第8章入侵检测系统

1、第8章 入侵检测系统,摘要 首先介绍入侵检测系统的模型，包括IDES模型、IDM模型以及公共入侵检测框架CIDF；其次分别从数据源、检测方法和响应机制三个不同角度对入侵检测系统进行分类；给出了基于主机IDS、基于网络IDS和分布式入侵检测系统的优缺点，对若干重要的入侵检测方法进行了较为详细地介绍；最后，介绍和比较目前常见的些入侵检测产品。,入侵检测（Intrusion Detection），顾名思义，就是对入侵行为的发觉，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系

2、统（IDS）。,8.1 入侵检测系统模型,IDES模型 IDM模型（Intrusion Detection Model） 公共入侵检测框架CIDF,8.1.1 IDES模型,该模型为构建入侵检测系统提供一个通用的框架。它由六个部分组成：主体（subject）、对象（object）、审计记录（audit records）、轮廓特征（profile）、异常记录（anomaly records）和活动规则（activity rules）。,IDES模型主要用于滥用检测，它无法检测出新的攻击方法，1988年，SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型，并开发出了一个入

3、侵检测专家系统。,图8.2 改进的IDES入侵检测模型,对于滥用检测，需要为模式匹配器准备好入侵的模式库。 对于异常检测，则首先利用收集的数据，采取一定的统计方法建立相应的系统分析模型，作为系统正常运行的参考基准，这个过程由系统的分析引擎完成。 异常检测器则不断地计算相应统计量的变化情况，一旦系统偏移参考基准超过许可范围，就认为系统异常。,8.1.2 IDM模型 （Intrusion Detection Model）,第一层针对的客体（object）包括主机操作系统的审计记录、局域网监视器结果和第三方的审计软件包提供的数据。 第二层处理的客体是对第一层客体的扩充，该层次的客体称为事件。事件描述

4、第一层的客体内容所表示的含义和固有特征性质。 第三层引入一个唯一标识号，即主体。主体用来鉴别在网络中跨越多台主机使用的用户。 第五层考虑事件对网络和主机形成的威胁。当将事件和它的context结合起来分析时，就能够发现存在的威胁。可以根据滥用的特征和对象划分威胁类型，即入侵者做了什么和入侵的对象是什么。 第六层用1100来表示网络的安全状态，数字值越高，则网络的安全性就越低。实际上，可以将网络安全的数字值看成是对系统中所有主体产生威胁的函数。,公共入侵检测框架CIDF,图8.3 CIDF体系结构,事件产生器从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CIDF的GIDO格式传送给其

5、他组件。 例如，事件产生器可以是读取C2级审计踪迹并将其转换成GIDO格式的过滤器，也可以是被动地监视网络并根据网络数据流产生事件的另一种过滤器，还可以是SQL数据库中产生事件的应用代码。 事件分析器从其他组件收到的GIDO进行分析，并将产生的新GIDO再传送给其他部件。分析器可以是一个轮廓描述工具，统计、检查现在的事件是否可能与以前某个事件来自同一个事件序列，也可以是一个特征检测工具，用于在一个事件序列中检查是否有已知的滥用攻击特征。此外，事件分析器还可以观察事件之间的关系，将有联系的事件分类到一起，以利于以后的进一步分析。 响应单元处理收到的GIDO，并根据此采取相应的措施，如杀死相关进程

6、、将连接复位、修改文件权限等。 事件数据库用来存储GIDO，以备系统需要的时候使用。,8.2 入侵检测系统的分类,按数据源分类 基于主机的IDS（HIDS） 基于网络的IDS（NIDS） 分布式入侵检测系统 按分析引擎分类 异常检测（anomaly detection） 滥用检测（misuse detection） 混合的检测方法,8.2.1.1 基于主机的IDS（HIDS）,基于主机的数据源主要包括两种类型： (1) 操作系统审计记录（由专门的操作系统机制产生的系统事件记录） (2) 系统日志（由系统程序产生的用于记录系统或应用程序事件的文件，通常以文本文件的方式存放）。,（1） 操作系统审

7、计记录 操作系统的审计记录（audit trail）由包含在操作系统内部的专门审计子系统产生。审计文件由审计记录组成，每条审计记录描述了一次单独的系统事件。当系统中的用户采取动作或调用进程时，引起相应的系统调用或执行命令，此时审计系统就会产生对应的审计记录。每条审计记录又包含了若干个审计标记（audit token），分别用于描述审计记录的不同的域。 Windows NT 4.0通过了TCSEC的C2级评测,图8.4 Windows NT的客体访问和审计示意图,现代UNIX操作系统大多开发了C2级以上的审计系统，如Solaris2.x等。Solaris2.6的审计机制由基本安全模块（BSM）提

8、供。 系统最初启动时创建审计守护进程auditd，它读取审计配置，搜集审计数据，并且在磁盘空间满、审计关闭等重要事件发生时以发邮件和控制台显示的方式通知管理员。 审计配置文件audit_control和audit_user位于/etc/security目录下，它们指定审计文件的存放位置、磁盘水位线、系统审计类和各用户自己的审计类，系统审计类与用户审计类共同决定一个用户要审计哪些事件。,Solaris2.6的审计事件涵盖系统调用和安全相关命令，如下表所示。,【例8.1】设用户的审计策略为：lo，-fr，+ad，则表示记录有关该用户的所有登录退出事件、失败的文件读取事件及成功的系统管理事件。 审计

9、文件名形如：time1.time2.hostname，其中time1是文件创建时间，time2是切换到下一文件的时间，hostname是审计系统所在的主机名。 若干审计文件按照时间关系构成一条顺序链。每个审计文件由若干审计记录构成，首尾是两条特殊的记录，分别标识它的上一个和下一个审计文件，其它审计记录表示实际的审计事件，它由若干标记token组成，每个token记录该事件的一个方面。,Solaris2.6给系统程序员提供了简单的编程接口，使之能够根据自己的需要增加审计内容。auditsvc(2)指定当前的审计日志文件，audit(2)写入表示一条审计记录。 管理员的auditconfig命令获

10、取和设置审计参数，audit命令给审计守护进程发送信号，通知auditd开始审计一个新文件、重读配置文件或是关闭审计系统。auditreduce命令过滤审计记录，praudit命令用来选择以文本方式或以原始数据方式显示这些审计记录。,【例8.2】 若干token实例如下图所示,【例8.3】 praudit命令输出实例,Header，81，2，login-telnet，Sun Oct 17 21:04:00 1999 +350001500 msec，subject，mht，mht，staff，mht，staff，352，352，24 2 192.168.0.9，text，successful l

11、ogin,return,success,0 Header，88，2，su，Sun Oct 17 21:04:00 1999 +350001500 msec，subject，cxl，root，staff，cxl，staff，431，422，24 2 192.168.0.123，text，bad auth.for user root，return，failure，2,从上例的输出可以看到，用户mht从192.168.0.9成功地远程登录到审计所在主机；来自192.168.0.123的用户cxl试图将用户更换为root，但没有成功。 事件类型、时间、用户组、有效的用户身份号以及成功/出错信息也一目了

12、然。,（2）系统日志 系统日志是反映各种系统事件和配置的文件。 Unix系统提供了分类齐全的系统日志，并且提供通用的服务（syslog），用于支持产生和更新事件日志，这项服务是通过syslogd守护程序来实现的。,基于主机的IDS的优点, 使用了含有已发生事件信息，可以比基于网络的IDS更加准确地判断攻击是否成功。 监视特定的系统活动基于主机的IDS监视用户访问文件的活动，包括文件存取、改变文件权限、试图建立新的可执行文件以及试图访问特殊的设备。 可以检测到那些基于网络的系统察觉不到的攻击。例如，来自网络内部的攻击可以躲开基于网络的入侵检测系统。 基于主机的系统安装在企业的各种主机上，更加适于

13、交换的和加密的环境。 近于实时的检测和响应 花费低廉。,8.2.1.2 基于网络的IDS（NIDS）,在杂收模式下，网卡可以接收本网段内传输的所有数据包，无论这些数据包的目的地址是否为本机。 基于网络的入侵检测系统必须利用网卡的杂收模式，以获得经过本网段的所有数据信息，从而实现获取网络数据的功能。,基于网络的IDS的优点 检测基于主机的系统漏掉的攻击基于网络的IDS检查所有数据包的头部从而发现恶意的和可疑的行动迹象。 基于网络的IDS实时地检测网络通信，攻击者无法转移证据。被捕获的数据不仅包括攻击的方法，而且还包括可识别黑客身份和对其进行起诉的信息。 实时检测和响应基于网络的IDS可以在恶意及

14、可疑的攻击发生的同时将其检测出来，并做出更快的通知和响应。例如，一个基于TCP的对网络进行的拒绝服务攻击（Denial of Service）可以通过将基于网络的IDS发出TCP复位信号，在该攻击对目标主机造成破坏前将其中断。 检测未成功的攻击和不良意图基于网络的IDS增加了许多有价值的数据，以判别不良意图。,8.2.1.3 分布式入侵检测系统,IDS普遍存在的问题 系统的弱点或漏洞分散在网络中各个主机上，这些弱点有可能被入侵者一起用来攻击网络，而仅依靠HIDS或NIDS不能发现更多的入侵行为。 现在的入侵行为表现出相互协作入侵的特点，例如分布式拒绝服务攻击（DDoS）。 入侵检测所需要的数据

15、来源分散化，收集原始的检测数据变得困难，如交换型网络使得监听网络数据包受到限制。 由于网络传输速度加快，网络流量不断增大，所以集中处理原始数据的方式往往造成检测的实时性和有效性大打折扣。,DIDS综合了基于主机和基于网络的IDS的功能： 首先数据包过滤的工作由分布在各网络设备上的探测代理完成；其次探测代理认为可疑的数据包将根据其类型交给专用的分析层设备处理。各探测代理不仅实现信息过滤，同时对所在系统进行监视；而分析层和管理层则可对全局的信息进行关联性分析。 对网络信息进行分流，既可以提高检测速度，解决检测效率低的问题，又增强了DIDS本身抗击拒绝服务攻击的能力。 DIDS由主机代理（Host

16、Agent）、局域网代理（LAN Agent）和控制器（DIDS Director）三大部分组成，如图8.7所示。 主机代理负责监测某台主机的安全，依据搜集到这台主机活动的信息产生主机安全事件，并将这些安全事件传送到控制器。同样，LAN代理监测局域网的安全，依据搜集到的网络数据包信息产生局域网安全事件，也把这些局域网安全事件传给控制器。控制器根据安全专家的知识、主机安全事件和网络安全事件进行入侵检测推理分析，最后得出整个网络的安全状态结论。,图8.7 DIDS结构,DIDS,8.2.2 按分析引擎分类,（1） 异常检测（anomaly detection）IDS（2）滥用检测（misuse d

17、etection）IDS 异常检测提取正常模式审计数据的数学特征，检查事件数据中是否存在与之相违背的异常模式。 滥用检测则搜索审计事件数据，查看其中是否存在预先定义的滥用模式。,8.2.2.1 异常检测,异常检测的关键问题在于正常使用模式（normal usage profile）的建立以及如何利用该模式对当前的系统/用户行为进行比较，从而判断出与正常模式的偏离程度。 “模式” 通常由一组系统的参量（metrics）来定义。,图8.8 异常行为集与入侵行为集相交而不等时产生假警报和漏判的情形,异常检测基于这样一个假设：无论是程序的执行还是用户的行为，在系统特征上都呈现出紧密的相关性。 例如，某

18、些特权程序总是访问特定目录下的系统文件，而程序员则经常编辑和编译C语言程序，其正常活动与一个打字员的正常活动肯定不同。这样，根据各自不同的正常活动建立起来的模式（profile）便具有用户特性。入侵者即使使用正常用户的账号，其行为并不会与正常用户的行为相吻合，因而可以被检测出来。 入侵活动集合并不等于异常活动集合。有两种可能： 将不是入侵的异常活动被标识为入侵，称为伪肯定（False Positives），造成假报警。 将入侵活动被误以为正常活动，称为伪否定（False Negatives），造成漏判。,（1） 统计异常检测方法 统计异常检测方法根据异常检测器观察主体的活动，然后产生刻画这些活

19、动的行为的轮廓。每一个轮廓保存记录主体当前行为，并定时地将新的正常的行为轮廓加入到行为轮廓库中，通过比较当前的轮廓与已存储的轮廓来判断异常行为，从而检测出入侵行为。 设M1，M2，Mn为轮廓（profile）的特征参量，这些参量可以是CPU、I/O和邮件的使用、文件访问数量以及网络会话时间等。用S1，S2，Sn分别表示轮廓中参量M1，M2，Mn的异常测量值。这些值表明了异常程度，若Si的值越高，则表示Mi的异常性越大。将这些异常测量值平方后加权计算得出轮廓异常值： 这里ai表示轮廓与参量Mi相关的权重，i=1n。,对于Haystack入侵检测系统，其统计分析过程为： 首先根据审计记录生成主体的

20、会话向量：，向量中的每一项表示主体在会话过程中的各项统计参数。 第二步生成贝努利向量。设定阈向量：T=，其中 ti=表示会话向量中各项的可信取值范围，在Haystack系统中取90%的属性值范围。所生成的贝努利向量B为：B=，其中 0, timin xitimax bi = 1, 其他 第三步生成加权入侵指数Wis，定义权向量W= 权向量是每个属性对入侵的影响程度，入侵指数Wis定义为： 第四步生成嫌疑指标SQ(Suspicion Quotitent)，SQ用以表示会话过程是入侵的可能性，令概率矩阵为P, Pi,j为用会话前i个属性计算的Wis值为j的概率，Pri(0)表示第i个参数在阈值内的

21、概率，即的概率，Pri (1)为的概率，Haystack系统设Pri (0)全部为0.9，通过以下算法可以计算出Pn,j为会话的Wis等于j的概率：,算法8.1 Pn,j的计算 Begin P 0, 0=1.0 for j=1 to max_score do P 0, j=0.0 for i=1 to n do for j=0 to max_score do Pi,j=Pi,j*Pri(0)+Pi-1,j-wi*Pri(1) End. 利用Pn,j定义指标SQ： SQ越大，表示事件为入侵的可能性越大。,（2） 基于神经网络的异常检测方法 将神经网络用于异常检测，其方法主要是通过训练神经网络，使

22、之能在给定前n个动作或命令的前提下预测出用户下一个动作或命令。网络经过对用户常用的命令集进行一段时间的训练后便可以根据已存在网络中的用户特征文件来匹配真实的动作或命令。 神经网络有多种模型，在入侵检测系统中，一般采用前向神经网络，并采用逆向传播法BP（back Propagation）对检测模型进行训练。基于神经网络的入侵检测模型如下页图所示。,图8.9 基于神经网络的入侵检测模型,此模型有一个输入层集，接受二进制输入信号。这些二进制输入信号对应于已经保存在信息库中的相关事件。神经网络的输出层用来指示可能的入侵。它根据问题相关事件的数量、规则数量和入侵行为的数量等，确定模型中需要多少个隐含层，

23、隐含层神经元的数目则取决于训练用的样本数以及经验积累。神经网络的每一层又一个或者多个神经元组成，前一层的输出作为后一层的输入，每层神经元与其下一层的神经元相连，并赋以合适的权值。 定义神经元i的网络输入为xi为： Wji表示连接神经元j（位于前一层）到i（位于当前层）之间连结权值；表示来自神经元j的输入。 位于前一层偏置神经元的输入置为-1，而权值可以调节。位于前一层偏置边上的权值表示在当前层上每个神经元的门限值。每个神经元的输出由该神经元的网络输入通过激活函数f（.）变换得到。这里采用以下的激活函数：,算法8.2 基于神经网络的入侵检测算法,构造由1，2，L层组成的神经网络，并对每一层选择与

24、问题相适应的神经元数目。 将每一层上的偏置神经元设为-1.0。 对于所有的i和j，令wji=,是在（0，1）之间的随机选取的某个值。 若IDS是离线模式，则从样本集中选择一种输入模式；反之，若是在线模式，则从信息库中选择相关事件作为输入。 通过神经网络将信号传播到输出层。 对输出层k上的每个神经元i，计算反向传播误差. 对于层l=1，（K-1）,其上的每个神经元i的反向传播误差的计算见教材第227页。 修正权值Wij。 若输出层的误差在一个允许的范围内，则从离线操作模式转到在线操作模式。 转至步骤（），直到IDS变得灵敏。,基于神经网络的异常检测系统的优点 能够很好地处理噪音数据，并不依赖于对

25、所处理的数据统计假设，不用考虑如何选择特征参量的问题，很容易适应新的用户群。 基于神经网络的异常检测的缺点 （1）小的命令窗口（即n的大小）将造成伪肯定，即造成假报警，而大的命令窗口则造成许多不相关的数据，同时增加伪否定的机会，即造成漏判。 （2）神经网络拓扑结构只有经过相当的训练后才能确定下来。 （3）入侵者可能在网络学习阶段训练该网络。,（3） 基于规则的异常检测方法 该方法假设事件序列不是随机的而是遵循可辨别的模式。其特点是考虑了事件序列及相互联系。系统利用动态的规则集来检测入侵。归纳引擎根据已发生事件的情况来预测将来发生的事件的概率，根据此概率动态产生规则，归纳引擎为每一种事件设置可能

26、发生的概率。其归纳出来的规则一般可写成如下形式： E1，E2，Ek，（Ek+1，P（Ek+1），（En，P（En） 其含义为如果在输入事件流中包含事件序列E1，E2 ， ，Ek ，则事件Ek+1，En会出现在将要到来的事件流的概率分别为P（Ek+1），P（En）。 在通常情况下，当规则的左边匹配，但右边的概率值与预测值相差较大时，该事件便被标识为异常行为。,8.2.2.2 滥用检测（misuse detection）,(1) 基于串匹配的滥用检测检测系统Snort Snort系统的检测规则库采用二维链表的结构。二维链表的横向节称为RuleTreeNode（RTN节点），纵向节点称为Option

27、TreeNodes（OTN节点）。规则库中的每条规则由规则头（Rule Header）和规则选项（Rule Option）两个部分组成。 规则头决定了该规则处于二维链表横向的哪一个RTN节点；规则选项决定了该规则处于二维链表纵向的哪一个OTN节点。 RTN节点的包括：规则头信息（数据包的源地址和目的地址、源端口和目的端口等）；处理函数集，一组用来检查数据包中的信息是否与该规则头信息相同的函数集（按照链表的形式组织）；RTN指针，指向下一个RTN，用于构筑横向的链表；OTN指针，指向下一个OTN，用于构筑纵向的链表。每个横向的RTN都对应一条由纵向节电OTN节点构成的链表。 OTN节点包括：规则

28、选项信息，负责描述规则的各种附加选项信息，例如报警时所给出的消息（msg）、登记的文件名（logto）等；处理函数集；OTN指针指向下一个OTN，用于构筑纵向链表。,Snort系统的检测过程一次获取并解析完一个数据包，产生相应的Packet结构。 首先进行横向链表的检索。从二维链表的第一个RTN节点开始，依次调用该RTN节点所对应的处理函数，将该RTN节点所包含的规则头信息和当前数据包生成的Packet结构中的对应数据进行比较，如果有一个处理函数的返回值是“FASLE”，那么说明该数据包和该RTN不符合，就定位到下一个RTN，重复上述处理过程，直到在某个RTN上所有处理函数都返回“TRUE”，

29、就开始进行纵向链表的检索。 纵向链表检索的过程与RTN的检索类似，首先定位于该RTN指向的纵向链表的第一个OTN上，依次调用该OTN所对应的处理函数，如果该OTN中至少有一个处理函数返回“FASLE”，那么检索就继续下去，直到某个OTN的所有处理函数的返回值为“TRUE”为止，此时说明所检测的数据包具有该OTN对应的攻击特征，系统就根据预先定义的响应方式进行处理。,（2） 基于专家系统的滥用检测方法 使用类似于if-then的规则格式输入已有的知识（攻击模式），然后输入检测数据（审计事件纪录），系统根据知识库中的内容对检测数据进行评估，判断是否存在入侵行为模式。 应用专家系统进行入侵检测存在的

30、问题： 、处理海量数据时存在效率问题； 、缺乏处理序列数据的能力，即缺乏分析数据前后的 相关性问题； 、专家系统的性能完全取决于设计者的知识和技能； 、只能检测已知的攻击模式； 、无法处理判断的不确定性； 、更改规则时必须考虑到对知识库中其他规则的影响。,（3） 基于状态转移法的滥用检测方法 状态转移分析法是一种使用状态转移图来表示和检测已知攻击模式的滥用检测技术。状态转移图中的节点表示系统的状态，弧线代表每一次状态的转变。 所有入侵者的渗透过程都可以看作是从有限的特权开始，利用系统存在的脆弱性，逐步提升自身的权限。图中的断言是在每种系统状态下得到的相应的、针对该状态的判断结果。 利用状态转移

31、图检测入侵的过程如下： 在任一时刻，当一定数量的入侵模式与审计日志部分匹配时，一些特征动作已经使得检测系统到达各自状态转换图中的某些状态。 如果某一状态转换图到达了终止状态，则表示该入侵模式已经成功匹配；否则，当下一个特征动作到来时，推理引擎能把当前状态转变成满足断言条件的下一状态。 如果当前状态的断言条件不能满足，则状态转换图会从当前状态转换到最近的能满足断言条件的状态。,【例8.4】利用状态转移分析方法表示和检测入侵模式 利用Unix BSD4.2中mail程序的一个安全脆弱性，获取一个所有者为root，权限为setuid的所有人均可执行的shell程序，这样一般用户运行这个shell就具

32、有了root的权限。 具体地可以用以下命令实施入侵： cp/bin/sh/usr/spool/mail/root chmod 4755/usr/spool/mail/root touch x mail rootx 第1条命令是拷贝一个shell到usr/spool/mail/root； 第2条命令是将该文件的权限修改为setuid使得所有人都可以运行； 第3条命令生成一个空文件，第四条命令将该空文件通过mail发送给root； 第4条命令使mail程序将空文件加在usr/spool/mail/root之后，并将usr/spool/mail/root的所有者改为root，但却没有将setuid复

33、位，使得root的mailbox成为了setuid的shell。 检测该入侵的状态转移图如下页图所示。,图8.11状态转移图实例,1.Owner(Obj)=user 2.not permitted(SUID,Obj),Modify_Owner Obj,Modify_perm Obj,Create Obj,S1,S2,S3,S4,1.Owner(Obj)=”root” 2.permitted(SUID,Obj),1.Owner(Obj)=user 2.permitted(SUID,Obj),1.exist(Obj)=false 2.not euid=”root”,Obj=” usr/spool/

34、mail/root”,基于着色Petri网的入侵检测模型 在此模型中，每个入侵都被表示成一个着色Petri网。整个特征匹配过程由标记（token）的动作构成，标记在审计记录的驱动下，从初始状态向最终状态（标识入侵发生的状态）逐步前进。 处于不同状态时，标记的颜色用来代表事件所处的系统环境（context）。当标记出现某种特定的颜色时，预示着目前的系统环境满足了特征匹配的条件，此时就可以采取相应的响应动作，这种满足匹配条件时事件所出的系统环境定义为警戒点（guards）。,【例8.7】 利用Petri网表示和检测到入侵模式 图中t1对应于cp/bin/sh/usr/spool/ mail/roo

35、t，t2对应于chmod 4755/usr/spool/mail/root，t3对应于将一个文件的所有者变为root，即mail rootx。 基于着色Petri网的入侵检测系统的缺陷是尽管在定义入侵特征时可以尽可能的通用化，但系统对于检测未知的攻击仍然无能为力。,8.2.2.3 混合的检测方法,（1） 基于数据挖掘的异常检测方法 以数据为中心，把入侵检测看成一个数据分析过程，利用数据挖掘的方法从审计数据或数据流中提取出感兴趣的知识，这些知识是隐含的、事先未知的潜在有用信息，提取的知识表示为概念、规则、规律、模式等形式，并用这些知识去检测异常入侵和已知的入侵。 主要的数据挖掘算法有： （1）分

36、类算法，它将一个数据集合映射成预先定义好的若干类别，算法的输出结果是分类器，它可用规则集或决策树的形式表示。利用该算法进行入侵检测的方法是首先收集有关用户或应用程序的“正常”和“非正常”的审计数据，然后应用分类算法得到规则集，并使用这些规则集来预测新的审计数据是属于正常还是异常行为。 （2）关联分析算法，它决定数据库记录中各数据项之间的关系，利用审计数据中各数据项之间的关系作为构造用户正常使用模式的基础。 （3）序列分析算法，它获取数据库记录在事件窗口中的关系，试图发现审计数据中的一些经常以某种规律出现的事件序列模式，这些频繁发生的事件序列模式有助于在构造入侵检测模型时选择有效的统计特征。,将

37、数据挖掘技术用于异常检测的基本思想 一段时间内频繁发生的行为被认为是正常行为。若干特定类型的警报组在一段时间内（通常是几秒）交替发生，并且按照一定的顺序在以后的时间里每隔几分钟发生一次，这些警报是可疑行为的可能性要比一个从未见过的突发警报小。 使用关联分析方法来发现警报所有的频繁项集。根据频繁项集和关联规则将正常的警报行为特征化：把连续的警报流划分成若干个警报段，每一段使用关联分析语言来表示一个事务，项表示警报。频繁项集指的是在多个段中的警报。关联规则描述了在一个段中所发生的彼此有关联的警报。传感器收集到的正常行为模型包括若干频繁项集的搜集和高可信度的关联规则。 算法8.3描述了利用数据挖掘方

38、法如何从正常行为中检测出异常。,算法8.3 基于数据挖掘的异常检测算法,输入：传感器搜集到的正常行为模式（频繁项集F、规则集B），警报段 输出：偏离正常行为的警报段 LOOP B=read_next_burst_of_alarms if then check_rules(R),report_frnquent(B) else M=most_specific_supported_itemsets(B,F) D=B- Check_rules (R),report_infrequent(B,M,D) End End.,基于数据挖掘的异常检测算法的含义 对于给定的一组频繁项集F、高可信度规则集R以及输入

39、的警报段B： 检查所输入的警报是否为频繁项集。如果确定为频繁项集，那么该警报可能为正常行为，并且期望的出现频率与项集的支持度相等；反之，如果频繁项集是警报段中的一个警报子集，那么它就受该脉冲警报的支持。 如果受支持的频繁项集不存在受支持的父集，就将该频繁项集称为最详细的频繁项集。集合M表示已发生过的已知警报，这些警报之间相互独立，它们在警报段中频繁出现，但不能确定它们是否同时出现。 集合D中的警报是由输入警报中未出现在M中的警报组成。如果D不为空，便得到一个包含发生频率低于最小支持度门限值的警报段。,（2） 基于生物免疫的入侵检测 生物免疫系统由多种免疫细胞组成，它通过区分“自我”和“非自我”来实现机体的防卫功能。“自我”是指自身的细胞，“非自我”是指病原体、毒性有机物和内源的突变细胞（致癌）或衰老细胞。免疫细胞能对“非自我”成分产生应答，以消除它们对机体的危害；但对“自我”成分，则不产生应答，以保持机体内环境动态稳定、维持机体健康。免疫系统