【正文】 入侵檢測系統(tǒng)又叫異常檢測系統(tǒng)。當(dāng)入侵發(fā)生時，入侵的已知模式(入侵標(biāo)志)被用來確認入侵。當(dāng)其中某個if條件滿足時，系統(tǒng)就判斷為入侵行為發(fā)生。簡單模式匹配的特點是原理簡單、擴展性好、檢測效率高、可以實時檢測，但是漏報率高，而且在性能上存在很大問題。簡單來說就是讓入侵檢測系統(tǒng)能夠讀懂協(xié)議，知道在數(shù)據(jù)包的不同位置所代表內(nèi)容，并且準(zhǔn)確判斷出這些內(nèi)容的真實含義。但是，狀態(tài)轉(zhuǎn)換分析系統(tǒng)是屬于研究性質(zhì)的原型系統(tǒng)，不善于分析過分復(fù)雜的入侵事件，而且不能檢測到與系統(tǒng)狀態(tài)無關(guān)的入侵行為，在實際應(yīng)用時必須與其他檢測器協(xié)同工作。常見的異常檢測技術(shù)可以分為如下三種[22]:（1）概率統(tǒng)計方法統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時等)；測量屬性的平均值和偏差被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何超過正常值(閥值)范圍的觀察值都認為有入侵行為發(fā)生。（3）基于人工免疫的方法此類系統(tǒng)分兩個階段來對入侵進行分析處理。 入侵檢測面臨的問題及其發(fā)展趨勢（1）誤報誤報是入侵檢測系統(tǒng)將正常或合法操作作為入侵事件進行報警。（3）有組織的攻擊攻擊可以來自四方八面，特別是要檢測出攻擊者花費很長時間組織策劃的高技術(shù)攻擊是一件很難的事。其主要發(fā)展方向可以概括為[23]：（1）分布式入侵檢測與CIDF。許多入侵的語義只有在應(yīng)用層才能理解，而目前的入侵檢測系統(tǒng)僅能檢測Web之類的通用協(xié)議，不能處理如Lotus Notes數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。（4）與網(wǎng)絡(luò)安全技術(shù)相結(jié)合。評價入侵檢測系統(tǒng)可從檢測范圍、系統(tǒng)資源占用、自身的可靠性等方面進行，評價指標(biāo)有：能否保證自身的安全、運行與維護系統(tǒng)的開銷、報警準(zhǔn)確率、負載能力以及可支持的網(wǎng)絡(luò)類型、支持的入侵特征數(shù)、是否支持IP碎片重組、是否支持TCP流重組等。第四章：基于協(xié)議分析的入侵檢測系統(tǒng)設(shè)計給出了本文入侵檢測系統(tǒng)的設(shè)計方案，重點介紹了數(shù)據(jù)分析模塊的設(shè)計方案。它包含了網(wǎng)絡(luò)接口層（network interface）、網(wǎng)際層（internet）、運輸層（transport）、應(yīng)用層（application）。網(wǎng)絡(luò)接口層 ARP、RARP和設(shè)備驅(qū)動程序及接口卡發(fā)送時將IP包作為幀發(fā)送，接收時把接收到的位組裝成幀，提供鏈路管理和錯誤檢測等。協(xié)議分析通常只檢測網(wǎng)絡(luò)數(shù)據(jù)包的特定部分，從而減少了計算量和存儲空間。 協(xié)議分析核心技術(shù)協(xié)議分析的思想是讓系統(tǒng)能夠讀懂協(xié)議，知道數(shù)據(jù)包中某些指定位置的內(nèi)容，分析這些內(nèi)容的真實含義，并根據(jù)定義的規(guī)則，判斷是否有入侵事件。協(xié)議解碼過程實質(zhì)就是一個數(shù)據(jù)包從協(xié)議棧由底向上分析，去掉各層附加的報文首部的過程。數(shù)據(jù)重組是在協(xié)議解碼的基礎(chǔ)上對數(shù)據(jù)包進行TCP流重組及IP分片重組,重組后進行整體上的協(xié)議分析,它充分利用了協(xié)議運行信息來檢測協(xié)議相關(guān)的異常、多步驟攻擊和分布式攻擊等復(fù)雜攻擊。在進行檢測前，兩種方法都需要按照協(xié)議首部結(jié)構(gòu)和協(xié)議規(guī)定數(shù)據(jù)載荷的數(shù)據(jù)結(jié)構(gòu)對數(shù)據(jù)包進行協(xié)議解析，再檢測解析后的數(shù)據(jù)。使用檢測規(guī)則對解析后的單個數(shù)據(jù)包中的協(xié)議首部和數(shù)據(jù)載荷進行檢測，表22介紹了檢測規(guī)則所包含的內(nèi)容及其解釋:表22 檢測規(guī)則的內(nèi)容及其解釋 Content of the detection rules and their interpretation字段名解釋協(xié)議名稱數(shù)據(jù)包的協(xié)議名稱首部字段名稱被檢測的協(xié)議首部字段名稱檢測類型指明是誤用檢測還是異常檢測首部檢測值要在協(xié)議首部中檢測的值數(shù)據(jù)載荷檢測值要在數(shù)據(jù)載荷中檢測的值字段名解釋預(yù)處理函數(shù)對檢測字段進行檢測前處理的函數(shù)報警信息檢測到攻擊或異常后的報警信息其中預(yù)處理函數(shù)根據(jù)攻擊特征對數(shù)據(jù)包域進行檢測前處理，可識別變體攻擊等采用躲避檢測技術(shù)的攻擊。其中預(yù)處理函數(shù)根據(jù)攻擊特征對數(shù)據(jù)包域進行檢測前處理，可識別變體攻擊等采用躲避檢測技術(shù)的攻擊。這種技術(shù)常被黑客用于URL中，發(fā)起HTTP攻擊。但是基于模式匹配的IDS認為兩者是不同的，在發(fā)現(xiàn)\iisadmin時不報錯。上述幾種方法還可以組合起來使用，比如/./././././iisadmin，或者\./iisadmin。十六進制編碼是一種很常見的現(xiàn)象，使用十六進制代碼代替部分字符，比如%73是S的十六進制表示方法，/iisadmin就改為/ii%73admin。假設(shè)XYZ協(xié)議包括X字段和Y選項字段，檢測某種攻擊是可以通過查看X字段中是否出現(xiàn)foo這樣的字符串。所以唯一的解決辦法就是對協(xié)議的完全解碼，只在X字段中尋找“foo”字符串。假設(shè)一個攻擊特征有5字節(jié)，平均數(shù)據(jù)包大小為200字節(jié)，每秒5000個數(shù)據(jù)包，數(shù)據(jù)庫有1000個攻擊特征，每秒就需要有50000000000字節(jié)的計算量。用簡單協(xié)議分析方法可以準(zhǔn)確有效地檢測大量異常和攻擊，但是仍有很多復(fù)雜攻擊不能憑借單一的數(shù)據(jù)包來檢測，要聯(lián)合多個數(shù)據(jù)包中的信息，根據(jù)協(xié)議執(zhí)行過程進行識別。它不僅僅是檢測單一的連接請求或響應(yīng)，而是將一個會話的所有流量作為一個整體來考慮，更能夠進行智能的數(shù)據(jù)分析[30]。IDS可以在多個方面利用狀態(tài)信息，解決以下問題:1．檢測猜測密碼：攻擊狀態(tài)協(xié)議分析系統(tǒng)通過統(tǒng)計在一段時間內(nèi)失敗的登陸請求個數(shù)，設(shè)定一個合理的閾值準(zhǔn)確的檢測此種攻擊。3．檢查請求和應(yīng)答是否匹配：在拒絕服務(wù)入侵(SYN Flood)中，攻擊者常常通過在短時間內(nèi)不斷發(fā)起某種相同的請求，而目標(biāo)系統(tǒng)來不及發(fā)送應(yīng)答，占用了系統(tǒng)的資源，不能再對新的請求發(fā)出應(yīng)答。(3) 用戶發(fā)送“PASS jsj”到FTP服務(wù)器。如果一個攻擊者想要得到某個重要文件，就能根據(jù)應(yīng)答所包含的狀態(tài)碼來判斷攻擊者是否成功。檢測這種攻擊，必須知道會話的狀態(tài)，當(dāng)發(fā)現(xiàn)驗證還沒有完成，就有一個傳輸階段的命令的時候，系統(tǒng)發(fā)出警告。入侵監(jiān)測系統(tǒng)可以計算連續(xù)的RNTO數(shù)量，或者記錄每個命令的前一條命令，當(dāng)發(fā)現(xiàn)RNFT命令，就檢查前一條命令是不是RNFR。第3章神經(jīng)網(wǎng)絡(luò)和遺傳算法 神經(jīng)網(wǎng)絡(luò) 神經(jīng)網(wǎng)絡(luò)的概念人工神經(jīng)網(wǎng)絡(luò)(Artificial Neural NetworkANN)是一種數(shù)學(xué)模型，對生物的神經(jīng)進行模擬，他主要是進行信息的處理，實現(xiàn)某種要求的功能，他是在大腦生理研究基礎(chǔ)上進行的，神經(jīng)網(wǎng)絡(luò)是人工神經(jīng)網(wǎng)絡(luò)的簡稱，涉及學(xué)科領(lǐng)域廣泛，具有非常重要的研究前景和應(yīng)用價值[31]。根據(jù)連接方式的不同分成單層向前網(wǎng)絡(luò)、互聯(lián)的網(wǎng)絡(luò)和具有反饋的前向網(wǎng)絡(luò)以及層內(nèi)互聯(lián)前向網(wǎng)絡(luò)這幾種方式。主要的學(xué)習(xí)過程如下：學(xué)習(xí)過程由信號的正向傳播與誤差的反向傳播兩個過程組成。這種信號正向傳播與誤差反向傳播的各層權(quán)值調(diào)整過程，是周而復(fù)始地進行的。圖31 BP神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)圖 The structure of BP neural networkBP網(wǎng)絡(luò)是反向傳播網(wǎng)（Back—Propagation Network）的簡稱，它是一種多層的網(wǎng)絡(luò)，訓(xùn)練非線性可微分的函數(shù)，是對W—H學(xué)習(xí)的一般化，它也是多層前向反饋神經(jīng)網(wǎng)絡(luò)，由于S型函數(shù)是它的神經(jīng)元變換函數(shù)，所以輸出的量是0和1之間的連續(xù)量，能夠從輸入到輸出之間的任意非線性映射。若滿足或者學(xué)習(xí)次數(shù)大于設(shè)定的最大次數(shù)，則網(wǎng)絡(luò)收斂；否則，轉(zhuǎn)到第12步進入下一輪學(xué)習(xí)；12. 隨機選取下一個學(xué)習(xí)樣本提供給網(wǎng)絡(luò)，并返回到步驟3，如此反復(fù)操作，直至全部樣本訓(xùn)練完畢為止。網(wǎng)絡(luò)訓(xùn)練成功之后對入侵檢測系統(tǒng)的響應(yīng)速度有很大的提高，而且對實時性也有很大的提高。 遺傳算法 遺傳算法的基本概念基于梯度搜索算法的BP算法適用于局部搜索，它只能在起始點附近的區(qū)域里找到最有解，要獲得全局最優(yōu)解，需要用到全局搜索算法，如：模擬退火算法（SA）和遺傳算法（GA），來尋找到全局最優(yōu)解。 遺傳算法的實現(xiàn)遺傳算法主要是從問題可能存在的解集里選擇一個經(jīng)過基因編碼過的，一定數(shù)目個體組成的種群來進行迭代。根據(jù)問題域中的個體適應(yīng)度大小在每一代中挑選個體，并組合交叉，產(chǎn)生出具有代表性解集的種群。通過將碼串解碼，計算出訓(xùn)練神經(jīng)網(wǎng)絡(luò)產(chǎn)生的平均誤差來確定和算出每個個體的適應(yīng)度。 遺傳神經(jīng)網(wǎng)絡(luò)在入侵檢測中的應(yīng)用在其他領(lǐng)域的應(yīng)用上神經(jīng)網(wǎng)絡(luò)取得了很大的成功，也有非常多的研究，在入侵檢測這方面的研究還是比較少的。我們知道要解決的任務(wù)決定神經(jīng)網(wǎng)絡(luò)中的輸入節(jié)點和輸出節(jié)點，得到最佳的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)和權(quán)值是非常重要的，影響著后面的檢測結(jié)果。第4章基于協(xié)議分析的入侵檢測系統(tǒng)設(shè)計本文提出的改進的網(wǎng)絡(luò)入侵檢測模型可以解決目前網(wǎng)絡(luò)入侵檢測系統(tǒng)的誤檢率和漏檢率高的問題，此模型是在在規(guī)則檢測技術(shù)中選用協(xié)議分析技術(shù)來全面檢測入侵事件是否是已知的，來降低誤檢率；在行為檢測技術(shù)中選用遺傳神經(jīng)網(wǎng)絡(luò)的算法，對未知的入侵事件通過其關(guān)聯(lián)事件進行檢測分析，降低漏檢率，從而提高檢測系統(tǒng)的準(zhǔn)確性。2. 數(shù)據(jù)分析模塊數(shù)據(jù)分析模塊主要是對截獲的數(shù)據(jù)包進行相應(yīng)的分析，看是否有入侵行為或者異常行為。3. 數(shù)據(jù)存儲模塊此模塊主要是進行數(shù)據(jù)的存儲，存儲來自采集模塊和數(shù)據(jù)分析模塊的檢測結(jié)果，為網(wǎng)絡(luò)入侵檢測后面分析以及攻擊行為追蹤提供充足的信息。由于本文研究的是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，因此數(shù)據(jù)采集模塊主要是從網(wǎng)絡(luò)上捕獲數(shù)據(jù)包。因此，本文在基于winpcap技術(shù)的基礎(chǔ)上進行相關(guān)數(shù)據(jù)包捕獲函數(shù)的定義。它用于windows系統(tǒng)下的直接的網(wǎng)絡(luò)編程。2. Winpcap的優(yōu)點Winpcap主要具有以下幾個方面的優(yōu)點：(1) Winpcap為程序員提供了一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包捕獲的編程接口，并且與Libpcap兼容，可以將Linux平臺下的網(wǎng)絡(luò)安全程序很快的移植到Windows平臺下；(2) Winpcap可以提供高效的數(shù)據(jù)包捕獲和過濾；(3) Winpcap還提供有效的數(shù)據(jù)包發(fā)送。內(nèi)核層的數(shù)據(jù)包過濾模塊NPF(Netgroup Packet Filter)，主要是對應(yīng)于Linux下的Libpcap使用的BPF過濾模塊來設(shè)計的，用來實現(xiàn)高效的網(wǎng)絡(luò)數(shù)據(jù)包捕獲和過濾功能，其過濾規(guī)則與BPF的過濾規(guī)則一樣。 基于規(guī)則檢測器的設(shè)計如前面入侵檢測模型設(shè)計時所介紹的，在數(shù)據(jù)分析模塊中運用了兩種檢測技術(shù)。 設(shè)計原則基于規(guī)則的入侵檢測器的設(shè)計原則如下:充分利用協(xié)議的高規(guī)則性,根據(jù)不同協(xié)議的不同位置所代表的含義的不同，進行了規(guī)則檢測器的設(shè)計，提高整個入侵檢測系統(tǒng)的檢測速度，降低入侵檢測系統(tǒng)的誤報率。協(xié)議解碼主要是對捕獲的數(shù)據(jù)包進行解碼和預(yù)處理；協(xié)議分析將協(xié)議解碼過的數(shù)據(jù)運用模式匹配算法和特征庫中攻擊模式進行比較分析，從而判斷是否受到攻擊。按照協(xié)議的層次結(jié)構(gòu)，我們將所有協(xié)議轉(zhuǎn)化成為一棵協(xié)議樹，其結(jié)構(gòu)如圖44所示。圖44 協(xié)議分析樹 Protocol analysis tree協(xié)議分析樹本質(zhì)上是三維結(jié)構(gòu)，除了平面上的協(xié)議分層結(jié)構(gòu)外，樹中的每節(jié)點都有一個鏈表，存儲了本節(jié)點協(xié)議的分析算法等信息。數(shù)據(jù)在發(fā)送過程中，發(fā)送方對數(shù)據(jù)包逐層添加一些首部信息 (有時還要增加尾部信息)的過程被稱為數(shù)據(jù)封裝。且這種格式定義只與協(xié)議相關(guān)，與網(wǎng)絡(luò)的結(jié)構(gòu)、類型無關(guān)，因此協(xié)議分析具有很廣泛的適用性。如果值為0800,根據(jù)協(xié)議規(guī)范可以判斷出這個網(wǎng)絡(luò)數(shù)據(jù)包是IPv4包；若值為0806，則是ARP數(shù)據(jù)包；若值為8035，則為RARP數(shù)據(jù)包。(3) TCP協(xié)議規(guī)定了第338兩個字節(jié)用于應(yīng)用層協(xié)議的標(biāo)識(端口號)。 基于行為檢測器的設(shè)計在第一章入侵檢測技術(shù)的介紹中，我們了解到可以將神經(jīng)網(wǎng)絡(luò)用于基于行為的入侵檢測系統(tǒng)中。遺傳神經(jīng)網(wǎng)絡(luò)算法是將遺傳算法和BP神經(jīng)網(wǎng)絡(luò)算法相結(jié)合。使得改進后的遺傳神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)既體現(xiàn)了網(wǎng)絡(luò)的非線性，具有神經(jīng)網(wǎng)絡(luò)的魯棒性和自學(xué)習(xí)能力；又繼承了遺傳算法的強全局隨機搜索能力[50]。我們根據(jù)此規(guī)則集運用遺傳算法和BP算法來訓(xùn)練神經(jīng)網(wǎng)絡(luò)，從而建立一個正常的行為模式。Step1：設(shè)置控制參數(shù)：初始種群大小、網(wǎng)絡(luò)各層的結(jié)點數(shù)、網(wǎng)絡(luò)結(jié)點的編碼方式、權(quán)值的取值范圍、交叉概率、變異概率、算法的終止條件；Step2：；Step3：初始化神經(jīng)網(wǎng)絡(luò)，并將神經(jīng)網(wǎng)絡(luò)按照本文建議的編碼方式進行編碼，從而構(gòu)成遺傳算法的初始種群；Step4：輸入規(guī)則集訓(xùn)練神經(jīng)網(wǎng)絡(luò)，按照本文提出的適應(yīng)度函數(shù)計算個體的適應(yīng)度值；Step5：是否滿足算法的終止條件；若未滿足，則繼續(xù)；否則，轉(zhuǎn)向Step9；Step6：根據(jù)交叉概率從父代中選擇參加交叉操作的個體集，然后選擇兩個個體按照本文提出的交叉算子進行交叉操作；Step7：根據(jù)變異概率，從經(jīng)過交叉操作后得到的個體中選擇參加變異的個體，然后按照本文提出的變異算子進行變異操作；Step8：轉(zhuǎn)向Step5，重新評價新一代種群的適應(yīng)度值；Step9：輸出訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)。本文中權(quán)值的取值范圍設(shè)置為（，）。以如下的兩個11位變量為例:父個體1 0 1 1 1 0 0 1 1 0 1 0父個體21 0 1 0 1 1 0 0 1 0 1交叉點的位置選擇：3 6 10交叉后的新個體表示為：父個體1 0 1 1 0 1 1 1 1 0 1 1父個體21 0 1 1 0 0 0 0 1 0 05．變異算子由于變異操作是交叉操作的一個輔助過程，所以本文中我們選擇基本位變異的方法進行個體的更新。（2）交叉概率：交叉概率的取值過大，會破壞群體中的優(yōu)良模式，對遺傳運算產(chǎn)生不利影響；若取值過小，產(chǎn)生新個體的速度又較慢。在本文的仿真實驗中。 數(shù)據(jù)存儲模塊的設(shè)計數(shù)據(jù)存儲模塊主要是將檢測到的事件（原始數(shù)據(jù)信息、分析檢測后的結(jié)果等都稱為事件）記錄下來，便于事后分析。隨著網(wǎng)絡(luò)的不斷擴大，網(wǎng)絡(luò)中的數(shù)據(jù)越來越多，如何保存捕獲的大量數(shù)據(jù)是需要解決的問題?？刂婆_模塊根據(jù)響應(yīng)方式可以分為主動響應(yīng)（Active Responses）和被動響應(yīng)（Passive Responses）。它的基本思想是追蹤入侵者的攻擊來源，然后采取行動切斷入侵者的機器或者網(wǎng)絡(luò)的連接。攻擊的開始可能只是對你的系統(tǒng)進行常規(guī)的監(jiān)視或掃描，簡單的反擊有可能使其發(fā)展成為全范圍的敵意攻擊。在一些入侵檢測系統(tǒng)中，這類響應(yīng)可以通過改變分析引擎的一些參數(shù)設(shè)置和操作方式（如提高敏感級別）；或者通過添加規(guī)則（如提高某類攻擊的可疑級別和擴大監(jiān)控范圍）來達到目的