【正文】 分析時首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導致系統(tǒng)進入被入侵狀態(tài)必須執(zhí)行的操作(特征事件)。這種方法的缺陷也和所有基于知識的檢測方法一樣，即需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識庫。 基于知識的檢測基于知識的檢測指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。則這個特征值可以用所有Si值的加權(quán)平方和來表示：　　M=a1s12+ a2s22+…+ ansn2，ai0，其中ai表示每一特征的權(quán)重。分析系統(tǒng)可以采用兩種類型的檢測技術(shù)，基于行為的檢測和基于知識的檢測。 推與拉技術(shù)存儲系統(tǒng)從事件發(fā)生器（網(wǎng)絡引擎、主機代理）和其他部件中提取數(shù)據(jù)有兩種方案：推(PUSH)和拉(PULL)。 數(shù)據(jù)縮減 即使編寫的很好的過濾器也會出現(xiàn)誤報警。第一種選擇的優(yōu)點在于，一旦制定了載入原始數(shù)據(jù)的方法并對它們進行處理，就解決的數(shù)據(jù)載入的所有問題。因為通常網(wǎng)絡數(shù)據(jù)都是停留在換的網(wǎng)段內(nèi)部。對于用戶行為的分析也是一個監(jiān)測方面。一個進程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。 主機代理基于主機的入侵檢測要依賴于特定的操作系統(tǒng)和審計跟蹤日志獲取信息，此類系統(tǒng)的原始數(shù)據(jù)來源受到所依附具體操作系統(tǒng)平臺的限制，系統(tǒng)的實現(xiàn)主要針對某種特定的系統(tǒng)平臺，在環(huán)境適應性、可移植性方面問題較多。數(shù)據(jù)分析函數(shù)不僅僅由數(shù)據(jù)包觸發(fā)，也可以是系統(tǒng)定義的某一個事件來觸發(fā)?？梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹，一個特定的協(xié)議是該樹結(jié)構(gòu)中的一個結(jié)點，可以用一棵二叉樹來表示（如圖3－3）。HTTP協(xié)議規(guī)定第55字節(jié)是URL開始處，我們要檢測供給特征“GET /cgibin/./phf”，因此要仔細檢測這個URL。但以上的匹配方法卻不能檢測。4．使用具有網(wǎng)絡接口檢測功能的主機代理。如果檢測器要在交換網(wǎng)絡中工作，就必須對它進行測試。2. 檢測器在防火墻內(nèi)有一些研究者認為檢測器應放在防火墻內(nèi)部，這種做法也有幾個充分理由，他們認為，如果攻擊者能夠發(fā)現(xiàn)檢測器，就可能會對檢測器進行攻擊，從而減小攻擊者的行動被審計的機會，防火墻內(nèi)的系統(tǒng)會比外面的系統(tǒng)脆弱性少一些，如果檢測器在防火墻內(nèi)就會少一些干擾，從而有可能減少誤報警 。也可以采取保護性措施，如切斷入侵者的TCP連接、修改路由器的訪問控制策略等。圖2－1 ODID系統(tǒng)框圖 ODIDS的主要部件有：網(wǎng)絡引擎(Network Engine)、主機代理(Host Agent)、存儲系統(tǒng)(Storage System)、分析系統(tǒng)(analyzer)、響應系統(tǒng)(Response System)、控制臺（Manager Console）。可擴展性要求：因為存在成千上萬種不同的已知和未知的攻擊手段，它們的攻擊行為特征也各不相同。借或網(wǎng)絡的每一個數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費時間和系統(tǒng)資源。基于異常的檢測技術(shù)的核心是維護一個入侵模式庫。2．基于神經(jīng)網(wǎng)絡的攻擊檢測技術(shù)[12]如上所述，基于審計統(tǒng)計數(shù)據(jù)的攻擊檢測系統(tǒng)，具有一些天生的弱點，因為用戶的行為可以是非常復雜的，所以想要準確匹配一個用戶的歷史行為和當前的行為是相當困難的。在下一代的入侵檢測系統(tǒng)中，將把現(xiàn)在的基于網(wǎng)絡和基于主機這兩種檢測技術(shù)很好地集成起來，提供集成化的攻擊簽名、檢測、報告和事件關(guān)聯(lián)功能。所以攻擊者無法轉(zhuǎn)移證據(jù)。在這方面，基于主機的IDS是基于網(wǎng)絡的IDS完美補充，網(wǎng)絡部分可以盡早提供警告，主機部分可以確定攻擊成功與否2．基于網(wǎng)絡的入侵檢測系統(tǒng)基于網(wǎng)絡的入侵檢測系統(tǒng)使用原始網(wǎng)絡包作為數(shù)據(jù)源。l 視野集中 一旦入侵者得到了一個主機的用戶名和口令，基于主機的代理是最有可能區(qū)分正常的活動和非法的活動的。這類檢測方法將基于網(wǎng)絡的入侵檢測的基本方法融入到基于主機的檢測環(huán)境中。防護、檢測和響應組成了一個完整的、動態(tài)的安全循環(huán)。即防外不防內(nèi)。但是，“什么事情也沒有”也正是導致忽視安全問題的原因所在。本課題是網(wǎng)絡安全實驗室自擬課題“網(wǎng)絡數(shù)據(jù)分析”的一部分。作者簽名：　　 　 　　 日　 期：　　 　 　　 學位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導師的指導下獨立進行研究所取得的研究成果。他對計算機和網(wǎng)絡資源上的惡意使用行為進行識別和響應，它不僅檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動。本人授權(quán)　　 　 　大學可以將本學位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進行檢索，可以采用影印、縮印或掃描等復制手段保存和匯編本學位論文。入侵檢測系統(tǒng)在未來的網(wǎng)絡安全和軍事斗爭中將起到非常重要的作用。傳統(tǒng)的信息安全技術(shù)都集中在系統(tǒng)自身的加固和防護上。一般來說，由多個系統(tǒng)（路由器、過濾器、代理服務器、網(wǎng)關(guān)、堡壘主機）組成的防火墻，管理上有所疏忽是在所難免的。在這一較為簡單的環(huán)境里，檢查可疑行為的檢驗記錄是很常見的操作。l 更加細膩 這種方法可以很容易地監(jiān)測一些活動，如對敏感文件、目錄、程序或端口的存取，而這些活動很難在基于網(wǎng)絡的系統(tǒng)中被發(fā)現(xiàn)。因為它們不需要在網(wǎng)絡上另外安裝登記、維護及管理的硬件設備。實際上，許多客戶在最初使用IDS時，都配置了基于網(wǎng)絡的入侵檢測。l 占資源少 在被保護的設備上不用占用任何資源。檢測主要判別所搜集到的數(shù)據(jù)特征是否在所收集到的入侵模式庫中出現(xiàn)。由此專家系統(tǒng)自動進行對所涉及的攻擊操作的分析工作。它將一個入侵檢測系統(tǒng)分為以下組件：l 事件產(chǎn)生器（Event generators）l 事件分析器（Event analyzersl 響應單元（Response units ）l 事件數(shù)據(jù)庫（Event databases ）CIDF將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（event）,它可以是基于網(wǎng)絡的入侵檢測系統(tǒng)中網(wǎng)絡中的數(shù)據(jù)包，也可以是基于主機的入侵檢測系統(tǒng)從系統(tǒng)日志等其他途徑得到的信息。在如今每天都有新漏洞發(fā)布、每天都有新的攻擊方法產(chǎn)生的情況下顯然不能滿足安全需求。適應性也包括入侵檢測系統(tǒng)本身對其宿主平臺的適應性，即：跨平臺工作的能力，適應其宿主平臺軟、硬件配置的各種不同情況。 存儲系統(tǒng)的作用是用來存貯事件產(chǎn)生器捕獲的原始數(shù)據(jù)、分析結(jié)果等重要數(shù)據(jù)。在大型網(wǎng)絡中，分析系統(tǒng)工作負載大、存儲系統(tǒng)工作量也大，所以應該分布在不同的計算機上。它們可不僅僅是個口號。由于交換機不采用共享媒質(zhì)的辦法，傳統(tǒng)的采用一個sniffer來監(jiān)聽整個子網(wǎng)的辦法不再可行。他的分析速度快、誤報率小等優(yōu)點是其它分析方法不可比擬的。協(xié)議分析有效利用了網(wǎng)絡協(xié)議的層次性和相關(guān)協(xié)議的知識快速地判斷攻擊特征是否存在。網(wǎng)絡監(jiān)聽模塊的過濾功能的效率是該網(wǎng)絡監(jiān)聽的關(guān)鍵，因為對于網(wǎng)絡上的每一數(shù)據(jù)包都會使用該模塊過濾，判斷是否符合過濾條件。協(xié)議名稱是該協(xié)議的唯一標志。如發(fā)現(xiàn)一個HTTP請求某個服務器上的“/cgibin/phf”,這很很可能是一個攻擊者正在尋找系統(tǒng)的CGI漏洞。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應的應急響應程序。日志分析： 日志分析是最早出現(xiàn)的入侵檢測的方法，開始于六、七十年代。比如對于斷口掃描的檢測，在網(wǎng)絡接口防護中檢測對本地主機的斷口掃描比在網(wǎng)絡引擎中檢測要容易得多。2. 網(wǎng)絡棧在數(shù)據(jù)包到達主機網(wǎng)絡接口檢測器之前即已將它們解密。如果每個數(shù)據(jù)得到就提交一次，這樣對信息處理會提供方便但對影響系統(tǒng)的運行性能。這個數(shù)據(jù)庫應該建立多重索引和優(yōu)化，以便能夠進行最有效的搜索。經(jīng)過一段時間的觀察，攻擊者就能夠判斷出哪些是檢測器所忽略的。尤其在用戶數(shù)目眾多，或工作目的經(jīng)常改變的環(huán)境中。其次，定義是否入侵的判斷閾值也比較困難。并且檢測范圍受已知知識的局限，尤其是難以檢測出內(nèi)部人員的入侵行為，如合法用戶的泄漏，因為這些入侵行為并沒有利用系統(tǒng)脆弱性。檢測時先將這些攻擊腳本的子集看作系統(tǒng)正面臨的攻擊。雖然很復雜的入侵特征能用Petri網(wǎng)表達得很簡單，但是對原始數(shù)據(jù)匹配時的計算量卻會很大?！　∧Ｐ屯评矸椒ǖ膬?yōu)越性有：對不確定性的推理有合理的數(shù)學理論基礎，同時決策器使得攻擊腳本可以與審計記錄的上下文無關(guān)。在具體實現(xiàn)中，專家系統(tǒng)主要面臨一下問題：1. 全面性問題，即難以科學地從各種入侵手段中抽象出全面的規(guī)則化知識；2. 效率問題，即所需處理的數(shù)據(jù)量過大，而且在大型系統(tǒng)上，如何獲得實時連續(xù)的審計數(shù)據(jù)也是個問題。根據(jù)用戶的代表性命令序列訓練網(wǎng)絡后，該網(wǎng)絡就形成了相應用戶的特征表，于是網(wǎng)絡對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度。用于描述特征的變量類型有：1)操作密度：度量操作執(zhí)行的速率，常用于檢測通過長時間平均覺察不到的異常行為；2)審計記錄分布：度量在最新紀錄中所有操作類型的分布；3)范疇尺度：度量在一定動作范疇內(nèi)特定操作的分布情況；4)數(shù)值尺度：度量那些產(chǎn)生數(shù)值結(jié)果的操作，如CPU使用量，I/O使用量。但拉結(jié)構(gòu)有一個很好的應用就是隱藏檢測器。 系統(tǒng)提供兩種保存原始數(shù)據(jù)的設置方式：按時間和按存儲容量。為了提高檢測粒度，就可以將提交的數(shù)量適量增大。我們選擇現(xiàn)有的數(shù)據(jù)庫系統(tǒng)來建立存儲系統(tǒng)。隨著網(wǎng)絡速度的加快，有時候網(wǎng)絡傳感器的工作速度可能無法跟上網(wǎng)絡數(shù)據(jù)傳輸?shù)乃俣取９粽咭话愣紩砑?、刪除或更改一些敏感的文件獲得權(quán)限或者留下后門，所以檢測這些文件的改變可以得到攻擊的信息。3．程序執(zhí)行中的不期望行為網(wǎng)絡系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡服務、用戶起動的程序和特定目的的應用，例如數(shù)據(jù)庫服務器。對于已經(jīng)有的分析功能，可以在入侵特征數(shù)據(jù)庫中添加新的入侵特征，以增強現(xiàn)有模式匹配分析方法的檢測能力。圖3－3 協(xié)議樹示意圖數(shù)據(jù)分析：數(shù)據(jù)分析模塊的功能是分析某一特定協(xié)議數(shù)據(jù)，得出是否關(guān)注該主機的結(jié)論。數(shù)據(jù)包監(jiān)聽設備驅(qū)動程序直接從數(shù)據(jù)鏈路層取得網(wǎng)絡數(shù)據(jù)包不加修改地傳遞給運行在用戶層的應用程序，他在不同的WINDOWS系統(tǒng)下是不同。2〕 IP協(xié)議規(guī)定IP包的第24字節(jié)處有一個1字節(jié)的第四層協(xié)議標識。下面給出一個例子可以很高的說明其工作原理。優(yōu)點：可得到幾乎所有關(guān)鍵數(shù)據(jù)。4. 檢測器的其他位置檢測器最通常的位置在防火墻外，但這當然不是唯一一個對機構(gòu)有利的擺放位置。DMZ 是介于ISP和最外端防火墻界面之間的區(qū)域。同時負責分布式攻擊進行檢測。 系統(tǒng)概述 ODIDS系統(tǒng)是基于部件的分布式入侵檢測系統(tǒng)。但入侵檢測系統(tǒng)不能很好的和其他安全產(chǎn)品協(xié)作。在現(xiàn)有的入侵檢測系統(tǒng)中，經(jīng)常用數(shù)據(jù)采集部分、分析部分和響應部分來分別代替事件產(chǎn)生器、事件分析器和響應單元這些術(shù)語。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動。審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計模型進行監(jiān)測，當發(fā)現(xiàn)有可疑的用戶行為發(fā)生時，保持跟蹤并監(jiān)測該用戶的行為?；诰W(wǎng)絡的入侵檢測系統(tǒng)可以研究負載的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的入侵檢測系統(tǒng)迅速識別。l 視野更寬 基于網(wǎng)絡的入侵檢測甚至可以在網(wǎng)絡的邊緣上，即攻擊者還沒能接入網(wǎng)絡時就被發(fā)現(xiàn)并制止。基于主機的入侵檢測系統(tǒng)可安裝在所需的重要主機上，在交換的環(huán)境中具有更高的能見度。一旦發(fā)生了更改，基于主機的IDS就能檢測到這種不適當?shù)母?。如果匹配，系統(tǒng)就會向管理員報警并向別的目標報告，以采取措施。再次，保證信息系統(tǒng)安全的經(jīng)典手段是“存取控制”或“訪問控制”，這種手段在經(jīng)典的以及現(xiàn)代的安全理論中都是實行系統(tǒng)安全策略的最重要的手段。這些措施實際上就是一些緊急應對和響應措施。系統(tǒng)性能的高低在一定程度上可以通過量化指標來表現(xiàn)。入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。關(guān)鍵字 入侵檢測；模式匹配AbstractWith more and more site intruded by hackers, security expert found than only use crypt technology to build a security system is not enough. The Intrusion Detection is a new security technology, apart from tradition security protect technology, such as firewall and data crypt. IDSs watch the puter and network traffic for intrusive and suspicious activities. they not only detect the intrusion from the Extranet hacker, but also the intranet users.We design a ponentbased Intrusion Detection System, which has good distribute and scalable ability. It bine the networkbased IDS and hostbased IDS into a system, and provide detection, report and respone together.In the implement of the network engine, the bination of network protocol analyze and pattern match technology is used, and reduce scope to search. We also improved pattern match algorithm, the network engine can search intrusion signal more quickly. We use network interface detection in host agent, which will enable the IDS