【正文】 改動，以使其能在Windows平臺下運行實現(xiàn)。98)October 58 ,VA. [29] Bonifacio .,Cansian .,de Carvalho .,Moreira Networks applied in intrusion detection World congress on Comp. Intell.(WCCI39。s diversion, namely, the wild hunt to Amack. Ah, you don39。 there are sometimes great effects of cross lies。s self hath any perfection. For saith Pliny very wittily。 and the slaves of their own vaunts. LastIndexNext And now havi。 omnium, quae cHxerat jeceratque, arte quadam ostentator: for that proceeds not of vanity, but of natural magnanimity, and discretion: and in some persons is not only ely, but gracious. For excusations, cessions, modesty itself well governed, are but arts of ostentation. And amongst those arts there is none be tter, than that which Plinius Secundus speaketh of。 but according to die French proverb。s really a pleasure now and then to bee a mere nothing, especially when a man is as highly placed as I am. And then to think that we all, even with patent lacquer, are nothing more than insects of a moment on that anthill the earth, though we may be insects with stars and garters, places and offices! One feels quite a novice beside these venerable millionyearold boulders. On last New Year39。 如果能將其余幾個算法一并實現(xiàn)并綜合考慮，然后將對 Apache的日志檢測改為實時檢測，既可以實現(xiàn)一個對網(wǎng)絡(luò)請求異常檢測、報警的實施檢測系統(tǒng)。 在檢測期間，用輸入的屬性值在學(xué)習(xí)期間返回的令牌集中進(jìn)行查找，如果找到匹配的令牌，則模型返回 1，否則 模型返回 0。 然后，可以檢測轉(zhuǎn)換后目標(biāo)屬性值 (sobsv)與轉(zhuǎn)化后的異常屬性字符串 (sorig)的相似性，具體做法是比較這兩個格式化的屬性值是否相等，即： 對于每個 0≤ i≤ m，其中， m=| sorig | 判斷 sobsv,i = sorig,i 是否成立，如果成立，則說明目標(biāo)屬性值有著異常字符串的特征，這個目標(biāo)屬性是一個異常屬性。 如果被檢測的屬性的字符分布呈現(xiàn)呈現(xiàn)一種同一的分布，這時檢測變成檢查被檢測屬性的字符分布是否 是一個隨機分布，主要實現(xiàn)方法是計算在向量 Cobsv和 Corig中任何兩個值對的頻率差的最大值。 屬性長度模型 屬性長度模型在學(xué)習(xí)階段存儲屬性大概的長度分布，這個屬性長度分布以樣本屬性的平均值 mean和方差的 σ 2的形式被給出，在檢測階段根據(jù)下面的公式進(jìn)行計算： cdi stob sv dl ?? |)(| 22?? 如果公式計算的結(jié)果小于給出的閥值 dcdist，則說明觀測屬性的長度偏離正常情況，他很可能是一個異常的屬性，如果公式計算的結(jié)果大于給出的閥值 dcdist，則說明該檢測屬性是正常屬性。算法首先創(chuàng)建一個非確定的有限自動機（ NFA），它反映原始的輸入數(shù)據(jù)，然后逐漸的合并狀態(tài)，直到產(chǎn)生一個能反映原始輸入的合理的規(guī)則表 達(dá)式。 在學(xué)習(xí)階段，一個屬性的理想化的字符分布會通過輸入樣本而被計算出來，而后所有字符屬性的的平均值將被計算出來。本章之后的部分簡要描述異常檢測組件使用模型的實現(xiàn)。 Hi 為 1 說明發(fā)生了特定類型的攻擊， Hi為 0 則表示沒有這種類型的攻擊。在這一模型中，訪問模式分為“自我”和“非我”，類似于生物免疫，計算機免疫系統(tǒng)可以識別出“自我”和“非我”。 AAFID 系統(tǒng)結(jié)構(gòu)的擴展非常方便，多個 Agent 可以被分配成一個 Agent 組，每個 Agent 執(zhí)行各自簡單的功能，并最終融合成復(fù)雜的 Agent 組的檢測結(jié)果。基于內(nèi)核的檢測技術(shù)成為入侵檢測領(lǐng) 域中新的研究方向，該技術(shù)從操作系統(tǒng)內(nèi)核收集數(shù)據(jù)，作為檢測入侵或異常行為的根據(jù)。 數(shù)據(jù)挖掘方法能夠?qū)Π踩珜徲嫈?shù)據(jù)進(jìn)行全面、高速和準(zhǔn)確地分析，從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息，抽象出有利于進(jìn)行判斷和比較的特征模型，這種特征模型可以是基于誤用檢測的特征向量模型，也可以是基于異常檢測的行為描述模型。檢測系統(tǒng)需維護(hù)一個表示用戶行為模式的統(tǒng)計知識庫，每個模式采用一系列的度量向量表示；系統(tǒng)采用統(tǒng)計學(xué)原理計算正常行為向量和異常行為門限值，檢測時計算用戶行為并計算與門限值的偏差，根據(jù)計算結(jié)果判斷異常與否。這樣，若能檢測所有的異常行為，則就能檢測所有的入侵行為。對商業(yè)化的誤用檢測工具進(jìn)行優(yōu)化，通用的方法是定義一種檢測引擎可以識別的語言，用于對入侵行為的特征進(jìn)行描述，比較著名的基于語言 /應(yīng)用程序接口的方法有 RUSSEL語言、 STALKER 系統(tǒng)和 NCode 包過濾語言。主要的誤用入侵檢測系統(tǒng)類型如下： (1)專家系統(tǒng) 入侵檢測專家系統(tǒng)最顯著的特征是采用一定的 IFTHEN 規(guī)則表示攻擊的行為，形成專家知識庫，然后輸入檢測數(shù)據(jù)（審計事件記錄），系統(tǒng)根據(jù)知識庫中的內(nèi)容對檢測數(shù)據(jù)進(jìn)行評估，判斷是否存在入侵 行為模式專家系統(tǒng)的優(yōu)點在于把系統(tǒng)的推理控制過程和問題的最終解答相分離，即用戶不需要理解或干擾專家系統(tǒng)內(nèi)部的推理過程，而只須把專家系統(tǒng)看作是一個自治的黑盒子。該方法的特點是首先總結(jié)正常操作應(yīng)該具有的特征，在得出正常操作的模型之后，對后續(xù)的操作進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)偏離正常統(tǒng)計學(xué)意義上的行為，即進(jìn)行報警。 主機數(shù)據(jù)源的優(yōu)勢在于：針對性強、檢測準(zhǔn)確性高、適于檢測復(fù)雜的攻擊模式，不受交換式網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)加密的影響，并且可以準(zhǔn)確地判定攻擊是否成功。這類檢測方法將基于網(wǎng)絡(luò)的入侵檢測的基本方法融入到基于主機的檢測環(huán)境中。 IDS System Architecture 圖 1 IDS 系統(tǒng)結(jié)構(gòu) 入侵檢測系統(tǒng)分類 基于數(shù)據(jù)來源分類 (1)基于主機：入侵檢測系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護(hù)的目標(biāo)也是系統(tǒng)運行所在的主機。 事件產(chǎn)生器的功能是從整個計算環(huán)境中捕獲事件信息，并向系統(tǒng)的其他組成部分提供該事件數(shù)據(jù)。為了提高 IDS 產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國國防高級研究計劃署（ DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（ IETF）的入侵檢測工作組（ IDWG）發(fā)起制訂了一系列建議草案，從體 系結(jié)構(gòu)、 API、通信機制、語言格式等方面規(guī)范 IDS的標(biāo)準(zhǔn)。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊，包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。 同以前的計算機安全保密相比，計算機網(wǎng)絡(luò)安全技術(shù)的問題要多得多，也復(fù)雜得多，涉及到物理環(huán)境、硬件、軟件、數(shù)據(jù)、傳輸、體系結(jié)構(gòu)等各個方面。長期以來信息系統(tǒng)安全專家公認(rèn)信息安全性的目標(biāo)是維護(hù)信息的以下四個方面： (1)保密性：使系統(tǒng)只向已被授權(quán)的用戶提供信息，對于未被授權(quán)的用戶，這些信息是不可獲得或不可理解的； (2)完整性：使系統(tǒng)只允許授權(quán)的用戶修改信息，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失，以保證所提供給用戶的信 息是完整無缺的； (3)可用性：使被授權(quán)的用戶從系統(tǒng)中獲得所需的信息資源服務(wù)； (4)可審查性：使系統(tǒng)內(nèi)部所發(fā)生的、與安全有關(guān)的動作均有說明性記錄可查。如果計算機和數(shù)據(jù)通信網(wǎng)絡(luò)的安全受到危害，將會造成重大損失，引起社會混亂和危機國家安全。之后又介紹了四種基于統(tǒng)計的異常檢測方法，他們分別是： 屬性長度模型、字符分布模型、結(jié)構(gòu)推論模型和令牌發(fā)現(xiàn)模型四種方法，詳細(xì)描述了他們的原理以及屬性長度和令牌發(fā)現(xiàn)兩種模型的算法實現(xiàn) ， 他們的特點是都需要事先使用正常數(shù)據(jù)對模型進(jìn)行訓(xùn)練 和學(xué)習(xí)，基于統(tǒng)計學(xué)原理并將訓(xùn)練和學(xué)習(xí)的結(jié)果存儲起來，在異常的檢測階段，模型利用之前存儲的統(tǒng)計結(jié)果和被檢測屬性進(jìn)行比較，從而判斷被檢測的數(shù)據(jù)異常與否。 畢業(yè)設(shè)計（論文） web 攻擊異常檢測技術(shù)的研究和實現(xiàn) 內(nèi)容提要 入侵檢測系統(tǒng) IDS(Intrusion Detection System)是計算機安全領(lǐng)域的一個重要分支，對其的研究近幾年來倍受重視。然后介紹了分析入侵檢測系統(tǒng)中的幾類檢測方法。黑客的網(wǎng)絡(luò)攻擊與入侵行為，對于國家安全、經(jīng)濟、社會生活造成極大的威脅。對于任一信息系統(tǒng)，安全性的作用在于：防止未經(jīng)授權(quán)的用戶使用 (甚至破壞 )系統(tǒng)中的信息，或干擾系統(tǒng)的正常工作。針對通信性能的攻擊包括拒絕服務(wù)、遠(yuǎn)程權(quán)力獲取 等，對通信性能進(jìn)行保護(hù)的理論基本上是實踐經(jīng)驗的總結(jié)。 第 2 章入侵檢測系統(tǒng) 入侵檢測系統(tǒng)基本概念 入侵檢測系統(tǒng)是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。自從 Denning 于 1986 年發(fā)表論文“入侵檢測模型（ An Intrusion Detection Model）”以來，大量 IDS(Intrusion Detection System)被開發(fā)出來，包括研究的原型和商業(yè)化的產(chǎn)品。事件產(chǎn)生器、事件分析器和響應(yīng)單元通常以應(yīng)用程序的形式出現(xiàn)，而事件數(shù)據(jù)庫則往往是文件或數(shù)據(jù)流的形式，很多 IDS 廠商都以數(shù)據(jù)收集部分、數(shù)據(jù)分析部分和控制臺部分 三個術(shù)語來分別代替事件產(chǎn)生器、事件分析器和響應(yīng)單元。 事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，用于指導(dǎo)事件的分析及反應(yīng)，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。許多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向管理員報警。 (3)混合型：許多機構(gòu)的網(wǎng)絡(luò)安全解決方案都同時采用了基于主機和基于網(wǎng)絡(luò)的兩種入侵檢測系統(tǒng)，因為這兩種系統(tǒng)在很大程度上是互補的。 (2)異常檢測：是指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵。執(zhí)行誤用檢測需要具備完備的檢測規(guī)則庫、可信的用戶行為記錄和可靠的行為記錄分析技術(shù)。 IDIOT 系統(tǒng)采用著色 Petri 網(wǎng)技術(shù)表示和檢測入侵模式。理想狀況是異常行為集等同于入侵行為集。 (1)基于統(tǒng)計學(xué)原理 最早的異常檢測系統(tǒng)采用的是統(tǒng)計分析技術(shù)，可采用參量化和非參量化的方法。由 Columbia University 的 Wenke Lee 開發(fā)的入侵檢測框架 MADAM ID 是基于該技術(shù)的代表。 其它檢測技術(shù) (1)基于內(nèi)核的檢測 隨著 Linux操作系統(tǒng)的廣泛應(yīng)用和其開放源代碼，越來越多的安全漏洞被發(fā)現(xiàn)和公布。采用 Agent 技術(shù)的檢測系統(tǒng)有 AAFID和 EMERALD。 LISYS源于 Forrest， Hofmeyr 等人提出的計算機免疫模型。每種類型的事件流使用一個 n 維的向量 H 表示， n 代表已知的攻擊種類。 由于這多種模型分別與 Web 應(yīng)用的多個方面相關(guān)聯(lián)，所以，一個被檢測屬性的最終異常得分是每個模 型單獨得分的權(quán)重的加和，如果權(quán)重和的值大于學(xué)習(xí)期間設(shè)定的閥值，則異常檢測程序認(rèn)為這個請求有異常，并提出警告。對于合法的輸入來說，這個相對字符頻率是緩慢的降低的，而對于一些惡意的輸入，相對字符頻率或者是由于某個單字符的大量使用而急劇降低，或者是由于隨機字符的使用而基本不變化。在學(xué)習(xí)階段結(jié)構(gòu)及推論模型收集所有相關(guān)的正則語法。異常檢測模型一般是建立在統(tǒng)計方法的基礎(chǔ)上，運用各自的方法對應(yīng)用程序或 Web請求進(jìn)行學(xué)習(xí)和分析，在學(xué)習(xí)訓(xùn)練階段，一般模型會認(rèn)為給定的學(xué)習(xí)數(shù)據(jù)都是正常數(shù)據(jù)，模型對這些正常數(shù)據(jù)進(jìn)行不同方式的轉(zhuǎn)換并進(jìn)行統(tǒng)計分析，并將保存結(jié)果，當(dāng)程序轉(zhuǎn)換到測試階段后，異常檢測模型就會對被檢測數(shù)據(jù)做同樣的轉(zhuǎn)換，并利用之前保存的統(tǒng)計結(jié)果進(jìn) 行比較分析，從而確定被檢測的數(shù)據(jù)是否是異常數(shù)據(jù)。 如果： cd istjo rigio b sv dff ?? || , 其中： (cobsv,i,fobsv,i)和 (corig,j,forig,j)分別是觀測向量和正常向量中的一項，且 cobsv,= corig,j dcdist設(shè)定的距離閥值，當(dāng)某一字符的檢測頻率和正常