【文章內(nèi)容簡介】 ”的二分類問題 [4]。 入侵檢測系統(tǒng) (Intrusion Detection System)：是指 可以 執(zhí)行入侵檢測任務 并且 具有入侵檢測功能的系統(tǒng)， 它 是由軟件和硬件組成的。入侵檢測系統(tǒng)是防火墻的合理補充，對網(wǎng)絡的使用進行監(jiān)控，在不影響網(wǎng)絡性能的情況供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。 入侵檢測的原 理 實際 上，入侵檢測系統(tǒng) (Intrusion Detection System， IDS)事先會在網(wǎng)絡上“默默”的收集所有相關(guān)的數(shù)據(jù)信息，在數(shù)據(jù)收集的基礎(chǔ)上提取出相應的流量統(tǒng)計特征值，根據(jù)這些特征值在知識庫中進行對比，匹配耦合度較高的報文流量將被認為是對網(wǎng)絡的攻擊信息，入侵檢測系統(tǒng)的工作階段可分為四個階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)分析和響應處理。入侵檢測系統(tǒng)工作原理如圖 所示。 (1)數(shù)據(jù)收集： 通過分布的網(wǎng)絡與主機上的若干監(jiān)測點，收集主機日志、網(wǎng)絡數(shù)據(jù)包、應用程序數(shù)據(jù)和防火墻日志，這些數(shù)據(jù)信息為其后進行 的檢測提供數(shù)據(jù)基礎(chǔ)。 (2)數(shù)據(jù)處理： 通過數(shù)據(jù)收集得到的數(shù)據(jù)往往存在噪聲，而且數(shù)據(jù)量也非常巨大，對收集到的數(shù)據(jù)進行標準化，格式化的處理，可以為后續(xù)進行的數(shù)據(jù)分析提供一個良好的基礎(chǔ)。 (3)數(shù)據(jù)分析： 通過采用統(tǒng)計學方法或者其他的智能算法，對處理過的數(shù)據(jù)進行相關(guān)的分析，來發(fā)現(xiàn)其中是否存在非正常數(shù)據(jù)。 (4)響應處理： 入侵發(fā)生時，入侵檢測系統(tǒng)一旦檢測到異常，就 會 主動采取措施 以 進行防護、保 存 入侵證據(jù)并通知 給 管理員等。按照事先預設的異常處理程序，當入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊信息后，可以自動完成諸如切斷網(wǎng)絡、記錄日志， 給管理員發(fā)信息等相關(guān)動作。 圖 2 IDS 的一般工作模式 攻擊者 數(shù)據(jù)收集 數(shù)據(jù)處理 數(shù)據(jù)分析 響應處理 具有脆弱性的系統(tǒng)和網(wǎng)絡 陜西理工學院畢業(yè)論文 入侵檢測的分類 入侵檢測系統(tǒng) 有多重分類 ，包括從體系結(jié)構(gòu)來分類可以分成集中式 IDS、等級式 IDS、分布式 IDS；從同步性來分類可以分為實時連續(xù)式 IDS、間隔批處理式 IDS；從數(shù)據(jù)來源上分可以分成基于主機的 IDS、基于網(wǎng)絡的 IDS、混合式 IDS、文件完整性檢查式 IDS；從檢測技術(shù)上來分可以分成異常檢測式 IDS、誤用檢測式 IDS、協(xié)議分析 IDS；從響應方式上可以分為主動響應式 IDS、被動響應式 IDS；從時效性上可以分為聯(lián)機分析式 IDS、脫機分析式 IDS。入侵檢測系統(tǒng)分類如圖 所示。 圖 3 IDS 分類 本文從入侵檢測系統(tǒng)最常用的檢測技術(shù)、數(shù)據(jù)來源、檢測技術(shù)三種分類方法來分別探討。 集中式 IDS 等級式 IDS 分布式 IDS 實時連續(xù)式 IDS 間隔批處理式 IDS 基于主機的 IDS 基于網(wǎng)絡的 IDS 混合式 IDS 文件完整性檢 查式 IDS 異常檢測式 IDS 誤用檢測式 IDS 主動響應式 IDS 協(xié)議分析式 IDS 被動響應式 IDS 聯(lián)機分析式 IDS 脫機分析式 IDS 體系結(jié)構(gòu) 同步性 數(shù)據(jù)來源 檢測技術(shù) 響應方式 時效性 入侵檢測系統(tǒng) (IDS) 陜西理工學院畢業(yè)論文 按照檢測技術(shù)的 IDS 分類： （ 1）誤用入侵檢測 (Misuse Intrusion Detection)：誤用入侵檢測和入侵檢測的方法，它是基于信息（知識，模式，等等）的已知的入侵攻擊 [9]。誤用入侵檢測的原理是它認為所有的入侵行為都可以用一種模 式來代表，入侵檢測系統(tǒng)的工作就是判定被檢測對象是不是與這種模式相符合。這種工作模式?jīng)Q定了它只 可 檢測到已知的攻擊，而不能 發(fā)覺 新的攻擊。但誤用入侵檢測系統(tǒng)具有誤報率低的特點。圖 7 給出了誤用入侵檢測的模型。 圖 4 誤用入侵檢測的模型 （ 2）異常入侵檢測 (Anomaly Intrusion Detection)：異常入侵檢測檢測系統(tǒng)攻擊的方法是認為正?；顒优c入侵活動的區(qū)別顯著，根據(jù)這一認識，就可以得到系統(tǒng)正常狀態(tài)下的特性，而把所有與正常軌跡不同的系統(tǒng)狀態(tài)認為 是可能的攻擊信息。但是有一點不好確定，就是如何設置異常閾值，只有合理的閾值，才能有效區(qū)分正常狀態(tài)與非正常狀態(tài)。圖 8 給出了異常入侵檢測的模型。 圖 5 異常入侵檢測的模型 （ 3）協(xié)議分析：協(xié)議分析式一種新的入侵檢測技術(shù)，它的理論基礎(chǔ)模式匹配。網(wǎng)絡協(xié)議的一個特點就是高度有序性，而協(xié)議分析技術(shù)利用這個特點對數(shù)據(jù)包進行捕捉、協(xié)議分析和命令解析等技術(shù)，來確定某種攻擊是不是存在。協(xié)議分析技術(shù)的特點就是計算量小，檢測速度快 [10]。 按照時效性的 IDS 分類： （ 1） 脫機分析：脫機分析顧名思義就是在攻擊發(fā)生之后才進行的入侵檢測手段，它不具有實時性。它的這一特點使得它不能夠?qū)崟r的響應，但是它也具有一些不可忽略的優(yōu)點，就是實時分析占用系統(tǒng)資源大，而脫機分析就不存在這一問題，不會影響整個系統(tǒng)的性能，這一特點在網(wǎng)絡數(shù)據(jù)量極大時尤為突出。 （ 2）聯(lián)機分析：聯(lián)機分析與脫機分析相反，具有實時性，早期的聯(lián)機分析系統(tǒng)會嚴重影響系統(tǒng)性能，但是隨著硬件技術(shù)的快速發(fā)展，越來越多的入侵檢測系統(tǒng)采用了聯(lián)機分析，可以對攻擊行為進行實時監(jiān)測和響應。 按數(shù)據(jù)源的 IDS 分類： 匹配 規(guī)則 審計數(shù)據(jù) 信息處理 攻擊 狀態(tài) 修改當前規(guī)則 修改當前規(guī)則 時間信息 背離 統(tǒng)計 審計數(shù)據(jù) 系統(tǒng)處理 攻擊 狀態(tài) 動態(tài)產(chǎn)生新特征 更新特征 陜西理工學院畢業(yè)論文 （ 1）基于主機的 IDS(Hostbased Intrusion Detection System,HIDS)：基于主機的入侵檢測系統(tǒng)是指 IDS 在被保護的主機上安裝，主機上的系統(tǒng)審計日志是主要的數(shù)據(jù)源，依據(jù)該數(shù)據(jù)源進行分析和檢查。當系統(tǒng)受到攻擊時，往往會首先破壞主機的審計數(shù)據(jù)，這就要趕在攻擊者控制主機破壞審計數(shù)據(jù)與 IDS 之前，實時發(fā)出警報，采取相關(guān)措施。 （ 2）基于網(wǎng)絡的 IDS (Networkbased Intrusion Detection System, NIDS)：基于網(wǎng)絡的入侵檢測系統(tǒng)在需要保護的網(wǎng)段之中安裝，對網(wǎng)段中傳 輸?shù)臄?shù)據(jù)包進行實時的監(jiān)控，對收集的數(shù)據(jù)信息進行分析，從中發(fā)現(xiàn)攻擊信息。它的最大優(yōu)點就是和網(wǎng)絡系統(tǒng)融為一體，不會因為入侵檢測系統(tǒng)的運行而給網(wǎng)絡與原系統(tǒng)增加負擔；還有它對用戶來說是透明的獲取數(shù)據(jù)所用的監(jiān)控器，這就使得攻擊者不容易在網(wǎng)絡中定位并破壞入侵檢測系統(tǒng)。 （ 3）混合式 IDS：集中了基于主機 IDS 和基于網(wǎng)絡的 IDS 的優(yōu)點，它可以發(fā)現(xiàn)攻擊 于系統(tǒng)主機日志，也可以發(fā)現(xiàn)攻擊 于 網(wǎng)絡中，是十分強大的主動防 衛(wèi) 體系。圖 9 給出了一種混合式 IDS 的布置。 入侵檢測技術(shù)的進展及發(fā)展趨勢 由于非線性和高維 是 入侵檢測領(lǐng)域中 所獲得的數(shù)據(jù)具有 的 常 見 特點， 而 且數(shù)據(jù)往往不服從已知的某種分布， 如果用 傳統(tǒng)統(tǒng)計學的方法檢測 將難以湊效 ，因此，神經(jīng)網(wǎng)絡、 K 領(lǐng)域 、貝葉斯網(wǎng)絡以及支持向量機等機器學習方法被用于入侵檢測領(lǐng)域，其中 算法 支持向量機(Support Vector Machine,SVM)[14,15]是建立在統(tǒng)計學習理論基礎(chǔ)上， 是一種 機器學習方法 ，以結(jié)構(gòu)風險最小化 作 為 其 準則， 以其 具有結(jié)構(gòu)簡單、全局優(yōu)化、訓練時間短、泛化性能好等優(yōu)點， 可以 較好的解決了高維、非線性、小樣本等問題。有很多學者在這方面做了不少努力，文獻 [8,19,20]均是采用支 持向量機進行入侵檢測，獲得了不錯的效果，這進一步顯示了支持向量機優(yōu)于其他分類算法的性能。另外，還有一些學者將粗糙集理論和支持向量機理論結(jié)合來開發(fā)一些新的檢測算法 [8]，同樣取得了較好的效果。 入侵檢測技術(shù) 是 一種主動的網(wǎng)絡安全防御手段，其不僅能應對網(wǎng)絡外部的攻擊，而且能夠處理來自網(wǎng)絡自身的攻擊，這些特點是能夠彌補防火墻技術(shù)的不足的。入侵檢測系統(tǒng)的主要發(fā)展趨勢有如下的幾個方面： (1)面向 Ipv6 的 IDS： Ipv6 標準時下一代互聯(lián)網(wǎng)采用的協(xié)議標準，它與現(xiàn)有的 IPv4 協(xié)議相比，地址空間極大地擴充。地址空間的擴充， 使得超大規(guī)模網(wǎng)絡環(huán)境的出現(xiàn)成為可能。由于 Ipv6 協(xié)議本身就具有加密和認證的功能，這就使得入侵檢測系統(tǒng)對網(wǎng)路數(shù)據(jù)包的監(jiān)聽更加困難了。 為了 解決這個問題，需要 有 面向 Ipv6 的入侵檢測系統(tǒng)具有融合分布式體系結(jié)構(gòu)和高性能計算技術(shù)。 (2)高速入侵檢測：計算機網(wǎng)絡的數(shù)據(jù)連接以及交換設備的速度越來越高，這些硬件設備性能的快速提升，帶來了一個新的問題，就是入侵檢測系統(tǒng)如何應對數(shù)量巨大的，且高速的數(shù)據(jù)交換環(huán)境。這就要求入侵檢測系統(tǒng)需要具有強大的數(shù)據(jù)處理能力，以滿足高速網(wǎng)絡的需求，這有要求新的入侵檢測系統(tǒng)要重新設計軟件結(jié)構(gòu)與算 法。 (3)大規(guī)模、分布式的入侵檢測：分布式入侵檢測系統(tǒng)最典型的例子就是基于網(wǎng)絡的入侵檢測系統(tǒng)，這種入侵檢測系統(tǒng)仍然具有單點失效的問題，這是由于基于網(wǎng)絡的入侵檢測系統(tǒng)存在一個中心模塊管理入侵檢測系統(tǒng)。獲得安全信息在異構(gòu)主機以及異構(gòu)網(wǎng)絡，使入侵檢測系統(tǒng)中各模塊的合作時間，并成為未來的重點。 (4)標準化的入侵檢測：入侵檢測系統(tǒng)對網(wǎng)絡安全防護來說，是一個不可或缺的技術(shù)手段，越來越多的企業(yè)在開發(fā)入侵檢測系統(tǒng)，并投放市場。這就帶來了一個問題，不同企業(yè)開發(fā)的入侵檢測系統(tǒng)之間的數(shù)據(jù)交換工作是非常困難的，各個企業(yè)的入侵檢 測系統(tǒng)不能協(xié)同工作，這就需要制定一個廣大企業(yè)都能夠接受的統(tǒng)一規(guī)范，使得各企業(yè)開發(fā)的入侵檢測系統(tǒng)具陜西理工學院畢業(yè)論文 有通用化和標準化。 (5)入侵檢測系統(tǒng)與其他安全技術(shù)的配合使用：入侵檢測系統(tǒng)相對于其他網(wǎng)絡安全技術(shù)有不可替代的優(yōu)勢，但也不是萬能的，也存在一些局限性。入侵檢測系統(tǒng)與其他安全技術(shù)配合使用，可以取得更好的網(wǎng)絡安全防護。這就需要入侵檢測系統(tǒng)安全開放的數(shù)據(jù)接口，讓入侵檢測系統(tǒng)與其他網(wǎng)絡安全技術(shù)能夠進行安全的數(shù)據(jù)交換。這些安全措施都 是受 控制 于 系統(tǒng)統(tǒng)一的安全管理策略 [3]。 小結(jié) 本章首先介紹了入侵檢測的概念，指出了 入侵檢測的用途和目的；其次，通過介紹入侵檢測的原理及其分類，指出了入侵檢測系統(tǒng)的基本原理與工作模式；最后，本文作者在閱讀相關(guān)文獻的基礎(chǔ)上總結(jié)了當前入侵檢測技術(shù)的進展和發(fā)展趨勢，指明了當前學界對入侵檢測常用的方法和技術(shù)。 陜西理工學院畢業(yè)論文 支持向量機的基本原理 建立在統(tǒng)計學習理論和結(jié)構(gòu)風險最小化原理基礎(chǔ)上的支持向量機是 一種 新型學習機器[2]。支持向量機 的 理論完備，并且 具 有 較 好的學習能力和推廣能力，已經(jīng)成為國內(nèi)外研究的一個熱點。其基本思想是通過非線性映射將輸入空間映射到高維空間，在構(gòu)造一個間隔最大的分類超平面，使得離分類超平面最近的樣本之間的距離最大。 線性硬間隔分類器 支持向量機中最早提出的模型是最大間隔分類器，也稱為線性硬間隔分類器。給定樣本集 },1,1{,) } ,(,),(),{( 2211 ??? idill yRxyxyxyx ?其中 l 為樣本 基數(shù) ， d 是每個訓練樣本向量的維數(shù)， y 表示分類 類別。圖 中，方框點代表 1?iy 的訓練樣本，圓點 表示 1??iy的訓練樣本，中間的實線 是 最優(yōu)超平面，其 相鄰 的兩個虛線分別為過各類中離分類超平面最近的樣本且平行于最優(yōu)超平面的平面，它們之間的距離就是分類間隔。位于兩虛線上的樣本稱為支持向量。 圖 6 兩類線性分劃的最優(yōu)超平面 該超平面可 表示為 0)( ??? bxw ，其中， w 是超平面的法線方向。得到的分類函數(shù)為： )s gn ()( bxwxf ??? () 分類超平面 H 1H 分類間隔 w2 1)( ??? bxw 0)( ??? bxw 1)( ???? bxw 陜西理工學院畢業(yè)論文 由圖 6 可知，平面 21 HHH 、 可表示為： 1:1:0:21??????????bxwHbxwHbxwH () 將式 ()進行歸一化處理后，得到 ),( bw 的約束條件，即樣本集需滿足下面的不等式： libxwy i ,2,1,1)( ????? () 在訓練樣本 是 線性可分的 情形 下，要求分類超平面不僅將各類樣本沒有錯誤的分開，而且要使分類間隔最大，前者是為了保證經(jīng)驗風險 為 最小，后者則是為了使置信區(qū)間 是 最小，從而使結(jié)構(gòu)風險最小。分類超平面的分類間隔為 w2 ，使間隔最大等價于 w 最小，因此，在線性可分條件下構(gòu)造最優(yōu)超平面，就轉(zhuǎn)化為下面的二次規(guī)劃問題： ???????????libxwytsii ,2,1,1))((..)(21)(m i n?? () 式 ()可以轉(zhuǎn)化為一個較簡單的對偶二