【正文】 which is to be liberal of praise and mendation to others, in that wherein a man\39。s eve I was reading the book, and had lost myself in it so pletely, that I fot my usual New Year39。 第 5 章 系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) LibAnomaly是加利福尼亞大學(xué)圣塔芭芭拉分校的可靠軟件組開發(fā)的一個(gè)用于異常檢測的工具，它建立了一個(gè)異常檢測系統(tǒng)的框架， LibAnomaly使用 C++實(shí)現(xiàn)的在 GPL許可證下的自由軟件，但其主要運(yùn)行在 Linux和 Unix平臺下。 對于每個(gè) i,j(0≤ i,j≤ m)有： c d i s tjo r i gio b s v dff ?? |)m a x ( | , 其中， m為向量的長度。狀態(tài)合并目標(biāo)是盡量抓住中間區(qū)域（即避免過于簡化和過于概括），過于簡化的語法僅能識別原始的輸入，而過于概括的語法又會(huì)兼容所有可能的輸入，從而丟失結(jié)構(gòu)信息。 屬性長度（ Attribute Length） 屬性長度模型（ Attribute Length Model），又叫字符串長度模型（ String Length Model）是基于大部分屬性值的變動(dòng)都在一個(gè)長度范圍內(nèi)，這個(gè)長度可能是個(gè)確定值，也可能是個(gè)短長度，而惡意的屬性經(jīng)常違反這個(gè)假設(shè)，比如，緩沖區(qū)溢出，要包含 shellcode， shellcode要足夠的長，從而溢出受攻擊的進(jìn)程所給的緩沖區(qū)，從而達(dá)到控制目標(biāo)進(jìn)程的目的。對于“自我”訪問模式，系統(tǒng)為之提供相應(yīng)服務(wù)；對于“非我”訪問模式，系統(tǒng)認(rèn)為是異常訪問。這種檢測策略的特點(diǎn)是具有良好的檢測效率和數(shù)據(jù)源的可信度。統(tǒng)計(jì)分析方法的優(yōu)勢在于不必像誤用檢測系統(tǒng)那樣對規(guī)則庫不斷 地進(jìn)行更新和維護(hù)，其主要缺陷是不能提供對入侵行為的實(shí)時(shí)檢測。 (3)模式匹配系統(tǒng) 模式匹配系統(tǒng)主要是用一定的模式描述來提取攻擊的主要特征，通過匹配機(jī)制從審計(jì)事件中發(fā)現(xiàn)攻擊。 異常檢測的優(yōu)點(diǎn)是具有抽象系統(tǒng)正常行為從而檢測系統(tǒng)異常行為的能力。 (2)基于網(wǎng)絡(luò)：入侵檢測系統(tǒng)獲取的數(shù)據(jù)來源是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的目標(biāo)是網(wǎng)絡(luò)的運(yùn)行。事件產(chǎn)生器的任務(wù)是從入侵檢測系統(tǒng)之外的計(jì)算環(huán)境中收集事件，并將這些事件傳送給其他組件。作為防火墻的合理補(bǔ)充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系 統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 網(wǎng)絡(luò)安全主要包含以下三個(gè)基本要素： (1)數(shù)據(jù)保護(hù)：數(shù)據(jù)包括在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)與端系統(tǒng)中的數(shù)據(jù)，從本質(zhì)上說這些電子意義上的數(shù)據(jù)都是 0 或 1 的組合，但是經(jīng)過特定的程序產(chǎn)生和處理之后，它們就具有了多種多樣的語義學(xué)上的意義。 最后運(yùn)用上述檢測技術(shù)在 Windows 平臺下，采用標(biāo)準(zhǔn) C++的 STL 和 MFC 設(shè)計(jì)了一個(gè)實(shí)現(xiàn)了 屬性長度模型和令牌發(fā)現(xiàn)模型的 基于 Apache 服務(wù)器的入侵檢測系統(tǒng)，對Web 訪問的異常信息進(jìn)行檢測。 本文首先綜述了網(wǎng)絡(luò)安全的攻擊和防御手段及當(dāng)前的研究現(xiàn)狀。由于信息系 統(tǒng)在應(yīng)用中需要進(jìn)行安全保護(hù)的方面有著豐富的內(nèi)容，因此人們對計(jì)算機(jī)網(wǎng)絡(luò)的安全性問題的研究總是圍繞著信息系統(tǒng)進(jìn)行。所以，廣義的計(jì)算機(jī)網(wǎng)絡(luò)安全還包括信息設(shè)備的物理安全性，諸如場 地環(huán)境保護(hù)、防火措施、防水措施、靜電防護(hù)、電源保護(hù)、空調(diào)設(shè)備、計(jì)算機(jī)輻射和計(jì)算機(jī)病毒等。結(jié)構(gòu)如圖所示。反應(yīng)的快慢取決于輪詢間隔時(shí)間的長短。誤用檢測主要缺陷在于只能檢測已知的攻擊模式，當(dāng)出現(xiàn)針對新漏洞的攻擊手段或 針對舊漏洞的新攻擊方式時(shí)，需要由人工或其他機(jī)器學(xué)習(xí)系統(tǒng)得出新攻擊的特征模式，添加到誤用模式庫中，才能使系統(tǒng)具備檢測新的攻擊手段的能力。 狀態(tài)轉(zhuǎn)移分析技術(shù)首先在 STAT 系統(tǒng)及 USTAT 系統(tǒng)中實(shí)現(xiàn) NSTAT 是 STAT 的第二代系統(tǒng)， 主要關(guān)注網(wǎng)絡(luò)系統(tǒng)中的主機(jī)；最新一代的 STAT 系統(tǒng) NetSTAT 脫離了 STAT 傳統(tǒng)的基于主機(jī)的結(jié)構(gòu)，采用了網(wǎng)絡(luò)化的分布式檢測。“模式”通常使用一組系統(tǒng)的度量來定義，度量即用戶行為在特定方面的衡量標(biāo)準(zhǔn)。人工神經(jīng)網(wǎng)絡(luò)方法應(yīng)用于入侵檢測所面臨的主要問題是系統(tǒng)能不能從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)到特定的知識，同時(shí)神經(jīng)網(wǎng)絡(luò)對判斷為異常的事件不會(huì)提供任何解釋或說明信息。免疫系統(tǒng)不但能夠記憶曾經(jīng)感染過的病原體的特征，還能夠有效檢測未知的病原體，這種能力是計(jì)算機(jī)安全系統(tǒng)所缺乏并且迫切需要擁有的。也就是說，得分越接近 1，表示被檢測的屬性與“正?！睂傩缘南嚓P(guān)性越高，是異常的概率就越小，反之，得分越接近 0，表示越有可能是一個(gè)異常屬性。 模型在學(xué)習(xí)階段產(chǎn)生相應(yīng)的正則語法，它認(rèn)為觀測到的屬性值是一個(gè)正則語法的輸出。 在檢測時(shí)期，一個(gè)被檢測的屬性值是不是異常屬性，將通過分析 Cobsv和 Corig得到結(jié)論 ，這里 Cobsv是 被檢測的屬性的字符分布向量， Corig是從訓(xùn)練信息中的字符分布向量。 這個(gè)檢測的具體過程是： I是一個(gè)輸入向量，假設(shè)長度為 n； 根據(jù) I確定另外兩個(gè)向量 A和 B： A[0]=0,B[0]=0 在第 n步時(shí)， A[n]=A[n1]+1 If( I[n] == I[n1]) B[n]=B[n1]+1 Else B[n]=B[n1]1 通過 KolgomorovSmirnov無參數(shù)的檢測方法，確定 A、 B向量是否是相關(guān)的， 平均數(shù)計(jì)算公式： n iXXA V G ?? ][)( X為長度為 n的向量 方差計(jì)算公式： 1A V G (X ))(X [i ])V A RIA N CE (X2?? ? n X為長度為 n的向量 協(xié)方差 計(jì)算公式： 1 ))(][))((][(),( ? ??? ? n YA V GiYXA V GiXYXCO V A R IA NCE X和 Y的長度都相同，都為 n 計(jì)算步驟： rho= COVARANCE(A,B)/sqrt(VARANCE (A)*(VARANCE(B))) z= * log(( + rho)/( rho)) addend = / sqrt((double) (N 3)) upper = (exp(2*(z+addend)) 1) / (exp(2*(z+addend)) + 1) lower = (exp(2*(zaddend)) 1) / (exp(2*(zaddend)) + 1) 通過以上步驟得到兩個(gè)相關(guān)值： upper和 lower 如果 upper和 lower同號，則表示 A和 B相關(guān)，如果 A和 B異號，則表明 A和 B不相關(guān)。計(jì)算機(jī)學(xué)報(bào)，第26卷第 1期： 7176) [40] Ludovic :a Geic Algorithm as an Alternative Tool for Security Trails Analysis,in the Proceedings of First International Symposium of Recent Advances in Intrusion Detection,1998. 54 Of Vainglory It was prettily devised of Aesop。s memory。 for he that you mend, is either superior to you, in that you mend, or inferior. If he be inferior, if he be to be mended, you much more。s eve, to the Brocken。 核心類及相應(yīng)的函數(shù) 數(shù)據(jù)格式轉(zhuǎn)換模塊： 屬性長度數(shù)據(jù)轉(zhuǎn)換模塊類： StringProider 異常提示信息 檢測模塊 異常數(shù)據(jù)文件 訓(xùn)練模塊 訓(xùn)練數(shù)據(jù)文件 訓(xùn)練數(shù)據(jù)格式轉(zhuǎn)換 檢測 數(shù)據(jù)文件 檢測 數(shù)據(jù)格式轉(zhuǎn)換 讀取訓(xùn)練數(shù)據(jù) 輸入訓(xùn)練模塊 讀取檢測 數(shù)據(jù) 輸入檢測 模塊 訓(xùn)練結(jié)果 異常信 息 異常信息 核心算法 令牌數(shù)據(jù)轉(zhuǎn)換模塊類： Tokenproider GetItem()用于獲得日志數(shù)據(jù)，并進(jìn)行編碼 Value()用于返回當(dāng)前日志數(shù)據(jù) 訓(xùn)練和檢測模塊： 屬性長度模型類： StringLengthModel 令牌發(fā)現(xiàn)模型類： TokenFinder switch_mode(ModelMode mode)用于在訓(xùn)練模式和檢測模式之間進(jìn)行轉(zhuǎn)換 insert_item(Item *_item)用 于在訓(xùn)練模式下，向模型中加入訓(xùn)練數(shù)據(jù) check_item(Item *item)用于在檢測模式下，測試給定的數(shù)據(jù)的異常得分，這個(gè)得分在 [0,1]之間， 0表示完全異常， 1表示完全正常 第 6 章 結(jié)論 隨著計(jì)算機(jī)及網(wǎng)絡(luò)應(yīng)用的日益廣泛深入，計(jì)算機(jī)系統(tǒng)已經(jīng)從獨(dú)立的主機(jī)發(fā)展到復(fù)雜的、互聯(lián)的開放式系統(tǒng)。 在檢測階段，如果一個(gè)被檢測的屬性被結(jié)構(gòu)推論模型確定為異常 ，概括過程提取異常字符串的前綴和違反概括語法的第一個(gè)字符，用于預(yù)防其他的網(wǎng)絡(luò)攻擊。 在學(xué)習(xí)階段，每個(gè)屬性的唯一值被記錄在這個(gè)集合中，如果，這個(gè)集合的大小可以增長到所有觀測屬性的總數(shù)（集合中每個(gè)記錄都不重復(fù)），那屬性的期望值是一個(gè)隨機(jī)值，否則，模型假設(shè)屬性的期望值是一個(gè)枚舉值。 字符分布（ Character Distribution） 字符分布模型（ Character Distribution Model）的依據(jù)正常的屬性值一般有一個(gè)較為規(guī)則的字符 分 布 ， 而 且 這 些 字 符 通 常 是 人 可 讀 的 可 打 印 字 符 （ 例如： ”/?username=aaaamp。從基因算法的角度，入侵檢測的過程可以抽象為：為審計(jì)事件記錄定義一種向量表示形式，這種向量或者對應(yīng)于攻擊行為，或者代表正常行為。 Agent 可以看做是在網(wǎng)絡(luò)中執(zhí)行某項(xiàng)特定監(jiān)視任務(wù)的軟件實(shí)體，通常以 自治的方式在目標(biāo)主機(jī)上運(yùn)行，本身只受操作系統(tǒng)的控制。所建立的模式被定期地更新，可以及時(shí)地反映出用戶行為隨時(shí)間推移而產(chǎn)生的變化。比較典型的系統(tǒng)由 Snort 和 Bro。 入侵檢測技術(shù) 誤用檢測技術(shù) 基于誤用的入侵檢測技術(shù)的研究主要是從 20世紀(jì) 90年代中期開始當(dāng)時(shí)主要的研究組織有 SRI， Purdue 大學(xué)和 California 大學(xué)的 Davis 分校誤用入侵檢測的主要假設(shè)是具有能夠被精確地按某種方式編碼的攻擊，并可以通過捕獲攻擊及重新整理，確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。系統(tǒng)的分析模塊通常使用模式匹配、統(tǒng)計(jì)分析等技術(shù)來識別攻擊行為。分析器可以是一個(gè)輪廓描述工具，統(tǒng)計(jì)性地檢查現(xiàn)在的事件是否可能與以前某個(gè)事件來自同一個(gè)時(shí)間序列；也可以是一個(gè)特征檢測工具，用于在一個(gè)事件序列中檢查是否有已知的濫用攻擊特征；此外，事件分析器還可以是一個(gè)相關(guān)器，觀察事件之間的關(guān)系，將有聯(lián)系的事件放到一起，以利于以后的進(jìn)一步分析。目前對入侵檢測的定義主要采用的是美國國際計(jì)算機(jī)安全協(xié)會(huì)（ ICSA）對入侵檢測的定義：入侵檢測是通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。 (2)通信信任：網(wǎng)絡(luò)作為交流的重要手段，涉及到通信各方信任關(guān)系的建立與維護(hù)，這也是攻擊者比較感興趣的一個(gè)方面，因?yàn)樾湃侮P(guān)系的竊取就意味著數(shù)據(jù)訪問權(quán)力的獲取。中國網(wǎng)民數(shù)量快速增長， 2020年上網(wǎng)人數(shù)人數(shù)比 1997 年增長了 128 倍。入侵檢測系統(tǒng)的主要特點(diǎn)是主動(dòng)防御，即在入侵行為發(fā)生之前 或正在發(fā)生時(shí)就檢測出該行為。從第二次世界大戰(zhàn)后軍方、政府專享的通信保密，發(fā)展到 20 世紀(jì) 70 年代的數(shù)據(jù)保護(hù)、 90 年代的信息安全直至當(dāng)今的信息保障，安全的概念已經(jīng)不局限于信息的保護(hù)，人們需要的是對整個(gè)信息系統(tǒng)的保護(hù)和防御。計(jì)算機(jī)網(wǎng)絡(luò)安全從其本質(zhì)上來講就是系統(tǒng)上的信息安全。但是，這兩個(gè)組織提出的草案或建議目前還正處于逐步完善之中，尚未被采納為廣泛接受的國際標(biāo)準(zhǔn)。相對于操作系統(tǒng)審計(jì)記錄，系統(tǒng)日志更容易遭到惡意的破壞和修改，但系統(tǒng)日志更加直觀化，而且在某些特殊的環(huán)境下，可能無法獲得操作系統(tǒng)的審計(jì)記錄或者不事件產(chǎn)生器 事件分析器 事件數(shù)據(jù)庫 響應(yīng)單元 輸入：原始事件源 輸出：原始或低級事件 輸出：高級中級事件 輸出：反應(yīng)或事件 輸出：事件的存儲(chǔ)信息 能對審計(jì)記錄進(jìn)行正確的釋義，此時(shí)系統(tǒng)日志就成為系統(tǒng)安全管理不可缺少的信息來源。 (1)誤用檢測：是指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。其中， MIDAS、 IDES 和 NIDES 所采用的專家系統(tǒng)是由Alan Whitehurst 設(shè)計(jì)的 PBEST； DIDS 和 CMDS 使用的是 CLIPS。異常