【正文】 處理組件，那么就由這個檢測組件接收監(jiān)控域內(nèi)的其它數(shù)據(jù)收集組件產(chǎn)生的數(shù)據(jù)。完全分布式模型的研究剛剛興起，除了對分布式入侵檢測的體系結(jié)構(gòu)的研究，研究者還關(guān)注對等節(jié)點之間的通信、信任、授權(quán)等問題。分布式系統(tǒng)的組通信機制、事件通知服務(wù)等中間件技術(shù)開始進入研究者的視野。但由于這些技術(shù)存在安全等問題，而且由于系統(tǒng)中沒有全局控制中心，所以管理和進行信息綜合比較困難，基于完全分布式模型的分布式入侵檢測從實驗室研究到工業(yè)應(yīng)用還有很長一段路要走。 規(guī)則描述語言計算機及網(wǎng)絡(luò)攻擊正變得越來越普遍、復(fù)雜，這就需要表述、分類并共享關(guān)于滲透、漏洞利用及入侵技術(shù)方面的信息。入侵描述語言就隨之應(yīng)運而生，它用于將入侵的表現(xiàn)編碼為適當(dāng)?shù)母袷?，以便識別具有特定表現(xiàn)形式的入侵并響應(yīng)或報告該入侵。入侵描述語言也有助于分析不同入侵之間的關(guān)系以便識別協(xié)同攻擊。此外，入侵描述語言描述的入侵場景使得可以方便地再現(xiàn)該攻擊，利用再現(xiàn)的攻擊可以對入侵檢測系統(tǒng)進行性能測試。入侵檢測團體近來對入侵描述語言給予了很大的關(guān)注，開發(fā)出了多種入侵描述語言。但目前仍然還沒有出現(xiàn)一種描述入侵的通用語言。從不同的角度來描述入侵，需要不同類型的描述語言。入侵描述語言分為6類：事件語言(Event language)、響應(yīng)語言(Response language)、報告語言(Report language)、關(guān)聯(lián)語言(Correlation language)、漏洞利用語言(Exploit language)以及檢測語言(Detection language)。這些語言具有不同的應(yīng)用范圍和目的，其中： 事件語言用于描述“事件”。而事件是安全分析的基本輸入。這類語言主要關(guān)注數(shù)據(jù)格式的規(guī)范。在大多數(shù)情況下，這類語言都沒有形式化的語言定義；相反，卻有一些各種事件類型的自然語言描述和關(guān)聯(lián)結(jié)構(gòu)的示意性描述。事件語言有許多例子，其格式和特點都各不相同，如BSM審計記錄規(guī)范，Tcpdump包、系統(tǒng)日志信息等。一種定義良好的通用事件語言將有益于入侵檢測領(lǐng)域的研究工作。這種語言應(yīng)當(dāng)支持組件及預(yù)處理程序的復(fù)用，簡化不同系統(tǒng)間的數(shù)據(jù)共享機制，并且允許不同事件流的融合。部分研究者給出了建議標(biāo)準(zhǔn)格式的一個例子。也可以使用其它的通用內(nèi)容說明語言，如XML。響應(yīng)語言用于說明檢測到攻擊行為后所采取的響應(yīng)活動。當(dāng)前的大多數(shù)入侵檢測系統(tǒng)都沒有定義良好的響應(yīng)語言。它們代之以一些用通用語言(如C或Java)寫的庫函數(shù)，這就限制了它們的可定制性和可擴展性。通用的響應(yīng)語言將會很有用，可以對響應(yīng)過程進行一次性定義，而后安裝在不同的入侵檢測系統(tǒng)里面。此外，這種通用語言還應(yīng)當(dāng)支持對響應(yīng)的動態(tài)重配置。例如，可以根據(jù)攻擊行為的演化而激活不同類型的響應(yīng)過程。對一次攻擊可能采取這樣一種響應(yīng)過程，即報告給負責(zé)安全事務(wù)的官員或者報告給某個應(yīng)用程序。報告語言用于描述包含攻擊信息(如攻擊源、攻擊目標(biāo)、攻擊類型等)和事件信息的告警信息。報告語言也可以在較高層次上被當(dāng)作一種事件語言來使用，例如作為關(guān)聯(lián)程序的輸入使用。一種通用的報告語言將會對入侵檢測學(xué)界十分有用，已經(jīng)有數(shù)種報告語言格式標(biāo)準(zhǔn)被提交。例如，通用入侵規(guī)范語言(CISL) 和入侵檢測消息交換格式(IDMEF)。CISL是通用入侵檢測框架(CIDF)的一部分，這種語言是基于泛型入侵檢測對象(Generalized Intrusion Detection Objects，GIDO)概念提出的，GIDO是用S表達式描述的；IDMEF是因特網(wǎng)工程任務(wù)組(IETF)入侵檢測工作組(IDWG)提出的。IDMEF基于XML語言，利用了先前的CIDF的許多成果。這種語言目前正處于工ETF標(biāo)準(zhǔn)化進程中。關(guān)聯(lián)語言現(xiàn)在是入侵檢測及響應(yīng)團體研究的一個重要方向。這種語言利用各種入侵檢測系統(tǒng)提供的語義豐富的告警信息，企圖識別大規(guī)模入侵活動的全局情形。這就是說，這種語言說明了攻擊行為之間的關(guān)系，用以判別旨在破壞某一信息系統(tǒng)安全的協(xié)同攻擊企圖及其對目標(biāo)系統(tǒng)的影響。關(guān)聯(lián)語言的應(yīng)用有時就是現(xiàn)有的檢測技術(shù)在更高抽象層面上的應(yīng)用。例如，我們可以不必分析BSM事件和tcpdump事件，而讓關(guān)聯(lián)程序利用類似技術(shù)來分析告警信息。現(xiàn)有的關(guān)聯(lián)問題的解決手段主要有：貝葉斯網(wǎng)絡(luò)(如Honeywell公司的ARGUS系統(tǒng)和SRI公司的EMERALD系統(tǒng))、基于事件的推理(如STATL)、基于規(guī)則的推理 (如SRI公司的PBEST)、基于邏輯使用說明方式的LAMBDA，以及ADeLe。漏洞利用語言用于描述進行入侵所需要執(zhí)行的步驟。這種語言通常是通用的可執(zhí)行語言，如C，C++， Perl，Tcl，Bourne Shell，Python等。也有一些語言是專門設(shè)計用于支持攻擊腳本的，例如CASL(定制攻擊仿真語言)和NASL。這兩種語言都對攻擊腳本提供語言級的支持。一種通用的漏洞利用語言對網(wǎng)絡(luò)安全學(xué)界會很有用處。例如，它將簡化入侵檢測系統(tǒng)測試用例的生成。此外，它還將促進網(wǎng)絡(luò)安全學(xué)界在攻擊方面的信息共享和深入理解。檢測語言用于支持入侵檢測，它們也常被稱為“攻擊語言”。這種語言提供了對攻擊行為的抽象描述和判別攻擊行為的機制。攻擊是用這類語言進行描述的，輸入事件流可以與這種描述進行匹配以便查找正在發(fā)生的攻擊的證據(jù)。檢測語言的例子很多，比較常見的如NFR公司開發(fā)設(shè)計的NCode語言，該語言成功應(yīng)用于NFR公司的IDA系統(tǒng)中；SRI公司的EMERALD系統(tǒng)中使用的PBEST語言；UCSB的STATL語言；Bro系統(tǒng)和Snort系統(tǒng)中使用的語言等?，F(xiàn)歸納總結(jié)了一些比較經(jīng)典的入侵語言及其分類。見表：表 1 經(jīng)典入侵語言列表名稱事件語言漏洞利用語言報告語言檢測語言關(guān)聯(lián)語言響應(yīng)語言BSM√Tcpdump√Bishop√CASL√NASL√CISL√IDMEF√Kumar√BRO√Snort√STATL√LAMBDA√√√Adele√√√√CAML√從當(dāng)前不同入侵檢測系統(tǒng)采用不同的入侵描述語言來描述入侵行為看，入侵描述語言的設(shè)計是多種多樣的，但是，基本上要滿足下列幾個要求：(1)簡潔性：為了提高系統(tǒng)的運行性能，檢測語言的設(shè)計不應(yīng)該過于復(fù)雜和繁瑣，在適合需求的前提下，應(yīng)該盡可能簡化；(2)完整性：即該種語言應(yīng)該能夠描述大多數(shù)現(xiàn)有的入侵攻擊手段，并且能夠靈活地加以擴展，來刻畫未來發(fā)現(xiàn)的其他入侵行為：(3)嚴(yán)格性：具有嚴(yán)格定義的、獨立于實現(xiàn)的語法和語義，以便任何攻擊描述都具有非二義性：(4)可擴展性：新域具有新的事件類型，需要針對這些事件類型的謂詞和函數(shù)。應(yīng)該能夠以定義好的、相對一簡單的方式將該語言擴展到新的域中；(5)可執(zhí)行性/可譯性：應(yīng)該能將攻擊描述整合到IDS應(yīng)用程序中，而無需任何手工變換。該規(guī)范或者是可執(zhí)行的或者必須提供技術(shù)和工具將攻擊規(guī)范轉(zhuǎn)換為有效的可執(zhí)行方式；(6)可移植性：語言處理工具應(yīng)該很容易適應(yīng)于不同的環(huán)境；(7)異質(zhì)性：應(yīng)該能夠用來自于多種域的事件(如IP包、主機審計記錄)描述攻擊。 實驗數(shù)據(jù)本文所使用的實驗數(shù)據(jù)就是1999年KDD入侵檢測競賽的標(biāo)準(zhǔn)實驗數(shù)據(jù)集，在本文的實驗中，我們采用的是其中做了類別屬性標(biāo)記的大約10%的訓(xùn)練數(shù)據(jù)和測試數(shù)據(jù)，訓(xùn)練集中有24種攻擊，測試集中有38種攻擊。1998年美國國防高級研究計劃局(DARPA)的入侵檢測評價程序由麻省理工學(xué)院(MIT)林肯實驗室準(zhǔn)備和管理。這項工作的目標(biāo)是調(diào)查和評價在入侵檢測方面的研究進展。數(shù)據(jù)集提供了用來評價研究進展的標(biāo)準(zhǔn)樣本集合，該數(shù)據(jù)集包括多種類型的入侵，并且這些入侵是模擬軍力一網(wǎng)絡(luò)環(huán)境中經(jīng)常出現(xiàn)的入侵。1999年KDD入侵檢測競賽就使用了該數(shù)據(jù)集的一個版本。林肯實驗室搭建了一個模擬典型的美國軍方局域網(wǎng)的實驗環(huán)境，通過TCP Dump軟件監(jiān)聽了9個星期網(wǎng)絡(luò)流量數(shù)據(jù)。除了向其中人為地加入多種攻擊外， 他們使該局域網(wǎng)運轉(zhuǎn)的就像是一個真的軍方網(wǎng)絡(luò)環(huán)境。原始的訓(xùn)練數(shù)據(jù)是搭建的局域網(wǎng)中7個星期的網(wǎng)絡(luò)流量數(shù)據(jù)，這些數(shù)據(jù)被處理成大約500萬個網(wǎng)絡(luò)連接記錄。同樣地，測試數(shù)據(jù)是包含大約200萬網(wǎng)絡(luò)連接記錄的2個星期的網(wǎng)絡(luò)流量數(shù)據(jù)。一個網(wǎng)絡(luò)連接是指在某個定義好的時間段內(nèi)一連串的TCP包的發(fā)出和到達，在該時間段內(nèi)，數(shù)據(jù)流以某個特定的協(xié)議從源IP地址流向目的IP地址。每個連接被標(biāo)記為正?；蚬?。攻擊主要分為以下4個主要的種類：(1) DOS：拒絕服務(wù)攻擊，如SYN Flood ，land攻擊。(2) R2L：遠程機器的未認證訪問，如：口令猜測。(3) U2R：各種權(quán)限提升，如：各種本地和遠程Buffer Overflow攻擊(4) Probe：各種端口掃描和漏洞掃描。值得注意的是，測試數(shù)據(jù)具有和訓(xùn)練數(shù)據(jù)不一樣的概率分布，它包括了一些在訓(xùn)練數(shù)據(jù)中沒有的特定的攻擊類型。這樣就使得這項工作變得更切合實際。一些入侵專家相信大多數(shù)新穎的攻擊是已知攻擊的變種，并且利用己知攻擊的信息足以捕獲這些新穎的攻擊。數(shù)據(jù)集包含24種訓(xùn)練攻擊類型和38種測試攻擊類型，其中測試攻擊類型中不但包含了所有的24種訓(xùn)練攻擊類型而且還有14種是新穎的。每條連接信息包含41維特征，分別屬于4類特征集：(1)基本特征集，如：連接的持續(xù)時間、協(xié)議、服務(wù)、發(fā)送字節(jié)數(shù)、接收字節(jié)數(shù)等；(2)內(nèi)容特征集，即用領(lǐng)域知識獲得與網(wǎng)絡(luò)信息內(nèi)容相關(guān)的特征，如：連接中的hot標(biāo)志的個數(shù)、本連接中失敗登陸次數(shù)、是否成功登陸等；(3)流量特征集，即基于時間的與網(wǎng)絡(luò)流量相關(guān)的特征，這類特征又分為兩個集合，一種為Same Host特征集，即在過去2s內(nèi)與當(dāng)前連接具有相同目標(biāo)主機的連接中，有關(guān)協(xié)議行為、服務(wù)等的一些統(tǒng)計信息；另外一種為Same Service特征集，即在過去2s內(nèi)與當(dāng)前連接具有相同服務(wù)連接中做出的統(tǒng)計信息；(4)主機流量特征集，即基于主機的與網(wǎng)絡(luò)流量相關(guān)的特征，這類特征是為了發(fā)現(xiàn)慢速掃描而設(shè)的特征，獲取的辦法是統(tǒng)計在過去的100個連接中的一些統(tǒng)計特性，如過去100個連接中與當(dāng)前連接具有相同目的主機的連接數(shù)、與當(dāng)前連接具有相同服務(wù)的連接所占百分比等。表 2 特征描述表序號特征名稱描述類型1Duration連接時間連續(xù)2Protocol type協(xié)議類型離散3Service Network網(wǎng)絡(luò)服務(wù)類型離散4Flag連接狀態(tài)(正?；虍惓?連續(xù)5Src_bytes從源地址到目的地址傳送的字節(jié)數(shù)連續(xù)6Dst_Bytes從目的地址到源地址傳送的字節(jié)數(shù)連續(xù)7Land1表示連接同一主機，0表示其他離散8Wrong_fragment錯誤碎片數(shù)目連續(xù)9Urgent緊急數(shù)據(jù)包數(shù)目連續(xù)10Hot“hot”指示器數(shù)目連續(xù)11Num_failed_logins錯誤注冊次數(shù)連續(xù)12Logged_in1表示注冊成功，0表示失敗離散13Num_promised“Num_promised”條件數(shù)連續(xù)14Root_shell1表示獲得根目錄權(quán)限，0表示沒有離散15Su_attempted1表示獲得超級用戶權(quán)限，0表示沒有離散16Num_root超級用戶數(shù)目連續(xù)17Num_file_creations文件創(chuàng)建數(shù)目連續(xù)18Num_shells命令解釋器數(shù)目連續(xù)19Num_acess_files文件訪問次數(shù)連續(xù)20Num_outbound_cmdsftp下載數(shù)目連續(xù)21Is_hot_login1表示hot，0其他離散22Is_guest_login1表示guest，0其他離散23Count過去2秒內(nèi)，主機連接數(shù)連續(xù)24Srv_count過去2秒內(nèi)，服務(wù)端連接數(shù)連續(xù)25Serror_rate有“SYN”錯誤的連接比率連續(xù)26Srv_serror_rate服務(wù)端有“SYN”錯誤的連接比率連續(xù)27Rerror_rate有“REJ”錯誤的連接比率連續(xù)28Srv_rerror_rate服務(wù)端有“REJ”錯誤的連接比率連續(xù)29Same_srv_rate同一服務(wù)端連接比率連續(xù)30Diff_srv_rate不同服務(wù)端連接比率連續(xù)31Srv_diff_host_rate不同主機同一服務(wù)端比率連續(xù)32Dst_host_count目標(biāo)主機相同連接數(shù)連續(xù)33Dst_host_srv_count主機相同的連接服務(wù)器數(shù)連續(xù)34Dst_host_same_srv_rate目標(biāo)主機相同，具有相同服務(wù)器連接比率連續(xù)35Dst_host_diff_srv_rate目標(biāo)主機相同，具有不同服務(wù)器連接比率連續(xù)36Dst_host_same_src_port_rate目標(biāo)主機相同的，具有相同源地址端口的連接比率連續(xù)37Dst_host_srv_diff_rate目標(biāo)主機相同的，具有不同主機的連接比率連續(xù)38Dst_host_serror_rate目標(biāo)主機相同的，有“SYN”錯誤的連接比率連續(xù)39Dst_host_srv_serror_rate目標(biāo)主機相同的，相同源地址有“SYN”錯誤的連接比率連續(xù)40Dst_host_rerror_rate目標(biāo)主機相同的，有“REJ”錯誤的連接比率連續(xù)41Dst_host_srv_rerror_rate目標(biāo)主機相同的，相同源地址有“REJ”錯誤的連接比率連