【導(dǎo)讀】全隱患傳播到整個(gè)網(wǎng)絡(luò)。正是由于網(wǎng)絡(luò)的普及率越來越高，一旦發(fā)生有目的、大規(guī)模的網(wǎng)絡(luò)入侵行為，其造成的影響就越惡劣。做為保護(hù)網(wǎng)絡(luò)安全手段之一。的入侵檢測(cè)技術(shù)，一直被廣大國(guó)內(nèi)外學(xué)者所關(guān)注。由于網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，本文以提高入侵檢測(cè)技術(shù)的檢測(cè)正確率，降低誤警率和漏警率以及提高。入侵檢測(cè)技術(shù)分為異常檢測(cè)和誤用檢測(cè)兩大類。規(guī)模多模式匹配。再次，論文針對(duì)異常檢測(cè)技術(shù)存在計(jì)算量大、訓(xùn)練時(shí)間長(zhǎng)、該檢測(cè)方法解決了異常檢測(cè)中大量訓(xùn)練樣本集獲取困難的問題。擬合，通過分析向用戶發(fā)布告警入侵行為。該模型具有數(shù)據(jù)處理效率高，誤報(bào)。率低，協(xié)作性好，自學(xué)習(xí)能力強(qiáng)，安全性高等特點(diǎn)。論文最后對(duì)所作的研究工作進(jìn)行了總結(jié)，并指出了今后的研究方向。

　　

【正文】 者一段時(shí)間內(nèi)的統(tǒng)計(jì)得到。每一個(gè)活動(dòng)特征保存記錄主體當(dāng)前行為，并定時(shí)地將當(dāng)前的活動(dòng)特征與存儲(chǔ)的活動(dòng)特征合并。通過比較當(dāng)前的活動(dòng)特征與己存儲(chǔ)的活動(dòng)特征來判斷異常行為，從而檢測(cè)出入侵活動(dòng)。 令 12, , , NS S S 表示指標(biāo) 12, , , NM M M 的閥值，從某段時(shí)間的審計(jì)記錄中提取當(dāng)前特征表 12( , , , )NT T T 。如果 iT 比 iS 大，則表示 i 指標(biāo)的取值偏離較大，系統(tǒng)行 為可 能異 常。另 外， 也可 以使用 各指 標(biāo)閥 值的 帶權(quán)平 方和2 2 21 1 2 2 nna S a S a S? ? ?( 0ia? ，其中 ia 為 iS 的權(quán)值 )作為比較標(biāo)準(zhǔn)。 統(tǒng)計(jì)異常檢測(cè)方法的有利之處是 所應(yīng)用的技術(shù)方法在統(tǒng)計(jì)學(xué)得到很好的研究。例如位于標(biāo)準(zhǔn)方差兩側(cè)的數(shù)據(jù)可認(rèn)為是異常的。統(tǒng)計(jì)入侵檢測(cè)系統(tǒng)有以下幾點(diǎn)不利 ： 1)統(tǒng)計(jì)測(cè)量對(duì)事件的發(fā)生的次序不敏感，單純的統(tǒng)計(jì)入侵檢測(cè)系統(tǒng)可能不會(huì)發(fā)覺事件當(dāng)中相互依次相連的入侵行為； 2)單純的統(tǒng)計(jì)入侵檢測(cè)系統(tǒng)將逐漸地訓(xùn)練成單一點(diǎn)，要么行為是異常的，要么是正常的。如果入侵者知道自己的入侵行為被這樣的異常檢測(cè)器監(jiān)視，那么他就可以誘導(dǎo)這個(gè)系統(tǒng)，使得那些大部分依靠行為統(tǒng)計(jì)測(cè)量的入侵檢測(cè)系統(tǒng)方法對(duì)監(jiān)視的特定的事件模式失效； 3)難以確定異常閥值，閥值設(shè)置偏低或高均會(huì)導(dǎo)致誤警事件 。 第二 章 入侵檢測(cè)技術(shù)研究綜述 18 基于貝葉斯推理的檢測(cè)技術(shù) 利用貝葉斯推理進(jìn)行入侵檢測(cè)是一種基于概率統(tǒng)計(jì)理論的檢測(cè)技術(shù)。該方法通過計(jì)算在任意給定的時(shí)刻，系統(tǒng)或網(wǎng)絡(luò)中的各種與判斷攻擊行為相關(guān)的特征的值來推斷系統(tǒng)是否遭到入侵。設(shè)第 i 個(gè)特征為 iA 值表示正常， 1 值表示異常。 I 表示系統(tǒng)受到攻擊， I? 表示系統(tǒng)未受到攻擊。則由條件概率公式得： 1 2 1 2 12 ()( | , , , ) ( , , , | ) ( , , , )NN NPIP I A A A P A A A I P A A A? () 在假設(shè)每個(gè)特征 A； 僅與 I 相關(guān)，而與其他特征無關(guān)的情況下，則有 12 1( , , , | ) ( | )NNiiP A A A I P A I?? ? () 12 1( , , , | ) ( | )NNiiP A A A I P A I?? ? ?? () 從而可以推得 1 2 1121( ) ( | )( | , , , )( | , , , ) ( ) ( | )NiNiNN iiP I P A IP I A A AP I A A A P I P A I???????? () 根據(jù)入侵發(fā)生的先驗(yàn)概率以及入侵發(fā)生和不發(fā)生時(shí)各種特征出現(xiàn)的概率，就可以計(jì)算出入侵發(fā)生的概率。 基于貝葉斯推理的入侵檢測(cè)技術(shù)能夠巧妙地將問題轉(zhuǎn)換為相對(duì)容易獲得的概率間的計(jì)算 。該方法的缺點(diǎn)是先驗(yàn)知識(shí)的準(zhǔn)確性對(duì)檢測(cè)性能影響很大，表達(dá)入侵的特征選取對(duì)性能影響也非常明顯。同時(shí)在實(shí)際環(huán)境中，各個(gè)特征之間是相互影響的，因此為了檢測(cè)的準(zhǔn)確性，必須要考慮到特征之間的相關(guān)性。 基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)技術(shù) 神經(jīng)網(wǎng)絡(luò) (Neural Network NN)是由大量的處理單元 (神經(jīng)元 )互相連接而成的網(wǎng)絡(luò)。神經(jīng)網(wǎng)絡(luò)的信息通過神經(jīng)元的相互作用來實(shí)現(xiàn)，知識(shí)與信息的存儲(chǔ)表第二 章 入侵檢測(cè)技術(shù)研究綜述 19 現(xiàn)為網(wǎng)絡(luò)元件 互連 分布式的物理聯(lián)系。神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)和識(shí)別取決于各神經(jīng)元連接權(quán)系數(shù)的動(dòng)態(tài)演化過程。 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)的研究主 要集中在入侵特征的選擇以及檢測(cè)模型的建立上。如付小青等提出的利用自組織映射 (SelfOrganizing Map， SOM)網(wǎng)絡(luò)中相似模式激活神經(jīng)元的物理位置臨近的特點(diǎn)，根據(jù)輸入模式的類型對(duì)激活神經(jīng)元?jiǎng)澐?，并將待檢測(cè)數(shù)據(jù)的基本特征與推導(dǎo)特征結(jié)合，對(duì)待檢測(cè)數(shù)據(jù)進(jìn)行分類。 等人利用多層感知機(jī)和多層后向傳播神經(jīng)網(wǎng)絡(luò)建立入侵檢測(cè)模型，也取得了不錯(cuò)的實(shí)驗(yàn)效果。 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)實(shí)現(xiàn)簡(jiǎn)單，能夠處理噪聲數(shù)據(jù)。然而也存在一些問題，比如通常神經(jīng)網(wǎng)絡(luò)的訓(xùn)練時(shí)間長(zhǎng)，容易陷入局部極小點(diǎn)，同時(shí)神經(jīng)網(wǎng)絡(luò)不能為建立的 檢測(cè)模型提供合理的解釋或說明信息。 基于遺傳算法的檢測(cè)技術(shù) 遺傳算法 (Geic Algorithm GA ) 是一種模擬生物進(jìn)化機(jī)制的搜索優(yōu)化算法。根據(jù)大自然適者生存的原理，它模擬自然界中生命個(gè)體的繁殖、交配和突變現(xiàn)象。從初始種群出發(fā)，通過隨機(jī)選擇、交叉和變異操作，產(chǎn)生新的更適應(yīng)環(huán)境的個(gè)體，從而使群體進(jìn)化到搜索空間中越來越好的區(qū)域，最后收斂到群最適應(yīng)環(huán)境的個(gè)體卜，求得問題的最優(yōu)解。 將遺傳算法應(yīng)用于入侵檢測(cè)，主要是將遺傳算法用于攻擊規(guī)則的生成和入侵特征的提取。采用遺傳進(jìn)化操作啟發(fā)式地搜索 網(wǎng)絡(luò)特征數(shù)據(jù)空間，通過遺傳算子進(jìn)行遺傳操作，產(chǎn)生出具有高適應(yīng)度的個(gè)體，從而自動(dòng)歸納出某種入侵的共同屬性。將系統(tǒng)各屬性表示為特征向量，從而將系統(tǒng)正常狀態(tài)分布在 n 維空間中，并使用遺傳算法檢測(cè)規(guī)則集覆蓋的異?？臻g，從而建立異常檢測(cè)模型。法國(guó)理工大學(xué) Ludovie Me 開發(fā)的 GASSATA (Geic Algoritlun for Security Audit Trails Analysis)也是使用遺傳算法對(duì)安全審計(jì)跡進(jìn)行分析的入侵檢測(cè)系統(tǒng)。 基于遺傳算法的入侵檢測(cè)技術(shù)的問題在于 ： 交叉、變異和選擇算子的設(shè)計(jì)目前主要依靠經(jīng)驗(yàn)和實(shí)驗(yàn)的方法選取，若選擇不合理，則會(huì)產(chǎn)生過早收斂的問題。同時(shí)適應(yīng)度函數(shù)的選擇也會(huì)對(duì)算法性能產(chǎn)生重要影響。算法最終能否收斂到最優(yōu) 解也是值得考慮的問題。 第二 章 入侵檢測(cè)技術(shù)研究綜述 20 基于數(shù)據(jù)挖掘的檢測(cè)技術(shù) 基于數(shù)據(jù)挖掘的檢測(cè)技術(shù)利用數(shù)據(jù)挖掘的關(guān)聯(lián)分析、序列模式分析、分類分析等算法提取入侵特征，從而達(dá)到識(shí)別入侵的目的。關(guān)聯(lián)分析所提取的關(guān)聯(lián)規(guī)則是形如 XY? 的一種數(shù)據(jù)隱含規(guī)則，一般可以用置信度、支持度、期望置信度和作用度四個(gè)參數(shù)來描述個(gè)關(guān)聯(lián)規(guī)則的屬性。序列分析則是用來 發(fā)現(xiàn)數(shù)據(jù)記錄間相關(guān)性的方法，可以用來分析不同入侵特征之間的相關(guān)性。分類分析則是提取數(shù)據(jù)庫中數(shù)據(jù)項(xiàng)的特征屬性并生成分類模型的方法，可以用來提取入侵特征，在此基礎(chǔ)上建立檢測(cè)模型實(shí)現(xiàn)入侵檢測(cè)。 典型的基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)是哥倫比亞 (Columbia)大學(xué)的 Lee 研究小組提出的 MADAMID ( Mining Audit Data for Automated Models for Intrusion Detection )框架但是這種技術(shù)需要大量的審計(jì)數(shù)據(jù)，學(xué)習(xí)過程較慢。同時(shí)，對(duì)末知攻擊的檢測(cè)也不夠理想。 基于人工免疫的檢測(cè)技術(shù) 免疫學(xué)是生命科學(xué)的一個(gè)重要組成部分，是研究機(jī)體自我識(shí)別和對(duì)抗原性異物排斥反應(yīng)的一門新興學(xué)科。生物免疫學(xué)與計(jì)算機(jī)科學(xué)的交叉滲透非常有益，通過研究和借鑒生物免疫系統(tǒng)的運(yùn)行機(jī)制有助于設(shè)計(jì)更安全的計(jì)算機(jī)系統(tǒng)。因此將人工免疫的原理引入入侵檢測(cè)系統(tǒng)的設(shè)計(jì)是一個(gè)值得關(guān)注的發(fā)展方間。 基于人工免疫的檢測(cè)技術(shù)通過結(jié)合生物免疫系統(tǒng)的思想，模擬生物免疫學(xué)中的基因庫更新、否定選擇和克隆選擇等抗體生成過程建立入侵檢測(cè)分類模型，將正常和異常的網(wǎng)絡(luò)行為區(qū)分為自我和非我，從而達(dá)到判別入侵的目的。代一表性 的研究小組包括新墨西哥 (New Mexico)大學(xué)的 Forrest小組和 Memphis 大學(xué)的 Dasgupta 小組，這種檢測(cè)技術(shù)具有極大的潛力，但是仍然需要完善基于人工免疫的模型，同時(shí)要找到合適的否定選擇算法和克隆選擇算法。 基于支持向量機(jī)的檢測(cè)技術(shù) 支持向量機(jī) (Support Vector Machine， SVM)是一種建立在統(tǒng)計(jì)學(xué)習(xí)理論( Statistical Learning Theory， SLT)基礎(chǔ)上的學(xué)習(xí)方法。它基于 Vapnik 結(jié)構(gòu)風(fēng)險(xiǎn)最小化原則，克服了傳統(tǒng)的基于經(jīng)驗(yàn)風(fēng)險(xiǎn)最小化學(xué)習(xí) 方法的缺陷，能夠提高學(xué)習(xí)機(jī)的泛化能力。支持向量機(jī)的基本思想是首先通過某種非線性映射將輸入空間變換到一個(gè)高維空間，然后在這個(gè)高維空間中構(gòu)造最優(yōu)分類面。 第二 章 入侵檢測(cè)技術(shù)研究綜述 21 利用支持向量機(jī)建立入侵檢測(cè)模型己經(jīng)取得了一系列的進(jìn)展。如繞鮮等提出了基于支持向量機(jī)的入侵檢測(cè)模型，并以系統(tǒng)調(diào)用執(zhí)行跡為例，討論了建立檢測(cè)模型的過程。 等提出了基于無監(jiān)督機(jī)器學(xué)習(xí)法的檢測(cè)技術(shù)，采用一類支持向量機(jī) (OneClass SVM)利用未標(biāo)記訓(xùn)練數(shù)據(jù)建立入侵檢測(cè)模型。 . Sun 等利用支持向量機(jī)和神經(jīng)網(wǎng)絡(luò)做了入侵檢測(cè)特征屬性對(duì)分類準(zhǔn)確率影 響的排序和精選工作。 基于支持向量機(jī)的入侵檢測(cè)技術(shù)的不足之處在于，對(duì)分類正確率產(chǎn)生重要影響的核函數(shù)及其參數(shù)的選擇目前只能根據(jù)經(jīng)驗(yàn)，同時(shí)支持向量機(jī)只能處理一二分類問題，如果要進(jìn)行多分類檢測(cè)，區(qū)分不同的攻擊類型，需要對(duì)二分類支持向量機(jī)進(jìn)行擴(kuò)展。 入侵檢測(cè)系統(tǒng)結(jié)構(gòu) 分析 隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和規(guī)模的日益增大，入侵檢測(cè)面臨著許多新的問題 ： (1)系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中各個(gè)主機(jī)上，這些弱點(diǎn)有可能被入侵者一起用來攻擊網(wǎng)絡(luò)，而依靠唯一的主機(jī)或網(wǎng)絡(luò) IDS 不能發(fā)現(xiàn)入侵行為 ； (2)入侵行為不再是單一的行為，而是表 現(xiàn)出相互協(xié)作入侵特點(diǎn)。如分布式拒絕服務(wù)攻擊 (DDOS) 和 Mitnick 入侵檢測(cè)所依靠的數(shù)據(jù)來源分散化，收集原始的檢測(cè)數(shù)據(jù)變得困難，如交換型網(wǎng)絡(luò)使得監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包受到限制 ； (4)網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)絡(luò)速度傳輸加快，網(wǎng)絡(luò)的流量大，集中處理原始的數(shù)據(jù)方式往往造成檢測(cè)瓶頸，從而導(dǎo)致漏警。 分布式入侵檢測(cè)系統(tǒng)因此應(yīng)運(yùn)而生。分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)可分為 3 類 ： 集中式 、等級(jí)式 和 分布 式。 集中式 IDS 集中式協(xié)同檢測(cè)僅僅將其數(shù)據(jù)收集組件分布到網(wǎng)絡(luò)中，而數(shù)據(jù)處理任務(wù)仍然由一個(gè)或固定的幾個(gè)組件承擔(dān)。這樣的系 統(tǒng)實(shí)質(zhì)上不能稱之為真正的分布式入侵檢測(cè)系統(tǒng)。在分布式入侵檢測(cè)系統(tǒng)中，不僅數(shù)據(jù)收集組件是分布的，數(shù)據(jù)處理組件數(shù)量 也應(yīng)與網(wǎng)絡(luò)中被檢測(cè)主機(jī)的數(shù)量成正比。 如圖： 第二 章 入侵檢測(cè)技術(shù)研究綜述 22 圖 1 集中式 IDS 結(jié)構(gòu)示意圖 DIDS 是典型的這類系統(tǒng)。 DIDS 由主機(jī)代理 (Host Agent)， LAN 代理 (LAN Agent)和管理器 (DIDS Director)三大部分組成。主機(jī)代理負(fù)責(zé)檢測(cè)某臺(tái)主機(jī)的安全，依據(jù)搜集到這臺(tái)主機(jī)活動(dòng)的信息產(chǎn)生主機(jī)安全事件，并將這些安全事件傳送到管理器。同樣， LAN 代理 檢測(cè)局域網(wǎng)的安全，依據(jù)搜集到的網(wǎng)絡(luò)數(shù)據(jù)包信息產(chǎn)生局域網(wǎng)安全事件，也把這些局域網(wǎng)安全事件傳給管理器。管理器根據(jù)安全專家知識(shí)、主機(jī)安全事件和網(wǎng)絡(luò)安全事件進(jìn)行入侵檢測(cè)推理分析，最后得出整個(gè)網(wǎng)絡(luò)的安全狀態(tài)結(jié)論。主機(jī)代理并不是安裝在 LAN 中所有的主機(jī)上，而是按照特定的安全需求做出決定。管理器還提供了 DIDS 與安全管理人員的用戶接口。 集中式協(xié)同檢測(cè)系統(tǒng)具有明顯的缺陷 ： (1)數(shù)據(jù)處理組件是集中式協(xié)同檢測(cè)系統(tǒng)中最為重要的組件，一旦失效，那么整個(gè)入侵檢測(cè)系統(tǒng)也隨之癱瘓。攻擊者可能針對(duì)這一點(diǎn)，對(duì)系統(tǒng)中的數(shù)據(jù)處理組件發(fā)動(dòng)攻擊 ，形成這類系統(tǒng)典型的單點(diǎn)失效問題。 (2)數(shù)據(jù)處理組件需要處理眾多數(shù)據(jù)收集組件發(fā)送來的數(shù)據(jù)，因此要求有高性能的處理能力和很高的網(wǎng)絡(luò)吞吐能力。 等級(jí)式 IDS 顧名思義，等級(jí)式就是以層次化結(jié)構(gòu)部署數(shù)據(jù)處理組件。數(shù)據(jù)處理組件劃分為多個(gè)級(jí)別，低沉組件從數(shù)據(jù)收集組件獲得原始數(shù)據(jù)，經(jīng)過提煉、精減后提交給更高層的數(shù)據(jù)處理組件。 AAFID、 EMERALD 和 SHOMAR 是層次化系統(tǒng)第二 章 入侵檢測(cè)技術(shù)研究綜述 23 檢測(cè)的例子。如圖： 圖 2 等級(jí)式 IDS 結(jié)構(gòu)示意圖 AAFID 結(jié)構(gòu)中有三個(gè)部件 ： 代理 (agents)、收發(fā)器 (transceivers)和監(jiān)控器 (monitors)，代理是獨(dú)立運(yùn)行的檢測(cè)主機(jī)的實(shí)體，收發(fā)器布置在每個(gè)被監(jiān)控的主機(jī)上，監(jiān)控器是高層的控制和處理實(shí)體。代理是數(shù)據(jù)收集部件，收發(fā)器和監(jiān)視器都兼具控制和數(shù)據(jù)處理功能。收發(fā)器接收和處理代理發(fā)送來的報(bào)告，監(jiān)控器接收和處理它所控制的收發(fā)器發(fā)來的簡(jiǎn)化過的信息。因此， AAFID 對(duì)數(shù)據(jù)的處理是層層精減的，并且只能在一個(gè)主機(jī)內(nèi)部實(shí)現(xiàn)主動(dòng)的數(shù)據(jù)請(qǐng)求。 EMERALD 將所監(jiān)測(cè)的網(wǎng)絡(luò)分成三個(gè)層級(jí) ： 服務(wù) (service analysis)、域(domainwide analysis)和企業(yè) (enterprisewide analysis)，每層有相應(yīng)的服務(wù)監(jiān)控器 (servicemonitors)執(zhí)行分析功能。每層的監(jiān)控器之 間 可以通過基于訂閱(subscriptionbased)的通信機(jī)制互助協(xié)作，但層與層之間不能通過這種機(jī)制傳遞數(shù)據(jù)，上層監(jiān)控器通過接收下層監(jiān)控器發(fā)送的報(bào)告建立對(duì)監(jiān)控域狀態(tài)的視圖。 SHOMAR 是一種更為靈活的分層結(jié)構(gòu)。通過一個(gè) IDS 管理器 (IDS Manager)組織不同的檢測(cè)器 (ID Services)成為一個(gè) IDS 集群 (IDS Cluster)，而底層的 IDS集群又可以成為上層 IDS 集群的檢測(cè)器。 SHOMAR 支持任意兩個(gè)實(shí)體的通信，而無需考慮他們?cè)诜謱又械奈恢?，因而它結(jié)合了對(duì)等和分層的有點(diǎn)，具有很強(qiáng)的靈活性。 層次化協(xié)同檢測(cè)結(jié)構(gòu)存在以下幾個(gè)缺點(diǎn) ：