【文章內(nèi)容簡介】 報(bào)告檢測過程的結(jié)果。 數(shù)據(jù) 收集 數(shù)據(jù) 處理 數(shù)據(jù) 分析 響應(yīng) 處理 入侵檢測系統(tǒng) 具有脆弱性的系統(tǒng)和網(wǎng)絡(luò) 攻擊者 包 圖 21 入侵檢測系統(tǒng)的基本原理 6 入侵檢測系統(tǒng)的基本工作模式可以用如圖 22 所示的圖形來表示。 入侵檢測系統(tǒng)的分類 入侵檢測系統(tǒng)可以按不同的方法進(jìn)行分類，其中，按檢測技術(shù)、數(shù)據(jù)來源、體系結(jié)構(gòu)及時(shí)效性進(jìn)行分類是應(yīng)用最多的分類方法。本文主要介紹 前兩者的分類方法。 根據(jù)檢測技術(shù)分類 根據(jù)入侵檢測系統(tǒng)所采用的技術(shù)可分為誤用入侵檢測、異常入侵檢測和協(xié)議分析三種。 1） 誤用入侵檢測 誤用入侵檢測（ misuse intrusion detection）又稱為基于特征的入侵檢測 。 這一檢測（ signaturebased intrusion detection） 假設(shè)入侵者的活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo)是檢測主體活動(dòng)是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點(diǎn)在于如何設(shè)計(jì)模式，既能夠表達(dá) “ 入侵 ” 現(xiàn)象，又 不會(huì)將正常的活動(dòng)包含進(jìn)來 。 2） 異常入侵檢測 異常入侵檢測（ anomaly intrusion detection）假設(shè)入侵者的活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一假設(shè)建立主體正?；顒?dòng)的（ “ 活動(dòng)簡檔 ” ），將當(dāng)前主體的活動(dòng)狀況與 “ 活動(dòng)簡檔 ”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為改活動(dòng)可能是 “ 入侵 ” 行為。異常入侵檢測的難題在于如何建立 “ 活動(dòng)簡檔 ” 以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作誤認(rèn)為 “ 入侵 ” 或忽略真正的 “ 入侵 ” 行為。 3） 協(xié)議分析 系統(tǒng)日記 原始數(shù)據(jù) 包 檢測原理 異常入侵檢測 誤用入侵檢測 報(bào)警 報(bào)警并采取相應(yīng)措施 周期性檢測 實(shí)時(shí)檢測 圖 22 入侵檢測系統(tǒng)的基本工作模式 7 協(xié)議分析是在傳統(tǒng)模式匹配技術(shù)基礎(chǔ)之上發(fā)展起來的一種新的入侵檢測技術(shù)。它充分利用了 網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合了高速數(shù)據(jù)包捕捉、協(xié)議分析和命令解析，來快速檢測某種攻擊特征是否存在。這種技術(shù)正逐漸進(jìn)入成熟應(yīng)用階段。協(xié)議分析大大減少了計(jì)算量，即使在高負(fù)載的高速網(wǎng)絡(luò)上，也能逐個(gè)分析所有的數(shù)據(jù)包。 根據(jù)數(shù)據(jù)來源分類 根據(jù)入侵檢測數(shù)據(jù)來源的不同，可以將入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、基于主機(jī)的入侵檢測系統(tǒng)、混合式入侵檢測系統(tǒng)及文件完整性檢查式入侵檢測系統(tǒng)。 1） 基于主機(jī)的入侵檢測系統(tǒng) 基于主機(jī)的入侵檢測系統(tǒng)（ Hostbased Intrusion Detection System， HIDS）通常是安裝在被保護(hù)的主機(jī)上，主要是對改主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及對系統(tǒng)審計(jì)日記進(jìn)行分析和檢查，當(dāng)發(fā)現(xiàn)可疑行為和安全違規(guī)事件時(shí)，系統(tǒng)就會(huì)像管理員報(bào)警，以便采取措施。 2） 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（ Networkbased Intrusion Detection System， NIDS）一般安裝在需要保護(hù)的網(wǎng)段中，實(shí)時(shí)監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包，并對這些數(shù)據(jù)包進(jìn)行分析和檢測，如果發(fā)現(xiàn)入侵行為或可疑事件，入侵檢測系統(tǒng)就會(huì)發(fā)出報(bào)警，甚至切斷網(wǎng)路連接。 3） 混合式入侵檢測系統(tǒng) 基 于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng)都有不足之處，單純使用其中一種系統(tǒng)的主動(dòng)防御體系都不夠強(qiáng)大。但是它們的缺憾是互補(bǔ)的。如果這兩種系統(tǒng)能夠無縫地結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，這會(huì)構(gòu)架一套強(qiáng)大的、立體的主動(dòng)防御體系。 4） 文件完整性檢查式入侵檢測系統(tǒng) 文件完整性檢查式入侵檢測系統(tǒng)檢查計(jì)算機(jī)中自上次檢查后文件的變化情況。文件完整性檢查式入侵檢測系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫，每次檢查時(shí)，它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較，如不同，則文件已被修改，若相同，則文件未發(fā)生變化 [5]。 入 侵檢測目前存在的局限性和不足 在入侵檢測領(lǐng)域內(nèi)應(yīng)用最為廣泛，同時(shí)也是最成熟的技術(shù)仍然是基于專家系統(tǒng)的規(guī)則化檢測技術(shù)。典型的入侵檢測系統(tǒng)，如 IDES和 NIDES系統(tǒng)等，都很好的實(shí)現(xiàn)了專家系統(tǒng)基于規(guī)則檢測的概念，并在實(shí)際應(yīng)用中取得了較好的效果。 8 但是，隨著系統(tǒng)安全環(huán)境特別是網(wǎng)絡(luò)系統(tǒng)安全形式的變化，傳統(tǒng)的基于專家系統(tǒng)的檢測技術(shù)暴露出若干局限性和不足。 首先，傳統(tǒng)的專家檢測技術(shù)需要維護(hù)一個(gè)復(fù)雜而龐大的規(guī)則庫。面對不斷變化的攻擊手段和多樣復(fù)雜的變種情況，該規(guī)則庫需要進(jìn)行隨時(shí)隨地的更新升級。因?yàn)閷＜蚁到y(tǒng)檢測技術(shù)完全依賴 于準(zhǔn)確的規(guī)則庫匹配方式進(jìn)行入侵檢測工作，所以一個(gè)陳舊的檢測規(guī)則庫帶來的后果可能就是漏檢大量的入侵檢測活動(dòng)。更為嚴(yán)重的后果是造成安全管理員虛假的安全表象，導(dǎo)致重大的安全漏洞和隱患。 其次，基于專家系統(tǒng)的檢測方法缺乏足夠的靈活性來檢測已知入侵方式的變種情況。通常的規(guī)則推導(dǎo)過程是在精確匹配的基礎(chǔ)上進(jìn)行的，如果某種攻擊手段的執(zhí)行過程發(fā)生某些細(xì)微的改變，對于專家系統(tǒng)而言，如果沒有找到對應(yīng)的更新規(guī)則，就會(huì)被認(rèn)定為合法行為，產(chǎn)生漏檢情況。 另一方面，如果采用更為通用的檢測規(guī)則，則有可能發(fā)生將合法用戶行為錯(cuò)誤認(rèn)定為非法行為 的虛假現(xiàn)象，更進(jìn)一步分析可知，專家系統(tǒng)的檢測方法對在時(shí)間上分散的攻擊活動(dòng)，或者是由多用戶發(fā)起的協(xié)同攻擊行為，也是很難奏效的。因?yàn)樗魂P(guān)注單個(gè)異常事件的出現(xiàn)與否，而對事件狀態(tài)隨時(shí)間發(fā)生的變化情況無法處理。 近年來，大量不同于傳統(tǒng)專家系統(tǒng)技術(shù)的入侵檢測方法紛紛涌現(xiàn)，其中基于人工神經(jīng)網(wǎng)絡(luò)檢測技術(shù)的發(fā)展尤為突出。 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)的發(fā)展 近年來，大量不同于傳統(tǒng)專家系統(tǒng)技術(shù)的入侵檢測方法紛紛涌現(xiàn)，其中基于人工神經(jīng)網(wǎng)絡(luò)檢測技術(shù)的發(fā)展尤為突出。 人工神經(jīng)網(wǎng)絡(luò)是模擬人腦加工、存儲(chǔ)和處理信息機(jī)制而提出的一 種智能化信息處理技術(shù)，它是由大量簡單的處理單元（神經(jīng)元）進(jìn)行高度互連而形成的復(fù)雜網(wǎng)絡(luò)系統(tǒng)。從本質(zhì)上講，人工神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)的是一種從輸入到輸出的映射關(guān)系，其輸出值由輸入樣本、神經(jīng)元間的互連權(quán)值以及傳遞函數(shù)所決定。神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力，通過學(xué)習(xí)能夠識別全新入侵行為特征的能力，可以克服基于專家系統(tǒng)檢測技術(shù)的局限性。 入侵檢測技術(shù)主要分成兩類，即基于異常和基于誤用的入侵檢測技術(shù)。但無論是單純采用異常入侵檢測技術(shù)，還是單純采用誤用入侵檢測技術(shù)，其檢測性能的理論上限都不會(huì)超過混合采用兩種技術(shù)思路方法的性能上 限。從而肯定了具備學(xué)習(xí)能力的神經(jīng)網(wǎng)絡(luò)在入侵檢測中的光明應(yīng)用前景。 9 3 神經(jīng)網(wǎng)絡(luò)簡介 神經(jīng)網(wǎng)絡(luò)的全稱是人工神經(jīng)網(wǎng)絡(luò)（ artificial neural work， ANN）是在現(xiàn)代神經(jīng)生物學(xué)研究成果的基礎(chǔ)上發(fā)展起來的一種模擬人腦信息處理機(jī)制的網(wǎng)絡(luò)系統(tǒng)，他不但具有處理數(shù)值數(shù)據(jù)的一般計(jì)算能力，而且還具有處理知識的思維、學(xué)習(xí)和記憶能力 [6]。 人工神經(jīng)網(wǎng)絡(luò)模仿人腦神經(jīng)的活動(dòng)，力圖建立腦神經(jīng)活動(dòng)的數(shù)學(xué)模型。人工神經(jīng)網(wǎng)絡(luò)由于其大規(guī)模并行處理、容錯(cuò)性、自組織和自適應(yīng)能力以及聯(lián)想功能等特點(diǎn)，已成為解決問題的有力工具， 對突破現(xiàn)有科學(xué)技術(shù)的瓶頸，更深入的探索非線性等復(fù)雜現(xiàn)象起到了重大的作用，并廣泛應(yīng)用于許多科學(xué)領(lǐng)域。從控制理論的觀點(diǎn)來看，神經(jīng)網(wǎng)絡(luò)處理非線性的能力是最有意義的；從系統(tǒng)辨識和模式識別的角度考慮，神經(jīng)網(wǎng)絡(luò)跟蹤和識別非線性的能力是其最大的優(yōu)勢。 神經(jīng)網(wǎng)絡(luò)模型 生物神經(jīng)元模型 正常人腦是由大約 1011~1012個(gè)神經(jīng)元組成的，神經(jīng)元是腦組織的基本單元。每個(gè)神經(jīng)元具有 102104 個(gè)突觸與其它神經(jīng)元相連接，形成了錯(cuò)綜復(fù)雜而又靈活多變的神經(jīng)網(wǎng)絡(luò)。神經(jīng)元有胞體、樹突和軸突構(gòu)成。胞體是神經(jīng)元的代謝中心， 每個(gè)細(xì)胞體有大量的樹突（輸入端）和軸突（輸出端），不同神經(jīng)元的軸突和樹突互連的結(jié)合部為突觸，突觸決定神經(jīng)元之間的連接強(qiáng)度和作用性質(zhì)，而每個(gè)神經(jīng)元胞體本身則是一非線性輸入、輸出單元。一個(gè)神經(jīng)元的模型示意圖 如下圖 31 所 示。 圖 31 典型的生物神經(jīng)元 由圖 31 可見，神經(jīng)元有胞體、樹突和軸突構(gòu)成。胞體是神經(jīng)元的袋子額中心，它本身又由細(xì)胞核、內(nèi)質(zhì)網(wǎng)和高爾基體組成。胞體一般生成有許多樹狀突起物，稱之為樹突， 10 它是神經(jīng)元的主要接收器。胞體還延伸出一條管狀纖維組織，稱之為軸突，軸突外面包有一層較厚的絕緣組織，稱之 為髓鞘（梅林鞘）。髓鞘規(guī)則地分為許多短段，段與段之間的部位被稱為郎飛節(jié)。軸突的作用是傳導(dǎo)信息，通常軸突的末端分出很多末梢，他們與后一個(gè)神經(jīng)元的樹突構(gòu)成一種稱為突觸的機(jī)構(gòu)。前一神經(jīng)元的信息經(jīng)由起軸突傳到末梢之后，通過突觸對后面各個(gè)神經(jīng)元產(chǎn)生影響。從生物控制論的觀點(diǎn)看，神經(jīng)元作為控制和信息處理的單元，具有常規(guī)的兩種工作狀態(tài)，興奮和抑制狀態(tài)，神經(jīng)沖動(dòng)眼神經(jīng)傳導(dǎo)的速度在1~150m/s 之間，在相鄰兩次沖動(dòng)之間需要一個(gè)時(shí)間間隔，即為不應(yīng)期。由于神經(jīng)元結(jié)構(gòu)的可塑性，突觸的傳遞作用可增強(qiáng)、減弱和飽和，因此細(xì)胞具有相應(yīng)的學(xué) 習(xí)功能、遺忘和疲勞效應(yīng)（飽和效應(yīng)）。 隨著生物控制論的發(fā)展，人們對神經(jīng)元的結(jié)構(gòu)和功能有了進(jìn)一步的了解，神經(jīng)元不僅僅是一簡單的雙穩(wěn)態(tài)邏輯元件，而且是超級的微型生物信息處理機(jī)或控 制單元 [7]。 人工神經(jīng)元模型 根據(jù)生物神經(jīng)元的結(jié)構(gòu)和功能，從 20 世紀(jì) 40 年代開始，人們提出了大量的人工神經(jīng)元模型，其中影響較大的是 1943 年美國心理學(xué)家 McCulloch 和數(shù)學(xué)家 Pitts 共同提出的形式神經(jīng)元模型通常稱之為 MP 模型。 設(shè)有 N 個(gè)神經(jīng)元互聯(lián)，每個(gè)神經(jīng)元的活化狀態(tài) ix （ i=1， 2， 3， ? ， N）取 0 或 1，分別代表抑制和興奮。每一個(gè)神經(jīng)元的狀態(tài)按下述規(guī)則受其它神經(jīng)元的制約 Nixwfx Nj ijiji ?????? ?? ,2,1),( 1 ? （ 31） 式中 ijw ——— 神經(jīng)元 i 和神經(jīng)元 j 之間突觸連接強(qiáng)度，或稱權(quán)值； i? ——— 神經(jīng)元 i 的閥值； )(f? 在這里取階躍函數(shù) step )(? ，有 Step(a)=???????? 0a 0a01 式（ 31）也可理解為神經(jīng)元 i 的輸入輸出關(guān)系。 Xj 為第 j 個(gè)神經(jīng)元向第 i 個(gè)神經(jīng)元的輸入； xi 為第 i 個(gè)神經(jīng)元的輸出； )(1?? ?Nj ijij xw ?為第 i 個(gè)神經(jīng)元凈輸入。若將閥值也看作一個(gè)權(quán)值，則式（ 31）可改寫為 11 Nixwfx Nj jiji ，???????? ?? ,2,1),( 0 （ 32） 此時(shí)有 ii xw ???00 ， 0xw =1，這就是最初的 MP 模型 . 但是，這種簡單的 MP 模型沒有考慮時(shí)間整合、不應(yīng)期、延時(shí)和數(shù)模轉(zhuǎn)換等作用。若考慮這些作用則可以發(fā)展出 MP 模型的許多變種。它們在細(xì)節(jié)上（即并行分布處理思想上）有所不同，但有許多共性，提取這些共性可以給出相當(dāng)一般化模型，它的數(shù)學(xué)表達(dá)式為 )( 1 iNj ijiji sxwf ?? ??? ?? (33) )( ii fu ?? (34) )()( iii hugy ??? (35) 式中 jiW ， jX ， i? 的含義和式（ 31）一樣； i? —— 第 i 個(gè)神經(jīng)元的凈輸入 iS —— 第 i 個(gè)神經(jīng)元外部輸入 iu —— 第 i 個(gè)神經(jīng)元的活化狀態(tài) iy —— 第 i 個(gè)神經(jīng)元的輸出 )(?f —— 神經(jīng)元的活化規(guī)則（活化函數(shù)） )(?g —— 神經(jīng)元的輸出規(guī)則（轉(zhuǎn)換函數(shù)） 在某些模型中，假設(shè)神經(jīng)元沒有內(nèi)部狀態(tài)，可以令 f=1（恒等映射），此時(shí))(g)( iii ugy ??? 。不同的系統(tǒng)對活化值作了不同的假設(shè)，它可以是連續(xù)的，也可以是離散的。若是連續(xù)的，它可以取任意實(shí)數(shù)（無界的），也可以取某個(gè)最大值與最小值之間的數(shù)（有界的）；若是離散的，則可取二值、三值或一個(gè)小的有限數(shù)集。 下圖 32 給出了一般化 MP 模型 [8]。 圖 32 一般化 MP 模型 12 神經(jīng)網(wǎng)絡(luò)模型 神經(jīng)網(wǎng)絡(luò)是在對人腦思維方式研究的基礎(chǔ)上，用數(shù)學(xué)方法將其簡化并抽象模擬反映人腦基本功能的一種并行處理連接網(wǎng)絡(luò)。一個(gè)神經(jīng)網(wǎng)絡(luò)由多個(gè)互連的神經(jīng)元組成，神經(jīng)元是神經(jīng)網(wǎng)絡(luò)的基本處理單元。 神經(jīng)網(wǎng)絡(luò)在目前已有幾十種不同的模型。通常，人們較多地考慮神經(jīng)網(wǎng)絡(luò)的互連結(jié)構(gòu)，包括四種典型結(jié) 構(gòu)如圖 33 所是 ，分別是 1） 前饋網(wǎng)絡(luò)。神經(jīng)元分層排列，組成輸入層、隱含層和輸出層，每層只能夠接受前一層神經(jīng)元的輸入； 2） 反饋網(wǎng)絡(luò)。在 輸入層到輸出層存在反饋； 3） 相互結(jié)合型網(wǎng)絡(luò)。相互結(jié)合網(wǎng)絡(luò)屬于網(wǎng)絡(luò)結(jié)構(gòu)，任意兩個(gè)神經(jīng)元之間可能有連接； 4） 混合型網(wǎng)絡(luò)。層次型網(wǎng)絡(luò)和網(wǎng)狀結(jié)構(gòu)網(wǎng)絡(luò)的一種結(jié)合。 圖 33 神經(jīng)網(wǎng)絡(luò)的 4 種典型拓?fù)浣Y(jié)構(gòu) 神經(jīng)網(wǎng)絡(luò)的工作方式 神經(jīng)網(wǎng)絡(luò)的工作過程主要由兩個(gè)階段組成：一是工作期，此時(shí)各連接權(quán)值固定，計(jì)算單元的狀態(tài)變化，以求達(dá)到穩(wěn)定狀態(tài)；二是學(xué)習(xí)期（自適應(yīng)期或設(shè)計(jì)期），此時(shí)各計(jì)算單元狀態(tài)不變，各連接權(quán)值可修改。前一階段較快，各單元的狀態(tài)也稱短期記憶，后一階段慢得多，權(quán)值及連接方式也稱長期記憶。 學(xué)習(xí)是神 經(jīng)網(wǎng)絡(luò)最重要的一個(gè)能力，學(xué)習(xí)算法是神