【正文】 ...................... 96 匹配性能 ....................................................... 96 分類器性能 ..................................................... 98 本章小結(jié) .................................................... 99 第七章 總結(jié)與展望 ...................................... 100 本論文對(duì)相關(guān)項(xiàng)目的貢獻(xiàn) ..................................... 100 本論文的總結(jié) ............................................... 100 關(guān)于未來研究的展望 ......................................... 101 參考文獻(xiàn) .............................................. 102 致 謝 ................................................ 104 在讀期間發(fā)表的學(xué)術(shù)論文與取得的其他研究成果 錯(cuò)誤 !未定義書簽。 第一章 緒 論 1 第一章 緒 論 研究 背景 隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的不斷發(fā)展，人類社會(huì)進(jìn)入了一個(gè)嶄新的互聯(lián)網(wǎng)時(shí)代?？萍及l(fā)展的日新月異，對(duì)推動(dòng)社會(huì)發(fā)展和人類進(jìn)步具有不可忽視的重要意義。而以計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)為代表的 IT 產(chǎn)業(yè)更 是位于科技發(fā)展的技術(shù)前沿，并且直接引導(dǎo)了互聯(lián)網(wǎng)的一次次技術(shù)革命， 人類社會(huì)的各個(gè)領(lǐng)域都在發(fā)生著前所未有的重大變革，人類社會(huì)正在走進(jìn)信息化社會(huì) 。 然而 隨著網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)應(yīng)用的高速發(fā)展 ， 個(gè)人和 各種 組織 ，包括政府、企業(yè)、軍隊(duì)，都越來越依賴于信息系統(tǒng)、 通信 網(wǎng)絡(luò)以及與之相關(guān)的自動(dòng) 化應(yīng)用 。 同時(shí) 也為 網(wǎng)絡(luò) 攻擊提供了 便利 條件 ， 攻擊技術(shù)快速發(fā)展，呈現(xiàn)出多元化、復(fù)雜化和智能化的 發(fā)展 趨勢， 攻擊 頻度和規(guī)模逐年遞增 。 以國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 (CNCERT/CC)在 2020 年發(fā)布的報(bào)告為例， 2020 年， CNCERT/CC 接收的網(wǎng)絡(luò)仿冒、垃圾郵件和網(wǎng)頁惡意代碼等非掃描類網(wǎng)絡(luò)安全事件報(bào)告總數(shù)為 4390 件，大大超出去年同期水平，與 2020年相比，網(wǎng)絡(luò)仿冒事件增長 倍，垃圾郵件事件增長 1 倍，網(wǎng)頁惡意代碼事件增長 倍。同時(shí)據(jù)抽樣顯示， 2020 年，境內(nèi)外控制者利用木馬控制端對(duì)主機(jī)進(jìn)行控制的事件中，木馬控制端 IP 地址總數(shù)為 433， 429 個(gè)，被控制端 IP 地址總數(shù)為 2， 861， 621 個(gè)，比去年同期均有較大幅度的增長。 下面對(duì)目前的網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行具體分析。首先，在當(dāng)前的網(wǎng)絡(luò)狀況下，各種病毒和攻擊方法不斷更新?lián)Q代，安全威脅的種類 越來越多，升級(jí)的頻率越來越快，所能影響的范圍也越來越廣。 目前存在的安全威脅主要有以下幾種 ： 1)系統(tǒng)破壞 ： 入侵行為往往對(duì)系統(tǒng)造成極大的破壞，主要表現(xiàn)在網(wǎng)絡(luò)性能變差，影響網(wǎng)絡(luò)服務(wù)的質(zhì)量甚至無法提供正常的服務(wù)，主機(jī)速度變慢，程序運(yùn)行異常，系統(tǒng)無法正常工作，嚴(yán)重時(shí)導(dǎo)致系統(tǒng)崩潰。系統(tǒng)遭到破壞產(chǎn)生的直接后果就是用戶無法使用電腦進(jìn)行正常工作。目前，網(wǎng)絡(luò)已經(jīng)成為許多企業(yè)和用戶工作的重要工具，系統(tǒng)的破壞將嚴(yán)重影響企業(yè)的正常運(yùn)營和用戶的工作，對(duì)企業(yè)和個(gè)人造成重大的經(jīng)濟(jì)損失。 2)信息泄漏 ： 企業(yè)網(wǎng)絡(luò)及個(gè)人的主機(jī)上有許多重要信 息和資料，有些保密第一章 緒 論 2 級(jí)別很高，不能對(duì)外公開。對(duì)于個(gè)人來說，個(gè)人隱私的泄漏會(huì)給人們帶來許多不必要的麻煩，如各種電話、短信、垃圾郵件的騷擾等，嚴(yán)重時(shí)會(huì)對(duì)人們的生活造成極大的影響。此外，個(gè)人網(wǎng)上銀行賬戶的泄漏會(huì)對(duì)個(gè)人的財(cái)產(chǎn)造成重大的損失，某些網(wǎng)絡(luò)賬號(hào)和密碼的被竊，會(huì)被入侵者用來做一些違背用戶個(gè)人意愿的事情，有時(shí)甚至?xí)沁`法的事情。對(duì)于企業(yè)來說，商場如戰(zhàn)場，而商機(jī)往往由及時(shí)可靠的信息獲取來決定，許多公司企業(yè)的網(wǎng)絡(luò)中往往會(huì)存在一些涉及商業(yè)機(jī)密的重要文件，這些文件往往成為一些商業(yè)計(jì)劃成敗的關(guān)鍵，一旦泄漏，對(duì)公司企業(yè)的打擊 是沉重的。信息泄漏的危害很大，甚至?xí){到政府和國家的安全。政府的重要文件和國家機(jī)密作為一個(gè)國家最為重要的信息，往往決定著國家的重大決策，把握著國家的經(jīng)濟(jì)命脈，影響范圍十分廣泛，涉及國家金融、經(jīng)濟(jì)、軍事、安全的各個(gè)方面，現(xiàn)在政府都建立了自己的網(wǎng)站，方便政府的辦公，但是同時(shí)也增加了這些重要的文件及機(jī)密泄漏的風(fēng)險(xiǎn)。所以信息泄漏是網(wǎng)絡(luò)安全領(lǐng)域的重要問題，危害十分嚴(yán)重。 3)數(shù)據(jù)損毀 ： 網(wǎng)絡(luò)中最重要的資源就是數(shù)據(jù)，網(wǎng)絡(luò)提供的一切服務(wù)以及在網(wǎng)絡(luò)中傳輸?shù)娜魏涡畔?，其?shí)就是一堆數(shù)據(jù)。數(shù)據(jù)損毀主要是對(duì)數(shù)據(jù)完整性的破壞，包括數(shù) 據(jù)的損壞和丟失，導(dǎo)致數(shù)據(jù)損毀的原因是多方面的，有人為的因素，如入侵者的刪除和蓄意破壞用戶個(gè)人的錯(cuò)誤操作，誤刪或沒有保存。也有來自系統(tǒng)本身的原因，如系統(tǒng)崩潰導(dǎo)致數(shù)據(jù)損毀，存儲(chǔ)介質(zhì)故障導(dǎo)致數(shù)據(jù)損毀。還有一些外來的因素，如突然斷電造成的數(shù)據(jù)損毀。其中，因?yàn)槿肭中袨槎鴮?dǎo)致的數(shù)據(jù)損毀是最為常見而又很難防范的。在沒有很好的數(shù)據(jù)保護(hù)管理機(jī)制的情況下，重要數(shù)據(jù)的損毀對(duì)企業(yè)和個(gè)人往往是災(zāi)難性的，很多人面對(duì)重要數(shù)據(jù)的丟失往往是欲哭無淚，訴求無門。 4)非法控制 ： 入侵者在成功入侵某些機(jī)關(guān)、企業(yè)或個(gè)人的主機(jī)后，往往會(huì)在被入侵主機(jī)中 植入木馬，留下后門，方便其對(duì)主機(jī)進(jìn)行長期的非法控制。在這種情況下，除了可能出現(xiàn)前面提到的三種情況外，還可能會(huì)出現(xiàn)一些意想不到的嚴(yán)重后果，造成災(zāi)難性的危害。 2020 年，美國海軍航空中心的電腦被黑客入侵，通過對(duì)被入侵電腦的控制，該黑客甚至可以操控軍用導(dǎo)彈的發(fā)射，一場人為的災(zāi)難就因?yàn)榫W(wǎng)絡(luò)系統(tǒng)的安全問題而掌握在入侵者的一念之間，其后果多么可怕。 網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的進(jìn)步，在給人類的生活帶來極大便利的同時(shí)，也為黑和惡意攻擊者提供了入侵的手段和條件。同時(shí)，正是由于當(dāng)前的網(wǎng)絡(luò)規(guī)模不斷大，所涉及的用戶范圍不斷增加，一旦發(fā)生有 組織，大規(guī)模的網(wǎng)絡(luò)入侵事件，所造成的影響也就越惡劣， 據(jù)國際網(wǎng)絡(luò)安全專家分析，目前世界范圍內(nèi)的網(wǎng)絡(luò)第一章 緒 論 3 安全防護(hù)仍然處于薄弱狀態(tài)：百分之九十五的網(wǎng)絡(luò)攻擊沒有被檢測到，而所檢測到的網(wǎng)絡(luò)攻擊也只有百分之十五被報(bào)告；中國國內(nèi) 80％的網(wǎng)站存在安全隱患， 20％的網(wǎng)站有嚴(yán)重安全問題 。 這無疑給網(wǎng)絡(luò)安全技術(shù)提出了新的挑戰(zhàn)。 國內(nèi)外研究現(xiàn)狀 入侵檢測的研究可追溯到 20 世紀(jì) 80 年代，早在 1980 年， Anderson 等人就給出了入侵檢測的概念，并提出利用審計(jì)信息來跟蹤用戶可疑行為的入侵檢測方法。隨著網(wǎng)絡(luò)的興起，網(wǎng)絡(luò)的安全問題日 益嚴(yán)重，入侵檢測得到了重視，廣泛的發(fā)展起來。 目前國內(nèi)外關(guān)于信息安全的國際會(huì)議已有上百個(gè)，比較有影響的有IFIP/SEC， ACM CCS， ISC， ICICS， CIS， CNCC， NDSS 等。 ACM， Springer，Elsevier， IEEE 等國際知名組織和出版商每年都會(huì)刊登大量的相關(guān)文章，出版相應(yīng)的論文集。其中，國際信息處理 聯(lián)合會(huì) IFIP 召開的世界計(jì)算機(jī)大會(huì)(IFIP/WCC)下面的安全會(huì)議 (IFIP/SEC)是信息安全領(lǐng)域的國際頂級(jí)學(xué)術(shù)會(huì)議，因其引領(lǐng)技術(shù)潮流而備受各國信息安全界的關(guān)注，而入侵檢測一直是 IFIP/SEC會(huì)的主要議題之一。 IFIP/SEC 主要由 IFIP 信息安全專委會(huì) TC11 負(fù)責(zé)，第一屆IFIP/SEC 信息安全國際會(huì)議于 1983 年 5 月在瑞典斯德哥爾摩召開，每年召開一次，到 2020 年已召開 24 屆。需要特別提到的是 2020 年世界計(jì)算機(jī)大會(huì)IFIP/WCC2020 在北京舉行，江澤民主席在會(huì)議開幕式上致詞，國內(nèi)著名信息安全專家卿斯?jié)h為 IFIP/SEC2020 程序委員會(huì)主席，充分說明信息安全問題在中國已經(jīng)受到了足夠的關(guān)注和重視，相關(guān)的研究已經(jīng)與國際社會(huì)接軌，并得到國際社會(huì)的認(rèn)可。國際信息與通信安全會(huì)議 ICICS 是國內(nèi)信息安全領(lǐng)域的頂級(jí)會(huì)議，也是國際公認(rèn)的第一流國際會(huì)議，由中科院軟件研究所主辦。 ICICS 為國內(nèi)外信息安全學(xué)者與專家齊聚一堂，探討國際信息安全前沿技術(shù)提供了難得的機(jī)會(huì)，對(duì)促進(jìn)國內(nèi)外的學(xué)術(shù)交流，促進(jìn)我國信息安全學(xué)科的發(fā)展做出了重要的貢獻(xiàn)。 國外從事信息安全入侵檢測研究的主要機(jī)構(gòu)有 ： 喬治敦大學(xué)，普渡大學(xué)COAST 實(shí)驗(yàn)室， SRI 公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室 (SRI/CLS )， Haystack 實(shí)驗(yàn)室，加州大學(xué)戴維斯分校，加州大學(xué)圣塔芭芭拉分校，洛斯阿拉莫斯國家實(shí)驗(yàn)室、哥倫比亞大學(xué)、新墨西哥大學(xué)等。其中， SRI/CSL、普渡大學(xué)、加州大學(xué)戴維斯分校、洛斯阿拉莫斯國家實(shí)驗(yàn)室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這些方面的研究代表了當(dāng)前的最高水平。國內(nèi)從事信息安全入侵檢測研究的主要機(jī)第一章 緒 論 4 構(gòu)有 ： 中科院，國防科技大學(xué)、哈爾濱工業(yè)大學(xué)、上海交通大學(xué)、北京郵電大學(xué)等。近年來，以信息安全專家卿斯?jié)h、方濱興、馮登國、李建華、周仲義、陳恭亮、唐正軍為代表的眾多國內(nèi)信息安全研究人員在入侵檢測領(lǐng)域取得了豐碩的研究成果，發(fā)表了大量的文獻(xiàn)和專著 。 卿斯?jié)h等人定期會(huì)撰寫介紹入侵檢測研究現(xiàn)狀的文章，發(fā)表在國內(nèi)權(quán)威期刊上，這對(duì)于國內(nèi)信息安全研究人員了解相關(guān) 領(lǐng)域的研究動(dòng)態(tài)起了很好的幫助作用。 近幾年，隨著人們對(duì)信息安全的認(rèn)識(shí)不斷提升，信息安全問題越來越引起人們的重視，入侵檢測系統(tǒng)的市場更是飛速發(fā)展，許多公司投入到這一領(lǐng)域，推出了自己的產(chǎn)品。國外的企業(yè)及其產(chǎn)品有 ： Sourcefire 公司 (現(xiàn)被 Barracuda Networks INC 收購 )的 Snort， ISS(Inter Security System)公司的 RealSecure， Cisco 公司的 Secure IDS(前身為 NetRanger )， Axent Technologies 公司 (現(xiàn)被Symantec 收購 )的 Netprowler/Intruder Alert， CA 公司的 SessionWall3/eTrust Intrusion Detection， NFR 公司的 NID， NAI 公司的 C 如 erCop Monitor 等。國內(nèi)在入侵檢測研究方面雖然起步較晚，但發(fā)展很快，目前在公安部取得銷售許可證的安全廠商已有 30 余家，主要的企業(yè)及其產(chǎn)品有 ： 啟明星辰 (VenusTech)的天聞、北方計(jì)算 中心 的 NIDS detector、遠(yuǎn)東科技的黑客煞星、金諾網(wǎng)安的KIDS、綠盟的冰之眼 IDS 等。 經(jīng)過二十來年的 研究與發(fā)展，入侵檢測已經(jīng)從最初簡單的基于審計(jì)信息的單機(jī)檢測模式，發(fā)展到以網(wǎng)絡(luò)為平臺(tái)，研究內(nèi)容豐富，涉及領(lǐng)域廣泛的一門綜合性學(xué)科。網(wǎng)絡(luò)入侵檢測各領(lǐng)域研究現(xiàn)狀如下 ： 1) IDS 體系結(jié)構(gòu)研究 IDS 體系結(jié)構(gòu)研究的內(nèi)容是系統(tǒng)各功能部件以及部件之間的聯(lián)系，它定義了 IDS 的各個(gè)功能模塊以及模塊間的關(guān)系，決定了 IDS 的功能、性能以及適用的場合。 (1)集中式 ： 這種結(jié)構(gòu)的工 DS 可能有多個(gè)分布于不同主機(jī)上的審計(jì)程序，但只有一個(gè)中央入侵檢測服務(wù)器。審計(jì)程序把當(dāng)?shù)厥占降臄?shù)據(jù)發(fā)送給中央服務(wù)器進(jìn)行分析處理。 這種結(jié)構(gòu)的 IDS 無法 適應(yīng)大規(guī)模網(wǎng)絡(luò)環(huán)境，在可伸縮性、可配置性方面存在致命缺陷 ： ①隨著網(wǎng)絡(luò)規(guī)模的增加，導(dǎo)致網(wǎng)絡(luò)性能大大降低。②系統(tǒng)安全性脆弱，一旦中央服務(wù)器出現(xiàn)故障，整個(gè)系統(tǒng)就會(huì)陷入癱瘓 ； ③根據(jù)各個(gè)主機(jī)不同需求配置服務(wù)器也非常復(fù)雜。 (2)等級(jí)式 ： 為了克服集中的缺點(diǎn)，等級(jí)式 IDS 被提出來。它用來監(jiān)控大型網(wǎng)絡(luò)，定義了若干個(gè)分等級(jí)的監(jiān)控區(qū)，每個(gè) IDS 負(fù)責(zé)一個(gè)區(qū)，每一級(jí) IDS 只負(fù)第一章 緒 論 5 責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級(jí) IDS。 這種結(jié)構(gòu)仍存在兩個(gè)問題 ： ①當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時(shí)，區(qū)域分析結(jié)果的匯總機(jī)制也需要做相應(yīng)的調(diào)整 ； ②這種結(jié) 構(gòu)的 IDS 最后還是要把各地收集到的結(jié)果傳送到最高級(jí)的檢測服務(wù)器進(jìn)行全局分析，所以系統(tǒng)的安全性并沒有實(shí)質(zhì)性的改進(jìn)。 (3)分布式 ： 將中央檢測服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)的 IDS，這些 IDS不分等級(jí)，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動(dòng)。所以，其可伸縮性、安全性都得到了顯著的提高，但維護(hù)成本卻高了很多，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷，如通信機(jī)制、審計(jì)開銷、蹤跡分析等。 2)網(wǎng)絡(luò)攻擊模型研究 網(wǎng)絡(luò)攻擊模型的建立對(duì)于了解網(wǎng)絡(luò)攻擊原理，分析網(wǎng)絡(luò)入侵過程，評(píng)估網(wǎng)絡(luò)安全程度有著重要的意義，對(duì)于 IDS 的部署有著重要的指導(dǎo) 作用。 網(wǎng)絡(luò)攻擊模型的建模方法主要有四種，分別是攻擊樹、攻擊網(wǎng)、狀態(tài)轉(zhuǎn)移圖和攻擊圖。其中攻擊圖的建模方法最為有效，也是目前研究的重點(diǎn)。早期，攻擊圖由 Red Teams 通過對(duì)系統(tǒng)的脆弱性分析，手動(dòng)生成，當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，這種方式效率很低。目前，網(wǎng)絡(luò)攻擊圖自動(dòng)生成的研究主要有兩種方法 ： 基于模型檢測技術(shù)的方法和基于圖論的方法 。 3)入侵行為特征提取方法研究 數(shù)據(jù)源是入侵檢測系統(tǒng)的重要模塊，為入侵檢測提供原始數(shù)據(jù)，面對(duì)網(wǎng)絡(luò)系統(tǒng)中大量的數(shù)據(jù)信息，有效的提取入侵行為的特征對(duì)于入侵檢測的檢測率、可靠性及實(shí)時(shí)性都有著重要的 影響。 網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)源有兩