【正文】 庫中數(shù)據(jù)項(xiàng)的特征屬性并生成分類模型的方法，可以用來提取入侵特征，在此基礎(chǔ)上建立檢測模型實(shí)現(xiàn)入侵檢測。生物免疫學(xué)與計(jì)算機(jī)科學(xué)的交叉滲透非常有益，通過研究和借鑒生物免疫系統(tǒng)的運(yùn)行機(jī)制有助于設(shè)計(jì)更安全的計(jì)算機(jī)系統(tǒng)。 基于支持向量機(jī)的檢測技術(shù) 支持向量機(jī) (Support Vector Machine， SVM)是一種建立在統(tǒng)計(jì)學(xué)習(xí)理論( Statistical Learning Theory， SLT)基礎(chǔ)上的學(xué)習(xí)方法。如繞鮮等提出了基于支持向量機(jī)的入侵檢測模型，并以系統(tǒng)調(diào)用執(zhí)行跡為例，討論了建立檢測模型的過程。 入侵檢測系統(tǒng)結(jié)構(gòu) 分析 隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和規(guī)模的日益增大，入侵檢測面臨著許多新的問題 ： (1)系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中各個(gè)主機(jī)上，這些弱點(diǎn)有可能被入侵者一起用來攻擊網(wǎng)絡(luò)，而依靠唯一的主機(jī)或網(wǎng)絡(luò) IDS 不能發(fā)現(xiàn)入侵行為 ； (2)入侵行為不再是單一的行為，而是表 現(xiàn)出相互協(xié)作入侵特點(diǎn)。 集中式 IDS 集中式協(xié)同檢測僅僅將其數(shù)據(jù)收集組件分布到網(wǎng)絡(luò)中，而數(shù)據(jù)處理任務(wù)仍然由一個(gè)或固定的幾個(gè)組件承擔(dān)。 DIDS 由主機(jī)代理 (Host Agent)， LAN 代理 (LAN Agent)和管理器 (DIDS Director)三大部分組成。主機(jī)代理并不是安裝在 LAN 中所有的主機(jī)上，而是按照特定的安全需求做出決定。 (2)數(shù)據(jù)處理組件需要處理眾多數(shù)據(jù)收集組件發(fā)送來的數(shù)據(jù)，因此要求有高性能的處理能力和很高的網(wǎng)絡(luò)吞吐能力。如圖： 圖 2 等級式 IDS 結(jié)構(gòu)示意圖 AAFID 結(jié)構(gòu)中有三個(gè)部件 ： 代理 (agents)、收發(fā)器 (transceivers)和監(jiān)控器 (monitors)，代理是獨(dú)立運(yùn)行的檢測主機(jī)的實(shí)體，收發(fā)器布置在每個(gè)被監(jiān)控的主機(jī)上，監(jiān)控器是高層的控制和處理實(shí)體。 EMERALD 將所監(jiān)測的網(wǎng)絡(luò)分成三個(gè)層級 ： 服務(wù) (service analysis)、域(domainwide analysis)和企業(yè) (enterprisewide analysis)，每層有相應(yīng)的服務(wù)監(jiān)控器 (servicemonitors)執(zhí)行分析功能。 SHOMAR 支持任意兩個(gè)實(shí)體的通信，而無需考慮他們在分層中的位置，因而它結(jié)合了對等和分層的有點(diǎn)，具有很強(qiáng)的靈活性。 SHOMAR 是一種更為靈活的分層結(jié)構(gòu)。收發(fā)器接收和處理代理發(fā)送來的報(bào)告，監(jiān)控器接收和處理它所控制的收發(fā)器發(fā)來的簡化過的信息。數(shù)據(jù)處理組件劃分為多個(gè)級別，低沉組件從數(shù)據(jù)收集組件獲得原始數(shù)據(jù)，經(jīng)過提煉、精減后提交給更高層的數(shù)據(jù)處理組件。 集中式協(xié)同檢測系統(tǒng)具有明顯的缺陷 ： (1)數(shù)據(jù)處理組件是集中式協(xié)同檢測系統(tǒng)中最為重要的組件，一旦失效，那么整個(gè)入侵檢測系統(tǒng)也隨之癱瘓。同樣， LAN 代理 檢測局域網(wǎng)的安全，依據(jù)搜集到的網(wǎng)絡(luò)數(shù)據(jù)包信息產(chǎn)生局域網(wǎng)安全事件，也把這些局域網(wǎng)安全事件傳給管理器。在分布式入侵檢測系統(tǒng)中，不僅數(shù)據(jù)收集組件是分布的，數(shù)據(jù)處理組件數(shù)量 也應(yīng)與網(wǎng)絡(luò)中被檢測主機(jī)的數(shù)量成正比。 分布式入侵檢測系統(tǒng)因此應(yīng)運(yùn)而生。 . Sun 等利用支持向量機(jī)和神經(jīng)網(wǎng)絡(luò)做了入侵檢測特征屬性對分類準(zhǔn)確率影 響的排序和精選工作。支持向量機(jī)的基本思想是首先通過某種非線性映射將輸入空間變換到一個(gè)高維空間，然后在這個(gè)高維空間中構(gòu)造最優(yōu)分類面。 基于人工免疫的檢測技術(shù)通過結(jié)合生物免疫系統(tǒng)的思想，模擬生物免疫學(xué)中的基因庫更新、否定選擇和克隆選擇等抗體生成過程建立入侵檢測分類模型，將正常和異常的網(wǎng)絡(luò)行為區(qū)分為自我和非我，從而達(dá)到判別入侵的目的。同時(shí)，對末知攻擊的檢測也不夠理想。關(guān)聯(lián)分析所提取的關(guān)聯(lián)規(guī)則是形如 XY? 的一種數(shù)據(jù)隱含規(guī)則，一般可以用置信度、支持度、期望置信度和作用度四個(gè)參數(shù)來描述個(gè)關(guān)聯(lián)規(guī)則的屬性。 基于遺傳算法的入侵檢測技術(shù)的問題在于 ： 交叉、變異和選擇算子的設(shè)計(jì)目前主要依靠經(jīng)驗(yàn)和實(shí)驗(yàn)的方法選取，若選擇不合理，則會產(chǎn)生過早收斂的問題。 將遺傳算法應(yīng)用于入侵檢測，主要是將遺傳算法用于攻擊規(guī)則的生成和入侵特征的提取。然而也存在一些問題，比如通常神經(jīng)網(wǎng)絡(luò)的訓(xùn)練時(shí)間長，容易陷入局部極小點(diǎn)，同時(shí)神經(jīng)網(wǎng)絡(luò)不能為建立的 檢測模型提供合理的解釋或說明信息。 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)的研究主 要集中在入侵特征的選擇以及檢測模型的建立上。同時(shí)在實(shí)際環(huán)境中，各個(gè)特征之間是相互影響的，因此為了檢測的準(zhǔn)確性，必須要考慮到特征之間的相關(guān)性。 I 表示系統(tǒng)受到攻擊， I? 表示系統(tǒng)未受到攻擊。如果入侵者知道自己的入侵行為被這樣的異常檢測器監(jiān)視，那么他就可以誘導(dǎo)這個(gè)系統(tǒng)，使得那些大部分依靠行為統(tǒng)計(jì)測量的入侵檢測系統(tǒng)方法對監(jiān)視的特定的事件模式失效； 3)難以確定異常閥值，閥值設(shè)置偏低或高均會導(dǎo)致誤警事件 。另 外， 也可 以使用 各指 標(biāo)閥 值的 帶權(quán)平 方和2 2 21 1 2 2 nna S a S a S? ? ?( 0ia? ，其中 ia 為 iS 的權(quán)值 )作為比較標(biāo)準(zhǔn)。每一個(gè)活動特征保存記錄主體當(dāng)前行為，并定時(shí)地將當(dāng)前的活動特征與存儲的活動特征合并。目前應(yīng)用于基于異常的入侵檢測方式主要有 ： 統(tǒng)計(jì)方法、貝葉斯推理、神經(jīng)網(wǎng)絡(luò) 、遺傳算法 、 數(shù)據(jù)挖掘、 免疫學(xué)、支持向量機(jī)等。然而，增加了創(chuàng)建每一種入侵檢測模型的開銷是這種方法的缺點(diǎn)。同時(shí)系統(tǒng)中嵌入證據(jù)推理分析功能，這樣就允許更新活動模型列表中的攻擊場景出現(xiàn)的概率，根據(jù)攻擊場景概率的大小進(jìn)行推斷檢測入侵。入侵檢測系統(tǒng)根據(jù)當(dāng)前的活動模型，預(yù)警器產(chǎn)生下一步行為，用來在審計(jì)跟蹤時(shí)作驗(yàn)證使用。 基于模型 推理 誤用的檢測技術(shù) 基于模型 推理 誤用入侵檢測方法是通過建立誤用證據(jù)模型，根據(jù)證據(jù)推理來作出誤用發(fā) 生判斷結(jié)論。如果到達(dá)危險(xiǎn)狀態(tài)，表示當(dāng)前可能正在發(fā)生入侵事件。 令 ES (Event Sequence)表示事件序列，事件出現(xiàn)的概率為 P(ES)，先驗(yàn)概率為 P(I) ，后驗(yàn)概率為 P(ES | I)，則有 ()( | ) ( | ) ()PIP I E S P E S I P E S? () 通常網(wǎng)絡(luò)安全專家可以給出先驗(yàn)概率 P(I)，對入侵報(bào)告數(shù)據(jù)進(jìn)行統(tǒng)計(jì)處理得出 ( | )PES I 和 ( | )P ES I? ， 于是可以計(jì)算出 ： ( ) ( ( ( | ) ( | ) ) ( ) ( | )P ES P ES I P ES I P I P ES I? ? ? ? ? ? () 故可以通過事件序列的觀測，從而推算出 ( | )PI ES 。同時(shí)規(guī)則庫的建立與維護(hù)代價(jià)高，且容易出現(xiàn)冗余、矛盾、蘊(yùn)含等問題。專家的經(jīng)驗(yàn)知識從邏輯上可以表示為產(chǎn)生式規(guī)則、層次樹和狀態(tài)轉(zhuǎn)移圖等形式。 學(xué)習(xí)能力是指入侵檢測技術(shù)能夠從實(shí)際應(yīng)用中學(xué)習(xí)到新模式的能力，從而能夠自適應(yīng)地對檢測模型進(jìn)行更新和調(diào)整，適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。 前 面三個(gè)指標(biāo)都是從檢測的正確性方面衡量入侵檢測技術(shù)的優(yōu)劣，而檢測時(shí)延則是從入侵檢測技術(shù)的檢測效率方面衡量檢測技術(shù)的優(yōu)劣。 分類正確率是指被正確分類的測試樣本個(gè)數(shù)與全體測試樣本個(gè)數(shù)的比值 ： ? 被 正 確 分 類 的 測 試 樣 本 個(gè) 數(shù)分 類 正 確 率 全 體 測 試 樣 本 個(gè) 數(shù) () 這是一個(gè)評價(jià)入侵檢測技術(shù)對于正常樣本和攻擊樣本區(qū)分能力的總體評價(jià)指標(biāo)，從一定程度上反應(yīng)了入侵檢測技術(shù)的總體檢測能力，我們期望分類正確率越高越好。但是這種技術(shù)普遍存在誤報(bào)率高的缺點(diǎn)。 異常檢測 (Anomaly Detection)的概念在 James Anderson 早期的文章中就有體現(xiàn) ， 他提出可以根據(jù)用戶行為的一些統(tǒng)計(jì)信息來判定系統(tǒng)的不正常使用模式，從而發(fā)現(xiàn)“偽裝者”，這正是異常檢測的基本思想。誤用檢測判斷入侵的典型過程是根據(jù)已知的攻擊建立檢測模型，將待檢測數(shù)據(jù)與模型進(jìn)行比較，如果能夠匹配上檢測模型，待檢測數(shù)據(jù)將被認(rèn)為是攻擊。同年提出的基于圖的入侵檢測系統(tǒng) (Graph base Intrusion Detection System， GrIDS) 則是考慮到入侵檢測系統(tǒng)擴(kuò)展性不強(qiáng)的問題，針對大規(guī)模網(wǎng)絡(luò)的協(xié)同攻擊，提出了使用圖對網(wǎng)絡(luò)行為進(jìn)行建模的方法。雖然 DIDS 存在很多不足之處，但它畢竟是對分布式入侵檢測技術(shù)研究的有益嘗試。而且隨著分布式網(wǎng)絡(luò)攻擊的出現(xiàn)，分布式入侵檢測技術(shù)也應(yīng)運(yùn)而生。 1990 年，由 開發(fā)了第一個(gè)網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視器( Network Security Monitor， NSM )，通過在共享網(wǎng)段上對通信數(shù)據(jù)的監(jiān)聽和采集，檢測所有數(shù)據(jù)包的包頭信息，分析可能出現(xiàn)的攻擊現(xiàn)象，從而達(dá)到對整個(gè)網(wǎng)段的入侵檢測和保護(hù)。該系統(tǒng)可以用于檢測主機(jī)系統(tǒng)上發(fā)生的入侵行為，是一個(gè)與系統(tǒng)平臺無關(guān)的專家檢測系統(tǒng)。 1987 年， Dorothy Denning 博士提出了 IDS 的抽象模型，模型主要 由主體( Subjects )、對象 (Objects )、審計(jì)記錄 (Audit Records )、行為輪廓 (Profiles )、異常記錄 (Anomaly Records)及活動規(guī)則 (Activity Rules)組成，這是一個(gè)入侵檢測系統(tǒng)的通用框架。根據(jù)所檢測數(shù)據(jù)的來源不同，入侵檢測技術(shù)經(jīng)歷了基于主機(jī)的入侵檢測技術(shù)、基于網(wǎng)絡(luò)的入侵檢測技術(shù)和分布式入侵檢測技術(shù)三個(gè)發(fā)展時(shí)期。對本文的工作進(jìn)行總結(jié)，并對進(jìn)一步的研究工作進(jìn)行展望。 介紹了異常入侵檢測分類問題，對傳統(tǒng) 的 SVM 分類器作了介紹，針對傳統(tǒng) S VM 分類器存在的主要問題，提出了一種基于超球面邊界樣本點(diǎn)篩選算法的 SVM 分類器 (INNSVM)，比較分析了 INNSVM 分類器與其它 SVM 分類器對入侵檢測的性能。 介紹了誤用入侵檢測模式匹配問題，重點(diǎn)分析介紹了 ACBM多模式匹配算法，提出了一種改進(jìn)的 ACBM算法 IACBM，比較分析了兩種算法入侵檢測的性能。詳細(xì)分析了論文的研究背景、意義及技術(shù)難點(diǎn)，給出了論文的主 要研究工作和創(chuàng)新點(diǎn)。 3)提出了一種基于 啟發(fā)式規(guī)則的 混合入侵檢測系統(tǒng)模型。在異常入侵檢測中 SVM 分類器可用 于對未知入侵進(jìn)行檢測，而 SVM 分類器的構(gòu)造目前主要受到兩個(gè)方面的困擾 ： 一是當(dāng)訓(xùn)練樣本規(guī)模較大時(shí)，分類器的訓(xùn)練時(shí)間過長 ； 二是離群點(diǎn)的存在嚴(yán)重影響分類器的泛化能力。 改進(jìn)后的 ACBM算法具有更好的性能，提高了入侵檢測中模式匹配的速度。如上所述，入侵檢測研究的領(lǐng)域很多，本文對其中若干子課題作了研究，分別是網(wǎng)絡(luò)攻擊模型研究、入侵檢測方法研究以及 IDS 體系結(jié)構(gòu)研究。 CIDF 的規(guī)格文檔主要包括 4 部分 ： 體系結(jié)構(gòu)、 IDS 通信機(jī)制、通用入侵描述語言 ( Common Intrusion Specification Language， CISL )、應(yīng)用編程接口 API?；诜植际街悄艽砑夹g(shù)的實(shí)時(shí)響應(yīng)機(jī)制與入侵檢測系統(tǒng)的體系結(jié)構(gòu)研究休戚相關(guān)，采用的是主體型體 系結(jié)構(gòu)，需要有效設(shè)計(jì)系統(tǒng)中的各個(gè)功能模塊及它們之間的通信協(xié)議。 傳統(tǒng)的響應(yīng)方法是系統(tǒng)自動根據(jù)事先定制的規(guī)則進(jìn)行反應(yīng)，由于新的入侵手段的出現(xiàn)以及規(guī)則庫的相對低智能，這種方法很難實(shí)現(xiàn)準(zhǔn)確無誤的響應(yīng)。 在早期的入侵檢測系統(tǒng)中，都是采取被動響應(yīng)方式。 5)IDS 響應(yīng)機(jī)制研究 IDS 響應(yīng)機(jī)制是入侵檢測的重要功能模塊。而誤用入侵檢測無法識別新的入侵行為，只能識別那些在其規(guī)則庫中存在的入侵行為，具有較高的漏警率，但是卻有很低的誤警率?；旌闲?IDS 中異常檢測器和誤用檢測器之間應(yīng)該是互相約束的。 (2)誤用的 (Misuse)IDS： 誤用檢測也叫基于知識的檢測，是指運(yùn)用已知的攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測入侵。 (1)異常 (Anomaly)IDS： 異常檢測也叫基于行為的檢測，是利用統(tǒng)計(jì)的方法來檢測系統(tǒng)的異常行 為。 近幾年，基于主成分分析 (Principal Component Analysis， PCA)和獨(dú)立成分第一章 緒 論 6 分析 ( Independent Component Analysis， ICA)的特征提取方法成為研究的熱點(diǎn) 。一個(gè)特征應(yīng)該是一個(gè)數(shù)據(jù)獨(dú)有的特性，提取出來的特征應(yīng)該能夠準(zhǔn)確、完整的描述該數(shù)據(jù)或行為，從而為判斷入侵提供依據(jù)。目前，網(wǎng)絡(luò)攻擊圖自動生成的研究主要有兩種方法 ： 基于模型檢測技術(shù)的方法和基于圖論的方法 。 2)網(wǎng)絡(luò)攻擊模型研究 網(wǎng)絡(luò)攻擊模型的建立對于了解網(wǎng)絡(luò)攻擊原理，分析網(wǎng)絡(luò)入侵過程，評估網(wǎng)絡(luò)安全程度有著重要的意義，對于 IDS 的部署有著重要的指導(dǎo) 作用。它用來監(jiān)控大型網(wǎng)絡(luò)，定義了若干個(gè)分等級的監(jiān)控區(qū)，每個(gè) IDS 負(fù)責(zé)一個(gè)區(qū)，每一級 IDS 只負(fù)第一章 緒 論 5 責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級 IDS。審計(jì)程序把當(dāng)?shù)厥占降臄?shù)據(jù)發(fā)送給中央服務(wù)器進(jìn)行分析處理。國內(nèi)在入侵檢測研究方面雖然起步較晚，但發(fā)展很快，目前在公安部取得銷售許可證的安全廠商已有 30 余家，主要的企業(yè)及其產(chǎn)品有 ： 啟明星辰 (VenusTech)的天聞、北方計(jì)算 中心 的 NIDS detector、遠(yuǎn)東科技的黑客煞星、金諾網(wǎng)安的KIDS、綠盟的冰之眼 IDS 等。近年來，以信息安全專家卿斯?jié)h、方濱興、馮登國、李建華、周仲義、陳恭亮、唐正軍為代表的眾多國內(nèi)信息安全研究人員在入侵檢測領(lǐng)域取得了豐碩的研究成果，發(fā)表了大量的文獻(xiàn)和專著 。 ICICS 為國內(nèi)外信息安全學(xué)者與專家齊聚一堂，探討國際信息安全前沿技術(shù)提供了難得的機(jī)會，對促進(jìn)國內(nèi)外的學(xué)術(shù)交流，促進(jìn)我國信息安全學(xué)科的發(fā)展做出了重要的