【正文】 異常入侵檢測(cè)方法依賴于異常模型的建立，不同模型就構(gòu)成不同的檢測(cè)方法。所建立的模式被定期地更新，可以及時(shí)地反映出用戶行為隨時(shí)間推移而產(chǎn)生的變化。 人工神經(jīng)網(wǎng)絡(luò)方法對(duì)異常檢測(cè)來說具有很多優(yōu)勢(shì)，論文 [2329]提出了一些基于人工神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法。 Agent 可以看做是在網(wǎng)絡(luò)中執(zhí)行某項(xiàng)特定監(jiān)視任務(wù)的軟件實(shí)體，通常以 自治的方式在目標(biāo)主機(jī)上運(yùn)行，本身只受操作系統(tǒng)的控制。生物免疫系統(tǒng)使用氨基酸、蛋白質(zhì)碎片來完成“自我”的分辨任務(wù)，計(jì)算機(jī)系統(tǒng)的某些屬性也可以充當(dāng)這種角色。從基因算法的角度，入侵檢測(cè)的過程可以抽象為：為審計(jì)事件記錄定義一種向量表示形式，這種向量或者對(duì)應(yīng)于攻擊行為，或者代表正常行為。在學(xué)習(xí) 階段，模型通過一組屬性給定的特征構(gòu)建出一個(gè)“正?！睂傩缘妮喞ㄍㄟ^屬性的長(zhǎng)度等），并為檢測(cè)屬性設(shè)定一個(gè)動(dòng)態(tài)監(jiān)測(cè)的閥值。 字符分布（ Character Distribution） 字符分布模型（ Character Distribution Model）的依據(jù)正常的屬性值一般有一個(gè)較為規(guī)則的字符 分 布 ， 而 且 這 些 字 符 通 常 是 人 可 讀 的 可 打 印 字 符 （ 例如： ”/?username=aaaamp。例如，一個(gè)合法的路徑一般只有字母數(shù)字和路徑分隔符組成 (. | / | [azAZ09] )。 在學(xué)習(xí)階段，每個(gè)屬性的唯一值被記錄在這個(gè)集合中，如果，這個(gè)集合的大小可以增長(zhǎng)到所有觀測(cè)屬性的總數(shù)（集合中每個(gè)記錄都不重復(fù)），那屬性的期望值是一個(gè)隨機(jī)值，否則，模型假設(shè)屬性的期望值是一個(gè)枚舉值。根據(jù)每個(gè)字符出現(xiàn)的的頻率值構(gòu)建一個(gè)字符分布向量，一般的形式為： C={(c1, f1) , (c2, f2) , . . . , (cm, fm)} 其中 ci是 出現(xiàn)頻率為第 i位的字符值， fi是這個(gè)字符出現(xiàn)的頻率。 在檢測(cè)階段，如果一個(gè)被檢測(cè)的屬性被結(jié)構(gòu)推論模型確定為異常 ，概括過程提取異常字符串的前綴和違反概括語法的第一個(gè)字符，用于預(yù)防其他的網(wǎng)絡(luò)攻擊。 ”字符執(zhí)行的攻擊將被分類器簡(jiǎn)單的劃為異常行為。 核心類及相應(yīng)的函數(shù) 數(shù)據(jù)格式轉(zhuǎn)換模塊： 屬性長(zhǎng)度數(shù)據(jù)轉(zhuǎn)換模塊類： StringProider 異常提示信息 檢測(cè)模塊 異常數(shù)據(jù)文件 訓(xùn)練模塊 訓(xùn)練數(shù)據(jù)文件 訓(xùn)練數(shù)據(jù)格式轉(zhuǎn)換 檢測(cè) 數(shù)據(jù)文件 檢測(cè) 數(shù)據(jù)格式轉(zhuǎn)換 讀取訓(xùn)練數(shù)據(jù) 輸入訓(xùn)練模塊 讀取檢測(cè) 數(shù)據(jù) 輸入檢測(cè) 模塊 訓(xùn)練結(jié)果 異常信 息 異常信息 核心算法 令牌數(shù)據(jù)轉(zhuǎn)換模塊類： Tokenproider GetItem()用于獲得日志數(shù)據(jù)，并進(jìn)行編碼 Value()用于返回當(dāng)前日志數(shù)據(jù) 訓(xùn)練和檢測(cè)模塊： 屬性長(zhǎng)度模型類： StringLengthModel 令牌發(fā)現(xiàn)模型類： TokenFinder switch_mode(ModelMode mode)用于在訓(xùn)練模式和檢測(cè)模式之間進(jìn)行轉(zhuǎn)換 insert_item(Item *_item)用 于在訓(xùn)練模式下，向模型中加入訓(xùn)練數(shù)據(jù) check_item(Item *item)用于在檢測(cè)模式下，測(cè)試給定的數(shù)據(jù)的異常得分，這個(gè)得分在 [0,1]之間， 0表示完全異常， 1表示完全正常 第 6 章 結(jié)論 隨著計(jì)算機(jī)及網(wǎng)絡(luò)應(yīng)用的日益廣泛深入，計(jì)算機(jī)系統(tǒng)已經(jīng)從獨(dú)立的主機(jī)發(fā)展到復(fù)雜的、互聯(lián)的開放式系統(tǒng)。Coast TR 9805。s eve, to the Brocken。 for as iron sharpens iron, so by glory one courage sharpeh another. In cases of great enterprise, upon charge and adventure, a position of glorious natures doth put life into business。 for he that you mend, is either superior to you, in that you mend, or inferior. If he be inferior, if he be to be mended, you much more。 the admiration of fools。s memory。s night through the air to Amack. They sit backwards on their painting b all lapse of time, and had bee a cipher and a nothing. Then three alone, or moveth upon greater means, if they have never so little hand in it, they think it is they that carry it They that are glorious, must needs be factious。計(jì)算機(jī)學(xué)報(bào)，第26卷第 1期： 7176) [40] Ludovic :a Geic Algorithm as an Alternative Tool for Security Trails Analysis,in the Proceedings of First International Symposium of Recent Advances in Intrusion Detection,1998. 54 Of Vainglory It was prettily devised of Aesop。本文系統(tǒng)地闡述了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)及其實(shí)現(xiàn)。 這個(gè)檢測(cè)的具體過程是： I是一個(gè)輸入向量，假設(shè)長(zhǎng)度為 n； 根據(jù) I確定另外兩個(gè)向量 A和 B： A[0]=0,B[0]=0 在第 n步時(shí)， A[n]=A[n1]+1 If( I[n] == I[n1]) B[n]=B[n1]+1 Else B[n]=B[n1]1 通過 KolgomorovSmirnov無參數(shù)的檢測(cè)方法，確定 A、 B向量是否是相關(guān)的， 平均數(shù)計(jì)算公式： n iXXA V G ?? ][)( X為長(zhǎng)度為 n的向量 方差計(jì)算公式： 1A V G (X ))(X [i ])V A RIA N CE (X2?? ? n X為長(zhǎng)度為 n的向量 協(xié)方差 計(jì)算公式： 1 ))(][))((][(),( ? ??? ? n YA V GiYXA V GiXYXCO V A R IA NCE X和 Y的長(zhǎng)度都相同，都為 n 計(jì)算步驟： rho= COVARANCE(A,B)/sqrt(VARANCE (A)*(VARANCE(B))) z= * log(( + rho)/( rho)) addend = / sqrt((double) (N 3)) upper = (exp(2*(z+addend)) 1) / (exp(2*(z+addend)) + 1) lower = (exp(2*(zaddend)) 1) / (exp(2*(zaddend)) + 1) 通過以上步驟得到兩個(gè)相關(guān)值： upper和 lower 如果 upper和 lower同號(hào)，則表示 A和 B相關(guān)，如果 A和 B異號(hào)，則表明 A和 B不相關(guān)。 字符串轉(zhuǎn)化到字符串前綴一般基于字符分類，例如，將所有的小寫字母被映射為“ a”，所有的大寫字母被影射為“ A”，所有的數(shù)字字符被影射為“ 0”，其他所有字符保持不變。 在檢測(cè)時(shí)期，一個(gè)被檢測(cè)的屬性值是不是異常屬性，將通過分析 Cobsv和 Corig得到結(jié)論 ，這里 Cobsv是 被檢測(cè)的屬性的字符分布向量， Corig是從訓(xùn)練信息中的字符分布向量。 第 4 章 異常 檢測(cè) 異常的檢測(cè)是根據(jù)不同的檢測(cè)模型提供的方法，根據(jù)學(xué)習(xí)階段得到的信息，對(duì)檢測(cè)階段的屬性進(jìn)行分析，已確定檢測(cè)屬性是否是異常屬性，以及相應(yīng)的異常得分。 模型在學(xué)習(xí)階段產(chǎn)生相應(yīng)的正則語法，它認(rèn)為觀測(cè)到的屬性值是一個(gè)正則語法的輸出。一般說來，一個(gè)給定屬性的值會(huì)有一個(gè)基本相似的字符分布情況，一個(gè)字符分布是由相對(duì)字符頻率的降序排列組成的 256個(gè) ASCII字符。也就是說，得分越接近 1，表示被檢測(cè)的屬性與“正?！睂傩缘南嚓P(guān)性越高，是異常的概率就越小，反之，得分越接近 0，表示越有可能是一個(gè)異常屬性。 GASSATA 系統(tǒng)通過定義一系列的向量表示形式，使用基因算法對(duì)系統(tǒng)事件進(jìn)行分類。免疫系統(tǒng)不但能夠記憶曾經(jīng)感染過的病原體的特征，還能夠有效檢測(cè)未知的病原體，這種能力是計(jì)算機(jī)安全系統(tǒng)所缺乏并且迫切需要擁有的?；?Agent 的入侵檢測(cè)系統(tǒng)可以為保障系統(tǒng)的安全提供混合式的架構(gòu)，綜合運(yùn)用誤用和異常檢測(cè)技術(shù)。人工神經(jīng)網(wǎng)絡(luò)方法應(yīng)用于入侵檢測(cè)所面臨的主要問題是系統(tǒng)能不能從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)到特定的知識(shí)，同時(shí)神經(jīng)網(wǎng)絡(luò)對(duì)判斷為異常的事件不會(huì)提供任何解釋或說明信息。基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)利用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析、序列模式分析等算法提取與安全相關(guān)的 系統(tǒng)特征屬性，并根據(jù)系統(tǒng)特征屬性生成安全事件的分類模型，用于對(duì)安全事件的自動(dòng)鑒別。“模式”通常使用一組系統(tǒng)的度量來定義，度量即用戶行為在特定方面的衡量標(biāo)準(zhǔn)。 異常入侵檢測(cè)的主要前提條件是入侵行為作為異常行為的子集。 狀態(tài)轉(zhuǎn)移分析技術(shù)首先在 STAT 系統(tǒng)及 USTAT 系統(tǒng)中實(shí)現(xiàn) NSTAT 是 STAT 的第二代系統(tǒng)， 主要關(guān)注網(wǎng)絡(luò)系統(tǒng)中的主機(jī)；最新一代的 STAT 系統(tǒng) NetSTAT 脫離了 STAT 傳統(tǒng)的基于主機(jī)的結(jié)構(gòu)，采用了網(wǎng)絡(luò)化的分布式檢測(cè)。 對(duì)于誤用檢測(cè)技術(shù)來說，最重要的技術(shù)問題是如何全面描述攻擊的特征，覆蓋此攻擊方法的變種和如何排除其他帶有干擾性的行為，減少誤報(bào)率。誤用檢測(cè)主要缺陷在于只能檢測(cè)已知的攻擊模式，當(dāng)出現(xiàn)針對(duì)新漏洞的攻擊手段或 針對(duì)舊漏洞的新攻擊方式時(shí)，需要由人工或其他機(jī)器學(xué)習(xí)系統(tǒng)得出新攻擊的特征模式，添加到誤用模式庫(kù)中，才能使系統(tǒng)具備檢測(cè)新的攻擊手段的能力。不同入侵檢測(cè)系統(tǒng)在實(shí)現(xiàn)時(shí)采用的響應(yīng)方式也可能不同，但通常都包括通知管理員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等。反應(yīng)的快慢取決于輪詢間隔時(shí)間的長(zhǎng)短。響應(yīng)單元處理收到的事件信息及分析 結(jié)果，并據(jù)此采取相應(yīng)的措施，如殺死相關(guān)進(jìn)程、 將連接復(fù)位、修改文件權(quán)限等。結(jié)構(gòu)如圖所示。這項(xiàng)研究由美國(guó)海軍空間與作戰(zhàn)系統(tǒng)司令部支持，它建議研究異常行為和誤用行為的相互關(guān)系。所以，廣義的計(jì)算機(jī)網(wǎng)絡(luò)安全還包括信息設(shè)備的物理安全性，諸如場(chǎng) 地環(huán)境保護(hù)、防火措施、防水措施、靜電防護(hù)、電源保護(hù)、空調(diào)設(shè)備、計(jì)算機(jī)輻射和計(jì)算機(jī)病毒等。 (3)通信性能：包括網(wǎng)絡(luò)系統(tǒng)的傳輸性能和端系統(tǒng)的處理能力，前者包括網(wǎng)絡(luò)通信雙方的連接建立、數(shù)據(jù)傳輸和連接終止的性能，后者包括數(shù)據(jù)處理能力和服務(wù)提供能力等。由于信息系 統(tǒng)在應(yīng)用中需要進(jìn)行安全保護(hù)的方面有著豐富的內(nèi)容，因此人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全性問題的研究總是圍繞著信息系統(tǒng)進(jìn)行。與此同時(shí)，關(guān)于黑客入侵的報(bào)道也呈指數(shù)增長(zhǎng)。 本文首先綜述了網(wǎng)絡(luò)安全的攻擊和防御手段及當(dāng)前的研究現(xiàn)狀。傳統(tǒng)的安全策略如防火墻或 VPN 主要注重防護(hù)，而防護(hù)相對(duì)進(jìn)攻來說總是滯后的。 最后運(yùn)用上述檢測(cè)技術(shù)在 Windows 平臺(tái)下，采用標(biāo)準(zhǔn) C++的 STL 和 MFC 設(shè)計(jì)了一個(gè)實(shí)現(xiàn)了 屬性長(zhǎng)度模型和令牌發(fā)現(xiàn)模型的 基于 Apache 服務(wù)器的入侵檢測(cè)系統(tǒng)，對(duì)Web 訪問的異常信息進(jìn)行檢測(cè)。因此，確保計(jì)算機(jī)和數(shù)據(jù)通信網(wǎng)絡(luò)的安全成為世人關(guān)注的社會(huì)問題，并成 為計(jì)算機(jī)科學(xué)技術(shù)的熱點(diǎn)領(lǐng)域。 網(wǎng)絡(luò)安全主要包含以下三個(gè)基本要素： (1)數(shù)據(jù)保護(hù)：數(shù)據(jù)包括在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)與端系統(tǒng)中的數(shù)據(jù)，從本質(zhì)上說這些電子意義上的數(shù)據(jù)都是 0 或 1 的組合，但是經(jīng)過特定的程序產(chǎn)生和處理之后，它們就具有了多種多樣的語義學(xué)上的意義。除了傳統(tǒng)的安全保密理論、技術(shù)及單機(jī)的安全問題以外，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)包括了計(jì)算機(jī)安全、通信安全、操作安全、訪問控制、實(shí)體安全、電磁安全、系統(tǒng)平臺(tái)與網(wǎng)絡(luò)站點(diǎn)的安全，以及安全管理和法律制裁等諸多內(nèi)容，并逐漸形成獨(dú)立的學(xué)科體系。作為防火墻的合理補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系 統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 DARPA提出的建議是公共入侵檢測(cè)框架（ CIDF），最早由加州大學(xué)戴維斯分校安全實(shí)驗(yàn)室主持起草工作。事件產(chǎn)生器的任務(wù)是從入侵檢測(cè)系統(tǒng)之外的計(jì)算環(huán)境中收集事件，并將這些事件傳送給其他組件。其數(shù)據(jù)來源主要包括操作系統(tǒng)審計(jì)記錄和 系統(tǒng)日志。 (2)基于網(wǎng)絡(luò)：入侵檢測(cè)系統(tǒng)獲取的數(shù)據(jù)來源是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的目標(biāo)是網(wǎng)絡(luò)的運(yùn)行。網(wǎng)絡(luò)數(shù)據(jù)源的特點(diǎn)是適用范圍廣、性價(jià)比高、隱蔽性好、對(duì)主機(jī)和網(wǎng)絡(luò)的性能影響較小，并且適于檢測(cè)基于網(wǎng)絡(luò)協(xié)議的攻擊。 異常檢測(cè)的優(yōu)點(diǎn)是具有抽象系統(tǒng)正常行為從而檢測(cè)系統(tǒng)異常行為的能力。專家系統(tǒng)應(yīng)用于入侵檢測(cè)時(shí)存在的問題包括系統(tǒng)性能完全取決于專家知識(shí)、只能檢測(cè)已知的攻擊模式和規(guī)則庫(kù)的維護(hù)任務(wù)艱巨。 (3)模式匹配系統(tǒng) 模式匹配系統(tǒng)主要是用一定的模式描述來提取攻擊的主要特征，通過匹配機(jī)制從審計(jì)事件中發(fā)現(xiàn)攻擊?？墒牵肭中袨椴⒉豢偸桥c異