【正文】 體發(fā)展比較慢，檢測技術(shù)單一，大多以仿國外產(chǎn)品為主。 但無論國外還是國內(nèi)，在產(chǎn)品和檢測手段都還不夠成熟。 國內(nèi)在入侵檢測方面也出現(xiàn) 了 有自己的 產(chǎn)品 包括 ：啟明星辰公司的天闐 入侵檢測系統(tǒng)、安氏（中國）公司的 LinkTrust入侵檢測系統(tǒng)等。 本文的研究內(nèi)容和主要?jiǎng)?chuàng)新點(diǎn) 本文將小 波 神經(jīng) 網(wǎng)絡(luò)應(yīng)用于入侵檢測技術(shù)中，建立了新的基于小波 神經(jīng) 網(wǎng)絡(luò)的入侵 檢測模 型，并 進(jìn)行仿真實(shí)驗(yàn)，最后用已知的攻擊類型的數(shù)據(jù)源對網(wǎng)絡(luò) 進(jìn)行訓(xùn)練和測試，實(shí)驗(yàn)結(jié)果說明，本 文 提出的 基于小波 神經(jīng) 網(wǎng)絡(luò)模型，樣本訓(xùn)練時(shí)間短，網(wǎng)絡(luò)收斂速度快 (網(wǎng)絡(luò)收斂速度是指神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程中，它的訓(xùn)練誤差減小的快慢 )，檢測準(zhǔn)確率高，整體性能優(yōu)于基于傳統(tǒng) BP神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)。并且 利 用小波神經(jīng) 網(wǎng)絡(luò)技術(shù)改造 SNORT入侵檢測系統(tǒng)。通過把小波神經(jīng)網(wǎng)絡(luò)技術(shù)與 SNORT系統(tǒng)相結(jié)合，嘗試建立一種功能更全面的入侵檢測系統(tǒng)模型，既可以精確 判 別入侵類別，又具有一定的對未知入侵、變種入侵的檢測能力。 論文 內(nèi)容 安排 在神經(jīng)網(wǎng)絡(luò)的實(shí)際應(yīng)用中，應(yīng)用最廣泛的是 BP 網(wǎng)絡(luò)。它的一大缺點(diǎn)是當(dāng)學(xué)習(xí)速度較小時(shí)，其緩慢的學(xué)習(xí)速度使得網(wǎng)絡(luò)的學(xué)習(xí)失去了意義。學(xué)習(xí)速度過大又會(huì)使得誤差函數(shù)不能收斂。本文采用小波神經(jīng)網(wǎng)絡(luò)入侵檢測模型 ，在檢測效果和學(xué)習(xí)速度上都有較大的提高。 本論文的內(nèi)容安排如下： 7 第一章對研究問題的背景做簡單的介紹，概述 了信息安全的重要性以及現(xiàn)有網(wǎng)絡(luò)安全技術(shù)概況，提出本文的研究思路和內(nèi)容安排。 第二章介紹入侵檢測技術(shù)。對入侵檢測技術(shù)的基本概念和理論進(jìn)行分析，包括入侵檢測的原理、構(gòu)成、分類，以及主要的入侵檢測技術(shù)。 第三章主要介紹了小波分析的基礎(chǔ)知識(shí)， 如：小波分析理論基礎(chǔ)、小波分析的應(yīng)用，小波變換等。人工神經(jīng)網(wǎng)絡(luò)方面的研究。主要介紹了人工神經(jīng)網(wǎng)絡(luò)的研究內(nèi)容，人工神經(jīng)網(wǎng)絡(luò)構(gòu)成的基本原理。 最后通過總結(jié) BP 神經(jīng)網(wǎng)絡(luò)和小波分析的特點(diǎn)，引出了小波神經(jīng)網(wǎng)絡(luò)相關(guān)定義，其中包括小波神經(jīng)網(wǎng)絡(luò)的基本結(jié)構(gòu)，小波神經(jīng)網(wǎng)絡(luò)的算法和模型等。 第四章介紹 了小波神經(jīng)網(wǎng)絡(luò)在入侵檢測中的應(yīng)用 ，結(jié)合開源軟件 SNORT，提出了兩種模型，互補(bǔ)式和嵌入式入侵檢測模型，并 使用 KDDCup99 數(shù)據(jù)對模型進(jìn)行 仿真 測試。 最后一章 對全文進(jìn)行總結(jié) 。 8 第 2 章 入侵檢測技術(shù) 入侵檢測的概念 1980 年， James 第一次系統(tǒng) 的闡述 了入侵檢測的概念，并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。即其之后 ,1986 年 Dorothy 提出實(shí)時(shí)異常檢測的概念并建立了第一個(gè)實(shí)時(shí)入侵檢測模型，命名為入侵檢測專 家系統(tǒng) (IDES)， 1990 年， 等設(shè)計(jì)出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng)， NSM( Network Security Monitor） [3]。自此之后，入侵檢測系統(tǒng)才真正發(fā)展起來。 Anderson將入侵嘗試或威脅定義為：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。 而入侵檢測的定義為：發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體 (如“黑客” )或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。執(zhí)行入侵檢測任務(wù)的程序即是入侵檢測系統(tǒng)。 入侵檢測的功 能 （ 1） 入侵檢測（ Intrusion Detection）技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測技術(shù)，主要用于識(shí)別對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則馬上做出適當(dāng)?shù)姆磻?yīng)。對于正在進(jìn)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉碜钄喙簦ㄅc防火墻聯(lián)動(dòng)），以減少系統(tǒng)損失。對于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中 是否有違反安全策略的行為和遭到襲擊的現(xiàn)象。 (2)入侵檢測系統(tǒng)（ IDS）也可以定義為：檢測企圖破壞計(jì)算機(jī)資源的完整性，真實(shí)性和可用性的行為的軟件。入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動(dòng) ； 審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn) ； 識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警 ； 統(tǒng)計(jì)分析異常行為模式 ； 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性 ； 審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全 策略的行為。入侵檢測一般分為三個(gè)步驟：信息收集、數(shù)據(jù)分析、響應(yīng)。 入侵檢測的目的： 1)識(shí)別入侵者 ； 2)識(shí)別入侵行為 ；3)檢測和監(jiān)視以實(shí)施的入侵行為 ； 4)為對抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴(kuò)大 。 入侵檢測的組成與結(jié)構(gòu) 入侵檢測系統(tǒng)（ Intrusion Detection System， IDS）是實(shí)現(xiàn)入侵檢測功能的硬件與軟件組合而成。入侵檢測基于這樣一個(gè)假設(shè)，即：入侵行為與正常行為有顯著的不同，因而是可以檢測的。入侵檢測系統(tǒng)通常處于防火墻之后對網(wǎng)絡(luò)活 9 動(dòng) 進(jìn)行實(shí)時(shí)檢測。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵檢測 系統(tǒng)是防火墻的延續(xù)。它們可以和你的防火墻和路由器配合工作。 一個(gè)入侵檢測系統(tǒng)分為四個(gè)組件（如圖 21 所示），即 CIDF 模 型（ Common Intrusion Detection Framework）： CIDF 闡述了一個(gè)入侵檢測系統(tǒng)（ IDS）的通用模型。它將一個(gè)入侵檢測系統(tǒng)分為以下組件：事件產(chǎn)生器（ Event generators），用 E 盒表示；事件分析器（ Event analyzers），用 A 盒表示；響應(yīng)單元（ Responseunits），用 R盒表示；事件數(shù)據(jù)庫（ Event databases），用 D盒表示。 1） 事件產(chǎn)生器（ Event generater， Ebox）收集入侵檢測事件 ,并提供給 IDS其他部件處理，是 IDS 的信息源。事件包含的范圍很廣泛既可以是網(wǎng)絡(luò)活動(dòng)也可是系統(tǒng)調(diào)用序列等系統(tǒng)信息。事件的質(zhì)量、數(shù)量與種類對 IDS 性能的影響極大。 2） 事件分析器（ Analysis engine, Abox）對輸入的事件進(jìn)行分析并檢測入侵。許多 IDS 的研究都集中于如何提高事件分析器的能力 ,包括提高對已知入侵識(shí)別的準(zhǔn)確性以及提高 發(fā)現(xiàn)未知入侵的幾率等。 3） 事件數(shù)據(jù)庫（ Event database, Dbox） Eboxes 和 Aboxes 產(chǎn)生大量的數(shù)據(jù)，這些數(shù)據(jù)必須被妥善地存儲(chǔ)，以備將來的使用。 Dbox 的功能 就是存儲(chǔ)和管理這些數(shù)據(jù) ,用于 IDS 的訓(xùn)練和證據(jù)保存。 4） 事件響應(yīng)器（ Response unit, Rbox）對入侵作出響應(yīng)，包括向管理員發(fā)出警告，切斷入侵連接，根除入侵者留下的后門以及數(shù)據(jù)恢復(fù)等。 圖 21 CIDF 模型結(jié)構(gòu)圖 CIDF 模型的結(jié)構(gòu)如下： E 盒通過傳感器收集事件數(shù)據(jù)，并將信息傳 送給 A盒， A盒檢測誤用模式； D盒存儲(chǔ)來自 A、 E 盒的數(shù)據(jù)，并為額外的分析提供信息；R盒從 A、 E盒中提取數(shù)據(jù)， D盒啟動(dòng)適當(dāng)?shù)捻憫?yīng)。 A、 E、 D及 R盒之間的通信都基于 GIDO（ generalized Intrusion detection objects，通用入侵檢測對象）和 CISL（ mon intrusion specification language，通用入侵規(guī)范語言）。如果想在不同種類的 A、 E、 D及 R盒之間實(shí)現(xiàn)互操作，需要對 GIDO 實(shí)現(xiàn)標(biāo)準(zhǔn)化并使用 CISL。 10 現(xiàn)有的入侵檢測分析技術(shù) 入侵檢測主要 采用的技術(shù)分為：靜態(tài)配置技術(shù)、異常檢測技術(shù)和誤用檢測技術(shù)，另外還有一種新的思想是基于系統(tǒng)關(guān)鍵程序的安全規(guī)格方法及通過構(gòu)架陷阱進(jìn)行入侵檢測。 靜態(tài)配置分析 靜態(tài)配置分析 [4]是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征（系統(tǒng)配置信息），而不是系統(tǒng)中的活動(dòng)。 采用靜態(tài)分析方法主要有一下幾個(gè)方面的原因：入侵者對系統(tǒng)攻擊時(shí)可能會(huì)留下痕跡， 這可通過檢查系統(tǒng)的狀態(tài)檢測出來；系統(tǒng)管理員以及用戶在建立系統(tǒng)時(shí)那面會(huì)出現(xiàn)一些錯(cuò)誤和遺漏一些 系統(tǒng)的安全性缺陷。另外，系統(tǒng)在遭受攻擊之后，入侵者也可能在系統(tǒng)中安裝一些安全性后門以方便后續(xù)對系統(tǒng)的進(jìn)一步攻擊。對系統(tǒng)的配置信息進(jìn)行靜態(tài)分析，就可以及早發(fā)現(xiàn)系統(tǒng)中潛在的安全性問題，并采取相應(yīng)的措施來補(bǔ)救。但這種方法需要對系統(tǒng)的缺陷盡可能地了解；否則，入侵者只需要簡單地利用那些安全系統(tǒng)未知的缺陷就可以避開檢測系統(tǒng)。 異常檢測 技術(shù) 入侵檢測的異常檢測技術(shù)（ Anomaly Detection）是一種在不需要操作系統(tǒng)及其安全性缺陷的專門 知識(shí) 的情況下，就可以檢測入侵者的方法，同時(shí)它也是檢測冒充合法用戶的入 侵者的有效方法。但是，在許多環(huán)境中，為用戶建立正常行為模式的特征輪廓以及對用戶活動(dòng)的異常性進(jìn)行報(bào)警的門限值的確定都是比較難的事。因?yàn)椴⒉皇撬腥肭中袨槎寄墚a(chǎn)生異常性，所以在 入侵檢測系統(tǒng)中，僅使用異常性檢測技術(shù)不可能檢測出所有的入侵行為。有經(jīng)驗(yàn)的入侵者還可以通過緩慢的改變它的行為，來改變?nèi)肭謾z測系統(tǒng)中用戶正常行為模式，使其入侵行為逐步變?yōu)楹戏?，這樣就可以避開使用異常性檢測技術(shù)的入侵檢測系統(tǒng)的檢測。 Denning[5]于 1986 年給出一個(gè)基于用戶特征輪廓（ Profile）的入侵檢測系統(tǒng)模型?；舅枷胧牵和ㄟ^對 系統(tǒng)審計(jì)數(shù)據(jù)的分析建立起系統(tǒng)主體（單個(gè)用戶、一組用戶、主機(jī)、甚至是系統(tǒng)中的某個(gè)關(guān)鍵的程序和文件等）的正常行為特征輪廓；檢測時(shí)，如果系統(tǒng)中的審計(jì)數(shù)據(jù)與已建立的主體的正常行為特征有較大出入就認(rèn)為是一個(gè)入侵行為。特征輪廓是借助主體登陸的時(shí)刻、登陸的位置、 cpu的使用時(shí)間以及文件的存取等屬性，來描述它的正常行為特征。當(dāng)主體的行為特征改變時(shí)，對應(yīng)的特征輪廓也相應(yīng)改變。 目前，這類入侵檢測系統(tǒng)多采用統(tǒng)計(jì)或基于規(guī)則描述的方法建立系統(tǒng)主體的行為特征輪廓。 （ 1） 統(tǒng)計(jì)性特征輪廓 11 統(tǒng)計(jì)型特征輪廓通過某個(gè)被監(jiān)控的行為屬性變量的 統(tǒng)計(jì)概率分布來描述系統(tǒng)行為的輪廓特征，由主體特征變量的頻度、均值以及偏差等統(tǒng)計(jì)量來描述 。在基于統(tǒng)計(jì)性特征輪廓的異常性檢測器中，使用統(tǒng)計(jì)的方法來判斷審計(jì)與主體正常行為的偏差。 SRI 的 NIDES（ Next Generation Realtime Intrusion Detection Expert System，早期版本為 IDES） 就是一個(gè)基于統(tǒng)計(jì)型特征輪廓的異常性檢測系統(tǒng)。這種方法對特洛伊木馬（ Troja horse）以及欺騙性的應(yīng)用程序的檢測非常有效。 （ 2）基于規(guī)則描述的特征輪廓 基于規(guī)則描述的特征輪 廓?jiǎng)t是一組用于描述主體每隔特征的合法取值范圍與其他特征的取值 之間關(guān)系的規(guī)則。這些規(guī)則原則上可以通過分析主體的歷史活動(dòng)記錄自動(dòng)生成。但如何選擇能精確描述主體的正常行為與入侵行為的屬性，則是一個(gè)很困難的問題。 TIM（ The Timebased Inductive Machine）就是一個(gè)基于規(guī)則的異常檢測系統(tǒng)， TIM 使用歸納方法來生成規(guī)則，這些規(guī)則在系統(tǒng)的學(xué)習(xí)階段可以動(dòng)態(tài)地修改。如果通過觀測大量地規(guī)則，這些規(guī)則具有較高的預(yù)測性或能夠被確認(rèn)，則把他們放入到規(guī)則庫中。系統(tǒng)采用信息熵的模型計(jì)算規(guī)則的預(yù)測概率。 該 方案還可以采用大型數(shù)據(jù)庫中提取規(guī)則的數(shù)據(jù)挖掘（ Data Mining）技術(shù)，從大量的 系統(tǒng)審計(jì)數(shù)據(jù)中提取出描述用戶特征輪廓的規(guī)則集。 （ 3） 神經(jīng)網(wǎng)絡(luò)方法 神經(jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)、自適應(yīng)的能力，因而，在基于神經(jīng)網(wǎng)絡(luò)模型的入侵檢測系統(tǒng)中，只要提供系統(tǒng)的審計(jì)數(shù)據(jù)，神經(jīng)網(wǎng)絡(luò)就可以通過自學(xué)習(xí)從中提取正常用戶或系統(tǒng)活動(dòng)的特征 模式，而不需要獲取描述用戶行為特征的特征集 以及用戶行為特征測度的統(tǒng)計(jì)分布。因此，避開了選擇統(tǒng)計(jì)特征的困難問題 ，使如何選擇一個(gè)好的主體屬性子集的問題成為一個(gè)不相關(guān)的事，從而使其在入侵檢測中也得到很好的應(yīng)用。 實(shí)際應(yīng)用時(shí)，首先根據(jù)用戶正常行為的樣本模式對神經(jīng)網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)訓(xùn)練；完成訓(xùn)練后，神經(jīng)網(wǎng)絡(luò)接受用戶活動(dòng)的數(shù)據(jù)并判斷它與經(jīng)訓(xùn)練產(chǎn)生的正常偶是的偏離程度來判別是否產(chǎn)生了非法行為。目前，這種方法還很不成熟。 誤用檢測技術(shù) 誤用檢測技術(shù)（ Misuse Detection）通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動(dòng)，是一種基于已有的知識(shí)的檢測。 目前基于知識(shí)的入侵檢測系統(tǒng)只是在表示入侵模式的方式以及在系統(tǒng)的審計(jì)中檢查入侵 的機(jī)制上有所區(qū)別。主要可以分成以下幾類：基于專家系統(tǒng)、狀態(tài)轉(zhuǎn)換分析和模式匹配的入侵檢測系統(tǒng)。 12 基于 知識(shí)的入侵檢測技術(shù)的優(yōu)勢：如果檢測器的入侵特征模式庫中包含一個(gè)已知入侵行為的特征模式，就可以保證系統(tǒng)在受到這種入侵行為攻擊時(shí)能夠把它檢測出來。目前，主要是從以知的系統(tǒng)缺陷來提取入侵行為的特征模式，加入到檢測器入侵行為特征模式庫中，來避免系統(tǒng)以后再遭受同樣的入侵攻擊。但是，對于一種入侵行為的變種（利用同樣的系統(tǒng)缺陷、同樣的攻擊原理等）卻不一定要檢測出來。 這種入侵檢測技術(shù)的主要局限在于它只是根據(jù)已知的入侵序列和系 統(tǒng)缺陷的模式來檢測系統(tǒng)中的可疑行為，而不能處理對新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測。