（计算机软件与理论专业论文）基于流量的智能化入侵检测模型.pdf

基于流量的智能化入侵检测模型 摘要 随着信息技术的不断发展，计算机【q 络逐渐渗透到了固f c 经济的备个行 业，计算机叫络系统的安全已经成为经济社会发展不町忽视的一个方面。在 众多的m 络安全技术中，入侵检测技术由于其j 仃高度的智能性、e j 适应性 和实时性等特点已成为目i j i 嗍络安全发腥的一个重点。 本文酋先分析了当荫普遍采用的网络安全技术，并对大帚的嘲络入侵检 测技术进行了研究，在此孽础之上建芷了一个撬f 流爵的智能化入侵俭测模 型。该模型共包括两个模块：流最异常检测模块，流襞异常分析模块。 流肇异常检测模块采用的足改进的神经刚络b p 算法。应用b p 算法的 泛化功能，将输入输出样本进行训练，不断学习调整m 络权值，使m 络实现 给定的输入输出映射关系，以达到拎测流最异常的目的。 流鹭异常分析模块采用的是数拄i ：挖掘中的天联模式算法。：流最异常枪 测f 模块发现流营异常时，流爷异常分析子模块根据其记泉的m 络地址和端 口号，在一段时间内记录f 数挢| 包，利f j 笑联模式算法挖掘其频繁序列。本 文详细介绍了如f u j 利用c l o s e t 笄法术进行异常流鼠的频繁使式挖掘，实 验结果表明该算法能够有效地发现多种网络入侵行为。和现仃基知谚 工程 的方法棚比，该方法具有史岛的智能性和环境适应性。 两模块协| 丌】合作，使该智能化入f r 王俭测模型能够检；则出未知攻击。 关键词入侵检测：网络流肇；神经网络；c l o s e t 算法 i n t e l l e c t u a l i z e dn e t w o r ki n t r u s i o nd e t e c t i o nm o d e l b a s e do nn e t w o r kt r a f f i c a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y ，c o m p u t e rn e t w o r k h a sg r a d u a l l yp e n e t r a t e di n t oe v e r yc o l t l e ro fm o d e r ns o c i e t y ，a n di t ss e c u r i t yh a s b e c o m eav i t a lp r o b l e m t h et e c h n o l o g yo fi n t e l h g e n ti n t r u s i o nd e t e c t i o n ，w h i c h i so fm a n ya d v a n t a g e sh k eh i g hi n t e l l i g e n c e ，a d a p t a b i l i t ya n dr e a l t i m e ，h a s b e c o m eaf o c u si nn e t w o r ks e c u r i t y t h e a d v a n t a g e s a n d d i s a d v a n t a g e s o ft h e p o p u l a rn e t w o r ks e c u r i t y t e c h n o l o g y a r e a n a l y z e d i nt h i st h e s i s m o r e o v e rn e t w o r k b a s e di n t r u s i o n d e t e c t i o n t e c h n o l o g y i s e x p l o r e d a n da ni n t e l l e c t u a l i z e dn e t w o r ki n t r u s i o n d e t e c t i o nm o d e lb a s e do nn e t w o r kt r a f f i ci sd e s i g n e da n di m p l e m e n t e d t h e m o d e lc o n s i s t so ft w om o d u l e s ：t r a f f i cd e t e c t i o n ，a b n o r m a la n a l y z i n g t h ei m p r o v e db pa l g o r i t h mi sa d o p t e di nt h et r a f f i cd e t e c t i o nm o d u l e b y t h em e a n so fg e n e r a t i o nf u n c t i o n ，m p u ta n do u t p u td a t aa r et r a i n e da n dw e i g h t v a l u e sa r ea d j u s t e dt h r o u g hl e a r n i n gi no r d e rt o i m p l e m e n t t h e m a p p i n g r e l a t i o n s h i pb e t w e e ni n p u ta n do u t p u td a t a t h u sa n o m a l yc a nb ed e t e c t e d a s s o c i a t i o np a t t e r na l g o r i t h mw o r k si nt h ea b n o r m a la n a l y z i n gm o d u l e w h e nt h et r a f f i c a n o m a l yi s d e t e c t e di nt h e p r e v i o u sm o d u l e ，t h ea n a l y z i n g m o d u l ew i l lr e c o r da l lt h ed a t ap a c k a g e si nas p e c i f i e dt i m ea c c o r d i n gt ot h e s u b n e ta d d r e s sa n dp o r t ，a n dm i n ef r e q u e n c ys e q u e n c e sb yt h eu s eo fa s s o c i a t i o n p a t t e r na l g o r i t h m h o wt ou s ec l o s e ta r i t h m e t i cm i n ef r e q u e n tp a t t e r n so f a n o m a l yn e t w o r kt r a f f i ci sd e s c r i b e di nd e t a i l t h ee x p e r i m e n t a lr e s u l t si n d i c a t e t h a tt h i sa l g o r i t h mi se f f i c i e n te n o u g ht om e e tt h en e e d so fa c t i v ed e t e c tn o v e l i n t r u s i o n c o m p a r e d w i t hm o s t e x i s t i n gs y s t e mu s i n gp u r e l yk n o w l e d g e e n g i n e e r i n ga p p r o a c h e s ，t h ea l g o r i t h mi sm o r ei n t e l l i g e n ta n da d a p t l 、_ e w i t ht h ec o o p e r a t i o no ft w om o d u l e s t h ei n t e l l e c t u a h z e dn e t w o r ki n t r u s l o n d e t e c t i o nm o d e lc a nd e t e c tn o v e ln e t w o r ka t t a c k s k e y w o r d s i n t r u s i o nd e t e c t i o n ；n e t w o r kt r a f f i c ；n e u r a ln e t w o r k ；c l o s e t a l g o r i t h m 哈尔滨理工大学硕士学位论文原创性声明 本人郑重声明：此处所提交的硕士学位论文基于流量的智能化入侵检测模 型，是本人在导师指导下，在哈尔滨理工大学攻读硕士学位期间独立进行研究 工作所取得的成果。据本人所知，论文中除已注明部分外不包含他人已发表或撰 写过的研究成果。对本文研究工作做出贡献的个人和集体，均已在文中以明确方 式注明。本声明的法律结果将完全由本人承担。 作者签名： 同期： 卯多年易月多同 哈尔滨理工大学硕士学位论文使用授权书 基于流量的智能化入侵检测模型系本人在哈尔滨理工大学攻读硕士学位 期间在导师指导下完成的硕士学位论文。本论文的研究成果归哈尔滨理工大学所 有，本论文的研究内容不得以其它单位的名义发表。本人完全了解哈尔滨理工大 学关于保存、使用学位论文的规定，同意学校保留并向有关部门提交论文和电子 版本，允许论文被查阅和借阅。本人授权哈尔滨理工大学可以采用影印、缩印或 其他复制手段保存论文，可以公布论文的全部或部分内容。 本学位论文属于 保密口，在年解密后适用授权书。 不保密团。 ( 请在以上相应方框内打) 作者签名： 导师签名： 乙 r 期：歹力乡年乡月6 r 同期：) 忒年童月彩同 1 1 引言 第l 章绪论 随着全球信息化的弋速发腱，计算机m 络安全问题f 1 益突出，黑客入侵、 信息泄密以及病毒泛滥所带东的危害引起了l l = 界备吲的高度霞税。网络信息安 全已成为急待解决，影响i 目家大局和长远利益的曩夫天键问题。信息安全保障 能力足2 l 世纪综合闺力、经济竞争实力合生存能力的霞受组成部分，足世纪 之仞世界荇闺往奋力攀登的制高点。如今单纯采用传统的防火墙、安全路i l i 器 以及t 机j ：的访问拧制、身份认证、数据加密等安全技术已不能仃效抵御层出 不穷的入侵方式。入侵稔测系统作为传统安全技术的有效辅助手段，已经成为 计算机系统及嘲络安令的研究热点。 1 2 课题背景 近几年来，授叫网得到了迅速的普及，也不町避免的出现了校川阀的安全 忭问题，而且问题f 1 趋严匿。校内“初级骇客”比比皆足，校1 , 4 i q 内m 络设备 更足他们攻击的首选1 1 杯。校1 , 4 m 内的防火墙对f 这群入侵螽就湿得无能为 力。而入经拎删系统j t i 好能够填补防火墙的不足。 本课题足黑尼江省f i 然科学壤舍项i j “基f 多层前向伸经网络的分白式入 侵枪测模型”( 项i j 编号为：f m 0 3 0 6 ) 的一个分支，该项以哈尔滨理工大学 校i 习为研究对象，全面研究授b d i 卅络的安全管理和+ l | 应的防范措施。 1 3 网络安全概述 l _ 3 1 网络安全基本概念 m 络安全从其本质e 柬i j f 就足嘲络t - n j f ；, 息安全。凡涉及到网络l ：信 息的保密性、完螫性、, i f l l 性、真实忖牛| i 天的问题，酃槿j ：州络安个研究的预 域。通常指h 络系统的软硬件及l ( 系统中的敏槲受到保护，不受偶然的或嚣恶 意的啄【 j i 巾遭到破坏、史改、泄漏，使系统连续“，靠地远行，保讪嘲络服务i ； 中断。m 络安伞是一个十分复杂的课题，一般求讲包括物删安全和逻辑霞令两 个方面。对fd u 肯卜要足加强机房及设备管理，如门p 、钥匙等硬什安全手 段。而对j 二后行， 要采用l 】令认证、权限等访i u j 拧制疗法宋实现。删络安全 的具体禽义随蕾“视角角度”的变化向变化”1 。比如：从用户( 个人、企业 等) 的角度来说，他们希掣涉及个人隐私或商业利益的信息在网络上传输时受 到机密性、完整性和真实性的保护，避免其他人或对手利f j 窃听、h 充，篡 改、抵赖等 段侵j 【! 用户的利益和隐私，m 时也希钽刍用户的信息保存在某个 计算机系统上时，不受其他 f 法用户的i 授权访问和破坏。从网络运行和管理 者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避 免出现璃毒、非法存取、拒绝服务、网络资源 i 法占用和l e 法控制等或胁，制 止和防御网络黑客的攻击。对安全保密部门束说，他们希谩对i i 占的、有富的 或涉及【目家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生 危害，对固家造成臣犬损失。 1 3 2p p d r ：动态安全模型 网络安全足一个动念的、不断完善的过程，其动念安全过程叮以用p 。d r 模型来说明。如圈1 - 1 ，p p d r 模型有四个部分组成：p o l i c y ( 策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 柃测) 平 1 r e s p o n s e ( 响应) 。 p o h c y ：安全策略足p p d r 安仝模犁的核心。所仃的防护、检测、响应都足 依据安全策略实施的。 p r o t e c t i o n ：保护通常足通过采硐一唑传统的静态安全技术来实现的，主三要 有防火墙、加密、认证等技术。 d e t e c t i o n ：台p p d r 模型中，检测足i 常霞要的一个环节。柃删足动念响 应和加强防护的依据，它也足强制落实安全策略的仃力工具。通过小断地枪测 和监控网络和系统，束发现新的威胁和弱点，通过循环反馈来及时做出仃效的 响应。 r e s p o n s e ：紧急响应在安令系统中占f i 最蕾耍的地位，足解决潜存危险的 最仃效的办法，从某种意义上讲，安令| u j 题试足要钎决紧急响应和异常处理问 题。要解决灯紧急喇应问题，就要制订女，紧急响晦的方案，做好紧急响应方案 中的一切准备1 ：作。 祚安全策略的统一指导卜，其余= 个部分组成一个完螯的、动念的安令循 环。香咳循蚪强，综合返f f j 备种防护t j ( 如防火墙、v p n 、身份认证等) 和 检测_ 【具( i d s ，漏：呤测等) ，通过适“j 的反啦系统将系统调整到“最安全” 或“风险最低”状叁。在p p d r 模犁中，只表示攻- 打所需的时间，d ，表示检测 系统安令的时f i j ，c 表示系统对安全事件的反膨时问，网路安伞就足要爆町能 延长p l ，尽晕减少一和。当r + 4 时，系统足安令的，否则e i + 4 ， 系统不安令，这时仃e ，= ( + 4 ) 一p | ，e ，称为瑟露时间，应使其爆最小。 圈1 - ip p d r 模掣 f i g u r e1 - 1p p d rs e c u n t ym o d e l 1 3 3 常用网络安全技术 网络安全町分为防护、检测、响应和安伞策略四大部分，在这阴夫部分 中，涉及到许多的笑键技术，如加密技术、身份认证技术、防火墙技术、入侵 检测技术等。 1 加密技术( e n c r y p t i o n ) 加密足一种最基本的安全技术，主要用矗数据 存储、数据传输和l 丁令技术中。加密算法大致町分为对称加密( 秘密密t h ) 和 非对称加密( 公开密钥) 两种。代表算法分别足d e s 算法、r s a 算法。d e s 算 法速度快，故为大多数系统所用，f j 其安全件较r s a 算法低；向r s a 算法的速 度较慢”。加密技术最终将皱集成到系统和网络中，如1 p v 6 就有了内胃加密支 持。”。 2 身份认证技术( i d e n t i f i c a t i o n ) 身份认证技术主要是用求进行身份的i 别和认证。它确保参弓加密对话的人确实足其本人。实现身份认证的技术很 多，从安全f = 到身份答别，前一个安个保护能确保j i 仃经过授权的h 】户j 能使 用合法授权资源：后告则提供一种方法，f h 它7 - 成某种形式的【1 令或数7 7 - 签 名，另一方据此束认证他的合法r ，f j 丽i ：要仃双蕾认证、数7 证 s 、智能 忙、安全电f 交易( s e t ) f j j , 议等几种认n f 办法。 3 防火墙技术防火墙技术足f u 较为j l f r 的一种m 络宣令技术，它在 内部网络和外部h 络之i h 】设胃一个系统宋拧带i 内外嘲络卜机之f i j 的访问。它甚 于对内部m 络用户和l - 十j 1 的f o f 柬寅施内部网络的嫠体安令性。防火墙行很多 类犁，f e i 大体町以分为两类：一类足璃t p a c k e t f d t e r ( 包过滤掣) ，另一类足 毖t p r o x ys e r v i c e ( 代珲服务) 。防火墙技术叮结合加密技术、用_ f l 】身份认证 技术，也可以使它提供对安仝协议的支持，足一种比较有效的保护网络安伞的 方法。 4 入侵检测技术入侵伶测”被认为足防火墙之后的第_ = ：通安令闸f j ，在 不影响网络性能的伪：，己下能对嘲络进行监删，提供对内部攻击、外部攻。抒和误 操作的实时保护。 对一个成功的入侵柃测系统柬讲，它不们町使系统管理员时刻了解嘲络系 统( 包括程序、文件和硬件设备等) 的任何变更，还能为刚络安全策略的制订 提供指南。更为霞要的一点是，它应该易j - ：t d 胃和管理，从而使j 业人员 e 常容易地获得嘲络安全。向且，入侵检测的规模还应该能够根据嘲络或胁、系 统构造和安全需求的改变而改变。入侵柃测系统任发现入侵后，会及时做出响 应，包括切断网络连接、记求事件和报警等。对f 入侵枪测技术，在第2 萋仃 洋细介绍。 1 4 入侵概述 m 络安全技术与入侵技术足对旁的关系。仃意一方部足以挫败另一方为日 的。丌j 时他们又十 i 吐促进，相匠发眨。冈此只有了解了入侵技术j 能更好地了 解m 络安仝。以f 从几个方面简要地了解一下入侵技术。 1 4 1 入侵定义 入侵定义为破坏网络f i 息的机密性、完整性、町h j 性、真实忭的仔何行 为。入侵的一体是入侵蕾。他们入侵的 i 的大多足：女，奇心、个人表现、利益 骓动、政治 i 的等。试图破坏信息系统的完铲件、机密性、町f | i i 惟的任何网络 活动部称为网络入促。 1 4 2 典型入侵过程 一个典掣的入侵过甜如l 硐1 - 2 所示。 幽1 - 2 典掣的入任过手! i ! f i g u r e1 - 2at y p i c a lc o u r s eo ft h ei l l v a s l o l l 1 4 3 当前入侵特点 1 大众化在早期，入侵足少数争家级的黑客才能进行的工作。向到今 天，随着入侵f 贝的简易化，任何人部叮以进行攻击别人。只要在互联网卜收 集一下工具及相笑信息，h u t 叮投入到攻l 中去。 2 规模大，破坏力强入侵的规模越束越大。早期黑客只能拧制几台几 十台网络王机，到现在，黑客叮能拧制的卜机仃几下台，能够实施犬规模的 d d o s ( 分如式拒绝服务) 攻击。 3 攻击模式多样，不断更新攻击模式黑客技术不断发鹾，攻击模式总 在更新。包括探测攻击、扛t 绝服务攻击、缓冲k 溢j f j 攻击、对w e b 的系列攻 击( c g i 攻击、服务器攻击、j a v a s c r i p t 攻击、u r l 攻击等) 、邮件攻击、 | 授权访问攻击、刖络服务缺蹈攻击以及m 络i f 法监听等。 1 4 4 几种常用攻击手段 常f j 攻。抒于段见表l 一1 。 1 5 本文研究的主要内容 蓼r 对已仃入使柃删系统采f j 技术的人晕研究，通过异常伶删的方法，将 神终嘲络和数挣j 挖赫i ， 支术f j 机地结合起宋，实f i 见辕j ：流晕的 ￥能化入侵f ：= 删使 型。 表1 - i 儿种常攻- f f 段 t a b l ei ls e v e r a iu s u a lo n 。e n s l v ea t t a c k 攻。“名称简蛰插述 掾删攻f - t 找攻t f 。i j ，j 、射收粢丰l j 天f 己息硬1 i | t 埘。如p i n gs w e e p s t ( p i ：d p c , c a n s a t a n i p h a l f s c a n p o r ts c a n 等 抢 i ，】、彖铣资棵“i i l 合止h | 户侵系统戏使系魄能t 竟。如p i n go f 拒绝服务攻 d e a t h s y nf l o o d ，t e a r d r o p u d p b o m b ，l a n d l a t l e r r a ，w m n u k e et n n o o t f n 2 k s t a c h e l d r a h t 苫。 缓冲x 盎山利i l | 糸吮脚川w f 弘【 i 存在的躇误，执 j 札定的代码以挟取系铣的超 攻。t 级权限，如d n so v e r f l o w s t a t do v e r f l o w 等。 利川c g i w e b 服务器_ j i 叫觉器一p 存住的友个抽间。损占系晚安全 w e bj 殳h 或导致系统崩最。例如u r l ， r 兀ph t m l , j a v a s c n p t ，f r a m e s j a v a a n d a c t l , , e x 骘攻l 。 m ：攻n蚯们肝弹帆f 1 。囊t 球、帆们髟：嫡筲。 i f 授权访u j越仪访之f ，i 、执ij 七救操f ，如a d r m n d e v d f t pf m g e r p e r l ， b a c k d o o r f r p r o o t ，f t p p n 、_ d e g e d b o u n c e b a c k ( h a f i c e 等。 嘲珞服务缺 利j jn f s n i s ，兀- p 苫服务存舟的抽，f 日。进 j 攻- 1 和l | i 以访，如 陷攻。t n 代g u e s n f s m k n o d m m a p m n t 等。 掣弃 j 为分利i j 多种协议、多种y - l 2 依次进 j 的探删、攻。“i j 为，如l | 令 l 斥 描、再抽印合攻f 等等 本义将在h 向儿争t l ，探讨仲经刚络勺数铤挖删技术，及其伍入侵榆i ! 1 1 9 中的 应f j ，从向设计并实现肇r 流晕的智能化入侵柃测模型。本模掣研究的e 要内 容包括： 1 利用流晕特性对冲终m 络进行训练，建趁正常的流鼠横型。 2 b p 神经网络改进算法的研究。 3 利j 玎神经m 络对样本数据进行多次训练，确定合适的c 砬j 值、时问段，使 异常愉删的漏报牟，误报，孛，达到十l | 对较小。 4 对发尘野常的数据，利f f j 数据挖掘技术中的频繁挖掘模式c l o s e t 算法 进一步挖掘，发现规则。 5 轼j ：流目的智能化入侵拎删 建e u 的设i i - i 实现。 第2 章入侵检测系统概述 防范h 络入侵最常f j 的方法就足防火墙。防火墙( f l r e w a l l ) 足没胃拒不刚网 络( 如町信任的企业内部m 和不町信任的公共| 埘) 或l t q 络安伞域之f j j 的一系列 部件的组合，它属f 网络e 安伞技术，其作用足为了保护bq 。联i q 相连的企业 内部嘲络或币独符点。它具仃简币实用的特点，并 l 透明度高，町以在不修改 原有网络应用系统的情况下达到一定的安全要求。 但足，防火墙只是一种被动防御性的嘲络安全工j ；，仅仅使f h 防火墙足不 够的。酋先，入侵肯可以找到防火墙的漏涧，绕过防火墙进行攻击。其次，防 火墙对柬f i 内部的攻击无能为力。它所提供的服务方式足要么部拒绝，要么部 通过，而这足不能满足用户复杂的应用要求的，于足就产生了入侵检测技术。 2 1 入侵检测概述 2 1 1 入侵检测的概念 a n d e r s o n 在8 0 年代早期使f f j 过“威胁”这一术语，其定义与入侵含义相 m 。将入侵企图或贼胁定义为未绐授权蓄意尝试访问信息、窜改信息，使系统 小町靠或不能使用”。h e a d y 给 h 另外的入侵定义，入侵足指仃关试图破坏信 息资源的完整性、机密性及町刚性的活动集合”。s m a h a ”1 从分类角度指出，入 侵包括尝试r 闯入、伪装攻。n 安令控制系统渗透、渗漏、 l ，绝服务、恶意使 用6 种类型。1 9 8 7 年d o r o t h y e d e n n i n g 提 入侵俭测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，i d s ) 的抽象模型”，酋次将入侵拎删的概念作为计算机系 统的安令防御措施提 5 ，勺传统加密和访问挎制的常用方法棚比，1 d s 足一种 全新的汁算机安全防御描施。1 9 8 8 年的m o r n si n t e m e t 蝻虫每件使得i n t e r n e t 近5 天无法使f f j 。该雪付使缁对汁算机安令的i 矗受迫订后i 睫，从而导致了i ，l ：多 i d s 系统的开发研制。 入侵检；i ) ! l j ( i n t r u s l o nd e t e c t t o n ) 的定义为：识别l f 对i f 算机或m 络资源的恶 意企图和行为，并对此做i f 反应的过程。i d s 则是完成如l ：功能的蚀蕾系统。 i d s 能够拎删未授权对象( 人或w f 手) 针对系统的入侵介i 矧或行为( i n t r u s i o n ) 。 时监托。授权对象埘系统资源的 i ，土操作( m i s u s e ) 。 入侵拎测作为一种 ；：板l ：动的安个防护技术，提供了对内部攻、外部攻 - “和误操作的实时保护，存：i 嘲络系统受到危：等之前r ：截和响应入侵。入侵榆测 系统能很好地弥补防火墒的不足，从菜种意义上说足防火墙的补充。 2 1 2 入侵检测技术的分类 从入侵拎删的策略来看，入侵枪测模犁e 要f j 两种：即滥用拎：则和异常枪 测。滥j f j 硷i 9 1 1 ( m i s u s ed e t e c t i o n ) 足对已知的系统缺陷和已知的入侵疗法进行入 侵活动的检测。滥用检测的优点足叮以存针对性地建蔓商效的入侵硷删系统， 其精确件较高，主要缺陷足不能愉测未知的入侵，也不能枪测已知入侵的变 种，渊此町能发生漏报。异常入侵由用，、的异常行为和对计算机资源的异常使 用产7 王。异常枪；9 1 9 ( a n o m a l yd e t e c t i o n ) 需要建矗目标系统及其用户的j f 常活动 模裂，然后接f 这个模犁对系统和用户的实际活动迸 j 审计，以判定用户的行 为足占对系统构成威胁“。 e i 前，入侵捻删技术已经产品化，其中常用的技术主要肯以下一j j 。 1 多用于滥用检测的技术号家系统e 要针对滥用榆测。系统中维护蕾 一个描述各种攻击的规则集，如攻打嚣的f l 的、达到该e l 的要采取的行为等。 审计事件破表述成有语义的事实，推理引擎根据这些觇则和事实进行削定。该 方法增加了审计数据的抽象性。用摹规蜒怕语言为已知攻击建模。这种方法 还叮以j h 柬拎验机构的安全策略实施情况。但利用争家系统进行入侵埝测足仃 一哆小足，如难抽取攻击知识，难f 把这止! 知i j 表述成推理规则，由f 审计 记采的不完全也给知识的抽取带来了网难，另外针对一种呃弱性育多种攻。持方 法，闪此会产，上多个规则”。弩家系统的实现速度难f 实现拎测的实时性。 鉴f 此，专家系统多用f 原型系统的开发，向商业产品中则采用更有效的方 法。 特征分析方法仃螳炎似f 争家系统，主要用r 滥f j 俭删，但在时所获取知 识的使f f jh 有所f i 州。它把各种攻击手段的语义描述转变为审计跟踪中直接町 查的信息，比如把攻击行为的筹步转变为一系列审计封件或肯足审计跟踪中的 数据模式。这种方法降低了对攻t 描述的语义要求，足一种比较有效的拎删方 法。其缺点m 其它堆r 知识的疗法一样，需要频繁地修改补充攻t 的特i 【i 集， 另外对操作系统的依赖r 较强。 另外，用r 滥f j 拎洲的技术还仃p e t r i 刚、状念转移分析等，二 ；部j 仃 描述简单a 观的优点，缺点足 ，街旺配时i f 剪 大。 2 用于异常入侵检测的技术统计分析足订片常入住拎测l 1 f j 的最曾遍 的技术。该方法中f j 一此称为统计分析检删点的统i f 变晕划l 田f f h 户或系统的行 为，例如审计每件的数琶、f i i 】隔时i j 】、资源消牦t 南况等。町用f 入经伶测的5 种统计摸犁：操作模犁、方芹、多无横掣、屿尔叮大过柱模掣和时问序列分 析。统计方法的最人优点足它町以“学爿”用户的使f 玎爿惯。从向j 仃较高枪 出串勺叮用性。f i 足它的“学爿”能力也给入侵行以机会，通过逐步“训练” 使入侵事件符合j f 常操作的统计觇律，从向透过入侵枪测系统。另外一点，统 计分析枪测点的选取足一个天键技术，因为它的选取并不是限据特定的攻t t r ， 冈此要选择仃网络和系统特缸i ：意义的测睦点。如何找到n d 时合适两苦的测酵点 仍足一个| u 】题，h 前对此一般是凭感觉和经验”“。 神经网络在理论七也町以用检测未知攻击，使f j 神经网络对输入向鞋 ( 束f j 于二审计f 1 志或正常的网络访问行为，经数据信息琐处理模块的处理) 进 行处理，从中提取用户正常行为的模式特征，并以此创建用户的行为特钲轮 廓。这就要求系统事先对大擘实例进行洲练，具有每一个用户行为模弋特征的 知i j ，从向找 偏离这些轮嘟的用户行为。向用户行为模式的动念性要求入侵 检测系统具有自学习、e l 适应的功能。实际e ，异常行为的伶测天键足用户j f 常行为特征的提取，确对r 入侵行为的识别是对破监控系统的用户行为进行分 类，神经网络方法的运用足提高伶测系统的准确忭和效；棼的霞要于段。 3 一些新的技术根据最近的研究资料表明，还钉一些新的技术破用f 入侵枪测，其中之一就足计算机免疫学。它最初i hf o r r e s t 等人提f 5 。也町用 了二入侵轮测。简而占之该项技术建t m 络服务正常操作的行为摸犁，它首先收 集一嵝参考审计记采构成一个参与表，表明j f ：确的行为模式，并实时监测进程 系统中调甩宁列足古符合j l ：常模式。如果参考衷足够i f 尽，则这项技术的误报 牢将很低。f f 不足的足它小能对付利用配胃错误进 的攻击，还仃攻击右以合 法操作进行的 授权访问等。计算机免疫学足一个较祈的领域，父f 它在入侵 检测斤向的f 作仍任开展之中。 数据挖掘方法被w e n k e 1 e ef | jf 了入侵俭测中”。用数据挖掘程f 搜集到 的审计数据，为眷种入侵行为和l f ：常操作建0 桷确的行为模式，这足一个自动 的过f ￥，不i 要人工分析千编码入役f ； 式。，j 外，干h 的鳍法町以用r 多种证 据数据，这样便j j 建最系统的叮适应怍。数掂挖掘斤法的天邂点在r 算法的选 取和建z 一个：确的体系结掏。根据d a r p a 评估，运j j 数据挖掘方法的入侵 伶删系统n 竹能i ：优j i 琏r “知u iw ”的系统i i i l s l 。 2 2 典型的入侵检测系统结构 入侵抢测系统工仵流程： 1 从系统的不环节收集f j 息 2 分析该f j 息，试图。找入侵；舌动的特征 3 f l 动对舱测到的行为做h 响应 4 记录并报告检测过柠结果 入侵硷测系统主要包括三个功能部件： 1 信息收集 2 信息分析 3 结果处理 d e n n l n g 于1 9 8 7 年提出了一个通明的入侵枪删模型9 1 ( 如图2 - 1 ) ，开创了 入侵愉测系统这个m 络安全领域的一个蕾要分支。h 前榆测技术的体系结构部 是在此基础上进行扩展与细化得到的。 0 钟) 铷l ! l | i 殳计1 0 修政 丫 i 1 三体活l 审计记录i 誊裂镟处理1 提豪孟u i 更f 三_ a 新建， 动状： i | 2 - 1 通l | 的入经伶! 1 1 4 襁p f i g u r e2 - ic o m m o ni n t r u s i o nd e t e c m mm o d e l 1 主体活动( a c t i o n )卜体( s u b j e c t ，如 j 户) n ，j 、系统i ：的活动。1 j t 体棚天的活动对象( o b l e c t ) 包括系钪资源，如文件、设备等。 2 审计记录( a u d i tr e c o r d s ) 构成、凡组。a c t i o n 足 体对肘象的操作， e x c e p t l o nc o n d l t l o n 足系统对r 体废；五动产7 卜的婷常报告。如违反系统i 坌i 权 限。r e s o u r c e u s a g e 足指系统的资源消 情况。如c p u ，内存等资源使 j 情 况。t i m e s t a m p 足指i 舌动发7 卜的时间。 3 活动简档( a c t i v ep r o f i l e ) f 】以保存 ：体i f 常活动的仃天信息，j 体实 现依赖r 拎测方法。舀：统汁方法中叮以从争件数肇，频吱，资源；肖耗等方向考 查。 4 异常记录( a n o m a l yr e c o r d ) t h 组成。用 以衷示异常事件发7 l 的情况。 5 规则集处理引擎枪测入侵足开发7 - 的处理引擎。结合活动简档用号 家系统或统计方法等分析接收到的审计记求。调骼内部规则或统计信息，在仃 入侵发7 t 时，采取相应措施。 2 3 入侵检测系统面临的挑战 尽管仃众多的i d s 商业产品出现，与诸如技术商度成熟的防火墙等产品相 比，入促柃测系统还向临相、鼍多的问题，向这此| - u j 题大多部足目前入侵伶测系 统所难以克服的，而且这蝗矛盾町能越柬越尖锐”。 1 攻击的复杂性不断增加随蕾攻击手法的越宋越复杂和细致，入侵检 测系统必须具订更好的适应性，并不断跟踪最新的安全技术，于能不被攻击肯 超越。 2 恶意信息采用加密的方法传输m 络入经检测系统通过匹配网络数据 包发现攻击行为，i d s 一股假设攻t h - f f i 息足通过明文传输的，冈此对入侵f 二息 稍加改变使能蝙过i d s 的柃测。 3 必须协调、适应多样性环境中的不同安全策略m 络及其设舀越求越 多样化，既存在关键资源如邮件服务器、企业数据痒，也存在众多槲埘不很霞 要的p c 机，不n q 企业之间的t 6 况也不堪村i i 九j ，i d s 要能f 所定制以适应多样 化环境的要求。 4 不断增大的网络流量刖，1 i i 要求i d s 尽快的报警，此高要对获 得的数拼进行文时分析，导致对所f ：系统的及时住要求越柬越高，町以想象， 随肴网络流i 的进一步加夫，将对i d s 提出i 卫夫的挑战。 5 广泛接受的术语和概念框架缺乏入侵柃删系统的丌发商大多数处f 备f j 为战的状况，如秉缺乏f ，j 、 i 将使得莨m 的q 通几乎不叮能，f 16 4 十l j 天机构 j t ：n ：移： 砭研究i d s ，j 、准，以使f j j u 觇池。 6 大量的误报和届报使发现问题的真正所在产生困难。 7 。对i d s 自身的攻击和廷它系统一样，i d s 本身也存矗：安伞漏州，若 对i d s 攻t i 成功，则直接导致萸报警失足，入侵荇n 其后所作行为将无法破记 爿乏。 8 客观的评估与测试信息以及广泛接受的入侵分类方法缺乏。 9 交换式局域网造成网络数据流的“可见性”下降同时更快的网络使 数据的实时分析变得困难，i d 模型必须具有更高的实时性。 1 0 入侵行为与正常行为之间并无明显的界限。 2 4 入侵检测系统的发展趋势 针对网络系统的攻击越束越普遍，攻击t - 法f 1 趋复杂，i d s 也随首网络技 术和相关学科的发展而f 1 趋成熟。其来束发展的趋势l 要表现在： 1 宽带高速实时的检测技术“”大爵岛速嘲络技术如a t m 、干兆以太 网等近年来相继出现，住此背景下的各种宽带接入手段层出不穷。如何实现高 速网络f 的实时入侵枪测技术成为现实向f 岛的e 要问题。e i 丽的f 兆d s 产品 其性能指标与实际要求舯i 葺：很远。要提岛其性能e 要考虑以下几个方面：首 先，i d s 的软件结构和算法需要匹新设计，以期适应岛速网络的环境，提高运 行速度和效率：其次，随着高速m 络技术的不断发眨b 成熟，新的岛速m 络协 议的设汁也将成为朱束发展的趋势，那么，现行i d s 如何适f 赶和利脂将柬的新 的网络协议将是一个伞新的口j 题。 2 大规模分布式的检测技术”传统的集中式i d s 的基本摸犁足在网络 的不| f 1 j 网段放置多个探测器收集“伯u 嘲络状念的信息，然后将这蝗亿息传送到 中央控制台进行处理分析。这种，可式存在明显的缺陷“”。葭先，对于大规模 的分白式攻t 打，中央控制台的负茼将会超过其处珲极限，这种恼；兄会造成大镀 信息处珲的遗漏导致漏警牢的增高。其次，多个探删器收集到的数据n 网络 上的传输会在一定程度上增加嘲络负于h ，导致网络系统件能的降低。再肯，由 于网络传输的时延问题，中央拧制台处胛的刚络数据包中所包含的信息j l 能反 映探测器接收到它时h 络的状念小能实时反映、时的m 络状态。 3 数据挖掘技术操作系统的| 1 益复杂和网络数挣l 流晕的急剧增加，导 致了审汁数拂，以惊人的速瞍刚增。如何n 海军的审计数据中提取j 仃代表性的 系统特a f ；! 弋，以对f ? f 和f j ，o i r 为做f l j 史辛f 确的描述，足实现入经榆t 则的天 键。数搬挖掘h 支术是一项通f j 的矢【：发f 见技术。“，其l 的芷爰从向譬数搬【 i 提 取埘f j 户f j f j 的数槲。将该技术f | 】j ：入化枪删钡域，利f f j 数牡i j 挖掘中的父联分 析、序列模式分析等算法提取棚天的 j 广1 行为特征，再根据这些持征7 t 成安全 争件的分炎模型。应用f - 安全事件的f j 动鉴别。 4 更先进的检测算法在入使拎棚技术的发展过稃中，新的算法的f n 现 町以f j 效的提高枪测效；棼。以f 三种机器学习算法为前f ： 删算法的改进汀入 了新的活力，他们分别足计算机免疫技术、神经网络技术和遗传算法。 5 入侵响应技术当i d s 分析f i 入侵行为或叮疑现象后，系统需要采取 相应手段，将入侵造成的损失降到最小秤度。一般町以，t 成每件告警、e m a l l 或短信信息束通知管理员。随着网络的n 益复杂和安全要求的提高，更加实时 的系统f j 动入侵响应方法i i j 在逐步破研究和应用”1 。这类入侵响应大致分为三 类：系统保护、动念策略和攻出对抗。这三方面部艟f | 叫络对抗的范畴。系统 保护以减少入侵损失为目的，动念策略以提高系统安全特性为职责，向入侵对 抗则不仪町以实时保护系统，还町以实现入侵跟踪和反入侵的t 动防御策略。 总之，入侵检测技术作为、刍前嘲络安令研究的热点，它的快速发展和极具 潜力的应用前景需要更多的研究人员参勺研究。i d s 只有在基础珲论研究和项 目开发多个联面卜列时发展，j 能伞面提高整体舱测牢。 2 5 本章小结 本尊从入侵捡测系统的概念、分类等方向对入侵枪测技术做了简要的介 绍；给出了常f j 的入侵榆测系统结构，它足实现入侵枪测系统的币爰参考；对 今i d s 向f 临的挑战和它的发展趋势做了分析和探讨。 第3 章基于流量的智能化入侵检测模型总体框架 3 1 模型的总体框架 为了适应网络入侵拎测t 扣流疑异常枪测方汪的要求，综合神经刚络、数据 挖掘和入侵枪测技术的特点，提出了一个基f 流肇的智能化入侵愉测模型。该 模型包括流最异常枪测模块和流量异常分析模块两犬部分，下面介绍该摸犁的 蘩体陶架。 3 1 1 模型的功能和性能 i nr i d m ( i n t e l l e c t u a l i z e dn e t w o r ki n t r u s l o nd e t e c t i o nm o d e lb a s e d0 1 1n e t w o r k t r a f f i c ) ，b 口基于流曩的智能化入侵枪测摸型，是我们开发的j j 束捡测网络流睦 的原理。 在设计i n t i d m 时，我们参考了标准入侵枪测的通用模型，把整个系统分 为流璧_ 肆常枪测和流旨异常分析两大部分，共包括流最采集模块( 网络数据包 捕获模块) 、流霞分析颅处理筷块、神绛m 络模块、报警摸块以及异常数据收 集模块、挖掘频繁f 列模块和事件数据库。 性能上，系统力求满足以