（计算机软件与理论专业论文）入侵诱骗系统中基于遗传算法的数据分析技术研究.pdf

南京邮电大学硕士研究生学位论文中文摘要 中文摘要 近年来随着计算机网络安全防御技术的研究与发展，被动的、消极的防御体系逐渐向 主动的、智能的网络防御体系转变，寻找有效的动态安全防御方法，确保网络系统免受攻 击，已成为网络安全研究的新热点。入侵诱骗系统作为一种网络安全工具，可以通过创建 一个可控的攻击环境，主动追踪入侵者的行为，从而捕获尽可能多的入侵信息。基于这些 信息，采用数据分析算法，识别入侵行为，预防更多的恶意破坏，从而更有效地保护网络 安全。 本文重在研究采用基于遗传算法的数据分析方法，识别恶意攻击模式，生成数据监测 规则，从而作用于实际的网络环境。其关键技术包括隐蔽的数据收集技术和基于遗传算法 的行为分析技术。将遗传算法应用于数据分析是改善入侵诱骗系统智能性的重大举措，一 方面提高了系统数据分析的效率和准确性，另一方面使实施诱骗更具针对性。 本系统在l i n u x 6 0 环境下实现数据检测和诱骗功能，采用s e b e k 工具实现隐蔽数据 捕捉。同时，系统以v c + + 6 0 作为开发环境实现数据分析模块的编程，采用了c s 三层架 构，运用了多线程编程、a c t i v e x 组件封装和基于遗传算法的数据挖掘等多种技术。通过 仿真试验，表明本系统能有效地捕捉恶意行为，防御多种新型攻击。 关键词：遗传算法；入侵诱骗；网络安全 南京邮电大学硕士研究生学位论文a b s t r a c t a b s t i 认c t d u r i n gc u r r e n ty e a r s ，诮t l lt h ed e v e l o p m e n to fc o m p u t e rn e t w o r ks e c u r i t yt e c h n o l o g y , p a s s i v en e t w o r ks e c u r i t y g u a r a n t e es y s t e m sh a v eg r a d u a l l yb e c o m em o r ea n dm o r ea c t i v ea n d i n t e l l i g e n t i no r d e rt op r o t e c tn e t w o r ks y s t e mf x o ma t t a c k i n g ，i th a sb e e nah o t s p o tf o rr e l a t e d r e s e a r c h e r st od i s c o v e rm o r ee f f e c t i v ed y n a m i cs e c u r i t ys t r a t e g i e s h o n e y p o ti sak i n do fs y s t e m w h i c hc a np r o v i d eac o n t r o l l a b l ee n v i r o n m e n tt ot r a c en e ti n t r u s i o n sm a d eb yh a c k e r s b a s e do n e f f e c t i v ea n a l y s i so ft h e s et r a c e di n f o r m a t i o n ，i ti sp o s s i b l ef o ru st oi d e n t i f ym o r ei n t r u s i o n sa n d d e f e n dm o r ev i c i o u sa t t a c k s t h i sp a p e rf o c u s e so nt h er e s e a r c ho fd a t aa n a l y z i n gt e c h n o l o g yw h i c hi sb a s e do ng e n e t i c a l g o r i t h m b yu s i n gs u c ht e c h n o l o g y , i n t r u s i o nd e c e p t i o ns y s t e mc a ni d e n t i f ya t t a c km o d e ，a n d m a k ei n t e l l i g e n td a t a - m o n i t o r i n gr u l e st oa v o i dv a r i o u sn e ws t y l ea t t a c k s t h ek e yt e c h n o l o g y i n c l u d e sc o v e r td a t ac o l l e c t i o na n da c t i v i t ya n a l y z i n gt e c h n o l o g yb a s e d0 1 1g e n e r i ca l g o r i t h m t o i n t e g r a t eg e n e t i ca l g o r i t h mi n t od a t aa n a l y s i si sa ni m p o r t a n tm e a s u r et oi m p r o v ei n t e l l i g e n c eo f i n t r u s i o nd e c e p t i o ns y s t e m s ( i d s ) ，i tn o to n l yi n c r e a s e se f f i c i e n c ya n dv e r a c i t yo fd a t aa n a l y s i s ， b u ta l s om a k e st r a pm o r e p e r t i n e n t l y t h i s s y s t e m ，w a sd e v e l o p e du n d e rv c + + 6 0 ，b a s e do nc l i e n t s e r v e r t h r e e - l e v e l a r c h i t e c t u r e ，a n dm a d eu s eo fm u l t i - t h r e a dp r o g r a m m i n g ，a c t i v e xc o n t r o le n c a p s u l a t i o na n d g e n e t i ca l g o r i t h mb a s e dd a t a - m i n i n gm e t h o d i th a sb e e nw e l lt e s t e dt oa v o i d k i n d so fa t t a c k s k e y w o r d s ：g e n e t i ca l g o r i t h m ；i n t r u s i o nd e c e p t i o n ；n e t w o r ks e c u r i t y - i i 南京邮电大学硕士研究生学位论文缩略词 缩略词 缩略词英文全称译文 i p s i n t r u s i o np r o t e c t i o ns y s t e m 入侵防护系统 i d s i n t r u s i o nd e t e c t i o ns y s t e m入侵检测系统 d d o s d i s t r i b u t e dd e n yo fs e r v i c e 分布式拒绝服务 s o ms e l fo r g a n i z e dm a p p i n g 自组织映射 s v m s u p p o r tv e c t o rm a c h i n e支持向量机 s r ms t n l c t u r er i s km i n i m i z e结构风险最小化 g ag e n e t i ca l g o r i t h m遗传算法 r a t sr e a l t i m ea c t i v et r a ps y s t e m实时主动诱骗系统 n a cn e t w o r ka c c e s sc o n t r o l 网络准入控制 n b a rn e t w o r kb a s e da p p l yr e c o g n i z e 基于网络的应用识别 i di d e n t i f i c a t i o n 标识 p i dp r o c e s si d e n t i f i c a t i o n进程标识符 i p s e et c p i p参见t c p a p i s oi n t e r n a t i o n a ls t a n d a r d so r g a n i z a t i o n 国际标准化组织 o s ii s oo p e ns y s t e m si n t e r c o n n e c t i o n i s o 开放系统互连 r f ci e t fr e q u e s tf o rc o m m e n t sd o c u m e n ti e t f 被i e s g 认可的请 a p p r o v e db y t h ei e s g 求意见文档 i c m pt h ei n t e r a c tc o n t r o lm e s s a g ep r o t o c o l ，a i n t e m e t 控制消息协议， f u n d a m e n t a lp a r to ft c p i pt c p i p 的一个基本组成 部分 t c p s e et c p i p 参见t c p i p t c p ，i pt r a n s m i s s i o nc o n t r o lp r o t o e o l i n t e m e t传输控制协议网际互连 p r o t o c o ls u i t e 协议的协议栈 u d p u n i f i e dd e v e l o p i n gp r o c e s s 统一开发过程 u d p u s e rd a t a g r a mp r o t o c o l ，af u n d a m e n t a l用户数据报协议，t c p i p p a r to ft c p i p的一个基本组成部分 u m l u n i f i e dm o d e l i n gl a n g u a g e 统一建模语言 s s h s e c u r es h e l l 安全s h e l l ，是一种功能强 大的、基于软件的网络安 v 南京邮电大学硕士研究生学位论文缩略词 全解决方案 v e rv e r s i o n版本号 s q l s t r u c t u r e dq u e r y l a n g u a g e结构化查询语言 - v i - 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：笾垒矗日期：趔：! ：堕 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名：丝丝庭 导师签名： 南京邮电大学硕士研究生学位论文第一章绪论 1 1 相关技术研究 1 1 1 入侵诱骗系统 第一章绪论 为了提高防御未知攻击的能力，2 0 世纪9 0 年代末期学术界提出了h o n e y p o t ( 蜜罐) 理 论，开始了入侵诱骗技术的研究。入侵诱骗系统是一个严格控制的欺骗环境，由真实的或者 软件模拟的网络和主机构成。诱骗系统的主机和其它的普通服务器没什么区别，但是系统 中存在很多虚假的文件路径以及一些看起来有价值的信息，并且往往没有经过安全加固， 能够较为容易的被攻破。在实际运作中，诱骗系统时刻保持对诱骗主机和真实主机的入侵 检测，一旦发现入侵行为，便将其重定向到严格控制的诱骗环境中，从而保护实际运行的 系统。同时，在诱骗环境中可以收集入侵信息，观察入侵者行为，记录其活动，以便分析 入侵者水平、目的、所用工具、入侵手段等，并为入侵响应以及随后可能进行的对入侵者 的法律制裁提供证据【1 ，2 】。在国外文献中，通常把基于主机的诱骗系统称为h o n e y p o t ， 而将基于网络的诱骗系统称为h o n e y n e t 。简而言之，入侵诱骗系统就是一种用来观测黑客 入侵行为的系统。 目前对诱骗比较流行的提法有h o n e y p o t 和h o n e y n e t 。h o n e y p o t ：是指模拟某些常见 的漏洞，模拟其它操作系统，或者在某个系统上做一些设置使其成为一台对黑客具有吸引 力的主机，诱骗黑客入侵，增加黑客攻击系统所花的开销，从而降低黑客攻击真实系统的 兴趣，并保护真实系统的安全。h o n e y n e t ：也称陷阱网络，这个网络系统隐藏在防火墙后 面，所有进出的数据都受到关注、捕获及控制。它建立的是一个真实的网络和主机环境， 使用各种不同的操作系统，如l i n u x ，w i n d o w sn t ，c i s c os w i t c h 等，在这些系统上运行 的都是真实完整的应用程序并提供各种服务，如d n ss e r v e r ，w e bs e r v e r ，f t ps e r v e r 等， 使建立的网络环境看上去更加真实可信。通过捕获黑客入侵这些系统时留下的信息，来研 究和分析入侵者们使用的工具、方法及动机。 文献【3 ，4 】中提出了h o n e y p o t 与普通的被入侵主机的不同之处，h o n e y p o t 提供了 一个主动诱惑的平台，从该平台环境中我们能捕捉到更多具有研究价值的数据信息。可以 1 南京邮电大学硕士研究生学位论文第一苹绪论 看出，h o n e y p o t 在提供分析数据源方面，有它特殊的优势，如果能够采用高效的数据分析 技术，从被捕获到的数据挖掘有用信息，将对我们深入研究黑客的入侵行为有着极大的帮 助。为了在现代高带宽，大规模网络环境下提高入侵检测的效率，降低漏报率和误报率， 部分领域专家们尝试把机器学习的方法引入到数据分析中来。 1 1 2 基于机器学习的数据分析技术研究 神经网络 神经网络是一种非参量化的分析技术，使用自适应学习技术来提取异常行为的特征， 通过对训练数据集进行学习以得出正常的行为模式。神经网络由大量的处理单元组成，单 元间通过带有权值的连接来进行交互。神经网络处理过程一般包括模型构建与训练、网络 冗余修剪、规则生成等阶段。 k f o x 等人 5 1 使用神经网络来进行攻击检测，对于异常检测和误用检测分别采用多 层感知机m l p 和多层b p 神经网络模型，取得了不错的实验效果。a g h o s t 和a s c h w a r t z h a r d 【6 】研究了神经网络在异常检测和误用检测中的应用，他们的实验结果表明基于神经网 络的入侵检测模型在误用检测中工作得很好，但对未知攻击模式则效果不佳。 e l i c h o d z i j e w a k i 等【7 】利用自组织映射( s o m ) 做基于主机的入侵检测，c j i r a p u m m i n 等1 81 利用基于s o m 和反弹传播神经网络( r e s i l i e n tp r o p a g a t i o nn e u r a ln e t w o r k ) 的混合检测系统 进行入侵和正常模式的可视化和分类研究，他们的算法对于一种s y n 泛洪攻击和两种端口 扫描攻击获得了9 0 以上的检测率! 同时误警率在5 以下。此外，还有l e e 和h e i n b u c h 9 1 采用分层后向传播神经网络检测t c ps y n 泛洪和端口扫描j c a n n a d y 等【1 0 利用多层感 知机m l p 进行误用检测等。 神经网络对异常检测具有很多优点：不依赖于任何有关数据种类的假设，能处理噪声 数据，实现简单。但同时也存在一些问题：神经网络拓扑结构的形成不稳定，易陷于局部 极小，学习时间长，而且对判断异常的事件不能提供解释或说明信息。 遗传算法 遗传算法( g e n e t i ca l g o r i t h m ) 也称基因算法，是一种基于遗传和变异的生物进化方法。 遗传算法的一般步骤包括对优化问题解的染色体编码，适应函数的构造，染色体的结合( 选 择、交叉) 和基因变异。在入侵检测系统中，从系统日志、系统调用序列、网络流量等大 量审计数据中提取与安全相关的系统特征属性，采用遗传算法选择其特征向量集以建立入 侵检测模型。 南京邮电大学硕士研究生学位论文第一苹绪论 在基于遗传和进化学习的入侵检测研究方面，文献【1 3 1 给出了利用g a 进行网络入侵 检测的基本实现过程。文献【1 4 做了g a 与局部贪婪搜索算法入侵检测比较的实验，结 果表明网络数据的表示形式对流量模型的分类性能有重要影响。文献【i s 提出了一种基 于g a 的网络异常入侵检测算法，其基本思想是用滑动窗口将系统各属性表示为特征向量， 从而将系统正常状态分布在n 维空间中，并使用遗传算法进化检测规则集来覆盖异常空间， 实验表明算法可提高检测率。 遗传算法适合数值求解那些带有多参数、多目标和在多区域但连通性较差的n p - h a r d 优化问题，它不需要对目标有精确的了解，能处理带有大量噪声和无关数据的变化事件。在 异常入侵检测中，取得了较好的效果。不利之处在于编码表示的不规范，染色体选择和初 始群体选取的困难，另外，能否收敛到最优解也是个问题。 支持向量机 支持向量机( s v m ) 是基于结构风险最小化( s r m ) 原理，根据有限的样本信息在模型的复 杂性和学习能力之间寻求最佳折衷，以期获得最好的范化能力。在把支持向量机算法应用 于入侵检测方面，相关专家们已经做了不少研究。s m u k k a m a l a 等【1 6 1 比较了神经网络 和s v m 在实时入侵检测中的精度和效率。a h s u n g 和s m u k k a m a l a 1 71 进一步利用s v m 和神经网络做了入侵检测属性的特征排序和精选工作。【1 8 1 利用k d di d s 评估数据源对 s v m 在网络异常检测中的应用作了详细研究，并评估了t c p 会话每一属性对s v m 分类的 重要性。【1 9 利用混合的无监督的聚类方法和超平面的o n e s v m 算法作异常检测，算法 结合了聚类的快速性和o n e s v m 的精确性。w j h u 等1 2 0 1 针对入侵检测中遇到的含噪 数据，提出了健壮s v m 的分类方法。 2 1 】利用s v m 方法对进程运行时产生的系统调用序 列建立了入侵检测模型，实验表明所建立的检测模型需要的先验知识很少，并且训练时间 较短。 2 2 1 针对入侵检测所获得的高维小样本异构函数集，将有监督的c - s v m 算法和无 监督的o n e c l a s ss v m 算法用于网络连接信息数据中的攻击检测和异常发现。 研究表明，s v m 的不足之处在于训练之前必须进行模型选择，并要确定多个参数，其 中最重要的就是核函数，但核函数的选择往往凭经验进行。并且s v m 通常只能处理数值 数据和二元分类问题，如果要区分多种入侵方式，面对大量的数据源，就要使用多个s v m 来实现，多分类s v m 算法性能有待进一步的提高。 粗糙集 粗糙集( r o u g hs e t ) 理论在处理大量数据、消除冗余信息方面有着良好的结果。在u n i x 操作系统中，通过对进程运行过程中产生的一系列系统调用的分析，有可能发现进程的异 常运行状态，进而可以判断出该系统是否受到攻击。在把粗糙集理论应用于i d s 方面， 3 壹室塑皇奎堂堡主翌窒生堂垡笙奎笙二童堡笙 l h z h a n g 等【2 3 】把粗糙集分类用于入侵检测的特征排序与选择，并利用g a 对规则进行 进化学习，算法可以得到“i f - t h e n 形式的规则。励晓健等人【2 4 】提出了基于p o i s s o n 过 程和r o u g h 包含的计算免疫模型用于异常模式匹配。蔡忠闽等【2 5 1 利用粗糙集理论u n i x 系统调用短序列做异常检测，取得了良好的效果。 粗糙集理论适于对模糊和不完全知识的处理，但对错误信息描述的确定性机制过于简 单，且在约简的过程中缺乏交互验证的功能。当存在噪声时，其结果往往不稳定，精度不 高。因此和其它方法如神经网络等结合将会大大增强其处理问题的能力。 人工免疫 人工免疫系统的主要目的是识别”s e l f , 和”n o n - s e l f 它是通过抗体和抗原的结合来实现 的。其中抗体的生成和演化是免疫系统识别 n o n s e l f 和对”s e l f 形成自我耐受的关键所在， 一般通过否定选择和克隆选择机制来实现。与此类似，如何模拟基因库更新、否定选择、 克隆选择等抗体生成过程建立入侵检测器是建立基于人工免疫原理的关键。依据生物免疫 的基本思想，将正常的网络连接当成是自己的正常行为，将异常连接视为异己行为，区别 “s e l f 和“n o n s e l f 从而判别出入侵行为，其中检测器由否定选择算法和克隆选择算法产 生。 在把人工免疫原理应用于i d s 方面，代表性的研究有n e w m e x i c o 大学的f o r r e s t 小组、 m e m p h i s 大学的d d a s g u p t a 小组和英国u n i v e r s i t yc o l l e g el o n d o n 的k i n 、b e n t l e y 小组， 几个小组实现基于人工免疫的i d s 的思路大致相同，但在具体实现上有所区别，有的模型 还有待于进一步验证。另外e g o n z a l e z 和d d a s g u p t a 比较了神经一免疫( n e u r o i m m u n e ) 算法 和自组织映射( s o m ) 用于异常检测的优劣，e g o n z a l e z 进一步把负向选择和s o m 用于免疫 入侵检测中，可以实现异常检测的可视化。d d a s g u p t a 在2 0 0 5 年提出了一种多层免疫学 习算法并把它应用于网络异常检测。j g a l e a n o 等则对人工免疫网络模型作了全面的比较。 已有研究结果表明，基于人工免疫的i d s 在实现异常检测方面具有很大潜力。不足之处在 于完善基于人工免疫的模型还有困难，需进一步找到合适的否定选择算法和克隆选择算 法，需要获取足够多的能代表系统行为的正常数据样本等。 综上所述，机器学习技术使i d s 具有较好的学习和自适应能力，是决定入侵检测快速性、 准确性和完整性的关键技术。但每种机器学习方法都不可避免地存在一定的缺陷，究其原 因，( 一) 分析技术的局限性，建模过于复杂造成分析效率低，反应速度慢；( - - ) 缺少 有效的数据表示形式，降低了数据分析效果；( 三) 缺少良好的原始数据源。我们还可以 看到，目前的基于机器学习的i d s ，大多还停留在理论研究阶段，只提出了一些系统原型， 堕塞堂皇奎兰堡主堑塑竺堂竺丝茎茎二皇堕丝 缺少实践基础。本文将介绍一种智能性的入侵诱骗系统，该系统使用基于遗传算法的数据 挖掘技术，分析诱骗平台提供的数据，即充分发挥了入侵诱骗系统的优点，又结合了遗传 算法在机器学习方面的智能性，采用高效的数据组织形式，在智能和效率两方面，大大改 善了传统入侵诱骗系统。实验证明该系统能有效的防御未知攻击，在反应速度上也达到较 好的效果。 1 2 项目来源与主要章节介绍 1 2 1 课题背景 入侵诱骗技术是网络安全中的一种有效的识别和防御新型攻击的新兴领域，对提高网 络的可生存性起着重要的作用，具有广阔应用前景。然而现有的系统存在着两大问题：( 1 ) 跟踪入侵行为，容易暴露诱骗系统：( 2 ) 当前诱骗系统的监控信息一般都以文件的形式存 放，数据分析主要由网络管理员承担，不但不能及时地发现入侵，而且缺少系统的分析方 法。针对以上问题，我们采用隐蔽的数据跟踪技术，将遗传算法和数据分析有机的结合起 来，形成一种智能的入侵诱骗系统。 1 2 2 课题来源及本文工作 本文所涉及的课题来源于华为科技基金项目，项目名称为“基于智能代理的诱骗系统 研究 ，由南京邮电大学计算机学院项目组申请并承担研究。 该项目分三个子系统来完成，即：“检测平台的分析与设计”、“诱骗平台的分析与 设计 和“分析平台的分析与设计。在整个系统的实现过程中，解决整个体系结构的设 计、各子系统的功能划分、各子系统的关键技术设计与实现。 本文依托于该项目，为改善该系统的智能性，本文做了进一步的深入研究，包括基于 机器学习的数据分析技术研究，隐蔽数据捕捉技术( 第三章) 和基于遗传算法的数据分析 技术研究( 第四章) ，应用相关技术，对原系统的数据分析模块和数据检测模块( 第五章) 进行了改进，并对改进前后两系统进行了性能测试和对比测试( 第六章) 。 1 2 3 系统的实现目标 主动诱骗系统计划实现三项功能，即保护功能、学习功能和取证功能。 雨京邮电大学硕士研究生学位论文第一章绪论 ( 1 ) 主动诱骗功能。这也是主动诱骗系统同一般诱骗系统相比的独特之处。以往的诱骗系 统只是简单的将诱骗子网接入局域网，采取守株待兔的方法等候入侵者进入。本系统将入 侵检测系统和诱骗系统相结合，将判为可疑的数据流直接导入诱骗子网，分流了大量的攻 击数据，保护了真实网络的安全。 ( 2 ) 智能学习功能。系统对入侵者在诱骗网络中的行为进行分析，提取出入侵者的击键信 息、对话和所用工具，并将这些数据存入数据库中，对其采用基于遗传算法的数据分析技 术进行数据挖掘分析，发现入侵规律。 ( 3 ) 隐蔽取证功能。采用隐蔽的数据捕捉技术，通过分析入侵者发送的数据包，能够初步 查明入侵者所在的区域；对于来自内部的攻击，可以进一步锁定到发动攻击的主机。企事 业单位可以以此为依据采取相应的法律手段。 1 2 4 主要章节安排 本文简要介绍了网络入侵诱骗系统的设计和实现过程，重点介绍入侵行为捕捉、基于 遗传算法的数据分析和数据检测，并对系统仿真模型进行了功能测试。 全文共分六个章节，内容组织如下： 第一章介绍了入侵诱骗系统和遗传算法的概念，进行了系统的需求分析，论述了与本 课题相关的国内外技术的研究现状和本项目的研究背景； 第二章根据绪论中的分析，提出了本系统的总体设计，确定了系统的实现方案； 第三章详细论述入侵行为的隐式捕捉技术和系统数据捕捉模块的实现； 第四章详细介绍基于遗传算法的数据挖掘技术一一信任度分配算法，基于遗传算法的 数据分析算法： 第五章介绍了数据检测模块设计，包括数据检测规则的生成，规则执行和反馈，对诱 骗数据的影响等； 第六章是系统测试部分，首先介绍了本系统的实验仿真环境，接着使用多个测试用例 对系统功能进行了全面的、长期的测试，对比了改进前后系统的性能，结果表明改进后的 系统更具灵敏性和智能性。 最后，总结了本文所作的工作，并分析了该系统投入实际应用面临的问题、解决方法 和下一步研究的方向。 南京邮电大学硕士研究生学位论文第二章系统模型设计 第二章系统模型设计 r a t s 2 6 1 系统将数据挖掘分析应用在分布式诱骗环境中，运用数据挖掘方法中的序列 模式分析法和决策树分析法，从诱骗机收集到的海量监控数据中识别出异常和可疑的用户 行为。虽然该方法能在一定程度上识别出可疑行为，但我们也看到其在数据检测方面的缺 点，主要表现在： ( 1 ) 采用的数据结构复杂，决策树建立完整才能达到良好的分析效果，这样占用了大量存 储空间，数据分析所用时间也较长； ( 2 ) 使用规则组合方式进行可疑行为辨识，需要同时使用多个规则，对入侵一定时间的监 控才能判别其是不是真正的入侵，这样给数据检测带来负担，很大程度上影响了数据检测 的实时性： ( 3 ) 如何将规则有机地组合起来，提高r a t s 自动检测的智能性，还有待更深入的研究； 我们针对上述问题对网络入侵检测策略做了进一步研究。 2 1 网络入侵智能化防御体系研究现状 不管是以流量为特征的各种d d o s 攻击，还是未知病毒入侵，针对不同方式的网络入 侵，国内外专家学者不断致力于智能防御方法研究。虽然智能化的防御工具和手段各种各 样，但其突出特点是从被动防御到主动防御的演化。国内外现有的智能防御技术包括： 1 智能化流量控制 该策略主要利用了网络中特定数据包在正常情况下是有一定的对称性原理，即特定数 据包的比率是稳定的。当这种对称性被打破就可能已发生了网络攻击。由路由器或网络监 视器持续检测带宽，记录了不同子网在不同聚集层次上的包速率统计，那些只将大量的包 发送给目标主机而没有或很少包返回来的攻击者将被认为是有恶意的。m u l t o p s1 ：2 8 1 就是利用记录和发现这种不对称性，进而检测出网络攻击。在攻击中伪造源i p 地址会对 m u l t o p s 产生一定的影响，然而对于那些不改变网络数据包对称性的网络攻击m u l t o p s 就表现得无能为力了。 2 应用层防御 传统的防火墙、防病毒网关都是基于2 3 层网络设计的，存在着巨大的安全漏洞及隐 患。为了解决这些隐患，目前很多厂商开始针对应用层开发安全产品。 堕室坚皇奎堂婴圭翌窒生堂垡望奎箜三皇墨竺堡型堡生 采用应用层安全防御有多个优势。( 1 ) 能够以干兆速度来处理威胁、攻击，也就是说比 普通的防火墙路径检测的速度要快得多；( 2 ) 能够监测应用层。防火墙靠路径检测不能够 阻止病毒攻击，因为防火墙不能检测应用层。而应用交换可以针对应用层检测，就能阻止 针对应用的攻击；( 3 ) 能够以较快的速度来扫描整个网络或者是好几个网络，或者是网络 的所有网源。病毒总是遍布整个网络的，防住某几个点的意义并不大，必须使病毒在全网 都无处藏身，才能更有效的阻止病毒的威胁。代表产品为r a d w a r e 1 2 ，其s y n a p p s 应用 安全控制模块能够加载在全线智能应用交换产品中。该模块通过对数据包进行应用层级别 的深入分析，按照特征数据进行匹配跟踪，并可以通过终止所跟踪的可疑会话来实时检测 和阻止2 5 大类1 5 0 0 多种病毒攻击对网络的入侵。但是由于海量数据分析全部在应用层进 行，使得该系统对网络攻击的检测存在一定的滞后性，另一方面，针对加密型网络的数据 传输，s y n a p p s 还需要做的更完备。 3 多层防御 要想实现完全的安全只有一层的安全措施是不可能做到的，必须有多层立体防御的安 全意识。目前r a d w a r e 在4 , - 一7 层智能应用交换技术的基础上研发了能够为各类防火墙、 防病毒网关提供智能化流量控制及完整内容防护的入侵防护( i p s ) 网络安全产品 d e f e n s e p r o 嘲1 。c i s c o l s 0 1 2 3n 1 1 也提供了多个全方位保障网络安全的新特性，如透明防火 墙、网络准入控$ 1 j ( n a c ) 、入侵防护、i p s e c 安全状态故障恢复、基于网络的应用识别( n b a r ) 等，实现路由器上2 7 层的安全防御。然而对网络流量进行深层控制和防御的i p s 将消耗 更多的系统资源，不可避免地容易成为网关部分的瓶颈。 通过对各项技术优缺点的研究和适应环境的具体分析，我们发现采用隐蔽的数据跟踪 技术，绕过加密型网络的加密模块捕捉特征数据，在应用层防御入侵行为更加切实可行， 为改善数据分析的效率和智能性，我们采用了高效的数据组织方式和数据分析算法，结合 r a t s 的具体应用，形成了入侵诱骗系统的检测未知入侵的新方法在r a t s 系统中应 用遗传算法挖掘未知入侵规则，即改进r a t s ( i 虹) 。 i r a t 系统实施了隐蔽的数据捕捉技术，在应用层分析网络行为，采用改进的信任度分 配算法，对跟踪数据分配信任度，形成训练集，并在训练集上进行遗传操作，最终选择出 较成熟的滤包规则，使得各新型网络攻击无法得逞。实验证明，该系统不但能有效的防御 以流量为特征的d d o s 攻击，而且对防止小流量的恶性系统窥探和系统资料泄漏也有较明 显的效果。 南京邮电大学硕士研究生学位论文第二章系统模型设计 2 2i r a t 系统模块设计 i r a t 系统用例图如图2 1 所示。 一一 一一 一一 匦多一 图2 1i r a t 系统用例图 i r a t 系统依托于r a t s 系统，并在数据分析部分有了明显的改进，采用基于遗传算法 的数据挖掘技术，能有效跟踪恶意操作，预防未知攻击。下面介绍系统各模块功能。 1 数据采样模块 使用一定的采样算法对数据包进行采样，保证在不消耗过量的系统资源的同时，能够 真实地反映出网络中的流量变化，算法相对简单，运算量小，内核空间实现。 2 s n o r t 系统过滤模块 流经的网络数据包，经s n o r t 系统的初步过滤，过滤掉携带已识别病毒码的数据，将减 少其威胁风险。 3 数据定向到诱骗网络 采用重定向算法，将判为正常的数据流量转入到正常网络，而将可能为异常的数据流 量进行重新定位，转入诱骗网络中。在i r a t 系统中我们新加了三个i p a d d r 监控表，根据 该表实现更加智能的定向功能。 4 行为数据跟踪 负责监视诱骗系统的状态，接收从h o n e y w a l l 传送过来的打包数据，并将其解包成数 q 塞塞堡皇奎兰堡主塑壅生堂垡丝壅茎三里墨竺堡型堡生 据单元，传送到数据分析部分，在应用层实现。将在第三章详细论述。 5 数据分析 将打包的数据单元转化成既定的形式，同时采用改进的信任度分配算法，分配初始信 任度，生成训练子集，对训练子集实施部分遗传操作，包括一系列的选择、交叉、变异等 操作从而形成滤包规则。将在第四章详细论述。 6 数据过滤 根据滤包规则对网络行为进行过滤，识别和阻止入侵。并根据规则执行的反馈信息， 对数据分析的相关参数进行调整。将在第五章详细论述。 7 数据定向到真实网络 采用重定向算法，将判为正常的数据流量转入到正常网络。 子模块l 一3 、7 已经在文献【2 6 】中有详细的介绍，下面我们着重讲述一下i r a t 系统 中的改进部分，即i r a t 系统数据分析模块的设计。 2 3i r a t 系统数据分析模块设计 2 3 1 结构模块设计 图2 - 3i r a t 数据分析模块结构图 i r a t 系统采集的环境信息通过模式生成器被分类并编码成有限长的消息( m e s s a g e ) ，然 后发往消息表，采用信任度分配算法( c r e d i t a s s i g n m e n t a l g o r i t h m ，c a a ) ，对跟踪数据编码， 形成训练子集表，即种群，利用一种限制交配策略，只允许指定数据域进行交叉，经一定 周期的遗传操作，得到较优种群，较优种群经测试集测试后，生成数据过滤规则，作用器 1 0 - 雨京邮电大学硕士研究生学位论文 第二章系统模型设计 作用于原始操作，监控真实的网络行为。下面介绍所涉及的数据结构和模块的功能。 ( 1 ) 消息结构体 所获取的数据元素组合为： 时间戳口地址进程i d 命令用户m 文本 对于已在各h o n e yp o t 上注册的用户( 一般为网络管理员) ，我们认为其行为都是安全的。 我们要跟踪分析的是非注册登陆者的行为。以i p 和p i d 为索引，根据时间戳的变化，可 跟踪其行动趋向，这里行动趋向是指根据下一时间戳的行为，是否访问了带蜜文件，是否 修改了带蜜文件，是否取得合法用户权限等。我们将根据其行动趋向分配其相关信任度。 ( 2 ) 数据采集 数据捕获的目的是用捕获的数据准确的重现蜜罐上的事件。我们需要通过这些信息来 确定入侵者是什么时候攻破系统的，他们是怎么做的，以及在获得访问权限后又做了什么。 这些信息还可能告诉我们谁是入侵者，他们的动机是什么，以及他们和谁一起工作。为了 确定入侵者获得访问权限后所作的事情，我们需要捕获的数据能够提供入侵者的击键记录 和攻击的影响。我们将采用隐蔽方法，记录可疑入侵者在一些诱骗系统里的所作所为，且 要确保不被入侵者察觉到被监视。采集到的数据将被整理录入到数据库中。 ( 3 ) 消息分类 以p 地址和p i d 为索引对环境信息分类，各分类信息根据时间戳变化，形成分类项， 使用预定义的符号串来代替命令和文本的方式对各分类子项编码成二进制字符串，从而生 成原始消息模式，不同的i p 地址和p i d 形成不同的消息聚集。分类后的消息导入到消息 表，对其进行进一步处理。 ( 4 ) 消息表 分析原始消息模式串，生成具有更丰富信息的分类项。扩充消息结构，使之包含信任 度相关信息。一种分类模式就形成一个桶，桶中分类项的信任度将由c a a 算法生成。 ( 5 ) 训练子集 分配了信任度的消息形成训练子集，即个体，个体经选择，交叉，变异，得到较优个 体，再经过测试表对较优个体的测试，得到最优个体，最优个体将通过作用器，直接作用 于环境数据。 ( 6 ) 测试表 由测试例子组成，负责对训练子集中的较优个体进行测试。模式生成器对该表中匹配 度较低的一些例子进行定期更新。 南京邮电大学硕士研究生学位论文第二章系统模型设计 ( 7 ) 作用器 包含对环境数据直接作用的规则集。针对不同危险度的行为，采取不同的对应措施， 并生成可监控的三个i p 地址记录表，对诱入的数据监控，同时给出告警信息，提示管理 员对某些非法后门或数据给予相应处理。当无法容纳新生成规则时，新生成的规则按一定 策略替代其他规则。 2 3 2 结构流程设计 i r a t 系统数据挖掘模块数据流图如图2 4 所示。 数 图2 4i r a t 系统数据挖掘模块数据流图 经s n o r t 系统的初步检测后，一些可疑的网络服务请求将被定向到h o n e y n e t 内，我们 使用s e b e k 作为隐蔽的数据捕捉工具，捕捉到的数据将被整理成给定的消息结构，并以 m e s s a g e s p i d 为索引，组成桶队列，初始信息部分为针对各操作所定义的信任度的文件， 也包括和信任度分配算法所需要的记录各投标度的文件，这些文件存储在e t c c o n f目 录下，初始信任度和投标度的分配也可以通过模块来修改。提取一个消息链，i利nf用oinit信 任度分配算法分配信任度，形成训练子集，训练子集经一系列遗传操作后，将得到遗传个 体。遗传个体经处理后，还要通过测试集的检测，测试集与原始消息结构相同，是生成的 即时消息体的概率抽样样本。经测试集检测淘汰余下的个体组成限速规则，将直接作用于 真实网络。来自规则执行模块和准规则检测模块的反馈，将及时的调整影响信任度分配和 南京邮电大学硕士研究生学位论文第二章系统模型设计 遗传操作的相应参数，还将影响到诱骗数据，从而使得系统具备更高的智能性。 2 4 本章小结 本章对比分析了国内外现有的防御策略，确立了i r a t 系统应用层防御的思想，利用 u m l 建模原理对i r a t 系统进行建模，并简单介绍了i r a t 系统的组织结构，说明各个模 他盘杰珏：由的胁罾壬九讳台曼对具体模块的详细设计，将在后续各章节做详细介绍。 南京邮电大学硕士研究生学位论文第三章i r a t 系统数据捕捉模块设计 第三章i r a t 系统数据捕捉模块设计 在i r a t 系统的数据捕捉模块中，我们运用有效的数据捕捉技术，对潜在的网络入侵行 为进行隐蔽跟踪，搜集入侵证据，并记录入库，为数据分析模块提供数据源。 3 1 数据捕捉原理 在通常情况下，网络通信的套接字程序只能响应与自己硬件地址相匹配的或是以广播 形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数 据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法 收取与自己无关的数据包。我们要想实现截获流经网络设备的所有数据包，就要将网卡设 置为混杂模式。这样该主机的网卡就可以捕获到所有流经其网卡的数据包和帧。但这种 截获仅仅是数据包的一份拷贝，而不能对其进行截断，要想截断网络流量就要采用一些更 底层的办法了。 如果没有使用加密，那么用e t h e r e a l 等工具重组网络上捕获数据的t c p 流就可以得到会 话的内容，从而监视入侵者的击键。这种技术不但可以得到入侵者输入的信息，也可以得 到入侵者看到的输出。当会话没有被加密的时候，流重组技术是捕获入侵者动作的理想方 法。但是会话被加密的时候，流重组也只能得到加密的会话内容，破解加密会话内容是非 常困难的。加密的信息如果要使用就肯定会在某些地方不是被加密的，绕过进程就可以捕 获未加密的数据。这是解密工作的基本机制，然后获得访问未保护的数据。使用二进制木 马程序是对付加密的首次尝试。当入侵者攻破蜜罐，他可能会使用如s s h 的加密工具来登 陆被攻陷的主机，登陆的时候肯定要输入命令，这时木马s h e l l 程序会记录他们的动作。二 进制木马程序隐蔽性不高，而且入侵者可能会安装他们自己的二进制程序。从操作系统内 核访问数据将是一个很好的捕获方法。不管入侵者使用什么二进制程序，我们都可以从内 核捕获数据并且可以