【正文】 入侵檢測要解決的問題就是構(gòu)造異常行為集并從中發(fā)現(xiàn)入侵行為子集?；谌斯ど窠?jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)的處理包括兩個(gè)階段：第一階段的目的是構(gòu)造入侵分析模型的檢測器，使用代表用戶行為的歷史數(shù)據(jù)進(jìn)行訓(xùn)練，完成神經(jīng)網(wǎng)絡(luò)的構(gòu)建和組裝；第二階段則是入侵分析模型的實(shí)際運(yùn)作階段，神經(jīng)網(wǎng)絡(luò)接收輸入的事件數(shù)據(jù)，與參考的歷史行為相比較，判斷出兩者的相似度或偏離度。 (3)免疫系統(tǒng) 免疫系統(tǒng)最基本也是最重要的能力是識(shí)別“自我 /非自我”，即它能夠識(shí)別哪些組織是屬于正常機(jī)體的，不屬于正常的就認(rèn)為是異常，這個(gè)概念和入侵檢測中的異常檢測的概念相似。 異常檢測模型是一組程序，通過自身的學(xué)習(xí)過程，用以評(píng)價(jià)在檢測時(shí)期查詢屬性的特性。他的的思想來源于觀察到的合法屬性值字符串一般有規(guī)則的語法形式。 字符分布模型 字符分布模型在學(xué)習(xí)階段存儲(chǔ)了應(yīng)用程序?qū)傩缘睦硇曰址植迹?LCD），而后，在檢測階段，它利用 Pearsonχ 2檢驗(yàn)確定屬性的字符分布的正常狀態(tài) ，如果模型被表示為異常，結(jié)果通過下面兩種方法之一被確定： 如果被檢測的字符分布表象為一種極具的下降，這表明有少量的字符出現(xiàn)的頻率很高。 ，那么，今后試圖使用分號(hào) ” 。98).1998. [30] Ryan J.,Lin .,Miikkulainen detection with neural works, Proceedings of the 1997 conference on Advances in neural information processing systems 10,Denver,Colorado,United States,July 1998, [31] [32] [30] Spafford .,Zamboni detection using autonomous agents, Computer Networks,October 2020,34(4):547570 [33] Balasubramaniyan J.,GarciaFernandez .,Spafford .,Zamboni Architecture for Intrusion Detection using Autonomous of Computer Sciences,Purdue University。 as if a man that negotiates between two princes, to draw them to join in a war against the third, doth extol the forces of either of them above measure, the one to the other: and sometimes, he that deals between man and man, raiseth his own credit with both by pretending greater interest than he hath in either. And in these, and the like kinds, it often falls out that somewhat is produced of nothing: for lies are sufficient to breed opinion, and opinion brings on substance. In military manders and soldiers, vainglory is an essential point。 the idols of parasites。 for all bravery stands upon parisons. They must needs be violent, to make good their own vaunts. Neithe r can they be secret, and therefore not effectual。 為了進(jìn)行訓(xùn)練，在 Apache服務(wù)器下收 集日志文件，再通過 屬性長度模型和令牌發(fā)現(xiàn)模型進(jìn)行訓(xùn)練，之后，用一些異常的訪問進(jìn)行檢測，如果檢測到異常就會(huì)自動(dòng)報(bào)警，從而實(shí)現(xiàn)了對(duì) Web請(qǐng)求的異常檢測。 例如： 首先進(jìn)行簡單的轉(zhuǎn)換： /usr/lib/ → /aaa/aaa/ /etc/X11/XF86Config → /aaa/A00/AA00Aaaaaa 然后，由于轉(zhuǎn)換后相同字符多次出現(xiàn)，所以相同的字符進(jìn)行合并： /aaa/aaa/ → /a/a/ /aaa/A00/AA00Aaaaaa → /a/A0/A0Aa 通過以上兩步，一個(gè)簡單的概括語法被建立。異常檢測模型一般是建立在統(tǒng)計(jì)方法的基礎(chǔ)上，運(yùn)用各自的方法對(duì)應(yīng)用程序或 Web請(qǐng)求進(jìn)行學(xué)習(xí)和分析，在學(xué)習(xí)訓(xùn)練階段，一般模型會(huì)認(rèn)為給定的學(xué)習(xí)數(shù)據(jù)都是正常數(shù)據(jù)，模型對(duì)這些正常數(shù)據(jù)進(jìn)行不同方式的轉(zhuǎn)換并進(jìn)行統(tǒng)計(jì)分析，并將保存結(jié)果，當(dāng)程序轉(zhuǎn)換到測試階段后，異常檢測模型就會(huì)對(duì)被檢測數(shù)據(jù)做同樣的轉(zhuǎn)換，并利用之前保存的統(tǒng)計(jì)結(jié)果進(jìn) 行比較分析，從而確定被檢測的數(shù)據(jù)是否是異常數(shù)據(jù)。對(duì)于合法的輸入來說，這個(gè)相對(duì)字符頻率是緩慢的降低的，而對(duì)于一些惡意的輸入，相對(duì)字符頻率或者是由于某個(gè)單字符的大量使用而急劇降低，或者是由于隨機(jī)字符的使用而基本不變化。每種類型的事件流使用一個(gè) n 維的向量 H 表示， n 代表已知的攻擊種類。采用 Agent 技術(shù)的檢測系統(tǒng)有 AAFID和 EMERALD。由 Columbia University 的 Wenke Lee 開發(fā)的入侵檢測框架 MADAM ID 是基于該技術(shù)的代表。理想狀況是異常行為集等同于入侵行為集。執(zhí)行誤用檢測需要具備完備的檢測規(guī)則庫、可信的用戶行為記錄和可靠的行為記錄分析技術(shù)。 (3)混合型：許多機(jī)構(gòu)的網(wǎng)絡(luò)安全解決方案都同時(shí)采用了基于主機(jī)和基于網(wǎng)絡(luò)的兩種入侵檢測系統(tǒng)，因?yàn)檫@兩種系統(tǒng)在很大程度上是互補(bǔ)的。 事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，用于指導(dǎo)事件的分析及反應(yīng)，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。自從 Denning 于 1986 年發(fā)表論文“入侵檢測模型（ An Intrusion Detection Model）”以來，大量 IDS(Intrusion Detection System)被開發(fā)出來，包括研究的原型和商業(yè)化的產(chǎn)品。針對(duì)通信性能的攻擊包括拒絕服務(wù)、遠(yuǎn)程權(quán)力獲取 等，對(duì)通信性能進(jìn)行保護(hù)的理論基本上是實(shí)踐經(jīng)驗(yàn)的總結(jié)。黑客的網(wǎng)絡(luò)攻擊與入侵行為，對(duì)于國家安全、經(jīng)濟(jì)、社會(huì)生活造成極大的威脅。 畢業(yè)設(shè)計(jì)（論文） web 攻擊異常檢測技術(shù)的研究和實(shí)現(xiàn) 內(nèi)容提要 入侵檢測系統(tǒng) IDS(Intrusion Detection System)是計(jì)算機(jī)安全領(lǐng)域的一個(gè)重要分支，對(duì)其的研究近幾年來倍受重視。如果計(jì)算機(jī)和數(shù)據(jù)通信網(wǎng)絡(luò)的安全受到危害，將會(huì)造成重大損失，引起社會(huì)混亂和危機(jī)國家安全。 同以前的計(jì)算機(jī)安全保密相比，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的問題要多得多，也復(fù)雜得多，涉及到物理環(huán)境、硬件、軟件、數(shù)據(jù)、傳輸、體系結(jié)構(gòu)等各個(gè)方面。為了提高 IDS 產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國國防高級(jí)研究計(jì)劃署（ DARPA）和互聯(lián)網(wǎng)工程任務(wù)組（ IETF）的入侵檢測工作組（ IDWG）發(fā)起制訂了一系列建議草案，從體 系結(jié)構(gòu)、 API、通信機(jī)制、語言格式等方面規(guī)范 IDS的標(biāo)準(zhǔn)。 IDS System Architecture 圖 1 IDS 系統(tǒng)結(jié)構(gòu) 入侵檢測系統(tǒng)分類 基于數(shù)據(jù)來源分類 (1)基于主機(jī)：入侵檢測系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)。 主機(jī)數(shù)據(jù)源的優(yōu)勢在于：針對(duì)性強(qiáng)、檢測準(zhǔn)確性高、適于檢測復(fù)雜的攻擊模式，不受交換式網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)加密的影響，并且可以準(zhǔn)確地判定攻擊是否成功。主要的誤用入侵檢測系統(tǒng)類型如下： (1)專家系統(tǒng) 入侵檢測專家系統(tǒng)最顯著的特征是采用一定的 IFTHEN 規(guī)則表示攻擊的行為，形成專家知識(shí)庫，然后輸入檢測數(shù)據(jù)（審計(jì)事件記錄），系統(tǒng)根據(jù)知識(shí)庫中的內(nèi)容對(duì)檢測數(shù)據(jù)進(jìn)行評(píng)估，判斷是否存在入侵 行為模式專家系統(tǒng)的優(yōu)點(diǎn)在于把系統(tǒng)的推理控制過程和問題的最終解答相分離，即用戶不需要理解或干擾專家系統(tǒng)內(nèi)部的推理過程，而只須把專家系統(tǒng)看作是一個(gè)自治的黑盒子。這樣，若能檢測所有的異常行為，則就能檢測所有的入侵行為。 數(shù)據(jù)挖掘方法能夠?qū)Π踩珜徲?jì)數(shù)據(jù)進(jìn)行全面、高速和準(zhǔn)確地分析，從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏的安全信息，抽象出有利于進(jìn)行判斷和比較的特征模型，這種特征模型可以是基于誤用檢測的特征向量模型，也可以是基于異常檢測的行為描述模型。 AAFID 系統(tǒng)結(jié)構(gòu)的擴(kuò)展非常方便，多個(gè) Agent 可以被分配成一個(gè) Agent 組，每個(gè) Agent 執(zhí)行各自簡單的功能，并最終融合成復(fù)雜的 Agent 組的檢測結(jié)果。 Hi 為 1 說明發(fā)生了特定類型的攻擊， Hi為 0 則表示沒有這種類型的攻擊。 在學(xué)習(xí)階段，一個(gè)屬性的理想化的字符分布會(huì)通過輸入樣本而被計(jì)算出來，而后所有字符屬性的的平均值將被計(jì)算出來。 屬性長度模型 屬性長度模型在學(xué)習(xí)階段存儲(chǔ)屬性大概的長度分布，這個(gè)屬性長度分布以樣本屬性的平均值 mean和方差的 σ 2的形式被給出，在檢測階段根據(jù)下面的公式進(jìn)行計(jì)算： cdi stob sv dl ?? |)(| 22?? 如果公式計(jì)算的結(jié)果小于給出的閥值 dcdist，則說明觀測屬性的長度偏離正常情況，他很可能是一個(gè)異常的屬性，如果公式計(jì)算的結(jié)果大于給出的閥值 dcdist，則說明該檢測屬性是正常屬性。 然后，可以檢測轉(zhuǎn)換后目標(biāo)屬性值 (sobsv)與轉(zhuǎn)化后的異常屬性字符串 (sorig)的相似性，具體做法是比較這兩個(gè)格式化的屬性值是否相等，即： 對(duì)于每個(gè) 0≤ i≤ m，其中， m=| sorig | 判斷 sobsv,i = sorig,i 是否成立，如果成立，則說明目標(biāo)屬性值有著異常字符串的特征，這個(gè)目標(biāo)屬性是一個(gè)異常屬性。 如果能將其余幾個(gè)算法一并實(shí)現(xiàn)并綜合考慮，然后將對(duì) Apache的日志檢測改為實(shí)時(shí)檢測，既可以實(shí)現(xiàn)一個(gè)對(duì)網(wǎng)絡(luò)請(qǐng)求異常檢測、報(bào)警的實(shí)施檢測系統(tǒng)。 but according to die French proverb。 and the slaves of their own vaunts. LastIndexNext And now havi。 there are sometimes great effects of cross lies。98)October 58 ,VA. [29] Bonifacio .,Cansian .,de Carvalho .,Moreira Networks applied in intrusion detection World congress on Comp. Intell.(WCCI39。 ” )的字符串，則模型建立一個(gè)異常規(guī)則： [ a | 0 ]+。 n iNiX? ?? ])[][(? 1 )][(][2? ??? n iXiN ?? 異常檢測得分為： |)(| 22???obsvl 其中： lobsv :被檢測的屬性長度 根據(jù)異常檢測得分和給定的閥值，進(jìn)行異常判斷。 結(jié)構(gòu)推論（ Structural Inference） 結(jié)構(gòu)推論模型（ Structural Inference Model）主要是學(xué)習(xí)字符串的結(jié)構(gòu)從而確定異常信息的模型。網(wǎng)絡(luò)異常檢測組件的操作對(duì)象是 URLs，而成功的 Web 請(qǐng)求就是這些 URLs 的提供者。為了適應(yīng)大型的、基于松散架構(gòu)的網(wǎng)絡(luò)環(huán)境， EMERALD 采用層次化分布式的 Agent 系統(tǒng)架構(gòu)。 (3)基于人 工神經(jīng)網(wǎng)絡(luò) 人工神經(jīng)網(wǎng)絡(luò)的特點(diǎn)在于它具有學(xué)習(xí)的能力，這種學(xué)習(xí)算法允許檢測系統(tǒng)緊密地模仿用戶行為并且根據(jù)最近的變化進(jìn)行調(diào)整。行為存在四種可能性：①入侵而非異常；②非入侵且是異常的；③非入侵性且非異常；④入侵且異常。 專家系統(tǒng)是最早的誤用檢測技術(shù)之一，被許多經(jīng)典的檢測模型所采用，如 MIDAS、IDES、 NIDES、 DIDS 和 CMDS。 基于分析方法分類 入侵檢測從分析引擎所采用的技術(shù)上來說，可以分為誤用檢測 (misuse detection)和異常檢測 (anomaly detection)兩大類。 操作系統(tǒng)審計(jì)記錄由包含在操作系統(tǒng)軟件內(nèi)部的審計(jì)子系統(tǒng)產(chǎn)生，這些審計(jì)記錄是反映系統(tǒng)活動(dòng)的信息集合，每條審計(jì)記錄描述了一次單獨(dú)的系統(tǒng)事件；系統(tǒng)日志是反映各種系統(tǒng)事件和設(shè)置的文件，操作系統(tǒng)提供了分類齊全的系統(tǒng)日志，并且提供通用的服務(wù)用于支持產(chǎn)生和更新事件日志。 1999 年 6 月， IDWG 就入侵檢測也出臺(tái)了一系列草案。 從狹義的保護(hù)角度來看，計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅 和危害，即計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。 研究現(xiàn)狀 隨著信息網(wǎng)絡(luò)化的發(fā)展，信息安全的研究和實(shí)踐不斷深化、延拓