【正文】 接受的國(guó)際標(biāo)準(zhǔn)。自從 Denning 于 1986 年發(fā)表論文“入侵檢測(cè)模型（ An Intrusion Detection Model）”以來(lái)，大量 IDS(Intrusion Detection System)被開發(fā)出來(lái)，包括研究的原型和商業(yè)化的產(chǎn)品。此 文被認(rèn)為是有關(guān) ID（ Intrusion Detection）的最早論述。 第 2 章入侵檢測(cè)系統(tǒng) 入侵檢測(cè)系統(tǒng)基本概念 入侵檢測(cè)系統(tǒng)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。計(jì)算機(jī)網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是系統(tǒng)上的信息安全。針對(duì)通信性能的攻擊包括拒絕服務(wù)、遠(yuǎn)程權(quán)力獲取 等，對(duì)通信性能進(jìn)行保護(hù)的理論基本上是實(shí)踐經(jīng)驗(yàn)的總結(jié)。這方面的理論比較完備（主要是加密體制的建立和加密算法的運(yùn)用），實(shí)現(xiàn)手段也比較完善。對(duì)于任一信息系統(tǒng)，安全性的作用在于：防止未經(jīng)授權(quán)的用戶使用 (甚至破壞 )系統(tǒng)中的信息，或干擾系統(tǒng)的正常工作。從第二次世界大戰(zhàn)后軍方、政府專享的通信保密，發(fā)展到 20 世紀(jì) 70 年代的數(shù)據(jù)保護(hù)、 90 年代的信息安全直至當(dāng)今的信息保障，安全的概念已經(jīng)不局限于信息的保護(hù)，人們需要的是對(duì)整個(gè)信息系統(tǒng)的保護(hù)和防御。黑客的網(wǎng)絡(luò)攻擊與入侵行為，對(duì)于國(guó)家安全、經(jīng)濟(jì)、社會(huì)生活造成極大的威脅。目前，全球使用 Inter 的用戶已經(jīng)超過(guò) 1億，并以更快速度增長(zhǎng)。然后介紹了分析入侵檢測(cè)系統(tǒng)中的幾類檢測(cè)方法。入侵檢測(cè)系統(tǒng)的主要特點(diǎn)是主動(dòng)防御，即在入侵行為發(fā)生之前 或正在發(fā)生時(shí)就檢測(cè)出該行為。 畢業(yè)設(shè)計(jì)（論文） web 攻擊異常檢測(cè)技術(shù)的研究和實(shí)現(xiàn) 內(nèi)容提要 入侵檢測(cè)系統(tǒng) IDS(Intrusion Detection System)是計(jì)算機(jī)安全領(lǐng)域的一個(gè)重要分支，對(duì)其的研究近幾年來(lái)倍受重視。目前的入侵檢測(cè)方法主要分為兩類：誤用檢測(cè)和異常檢測(cè)。之后又介紹了四種基于統(tǒng)計(jì)的異常檢測(cè)方法，他們分別是： 屬性長(zhǎng)度模型、字符分布模型、結(jié)構(gòu)推論模型和令牌發(fā)現(xiàn)模型四種方法，詳細(xì)描述了他們的原理以及屬性長(zhǎng)度和令牌發(fā)現(xiàn)兩種模型的算法實(shí)現(xiàn) ， 他們的特點(diǎn)是都需要事先使用正常數(shù)據(jù)對(duì)模型進(jìn)行訓(xùn)練 和學(xué)習(xí)，基于統(tǒng)計(jì)學(xué)原理并將訓(xùn)練和學(xué)習(xí)的結(jié)果存儲(chǔ)起來(lái)，在異常的檢測(cè)階段，模型利用之前存儲(chǔ)的統(tǒng)計(jì)結(jié)果和被檢測(cè)屬性進(jìn)行比較，從而判斷被檢測(cè)的數(shù)據(jù)異常與否。中國(guó)網(wǎng)民數(shù)量快速增長(zhǎng)， 2020年上網(wǎng)人數(shù)人數(shù)比 1997 年增長(zhǎng)了 128 倍。如果計(jì)算機(jī)和數(shù)據(jù)通信網(wǎng)絡(luò)的安全受到危害，將會(huì)造成重大損失，引起社會(huì)混亂和危機(jī)國(guó)家安全。從事計(jì)算機(jī)和網(wǎng)絡(luò)安全的研究人員對(duì)信息系統(tǒng)的服務(wù)、傳輸媒介和協(xié)議的各個(gè)環(huán)節(jié)進(jìn)行研究，確保網(wǎng)絡(luò)信息傳輸?shù)陌踩?。長(zhǎng)期以來(lái)信息系統(tǒng)安全專家公認(rèn)信息安全性的目標(biāo)是維護(hù)信息的以下四個(gè)方面： (1)保密性：使系統(tǒng)只向已被授權(quán)的用戶提供信息，對(duì)于未被授權(quán)的用戶，這些信息是不可獲得或不可理解的； (2)完整性：使系統(tǒng)只允許授權(quán)的用戶修改信息，即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失，以保證所提供給用戶的信 息是完整無(wú)缺的； (3)可用性：使被授權(quán)的用戶從系統(tǒng)中獲得所需的信息資源服務(wù)； (4)可審查性：使系統(tǒng)內(nèi)部所發(fā)生的、與安全有關(guān)的動(dòng)作均有說(shuō)明性記錄可查。 (2)通信信任：網(wǎng)絡(luò)作為交流的重要手段，涉及到通信各方信任關(guān)系的建立與維護(hù)，這也是攻擊者比較感興趣的一個(gè)方面，因?yàn)樾湃侮P(guān)系的竊取就意味著數(shù)據(jù)訪問(wèn)權(quán)力的獲取。 同以前的計(jì)算機(jī)安全保密相比，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的問(wèn)題要多得多，也復(fù)雜得多，涉及到物理環(huán)境、硬件、軟件、數(shù)據(jù)、傳輸、體系結(jié)構(gòu)等各個(gè)方面。計(jì)算機(jī)網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。目前對(duì)入侵檢測(cè)的定義主要采用的是美國(guó)國(guó)際計(jì)算機(jī)安全協(xié)會(huì)（ ICSA）對(duì)入侵檢測(cè)的定義：入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。為了提高 IDS 產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國(guó)國(guó)防高級(jí)研究計(jì)劃署（ DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（ IETF）的入侵檢測(cè)工作組（ IDWG）發(fā)起制訂了一系列建議草案，從體 系結(jié)構(gòu)、 API、通信機(jī)制、語(yǔ)言格式等方面規(guī)范 IDS的標(biāo)準(zhǔn)。不過(guò)，它們?nèi)允侨肭謾z測(cè)領(lǐng)域最有影響力的建議，成為標(biāo)準(zhǔn)只是時(shí)間問(wèn)題。 事件產(chǎn)生器的功能是從整個(gè)計(jì)算環(huán)境中捕獲事件信息，并向系統(tǒng)的其他組成部分提供該事件數(shù)據(jù)。分析器可以是一個(gè)輪廓描述工具，統(tǒng)計(jì)性地檢查現(xiàn)在的事件是否可能與以前某個(gè)事件來(lái)自同一個(gè)時(shí)間序列；也可以是一個(gè)特征檢測(cè)工具，用于在一個(gè)事件序列中檢查是否有已知的濫用攻擊特征；此外，事件分析器還可以是一個(gè)相關(guān)器，觀察事件之間的關(guān)系，將有聯(lián)系的事件放到一起，以利于以后的進(jìn)一步分析。 IDS System Architecture 圖 1 IDS 系統(tǒng)結(jié)構(gòu) 入侵檢測(cè)系統(tǒng)分類 基于數(shù)據(jù)來(lái)源分類 (1)基于主機(jī)：入侵檢測(cè)系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)。 基于主機(jī)的入侵檢測(cè)系統(tǒng)在 發(fā)展過(guò)程中融入了其他技術(shù)。這類檢測(cè)方法將基于網(wǎng)絡(luò)的入侵檢測(cè)的基本方法融入到基于主機(jī)的檢測(cè)環(huán)境中。系統(tǒng)的分析模塊通常使用模式匹配、統(tǒng)計(jì)分析等技術(shù)來(lái)識(shí)別攻擊行為。 主機(jī)數(shù)據(jù)源的優(yōu)勢(shì)在于：針對(duì)性強(qiáng)、檢測(cè)準(zhǔn)確性高、適于檢測(cè)復(fù)雜的攻擊模式，不受交換式網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)加密的影響，并且可以準(zhǔn)確地判定攻擊是否成功。這種方法首先收集入侵行為的特征，建立相關(guān)的誤用模式庫(kù)；在后續(xù)的檢測(cè)過(guò)程中，將收集到的數(shù)據(jù)與特征庫(kù)中的特征代碼進(jìn)行比較，得出是否入侵的結(jié)論。該方法的特點(diǎn)是首先總結(jié)正常操作應(yīng)該具有的特征，在得出正常操作的模型之后，對(duì)后續(xù)的操作進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)偏離正常統(tǒng)計(jì)學(xué)意義上的行為，即進(jìn)行報(bào)警。 入侵檢測(cè)技術(shù) 誤用檢測(cè)技術(shù) 基于誤用的入侵檢測(cè)技術(shù)的研究主要是從 20世紀(jì) 90年代中期開始當(dāng)時(shí)主要的研究組織有 SRI， Purdue 大學(xué)和 California 大學(xué)的 Davis 分校誤用入侵檢測(cè)的主要假設(shè)是具有能夠被精確地按某種方式編碼的攻擊，并可以通過(guò)捕獲攻擊及重新整理，確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。主要的誤用入侵檢測(cè)系統(tǒng)類型如下： (1)專家系統(tǒng) 入侵檢測(cè)專家系統(tǒng)最顯著的特征是采用一定的 IFTHEN 規(guī)則表示攻擊的行為，形成專家知識(shí)庫(kù)，然后輸入檢測(cè)數(shù)據(jù)（審計(jì)事件記錄），系統(tǒng)根據(jù)知識(shí)庫(kù)中的內(nèi)容對(duì)檢測(cè)數(shù)據(jù)進(jìn)行評(píng)估，判斷是否存在入侵 行為模式專家系統(tǒng)的優(yōu)點(diǎn)在于把系統(tǒng)的推理控制過(guò)程和問(wèn)題的最終解答相分離，即用戶不需要理解或干擾專家系統(tǒng)內(nèi)部的推理過(guò)程，而只須把專家系統(tǒng)看作是一個(gè)自治的黑盒子。 (2)狀態(tài)轉(zhuǎn)換分析系統(tǒng) 狀態(tài)轉(zhuǎn)換分析系統(tǒng)主要是把攻擊行為描述成系統(tǒng)一系列狀態(tài)的轉(zhuǎn)化，通過(guò)對(duì)系統(tǒng)狀態(tài)的監(jiān)視找出攻擊。對(duì)商業(yè)化的誤用檢測(cè)工具進(jìn)行優(yōu)化，通用的方法是定義一種檢測(cè)引擎可以識(shí)別的語(yǔ)言，用于對(duì)入侵行為的特征進(jìn)行描述，比較著名的基于語(yǔ)言 /應(yīng)用程序接口的方法有 RUSSEL語(yǔ)言、 STALKER 系統(tǒng)和 NCode 包過(guò)濾語(yǔ)言。比較典型的系統(tǒng)由 Snort 和 Bro。這樣，若能檢測(cè)所有的異常行為，則就能檢測(cè)所有的入侵行為。 異常入侵檢測(cè)方法依賴于異常模型的建立，不同模型就構(gòu)成不同的檢測(cè)方法。檢測(cè)系統(tǒng)需維護(hù)一個(gè)表示用戶行為模式的統(tǒng)計(jì)知識(shí)庫(kù)，每個(gè)模式采用一系列的度量向量表示；系統(tǒng)采用統(tǒng)計(jì)學(xué)原理計(jì)算正常行為向量和異常行為門限值，檢測(cè)時(shí)計(jì)算用戶行為并計(jì)算與門限值的偏差，根據(jù)計(jì)算結(jié)果判斷異常與否。所建立的模式被定期地更新，可以及時(shí)地反映出用戶行為隨時(shí)間推移而產(chǎn)生的變化。 數(shù)據(jù)挖掘方法能夠?qū)Π踩珜徲?jì)數(shù)據(jù)進(jìn)行全面、高速和準(zhǔn)確地分析，從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息，抽象出有利于進(jìn)行判斷和比較的特征模型，這種特征模型可以是基于誤用檢測(cè)的特征向量模型，也可以是基于異常檢測(cè)的行為描述模型。 人工神經(jīng)網(wǎng)絡(luò)方法對(duì)異常檢測(cè)來(lái)說(shuō)具有很多優(yōu)勢(shì)，論文 [2329]提出了一些基于人工神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法?；趦?nèi)核的檢測(cè)技術(shù)成為入侵檢測(cè)領(lǐng) 域中新的研究方向，該技術(shù)從操作系統(tǒng)內(nèi)核收集數(shù)據(jù)，作為檢測(cè)入侵或異常行為的根據(jù)。 Agent 可以看做是在網(wǎng)絡(luò)中執(zhí)行某項(xiàng)特定監(jiān)視任務(wù)的軟件實(shí)體，通常以 自治的方式在目標(biāo)主機(jī)上運(yùn)行，本身只受操作系統(tǒng)的控制。 AAFID 系統(tǒng)結(jié)構(gòu)的擴(kuò)展非常方便，多個(gè) Agent 可以被分配成一個(gè) Agent 組，每個(gè) Agent 執(zhí)行各自簡(jiǎn)單的功能，并最終融合成復(fù)雜的 Agent 組的檢測(cè)結(jié)果。生物免疫系統(tǒng)使用氨基酸、蛋白質(zhì)碎片來(lái)完成“自我”的分辨任務(wù)，計(jì)算機(jī)系統(tǒng)的某些屬性也可以充當(dāng)這種角色。在這一模型中，訪問(wèn)模式分為“自我”和“非我”，類似于生物免疫，計(jì)算機(jī)免疫系統(tǒng)可以識(shí)別出“自我”和“非我”。從基因算法的角度，入侵檢測(cè)的過(guò)程可以抽象為：為審計(jì)事件記錄定義一種向量表示形式，這種向量或者對(duì)應(yīng)于攻擊行為，或者代表正常行為。 Hi 為 1 說(shuō)明發(fā)生了特定類型的攻擊， Hi為 0 則表示沒(méi)有這種類型的攻擊。在學(xué)習(xí) 階段，模型通過(guò)一組屬性給定的特征構(gòu)建出一個(gè)“正常”屬性的輪廓（通過(guò)屬性的長(zhǎng)度等），并為檢測(cè)屬性設(shè)定一個(gè)動(dòng)態(tài)監(jiān)測(cè)的閥值。本章之后的部分簡(jiǎn)要描述異常檢測(cè)組件使用模型的實(shí)現(xiàn)。 字符分布（ Character Distribution） 字符分布模型（ Character Distribution Model）的依據(jù)正常的屬性值一般有一個(gè)較為規(guī)則的字符 分 布 ， 而 且 這 些 字 符 通 常 是 人 可 讀 的 可 打 印 字 符 （ 例如： ”/?username=aaaamp。 在學(xué)習(xí)階段，一個(gè)屬性的理想化的字符分布會(huì)通過(guò)輸入樣本而被計(jì)算出來(lái)，而后所有字符屬性的的平均值將被計(jì)算出來(lái)。例如，一個(gè)合法的路徑一般只有字母數(shù)字和路徑分隔符組成 (. | / | [azAZ09] )。算法首先創(chuàng)建一個(gè)非確定的有限自動(dòng)機(jī)（ NFA），它反映原始的輸入數(shù)據(jù)，然后逐漸的合并狀態(tài)，直到產(chǎn)生一個(gè)能反映原始輸入的合理的規(guī)則表 達(dá)式。 在學(xué)習(xí)階段，每個(gè)屬性的唯一值被記錄在這個(gè)集合中，如果，這個(gè)集合的大小可以增長(zhǎng)到所有觀測(cè)屬性的總數(shù)（集合中每個(gè)記錄都不重復(fù)），那屬性的期望值是一個(gè)隨機(jī)值，否則，模型假設(shè)屬性的期望值是一個(gè)枚舉值。 屬性長(zhǎng)度模型 屬性長(zhǎng)度模型在學(xué)習(xí)階段存儲(chǔ)屬性大概的長(zhǎng)度分布，這個(gè)屬性長(zhǎng)度分布以樣本屬性的平均值 mean和方差的 σ 2的形式被給出，在檢測(cè)階段根據(jù)下面的公式進(jìn)行計(jì)算： cdi stob sv dl ?? |)(| 22?? 如果公式計(jì)算的結(jié)果小于給出的閥值 dcdist，則說(shuō)明觀測(cè)屬性的長(zhǎng)度偏離正常情況，他很可能是一個(gè)異常的屬性，如果公式計(jì)算的結(jié)果大于給出的閥值 dcdist，則說(shuō)明該檢測(cè)屬性是正常屬性。根據(jù)每個(gè)字符出現(xiàn)的的頻率值構(gòu)建一個(gè)字符分布向量，一般的形式為： C={(c1, f1) , (c2, f2) , . . . , (cm, fm)} 其中 ci是 出現(xiàn)頻率為第 i位的字符值， fi是這個(gè)字符出現(xiàn)的頻率。 如果被檢測(cè)的屬性的字符分布呈現(xiàn)呈現(xiàn)一種同一的分布，這時(shí)檢測(cè)變成檢查被檢測(cè)屬性的字符分布是否 是一個(gè)隨機(jī)分布，主要實(shí)現(xiàn)方法是計(jì)算在向量 Cobsv和 Corig中任何兩個(gè)值對(duì)的頻率差的最大值。 在檢測(cè)階段，如果一個(gè)被檢測(cè)的屬性被結(jié)構(gòu)推論模型確定為異常 ，概括過(guò)程提取異常字符串的前綴和違反概括語(yǔ)法的第一個(gè)字符，用于預(yù)防其他的網(wǎng)絡(luò)攻擊。 然后，可以檢測(cè)轉(zhuǎn)換后目標(biāo)屬性值 (sobsv)與轉(zhuǎn)化后的異常屬性字符串 (sorig)的相似性，具體做法是比較這兩個(gè)格式化的屬性值是否相等，即： 對(duì)于每個(gè) 0≤ i≤ m，其中， m=| sorig | 判斷 sobsv,i = sorig,i 是否成立，如果成立，則說(shuō)明目標(biāo)屬性值有著異常字符串的特征，這個(gè)目標(biāo)屬性是一個(gè)異常屬性。 ”字符執(zhí)行的攻擊將被分類器簡(jiǎn)單的劃為異常行為。 在檢測(cè)期間，用輸入的屬性值在學(xué)習(xí)期間返回的令牌集中進(jìn)行查找，如果找到匹配的令牌，則模型返回 1，否則 模型返回 0。 核心類及相應(yīng)的函數(shù) 數(shù)據(jù)格式轉(zhuǎn)換模塊： 屬性長(zhǎng)度數(shù)據(jù)轉(zhuǎn)換模塊類： StringProider 異常提示信息 檢測(cè)模塊 異常數(shù)據(jù)文件 訓(xùn)練模塊 訓(xùn)練數(shù)據(jù)文件 訓(xùn)練數(shù)據(jù)格式轉(zhuǎn)換 檢測(cè) 數(shù)據(jù)文件 檢測(cè) 數(shù)據(jù)格式轉(zhuǎn)換 讀取訓(xùn)練數(shù)據(jù) 輸入訓(xùn)練模塊 讀取檢測(cè) 數(shù)據(jù) 輸入檢測(cè) 模塊 訓(xùn)練結(jié)果 異常信 息 異常信息 核心算法 令牌數(shù)據(jù)轉(zhuǎn)換模塊類： Tokenproider GetItem()用于獲得日志數(shù)據(jù)，并進(jìn)行編碼 Value()用于返回當(dāng)前日志數(shù)據(jù) 訓(xùn)練和檢測(cè)模塊： 屬性長(zhǎng)度模型類： StringLengthModel 令牌發(fā)現(xiàn)模型類： TokenFinder switch_mode(ModelMode m