【正文】 ................... 98 本章小結(jié) .................................................... 99 第七章 總結(jié)與展望 ...................................... 100 本論文對(duì)相關(guān)項(xiàng)目的貢獻(xiàn) ..................................... 100 本論文的總結(jié) ............................................... 100 關(guān)于未來(lái)研究的展望 ......................................... 101 參考文獻(xiàn) .............................................. 102 致 謝 ................................................ 104 在讀期間發(fā)表的學(xué)術(shù)論文與取得的其他研究成果 錯(cuò)誤 !未定義書簽。對(duì)于企業(yè)來(lái)說(shuō)，商場(chǎng)如戰(zhàn)場(chǎng)，而商機(jī)往往由及時(shí)可靠的信息獲取來(lái)決定，許多公司企業(yè)的網(wǎng)絡(luò)中往往會(huì)存在一些涉及商業(yè)機(jī)密的重要文件，這些文件往往成為一些商業(yè)計(jì)劃成敗的關(guān)鍵，一旦泄漏，對(duì)公司企業(yè)的打擊 是沉重的。 國(guó)內(nèi)外研究現(xiàn)狀 入侵檢測(cè)的研究可追溯到 20 世紀(jì) 80 年代，早在 1980 年， Anderson 等人就給出了入侵檢測(cè)的概念，并提出利用審計(jì)信息來(lái)跟蹤用戶可疑行為的入侵檢測(cè)方法。國(guó)內(nèi)在入侵檢測(cè)研究方面雖然起步較晚，但發(fā)展很快，目前在公安部取得銷售許可證的安全廠商已有 30 余家，主要的企業(yè)及其產(chǎn)品有 ： 啟明星辰 (VenusTech)的天聞、北方計(jì)算 中心 的 NIDS detector、遠(yuǎn)東科技的黑客煞星、金諾網(wǎng)安的KIDS、綠盟的冰之眼 IDS 等。目前，網(wǎng)絡(luò)攻擊圖自動(dòng)生成的研究主要有兩種方法 ： 基于模型檢測(cè)技術(shù)的方法和基于圖論的方法 。 (2)誤用的 (Misuse)IDS： 誤用檢測(cè)也叫基于知識(shí)的檢測(cè)，是指運(yùn)用已知的攻擊方法，根據(jù)已定義好的入侵模式，通過(guò)判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)入侵。 在早期的入侵檢測(cè)系統(tǒng)中，都是采取被動(dòng)響應(yīng)方式。如上所述，入侵檢測(cè)研究的領(lǐng)域很多，本文對(duì)其中若干子課題作了研究，分別是網(wǎng)絡(luò)攻擊模型研究、入侵檢測(cè)方法研究以及 IDS 體系結(jié)構(gòu)研究。詳細(xì)分析了論文的研究背景、意義及技術(shù)難點(diǎn)，給出了論文的主 要研究工作和創(chuàng)新點(diǎn)。根據(jù)所檢測(cè)數(shù)據(jù)的來(lái)源不同，入侵檢測(cè)技術(shù)經(jīng)歷了基于主機(jī)的入侵檢測(cè)技術(shù)、基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)和分布式入侵檢測(cè)技術(shù)三個(gè)發(fā)展時(shí)期。而且隨著分布式網(wǎng)絡(luò)攻擊的出現(xiàn)，分布式入侵檢測(cè)技術(shù)也應(yīng)運(yùn)而生。 異常檢測(cè) (Anomaly Detection)的概念在 James Anderson 早期的文章中就有體現(xiàn) ， 他提出可以根據(jù)用戶行為的一些統(tǒng)計(jì)信息來(lái)判定系統(tǒng)的不正常使用模式，從而發(fā)現(xiàn)“偽裝者”，這正是異常檢測(cè)的基本思想。 學(xué)習(xí)能力是指入侵檢測(cè)技術(shù)能夠從實(shí)際應(yīng)用中學(xué)習(xí)到新模式的能力，從而能夠自適應(yīng)地對(duì)檢測(cè)模型進(jìn)行更新和調(diào)整，適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。如果到達(dá)危險(xiǎn)狀態(tài)，表示當(dāng)前可能正在發(fā)生入侵事件。然而，增加了創(chuàng)建每一種入侵檢測(cè)模型的開銷是這種方法的缺點(diǎn)。如果入侵者知道自己的入侵行為被這樣的異常檢測(cè)器監(jiān)視，那么他就可以誘導(dǎo)這個(gè)系統(tǒng)，使得那些大部分依靠行為統(tǒng)計(jì)測(cè)量的入侵檢測(cè)系統(tǒng)方法對(duì)監(jiān)視的特定的事件模式失效； 3)難以確定異常閥值，閥值設(shè)置偏低或高均會(huì)導(dǎo)致誤警事件 。然而也存在一些問題，比如通常神經(jīng)網(wǎng)絡(luò)的訓(xùn)練時(shí)間長(zhǎng)，容易陷入局部極小點(diǎn)，同時(shí)神經(jīng)網(wǎng)絡(luò)不能為建立的 檢測(cè)模型提供合理的解釋或說(shuō)明信息。同時(shí)，對(duì)末知攻擊的檢測(cè)也不夠理想。 分布式入侵檢測(cè)系統(tǒng)因此應(yīng)運(yùn)而生。數(shù)據(jù)處理組件劃分為多個(gè)級(jí)別，低沉組件從數(shù)據(jù)收集組件獲得原始數(shù)據(jù)，經(jīng)過(guò)提煉、精減后提交給更高層的數(shù)據(jù)處理組件。 EMERALD 將所監(jiān)測(cè)的網(wǎng)絡(luò)分成三個(gè)層級(jí) ： 服務(wù) (service analysis)、域(domainwide analysis)和企業(yè) (enterprisewide analysis)，每層有相應(yīng)的服務(wù)監(jiān)控器 (servicemonitors)執(zhí)行分析功能。 DIDS 由主機(jī)代理 (Host Agent)， LAN 代理 (LAN Agent)和管理器 (DIDS Director)三大部分組成。 基于支持向量機(jī)的檢測(cè)技術(shù) 支持向量機(jī) (Support Vector Machine， SVM)是一種建立在統(tǒng)計(jì)學(xué)習(xí)理論( Statistical Learning Theory， SLT)基礎(chǔ)上的學(xué)習(xí)方法。將系統(tǒng)各屬性表示為特征向量，從而將系統(tǒng)正常狀態(tài)分布在 n 維空間中，并使用遺傳算法檢測(cè)規(guī)則集覆蓋的異常空間，從而建立異常檢測(cè)模型。 基于貝葉斯推理的入侵檢測(cè)技術(shù)能夠巧妙地將問題轉(zhuǎn)換為相對(duì)容易獲得的概率間的計(jì)算 。正常的操作存在內(nèi)在的統(tǒng)計(jì)規(guī)律， IDS 檢測(cè)主體 (如用戶 )的活動(dòng)并 生成相應(yīng)的活動(dòng)特征 (Profile)。其方法要點(diǎn)是建立入侵場(chǎng)景數(shù)據(jù)庫(kù)、預(yù)警器和規(guī)劃者。 基于規(guī)則匹配的檢測(cè)技術(shù)具有誤報(bào)少 、準(zhǔn)確率高的優(yōu)點(diǎn)。 檢測(cè)技術(shù)的評(píng)價(jià)指標(biāo) 為了評(píng)估檢測(cè)技術(shù)的優(yōu)劣，需要一系列的定量評(píng)價(jià)指標(biāo)。每個(gè) CSM 單元都由 本地入侵檢測(cè)單元、安全管理器、圖形用戶界面、入侵處理單元、命令監(jiān)視器和通信處理器組成。這篇文獻(xiàn)可以看成是在入侵檢測(cè)技術(shù)的發(fā)展歷史中具有里程碑意義的重要論著。 介紹我們提出的基于變量相似性的特征選擇算法。因而，需要在不降低 (或盡量不降低 )檢測(cè)準(zhǔn)確度的前提下，采用一定的算法，盡量降低特征空間的維數(shù)，這就是特征選擇。分布式智能代理技術(shù)是當(dāng)前遠(yuǎn)程 通信發(fā)展最快的領(lǐng)域之一，它是指在分布式環(huán)境中，一組不同的代理彼此協(xié)作，互相通信，使各代理能夠做出最理想的決策 。許多科研人員正在努力研究能應(yīng)用于實(shí)際入侵檢測(cè)系統(tǒng)的異常檢測(cè)器。目前，網(wǎng)絡(luò)攻擊分類方法主要有四種 ： 基于經(jīng)驗(yàn)術(shù)語(yǔ)的分類方法 、 基于單一屬性的分類方法 、 基于多屬性的分類方法 、 基于應(yīng)用的分類方法。②系統(tǒng)安全性脆弱，一旦中央服務(wù)器出現(xiàn)故障，整個(gè)系統(tǒng)就會(huì)陷入癱瘓 ； ③根據(jù)各個(gè)主機(jī)不同需求配置服務(wù)器也非常復(fù)雜。需要特別提到的是 2020 年世界計(jì)算機(jī)大會(huì)IFIP/WCC2020 在北京舉行，江澤民主席在會(huì)議開幕式上致詞，國(guó)內(nèi)著名信息安全專家卿斯?jié)h為 IFIP/SEC2020 程序委員會(huì)主席，充分說(shuō)明信息安全問題在中國(guó)已經(jīng)受到了足夠的關(guān)注和重視，相關(guān)的研究已經(jīng)與國(guó)際社會(huì)接軌，并得到國(guó)際社會(huì)的認(rèn)可。也有來(lái)自系統(tǒng)本身的原因，如系統(tǒng)崩潰導(dǎo)致數(shù)據(jù)損毀，存儲(chǔ)介質(zhì)故障導(dǎo)致數(shù)據(jù)損毀。 以國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 (CNCERT/CC)在 2020 年發(fā)布的報(bào)告為例， 2020 年， CNCERT/CC 接收的網(wǎng)絡(luò)仿冒、垃圾郵件和網(wǎng)頁(yè)惡意代碼等非掃描類網(wǎng)絡(luò)安全事件報(bào)告總數(shù)為 4390 件，大大超出去年同期水平，與 2020年相比，網(wǎng)絡(luò)仿冒事件增長(zhǎng) 倍，垃圾郵件事件增長(zhǎng) 1 倍，網(wǎng)頁(yè)惡意代碼事件增長(zhǎng) 倍。本文以提高入侵檢測(cè)技術(shù)的檢測(cè)正確率，降低誤警率和漏警率以及提高檢測(cè)效率為技術(shù) 目標(biāo) ，在檢測(cè)技術(shù)、告警融合和分布式入侵檢測(cè)系 統(tǒng)的體系結(jié)構(gòu)等方面進(jìn)行了深入系統(tǒng)的研究，取得了一些創(chuàng)新性的研究成果，主要內(nèi)容包括： 入侵檢測(cè)技術(shù)分為異常檢測(cè)和誤用檢測(cè)兩大類。該模型具有數(shù)據(jù)處理效率高，誤報(bào)率低，協(xié)作性好，自學(xué)習(xí)能力強(qiáng)，安全性高等特點(diǎn)。 2)信息泄漏 ： 企業(yè)網(wǎng)絡(luò)及個(gè)人的主機(jī)上有許多重要信 息和資料，有些保密第一章 緒 論 2 級(jí)別很高，不能對(duì)外公開。 網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的進(jìn)步，在給人類的生活帶來(lái)極大便利的同時(shí)，也為黑和惡意攻擊者提供了入侵的手段和條件。 卿斯?jié)h等人定期會(huì)撰寫介紹入侵檢測(cè)研究現(xiàn)狀的文章，發(fā)表在國(guó)內(nèi)權(quán)威期刊上，這對(duì)于國(guó)內(nèi)信息安全研究人員了解相關(guān) 領(lǐng)域的研究動(dòng)態(tài)起了很好的幫助作用。 網(wǎng)絡(luò)攻擊模型的建模方法主要有四種，分別是攻擊樹、攻擊網(wǎng)、狀態(tài)轉(zhuǎn)移圖和攻擊圖。異常檢測(cè)假設(shè) ： 任何對(duì)系統(tǒng)的入侵和誤操作都會(huì)導(dǎo)致系統(tǒng)異常。響應(yīng)機(jī)制根據(jù)入侵檢測(cè)的結(jié)果，采取必要和適當(dāng)?shù)膭?dòng)作，阻止進(jìn)一步的入侵行為或恢復(fù)受損害的系統(tǒng)，同時(shí)對(duì)數(shù)據(jù)源和入侵檢測(cè)的分析引擎產(chǎn)生影響。 IDWG 定義了數(shù)據(jù)格式和交換規(guī)程，用于入侵檢測(cè)與響應(yīng)系統(tǒng)之間與需要交互的管理系統(tǒng)之間的信息共享，包括 三 部分 ： 入侵檢測(cè)消息交換格式(IDMEF )、入侵檢測(cè)交換協(xié)議 (IDXP)、隧道輪廓 (Tunnel Profile )。模型 專門 設(shè)計(jì)了混合 入侵檢測(cè)引擎 ，結(jié)合誤用入侵檢測(cè)和異常入侵檢測(cè)技術(shù)，降低了入侵檢測(cè)的誤警率和漏警率。第二 章 入侵檢測(cè)技術(shù)研究綜述 11 第二 章 入侵檢測(cè)技術(shù)研究綜述 本章綜述了入侵檢測(cè)技術(shù)的發(fā)展歷程，對(duì)現(xiàn)有的入侵檢測(cè)技術(shù)進(jìn)行了分類，介紹了入侵檢測(cè)技術(shù)的評(píng)價(jià)指標(biāo)，并以 典型的入侵檢測(cè)技術(shù)為例，分別介紹其技術(shù)要點(diǎn)，指出了它們的優(yōu)缺點(diǎn)。 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)通過(guò)分析數(shù)據(jù)包包頭信息、網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接的各個(gè)特征屬性來(lái)檢測(cè)網(wǎng)絡(luò)中存在的入侵行為，區(qū)分正常網(wǎng)絡(luò)應(yīng)用和惡意 攻擊。典型的建立誤用檢測(cè)模型的方法包括專家系統(tǒng)，狀態(tài)轉(zhuǎn)移圖等。檢測(cè)時(shí)延是指入侵檢測(cè)技術(shù)從開始檢測(cè)到判定檢測(cè)樣本為攻擊或正常的時(shí)間消耗。 基于條件概率誤用入侵檢測(cè)方法是在概率理論基礎(chǔ)上的一個(gè)普遍的方法，它是對(duì)貝葉斯方法的改進(jìn)，其缺點(diǎn)就是先驗(yàn)概率難以給出，而且事件的獨(dú)立性難以滿足。 這種方法的優(yōu)點(diǎn)在于具有堅(jiān)實(shí)的數(shù)據(jù)未確定推理理論作為基礎(chǔ)。 統(tǒng)計(jì)異常檢測(cè)方法的有利之處是 所應(yīng)用的技術(shù)方法在統(tǒng)計(jì)學(xué)得到很好的研究。如付小青等提出的利用自組織映射 (SelfOrganizing Map， SOM)網(wǎng)絡(luò)中相似模式激活神經(jīng)元的物理位置臨近的特點(diǎn)，根據(jù)輸入模式的類型對(duì)激活神經(jīng)元?jiǎng)澐郑⒋龣z測(cè)數(shù)據(jù)的基本特征與推導(dǎo)特征結(jié)合，對(duì)待檢測(cè)數(shù)據(jù)進(jìn)行分類。序列分析則是用來(lái) 發(fā)現(xiàn)數(shù)據(jù)記錄間相關(guān)性的方法，可以用來(lái)分析不同入侵特征之間的相關(guān)性。 基于支持向量機(jī)的入侵檢測(cè)技術(shù)的不足之處在于，對(duì)分類正確率產(chǎn)生重要影響的核函數(shù)及其參數(shù)的選擇目前只能根據(jù)經(jīng)驗(yàn)，同時(shí)支持向量機(jī)只能處理一二分類問題，如果要進(jìn)行多分類檢測(cè)，區(qū)分不同的攻擊類型，需要對(duì)二分類支持向量機(jī)進(jìn)行擴(kuò)展。攻擊者可能針對(duì)這一點(diǎn)，對(duì)系統(tǒng)中的數(shù)據(jù)處理組件發(fā)動(dòng)攻擊 ，形成這類系統(tǒng)典型的單點(diǎn)失效問題。通過(guò)一個(gè) IDS 管理器 (IDS Manager)組織不同的檢測(cè)器 (ID Services)成為一個(gè) IDS 集群 (IDS Cluster)，而底層的 IDS集群又可以成為上層 IDS 集群的檢測(cè)器。管理器根據(jù)安全專家知識(shí)、主機(jī)安全事件和網(wǎng)絡(luò)安全事件進(jìn)行入侵檢測(cè)推理分析，最后得出整個(gè)網(wǎng)絡(luò)的安全狀態(tài)結(jié)論。 第二 章 入侵檢測(cè)技術(shù)研究綜述 21 利用支持向量機(jī)建立入侵檢測(cè)模型己經(jīng)取得了一系列的進(jìn)展。同時(shí)適應(yīng)度函數(shù)的選擇也會(huì)對(duì)算法性能產(chǎn)生重要影響。 基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)技術(shù) 神經(jīng)網(wǎng)絡(luò) (Neural Network NN)是由大量的處理單元 (神經(jīng)元 )互相連接而成的網(wǎng)絡(luò)。通過(guò)比較當(dāng)前的活動(dòng)特征與己存儲(chǔ)的活動(dòng)特征來(lái)判斷異常行為，從而檢測(cè)出入侵活動(dòng)。規(guī)劃者負(fù)責(zé)判斷假設(shè)的行為是如何反映在審計(jì)跟蹤數(shù)據(jù)上，以及將假設(shè)的行為變成與系統(tǒng)相關(guān)的審計(jì)跟蹤進(jìn)行匹配。因此運(yùn)用機(jī)器學(xué)習(xí)技術(shù)使知識(shí)庫(kù)的建造智能化是未來(lái)的發(fā)展趨勢(shì)。 第二 章 入侵檢測(cè)技術(shù)研究綜述 14 漏警率是指攻擊樣本中被誤認(rèn)為是正常樣本的個(gè)數(shù)與全體攻擊樣本個(gè)數(shù)的比值 ： ? 攻 擊 樣 本 中 被 認(rèn) 為 是 正 常 樣 本 的 個(gè) 數(shù)漏 警 率 全 體 攻 擊 樣 本 個(gè) 數(shù) () 這個(gè)值反應(yīng)了入侵檢測(cè)技術(shù)對(duì)于攻擊 的識(shí)別能力，如果檢測(cè)樣本中含有大量訓(xùn)練樣本中所沒有的新攻擊，這個(gè)值也從一定程度上反應(yīng)了入侵檢測(cè)技術(shù)對(duì)未知攻擊的識(shí)別能力，表明了入侵檢測(cè)技術(shù)的擴(kuò)展性和自適應(yīng)性，我們期望漏警率越低越好。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和攻擊行為的協(xié)同性和分布式的趨勢(shì)，入侵檢測(cè)技術(shù)必然向著分布式檢測(cè)方向發(fā)展。這也是日后的誤用檢測(cè)方法的系統(tǒng)原型。 第六章，基于啟發(fā)式規(guī)則的混合入侵檢測(cè)模型。為了消除離群點(diǎn)并精簡(jiǎn)訓(xùn)練樣本集，考慮到分類器的劃分結(jié)果主要由位于兩類樣本點(diǎn)邊界處占樣本數(shù)少部分的支持向量決定，本文采用了以下方法對(duì)樣本集進(jìn)行處理 ： 首先采用 KNN 算法對(duì)離群點(diǎn)進(jìn)行消除 ； 然后構(gòu)造以樣本點(diǎn)為球心的超球面，通過(guò)判斷超球面內(nèi)樣本點(diǎn)類別的異同來(lái)判斷該作為球心的樣本點(diǎn)是否位于邊界，從而提取邊界樣本點(diǎn)。 6) IDS 標(biāo)準(zhǔn)化 第一章 緒 論 8 隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)入侵方式、類型及特征日趨多樣化，入侵活動(dòng)變得復(fù)雜而又難以捉摸，某些入侵行為單靠單一的入侵檢測(cè)系統(tǒng)無(wú)法檢測(cè)出來(lái)，需要多種安全措施協(xié)同工作才能有 效保障網(wǎng)絡(luò)系統(tǒng)的安全，這就要求各安全系統(tǒng)之間能夠交換信息，相互協(xié)作，形成一個(gè)整體有效的安全保障系統(tǒng)，這就是入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化制定。因此，異常入侵檢測(cè)方法與誤用入侵檢測(cè)方法在功能上是互補(bǔ)的。PCA 技術(shù)可以將數(shù)據(jù)從高維數(shù)據(jù)空間變換到低維特征空間，能夠保留屬性中那些最重要的屬性，從而更精確的描 述入侵行為。 這種結(jié)構(gòu)仍存在兩個(gè)問題 ： ①當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時(shí)，區(qū)域分析結(jié)果的匯總機(jī)制也需要做相應(yīng)的調(diào)整 ； ②這種結(jié) 構(gòu)的 IDS 最后還是要把各地收集到的結(jié)果傳送到最高級(jí)的檢測(cè)服務(wù)器進(jìn)行全局分析，所以系統(tǒng)的安全性并沒有實(shí)質(zhì)性的改進(jìn)。 國(guó)外從事信息安全入侵檢測(cè)研究的主要機(jī)構(gòu)有 ： 喬治敦大學(xué)，普