（计算机应用技术专业论文）事务级数据库入侵检测系统的应用研究.pdf

事务级数据库入侵检测系统的应用研究 摘要 数据库作为信息系统存储和处理重要数据的核心部分，往往成为入侵者攻击 的主要目标。传统的入侵检测系统在数据库入侵检测的过程中只能检测出用户的 合法性，而无法检测该用户的异常行为和恶意事务操作。国家网球队信息化平台 主要存储我国网球队运动员的训练、比赛、生理生化指标等重要信息，其数据库 中存储的数据具有较高的机密性。因此本文设计了针对国家网球队信息化平台的 事务级数据库入侵检测系统。该系统具有一定的主动防御能力，可以检测出合法 用户的权限滥用、伪装成合法用户但与合法用户正常行为有较大差异的伪装攻击 等一系列攻击企图和异常行为，从而弥补了传统信息系统在数据安全技术上的不 足，保证信息平台数据的安全性。 本文首先介绍了入侵检测的概念和入侵检测系统的分类、结构、缺陷，详细 研究了入侵检测系统的检测方法，并且重点讨论了数据挖掘和神经网络技术在异 常入侵检测中的应用。最后设计开发了一套基于数据挖掘和神经网络的入侵检测 系统。系统在训练阶段，首先采用关联规则中的a p r i o r i 算法对用户的正常行为 进行数据挖掘以获取用户的行为规则，再将其作为训练样本对改进的r b f 神经网 络进行训练，建立针对用户异常行为的检测模型；在检测阶段，利用该模型的数 据识别分类功能，将用户当前行为模式与用户正常行为规则进行匹配，从而检测 数据库用户的异常行为和恶意事务操作。 本文的数据库入侵检测系统与传统的系统相比主要有以下创新： l 、该入侵检测系统的设计采用关联规则与神经网络相结合的方法。通过关 联规则挖掘出用户的行为规则，再将其规则作为训练样本对神经网络进行训练。 采取这种方式可以减少神经网络的训练时间，提高训练效率，使训练过程更具有 针对性，增强了神经网络识别分类能力，有效提高了入侵检测系统的检测率。 2 、在神经网络的选取上采用r b f 神经网络并对其进行了改进。r b f 神经网 络具有较强的非线性逼近能力，具有结构简单、学习速度快、不存在局部极小等 优点。因此本文采用r b f 神经网络应用于系统的检测单元。影响r b f 神经网络性 能的关键因素主要在于基函数中心的选取，本文通过将减法聚类与模糊c 均值聚 类相结合的方法对特征相近的训练样本进行归类处理，确定基函数中一6 - , 的数目， 进一步优化了r b f 神经网络的性能。 关键词：入侵检测系统( i d s ) ；关联规则：a p ri o ri ；r b f 神经网络；减法聚类； 模糊c 均值聚类( f c m ) a p p iic a tio na n dr e s e a r c ho nt r a n s a c tio n le v eid a t a b a s e in t r u sio nd e t e c tio ns y s t e m a b s t r a c t n o w a d a y s ，t h ed a t a b a s e ，w h i c hi st h ef o u n d a t i o n o fd a t ap r o c e s s i n ga n d m a n a g e m e n to fi n f o r m a t i o ns y s t e m ，t e n d st ob et h em a i nt a r g e to ft h ei n v a d e r s t h e t r a d i t i o n a li n t r u s i o nd e t e c t i o ns y s t e mc a no n l yd e t e c tt h ev a l i d i t yo ft h eu s e r si nt h e d a t a b a s ei n t r u s i o nd e t e c t i o n h o w e v e r , i tc a l ln o td e t e c tt h ea b n o r m a lb e h a v i o r sa n d t h em a l i c i o u st r a n s a c t i o np r o c e s s i n go ft h eu s e r s t h en a t i o n a lt e n n i st e a m i n f o r m a t i o ns y s t e ms t o r e st h ed a t aw h i c hi sv e r yc o n f i d e n t i a l ，f o re x a m p l e ，t h e i n f o r m a t i o no ft r a i n i n ga n dc o m p e t i t i o n ，t h ei n d e xo fp h y s i o l o g i c a la n db i o c h e m i c a l a n ds oo n t h e r e f o r e ，t h et r a n s a c t i o n - l e v e ld a t a b a s ei n t r u s i o nd e t e c t i o ns y s t e mb a s e d 。 o nt h en a t i o n a lt e n n i st e a mi n f o r m a t i o ns y s t e mi sd e s i g n e di nt h ep a p e r t h ei n t r u s i o n d e t e c t i o ns y s t e mo w n sc e r t a i na c t i v ed e f e n s ec a p a b i l i t y , a n di tc a nb eu s e dt od e t e c t t h ea t t e m p t e da t t a c k sa n da b n o r m a lb e h a v i o rs u c ha st h em i s u s eb yv a l i du s e r , t h e m a s q u e r a d i n ga t t a c k se x e c u t e db yu n a u t h o r i z e du s e r st h a tm a ya c c e s st ot h ed a t a b a s e b ye x p l o r i n gs y s t e mv u l n e r a b i l i t i e sa n ds oo n t h i ss y s t e mc a nm a k eu pf o rt h e d e f i c i e n c i e so ft r a d i t i o n a li n f o r m a t i o ns y s t e m sa n dp a ym o r ea t t e n t i o nt ot h es e c u r i t y o fd a t as t o r e di nt h ei n f o r m a t i o nm a n a g e m e n ts y s t e m f i r s t l y , t h i sp a p e ri n t r o d u c e st h ec o n c e p to ft h ei n t r u s i o nd e t e c t i o na n dt h e c l a s s i f i c a t i o n ，s t r u c t u r e ，d e f e c t so ft h ei n t r u s i o nd e t e c t i o ns y s t e m t h e ni tf o c u s e so n d a t am i n i n ga n dn e u r a ln e t w o r kt e c h n o l o g yi nt h ea b n o r m a li n t r u s i o nd e t e c t i o n s y s t e m f i n a l l y , a ni n t r u s i o nd e t e c t i o ns y s t e mb a s e do nd a t am i n i n ga n dn e u r a l n e t w o r ki s p r o p o s e di n t h ep a p e r i nt h et r a i n i n gs t a g e ，t h ea p r i o r ia l g o r i t h mo f a s s o c i a t i o nr u l e si su s e dt om i n et h er u l e so fu s e r s n o r m a lb e h a v i o ra tf i r s t t h er u l e s c 姐b eu s e da st h et r a i n i n gs a m p l e st ot r a i nt h em o d i f i e dr b f n n ，a n dt h e nt h et r a i n e d n e u r a ln e t w o r ka st h ea b n o r m a ld e t e c t i o nm o d e li so b t a i n e d i nt h ed e t e c t i n gs t a g e ，i t c a nd e t e c tt h ea b n o r m a lb e h a v i o ro fd a t a b a s eu s e r sa n dm a l i c i o u ss e r v i c e so p e r a t i o n b ym a t c h i n gt h ec u r r e n tu s e r s b e h a v i o rp a t t e r n sa n du s e r s n o r m a lr u l e so fc o n d u c t w i t ht h eh e l po ft h ei d e n t i f i c a t i o na n dc l a s s i f i c a t i o no ft h ea n o m a l yd e t e c t i o nm o d e l i n t h ei n n o v a t e dw o r k so ft h i s p a p e rc o m p a r e dw i t ht h et r a d i t i o n a li n t r u s i o n d e t e c t i o ns y s t e m sa r ea sf o l l o w s ： 1 t h ei n t r u s i o nd e t e c t i o ns y s t e mi sd e s i g n e db yt h em e t h o do ft h ec o m b i n a t i o n o fa s s o c i a t i o nr u l e sa n dn e u r a ln e t w o r k t h eu s e r s n o r m a lr u l e so fc o n d u c tw h i c ha r e m i n e db yt h ea s s o c i a t i o nr u l e sc a nb eu s e da st h et r a i n i n gs a m p l e st ot r a i nt h en e u r a l n e t w o r k t h i sa p p r o a c hc a nr e d u c et h en e u r a ln e t w o r kt r a i n i n gt i m ea n di m p r o v et h e e f f i c i e n c y , m a k et h et r a i n i n gp r o c e s sm o r ef o c u s e da n de n h a n c e dt h ea b i l i t yo fn e u r a l n e t w o r kc l a s s i f i c a t i o n 2 t h ep a p e ra d o p t sr b fn e u r a ln e t w o r ka n dm o d i f i e st h en e t w o r k r b f n nh a s g o o dn o n l i n e a ra p p r o x i m a t i o nc a p a b i l i t y , a n di ta l s oh a sm a n ya d v a n t a g e si n c l u d i n g s i m p l es t r u c t u r e ，l e a r n i n gf a s t ，a n dn ol o c a lm i n i m u m t h e r e f o r et h er b fn e u r a l n e t w o r ki sa d o p t e di nt h ed e t e c t i o nu n i t t h em a i nc e n t r eo ft h es e l e c t i o nf u n c t i o ni s t h ek e yf a c t o rt ot h ep e r f o r m a n c eo ft h er b f n n i nt h i sp a p e rt h et r a i n i n gs a m p l e s w i t ht h es i m i l a rc h a r a c t e r i s t i c sa r ec l a s s i f i e dt od e t e r m i n et h ec e n t r en u m b e ro ft h e f u n c t i o nb yc o m b i n i n gt h es u b t r a c t i o n 、c l u s t e r i n ga n dt h ef u z z yc m e a n sc l u s t e r i n g a n dt h ea l g o r i t h mf u r t h e ro p t i m i z e st h ep e r f o r m a n c eo ft h en e t w o r k k e yw o r d s ：i n t r u s i o nd e t e c t i o ns y s t e m s ) ；a s s o c i a t i o nr u l e s ；a p r i o r i ；r b f n e u r a ln e t w o r k s ；s u b t r a c t i o nc l u s t e r i n g ；f u z z yc - m e a n s c l u s t e r i n g 饵c m ) i v 独创声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含未获得虫圄瀣注友堂或其他教 育机构的学位或证书使用过的材料。与我一同工作的同志对本研究所做的任何贡 献均已在论文中作了明确的说明并表示谢意。 学位做作者签名：猕签字日期：砷年岁月易日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，有权保留并 向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人 授权学校可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用 影印、缩印或扫描等复制手段保存、汇编学位论文。同时授权中国科学技术信息 研究所将本学位论文收录到中国学位论文全文数据库，并通过网络向社会公 众提供信息服务。( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：导师签字： 另闼 签字日期：? 泞歹月弓日 签字日期：y 书年歹月乡 日 事务级数据库入侵检测系统的应用研究 1 绪论 1 1 选题背景 随着2 0 0 8 年北京奥运会的临近，为了能在这次运动会上取得优异的成绩， 采集对手近期的比赛训练信息成为各国运动员备战奥运会的重要准备工作之一。 鉴于国家网球队信息化平台管理和保存着大量的关于运动员技战术特点信息、日 常训练信息、日常比赛信息以及生理生化指标信息。这些信息绝对不能对外公开 的，尤其对于网球比赛的主要竞争对手，更应具有严格的保密性。然而随着信息 技术的日渐更新，针对数据库应用层的入侵手段和威胁越来越多，例如s q l 注 入、未授权的用户访问等，严重影响着数据的安全性和保密性。为了应对以上问 题，我们在系统设计上采取了一系列的安全保障措施：用户的合法性确认、合法 用户的角色权限确认、数据的加密传输以及日志管理机制等。但是为了防范对数 据库内部的入侵破坏，如授权用户对数据库的非常规操作、非法用户盗用合法用 户的密码信息登陆系统进行恶意破坏等等，我们还需建立一套事务级数据库入侵 检测系统，来检测数据库用户的异常行为和恶意事务操作。 1 2 课题研究意义 信息技术给人们的生活和工作带来了极大的方便，随着其在社会生活中应用 的深入和广泛，也带来许多新的问题，其中数据的安全闯题就成为最为突出的问 题之一 在信息化社会中，大至国家，小至企业和个人，许多重要信息都存放在计算 机系统中，计算机信息系统的安全已经成为涉及国家主权、商业机密以及个人隐 私的重要问题。特别是数据库管理系统( d b m s ) 的广泛应用，使得各类重要信 息以更加集中的方式存放，一旦发生信息泄露，后果不堪设想。毋庸置疑，信息 己成为社会发展的重要战略资源，谁掌握了信息，谁就控制了竞争的主动权，因 此国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成为保障经济 健康发展、维护国家安全和社会稳定的一个焦点。随着i n t e m e t 及计算机应用的 日益普及，越来越多的信息存放在计算机系统中，计算机信息系统成为社会生活 事务级数据库入侵检测系统的应用研究 和工农业发展中不可缺少的成分。 数据库作为信息系统的重要组成部分，往往成为入侵者主要攻击的目标。对 数据库攻击可以分为四个可能级别：处理器( 或指令) 级，o s 级，d b m s 级， 和事务( 或应用) 级。通常，内部人员的恶意行为倾向于事务级攻击，而外部人 员倾向于其它三种攻击。传统数据库采用身份合法性认证、访问权限控制等安全 机制作为防止非授权用户对数据库的恶意干扰和破坏的安全保障措施，同时也为 授权用户提供安全、及时、可靠的数据服务。然而这类安全机制主要以预防为主， 其被动性使其无法阻止所有的非法入侵，尤其是针对数据库内部的攻击往往束手 无策。据统计，对数据库的攻击8 0 来自内部，内部攻击是数据库系统的主要威 胁【1 】。尽管大部分数据库系统都提供了审计功能，但对审计数据的分析能力不足。 并且由于审计数据量很大，审计员很难通过人工方法发现可疑入侵，更无法在线 检测入侵。 入侵检测系统( d s ) 作为一种积极主动的安全防护技术，是任何强力安全 方案的重要组成部分，它能够检测到应用程序和用户的异常行为。近年来，入侵 检测技术取得了长足进展，研究人员针对如何提高入侵检测效率和准确率提出了 许多有效方法，但这些成果大多集中在网络级和操作系统级，其入侵检测机制相 对数据库而言是外部的，因此无法检测数据库的内部事务。此外，对数据库系统 的恶意行为，对网络和操作系统而言未必也是恶意的。可以考虑通过有效地结合 入侵检测技术来加强数据库安全机制的主动性。尽管目前国内外关于数据库系统 的入侵检测研究还不多见，尤其是将检测过程细化到数据库事务级层面更是少之 又少。毋庸质疑，数据库入侵检测技术的研究在i n t e m e t 的安全、数据仓库的安 全以及在信息战中保护计算机系统的安全等领域都具有十分广阔的应用前景【2 】。 1 3 国内外的研究现状 入侵检测是信息安全中的一项重要研究课题。在先前的研究中，大多集中在 针对网络和操作系统的入侵检测。自从1 9 8 0 年4 月a n d e r s o n 首先提出了入侵检 测的概念，将入侵行为划分为外部闯入、内部授权用户的越权使用和滥用等三种 类型，并提出用审计跟踪监视入侵威胁，为入侵检测做出了开创性的工作。至此， 入侵检测系统已经经历了2 0 余年的发展历程，形成了针对具体入侵行为或具体 事务级数据瘁入侵捡测系统媳应用磷究 入侵过程迸行的入侵检测研究和相应的检测系统。近期出现一些入侵检测的产 品，其中比较有代表性的产品有i s s ( i n t e r n e ts e c u r i t ys y s t e m ) 公司的r e a ls e c u r e ， n a i ( n e t w o r ka s s o c i a t e s ) 公司的c y b e rc o p 和c i s c o 公司的n e tr a n g e r 。现在入 侵检测系统已经成为网络安全中一个重要的研究方向而越来越受到重视。国内对 i d s 的研究目前是一个研究热点，公安部三所最新公布的国内已获得安全认证的 i d s 系统有：思科系统网络技术有限公司的c i s c oi d s4 2 3 0 ，北京启明星辰信息 技术有限公司的天闻黑客入侵检测与预警系统v 5 5 ，中联绿盟信息技术有限公 司的绿盟冰之眼入侵检测系统n i d s 。2 0 0 等共有3 4 个之多。武汉大学软件工程 国家重点实验室提出了基于分布式数据挖掘的入侵检测系统框架，该系统以基于 关联规则方法的分布式数据挖掘技术为核心，实现了规则库的自动生成和更新， 并能有效检测大规模的协同攻击，但他们并未实现其原型系统【3 】。入侵检测的研 究，从早期的审计跟踪数据分析，到实时入侵检测系统，到目前应用于大型网络 的分布式检测系统，基本上已发展成为具有一定规模和相应理论的研究领域。相 比之下，数据库入侵检铡技术的研究还远远不够，由于数据库结构其自身的复杂 性，使得针对数据库的入侵检测比对主机和网络入侵检测更为复杂。因此对数据 库的入侵检测算法和应用还需要更深入的研究。 1 4 课题的研究内容 本文主要研究入侵检测技术解决基于应用层层面的网球信息化平台中的数 据库的安全性问题，在分析数据库安全机制特点和不足的前提之下，根据入侵检 测的特点和平台数据库的网络拓扑结构，建立合理的数据库入侵检测模型，利用 数据挖掘的关联规则与神经网络相结合的方法，从而提高入侵检测的自学习性和 自适应性，实现一个可行的信怠化平台数据库的入侵检测系统。 本文的龟l 新点主要体现在： 1 、该数据库异常检溅模型主要针对事务级数据库缒入侵进行检测，其设计 采用关联规则与神经网络相结合的方法，原因在于用户对数据库的操作为一系列 的行为动作，彼此间是相互联系的，丽关联规则用于发现数据记录中不同数据项 之间的关联性，通过关联规则可以挖掘出用户的行为规律( 合法用户对数据库的 操作) 。神经网络技术近年来在模式识别与分类、非线性滤波、自动控制、预测 o - 事务级数据库入侵检测系统的应用研究 等方面己显示出其非凡的优越性，它是一种稳定的、非参数的方法，具有很强的 非线性学习和分类能力。通过将用户的行为规则作为训练样本对神经网络进行训 练使其学会知识，获得较强的识别能力，具备预测当前用户的操作的合法性的功 能。 2 、在神经网络的选取上采用r b f 神经网络并对其进行了改进。由于r b f 神经网络较之其他神经网络具有更强的非线性逼近能力，具有结构简单、学习速 度快、不存在局部极小的优点。因此采用r b f 神经网络应用于入侵检测，针对 用户的行为规律进行训练和对当前用户的行为动作进行识别，以提高检测速度， 获得较好的检测效果。因为影响r b f 神经网络性能的关键因素主要在于基函数 中心的选取上，所以本文采用减法聚类与模糊c 均值聚类相结合的方法将特征 相近的训练样本进行归类处理，从而确定中心数目进一步减少网络的复杂度。 论文共包括六章内容： 第一章简要说明了选题背景，意义及本文所作的工作。 第二章概述入侵检测技术，主要介绍了入侵检测的有关概念、主要功能、系 统分类等方面的内容，接着对常规入侵检测系统的体系结构进行了简单介绍，并 分析了入侵检测模型存在的不足之处。 第三章综述数据挖掘在入侵检测系统中的作用。在该章节中，先对数据挖掘 的有关知识进行了简要阐述，然后介绍了数据挖掘在入侵检测中的作用，指出入 侵检测系统是适合用数据挖掘的方法进行处理的。着重说明关联规则在入侵检测 模型中的应用。 第四章综述神经网络在入侵检测系统中的作用。首先对神经网络的相关知识 进行了简要说明，其次介绍了径向基函数( r b f ) 神经网络的基本原理，最后依 据r b f 神经网络存在的缺陷提出了改进措施，并给出相应的改进算法。 第五章详细阐述了具体的工作提出入侵检测模型的相关设计。 第六章对作者所做的工作进行了总结，并指出了未来研究工作的重点和发展 方向的展望。 4 事务级数据瘴入侵捡淤系统躲应用矫究 2 入侵检测 入侵检测( i n t r u s i o nd e t e c t i o n ，m ) 是当今信息安全领域的一个研究热点， 通过对计算机系统或网络计算机系统中的若干关键点收集信息并对其进行分析， 从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象。入侵检测系 统不仅仅针对外来的入侵者，同时也针对内部的入侵行为，被称为防火墙之后的 第二道安全闸门【3 】。它不仅能够发现已知入侵行为，而且有能力发现未知昭入侵 行戈，并可以通过学习和分析入侵手段，及时地调整系统策略以加强系统的安全 性。 2 1 入侵检测系统的概念 入侵( i n t r u s i o n ) 是指任何试图危及计算机资源的完整性、机密性或可用性 的行为【4 】。而入侵检测是对入侵行为的发觉，它通过从计算机网络或系统中的若 干关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反 安全策略的行为和遭到攻击的迹象。进行入侵检测的软件和硬件的组合便是入侵 检测系统( i n t r u s i o nd i r e 蕊o ns y s t e m ，i d s ) 。入侵检测已经具有笳多年的发展 历史，其发震历程中有几个重要里程碑： 1 、1 9 8 0 年，a n d e r s o n 在报告搿计算机安全威胁的监察( c o m p u t e rs e c u r i t y t h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ) 中提出，必须改变现有的审计机制，以便为 专职系统安全人员提供安全信息，此文被认为是有关入侵检测系统的最早的论 述。该文最先提出入侵的概念，将入侵定义为未经授权蓄意尝试访问信息、篡改 信息、使系统不可靠或不能使用，并将入侵划分为外部闯入、内部授权用户的越 权使用和滥用三种类型，并提般用审计追踪来监视入侵威胁。 2 、1 9 8 6 年，为检测用户对数据库异常访闯，w ：tt e n o r 在b m 主枫上用 c o b o l 开发的d i s c o v e r y 系统，成为最早的基于主机的入侵检测系统雏形之一。 3 、1 9 8 4 年到1 9 8 6 年乔治敦大学的d o r o t h yd e n n i n g 和s r i 公司计算机科学 实验室的p e t e rn e u m a n n 研究出一个实时入侵检测系统模型d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m s ，入侵检测专家系统) ，是第一个在应用中运用了统计和 基于规则两种技术的系统，是入侵检测研究中最有影响的一个系统。 事务级数据库入侵检测系统的应用研究 4 、1 9 8 7 年，d e n n i n g 提出了入侵检测系统的抽象模型，首次将入侵检测的 概念作为一种计算机系统安全防御问题的措施提出。同一时期，大量入侵检测原 型系统出现。 5 、1 9 8 8 年的m o r r i si n t e r n e t “蠕虫事件 使得i n t e m e t 近5 天无法使用，该 事件促使了人们投入更多的精力于入侵检测系统的研究。 6 、2 0 世纪8 0 年代后期，商业化的入侵检测系统开始出现。1 9 9 8 年，为了 提高i d s 产品、组件及与其他安全产品之间的互操作性，美国国防高级研究计 划署( d a p r a ) 和互联网工程任务组( 肼f ) 的入侵检测工作组( m w g ) 发 起制定了一系列i d s 的标准草案。d a p r a 提出的建议是c d f ( c o m m o ni n t r u s i o n d e t e c t i o nf r a m e w o r k ) 通用入侵检测框架。 至此，入侵检测完成了从概念诞生、模型建立、产品实现、产业标准化的过 程。目前，入侵检测仍在不断的发展中。 2 。2 入侵检测系统的分类 1 、入侵检测系统从数据来源上分为两种：基于主机的i d s 和基于网络的i d s 。 一个完备的入侵检测系统是基于主机和基于网络两种方式兼备的分布式系统【5 j 。 基于主机的入侵检测通常是以主机系统的系统日志、应用程序日志等审计记 录文件作为数据来源，并可附加主机上的其他信息，如文件系统属性、进程状态 等。通过比较审计记录文件与已知攻击模式，确定两者之间是否匹配。一旦出现 匹配，检测系统就会向系统管理员发出入侵报警并采取相应的行动。 此外，从基于主机入侵检测技术中还可以单独分离出基于应用的入侵检测类 型，甚口针对某个特定任务的应用程序而设计的入侵检测技术，采用的输入数据源 来自于应用程序的日志文件。本文选题便是侧重于对该方向进行研究。 基于网络的入侵检测主要以网络上的原始数据包作为数据来源，通过实时监 控网络关键路径的信息，侦听网络上的所有分组进行采集数据，提取其特征并与 知识库中已知的攻击模式( 规则) 相比较达到分析检测的目的。该系统通常利用 一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业 务。 以上方法都有其优势和劣势，两种方法互为补充。一种真正有效的入侵检测 事务级数据瘴入侵捡测系统豹痰蘑研究 系统应当将二者相结合，也即所谓混合入侵检测系统，它可以弥补一些基于网络 和基于主机的检测系统的片面性缺陷。 2 、入侵检测系统从检测方法上分为两种；异常检测( a n o m a l yd e t e c t i o n ) 和误用检测( m i s u s ed e t e c t i o n ) 。 异常检测指根据使用者的行为或资源使用是否偏离正常的情况来判断入侵 是否发生，不依赖予具体行为是否出现来检测，所以也被称为基于行为的检测。 因此为每一个正常的行为建立行为特征库，行为特征库中通常包含一组对系统活 动和网络通信模式的统计度量值，当主体活动违反其统计规律时，则将其视为可 疑行为即认为是入侵。该系统的关键是正常行为特征集的建立和异常阈值及特征 的选择。基于行为的检测与系统相对无关，通用性较强，并且可以发现新型的入 侵行为。但因为不可能对整个系统内的所有用户行为进行全面的描述，所以它的 主要缺陷在于误报率和漏报率较高。 误用检测又称基于规则的入侵检测。是建立在对过去产生的各种入侵方法和 系统缺陷知识的积累上的，利用已知攻击模式建立误用知识库来检测入侵。因此 可以事先根据经验规则或者专家知识对某些非法特征行为加以定义，再将观察对 象与之进行比较最终做出判断，得出系统是否具有此类非法行为的结论。误用检 测基于已知的系统缺陷和入侵模式，较之异常检测具各更好的确定解释能力，并 能够准确地检测到某些特定的攻击。但无法检测系统未知的攻击行为，因而会产 生漏警。 异常检测和误用检测作为两大类入侵检测技术，各有所长，又在技术上互补。 异常检测建立“芷常行为一模型，可以检测到未知的入侵攻击；误用检测利用入 侵知识库，可以快速探测到已知的入侵。一般在建立入侵检测模型的时候，应该 将这两类检测技术结合起来，互相补充不足，共同完成检测任务。 2 。3 入侵检测系统的体系结构 l 、集中式结构麓 入侵检测系统发展的初期，i d s 大都采用单一的体系结构，将在单独一台主 机上收集到的数据送到中心节点进行分析，或在邻近收集的节点上进行分析。由 于仅仅监视台主机上的用户行为，因两无法涉及到多台主机的攻击。这种技术 事务级数据库入侵检测系统的应用研究 的优点是数据的集中处理可以更加准确地分析可能的入侵行为。缺点是数据的集 中处理使检测主机成了网络安全的瓶颈，若它出现故障或受到攻击，则整个网络 的安全将无从保障。此外，这种方式的数据采集对于大型网络很难实现。 2 、分布式结构 随着网络技术的发展，大部分入侵检测系统采用分布式结构。这种分布式结 构采用多个代理在网络各部分分别进行入侵检测，并且协同处理可能的入侵行 为，其优点是：能够较好地实现数据的监听，可以检测内部和外部的入侵行为。 但是这种技术不能完全解决集中式入侵检测的缺点。因为当前的网络普遍是分层 的结构，而纯分布式的入侵检测要求代理分布在同一个层次，若代理所处的层次 太低，则无法检测针对网络上层的入侵，若代理所处的层次太高，则无法检测针 对网络下层的入侵。同时由于每个代理都没有对网络数据的整体认识，所以无法 准确地判断跨一定时间和空间的攻击，容易受到口分段等针对i d s 的攻击。目 前，一些所谓的分布式入侵检测系统只是在数据采集上实现了分布式，数据的分 析、入侵的发现和识别还是由单一程序来完成。 3 、分层结构 由于单个主机资源的限制和攻击信息的分布，在针对高层次攻击( 如协同攻 击) 上，需要多个检测单元进行协同处理，而检测单元通常是智能代理a g e n t ， 因此近来入侵检测的体系结构开始考虑采用分层的结构来检测越来越复杂的入 侵，如图2 - 1 所示： 图2 - 1 分层结构的入侵检测系统示意图 在树形分层体系中，最底层的代理负责收集所有的基本信息，然后对这些信 息进行简单的处理，并完成简单的判断和处理。特点是所处理的数据量大、速度 凄务级数据痒入侵捡溅系统的应曩磷究 快、效率离，僵它只能检测某些简单的攻击。中间层代理起承土窟下的作用，一 方面可以接受并处理下层节点处理蜃的数据，一方面可以进行较高层次的关联分 析、刿断和结果输出，并惫高层节点进行报告。中闻节点的加入减轻了中央控制 的负担，增强了系统的伸缩性。最高层节点主要负责在整体上对各级节点进行管 理和协调，此外，它还可根据环境的要求动态调整节点层次关系图，实现系统的 动态配置。 4 、混合结构 混合模型是一种综合分层和网络体系结构最佳特征方法。混合模型采用网络 的体系结构，在没有嘎昱根的基础上保留整体的分层结构，并允许缓件不按严格 的分级结构灵活地遭信。如图2 - 2 所示，其中描述了命令和控制组建中的端关系， 收集单元和命令控制单元( 如事件触发器) 间的通信，以及汇聚单元和命令控制 单元( 如错误容忍) 间冗余通信。i d s 将中央检测服务器的任务分配给多个基于 主机的d i s ，这些i d s 不分等级，各司其职，负责监控当地主机的某些活动。所 以，其可伸缩性、安全性都得到了显著的提高，但维护成本却高了很多，并且增 加了所监控主机的工作负荷，如：透信机制、审计开销、踪迹分析等。 命令寝 羧制节点 鬏桨繁纛 i i 5 c 集节赢 图2 - 2 混合体系结构 总的来说，若需要建立完整的大规模分布式安全检测体系，目前并没有公认 的体系结构，因为人们对大规模网络入侵检测的功能、覆盖范围和检测方法认识 尚不统一。 2 4 入侵检测系统的缺陷 譬前，入侵检测技术已经取得了基大盼进展，现有的入侵检测系统很大程度 事务级数据库入侵检测系统的应用研究 上能够识别出任何不希望有的来自于网络外部和内部活动。但随着对高速环境下 的安全要求，目前i d s 还存在着很多不足之处： 1 、入侵检测系统的误报警：误报是指被入侵检测系统测出但其实是很正常 及合法使用受保护网络和计算机的警报。一个有效的入侵检测系统应限制误报出 现的次数，但同时又能有效截击入侵。假警报不但令人讨厌，并且会减低入侵检 测系统的效率。攻击者往往是利用包的结构伪造无威胁的“正常 假警报，而诱 使没有警觉性的收受人把入侵检测系统关掉，继而开始真正的入侵活动。 2 、入侵检测系统的效率问题：延时是入侵检测系统一个极其重要的参数， 而入侵检测延时又取决于处理数据的效率。入侵检测系统不能很好的检测所有的 数据包，基于网络的入侵检测系统难以跟上网络发展的速度。随着网络数据流量 急剧增加，面对庞大的数据，入侵检测系统如何有效地完成数据审计，及时做出 反应成为一个难题。 3 、入侵检测系统的自适应性差：目前，入侵者在实施入侵时往往同时采取 多种入侵手段，攻击地点来自四面八方，攻击者往往花费很长的时间准备，并可 在攻击实施的初期掩盖攻击的真实目的。大部分的入侵检测产品都采用误用检测 的方法，而误用检测是基于预先定义好的模式，这就意味着它不可能根据网络数 据的变化进行自适应的修改检测模式。因此，对于新型的攻击手段或已知入侵的 变种，误用检测却是无能为力的。 4 、入侵检测系统的有效跟踪分析缺乏：追踪某个攻击的最终目标地址是保 护计算机及网络系统最有力的方法。但实现该方法存在多个难点。“最终来源 实际上是己被攻击者攻破的计算机，只是由另一个受害主机拥有及操作。攻击者 知道自己会被跟踪，所以只会在一段很短的时间内进行攻击，使跟踪者没有足够 的时间来跟踪他们。 正是由于存在的各种不足，说明入侵检测技术还有很大的发展空间，而针对 该领域的开创性的工作也将具有重要的意义。 2 5 入侵检测的基本检测方法 ( 1 ) 模式匹配 基于模式匹配的入侵检测系统是由入侵检测领域的大师k u m a r 于1 9 9 5 年提 事务级数据摩入侵检测系统鹃应爰磷究 出的。基予模式匹配的入侵检测方法将已知的入侵特征进行编码，成为与审计记 录相符合的模式。当新的待审计事件产生时，通过该方法寻找与它相匹配的已知 入侵模式。其实现过程是把入侵检测的问题转化成模式匹配的| 薅题，系统的审计 事件被视为抽象的事件流，入侵行为检测器就是模式匹配器。模式匹配的优点是 方法简单、准确率高，可扩展性好。但它自身也存在着局限性，只能检测已知攻 击，模式库需要不断更新。此外，对于高速大规模网络，需要分析处理大量的数 据包，所以该方法的速度问题成为制约其发展的主要瓶颈。虽然模式匹配在性能 上存在很大闯题，但系统的实现、配置、维护都薯 常方便，因此得到了广泛应用。 著名的s n o r t 系统就采用了这种检测手段。 。( 2 ) 专家系统 专家系统主要用于误用检测同。用专家系统对入侵进行检测，经常是针对有 特征入侵行为。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决 于审计记录的完备性和实时性。审计事件被表达成有语义的事实，推理引擎根据 这些规贝| j 和事实进行判定。入侵的特征提取与表达，是入侵检测系统的关键。该 方法采用基于规则的语言为己知攻击行为建模，增加了审计数据的抽象缝。在系 统实现中，将有关入侵的知识转化为i f - t h e n 结构，条件部分为入侵特征，t h e n 部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专 家系统知识库的完备性。专家系统的优点在于把问题解决方案和问题的推理过程 分离开来，用户不需要理解或干预专家系统内部过程。专家系统的缺点主要有： 攻击特征的提取有较大难度，速度难以满足实时性要求等，规则库缺少环境的适 用能力维护较为匿难。因此专家系统多用于原型系统的开发，而商业产品中采用 其他更有效的方法。 一m i n _ s u p 且c o n f ( x - i o m i n _ c o n f ，称规则卜y 为关 搴务级数据库入侵检溅系统蛉应题磺究 联规则。 ( 2 ) 分类规荚| 1 分析【1 1 , 1 2 分类规则分析是数据挖掘领域重要的研究课题之一，禺前分类分析集中应用 在海量数据实时分类算法设计方面。给定实例记录，即训练集，每个记录由多个 属性构成，属性分为连续型和分类型。分类分析目标是建立基于属性的分类属性 模型。分类分析广泛应用于各个领域，如零售业、欺诈检测、病理诊断等，目前 已有多种分类分析模型得到应用，包括线性回归模型、决策树模型、神经网络模 型、遗传算法等，在这些模型中圭予决策树模型构造快捷，易于理解而且能够有 效转换为s q l 语句高效访闻数据库，精度较高，可采焉并行算法实现，阻此得 到了广泛采用。 ( 3 ) 聚类规则分析 聚类规则分析是根据指定的相似度准则，对目标数据集进行划分，同一聚类 中的对象尽可能相近，不同聚类之间的对象尽可能相异，主要分为层次型聚类和 划分型聚类。分类与聚类的区别在于：分类是将分类规则应用于数据对象，而聚 类是发现隐含于混杂数据对象的分类规则，分别代表有监督学习和无监督学习两 类方法。不同聚类方法对予相簿记录集合可能得出不同的划分结果，聚类算法通 常关注聚类精度，面对算法扩展性闯题考虑不多。主要的聚类算法包括：b i r c h 聚类，它在扩展性方面取得了进展，而且在处理噪声方面进行了研究【1 3 】； c l a r a n s 聚类，它适用于大规模应用的随机搜索算法【1 4 】；c u r e 聚类，针对大 型数据库采用随机取样和划分方法进行聚类【1 5 l 。 自从数据挖掘愚想提出以后，玛ma l m a d e n 研究中心、璐mt ，w a t s o n 研 究中心、m i c r o s o f t 、加拿大s i m o nf r a s e r 大学、斯坦福大学、u n i v e r s i t yo f w i