【文章內容簡介】 報告檢測過程的結果。 數據 收集 數據 處理 數據 分析 響應 處理 入侵檢測系統(tǒng) 具有脆弱性的系統(tǒng)和網絡 攻擊者 包 圖 21 入侵檢測系統(tǒng)的基本原理 6 入侵檢測系統(tǒng)的基本工作模式可以用如圖 22 所示的圖形來表示。 入侵檢測系統(tǒng)的分類 入侵檢測系統(tǒng)可以按不同的方法進行分類，其中，按檢測技術、數據來源、體系結構及時效性進行分類是應用最多的分類方法。本文主要介紹 前兩者的分類方法。 根據檢測技術分類 根據入侵檢測系統(tǒng)所采用的技術可分為誤用入侵檢測、異常入侵檢測和協(xié)議分析三種。 1） 誤用入侵檢測 誤用入侵檢測（ misuse intrusion detection）又稱為基于特征的入侵檢測 。 這一檢測（ signaturebased intrusion detection） 假設入侵者的活動可以用一種模式來表示，系統(tǒng)的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來，但對新的入侵方法無能為力。其難點在于如何設計模式，既能夠表達 “ 入侵 ” 現(xiàn)象，又 不會將正常的活動包含進來 。 2） 異常入侵檢測 異常入侵檢測（ anomaly intrusion detection）假設入侵者的活動異常于正常主體的活動。根據這一假設建立主體正?；顒拥模?“ 活動簡檔 ” ），將當前主體的活動狀況與 “ 活動簡檔 ”相比較，當違反其統(tǒng)計規(guī)律時，認為改活動可能是 “ 入侵 ” 行為。異常入侵檢測的難題在于如何建立 “ 活動簡檔 ” 以及如何設計統(tǒng)計算法，從而不把正常的操作誤認為 “ 入侵 ” 或忽略真正的 “ 入侵 ” 行為。 3） 協(xié)議分析 系統(tǒng)日記 原始數據 包 檢測原理 異常入侵檢測 誤用入侵檢測 報警 報警并采取相應措施 周期性檢測 實時檢測 圖 22 入侵檢測系統(tǒng)的基本工作模式 7 協(xié)議分析是在傳統(tǒng)模式匹配技術基礎之上發(fā)展起來的一種新的入侵檢測技術。它充分利用了 網絡協(xié)議的高度有序性，并結合了高速數據包捕捉、協(xié)議分析和命令解析，來快速檢測某種攻擊特征是否存在。這種技術正逐漸進入成熟應用階段。協(xié)議分析大大減少了計算量，即使在高負載的高速網絡上，也能逐個分析所有的數據包。 根據數據來源分類 根據入侵檢測數據來源的不同，可以將入侵檢測系統(tǒng)分為基于網絡的入侵檢測系統(tǒng)、基于主機的入侵檢測系統(tǒng)、混合式入侵檢測系統(tǒng)及文件完整性檢查式入侵檢測系統(tǒng)。 1） 基于主機的入侵檢測系統(tǒng) 基于主機的入侵檢測系統(tǒng)（ Hostbased Intrusion Detection System， HIDS）通常是安裝在被保護的主機上，主要是對改主機的網絡實時連接以及對系統(tǒng)審計日記進行分析和檢查，當發(fā)現(xiàn)可疑行為和安全違規(guī)事件時，系統(tǒng)就會像管理員報警，以便采取措施。 2） 基于網絡的入侵檢測系統(tǒng) 基于網絡的入侵檢測系統(tǒng)（ Networkbased Intrusion Detection System， NIDS）一般安裝在需要保護的網段中，實時監(jiān)視網段中傳輸的各種數據包，并對這些數據包進行分析和檢測，如果發(fā)現(xiàn)入侵行為或可疑事件，入侵檢測系統(tǒng)就會發(fā)出報警，甚至切斷網路連接。 3） 混合式入侵檢測系統(tǒng) 基 于網絡的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)都有不足之處，單純使用其中一種系統(tǒng)的主動防御體系都不夠強大。但是它們的缺憾是互補的。如果這兩種系統(tǒng)能夠無縫地結合起來部署在網絡內，這會構架一套強大的、立體的主動防御體系。 4） 文件完整性檢查式入侵檢測系統(tǒng) 文件完整性檢查式入侵檢測系統(tǒng)檢查計算機中自上次檢查后文件的變化情況。文件完整性檢查式入侵檢測系統(tǒng)保存有每個文件的數字文摘數據庫，每次檢查時，它重新計算文件的數字文摘并將它與數據庫中的值相比較，如不同，則文件已被修改，若相同，則文件未發(fā)生變化 [5]。 入 侵檢測目前存在的局限性和不足 在入侵檢測領域內應用最為廣泛，同時也是最成熟的技術仍然是基于專家系統(tǒng)的規(guī)則化檢測技術。典型的入侵檢測系統(tǒng)，如 IDES和 NIDES系統(tǒng)等，都很好的實現(xiàn)了專家系統(tǒng)基于規(guī)則檢測的概念，并在實際應用中取得了較好的效果。 8 但是，隨著系統(tǒng)安全環(huán)境特別是網絡系統(tǒng)安全形式的變化，傳統(tǒng)的基于專家系統(tǒng)的檢測技術暴露出若干局限性和不足。 首先，傳統(tǒng)的專家檢測技術需要維護一個復雜而龐大的規(guī)則庫。面對不斷變化的攻擊手段和多樣復雜的變種情況，該規(guī)則庫需要進行隨時隨地的更新升級。因為專家系統(tǒng)檢測技術完全依賴 于準確的規(guī)則庫匹配方式進行入侵檢測工作，所以一個陳舊的檢測規(guī)則庫帶來的后果可能就是漏檢大量的入侵檢測活動。更為嚴重的后果是造成安全管理員虛假的安全表象，導致重大的安全漏洞和隱患。 其次，基于專家系統(tǒng)的檢測方法缺乏足夠的靈活性來檢測已知入侵方式的變種情況。通常的規(guī)則推導過程是在精確匹配的基礎上進行的，如果某種攻擊手段的執(zhí)行過程發(fā)生某些細微的改變，對于專家系統(tǒng)而言，如果沒有找到對應的更新規(guī)則，就會被認定為合法行為，產生漏檢情況。 另一方面，如果采用更為通用的檢測規(guī)則，則有可能發(fā)生將合法用戶行為錯誤認定為非法行為 的虛假現(xiàn)象，更進一步分析可知，專家系統(tǒng)的檢測方法對在時間上分散的攻擊活動，或者是由多用戶發(fā)起的協(xié)同攻擊行為，也是很難奏效的。因為它只關注單個異常事件的出現(xiàn)與否，而對事件狀態(tài)隨時間發(fā)生的變化情況無法處理。 近年來，大量不同于傳統(tǒng)專家系統(tǒng)技術的入侵檢測方法紛紛涌現(xiàn)，其中基于人工神經網絡檢測技術的發(fā)展尤為突出。 基于神經網絡的入侵檢測技術的發(fā)展 近年來，大量不同于傳統(tǒng)專家系統(tǒng)技術的入侵檢測方法紛紛涌現(xiàn)，其中基于人工神經網絡檢測技術的發(fā)展尤為突出。 人工神經網絡是模擬人腦加工、存儲和處理信息機制而提出的一 種智能化信息處理技術，它是由大量簡單的處理單元（神經元）進行高度互連而形成的復雜網絡系統(tǒng)。從本質上講，人工神經網絡實現(xiàn)的是一種從輸入到輸出的映射關系，其輸出值由輸入樣本、神經元間的互連權值以及傳遞函數所決定。神經網絡具備高度的學習和自適應能力，通過學習能夠識別全新入侵行為特征的能力，可以克服基于專家系統(tǒng)檢測技術的局限性。 入侵檢測技術主要分成兩類，即基于異常和基于誤用的入侵檢測技術。但無論是單純采用異常入侵檢測技術，還是單純采用誤用入侵檢測技術，其檢測性能的理論上限都不會超過混合采用兩種技術思路方法的性能上 限。從而肯定了具備學習能力的神經網絡在入侵檢測中的光明應用前景。 9 3 神經網絡簡介 神經網絡的全稱是人工神經網絡（ artificial neural work， ANN）是在現(xiàn)代神經生物學研究成果的基礎上發(fā)展起來的一種模擬人腦信息處理機制的網絡系統(tǒng)，他不但具有處理數值數據的一般計算能力，而且還具有處理知識的思維、學習和記憶能力 [6]。 人工神經網絡模仿人腦神經的活動，力圖建立腦神經活動的數學模型。人工神經網絡由于其大規(guī)模并行處理、容錯性、自組織和自適應能力以及聯(lián)想功能等特點，已成為解決問題的有力工具， 對突破現(xiàn)有科學技術的瓶頸，更深入的探索非線性等復雜現(xiàn)象起到了重大的作用，并廣泛應用于許多科學領域。從控制理論的觀點來看，神經網絡處理非線性的能力是最有意義的；從系統(tǒng)辨識和模式識別的角度考慮，神經網絡跟蹤和識別非線性的能力是其最大的優(yōu)勢。 神經網絡模型 生物神經元模型 正常人腦是由大約 1011~1012個神經元組成的，神經元是腦組織的基本單元。每個神經元具有 102104 個突觸與其它神經元相連接，形成了錯綜復雜而又靈活多變的神經網絡。神經元有胞體、樹突和軸突構成。胞體是神經元的代謝中心， 每個細胞體有大量的樹突（輸入端）和軸突（輸出端），不同神經元的軸突和樹突互連的結合部為突觸，突觸決定神經元之間的連接強度和作用性質，而每個神經元胞體本身則是一非線性輸入、輸出單元。一個神經元的模型示意圖 如下圖 31 所 示。 圖 31 典型的生物神經元 由圖 31 可見，神經元有胞體、樹突和軸突構成。胞體是神經元的袋子額中心，它本身又由細胞核、內質網和高爾基體組成。胞體一般生成有許多樹狀突起物，稱之為樹突， 10 它是神經元的主要接收器。胞體還延伸出一條管狀纖維組織，稱之為軸突，軸突外面包有一層較厚的絕緣組織，稱之 為髓鞘（梅林鞘）。髓鞘規(guī)則地分為許多短段，段與段之間的部位被稱為郎飛節(jié)。軸突的作用是傳導信息，通常軸突的末端分出很多末梢，他們與后一個神經元的樹突構成一種稱為突觸的機構。前一神經元的信息經由起軸突傳到末梢之后，通過突觸對后面各個神經元產生影響。從生物控制論的觀點看，神經元作為控制和信息處理的單元，具有常規(guī)的兩種工作狀態(tài)，興奮和抑制狀態(tài)，神經沖動眼神經傳導的速度在1~150m/s 之間，在相鄰兩次沖動之間需要一個時間間隔，即為不應期。由于神經元結構的可塑性，突觸的傳遞作用可增強、減弱和飽和，因此細胞具有相應的學 習功能、遺忘和疲勞效應（飽和效應）。 隨著生物控制論的發(fā)展，人們對神經元的結構和功能有了進一步的了解，神經元不僅僅是一簡單的雙穩(wěn)態(tài)邏輯元件，而且是超級的微型生物信息處理機或控 制單元 [7]。 人工神經元模型 根據生物神經元的結構和功能，從 20 世紀 40 年代開始，人們提出了大量的人工神經元模型，其中影響較大的是 1943 年美國心理學家 McCulloch 和數學家 Pitts 共同提出的形式神經元模型通常稱之為 MP 模型。 設有 N 個神經元互聯(lián)，每個神經元的活化狀態(tài) ix （ i=1， 2， 3， ? ， N）取 0 或 1，分別代表抑制和興奮。每一個神經元的狀態(tài)按下述規(guī)則受其它神經元的制約 Nixwfx Nj ijiji ?????? ?? ,2,1),( 1 ? （ 31） 式中 ijw ——— 神經元 i 和神經元 j 之間突觸連接強度，或稱權值； i? ——— 神經元 i 的閥值； )(f? 在這里取階躍函數 step )(? ，有 Step(a)=???????? 0a 0a01 式（ 31）也可理解為神經元 i 的輸入輸出關系。 Xj 為第 j 個神經元向第 i 個神經元的輸入； xi 為第 i 個神經元的輸出； )(1?? ?Nj ijij xw ?為第 i 個神經元凈輸入。若將閥值也看作一個權值，則式（ 31）可改寫為 11 Nixwfx Nj jiji ，???????? ?? ,2,1),( 0 （ 32） 此時有 ii xw ???00 ， 0xw =1，這就是最初的 MP 模型 . 但是，這種簡單的 MP 模型沒有考慮時間整合、不應期、延時和數模轉換等作用。若考慮這些作用則可以發(fā)展出 MP 模型的許多變種。它們在細節(jié)上（即并行分布處理思想上）有所不同，但有許多共性，提取這些共性可以給出相當一般化模型，它的數學表達式為 )( 1 iNj ijiji sxwf ?? ??? ?? (33) )( ii fu ?? (34) )()( iii hugy ??? (35) 式中 jiW ， jX ， i? 的含義和式（ 31）一樣； i? —— 第 i 個神經元的凈輸入 iS —— 第 i 個神經元外部輸入 iu —— 第 i 個神經元的活化狀態(tài) iy —— 第 i 個神經元的輸出 )(?f —— 神經元的活化規(guī)則（活化函數） )(?g —— 神經元的輸出規(guī)則（轉換函數） 在某些模型中，假設神經元沒有內部狀態(tài)，可以令 f=1（恒等映射），此時)(g)( iii ugy ??? 。不同的系統(tǒng)對活化值作了不同的假設，它可以是連續(xù)的，也可以是離散的。若是連續(xù)的，它可以取任意實數（無界的），也可以取某個最大值與最小值之間的數（有界的）；若是離散的，則可取二值、三值或一個小的有限數集。 下圖 32 給出了一般化 MP 模型 [8]。 圖 32 一般化 MP 模型 12 神經網絡模型 神經網絡是在對人腦思維方式研究的基礎上，用數學方法將其簡化并抽象模擬反映人腦基本功能的一種并行處理連接網絡。一個神經網絡由多個互連的神經元組成，神經元是神經網絡的基本處理單元。 神經網絡在目前已有幾十種不同的模型。通常，人們較多地考慮神經網絡的互連結構，包括四種典型結 構如圖 33 所是 ，分別是 1） 前饋網絡。神經元分層排列，組成輸入層、隱含層和輸出層，每層只能夠接受前一層神經元的輸入； 2） 反饋網絡。在 輸入層到輸出層存在反饋； 3） 相互結合型網絡。相互結合網絡屬于網絡結構，任意兩個神經元之間可能有連接； 4） 混合型網絡。層次型網絡和網狀結構網絡的一種結合。 圖 33 神經網絡的 4 種典型拓撲結構 神經網絡的工作方式 神經網絡的工作過程主要由兩個階段組成：一是工作期，此時各連接權值固定，計算單元的狀態(tài)變化，以求達到穩(wěn)定狀態(tài)；二是學習期（自適應期或設計期），此時各計算單元狀態(tài)不變，各連接權值可修改。前一階段較快，各單元的狀態(tài)也稱短期記憶，后一階段慢得多，權值及連接方式也稱長期記憶。 學習是神 經網絡最重要的一個能力，學習算法是神