（计算机应用技术专业论文）改进的kmeans算法在入侵检测系统中的应用研究.pdf

摘要 摘要 随着网络技术的不断发展和网络用户的不断增加，人们得益于网络带来的便利的同 时，计算机和网络系统的安全保护问题也越来越突出，网络安全变得越来越重要。目前 的网络安全技术如防火墙、信息加密，作为网络安全的第一道防线是远远不能有效阻止 来自网络上的入侵的。针对网络系统的攻击越来越普遍，攻击手法的同趋复杂，入侵检 测技术也随着网络技术和相关学科的发展而同趋成熟，成为网络安全的第二道防线。它 对计算机和网络资源上的恶意使用行为进行识别和响应，不仅检测来自外部的入侵行 为，同时也监督内部用户的未授权活动。 本论文基于上述研究背景，开展了以k m e a n s 聚类分析为基础的网络入侵检测研 究。以降低误检率和误报率，提高入侵检测质量为目标。从检测率和误报率两个重要指 标出发，提出以改进的k m e a n s 算法为主线的相关检测算法，并进行了计算机仿真实验。 与此同时，针对k m e a n s 算法中数据预处理存在的问题提出了相应算法的改进。本论文 主要研究工作如下： 从入侵检测研究背景和发展历程出发，介绍了入侵、入侵检测和入侵检测系统的基 本概念和原理，阐述了将k - m e a n s 聚类算法引入入侵检测领域的背景，分析其出发点、 可行性以及此领域的研究进展和存在的相关问题。 针对经典k - m e a n s 算法聚类中心个数难以确定的缺点，本文提出了一种求聚类中心 个数的算法。针对经典k - m e a n s 算法易受噪声和孤立点影响这一缺点，对算法做了进一 步改进，以减少噪声和孤立点对聚类效果的影响。针对经典k - m e a n s 算法聚类效果对初 始质心严重依赖和对数据输入顺序敏感的缺点，本文提出了寻找较为准确的k 个聚类中 心的办法，从而可以得到更好的划分效果。 将改进的k - m e a n s 算法应用到对数据的分析中去，提出了一种实时入侵检测模型。 仿真实验证明：文中的基于改进的k - m e a n s 算法的入侵检测系统降低了误检率和误报 率，提高了入侵检测质量。 关键词：入侵检测；k 平均；入侵检测系统 摘要 a b s t r a c t w i t ht h ec o n t i n u o u sd e v e l o p m e n to fn e t w o r kt e c h n o l o g ya n di n t e r n e tu s e r sc o n t i n u e st o i n c r e a s e ，p e o p l eb e n e f i tf r o mt h ec o n v e n i e n c eo ft h ei n t e r n e t ，a tt h es a m et i m e ，c o m p u t e ra n d n e t w o r ks e c u r i t yp r o t e c t i o ns y s t e mp r o b l e m sa r em o r ea n dm o r ep r o m i n e n t n e t w o r ks e c u r i t y i sb e c o m i n gi n c r e a s i n g l yi m p o r t a n t t h ec u r r e n tn e t w o r ks e c u r i t yt e c h n o l o g i e ss u c ha s f i r e w a l l s ，m e s s a g ee n c r y p t i o na st h ef i r s tl i n eo fd e f e n s ec a l ln o te f f e c t i v e l ys t o pt h ei n v a s i o n f r o mt h en e t w o r k n e t w o r ka t t a c k sb e c o m em o r ea n dm o r ec o m m o na n da t t a c km e t h o d sa r e b e c o m i n gm o r ea n dm o r ec o m p l i c a t e d i n t r u s i o nd e t e c t i o nt e c h n o l o g y 诵t ht h en e t w o r k t e c h n o l o g ya n dt h ed e v e l o p m e n to fr e l e v a n td i s c i p l i n e sb e c o m i n gm o r ea n dm o r em a t u r ea s n e t w o r ks e c u r i t y ss e c o n dl i n eo fd e f e n s e i tc a nb eo nt h ec o m p u t e ra n dt h en e t w o r ko f m a l i c i o u su s eo fr e s o u r c e st oi d e n t i f ya n dr e s p o n dt oa c t sn o to n l yf r o me x t e r n a li n t r u s i o n d e t e c t i o n b u ta l s ot h es u p e r v i s i o no ft h ei n t e r n a lu s e r so fu n a u t h o r i z e da c t i v i t i e s i nt h ec o n t e x to ft h es t u d y ，b a s e do nk m e a n sc l u s t e ra n a l y s i s ，t h i sp a p e rc a r r i e do u to n t h en e t w o r ki n t r u s i o nd e t e c t i o nr e s e a r c h t or e d u c et h ee r r o rr a t ea n dt h es e i z u r er a t eo ff a l s e p o s i t i v e sa n di m p r o v et h eq u a l i t yo fg o a l si n t r u s i o nd e t e c t i o n ，f r o mt h ed e t e c t i o nr a t ea n d f a l s e - p o s i t i v er a t e so ft w oi m p o r t a n ti n d i c a t o r s ，p r o p o s e dt oa ni m p r o v e dk m e a n sa l g o r i t h m r e l a t e dt ot h em a i nl i n eo fd e t e c t i o na l g o r i t h m ，a n dh a sd o n eac o m p u t e rs i m u l a t i o n a tt h e s a m et i m e ih a v ep r o p o s e dac o r r e s p o n d i n gi m p r o v e m e n to nt h ek m e a n sa l g o r i t h ma n d p r e p r o c e s s i n gt h ed a t ai nt h ee x i s t i n gp r o b l e m s t m sp a p e rs t u d i e sa r ea sf o l l o w s ： f r o mt h eb a c k g r o u n do fi n t r u s i o nd e t e c t i o nr e s e a r c ha n dd e v e l o p m e n tp r o c e s s ，i i n t r o d u c e dt h ei n v a s i o n ，i n t r u s i o nd e t e c t i o na n di n t r u s i o nd e t e c t i o ns y s t e m sb a s i cc o n c e p t s a n dp r i n c i p l e s ii n t r o d u c e dt h eb a c k g r o u n do fk m e a n sc l u s t e ra n a l y s i sb ei n t r o d u c e dt ot h e f i e l do fi n t r u s i o nd e t e c t i o n ，a n a l y s i so fi t ss t a r t i n gp o i n t ，t h ef e a s i b i l i t ys t u d ya n dp r o g r e s si n t h i sa r e aa n dt h er e l a t e di s s u e s p o i n tt oc l a s s i c a lk m e a n sa l g o r i t h md i f f i c u l tt od e t e r m i n et h en u m b e ro ft h ec l u s t e r c e n t e r ig i v ea na l g o r i t h mt oc a l c u l a t et h en u m b e ro ft h ec l u s t e rc e n t e r p o i n tt oc l a s s i c a l k m e a n sa l g o r i t h mv u l n e r a b l et on o i s ea n dt h ei m p a c to fi s o l a t e dp o i n td e f e c t sih a v e i m p r o v et h ea l g o r i t h mt or e d u c et h en o i s ea n di s o l a t e dp o i n t so nt h ec l u s t e re f f e c t p o i n tt o c l a s s i c a lk - m e a n sa l g o r i t h mc l u s t e r i n ga l g o r i t h me f f e c to nt h eh e a r ti sh e a v i l yd e p e n d e n to n t h ei n i t i a lq u a l i t yo ft h ed a t ai n p u ts e q u e n c ea n dt h es h o r t c o m i n go ft h es e n s i t i v i t y ，t h i sp a p e r p r e s e n t sam o r ea c c u r a t e m e t h o r do ff i n dk c l u s t e r i n gc e n t e r ，t h u s c a nb eg e tb e r e r d e l i n e a t i o ne f f e c t si m p r o v e dk - m e a n sa l g o r i t h mh a sb ea p p l i e dt ot h ea n a l y s i so ft h ed a t aa n di p r e s e n t sar e a l t i m ei n t r u s i o nd e t e c t i o nm o d e l t h es i m u l a t i o nr e s u l t ss h o wt h a t ：t h ei n t r u s i o n 人连交通人学f ：学硕十学位论文 d e t e c t i o ns y s t e mb a s e d0 ni m p r o v e dk m e a n sa l g o r i t h mi nt h i sp a p e rr e d u c e dt h ee r r o rr a t e a n dt h es e i z u r er a t eo ff a l s ep o s i t i v e sa n di m p r o v e dt h eq u a l i t yo fi n t r u s i o nd e t e c t i o n k e yw o r d s ：i n t r u s i o nd e t e c t i o n ；k - m e a n s ；i n t r u s i o nd e t e c t i o ns y s t e m 1 1 1 大连交通大学学位论文版权使用授权书 本学位论文作者完全了解太整塞通太堂有关保护知识产权及保 留、使用学位论文的规定，即：研究生在校攻读学位期间论文工作的 知识产权单位属太蔓塞通太堂，本人保证毕业离校后，发表或使用 论文工作成果时署名单位仍然为太蓬塞通太堂。学校有权保留并向 国家有关部门或机构送交论文的复印件及其电子文档，允许论文被查 阅和借阅。 本人授权太董塞通太堂可以将学位论文的全部或部分内容编入 中国科学技术信息研究所中国学位论文全文数据库等相关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论 文。 ( 保密的学位论文在解密后应遵守此规定) 学位论文作者签名：尹珧人 日期：硼罗年7 - - 月z 口日 学位论文作者毕业后去向： 工作单位： 通讯地址： 电子信箱： 电话i 邮编： l 厂内 豇蝴 几 ， 舻 备 泐 签 ： 师 期 b 寸 日 大连交通大学学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了文中特别加以标注和致谢及参考 文献的地方外，论文中不包含他人或集体已经发表或撰写过的研究成 果，也不包含为获得太整塞通太堂或其他教育机构的学位或证书而 使用过的材料。与我二同工作的同志对本研究所做的任何贡献均已在 论文中作了明确的说明并表示谢意。 本人完全意识到本声明的法律效力，申请学位论文与资料若有不 实之处，由本人承担一切相关责任。 学位论文作者签名：广礁人 日期：娜尸年? 2 月口日 绪论 绪论 一课题的课题研究的背景及意义 随着计算机网络的高速发展与普及，网络己经应用到社会生活的各方各面。伴随着 应用领域的不断拓展，以及应用数量的不断增加，网络系统受到越来越多的攻击和入侵 威胁，资源共享和分布的特点急剧增加了网络安全的脆弱性和遭受攻击的可能性以及风 险性，网络安全问题已经越来越受到人们的重视。1 9 9 8 年的“m o r r i sw o r m ”通过自复 制方式感染网络主机系统，揭开了互联网入侵攻击的序幕，给整个互联网系统造成了巨 大的损失。为了预防和阻止非法入侵，在网络安全领域采用了一些方法：如口令认证， 安全审计，防火墙，加密技术等。但总的来说这些技术都属于静态的防御技术，如果一 个网络没有一个主动监控和跟踪网络攻击的系统，它的安全性是不完整的。另一方面， 静态防御系统与目前网络的开放、共享发展不相容。同时对于安全系数非常高的加密技 术、防火墙技术，也很难防止密码失窃和内部人员攻击。一个安全的系统也很难保证内 部人员的误操作，以及复杂的设置错误等系统漏洞产生。 入侵检测技术是近年来顺应网络安全需求发展起来的一种新兴技术，并得到快速发 展。入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 可以对系统或网络资源进行实时检测， 及时发现闯入系统或网络的入侵者，也可以预防合法用户对资源的误操作，是保证网络 安全的关键技术和重要手段，它也是一种主动保护自己免受攻击的网络安全技术。入侵 检测系统分为数据采集、数据分析和响应三个部分。为了寻找入侵行为和痕迹，数据采 集从网络系统的多个点进行，采集内容包括系统日志、网络数据包、重要文件以及用户 活动的状态与行为等。数据分析则通过模式匹配、异常检测和完整性检测三种技术手段 对采集的数据进行分析。入侵检测系统一旦发现入侵行为，立即会进入响应过程，包括 日志、告警和安全控制等。随着网络范围的不断扩大，网络技术的不断进步，网络攻击 也日益增多，而且危害程度也越来越大。入侵检测需要采集处理的数据很多，利用传统 的入侵检测方法已经不能适应。传统的模式匹配检测是基于己知的攻击或系统的明显漏 洞识别入侵，这种方法的缺点是无法检测未知的攻击。而传统的异常检测技术利用统计 学的方法建立常规状态库，对不满足常规条件的行为判断为异常。这种方法缺点是误报 率高。并且现存的i d s 缺少有效性、适用性和扩展性。需要找到一种提高i d s 有效性、适 用性和扩展性的方法。 以聚类( c l u s t e r i n g ) 为代表的无监督异常检测( u n s u p e r v i s e da n o m a l yd e t e c t i o n ) 方法 的提出解决了传统方法存在的问题【lj 。在入侵检测系统中使用数据挖掘算法是i d s 研究 大连交通火学t 学硕十学位论文 中一种新的趋势，这一领域技术的成熟，将会有助于提高主机和网络的安全性。将聚类 分析应用于入侵检测领域，是实现i d s 智能化的重要手段，也是实现入侵检测的关键。 其主要思想是利用聚类分析算法提取相关的用户行为特征，并根据这些特征生成安全事 件的分类模型或具有代表性的系统特征模式，应用于安全事件的自动鉴别，以对程序和 用户行为作出更精确的描述。k m e a n s 聚类算法是j b m a c q u e e n 在1 9 6 7 年提出的一种基 于划分的动态聚类算法，是数据挖掘中的重要分支，也是实践中最常用的聚类算法之一。 其优点是对数据的处理速度快，处理时间独立于处理对象的数目，比较适合应用到入侵 检测领域。但是算法本身存在一定的不足。k m e a n s 算法的缺点是容易受到噪声和孤立 点的影响，由于噪声和孤立点的存在会使聚类效果发生很大的变化，影响聚类的效果。 还有一个缺点就是初始聚类中心点的选取对聚类结果具有较大的影响。因为在该算法中 是随机选取任意个点作为初始聚类中心，假如选择的个体对象分布比较集中，将会延缓 聚类的进程，影响聚类的效果。再一个缺点就是初始聚类中心的确选取对最终结果影响 很大，即从不同的初始聚类中心出发，将会得到不同的聚类结果。因此，如何选择初始 聚类中心点就成为影响最后聚类结果的重要因素。另外k 值的确定也是一个值得研究的 问题。基于以上背景，在分析经典k m e a n s 算法，存在的不足的基础上本文给出了一种 改进的k m e a n s 算法，很好的消除了噪声和孤立点对聚类结果的影响。针对经典k m e a n s 算法难以确定初始k 值的缺点，给出了一种确定初始k 值的方法，同时给出了一种确定 初始聚类中心的算法。通过仿真实验证明，该算法降低了误检率和误报率，提高入了侵 检测的质量。 二国内外研究现状 入侵检测的基础理论研究工作起步于7 0 年代。a n d e r s o n 于19 8 0 年写的一分报告被 认为是入侵检测的开创性之作，最早提出了入侵检测的概念。从8 0 年代后期到9 0 年代 中期，入侵检测工具逐步商业化和实用化。目前比较流行的有c i s c o 公司的n e t r a n g e r ， n e t w o r ka s s o c i a t e s 公司的c y b e r c o p ，i n t e m e ts e c u r i t ys y s t e m 公司的r e a l s e c u r e ，a x e n t t e c h n o l o g i e s 公司的o m n i g u a r d i n t r u d e ra l e r t ，n f r 公司的i n t r u s i o nd e t e c t i o i la p p l i a n c e 4 o 。国内在这方面刚刚起步比较成功的有：上海金诺k i d s3 3 入侵检测系统，中联绿 盟“冰之眼”入侵检测系统2 0 ，福建海峡“黑盾 入侵检测系统2 0 等。 目前的入侵检测系统主要以模式发现技术为主，其目前的研究热点主要表现在：宽 带高速实时的检测技术、大规模分布式的检测技术、数据挖掘技术、更先进的检测算法 和入侵响应技术1 2 j 。目前对将数据挖掘技术尤其是将其中的聚类算法应用到入侵检测中 的研究还处于起步阶段，如何改进聚类算法使入侵检测的检测率提高并且降低误报率， 2 绪论 是进一步的研究方向。因此，研究的目的在于设计一个基于聚类算法的入侵检测系统， 使其正确率、效率和可用性在一个比较理想的范围内，并在一个特定环境中实现。 查垩銮鎏垒尘! ：茎堡圭! ! ! 耋兰 1 1 入侵检测技术 既况 第一章入侵检测研究 l i 1 侵的定义 入侵( i n t r u s i o n ) 定义为所有企图危及到计算机和网络系统资源的机密性、完整性和可 用性的彳亍为跚。入侵行为能够暗中破坏系统的安全措施，以达到非法访问信息、改变系 统行为和破坏系统可用性的目的。 11 2 典型入侵过程分析 图11 显示了一个典型的d d o s ( d i s t r i b u t e dd e n i a lo f s c r v i c e ) 攻击步骤。 l 7 代理端 瓷 i 代理端 ， 代理端 圈1 f i g 逛 代理端代理端代理端 一个典型的d d o s 攻击步骤 1 a 掣p i c a l d d o s a t t a c k 咖p s ，? ? 代理端 7 代理端 攻击者一般从客户端发起攻击，整个攻击过程是由攻击者在客户端来操纵和完成 的。在图11 中，每个主控端是台已被入侵并运行了特定程序的系统主机。每个主控 端主机能够控制多个代理端。每个代理端也是台已被入侵并运行特定程序的系统主 机。每个响应攻击命令的代理端会向被攻击的目标主机发送拒绝服务攻击数据包。攻击 第一章入侵检测研究 者在新入侵的主机上不断的安装攻击工具，使之成为新的代理端主机。攻击者通过入侵 和控制新的主机，不断扩张所控制的主机数量。在每台机器上的安装过程可以分为以下 几个步骤： ( 1 ) 探测扫描可以入侵的主机； ( 2 ) 入侵有安全漏洞的主机并且获取控制权； ( 3 ) 在每台入侵主机中安装攻击程序； ( 4 ) 利用己入侵主机继续进行扫描和入侵。 1 2 入侵检测的定义 前面已经介绍过，入侵是指所有企图危及到计算机和网络系统资源的机密性、完整 性和可用性的行为。根据入侵的定义，入侵检测检测可以认为是对入侵行为的发觉。它 通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中 是否有违反安全策略的行为和被攻击的迹象。简单地说，入侵检测一般分为三个步骤， 依次为信息收集间段、数据分析间段以及针对分析结果入侵检测系统所做出的响应( 其 中包括被动响应和主动响应) 。 入侵检测系统通常从计算机网络或计算机系统中的若干关键点收集入侵者攻击时 所留下的痕迹，分析是否有来自于外部或内部的违反安全策略的行为或被攻击的迹象。 入侵检测检测技术是以探测与控制作为技术依托，对系统安全起着主动式、动态的防御 作用。但目前的入侵检测系统也存在大量的缺点，比如虚报率偏高，事件响应与恢复机 制不完善，缺乏自适应能力，缺乏自我学习能力等。因此，我们可以引入数据挖掘方法 中的k m e a n s 聚类算法对入侵检测系统进行改进，降低入侵检测系统的虚报率，提高检 测的准确率。 1 3 检测技术的产生和发展 入侵检测技术起源于主机审计，j a m e sp a n d e r s o n 被认为是第一个将自动审计踪迹 数据审查支持安全目标的需求写入文档的人。a n d e r s o n 在为美国空军的一分研究计划中 提出了基准监视器的概念，他在1 9 8 0 年写的一份报告( ”c o m p u t e rs e c u r i t yt h r e a tm o n i t o r a n ds u r v e i l l a n c ”) 被认为是入侵检测的开创性之作1 4 】。1 9 8 4 年至t j l 9 8 6 年，具有里程碑性质 的入侵检测专家系统( i d e s ，i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) 的原型系统由d o r o t h y d e n n i n g 和p e t e rn e u m a n n 研制完成，这是一个实时模式的入侵检测系统( i d s ，i n t r u s i o n d e t e c t i o ns y s t e m ) ，使用了包括了异常检测器和专家系统的混合机制。d o r o t h yd e n n i n g 于1 9 8 7 年发表的关于“反常活动和计算机不正当使用之间的相关性”的论文被认为是入 大连交通大学t 学硕十学位论文 侵检测的另一篇开创性之作。8 0 年代随着入侵检测技术的不断成熟相继出现了一些入侵 检测的系统如：t r a c o ra p p l i e ds c i e n c e s 公司为美国空军密码支持中心开发的h a y s a t c k 系 统；有美国国家计算机安全中心为监视d o c k m a s t e r 系统而开发的m u l t i c s 和由加利福尼亚 大学d a v i s 分校开发的n s m 等。商业化的i d s 直到2 0 世纪8 0 年代后期才出现，而目前比较 有影响的i s s 公司是1 9 9 4 年才成立的。现在的趋势是将其他领域和相关学科的知识综合 应用于入侵检测系统，比如：p u r d u eu n i v e r s i t y 的s a n d e e pk u m a r 和g e n es p a f f o r d 设计的 着色p a t t i 网，采用状态转移技术来优化滥用检测系统的方法，w e n k el e e 在入侵检测系 统中采用的数据挖掘技术，i d i o t 系统就是该方法的具体实现【5 】。另一种比较新的方法 是基因算法，典型代表是由f r e n c h e ng i n e e r i n g u ni v e r s i t y 的l u d o v i cm eo fs u p e l e e 开发的 g a s s a t a 系统1 6 j 。随着网络技术的不断发展，入侵检测技术也出现了一些新的特点和 发展方向： ( 1 ) 应用层入侵检测 对于w e b 网站和应用来说，有一个地址永远是开放的：网站或应用地址。有一个端 口也永远是开放的：h t t p 端e l 。而大量的攻击者正是利用了这个地址和这个端1 3 。据调 查显示，现在的网络攻击有7 5 都是针对w e b 应用层发起的。基于这种情况，目前出现 了不少针对w e b 层通信的入侵检测系统。但是目前的入侵检测系统仅能检测基于应用层 通信协议的通信，i ：l j t h w e b 之类的通用协议，不能直接对通用数据库系统( 女1 l o t u s n o t e s 数据库系统) 进行检测。对大型应用系统的检测仍然停留在理解入侵语义的层次，缺乏 更高级的检测技术。 ( 2 ) 智能入侵检测 随着入侵方式的多样化，入侵检测技术也在随着技术的不断革新而发展，已经有很 多新的技术逐渐应用到了入侵检测领域。比如将智能体系应用到入侵检测中去，针对目 前入侵检测系统存在的自学习与自适应能力不强的缺点，一些专家提出将神经网络与遗 传算法应用到入侵检测中来。 ( 3 ) 与网络安全技术相结合 目前的网络安全技术如防火墙、信息加密，作为网络安全的第一道防线是远远不能 有效阻止来自网络上的入侵的。针对网络系统的攻击越来越普遍，攻击手法的日趋复杂， 入侵检测技术也随着网络技术和相关学科的发展而日趋成熟，成为网络安全的第二道防 线。入侵检测系统与防火墙、p k i x 、安全电子交易( s e t ) 等网络安全与电子商务技术相 结合，为用户提供更加完善的网络安全保障。 6 第一章入侵检测研究 1 4 入侵检测系统的原理和基本构成 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 是入侵检测的具体实现，是由计 算机软件和硬件组合而成的计算机安全系统。入侵检测系统对系统进行实时监控，获取 系统的网络数据包或审计数据，然后对得到的数据进行分析，并判断系统或网络是否出 现异常或入侵行为。一旦发现异常或入侵情况，发出报警并采取相应的保护措施。i d s 具有的功能有：监测用户和系统的运行状况，发现用户越权操作；检测系统配置的正确 性和安全漏洞，并提示管理员修补漏洞；对用户非正常活动的统计分析，发现行为的规 律；检查系统程序和数据的一致性及正确性；能够实时检测到攻击行为，并进行反应。 入侵检测系统所使用的知识库，是入侵检测系统的核心部分。主要包括用户活动的 状态和行为、系统数据、来自网络上的访问数据以及用户活动数据，即以下四个方面内 容【7 】： ( 1 ) 系统和网络日志文件。 网络日志文件记录了用户访问本机的各种信息，通过查看日志文件，能够成功的发 现黑客的入侵行为或者是入侵企图。网络管理员可以充分利用系统和网络日志文件，并 且借助专用工具对用户行为进行分析，修补安全漏洞，同时杜绝新的入侵企图。必要的 时候可以启动相应的应急响应程序。 ( 2 ) 目录和文件中的不期望的改变。 黑客可以在接入互联网的主机中，寻找对其有价值的数据。一旦改主机出现安全漏 洞，就给了黑客可乘之机。一些包含重要信息的文件往往是黑客感兴趣的对象。一旦目 标文件被修改、重新创建或者是删除，很可能就是一种入侵产生的指示和信号。 ( 3 ) 程序执行中的不期望行为。 操作系统的运行，网络服务，用户启动程序等程序一般由一个到多个进程来实现。 一旦其中的某个进程出现了不期望的行为，表明该主机正在或者已经被黑客入侵。 ( 4 ) 物理形式的攻击信息。 黑客总会想方设法找到网络安全的漏洞，对他们来说最好的办法就是能够在物理上 访问内部网，这样一来黑客就能安装一些木马程序，或是一些其他窃听软件来窃取主机 中的重要信息。物理形式的攻击通常包括对物理资源的未授权访问，以及未授权的对网 络硬件的连接。 图1 2 说明了入侵检测的原理。首先将用户活动的状态和行为、系统数据、来自网 络上的访问数据以及用户活动数据存储到数据库中，对数据进行分析，找出具有入侵特 征的数据，并且对其进行标记，将经过标记的数据存储到知识库中，然后对这些经过标 记的数据进行分析，做为以后决策的依据。对数据分析的手段包括模式匹配、统计分析 7 大连交通火学一f i 学硕十学何论文 和完整性分析三种技术手段。入侵检测系统还应当提供预警功能，预警是为了预防可能 出现的入侵行为，通知管理员做好防范措施，提早发现系统存在的安全隐患，防止入侵 行为的发生。 图1 2 入侵检测系统原理 f i g 1 2p r i n c i p l eo fi n t r u s i o nd e t e c t i o ns y s t e m 1 5 入侵检测系统的分类 入侵检测系统可以分为基于主机的i d s 和基于网络的i d s 。一个完备的入侵检测系统 是基于主机和基于网络两种方式兼备的分布式系统。 1 5 1 基于主机的i d s 基于主机的i d s 一般监视w i n d o w s n t 上的系统、事件、安全同志以及u n i x 环境中的 s y s l o g 文件。一旦发现这些文件发生变化，i d s 就会将新的同志记录与攻击特征库相比 较，以发现它们是否匹配。若匹配，则检测系统就向管理员发出入侵报警并且采取相应 的行动。基于主机的i d s 可以分析出非法用户的登陆企图，以及冒充合法用户等简单入 侵行为。它的主要优势有：适用于加密和交换环境：近实时的检测和应答；不需要额外 的硬件。其缺点是系统负担大、对操作系统的依赖大。基于主机的入侵检测的数据源是 主机的审计信息，例如系统同志、安全审计记录、系统配置文件的完整性情况、应用服 务程序产生的日志文件等。基于主机的i d s 可以精确地分析入侵活动，能精确地决定是 哪一个用户和进程对操作系统发起的攻击。但该种检测的数据源一般只是本机的数据， 而且只能检测该主机上发生的入侵，对来自网络底层的攻击无能为力，所以基于主机的 入侵检测系统在网络系统中有很大的局限。从入侵检测技术发展的历程来看，入侵检测 8 第一章入侵检测研究 是从主机审计的基础上开始发展的，因而早期的入侵检测系统都是基于主机的入侵检测 系统。 1 5 2 基于网络的i d s 基于网络的i d s 使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用 网络适配器来实时监视和分析所有通过网络进行传输的通信。任何一个网络适配器都具 有收听其它数据包的功能，将它设置成混杂模式，就可以捕获同一子网上的所有数据包。 一旦检测到攻击，i d s 应答模块通过通知、报警以及中断连接等方式来对攻击作出反应。 基于网络的入侵检测系统的主要优点有：成本低；攻击者转移证据很困难；实时检测和 应答；能够检测未成功的攻击企图；操作系统独立。网络入侵检测技术也有一种特殊的 情况，即所谓基于网络节点的入侵检测，其输入数据来源仅为检测模块所在主机的网络 进出流量信息。节点入侵检测技术的目的在于减轻数据处理的负担，将计算量分散在各 个网络节点主机之上。 1 5 3 两者相结合的i d s 基于网络服务器的键盘发出的攻击并不经过网络，因此无法通过基于网络的i d s 检 测到，只能通过基于主机的i d s 来检测。而基于主机的i d s 并不检查数据包，很多基于i p 的拒绝服务攻击和碎片攻击只能通过基于网络的i d s 来检测。因此联合使用基于主机和 基于网络这两种方式能达到更好的效果。进入2 0 世纪9 0 年代后，出现了把基于主机和基 于网络的入侵检测结合起来的分布式入侵检测，由多个检测实体监控不同的主机和网络 部分，各实体间互相协作完成检测。分布式入侵检测系统是目前的研究热点，也是未来 发展的趋势，它所体现的思想是分布式检测架构的思路。但分布式入侵检测系统本身还 很不成熟，还存在很多问题：系统资源如何有效分配，i d s 之间的信息交换和共享机制 如何形成一个统一的标准，各检测实体如何通信等等。 1 6 入侵检测系统的功能 作为计算机网络安全的最后一道屏障，入侵检测系统必须为计算机安全提供强有力 的保障，应该具备的主要功能有： ( 1 ) 具有识别和发现各种攻击手段的能力 黑客的攻击手段多种多样。比如口令攻击，窃听，扫描，木马攻击，缓冲区溢出攻 击，拒绝服务攻击，病毒和蠕虫攻击，电子邮件炸弹，浏览器攻击等。需要入侵检测系 统具备分析和识别这些攻击行为的能力，并且能够自动做出相应的防范措施。一旦发现 入侵行为，入侵检测系统应当及时通知网络管理员，向管理员发出警告，描述可能存在 9 大连交通人学jl ：学硕+ 学何论文 的入侵行为。 ( 2 ) 具有监控网络通信的能力 入侵检测系统应该具备监控网络通信的能力，能够对网络中不正常的通信连接做出 反应，分析其攻击特征，时通知网络管理员，向管理员发出警告或者自动切断本次通信 连接。 ( 3 ) 具有鉴别对系统漏洞的能力 入侵检测系统应该具备鉴别对系统漏洞的能力，统通过对网络数据包的连接方式、 连接端口以及连接中特定的内容等特征分析，可以发现网络通信中针对系统漏洞进行的 非法行为。 ( 4 ) 可以加强网络管理 入侵检测系统通过对数据的监控，可以有效的发现入侵行为，分析其攻击特征，及 时通知网络管理员，对系统进行动态的安全防护。入侵检测系统可以集中、方便、有效 的对网络进行安全管理。 ， 1 7 攻击技术 1 7 1 特权提升攻击 ( 1 ) 口令攻击 要想获得对机器或者网络的访问权，最简单有效的办法是破译用户的口令。攻击者 一旦通过猜测或者是其他手段破译了用户的口令，他就能访问到合法用户能访问到的任 何资源。合法用户在向系统输入口令时，为了避免输入的口令被旁边的人看到，系统通 常不会显示你键入的口令字符，而是以星号“ 代替字符显示。当把口令存入机器以后， 下次登录时系统会自动从存储在口令文件中取出相应的口令进行登录。入侵者可以利用 目标主机的f i n g e r 功能得到该主机上的某个合法用户的帐号，然后再进行合法用户口令 的破译。采用口令恢复软件可以把“ 还原显示为原来的口令字符。入侵者可以通过口 令破解软件如j o h n t h e r i p p e r 、l o p h t c r a c k 、n t c r a c k 、c r a c k e rj a c k 、d i c t i o n a r ym a k e r 等 从预先准备好的字典中取出一个，进行加密，然后与口令文件中的口令比较，看看与哪 个一致，如果匹配成功，则攻击者就获得了对应帐号的口令，此口令即为匹配前进行加 密的那个。 ( 2 ) 窃听 窃听攻击分为本地窃听和网络窃听两种。对于本地窃听，入侵者可以事先在本地安 装木马等窃听软件或者是通过击键记录器等硬件来完成窃听。网络窃听是指在一个共享 式局域网中利用网络窃听设备，如嗅探器，窃听在共享式网络中的所有的流量，从而获 1 0 第一章入侵检测研究 得对窃听者有价值的信息。 ( 3 ) 扫描 扫描器能够发现网络上潜在的安全漏洞。扫描可以分为三个步骤：第一，发现目标 主机或网络；第二发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以 及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路 由设备以及各主机的信息。第三，根据搜集到的信息判断或者进一步测试系统是否存在 安全漏洞。可以采用一种叫做漏洞扫描器的软件它是一种自动检测远程或本地主机安全 性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护的w e b 服务器的各种 t c p 端口的分配、提供的服务、w e b 服务软件版本和这些服务及软件呈现在i n t e m e t 上的 安全漏洞。 ( 4 ) 木马攻击 特洛伊木马本质上是一个程序，它可以长期驻留在目标计算机里，随计算机自动启 动，并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。 木马，其实质只是一个通过端口进行通信的网络客户服务程序。当载体程序执行时， 木马就进行一些恶意的操作，最典型的操作就是在系统中安装后门。木马一旦被植入到 被攻击主机，它就会通过一定的方式把相应信息，如电子邮箱的密码，主机的i p 地址、 打开的端口号等信息发送给攻击者，这样，攻击者可以通过已经安装好的后门来控制该 系统。 ( 5 ) 缓冲区溢出攻击 缓冲区溢出是一种非常普遍、非常危险的漏洞。在各种操作系统、应用软件中广泛 存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统当机、重新启动等后果。更 为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法 操作。缓冲区溢出攻击是指通过修改某些内存区域，把一段恶意代码存储到一个b u f f e r 中，并且使这个b u f f e r 被溢出，而破坏程序的堆栈，使程序转而执行其它指令，以达到 攻击的目的。与其他的攻击类型相比，缓冲区溢出攻击不需要太多的先决条件，杀伤力 很强，技术性强。 1 7 2 拒绝服务攻击( d o s ，d d o s ) 服务是指系统提供的用户在对其使用中会受益的功能。简单的讲，拒绝服务就是用 超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源，致使网络服务瘫痪的 一种攻击手段。在早期，拒绝服务攻击主要是针对处理能力比较弱的单机，如个人p c ， 或是窄带宽连接的网站，对拥有高带宽连接，高性能设备的网站影响不大。d o s 攻击的 大连交通大学t 学硕十学位论文 典型过程分为：准备阶段，收集目标信息，占领傀儡机和控制台，攻击的实施。拒绝服 务攻击可分为两种攻击形式：第一，剧毒包型拒绝服务攻击，包括：t e a r d r o p ，l a n d 攻 击，p i n go f d e a t h ，循环攻击( e c h o c h a r g e n ) 种形式；第二，风暴型拒绝服务攻击包括： s y n 风暴，p i n g ) x l 暴，t c p 连接耗尽，u d p 风暴，邮件炸弹五种形式。 1 7 3 病毒和蠕虫攻击 感染、潜伏、可触发、破坏是木马、病毒、蠕虫的基本特性。感染使病毒得以传播， 破坏性体现了病毒的杀伤能力。病毒和蠕虫一旦触发就会对计算机造成巨大的破坏。计 算机病毒的触发机制分为以下八种： ( 1 ) 日期触发：特定日期触发、月份触发、前半年后半年触发等。 ( 2 ) 时间触发：特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触 发等。 ( 3 ) 键盘触发：击键次数触发、组合键触发、热启动触发等。 ( 4 ) 感染触发：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失 败触发等。 ( 5 ) 启动触发：病毒对机器的启动次数计数，并将此值作为触发条件。 ( 6 ) 访问磁盘次数触发：病毒对磁盘i o 访问的次数进行计数，以预定次数做触发条 件。 ( 7 ) 调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。 ( 8 ) c p u 型号主板型号触发：病毒能识别运行环境的c p u 型号主板型号，以预定 c p u 型号主板型号做触发条件。 1 8 主要的检测方法 入侵检测系统的检测分析