【導讀】基于網(wǎng)絡的NIDS是目前的主流技術?????????分布式入侵檢測技術與通用入侵檢測技術架構(gòu)????????的安全保密性受到嚴重影響。網(wǎng)絡安全問題已成為世界各國政府、企業(yè)及廣大。這令它損失了幾百萬美金的交易。而據(jù)統(tǒng)計在這整個行動中美國經(jīng)濟共損失了。由于業(yè)界人心惶惶，亞馬遜()、AOL、雅虎。遇襲的網(wǎng)站包括雅虎、亞馬遜和、當系統(tǒng)管理員跟蹤時，被其報復。1994年，美國一位14歲。個帳戶，經(jīng)追蹤發(fā)現(xiàn)是國內(nèi)某撥號上網(wǎng)的用戶。同期，國內(nèi)某ISP發(fā)現(xiàn)"黑客。"侵入其主服務器并刪改其帳號管理文件，造成數(shù)百人無法正常使用。個小時，工程驗收推遲20天；同期，上海某證券系統(tǒng)被黑客入侵；8月，印尼事件激起中國黑客集體入侵印尼網(wǎng)點，造成印尼多個網(wǎng)站癱瘓，9月，揚州某銀行被黑客攻擊，利用虛存帳號提走26萬元現(xiàn)金。進入新世紀之后，上述損失將達2020億美元以上。防范網(wǎng)絡入侵最常用的方法就是防火墻。防火墻是設置在不同

　　

【正文】 teardrop dos， warezclient r2l， warezmaster r2l。 land dos 基于登陸的拒絕服務攻擊。 Land 攻擊是一種拒絕服務攻擊。 其 攻擊特征 是： 用于 Land 攻擊的數(shù)據(jù)包中的源地址和目標地址是相同的，因為當操作系統(tǒng)接收到這類數(shù)據(jù)包時，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或 者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。檢測技術 這種攻擊的 方法 是 判斷網(wǎng)絡數(shù)據(jù)包的源地址和目標地址是否相同。 預防這種 攻擊 的 方法 是： 適當配置防火墻設備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為（一般是丟棄該數(shù)據(jù)包），并對這種攻擊進行審計（記錄事件發(fā)生的時間，源主機和目標主機的 MAC 地址和 IP 地址）。 teardrop dos 淚滴 攻擊 。 Teardrop 攻擊 也 是一種拒絕服務攻擊。 其 攻擊特征是 ： Teardrop 是基于 UDP 的病態(tài)分片數(shù)據(jù)包的攻擊方法，其工作原理是向被攻擊者發(fā) 送多個分片的 IP 包（ IP 分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息），某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。檢測技術 這種攻擊的 方法 是 對接收到的分片數(shù)據(jù)包進行分析，計算數(shù)據(jù)包的片偏移量（ Offset）是否有誤。 預防這種 攻擊 的 方法 是 ：添加系統(tǒng)補丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對這種攻擊進行審計。 smurf dos 是一種簡單但有效的拒絕服務攻擊技術，它利用了 ICMP（ Inter控制信息協(xié)議）。 ICMP 在 Inter 上用于錯誤處理和傳遞 控制信息。它的功能之一是與主機聯(lián)系，通過發(fā)送一個“回音請求”（ echo request）信息包看看主機是否“活著”。最普通的 ping 程序就使用了這個功能。 Smurf 是用一個偷來的帳號安裝到一個計算機上的，然后用一個偽造的源地址連續(xù) ping 一個或多個計算機網(wǎng)絡，這就導致所有計算機所響應的那個計算機并不是實際發(fā)送這個信息包 第 25 頁 共 35 頁 的那個計算機。這個偽造的源地址，實際上就是攻擊的目標，它將被極大數(shù)量的響應信息量所淹沒。對這個偽造信息包做出響應的計算機網(wǎng)絡就成為攻擊的不知情的同謀。預防這種攻擊的方法是 ：為了防止黑客利用你 的網(wǎng)絡攻擊他人，關閉外部路由器或防火墻的廣播地址特性。為防止被攻擊，在防火墻上設置規(guī)則，丟棄掉 ICMP 包。 buffer_overflow u2r 緩沖區(qū)溢出 攻擊 由于在很多的服務程序中大意的程序員使用象 strcpy(),strcat()類似的不進行有效位檢查的函數(shù)，最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當發(fā)生緩沖區(qū)溢出時，返回指針指向惡意代碼，這樣系統(tǒng)的控制權就會被奪取。 預防這種攻擊的方法是 ：利用 SafeLib、 tripwire 這樣的程序保護系統(tǒng)，或 者瀏覽最新的安全公告不斷更新操作系統(tǒng)。 portsweep probe 端口掃描 探測器攻擊。 通常使用一些軟件，向大范圍的主機連接一系列的 TCP 端口，掃描軟件報告它成功的建立了連接的主機所開的端口。預防這種攻擊的方法 ：許多防火墻能檢測技術到是否被掃描，并自動阻斷掃描企圖。 ipsweep probe IP 地址掃描探測器攻擊。 運用 ping 這樣的程序探測目標地址，對此 做 出響應的表示其存在。 預防這種攻擊的方法 ：在防火墻上過濾掉 ICMP應答消息。 nmap probe 端口掃描探測器。 Nmap 是 在 UNIX 環(huán)境下推薦的 端口掃描儀。Nmap 不止是端口掃描儀，也是安全工具箱中必不可少的工具。 預防這種攻擊的方法 ：許多防火墻能檢測技術到是否被掃描，并自動阻斷掃描企圖。 其他主流的攻擊類型 由于研究的數(shù)據(jù)集有限。研究時間的局限，我們所看到的攻擊類型還是很有限的，還有幾種主流的攻擊類型，可以幫助我們即時預防，以增強入侵檢測技術系統(tǒng)的性能。 1 Ping of Death 根據(jù) TCP/IP 的規(guī)范，一 個包的長度最大為 65536 字節(jié)。盡管一個包的長度不能超過 65536 字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到 了長度大于 65536 字節(jié)的包時，就是受到了 Ping of Death 攻擊，該攻擊會造成主機的宕機。由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對 TCP/IP 棧的實現(xiàn)在 ICMP 包上都是規(guī)定 64KB，并且在對包的標題頭進行讀取之后，要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)，當產(chǎn)生畸形的，聲稱自己的尺寸超過 ICMP 上限的包也就是加載的尺寸超過 64K 上限時， 第 26 頁 共 35 頁 就會出現(xiàn)內(nèi)存分配錯誤，導致 TCP/IP 堆棧崩潰，致使接受方當機。 預防這種攻擊的方法 ：現(xiàn)在所有的標準 TCP/IP 實現(xiàn)都已實現(xiàn)對付超大尺寸 的包，并且大多數(shù)防火墻能夠自動過濾這些攻擊，包括：從 windows98 之后 windows,NT(service pack 3 之后 )， linux、 Solaris、和 Mac OS 都具有抵抗一般 ping ofdeath 攻擊的能力。此外，對防火墻進行配置，阻斷 ICMP 以及任何未知協(xié)議，都講防止此類攻擊。 2 SYN flood 該攻擊以多個隨機的源主機地址向目的主機發(fā)送 SYN 包，而在收到目的主機的 SYN ACK 后并不回應，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到 ACK 一直維護著這些隊列，造 成了資源的大量消耗而不能向正常請求提供服務。一些 TCP/IP棧的實現(xiàn)只能等待從有限數(shù)量的計算機發(fā)來的 ACK消息，因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直到緩沖區(qū)里的連接企圖超時。在一些創(chuàng)建連接不受限制的實現(xiàn)里， SYN 洪水具有類似的影響 。預防這種攻擊的方法： 在防火墻上過濾來自同一主機的后續(xù)連接。 未來的 SYN 洪水令人擔憂，由于釋放洪水的并不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。 3 UDP 洪水（ UDP flood） 概覽：各種各樣的假冒攻擊利用簡單的 TCP/IP 服務，如 Chargen 和 Echo來傳送毫無用處的占滿帶寬的數(shù)據(jù)。通過偽造與某一主機的 Chargen 服務之間的一次的 UDP 連接，回復地址指向開著 Echo 服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數(shù)據(jù)流，如果足夠多的數(shù)據(jù)流就會導致帶寬的服務攻擊。 預防這種攻擊的方法： 關掉不必要的 TCP/IP 服務，或者對防火墻進行配置阻斷來自 Inter 的請求這些服務的 UDP 請求。 4 CPU Hog 一種通過耗盡系統(tǒng)資源使運行 NT 的計算機癱瘓的拒絕服務攻擊，利用Windows NT 排定當前運行程序的方式所進行的攻擊。 5 Win Nuke 是以拒絕目的主機服務為目標的網(wǎng)絡層次的攻擊。攻擊者向受害主機的端口139，即 bios 發(fā)送大量的數(shù)據(jù)。因為這些數(shù)據(jù)并不是目的主機所需要的，所以會導致目的主機的死機。 6 RPC Locator 第 27 頁 共 35 頁 攻擊者通過 tel 連接到受害者機器的端口 135 上，發(fā)送數(shù)據(jù)，導致 CPU資源完全耗盡。依照程序設置和是否有其他程序運行，這種攻擊可以使受害計算機運行緩慢或者停止響應。無論哪種情況，要使計算機恢復正常運行速度必須重新啟動。 7 聚類算法在網(wǎng)絡入侵檢測技術中的作用 模式識別方法（ Pattern Recognition Method）是一種借助于計算機對信息進行處理、判決分類的數(shù)學統(tǒng)計方法。在日常生產(chǎn)實踐和社會研究中，往往所需處理的問題影響因素非常多且復雜，給問題的研究和解決增加了困難。模式識別方法可使人們在影響因素眾多的情況下仍能對問題進行方便的處理，進而發(fā)現(xiàn)問題的解決途徑和事物發(fā)展的潛在規(guī)律性。在一個多因素問題中，結(jié)果即目標與各因素即指標之間難以找出直接的聯(lián)系，很難用理論的途徑去解決。在各指標之間一時也尋 找不到明顯的關聯(lián)，所能得到的只是些模糊的認識、由長期的經(jīng)驗所形成的感知和由測量所積累的數(shù)據(jù)。因此，若能用計算機技術對以往的經(jīng)驗、觀察、數(shù)據(jù)進行總結(jié)，尋找目標與各指標之間的某種聯(lián)系或目標的優(yōu)化區(qū)域、優(yōu)化方向，則對實際問題的解決是具有指導意義和應用價值的。模式識別方法正是基于此種思想，并獲得廣泛應用和取得較大成功的有效方法之一。 應用模 式識別方法的首要步驟是建立模式空間。所謂模式空間是指在考察一客觀現(xiàn)象時，影響目標的眾多指標構(gòu)成的多維空間。每個指標代表一個模式參量。 第 28 頁 共 35 頁 假設一現(xiàn)象有幾個事件（樣本）組成，每一個事件都有 P 個特征參量（ X1， X2，?Xp），則它就構(gòu)成 P 維模式空間，每一個事件的特征參量代表一個模式。模式識別就是對多維空間中各種模式的分布特點進行分析，對模式空間進行劃分，識別各種模式的聚類情況，從而作出判斷或決策。 模式分類的方法有很多種，比如貝葉斯決策論，最大似然估計和貝葉斯參數(shù)估計，分參數(shù)技術，線性判別函數(shù)法， 獨立于算法的機器學習，利用這些方法，我們一直假設在設計分類器時，訓練樣本集中每個樣本的類別歸屬是“被標記了” 的，這種利用已標記樣本集的方法稱為“有監(jiān)督”或“有教師”方法。 下面我們將介紹“無監(jiān)督”或“無教師”方法，用來處理未被標記的樣本集。 有許多理由使我們相信“無監(jiān)督”方法是非常有用的： 1． 收集并標記大型樣本集是個非常費時費力的工作，若能在一個較小的樣本空間上粗略地訓練一個分類器，隨后，允許它以自適應的方式處理大量的無監(jiān)督的樣本，我們就能節(jié)省大量的時間和精力。 2． 存在很多應用，待分類模式的性質(zhì)會隨著時間發(fā)生 緩慢的變化。如果這種性質(zhì)的變化能在無監(jiān)督的情況下捕捉到，分類器的性能就會大幅提升。 3． 可以用無監(jiān)督的方法提取一些基本特征，這些特征對進一步分類會很有用。 4． 在任何一項探索性的工作中，無監(jiān)督的方法都可以向我們揭示觀測數(shù)據(jù)的一些內(nèi)部結(jié)構(gòu)和規(guī)律。 在無監(jiān)督情況下，我們可以嘗試以多種方式重新描述問題，其中之一是將問題陳述為對數(shù)據(jù)分組或聚類的處理。盡管得到的聚類算法沒有很明顯的理論性，但它們確實是模式識別研究中非常有用的一類技術。 下面我們詳細介紹幾種聚類算法并說明它們對入侵檢測技術的貢獻。 基于異常的入侵檢測技術技術可以分為有監(jiān)督的異常檢測技術和無監(jiān)督的異常檢測技術，有監(jiān)督的異常檢測技術通過觀察得到的正常數(shù)據(jù)建立正常數(shù)據(jù)模型，然后檢測技術那些偏離正常模型的異常數(shù)據(jù)，一個比較典型的使用這種技術的系統(tǒng)是美國喬治梅森大學的 MADAM/ID 系統(tǒng) 。這種方法能夠檢測技術新的攻擊類型，因為這些新的攻擊數(shù)據(jù)也會偏離正常的數(shù)據(jù)模型。有監(jiān)督的異常檢測技術的一個缺陷是需要一組完全正常的數(shù)據(jù)來訓練獲得模型，如果訓練數(shù)據(jù)中包含攻擊數(shù)據(jù)的話，這些攻擊就很難檢測技術到，因為該方法把這些攻擊數(shù)據(jù)認為是正常數(shù)據(jù)，另一方面，要獲取這些訓練數(shù)據(jù)也是很困難的。 第 29 頁 共 35 頁 目前入侵檢測技術技術研究的重點轉(zhuǎn)移到了無監(jiān)督的異常檢測技術上，這種技術用一組沒有標記的數(shù)據(jù)作為輸入，發(fā)現(xiàn)其中存在的攻擊數(shù)據(jù)，即試圖從一組不知道什么是正常，什么是異常的數(shù)據(jù)集中發(fā)現(xiàn)那些異常的數(shù)據(jù)。無監(jiān)督的異常檢測技 術與有監(jiān)督的異常檢測技術相比，它不需要完全正常的訓練數(shù)據(jù)，只需要未加工的網(wǎng)絡原始數(shù)據(jù)。無監(jiān)督的異常檢測技術技術有一個基本的假設，就是正常數(shù)據(jù)和異常數(shù)據(jù)有定性的不同，這樣才可以將它們區(qū)分開來，例如通過一般的分析，可以知道拒絕服務攻擊的數(shù)據(jù)在屬性取值和模式上與正常的數(shù)據(jù)有很大的不同，所以可以利用無需指導的異常檢測技術技術來有效地檢測技術出拒絕服務攻擊。 下面介紹的利用聚類算法的異常檢測技術就是一種無監(jiān)督的異常檢測技術技術，這種方法可以在未標記的數(shù)據(jù)上進行，它將相似的數(shù)據(jù)劃分到同一個聚類中，而將不相似的數(shù)據(jù)劃分到 不同的聚類，并為這些聚類加以標記表明它們是正常還是異常，然后將網(wǎng)絡數(shù)據(jù)劃分到各個聚類中，根據(jù)聚類的標記來判斷網(wǎng)絡數(shù)據(jù)是否異常。 聚類算法是一個將數(shù)據(jù)集劃分成若干個聚類的過程，使得同一聚類內(nèi)的數(shù)據(jù)具有較高的相似性，而不同聚類中的數(shù)據(jù)不具有相似性。相似或者不相似根據(jù)描述數(shù)據(jù)的屬性值來度量，通常使用基于距離的方法。通過聚類，可以發(fā)現(xiàn)數(shù)據(jù)的密集和稀疏的區(qū)域，從而發(fā)現(xiàn)數(shù)據(jù)整體的分布模式，以及數(shù)據(jù)屬性間有意義的關聯(lián)。 聚類算法涉及很多個領域，包括數(shù)據(jù)挖掘、統(tǒng)計、機器學習、空間數(shù)據(jù)庫技術，目前研究重點 是基于距離的聚類算法。聚類算法也是一種無指導的學習，它不像分類算法那樣需要事先標記好的訓練數(shù)據(jù)。聚類算法的輸入是一個包含多個數(shù)據(jù)的數(shù)據(jù)集，每個數(shù)據(jù)通常用一個屬性向量 (x1,x2,...,xp)來表示，其中 xi 是一個連續(xù)的或離散的變量，代表數(shù)據(jù)的一個屬性的取值。 聚類算法的輸出是若干個聚類