人绝交通人 7 - 坝f ：孑，f 节沦文 系统的网络数据包或审计数据，然后对得到的数据进行分析，并判断系统或网络是否出 现异常或入侵行为。一旦发现异常或入侵情况，发出报警并采取相应的保护措施。i d s 具有的功能有：监测j 日户和系统的运行状况，发现j 日户越权操作；检测系统配置的证确 性和安全漏洞，并提示管理员修补漏洞；对用户非j f 常活动的统计分析，发现行为的规 律；检查系统程序和数据的一致性及j f 确性：能够实时检测到攻击行为，并进行反应。 入侵检测系统所使用的知识库，是入侵检测系统的核心部分。主要包括用户活动的 状态和行为、系统数据、来自网络上的访问数据以及用户活动数据，即以下四个方面内 容【4 l ： ( 1 ) 系统和网络日志文件。 网络日志文件记录了用户访问本机的各种信息，通过查看日志文件，能够成功的发 现黑客的入侵行为或者是入侵企图。网络管理员可以充分利用系统和网络日志文件，并 且借助专用工具对用户行为进行分析，修补安全漏洞，同时杜绝新的入侵企图。必要的 时候可以启动相应的应急响应程序。 ( 2 ) 目录和文件中的不期望的改变。 黑客可以在接入互联网的主机中，寻找对其有价值的数据。一旦改主机出现安全漏 洞，就给了黑客可乘之机。一些包含重要信息的文件往往是黑客感兴趣的对象。一旦目 标文件被修改、重新创建或者是删除，很可能就是一种入侵产生的指示和信号。 ( 3 ) 程序执行中的不期望行为。 操作系统的运行，网络服务，用户启动程序等程序一般由一个到多个进程来实现。 一旦其中的某个进程出现了不期望的行为，表明该主机正在或者已经被黑客入侵。 ( 4 ) 物理形式的攻击信息。 黑客总会想方设法找到网络安全的漏洞，对他们来说最好的办法就是能够在物理上 访问内部网，这样一来黑客就能安装一些木马程序，或是一些其他窃听软件来窃取主机 中的重要信息。物理形式的攻击通常包括对物理资源的未授权访问，以及未授权的对网 络硬件的连接。 图2 1 说明了入侵检测的原理。首先将用户活动的状态和行为、系统数据、来自网络 上的访问数据以及用户活动数据存储到数据库中，对数据进行分析，找出具有入侵特征 的数据，并且对其进行标记，将经过标记的数据存储到知识库中，然后对这些经过标记 的数据进行分析，做为以后决策的依据。对数据分析的手段包括模式匹配、统计分析和 完整性分析三种技术手段。入侵检测系统还应当提供预警功能，预警是为了预防可能出 现的入侵行为，通知管理员做好防范措施，提早发现系统存在的安全隐患，防止入侵行 为的发生。 1 0 第二置t 入侵检测技术简述 一_ 1 + 分析机构l - - 一 一一j 分析机构 操 一一 预 作 一 二一_ j 知 警 界 系统管理 识 定 面 一一， 。， 存 储库：“位 。 习r 、t5 ：标 图2 1 入侵检测系统原理 f i g 2 1p r i n c i p l eo fi n t r u s i o nd e t e c t i o ns y s t e m 2 3 入侵检测现状及发展趋势 2 3 。1 研究现状 国外入侵检测技术方面的研究始于2 0 世纪7 0 年代末，1 9 8 0 年j a m e sa n d e r s o n 发表了 “计算机安全威胁的检测和管制”( c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ) - - 文，对入侵和入侵检测做了论述，被一般认定是此方面最早的文章，商业化的i d s 产品 则出现于2 0 世纪8 0 年代后期。 在国内，网络的飞速发展同样引发相应的网络入侵问题，尽管这方面的研究相对先 进国家要晚一些，但已逐渐步入正轨。国内可查阅的最早有关入侵检测方面的中文文章 当是计算机系统安全管理：入侵检测原理及应用一文，刊于信息安全与通信保密 杂志1 9 9 8 年第1 期上。文章分析了审计跟踪数据的特征和现行的几种入侵检测方法，介 绍了入侵检测专家系统( i d e s ) 并给出了设计方法；最早的入侵检测产品出现在1 9 9 9 年， 产自启明星辰公司。据此可初步推断，国内该研究落后于先进国家大概2 0 年，但发展很 快，随着大众网络安全意识的普遍增强，到现在为止，入侵检测己经受到了政府、研究 机构、企业等各方面足够的重视，众多的研究机构投身于这方面的研究，出现了大批入 侵检测产品供应商，开发了相关的产品，较典型的有深圳安络科技有限公司的网络入侵 检测系统( n e ts e n t r y ) 、北京绿盟科技的“冰之眼 网络入侵侦测系统、东软集团有限公 司的网眼入侵检测系统( n e te y ei d s ) 、启明星辰公司的天阒网络入侵检测系统、北方计 算中心的( n i d sd e t e c t o n 和北京中科网威( n e tp o w e r ) 等，总体发展非常迅速，不断缩小 人迓交通j ：孚：学颁，卜z f 节沦文 与国外先进水平的差距。 目f j 应用在入侵检测领域的比较经典的方法有基于专家系统的方法、模式匹配法和 统计方法，还有许多其他方法，如数据挖掘法、分类和聚类方法、遗传算法等。本文e 要应用的是数据挖掘、模式匹配和人工智能领域的知识。 2 3 2 发展趋势 入侵检测技术还不是足够成熟和完善，仍有很大的研究和发展空间，以下从5 个方 面介绍入侵检测技术的主要发展趋势。 ( 1 ) 入侵检测趋向标准化。目前的i d s 产品很多，不同的i d s 之间如何接口便成问题， 为了便于各种i d s 之间的协作，有必要制定入侵检测方面的标准； ( 2 ) 入侵检测和其他网络安全技术的综合。i d s 只起到入侵警报的作用，要真正保护 好网络，还要和防火墙、应急响应系统等安全技术结合起来。 ( 3 ) 入侵检测本身的测试和性能评估。i d s 是用来保护网络安全的，它本身也是攻击 目标，本身的性能、是否有抵御攻击能力等也逐步受到了重视。 ( 4 ) 大规模分布式入侵检测系统。攻击技术的发展变化产生了分布式攻击，传统的 i d s 己经不能适应这种攻击，分布式i d s 成为一个重要的研究方向。 ( 5 ) 入侵检测系统的智能化。攻击手段的不断进步使得传统的i d s 不能识别一些新出 现的攻击，需要更多地采取智能化方法进行入侵检测，常用的有：智能体代理、神经网 络、遗传算法、模糊技术、知识挖掘、免疫原理等。这些智能化的入侵检测系统能有力 地对付新的攻击技术。 2 3 3 主要问题 ( 1 ) 误报率高 误报率是指虽然被入侵检测系统测出，但其实是正常以及合法使用受保护网络和计 算机的响应警报的概率。在现阶段由于缺乏共享信息的标准机制和集中协调的机制，没 有一个入侵检测系统能够完全避免误报，大量的误报使入侵检测系统的警报准确率大大 降低。所以有必要对现有的入侵检测技术进行改进，提高系统的检测准确率，降低误报 率。 ( 2 ) 组织的攻击方式复杂 随着攻击技术越来越高超，攻击的组织方式越来越复杂，要找出这样复杂的攻击是 一件难事。此外，高速网络技术，交换技术以及加密信道技术的发展，使得通过共享网 段窃听网络数据的时候存在很大的困难，而巨大的通信量对数据分析也提出了新的要 求。 筑：二章入侵检洲技术简述 本章小结 在本章中，详细的介绍，入侵检测的定义，发展史和发展趋势以及入侵检测系统的 原理和基本构成。介绍了入侵俭测系统的分类，介绍了各种攻击技术以及针对攻a i 所采 取的相应的检测方法。本章枉最后介绍了入侵检测系统的研究现状以及入侵检测系统面 临的主要问题。 1 3 凡连交通人学l 1 砖1 学协晓文 3 i 数据挖掘 第三章数据挖掘与云模型 3 1 1 数据挖掘简介 数据挖掘1 7 1 ( d a t am i n