【正文】 頻率相差的距離超過設(shè)定的閥值，則認為，觀測屬性是異常行為，否則，為正常行為。 例如： 首先進行簡單的轉(zhuǎn)換： /usr/lib/ → /aaa/aaa/ /etc/X11/XF86Config → /aaa/A00/AA00Aaaaaa 然后，由于轉(zhuǎn)換后相同字符多次出現(xiàn)，所以相同的字符進行合并： /aaa/aaa/ → /a/a/ /aaa/A00/AA00Aaaaaa → /a/A0/A0Aa 通過以上兩步，一個簡單的概括語法被建立。 如果相關(guān)則從訓(xùn)練數(shù)據(jù)中返回令牌集。 為了進行訓(xùn)練，在 Apache服務(wù)器下收 集日志文件，再通過 屬性長度模型和令牌發(fā)現(xiàn)模型進行訓(xùn)練，之后，用一些異常的訪問進行檢測，如果檢測到異常就會自動報警，從而實現(xiàn)了對 Web請求的異常檢測。 the fly sat upon the axletree of the chariot wheel, and said. What a dust do I raise? So are there some vain persons, that whatsoever goeths indeed! They could tell us something worth hearing, if they only knew how to talk. It39。 for all bravery stands upon parisons. They must needs be violent, to make good their own vaunts. Neithe r can they be secret, and therefore not effectual。 and virtue was never so beholding to human nature, as it received his due at the second hand. Neither had the fame of Cicero, Seneca, Plinius Secundus, borne her age so well, if it had not been joined with some vanity in themselves: like unto varnish, that makes sealings not only shine, but last But all this while, when I speak of vainglory, I mean not of that property, that Tacitus doth attribute to Mucianus。 the idols of parasites。 In mending another, you do your self right。 as if a man that negotiates between two princes, to draw them to join in a war against the third, doth extol the forces of either of them above measure, the one to the other: and sometimes, he that deals between man and man, raiseth his own credit with both by pretending greater interest than he hath in either. And in these, and the like kinds, it often falls out that somewhat is produced of nothing: for lies are sufficient to breed opinion, and opinion brings on substance. In military manders and soldiers, vainglory is an essential point。t know what that is! The journey of the witches on broomsticks is well enough known that journey is taken on St. John39。98).1998. [30] Ryan J.,Lin .,Miikkulainen detection with neural works, Proceedings of the 1997 conference on Advances in neural information processing systems 10,Denver,Colorado,United States,July 1998, [31] [32] [30] Spafford .,Zamboni detection using autonomous agents, Computer Networks,October 2020,34(4):547570 [33] Balasubramaniyan J.,GarciaFernandez .,Spafford .,Zamboni Architecture for Intrusion Detection using Autonomous of Computer Sciences,Purdue University。 系統(tǒng)的結(jié)構(gòu)圖 Figure of System Architecture 圖 2 系統(tǒng)結(jié)構(gòu)圖 系統(tǒng)開發(fā)和應(yīng)用的環(huán)境 硬件環(huán)境： P4 、 256M 內(nèi)存、 60G硬盤、 Combo光驅(qū)、 10M 以太網(wǎng)卡 軟件環(huán)境： 操作系統(tǒng)： Windows XP professional 服務(wù)器： 開發(fā)工具： Microsoft Visual C++ 本程序的界面及異常提示部分是使用 MFC編寫的，而核心算法是用標準 C++的 STL寫成的，所以核心算法有較高的可移 植性。 ，那么，今后試圖使用分號 ” 。 結(jié)構(gòu)推論模型 結(jié)構(gòu)推論模型在學習階段使用訓(xùn)練數(shù)據(jù)，為訓(xùn)練屬性構(gòu)建一個近似于真實語法的概括語法。 字符分布模型 字符分布模型在學習階段存儲了應(yīng)用程序?qū)傩缘睦硇曰址植迹?LCD），而后，在檢測階段，它利用 Pearsonχ 2檢驗確定屬性的字符分布的正常狀態(tài) ，如果模型被表示為異常，結(jié)果通過下面兩種方法之一被確定： 如果被檢測的字符分布表象為一種極具的下降，這表明有少量的字符出現(xiàn)的頻率很高。 令牌發(fā)現(xiàn)（ Token Finder） 令牌發(fā)現(xiàn)模型（ Token Finder Model）使用統(tǒng)計檢測來確定是否輸入域中是否包含一個令牌，它依賴于被檢測屬性的期望值是否在一個常量集合中來判斷是否發(fā)生了異常情況。他的的思想來源于觀察到的合法屬性值字符串一般有規(guī)則的語法形式。 這個模型的實現(xiàn)過程，在學習階段首先計算每個樣本屬性的平均值 (μ )和方差 (σ 2)，在檢測階段，一個給定的屬性長度 l，來自真實的屬性長度的分布情況，而異常的概率的計算基于Chebyshev不等式： l ：被檢測的屬性長度 μ ：樣本平均值 σ 2：樣本方差 22 )()(|)||(| ???? ?????? llplxp 公式 1 在 Chebyshev不等式中，約束條件越弱，結(jié)果中屬性長度的容忍范圍就越大。 異常檢測模型是一組程序，通過自身的學習過程，用以評價在檢測時期查詢屬性的特性?；蛩惴ɡ脤Α叭旧w”的編碼和相應(yīng)的變異及組合形成新的個體，算法通常針對需要進行優(yōu)化的系統(tǒng)變量進行編碼，作為構(gòu)成個體的“染色體”，因此，對處于多維系統(tǒng)的優(yōu)化非常有效。 (3)免疫系統(tǒng) 免疫系統(tǒng)最基本也是最重要的能力是識別“自我 /非自我”，即它能夠識別哪些組織是屬于正常機體的，不屬于正常的就認為是異常，這個概念和入侵檢測中的異常檢測的概念相似。它們采取了防止緩沖區(qū)溢出、增強文件保護、阻塞信號等手段，從而提高了攻擊者侵入系統(tǒng)的難度 (2)Agent 技術(shù) 目前，分布式的入侵檢測已成為入侵檢測系統(tǒng)的基本框架，近年來基于 Agent 的檢測技術(shù)逐漸引起研究者的重視?；谌斯ど窠?jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)的處理包括兩個階段：第一階段的目的是構(gòu)造入侵分析模型的檢測器，使用代表用戶行為的歷史數(shù)據(jù)進行訓(xùn)練，完成神經(jīng)網(wǎng)絡(luò)的構(gòu)建和組裝；第二階段則是入侵分析模型的實際運作階段，神經(jīng)網(wǎng)絡(luò)接收輸入的事件數(shù)據(jù)，與參考的歷史行為相比較，判斷出兩者的相似度或偏離度。 NIDES 包含基于規(guī)則的誤用檢測模塊和基于統(tǒng)計分析的異常檢測模塊，其統(tǒng)計分析技術(shù)支持對每一個系統(tǒng)用戶和系統(tǒng)主體建立歷史統(tǒng)計模式。異常入侵檢測要解決的問題就是構(gòu)造異常行為集并從中發(fā)現(xiàn)入侵行為子集。 簡單模式匹配雖然在性能上存在很大問題，但由于系統(tǒng)的實現(xiàn)、配置和維護都非常方便，因此得到了廣泛的應(yīng)用。其中， MIDAS、 IDES 和 NIDES 所采用的專家系統(tǒng)是由Alan Whitehurst 設(shè)計的 PBEST； DIDS 和 CMDS 使用的是 CLIPS。異常檢測的主要缺陷是誤報率非常高，此外，若入侵者了解到檢測規(guī)律，他們就能慢慢地訓(xùn)練檢測系統(tǒng)，避免系統(tǒng)指標的突變，以至于最初認為是異常的行為經(jīng)一段時間訓(xùn)練后也可能認為是正常的了。 (1)誤用檢測：是指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。 網(wǎng)絡(luò)數(shù)據(jù)是目前商業(yè)入侵檢測系統(tǒng)最為通用的信息來源，其基本原理是當網(wǎng)絡(luò)數(shù)據(jù)流在網(wǎng)段中傳播時，采用特殊的數(shù)據(jù)提取技術(shù)，收集網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，它通常利用一個工作在雜收模式 (Promiscuous mode)下的網(wǎng)卡來實時監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流。相對于操作系統(tǒng)審計記錄，系統(tǒng)日志更容易遭到惡意的破壞和修改，但系統(tǒng)日志更加直觀化，而且在某些特殊的環(huán)境下，可能無法獲得操作系統(tǒng)的審計記錄或者不事件產(chǎn)生器 事件分析器 事件數(shù)據(jù)庫 響應(yīng)單元 輸入：原始事件源 輸出：原始或低級事件 輸出：高級中級事件 輸出：反應(yīng)或事件 輸出：事件的存儲信息 能對審計記錄進行正確的釋義，此時系統(tǒng)日志就成為系統(tǒng)安全管理不可缺少的信息來源。事件分析器分析從其他組件收到的事件信息，并將產(chǎn)生的新信息再傳送給其他組件。但是，這兩個組織提出的草案或建議目前還正處于逐步完善之中，尚未被采納為廣泛接受的國際標準。此 文被認為是有關(guān) ID（ Intrusion Detection）的最早論述。計算機網(wǎng)絡(luò)安全從其本質(zhì)上來講就是系統(tǒng)上的信息安全。這方面的理論比較完備（主要是加密體制的建立和加密算法的運用），實現(xiàn)手段也比較完善。從第二次世界大戰(zhàn)后軍方、政府專享的通信保密，發(fā)展到 20 世紀 70 年代的數(shù)據(jù)保護、 90 年代的信息安全直至當今的信息保障，安全的概念已經(jīng)不局限于信息的保護，人們需要的是對整個信息系統(tǒng)的保護和防御。目前，全球使用 Inter 的用戶已經(jīng)超過 1億，并以更快速度增長。入侵檢測系統(tǒng)的主要特點是主動防御，即在入侵行為發(fā)生之前 或正在發(fā)生時就檢測出該行為。目前的入侵檢測方法主要分為兩類：誤用檢測和異常檢測。中國網(wǎng)民數(shù)量快速增長， 2020年上網(wǎng)人數(shù)人數(shù)比 1997 年增長了 128 倍。從事計算機和網(wǎng)絡(luò)安全的研究人員對信息系統(tǒng)的服務(wù)、傳輸媒介和協(xié)議的各個環(huán)節(jié)進行研究，確保網(wǎng)絡(luò)信息傳輸?shù)陌踩浴? (2)通信信任：網(wǎng)絡(luò)作為交流的重要手段，涉及到通信各方信任關(guān)系的建立與維護，這也是攻擊者比較感興趣的一個方面，因為信任關(guān)系的竊取就意味著數(shù)據(jù)訪問權(quán)力的獲取。計算機網(wǎng)絡(luò)安全是一門涉及計算機科學、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學、數(shù)論、信息論等多種學科的綜合性科學。目前對入侵檢測的定義主要采用的是美國國際計算機安全協(xié)會（ ICSA）對入侵檢測的定義：入侵檢測是通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。不過，它們?nèi)允侨肭謾z測領(lǐng)域最有影響力的建議，成為標準只是時間問題。分析器可以是一個輪廓描述工具，統(tǒng)計性地檢查現(xiàn)在的事件是否可能與以前某個事件來自同一個時間序列；也可以是一個特征檢測工具，用于在一個事件序列中檢查是否有已知的濫用攻擊特征；此外，事件分析器還可以是一個相關(guān)器，觀察事件之間的關(guān)系，將有聯(lián)系的事件放到一起，以利于以后的進一步分析。 基于主機的入侵檢測系統(tǒng)在 發(fā)展過程中融入了其他技術(shù)。系統(tǒng)的分析模塊通常使用模式匹配、統(tǒng)計分析等技術(shù)來識別攻擊行為。這種方法首先收集入侵行為的特征，建立相關(guān)的誤用模式庫；在后續(xù)的檢測過程中，將收集到的數(shù)據(jù)與特征庫中的特征代碼進行比較，得出是否入侵的結(jié)論。 入侵檢測技術(shù) 誤用檢測技術(shù) 基于誤用的入侵檢測技術(shù)的研究主要是從 20世紀 90年代中期開始當時主要的研究組織有 SRI， Purdue 大學和 California 大學的 Davis 分校誤用入侵檢測的主要假設(shè)是具有能夠被精確地按某種方式編碼的攻擊，并可以通過捕獲攻擊及重新整理，確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種。 (2)狀態(tài)轉(zhuǎn)換分析系統(tǒng) 狀態(tài)轉(zhuǎn)換分析系統(tǒng)主要是把攻擊行為描述成系統(tǒng)一系列狀態(tài)的轉(zhuǎn)化，通過對系統(tǒng)狀態(tài)的監(jiān)視找出攻擊。比較典型的系統(tǒng)由 Snort 和 Bro。