【正文】 the idols of parasites。 In mending another, you do your self right。 and virtue was never so beholding to human nature, as it received his due at the second hand. Neither had the fame of Cicero, Seneca, Plinius Secundus, borne her age so well, if it had not been joined with some vanity in themselves: like unto varnish, that makes sealings not only shine, but last But all this while, when I speak of vainglory, I mean not of that property, that Tacitus doth attribute to Mucianus。 as if a man that negotiates between two princes, to draw them to join in a war against the third, doth extol the forces of either of them above measure, the one to the other: and sometimes, he that deals between man and man, raiseth his own credit with both by pretending greater interest than he hath in either. And in these, and the like kinds, it often falls out that somewhat is produced of nothing: for lies are sufficient to breed opinion, and opinion brings on substance. In military manders and soldiers, vainglory is an essential point。 for all bravery stands upon parisons. They must needs be violent, to make good their own vaunts. Neithe r can they be secret, and therefore not effectual。t know what that is! The journey of the witches on broomsticks is well enough known that journey is taken on St. John39。 the fly sat upon the axletree of the chariot wheel, and said. What a dust do I raise? So are there some vain persons, that whatsoever goeths indeed! They could tell us something worth hearing, if they only knew how to talk. It39。98).1998. [30] Ryan J.,Lin .,Miikkulainen detection with neural works, Proceedings of the 1997 conference on Advances in neural information processing systems 10,Denver,Colorado,United States,July 1998, [31] [32] [30] Spafford .,Zamboni detection using autonomous agents, Computer Networks,October 2020,34(4):547570 [33] Balasubramaniyan J.,GarciaFernandez .,Spafford .,Zamboni Architecture for Intrusion Detection using Autonomous of Computer Sciences,Purdue University。 為了進行訓練，在 Apache服務器下收 集日志文件，再通過 屬性長度模型和令牌發(fā)現(xiàn)模型進行訓練，之后，用一些異常的訪問進行檢測，如果檢測到異常就會自動報警，從而實現(xiàn)了對 Web請求的異常檢測。 系統(tǒng)的結構圖 Figure of System Architecture 圖 2 系統(tǒng)結構圖 系統(tǒng)開發(fā)和應用的環(huán)境 硬件環(huán)境： P4 、 256M 內(nèi)存、 60G硬盤、 Combo光驅(qū)、 10M 以太網(wǎng)卡 軟件環(huán)境： 操作系統(tǒng)： Windows XP professional 服務器： 開發(fā)工具： Microsoft Visual C++ 本程序的界面及異常提示部分是使用 MFC編寫的，而核心算法是用標準 C++的 STL寫成的，所以核心算法有較高的可移 植性。 如果相關則從訓練數(shù)據(jù)中返回令牌集。 ，那么，今后試圖使用分號 ” 。 例如： 首先進行簡單的轉(zhuǎn)換： /usr/lib/ → /aaa/aaa/ /etc/X11/XF86Config → /aaa/A00/AA00Aaaaaa 然后，由于轉(zhuǎn)換后相同字符多次出現(xiàn)，所以相同的字符進行合并： /aaa/aaa/ → /a/a/ /aaa/A00/AA00Aaaaaa → /a/A0/A0Aa 通過以上兩步，一個簡單的概括語法被建立。 結構推論模型 結構推論模型在學習階段使用訓練數(shù)據(jù)，為訓練屬性構建一個近似于真實語法的概括語法。 如果： cd istjo rigio b sv dff ?? || , 其中： (cobsv,i,fobsv,i)和 (corig,j,forig,j)分別是觀測向量和正常向量中的一項，且 cobsv,= corig,j dcdist設定的距離閥值，當某一字符的檢測頻率和正常頻率相差的距離超過設定的閥值，則認為，觀測屬性是異常行為，否則，為正常行為。 字符分布模型 字符分布模型在學習階段存儲了應用程序?qū)傩缘睦硇曰址植迹?LCD），而后，在檢測階段，它利用 Pearsonχ 2檢驗確定屬性的字符分布的正常狀態(tài) ，如果模型被表示為異常，結果通過下面兩種方法之一被確定： 如果被檢測的字符分布表象為一種極具的下降，這表明有少量的字符出現(xiàn)的頻率很高。異常檢測模型一般是建立在統(tǒng)計方法的基礎上，運用各自的方法對應用程序或 Web請求進行學習和分析，在學習訓練階段，一般模型會認為給定的學習數(shù)據(jù)都是正常數(shù)據(jù)，模型對這些正常數(shù)據(jù)進行不同方式的轉(zhuǎn)換并進行統(tǒng)計分析，并將保存結果，當程序轉(zhuǎn)換到測試階段后，異常檢測模型就會對被檢測數(shù)據(jù)做同樣的轉(zhuǎn)換，并利用之前保存的統(tǒng)計結果進 行比較分析，從而確定被檢測的數(shù)據(jù)是否是異常數(shù)據(jù)。 令牌發(fā)現(xiàn)（ Token Finder） 令牌發(fā)現(xiàn)模型（ Token Finder Model）使用統(tǒng)計檢測來確定是否輸入域中是否包含一個令牌，它依賴于被檢測屬性的期望值是否在一個常量集合中來判斷是否發(fā)生了異常情況。在學習階段結構及推論模型收集所有相關的正則語法。他的的思想來源于觀察到的合法屬性值字符串一般有規(guī)則的語法形式。對于合法的輸入來說，這個相對字符頻率是緩慢的降低的，而對于一些惡意的輸入，相對字符頻率或者是由于某個單字符的大量使用而急劇降低，或者是由于隨機字符的使用而基本不變化。 這個模型的實現(xiàn)過程，在學習階段首先計算每個樣本屬性的平均值 (μ )和方差 (σ 2)，在檢測階段，一個給定的屬性長度 l，來自真實的屬性長度的分布情況，而異常的概率的計算基于Chebyshev不等式： l ：被檢測的屬性長度 μ ：樣本平均值 σ 2：樣本方差 22 )()(|)||(| ???? ?????? llplxp 公式 1 在 Chebyshev不等式中，約束條件越弱，結果中屬性長度的容忍范圍就越大。 由于這多種模型分別與 Web 應用的多個方面相關聯(lián)，所以，一個被檢測屬性的最終異常得分是每個模 型單獨得分的權重的加和，如果權重和的值大于學習期間設定的閥值，則異常檢測程序認為這個請求有異常，并提出警告。 異常檢測模型是一組程序，通過自身的學習過程，用以評價在檢測時期查詢屬性的特性。每種類型的事件流使用一個 n 維的向量 H 表示， n 代表已知的攻擊種類?；蛩惴ɡ脤Α叭旧w”的編碼和相應的變異及組合形成新的個體，算法通常針對需要進行優(yōu)化的系統(tǒng)變量進行編碼，作為構成個體的“染色體”，因此，對處于多維系統(tǒng)的優(yōu)化非常有效。 LISYS源于 Forrest， Hofmeyr 等人提出的計算機免疫模型。 (3)免疫系統(tǒng) 免疫系統(tǒng)最基本也是最重要的能力是識別“自我 /非自我”，即它能夠識別哪些組織是屬于正常機體的，不屬于正常的就認為是異常，這個概念和入侵檢測中的異常檢測的概念相似。采用 Agent 技術的檢測系統(tǒng)有 AAFID和 EMERALD。它們采取了防止緩沖區(qū)溢出、增強文件保護、阻塞信號等手段，從而提高了攻擊者侵入系統(tǒng)的難度 (2)Agent 技術 目前，分布式的入侵檢測已成為入侵檢測系統(tǒng)的基本框架，近年來基于 Agent 的檢測技術逐漸引起研究者的重視。 其它檢測技術 (1)基于內(nèi)核的檢測 隨著 Linux操作系統(tǒng)的廣泛應用和其開放源代碼，越來越多的安全漏洞被發(fā)現(xiàn)和公布。基于人工神經(jīng)網(wǎng)絡的入侵檢測系統(tǒng)的處理包括兩個階段：第一階段的目的是構造入侵分析模型的檢測器，使用代表用戶行為的歷史數(shù)據(jù)進行訓練，完成神經(jīng)網(wǎng)絡的構建和組裝；第二階段則是入侵分析模型的實際運作階段，神經(jīng)網(wǎng)絡接收輸入的事件數(shù)據(jù)，與參考的歷史行為相比較，判斷出兩者的相似度或偏離度。由 Columbia University 的 Wenke Lee 開發(fā)的入侵檢測框架 MADAM ID 是基于該技術的代表。 NIDES 包含基于規(guī)則的誤用檢測模塊和基于統(tǒng)計分析的異常檢測模塊，其統(tǒng)計分析技術支持對每一個系統(tǒng)用戶和系統(tǒng)主體建立歷史統(tǒng)計模式。 (1)基于統(tǒng)計學原理 最早的異常檢測系統(tǒng)采用的是統(tǒng)計分析技術，可采用參量化和非參量化的方法。異常入侵檢測要解決的問題就是構造異常行為集并從中發(fā)現(xiàn)入侵行為子集。理想狀況是異常行為集等同于入侵行為集。 簡單模式匹配雖然在性能上存在很大問題，但由于系統(tǒng)的實現(xiàn)、配置和維護都非常方便，因此得到了廣泛的應用。 IDIOT 系統(tǒng)采用著色 Petri 網(wǎng)技術表示和檢測入侵模式。其中， MIDAS、 IDES 和 NIDES 所采用的專家系統(tǒng)是由Alan Whitehurst 設計的 PBEST； DIDS 和 CMDS 使用的是 CLIPS。執(zhí)行誤用檢測需要具備完備的檢測規(guī)則庫、可信的用戶行為記錄和可靠的行為記錄分析技術。異常檢測的主要缺陷是誤報率非常高，此外，若入侵者了解到檢測規(guī)律，他們就能慢慢地訓練檢測系統(tǒng)，避免系統(tǒng)指標的突變，以至于最初認為是異常的行為經(jīng)一段時間訓練后也可能認為是正常的了。 (2)異常檢測：是指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否入侵。 (1)誤用檢測：是指運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。 (3)混合型：許多機構的網(wǎng)絡安全解決方案都同時采用了基于主機和基于網(wǎng)絡的兩種入侵檢測系統(tǒng)，因為這兩種系統(tǒng)在很大程度上是互補的。 網(wǎng)絡數(shù)據(jù)是目前商業(yè)入侵檢測系統(tǒng)最為通用的信息來源，其基本原理是當網(wǎng)絡數(shù)據(jù)流在網(wǎng)段中傳播時，采用特殊的數(shù)據(jù)提取技術，收集網(wǎng)絡中傳輸?shù)臄?shù)據(jù)，它通常利用一個工作在雜收模式 (Promiscuous mode)下的網(wǎng)卡來實時監(jiān)視并分析通過網(wǎng)絡的數(shù)據(jù)流。許多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向管理員報警。相對于操作系統(tǒng)審計記錄，系統(tǒng)日志更容易遭到惡意的破壞和修改，但系統(tǒng)日志更加直觀化，而且在某些特殊的環(huán)境下，可能無法獲得操作系統(tǒng)的審計記錄或者不事件產(chǎn)生器 事件分析器 事件數(shù)據(jù)庫 響應單元 輸入：原始事件源 輸出：原始或低級事件 輸出：高級中級事件 輸出：反應或事件 輸出：事件的存儲信息 能對審計記錄進行正確的釋義，此時系統(tǒng)日志就成為系統(tǒng)安全管理不可缺少的信息來源。 事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，用于指導事件的分析及反應，它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件。事件分析器分析從其他組件收到的事件信息，并將產(chǎn)生的新信息再傳送給其他組件。事件產(chǎn)生器、事件分析器和響應單元通常以應用程序的形式出現(xiàn)，而事件數(shù)據(jù)庫則往往是文件或數(shù)據(jù)流的形式，很多 IDS 廠商都以數(shù)據(jù)收集部分、數(shù)據(jù)分析部分和控制臺部分 三個術語來分別代替事件產(chǎn)生器、事件分析器和響應單元。但是，這兩個組織提出的草案或建議目前還正處于逐步完善之中，尚未被采納為廣泛