【正文】 if he be superior, if he be not to be mended, you much less. Glorious men are the scorn of wise men。 and those mat are of solid and sobe r natures have more of the ballast, than of the sail. In fame of learning, the flight w ill be slow, without some feathers of ostentation. Q ui de contenmenda gloria libros scribunt, nomen suum inscribunt. Socrates, Aristotle, Galen, were men firil of ostentation. Certainly vainglory helpeth to perpetuate a man\39。 but we have a wild journey, also which is national and modern, and that is the journey to Amack on the night of the New Year. All indifferent poets and poetesses, musicians, newspaper writers, and artistic notabilities, I mean those who are no good, ride in the New Year39。1998. [34] Neumann :Event Monitoring Enabling Responses to Anomalous Live proceedings of National Information Systems Security Conference,October,1997. [35] Neumann .,Porras with EMERALD to First USENIX Workshop on Intrusion Detection and Network Clara, California,April,–80. [36] Stephanie F.,Hofmeyr ,Somayaji A,Longstaff sense of self for unix of the 1996 IEEE Symp on Security and Privacy,IEEE Computer Society Press,Los Alamitos,CA,1996:120128. [37] Hofmeyr S A,Forrest S,Somayaji detection using sequences of system of Computer Security,1998,6:151180 [38]Hofmeyr ,Forrest by design:an artificial immune : Proceedings of 1999 GECCO Conference,San Francisco,1999:12891296 [39] Li .,Huang Y.,Huang puting immune model based on poisson procedure and rough Journal of Computers,2020, :7176 (勵(lì)曉健，黃勇，黃厚寬基于 Poisson過程和 Rough包含的計(jì)算免疫模型。這種情況導(dǎo)致計(jì)算機(jī)及網(wǎng)絡(luò)的入侵問題越來越突出，為保護(hù)系統(tǒng)資源，需要建立主動(dòng)防御機(jī)制檢測(cè)入侵。 令牌發(fā)現(xiàn)模型 令牌發(fā)現(xiàn)模型首先會(huì)檢測(cè)訓(xùn)練數(shù)據(jù)的相關(guān)性，如果訓(xùn)兩數(shù)據(jù)是相關(guān)的，則模型在檢測(cè)階段測(cè)試被檢 測(cè)的屬性值是否是訓(xùn)練過程所產(chǎn)生的集合的成員，如果被檢測(cè)屬性不是集合的成員，則模型返回異常，并發(fā)出警告，否則為正常情況。使用違規(guī)字符串的前綴來概括攻擊字符串是有根據(jù)的，它是根據(jù)對(duì)同一個(gè) Web應(yīng)用程序的重復(fù)攻擊一般會(huì)有相似的 URLs前綴或路徑前綴。 C是一個(gè) m個(gè)元素組成的向量， C中的每個(gè)元素是一個(gè) (字符值 ,出現(xiàn)頻率 )的值對(duì)。 在檢測(cè)階段，如果屬性集合被確定接受枚舉枚舉值，那么檢測(cè)屬性值會(huì)被檢測(cè)是否存在于學(xué)習(xí)階段產(chǎn)生的集合中，如果被檢測(cè)的屬性值存在于這個(gè)集合中，那么模型假設(shè)這個(gè)值是無害的，否則，模 型認(rèn)為這個(gè)值是個(gè)異常值。因此，形成一個(gè)近似真實(shí)的正則語法是很必要的。password=bbb”）。在檢測(cè)期間，模型對(duì)每個(gè)觀測(cè)實(shí)例的屬性值返回一個(gè)異常得分，這個(gè)得分是一個(gè)在區(qū)間 [0,1]之間的值，這個(gè)值代表了與學(xué)習(xí)階段確定出來的 “正?！? 屬性的輪廓的相關(guān)性的大小。通過對(duì)所定義向量進(jìn)行的測(cè)定，提出改進(jìn)的向量表示形式，不斷重復(fù)這個(gè)過程，直到 得到令人滿意的結(jié)果為止。免疫系統(tǒng)的檢測(cè)是高度分布的，沒有統(tǒng)一的中心控制，這種分布機(jī)制保障了系統(tǒng)的高度可靠性；檢測(cè)系統(tǒng)的各個(gè)組成部分是相互獨(dú)立的，這種機(jī)制的優(yōu)點(diǎn)是即 使某一方面的保護(hù)功能失效，也不會(huì)影響系統(tǒng)其他部分的工作。 Agent 的獨(dú)立性和自治性為系統(tǒng)提供了良好的擴(kuò)展性和發(fā)展?jié)摿?。由于人工?經(jīng)網(wǎng)絡(luò)不使用固定的系統(tǒng)屬性集來定義用戶行為，因此屬性的選擇是無關(guān)的；同時(shí)人工神經(jīng)網(wǎng)絡(luò)對(duì)所選擇的系統(tǒng)度量也不要求滿足某種統(tǒng)計(jì)分布條件，因此，與傳統(tǒng)的統(tǒng)計(jì)分析相比，人工神經(jīng)網(wǎng)絡(luò)方法具備了非參量化統(tǒng)計(jì)分析的優(yōu)點(diǎn)。 (2)基于數(shù)據(jù)挖掘技術(shù) 數(shù)據(jù)挖掘是一項(xiàng)通用的知識(shí)發(fā)現(xiàn)技術(shù)，其目的是從海量數(shù)據(jù)中提取出我們所感興趣的數(shù)據(jù)信息。異常檢測(cè)的關(guān)鍵問題在于正 常模式的建立以及如何利用該模式對(duì)當(dāng)前的用戶行為進(jìn)行比較，從而判斷出與正常模式的偏離程度。 異常檢測(cè)技術(shù) 基于異常的入侵檢測(cè)方法主要來源于這樣的假設(shè)：任何人的正常行為都是有一定規(guī)律的，并且可以通過分析這些行為產(chǎn)生的信息總結(jié)出這些規(guī)律，而入侵行為則 通常和正常行為存在嚴(yán)重的差異，通過檢查出這些差異就可以檢測(cè)出入侵行為。目前，實(shí)現(xiàn)基于狀態(tài)轉(zhuǎn)換的入侵檢測(cè)方法主要有以下三種：狀態(tài)轉(zhuǎn)移分析（ state transition analysis）、著色 Petri網(wǎng)（ colored Petri s， CPNets）和基于語言 /應(yīng)用程序接口的方法（ language/API based approach）?；谡`用的入 侵檢測(cè)系統(tǒng)通過使用某種模式或者信號(hào)標(biāo)識(shí)表示攻擊，進(jìn)而發(fā)現(xiàn)相同的攻擊。 這種方法由于依據(jù)具體特征庫進(jìn)行判斷，所以檢測(cè)準(zhǔn)確度很高，并且因?yàn)闄z測(cè)結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。一旦檢測(cè)到了攻擊行為，入侵檢測(cè)系統(tǒng)的響應(yīng)模塊就做出適當(dāng)?shù)捻憫?yīng)，比如報(bào)警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。檢測(cè)對(duì)關(guān)鍵系統(tǒng)文件和可執(zhí)行文件入侵的一個(gè)常用方法是通過定期檢查文件的校驗(yàn)和來進(jìn)行的，以便發(fā)現(xiàn)異常的變化。 響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等有效反應(yīng)，當(dāng)然也可以只是報(bào)警。 系統(tǒng)結(jié)構(gòu) 入侵檢測(cè)系統(tǒng)分為四個(gè)基本組件：事件產(chǎn)生器 (Event generators)、事件分析器 (Event analyzers)、響應(yīng)單元 (Response units)和事件數(shù)據(jù)庫 (Event databases)。自 1984年到 1986 年， Dorthy Denning 和 Peter Naumann 研究和發(fā)展了一種命名為入侵檢測(cè)專家系統(tǒng)（ IDES,intrusion detection expert system）實(shí)時(shí) 模式的入侵檢測(cè)系統(tǒng)。 從廣義來說，凡是涉及到計(jì)算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性及相關(guān)技術(shù)和理論都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。為了建立安全的通信信任需要身份鑒別等手段來防止身份冒充、連接截取等攻擊，其中涉及傳輸協(xié)議和加密的安全設(shè)計(jì)。 網(wǎng)絡(luò)安全基本概念 計(jì)算機(jī)網(wǎng)絡(luò)最重要的資源是它向用戶所提供的信息服務(wù)及其所有的信息資源。 2020年中國將成為世界上擁有最多互聯(lián)網(wǎng)用戶國家，達(dá) 億。 基于異常的檢測(cè)技術(shù)的優(yōu)點(diǎn)在于它能夠發(fā)現(xiàn)任何企圖發(fā)掘、試探系統(tǒng)漏洞的行為，但此方法的缺陷是較高的誤報(bào)率。因?yàn)橛?jì)算機(jī)系統(tǒng)和應(yīng)用軟件總是包含無法預(yù)知的漏洞，一種漏洞的發(fā)現(xiàn)與針對(duì)該漏洞的防護(hù)手段的采取之間總會(huì)有一個(gè)時(shí)間差，而檢測(cè)是彌補(bǔ)這個(gè)時(shí)間差的必要手段。 關(guān)鍵詞：入侵檢測(cè)系統(tǒng)， 屬性長(zhǎng)度 ， 字符分布 ， 屬性長(zhǎng)度 ， 令牌發(fā)現(xiàn) ，異常檢測(cè) 第 1 章 緒論 引言 隨著計(jì)算機(jī)與數(shù)據(jù)通信網(wǎng)絡(luò)的高速發(fā)展和廣泛應(yīng) 用，社會(huì)對(duì)計(jì)算機(jī)和數(shù)據(jù)通信網(wǎng)絡(luò)的依賴越來越大。 研究現(xiàn)狀 隨著信息網(wǎng)絡(luò)化的發(fā)展，信息安全的研究和實(shí)踐不斷深化、延拓。對(duì)數(shù)據(jù)的保護(hù)包括數(shù)據(jù)的機(jī)密性和完整性保護(hù)，主要針對(duì)數(shù)據(jù)竊取、數(shù)據(jù)刪改等攻擊，其基本的手段包括加密和訪問控制。 從狹義的保護(hù)角度來看，計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅 和危害，即計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。 入侵檢測(cè) 的定義及 發(fā)展史 James P Anderson 在 1980 年首次在“計(jì)算機(jī)安全威脅的監(jiān)視（ Computer Security Threat Monitoring and Surveillance）”中提出了入侵檢測(cè)的概念，他將入侵嘗試和威脅定義為：潛在的有預(yù)謀的未經(jīng)授權(quán)的訪問和操作信息，致使系統(tǒng)不可靠或無法使用的企圖，并提出，必須改變現(xiàn)有的系統(tǒng)審計(jì)機(jī)制，以便為專職系統(tǒng)安全人員提供安全信息。 1999 年 6 月， IDWG 就入侵檢測(cè)也出臺(tái)了一系列草案。 事件分析器分析得到的事 件數(shù)據(jù)，并產(chǎn)生分析結(jié)果。 操作系統(tǒng)審計(jì)記錄由包含在操作系統(tǒng)軟件內(nèi)部的審計(jì)子系統(tǒng)產(chǎn)生，這些審計(jì)記錄是反映系統(tǒng)活動(dòng)的信息集合，每條審計(jì)記錄描述了一次單獨(dú)的系統(tǒng)事件；系統(tǒng)日志是反映各種系統(tǒng)事件和設(shè)置的文件，操作系統(tǒng)提供了分類齊全的系統(tǒng)日志，并且提供通用的服務(wù)用于支持產(chǎn)生和更新事件日志。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，通常也稱硬件檢測(cè)系統(tǒng)，放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù) 包進(jìn)行特征分析。 基于分析方法分類 入侵檢測(cè)從分析引擎所采用的技術(shù)上來說，可以分為誤用檢測(cè) (misuse detection)和異常檢測(cè) (anomaly detection)兩大類。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測(cè)新的入侵行為。 專家系統(tǒng)是最早的誤用檢測(cè)技術(shù)之一，被許多經(jīng)典的檢測(cè)模型所采用，如 MIDAS、IDES、 NIDES、 DIDS 和 CMDS。模式匹配檢 測(cè)技術(shù)是由 Kumar 在 1995年提出的，目前已成為入侵檢測(cè)領(lǐng)域中應(yīng)用最為廣泛的檢測(cè)手段和機(jī)制之一，其特點(diǎn)是原理簡(jiǎn)單、擴(kuò)展性好、檢測(cè)效率高和可實(shí)時(shí)檢測(cè)，但其局限性是只能適用于比較簡(jiǎn)單的攻擊方式，且誤報(bào)率高。行為存在四種可能性：①入侵而非異常；②非入侵且是異常的；③非入侵性且非異常；④入侵且異常。 比較典型的基于統(tǒng)計(jì)學(xué)原理的入侵檢測(cè)系統(tǒng)是 NIDES。 (3)基于人 工神經(jīng)網(wǎng)絡(luò) 人工神經(jīng)網(wǎng)絡(luò)的特點(diǎn)在于它具有學(xué)習(xí)的能力，這種學(xué)習(xí)算法允許檢測(cè)系統(tǒng)緊密地模仿用戶行為并且根據(jù)最近的變化進(jìn)行調(diào)整。目前主要有兩種針對(duì) Linux/Unix 操作系統(tǒng)的基于內(nèi)核的入侵檢測(cè)系統(tǒng) OpenWall 和LIDS。為了適應(yīng)大型的、基于松散架構(gòu)的網(wǎng)絡(luò)環(huán)境， EMERALD 采用層次化分布式的 Agent 系統(tǒng)架構(gòu)。 (4)基因算法 基因算法（ geic algorithm）是進(jìn) 化算法（ evolutionary algorithms）的一種，引入了達(dá)爾文在進(jìn)化論中提出的自然選擇（優(yōu)勝劣汰、適者生存）的概念對(duì)系統(tǒng)進(jìn)行優(yōu)化。網(wǎng)絡(luò)異常檢測(cè)組件的操作對(duì)象是 URLs，而成功的 Web 請(qǐng)求就是這些 URLs 的提供者。這個(gè)模型的目標(biāo)是盡可能接近真實(shí)值，然而，字符串和檢測(cè)實(shí)例的長(zhǎng)度的分布是未知的，而且檢測(cè)結(jié)果很大程度上依賴觀測(cè)到的真實(shí)值。 結(jié)構(gòu)推論（ Structural Inference） 結(jié)構(gòu)推論模型（ Structural Inference Model）主要是學(xué)習(xí)字符串的結(jié)構(gòu)從而確定異常信息的模型。 在檢測(cè)階段，一個(gè)被檢測(cè)屬性將被沿著這個(gè)自動(dòng)機(jī)的一條路徑，如果存在沒有一條路徑能將這個(gè)被檢測(cè)屬性的值轉(zhuǎn)化為一個(gè)已有的規(guī)則表達(dá)形式，則說明被檢測(cè)屬性不可能來自學(xué)習(xí)階段產(chǎn)生的規(guī)則語法，那么這個(gè)屬性就是一個(gè)異常屬性，反之，如果可以轉(zhuǎn)化到規(guī)則語法形式，則說明這個(gè)屬性是一個(gè)正常屬性。 n iNiX? ?? ])[][(? 1 )][(][2? ??? n iXiN ?? 異常檢測(cè)得分為： |)(| 22???obsvl 其中： lobsv :被檢測(cè)的屬性長(zhǎng)度 根據(jù)異常檢測(cè)得分和給定的閥值，進(jìn)行異常判斷。 如果， Cobsv和 Corig中頻率的最大差值大于設(shè)定的閥值 dcdist，則說明被觀測(cè)屬性呈現(xiàn)一個(gè)隨機(jī)分布，并報(bào)告異常，否則，為正常字符分布。 ” )的字符串，則模型建立一個(gè)異常規(guī)則： [ a | 0 ]+。 本系統(tǒng)是模仿 LibAnomaly異常檢測(cè)程序包，對(duì)其程序進(jìn)行了少量的