【導(dǎo)讀】基于網(wǎng)絡(luò)的NIDS是目前的主流技術(shù)?????????分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)技術(shù)架構(gòu)????????的安全保密性受到嚴(yán)重影響。網(wǎng)絡(luò)安全問(wèn)題已成為世界各國(guó)政府、企業(yè)及廣大。這令它損失了幾百萬(wàn)美金的交易。而據(jù)統(tǒng)計(jì)在這整個(gè)行動(dòng)中美國(guó)經(jīng)濟(jì)共損失了。由于業(yè)界人心惶惶，亞馬遜()、AOL、雅虎。遇襲的網(wǎng)站包括雅虎、亞馬遜和、當(dāng)系統(tǒng)管理員跟蹤時(shí)，被其報(bào)復(fù)。1994年，美國(guó)一位14歲。個(gè)帳戶(hù)，經(jīng)追蹤發(fā)現(xiàn)是國(guó)內(nèi)某撥號(hào)上網(wǎng)的用戶(hù)。同期，國(guó)內(nèi)某ISP發(fā)現(xiàn)"黑客。"侵入其主服務(wù)器并刪改其帳號(hào)管理文件，造成數(shù)百人無(wú)法正常使用。個(gè)小時(shí)，工程驗(yàn)收推遲20天；同期，上海某證券系統(tǒng)被黑客入侵；8月，印尼事件激起中國(guó)黑客集體入侵印尼網(wǎng)點(diǎn)，造成印尼多個(gè)網(wǎng)站癱瘓，9月，揚(yáng)州某銀行被黑客攻擊，利用虛存帳號(hào)提走26萬(wàn)元現(xiàn)金。進(jìn)入新世紀(jì)之后，上述損失將達(dá)2020億美元以上。防范網(wǎng)絡(luò)入侵最常用的方法就是防火墻。防火墻是設(shè)置在不同

　　

【正文】 teardrop dos， warezclient r2l， warezmaster r2l。 land dos 基于登陸的拒絕服務(wù)攻擊。 Land 攻擊是一種拒絕服務(wù)攻擊。 其 攻擊特征 是： 用于 Land 攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的，因?yàn)楫?dāng)操作系統(tǒng)接收到這類(lèi)數(shù)據(jù)包時(shí)，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或 者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。檢測(cè)技術(shù) 這種攻擊的 方法 是 判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同。 預(yù)防這種 攻擊 的 方法 是： 適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器的過(guò)濾規(guī)則就可以防止這種攻擊行為（一般是丟棄該數(shù)據(jù)包），并對(duì)這種攻擊進(jìn)行審計(jì)（記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的 MAC 地址和 IP 地址）。 teardrop dos 淚滴 攻擊 。 Teardrop 攻擊 也 是一種拒絕服務(wù)攻擊。 其 攻擊特征是 ： Teardrop 是基于 UDP 的病態(tài)分片數(shù)據(jù)包的攻擊方法，其工作原理是向被攻擊者發(fā) 送多個(gè)分片的 IP 包（ IP 分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個(gè)數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息），某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。檢測(cè)技術(shù) 這種攻擊的 方法 是 對(duì)接收到的分片數(shù)據(jù)包進(jìn)行分析，計(jì)算數(shù)據(jù)包的片偏移量（ Offset）是否有誤。 預(yù)防這種 攻擊 的 方法 是 ：添加系統(tǒng)補(bǔ)丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對(duì)這種攻擊進(jìn)行審計(jì)。 smurf dos 是一種簡(jiǎn)單但有效的拒絕服務(wù)攻擊技術(shù)，它利用了 ICMP（ Inter控制信息協(xié)議）。 ICMP 在 Inter 上用于錯(cuò)誤處理和傳遞 控制信息。它的功能之一是與主機(jī)聯(lián)系，通過(guò)發(fā)送一個(gè)“回音請(qǐng)求”（ echo request）信息包看看主機(jī)是否“活著”。最普通的 ping 程序就使用了這個(gè)功能。 Smurf 是用一個(gè)偷來(lái)的帳號(hào)安裝到一個(gè)計(jì)算機(jī)上的，然后用一個(gè)偽造的源地址連續(xù) ping 一個(gè)或多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，這就導(dǎo)致所有計(jì)算機(jī)所響應(yīng)的那個(gè)計(jì)算機(jī)并不是實(shí)際發(fā)送這個(gè)信息包 第 25 頁(yè) 共 35 頁(yè) 的那個(gè)計(jì)算機(jī)。這個(gè)偽造的源地址，實(shí)際上就是攻擊的目標(biāo)，它將被極大數(shù)量的響應(yīng)信息量所淹沒(méi)。對(duì)這個(gè)偽造信息包做出響應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)就成為攻擊的不知情的同謀。預(yù)防這種攻擊的方法是 ：為了防止黑客利用你 的網(wǎng)絡(luò)攻擊他人，關(guān)閉外部路由器或防火墻的廣播地址特性。為防止被攻擊，在防火墻上設(shè)置規(guī)則，丟棄掉 ICMP 包。 buffer_overflow u2r 緩沖區(qū)溢出 攻擊 由于在很多的服務(wù)程序中大意的程序員使用象 strcpy(),strcat()類(lèi)似的不進(jìn)行有效位檢查的函數(shù)，最終可能導(dǎo)致惡意用戶(hù)編寫(xiě)一小段利用程序來(lái)進(jìn)一步打開(kāi)安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當(dāng)發(fā)生緩沖區(qū)溢出時(shí)，返回指針指向惡意代碼，這樣系統(tǒng)的控制權(quán)就會(huì)被奪取。 預(yù)防這種攻擊的方法是 ：利用 SafeLib、 tripwire 這樣的程序保護(hù)系統(tǒng)，或 者瀏覽最新的安全公告不斷更新操作系統(tǒng)。 portsweep probe 端口掃描 探測(cè)器攻擊。 通常使用一些軟件，向大范圍的主機(jī)連接一系列的 TCP 端口，掃描軟件報(bào)告它成功的建立了連接的主機(jī)所開(kāi)的端口。預(yù)防這種攻擊的方法 ：許多防火墻能檢測(cè)技術(shù)到是否被掃描，并自動(dòng)阻斷掃描企圖。 ipsweep probe IP 地址掃描探測(cè)器攻擊。 運(yùn)用 ping 這樣的程序探測(cè)目標(biāo)地址，對(duì)此 做 出響應(yīng)的表示其存在。 預(yù)防這種攻擊的方法 ：在防火墻上過(guò)濾掉 ICMP應(yīng)答消息。 nmap probe 端口掃描探測(cè)器。 Nmap 是 在 UNIX 環(huán)境下推薦的 端口掃描儀。Nmap 不止是端口掃描儀，也是安全工具箱中必不可少的工具。 預(yù)防這種攻擊的方法 ：許多防火墻能檢測(cè)技術(shù)到是否被掃描，并自動(dòng)阻斷掃描企圖。 其他主流的攻擊類(lèi)型 由于研究的數(shù)據(jù)集有限。研究時(shí)間的局限，我們所看到的攻擊類(lèi)型還是很有限的，還有幾種主流的攻擊類(lèi)型，可以幫助我們即時(shí)預(yù)防，以增強(qiáng)入侵檢測(cè)技術(shù)系統(tǒng)的性能。 1 Ping of Death 根據(jù) TCP/IP 的規(guī)范，一 個(gè)包的長(zhǎng)度最大為 65536 字節(jié)。盡管一個(gè)包的長(zhǎng)度不能超過(guò) 65536 字節(jié)，但是一個(gè)包分成的多個(gè)片段的疊加卻能做到。當(dāng)一個(gè)主機(jī)收到 了長(zhǎng)度大于 65536 字節(jié)的包時(shí)，就是受到了 Ping of Death 攻擊，該攻擊會(huì)造成主機(jī)的宕機(jī)。由于在早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì) TCP/IP 棧的實(shí)現(xiàn)在 ICMP 包上都是規(guī)定 64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱(chēng)自己的尺寸超過(guò) ICMP 上限的包也就是加載的尺寸超過(guò) 64K 上限時(shí)， 第 26 頁(yè) 共 35 頁(yè) 就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致 TCP/IP 堆棧崩潰，致使接受方當(dāng)機(jī)。 預(yù)防這種攻擊的方法 ：現(xiàn)在所有的標(biāo)準(zhǔn) TCP/IP 實(shí)現(xiàn)都已實(shí)現(xiàn)對(duì)付超大尺寸 的包，并且大多數(shù)防火墻能夠自動(dòng)過(guò)濾這些攻擊，包括：從 windows98 之后 windows,NT(service pack 3 之后 )， linux、 Solaris、和 Mac OS 都具有抵抗一般 ping ofdeath 攻擊的能力。此外，對(duì)防火墻進(jìn)行配置，阻斷 ICMP 以及任何未知協(xié)議，都講防止此類(lèi)攻擊。 2 SYN flood 該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送 SYN 包，而在收到目的主機(jī)的 SYN ACK 后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒(méi)有收到 ACK 一直維護(hù)著這些隊(duì)列，造 成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)。一些 TCP/IP棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來(lái)的 ACK消息，因?yàn)樗麄冎挥杏邢薜膬?nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿(mǎn)了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來(lái)的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時(shí)。在一些創(chuàng)建連接不受限制的實(shí)現(xiàn)里， SYN 洪水具有類(lèi)似的影響 。預(yù)防這種攻擊的方法： 在防火墻上過(guò)濾來(lái)自同一主機(jī)的后續(xù)連接。 未來(lái)的 SYN 洪水令人擔(dān)憂(yōu)，由于釋放洪水的并不尋求響應(yīng)，所以無(wú)法從一個(gè)簡(jiǎn)單高容量的傳輸中鑒別出來(lái)。 3 UDP 洪水（ UDP flood） 概覽：各種各樣的假冒攻擊利用簡(jiǎn)單的 TCP/IP 服務(wù)，如 Chargen 和 Echo來(lái)傳送毫無(wú)用處的占滿(mǎn)帶寬的數(shù)據(jù)。通過(guò)偽造與某一主機(jī)的 Chargen 服務(wù)之間的一次的 UDP 連接，回復(fù)地址指向開(kāi)著 Echo 服務(wù)的一臺(tái)主機(jī)，這樣就生成在兩臺(tái)主機(jī)之間的足夠多的無(wú)用數(shù)據(jù)流，如果足夠多的數(shù)據(jù)流就會(huì)導(dǎo)致帶寬的服務(wù)攻擊。 預(yù)防這種攻擊的方法： 關(guān)掉不必要的 TCP/IP 服務(wù)，或者對(duì)防火墻進(jìn)行配置阻斷來(lái)自 Inter 的請(qǐng)求這些服務(wù)的 UDP 請(qǐng)求。 4 CPU Hog 一種通過(guò)耗盡系統(tǒng)資源使運(yùn)行 NT 的計(jì)算機(jī)癱瘓的拒絕服務(wù)攻擊，利用Windows NT 排定當(dāng)前運(yùn)行程序的方式所進(jìn)行的攻擊。 5 Win Nuke 是以拒絕目的主機(jī)服務(wù)為目標(biāo)的網(wǎng)絡(luò)層次的攻擊。攻擊者向受害主機(jī)的端口139，即 bios 發(fā)送大量的數(shù)據(jù)。因?yàn)檫@些數(shù)據(jù)并不是目的主機(jī)所需要的，所以會(huì)導(dǎo)致目的主機(jī)的死機(jī)。 6 RPC Locator 第 27 頁(yè) 共 35 頁(yè) 攻擊者通過(guò) tel 連接到受害者機(jī)器的端口 135 上，發(fā)送數(shù)據(jù)，導(dǎo)致 CPU資源完全耗盡。依照程序設(shè)置和是否有其他程序運(yùn)行，這種攻擊可以使受害計(jì)算機(jī)運(yùn)行緩慢或者停止響應(yīng)。無(wú)論哪種情況，要使計(jì)算機(jī)恢復(fù)正常運(yùn)行速度必須重新啟動(dòng)。 7 聚類(lèi)算法在網(wǎng)絡(luò)入侵檢測(cè)技術(shù)中的作用 模式識(shí)別方法（ Pattern Recognition Method）是一種借助于計(jì)算機(jī)對(duì)信息進(jìn)行處理、判決分類(lèi)的數(shù)學(xué)統(tǒng)計(jì)方法。在日常生產(chǎn)實(shí)踐和社會(huì)研究中，往往所需處理的問(wèn)題影響因素非常多且復(fù)雜，給問(wèn)題的研究和解決增加了困難。模式識(shí)別方法可使人們?cè)谟绊懸蛩乇姸嗟那闆r下仍能對(duì)問(wèn)題進(jìn)行方便的處理，進(jìn)而發(fā)現(xiàn)問(wèn)題的解決途徑和事物發(fā)展的潛在規(guī)律性。在一個(gè)多因素問(wèn)題中，結(jié)果即目標(biāo)與各因素即指標(biāo)之間難以找出直接的聯(lián)系，很難用理論的途徑去解決。在各指標(biāo)之間一時(shí)也尋 找不到明顯的關(guān)聯(lián)，所能得到的只是些模糊的認(rèn)識(shí)、由長(zhǎng)期的經(jīng)驗(yàn)所形成的感知和由測(cè)量所積累的數(shù)據(jù)。因此，若能用計(jì)算機(jī)技術(shù)對(duì)以往的經(jīng)驗(yàn)、觀察、數(shù)據(jù)進(jìn)行總結(jié)，尋找目標(biāo)與各指標(biāo)之間的某種聯(lián)系或目標(biāo)的優(yōu)化區(qū)域、優(yōu)化方向，則對(duì)實(shí)際問(wèn)題的解決是具有指導(dǎo)意義和應(yīng)用價(jià)值的。模式識(shí)別方法正是基于此種思想，并獲得廣泛應(yīng)用和取得較大成功的有效方法之一。 應(yīng)用模 式識(shí)別方法的首要步驟是建立模式空間。所謂模式空間是指在考察一客觀現(xiàn)象時(shí)，影響目標(biāo)的眾多指標(biāo)構(gòu)成的多維空間。每個(gè)指標(biāo)代表一個(gè)模式參量。 第 28 頁(yè) 共 35 頁(yè) 假設(shè)一現(xiàn)象有幾個(gè)事件（樣本）組成，每一個(gè)事件都有 P 個(gè)特征參量（ X1， X2，?Xp），則它就構(gòu)成 P 維模式空間，每一個(gè)事件的特征參量代表一個(gè)模式。模式識(shí)別就是對(duì)多維空間中各種模式的分布特點(diǎn)進(jìn)行分析，對(duì)模式空間進(jìn)行劃分，識(shí)別各種模式的聚類(lèi)情況，從而作出判斷或決策。 模式分類(lèi)的方法有很多種，比如貝葉斯決策論，最大似然估計(jì)和貝葉斯參數(shù)估計(jì)，分參數(shù)技術(shù)，線性判別函數(shù)法， 獨(dú)立于算法的機(jī)器學(xué)習(xí)，利用這些方法，我們一直假設(shè)在設(shè)計(jì)分類(lèi)器時(shí)，訓(xùn)練樣本集中每個(gè)樣本的類(lèi)別歸屬是“被標(biāo)記了” 的，這種利用已標(biāo)記樣本集的方法稱(chēng)為“有監(jiān)督”或“有教師”方法。 下面我們將介紹“無(wú)監(jiān)督”或“無(wú)教師”方法，用來(lái)處理未被標(biāo)記的樣本集。 有許多理由使我們相信“無(wú)監(jiān)督”方法是非常有用的： 1． 收集并標(biāo)記大型樣本集是個(gè)非常費(fèi)時(shí)費(fèi)力的工作，若能在一個(gè)較小的樣本空間上粗略地訓(xùn)練一個(gè)分類(lèi)器，隨后，允許它以自適應(yīng)的方式處理大量的無(wú)監(jiān)督的樣本，我們就能節(jié)省大量的時(shí)間和精力。 2． 存在很多應(yīng)用，待分類(lèi)模式的性質(zhì)會(huì)隨著時(shí)間發(fā)生 緩慢的變化。如果這種性質(zhì)的變化能在無(wú)監(jiān)督的情況下捕捉到，分類(lèi)器的性能就會(huì)大幅提升。 3． 可以用無(wú)監(jiān)督的方法提取一些基本特征，這些特征對(duì)進(jìn)一步分類(lèi)會(huì)很有用。 4． 在任何一項(xiàng)探索性的工作中，無(wú)監(jiān)督的方法都可以向我們揭示觀測(cè)數(shù)據(jù)的一些內(nèi)部結(jié)構(gòu)和規(guī)律。 在無(wú)監(jiān)督情況下，我們可以嘗試以多種方式重新描述問(wèn)題，其中之一是將問(wèn)題陳述為對(duì)數(shù)據(jù)分組或聚類(lèi)的處理。盡管得到的聚類(lèi)算法沒(méi)有很明顯的理論性，但它們確實(shí)是模式識(shí)別研究中非常有用的一類(lèi)技術(shù)。 下面我們?cè)敿?xì)介紹幾種聚類(lèi)算法并說(shuō)明它們對(duì)入侵檢測(cè)技術(shù)的貢獻(xiàn)。 基于異常的入侵檢測(cè)技術(shù)技術(shù)可以分為有監(jiān)督的異常檢測(cè)技術(shù)和無(wú)監(jiān)督的異常檢測(cè)技術(shù)，有監(jiān)督的異常檢測(cè)技術(shù)通過(guò)觀察得到的正常數(shù)據(jù)建立正常數(shù)據(jù)模型，然后檢測(cè)技術(shù)那些偏離正常模型的異常數(shù)據(jù)，一個(gè)比較典型的使用這種技術(shù)的系統(tǒng)是美國(guó)喬治梅森大學(xué)的 MADAM/ID 系統(tǒng) 。這種方法能夠檢測(cè)技術(shù)新的攻擊類(lèi)型，因?yàn)檫@些新的攻擊數(shù)據(jù)也會(huì)偏離正常的數(shù)據(jù)模型。有監(jiān)督的異常檢測(cè)技術(shù)的一個(gè)缺陷是需要一組完全正常的數(shù)據(jù)來(lái)訓(xùn)練獲得模型，如果訓(xùn)練數(shù)據(jù)中包含攻擊數(shù)據(jù)的話(huà)，這些攻擊就很難檢測(cè)技術(shù)到，因?yàn)樵摲椒ò堰@些攻擊數(shù)據(jù)認(rèn)為是正常數(shù)據(jù)，另一方面，要獲取這些訓(xùn)練數(shù)據(jù)也是很困難的。 第 29 頁(yè) 共 35 頁(yè) 目前入侵檢測(cè)技術(shù)技術(shù)研究的重點(diǎn)轉(zhuǎn)移到了無(wú)監(jiān)督的異常檢測(cè)技術(shù)上，這種技術(shù)用一組沒(méi)有標(biāo)記的數(shù)據(jù)作為輸入，發(fā)現(xiàn)其中存在的攻擊數(shù)據(jù)，即試圖從一組不知道什么是正常，什么是異常的數(shù)據(jù)集中發(fā)現(xiàn)那些異常的數(shù)據(jù)。無(wú)監(jiān)督的異常檢測(cè)技 術(shù)與有監(jiān)督的異常檢測(cè)技術(shù)相比，它不需要完全正常的訓(xùn)練數(shù)據(jù)，只需要未加工的網(wǎng)絡(luò)原始數(shù)據(jù)。無(wú)監(jiān)督的異常檢測(cè)技術(shù)技術(shù)有一個(gè)基本的假設(shè)，就是正常數(shù)據(jù)和異常數(shù)據(jù)有定性的不同，這樣才可以將它們區(qū)分開(kāi)來(lái)，例如通過(guò)一般的分析，可以知道拒絕服務(wù)攻擊的數(shù)據(jù)在屬性取值和模式上與正常的數(shù)據(jù)有很大的不同，所以可以利用無(wú)需指導(dǎo)的異常檢測(cè)技術(shù)技術(shù)來(lái)有效地檢測(cè)技術(shù)出拒絕服務(wù)攻擊。 下面介紹的利用聚類(lèi)算法的異常檢測(cè)技術(shù)就是一種無(wú)監(jiān)督的異常檢測(cè)技術(shù)技術(shù)，這種方法可以在未標(biāo)記的數(shù)據(jù)上進(jìn)行，它將相似的數(shù)據(jù)劃分到同一個(gè)聚類(lèi)中，而將不相似的數(shù)據(jù)劃分到 不同的聚類(lèi)，并為這些聚類(lèi)加以標(biāo)記表明它們是正常還是異常，然后將網(wǎng)絡(luò)數(shù)據(jù)劃分到各個(gè)聚類(lèi)中，根據(jù)聚類(lèi)的標(biāo)記來(lái)判斷網(wǎng)絡(luò)數(shù)據(jù)是否異常。 聚類(lèi)算法是一個(gè)將數(shù)據(jù)集劃分成若干個(gè)聚類(lèi)的過(guò)程，使得同一聚類(lèi)內(nèi)的數(shù)據(jù)具有較高的相似性，而不同聚類(lèi)中的數(shù)據(jù)不具有相似性。相似或者不相似根據(jù)描述數(shù)據(jù)的屬性值來(lái)度量，通常使用基于距離的方法。通過(guò)聚類(lèi)，可以發(fā)現(xiàn)數(shù)據(jù)的密集和稀疏的區(qū)域，從而發(fā)現(xiàn)數(shù)據(jù)整體的分布模式，以及數(shù)據(jù)屬性間有意義的關(guān)聯(lián)。 聚類(lèi)算法涉及很多個(gè)領(lǐng)域，包括數(shù)據(jù)挖掘、統(tǒng)計(jì)、機(jī)器學(xué)習(xí)、空間數(shù)據(jù)庫(kù)技術(shù)，目前研究重點(diǎn) 是基于距離的聚類(lèi)算法。聚類(lèi)算法也是一種無(wú)指導(dǎo)的學(xué)習(xí)，它不像分類(lèi)算法那樣需要事先標(biāo)記好的訓(xùn)練數(shù)據(jù)。聚類(lèi)算法的輸入是一個(gè)包含多個(gè)數(shù)據(jù)的數(shù)據(jù)集，每個(gè)數(shù)據(jù)通常用一個(gè)屬性向量 (x1,x2,...,xp)來(lái)表示，其中 xi 是一個(gè)連續(xù)的或離散的變量，代表數(shù)據(jù)的一個(gè)屬性的取值。 聚類(lèi)算法的輸出是若干個(gè)聚類(lèi)