【正文】 算法的優(yōu)缺點(diǎn)提出自己改進(jìn)的算法，并對(duì)此算法 進(jìn)行分析，可以說這種算法是有監(jiān)督和無監(jiān)督方法的結(jié)合，是 Kmeans算法和迭代最優(yōu)化算法的折中，是一種較理想的算法。在計(jì)算機(jī)上處理業(yè)務(wù)已由 基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。 ● Ernst 和 Young 報(bào)告，由于信息安全被竊或?yàn)E用，幾乎 80%的大型企業(yè)遭受損失。遇襲的網(wǎng)站包括雅虎、亞馬遜和 、 、網(wǎng)上拍賣行 eBay 以及新聞網(wǎng)站 ，估計(jì)這些襲擊把Inter 交通拖慢了百分二十。 1996 年，高能所再次遭到 黑客 入侵，私自在高能所主機(jī)上建立了幾十個(gè)帳戶，經(jīng)追蹤發(fā)現(xiàn)是國內(nèi)某撥號(hào)上網(wǎng)的用戶。進(jìn)入新世紀(jì)之后，上述損失將達(dá) 2021 億美元以上。它具有簡單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。它所提供的服務(wù)方式是要么都拒絕，要么都通過 ,不能檢查出經(jīng)過他的合法流量中是否包含著惡意的入侵代碼，這是遠(yuǎn)遠(yuǎn)不能滿足用戶復(fù)雜的應(yīng)用要求的。 網(wǎng)絡(luò)入侵檢測(cè)的研究史 審計(jì)是最早引入計(jì)算機(jī)安全領(lǐng)域的概念 ，像存取文件、變更他們的內(nèi)容或分類等的活動(dòng)都記錄在審計(jì)數(shù)據(jù)中，安全管理員、系統(tǒng)操作員和維護(hù)人員和普通用戶一樣都要經(jīng)過行為審核。 1980 年，安德森提出了另外一項(xiàng)報(bào)告，這次是針對(duì)一個(gè)空軍客戶，后者使用大型計(jì)算機(jī)處理大量的機(jī)密數(shù) 據(jù)。安德森的報(bào)告為SRI（ Stanford Research Institute）和 TRW（美國著名的數(shù)據(jù)安全公司）的早期工作提供了藍(lán)圖。 中期：以統(tǒng)計(jì)學(xué)理論與專家系統(tǒng)相結(jié)合 統(tǒng)計(jì)方法：是一種較成熟的入侵檢測(cè)方法，它使得入侵檢測(cè)系統(tǒng)能夠?qū)W習(xí)主體日常駐機(jī)構(gòu)行為，將那些與正常活動(dòng)之間存在較大統(tǒng)計(jì)偏差的活動(dòng)標(biāo)志為異?；顒?dòng)。缺點(diǎn)：使用專家系統(tǒng)來表示一系列規(guī)則不太直觀，規(guī)則更新必須要專家完成。它通常利用一個(gè)工作在混雜模式下的網(wǎng)卡來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流，其分析模塊通常使用模式匹配、統(tǒng)計(jì)分析等技術(shù)來識(shí)別攻擊行為。大部分 NIDS 的處理能力還是 100 兆級(jí)的，部分 NIDS 已經(jīng)達(dá)到 1000 兆級(jí)。 1997 年， CISCO 要求 WheelGroup 公司將入侵檢測(cè)技術(shù)與他的路由器結(jié)合。他對(duì)入侵行為具有廣泛的反應(yīng)能力包括斷開連接、發(fā)送 SNMP 信息、 Email 提醒、運(yùn)行客戶程序記錄會(huì)話內(nèi)容等，并能根據(jù)檢測(cè)技術(shù)自動(dòng)產(chǎn)生審計(jì)策略。 3 入侵檢測(cè)技術(shù)原理 入侵檢測(cè)技術(shù)（ Intrusion Detection）的定義為：識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為，并對(duì)此做出反應(yīng)的過程。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲南的跡象。更為重要的一點(diǎn)是它應(yīng)該管理、配置簡單，從而使非專業(yè)人 員非常容易地獲得網(wǎng)絡(luò)安全。只有掌握了充足的證據(jù)，才能順得破案。因此，我們可以通過檢測(cè)技術(shù)網(wǎng)絡(luò)中的報(bào)文，為了監(jiān)視其他機(jī)器的報(bào)文，需要把網(wǎng)卡設(shè)置為混雜模式。同時(shí)，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)模塊得到的只是網(wǎng)絡(luò)報(bào)文，獲得的信息沒有主機(jī)入侵檢測(cè)技術(shù)模塊全面，所檢測(cè)技術(shù)的結(jié)果也沒有主機(jī) 入侵檢測(cè)技術(shù)模塊準(zhǔn)確。它是在受保護(hù)的機(jī)器上安裝了主機(jī)入侵檢測(cè)技術(shù)模塊，專門收集受保護(hù)機(jī)器上的信息。由于一個(gè)網(wǎng)絡(luò)中有多 種不同的操作系統(tǒng)，很難保證每個(gè)操作系統(tǒng)都有對(duì)應(yīng)的主機(jī)入侵檢測(cè)技術(shù)模塊，而一個(gè)主現(xiàn)信侵檢測(cè)技術(shù)模塊只能保護(hù)本機(jī)，所以在使用上有很大的局限性。 信息來源的四個(gè)方面 就信息收集來說，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。黑客對(duì)系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來跟正常的一樣，而實(shí)際上不是。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人下在入侵或已成 功入侵了系統(tǒng)。 （ 2）目錄和文件中的不期望的改變 網(wǎng)絡(luò)不幸中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來實(shí)現(xiàn)。 一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。依此，黑客就可以知 道網(wǎng)上的由用戶加上支離的不安全（未授權(quán)）設(shè)備，然后自用這些設(shè)備訪問網(wǎng)絡(luò)。 IDS 獲得信息后，與知識(shí)庫中的安全策略進(jìn)行比較，進(jìn)而發(fā)現(xiàn)違反規(guī)定的安全策略的行為。簡單的實(shí)現(xiàn)方法是把攻擊特征和報(bào)文的數(shù)據(jù)進(jìn)行了字符串比較，發(fā)現(xiàn)匹配即報(bào)警。雖然它們都能監(jiān)視網(wǎng)絡(luò)行為，但是 IDS增加了記錄攻擊牲的知識(shí)庫，所以比風(fēng)上行為管理軟件提高了一個(gè)層次。 模式匹配 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。它與病毒防火墻采用 的方法一樣，檢測(cè)技術(shù)準(zhǔn)確率和效率都相當(dāng)高。例如，統(tǒng)計(jì)分析可能標(biāo)識(shí)一個(gè)不正常行為，因?yàn)樗l(fā)現(xiàn)一個(gè)在晚八點(diǎn)至早六點(diǎn)不登錄的帳肩戶卻在凌晨 兩點(diǎn)試圖登錄。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如 MD5），它能識(shí)別哪怕是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn) 。 監(jiān)督并分析用戶和系統(tǒng)的活動(dòng) 對(duì)反常行不模式的統(tǒng)計(jì)分析 識(shí)別并報(bào)告數(shù)據(jù)文件的改動(dòng) 允許非專家人員從事系統(tǒng)安全工作 但 現(xiàn)狀是入侵檢測(cè)技術(shù)僅僅停留在研究和實(shí)驗(yàn)樣品（缺乏升級(jí)和服務(wù)）階段，或者是防火墻中集成較為初級(jí)的入侵檢測(cè)技術(shù)模塊。一方面入侵檢測(cè)技術(shù) 系統(tǒng)需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù)，而另一方面由于入侵行為的千變?nèi)f化而導(dǎo)致判定入侵的規(guī)則越來越復(fù)雜，為了保證入侵檢測(cè)技術(shù)的效率和滿足實(shí)時(shí)性的要求，入侵分析必須在系統(tǒng)的性能和檢測(cè)技術(shù)能力之間進(jìn)行權(quán)衡，合理地設(shè)計(jì)分析策略，并且可能要犧牲一部分檢測(cè)技術(shù)能力來保證系統(tǒng)可靠、穩(wěn)定地運(yùn)行并具有較快的響應(yīng)速度。這樣以來，一個(gè)入侵行為能不能被檢測(cè)技術(shù)出來主要就看該入侵行為的過程或其關(guān)鍵特征能不能映射到基于網(wǎng)絡(luò)報(bào)文的匹配模式序列上去。 入侵分析按其檢測(cè)技術(shù)規(guī)則分類 基于特征的檢測(cè)技術(shù)規(guī)則 這種分析規(guī)則認(rèn)為入侵行為是可以用特征代碼來標(biāo)識(shí)的。例如，系統(tǒng)可以認(rèn)為一次密碼嘗試失敗并不算是入侵行為，因?yàn)榈拇_可能是合法用戶輸入失誤，但是如果在一分鐘內(nèi)有 8 次以 上同樣的操作就不可能完全是輸入失誤了，而可以認(rèn)定是入侵行為。下面是幾個(gè)不同的方向。 (3) 多元模型 :操作模型的擴(kuò)展 ,通過同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)技術(shù)。統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以 學(xué)習(xí) 用戶的使用習(xí)慣 ,從而具有較高檢出率與可用性。 基于專家系統(tǒng)的入侵檢測(cè)技術(shù)方法 基于專家系統(tǒng)的入侵檢測(cè)技術(shù)方法與 運(yùn)用統(tǒng)計(jì)方法與神經(jīng)網(wǎng)絡(luò)對(duì)入侵進(jìn)行檢測(cè)技術(shù)的方法不同 ,用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)技術(shù) ,經(jīng)常是針對(duì)有特征的入侵行為。特征入侵的特征抽取與表達(dá) ,是入侵檢測(cè)技術(shù)專家系統(tǒng)的關(guān)鍵。 由于專家系統(tǒng)的不可移植性與規(guī)則的不完備性。高速網(wǎng)絡(luò) ,尤其是交換技術(shù)的發(fā)展以及通過加密信道的數(shù)據(jù)通信 ,使得通過共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足 ,而大量的通信量對(duì)數(shù)據(jù)分析也提出了新的要求。 CIDF 以構(gòu)建通用的 IDS 體系結(jié)構(gòu)與通信系統(tǒng)為目標(biāo) ,GrIDS 跟蹤與分析分布系統(tǒng)入侵 ,EMERALD 實(shí)現(xiàn)在大規(guī)模的網(wǎng)絡(luò)與 復(fù)雜環(huán)境中的入侵檢測(cè)技術(shù)。 智能的入侵檢測(cè)技術(shù) 入侵方法越來越多樣化與綜合化 ,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)技術(shù)領(lǐng)域應(yīng)用研究 ,但是這只是一些嘗試性的研究工作 ,需 要對(duì)智能化的 IDS 加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。 7 建立數(shù)據(jù) 分析模型 在前面的文章介紹入侵檢測(cè)技術(shù)系統(tǒng)時(shí)，我們了解到在進(jìn)行入侵檢測(cè)技術(shù)的研究中，信息收集是第一步要做的工作，入侵檢測(cè)技術(shù)工作的順利很大程度上依賴于收集信息的可靠性和正確性。 測(cè)試數(shù)據(jù)的結(jié)構(gòu) 我們將從其測(cè)試數(shù)據(jù)集中抽出一條數(shù)據(jù)信息進(jìn)行分析。39。 0 otherwise discrete 離散型 13 num_promised 警戒數(shù) number of ``promised39。39。 accesses 接受的 root 訪問數(shù) continuous 17 num_file_creations Number of file creation operations 建立文件操作數(shù) continuous 18 num_shells Number of shell prompts “ shell”提示數(shù) continuous 19 num_access_files number of operations on access control files 對(duì)訪問控制文件的操作數(shù) continuous 20 num_outbound_cmds number of outbound mands in an ftp continuous session 在 FTP 會(huì)話中對(duì)外開放命令數(shù) 21 is_hot_login 1 if the login belongs to the ``hot39。39。 errors 有序列號(hào)錯(cuò)誤連接的百分率 continuous 26 srv_serror_rate % of connections that have ``SYN39。 errors 有“ REJ”錯(cuò)誤連接的百分率 continuous 28 srv_rerror_rate % of connections that have ``REJ39。 攻擊（ Attacks） Attacks 可以理解為試圖滲透系統(tǒng)或繞過系統(tǒng)的安全策略，以獲取信息、修改信息以及破壞目標(biāo)網(wǎng)絡(luò)或系統(tǒng)功能的行為。目前主要是通過兩種途徑來獲取信息，一種是通 過網(wǎng)絡(luò)偵聽的途徑（如 Sniffer， Vpacket 等程序）來獲取所有的網(wǎng)絡(luò)信息（數(shù)據(jù)包信息，網(wǎng)絡(luò)流量信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)管理信息等），這既是黑客進(jìn)行攻擊的必然途徑，也是進(jìn)行反攻擊的必要途徑；另一種是通過對(duì)操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析，來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。 （ 2）非授權(quán)訪問嘗試：是攻擊者對(duì)被保護(hù)文件進(jìn)行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護(hù)訪問權(quán)限所做的嘗試。 （ 6）系統(tǒng)代理攻擊：這種攻擊通常是針對(duì)單個(gè)主機(jī)發(fā)起的，而并非整個(gè)網(wǎng)絡(luò)，通過 RealSecure系統(tǒng)代理可以對(duì)它們進(jìn)行監(jiān)視。其攻擊特征是：用于 Land 攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的，因?yàn)楫?dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時(shí)，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從 而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。 Teardrop 攻擊也是一種拒絕服務(wù)攻擊。 smurf dos 是一種簡單但有效的拒絕服務(wù)攻擊技術(shù)，它利用了 ICMP（ Inter 控制信息協(xié)議）。 Smurf 是用一個(gè)偷來的帳號(hào)安裝到一個(gè)計(jì)算機(jī)上的，然后用一個(gè)偽造的源地址連續(xù) ping 一個(gè)或多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，這就導(dǎo)致所有計(jì)算機(jī)所響應(yīng)的那個(gè)計(jì)算機(jī)并不是實(shí)際發(fā)送這個(gè)信息包的那個(gè)計(jì)算機(jī)。為防止被攻擊，在防火墻上設(shè)置規(guī)則，丟棄掉 ICMP 包。通常使用一些軟件，向大范圍的主機(jī)連接一系列的 TCP 端口，掃描軟件報(bào)告它成功的建立了連接的主機(jī)所開的端口。預(yù)防這種攻擊的方法：在防火墻上過濾掉 ICMP 應(yīng)答消息。預(yù)防這種攻擊的方法：許多防火墻能檢測(cè)技術(shù)到是否被掃描，并自動(dòng)阻斷掃描企圖。盡管一個(gè)包的長度不能超過 65536 字節(jié)，但是一個(gè)包分成的多個(gè)片段的疊加卻能做到。此外，對(duì)防火墻進(jìn)行配置，阻斷 ICMP 以及任何未知協(xié)議，都講防止此類攻擊。預(yù)防這種攻擊的方法：在防火墻上過濾來自同一主機(jī)的后續(xù)連接。 預(yù)防這種攻擊的方法：關(guān)掉不必要的 TCP/IP 服務(wù)，或者對(duì)防火墻進(jìn)行配置阻斷來自 Inter 的請(qǐng)求這些服務(wù)的 UDP 請(qǐng)求。因?yàn)檫@些數(shù)據(jù)并不是目的主機(jī)所需要的，所以會(huì)導(dǎo)致目的主機(jī)的死機(jī)。 結(jié)論 本論文可以分為兩個(gè)部分，第一部分從入侵檢測(cè)技術(shù)的提出入手，描述了入侵檢測(cè)技術(shù)的研究史，然后詳細(xì)描述了檢測(cè)技術(shù)原理，列舉了功能概要，具體介紹了入侵檢測(cè)技術(shù)技術(shù)分析過程，最后指出入侵檢測(cè)技術(shù)發(fā)展方向。 在做畢業(yè)設(shè)計(jì)的過程中，在老師的指導(dǎo)下，同學(xué)之間共同學(xué)習(xí)，克服了一個(gè)個(gè)困難，這段時(shí)間的學(xué)習(xí)使我對(duì)入侵檢測(cè)技術(shù)和模式識(shí)別等課程產(chǎn)生了濃厚