【正文】 同角度、不同位置收集反映網(wǎng)絡(luò)狀態(tài)的數(shù)據(jù)信息，如網(wǎng)絡(luò)數(shù)據(jù)包、系統(tǒng)日志、系統(tǒng)操作者發(fā)出的口令等。多傳感器信息融合的基本原理就像人腦綜合處理信息的過程一樣，它充分利用多個傳感器資源，通過對各個傳感器及其觀測信息的合理支配和使用，將各種傳感器在空間和時間上的互補(bǔ)與冗余信息根據(jù)某種優(yōu)化準(zhǔn)則組合起來，產(chǎn)生對觀測環(huán)境的一致性解釋和描述。遺傳算法就這樣反復(fù)迭代，向著更優(yōu)解的方向進(jìn)化，直至滿足某種預(yù)定的優(yōu)化指標(biāo)。算法開始時先隨機(jī)地產(chǎn)生一些染色體，計算其適應(yīng)度，根據(jù)適應(yīng)度對各染色體進(jìn)行選擇復(fù)制、交叉、變異等遺傳操作，剔除適應(yīng)度低的染色體，留下適應(yīng)度高的染色體，從而得到新的群體。它把搜索空間映射為遺傳空間，即把每個可能的解編碼為一個向量，稱為一個染色體，向量的每個元素稱為基因。遺傳算法遺傳算法是基于自然選擇,生物體通過遺傳、變異來適應(yīng)外界環(huán)境，一代又一代地優(yōu)勝劣汰，發(fā)展進(jìn)化。免疫的基本原理是分辨本體（正常）和異體（異常）。免疫系統(tǒng)免疫系統(tǒng)是一個復(fù)雜的多代理系統(tǒng)。人們的許多知識是模糊的，模糊知識在控制和決策中具有巨大的作用。模糊系統(tǒng)模糊理論在知識和規(guī)則獲取中具有重要的作用。使用神經(jīng)網(wǎng)絡(luò)對輸入向量進(jìn)行處理，從中提取用戶正常行為的模式特征，并以此創(chuàng)建用戶的行為特征輪廓。將神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用于入侵檢測系統(tǒng)，以檢測未知攻擊。數(shù)據(jù)挖掘的關(guān)鍵點(diǎn)在于算法的選取和一個正確的體系結(jié)構(gòu)的建立。對于入侵檢測系統(tǒng)來說，也需要從大量的數(shù)據(jù)中提取出入侵的特征。常用的入侵檢測統(tǒng)計分析模型有：操作模型，方差，多元模型，馬爾可夫過程模型，時間序列分析。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性取決于審計記錄的完備性和實(shí)時性。如果BGS協(xié)議允許隔字節(jié)為空，那么模式匹配將無法發(fā)現(xiàn)fx00ox00ox00，相反，協(xié)議分析則能夠跳過空字節(jié)，如期發(fā)出警報。另外，協(xié)議分析還可以探測碎片攻擊。協(xié)議分析協(xié)議分析是對模式匹配的智能擴(kuò)展，它利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測攻擊的存在。它的算法簡單、準(zhǔn)確率高，但是只能檢測到已知攻擊，對已知攻擊稍加修改就可以躲過檢測，漏報現(xiàn)象嚴(yán)重，模式庫需要不斷更新。 入侵檢測方法模式匹配模式匹配是傳統(tǒng)的、最簡單的入侵檢測方法。不同的分類方法體現(xiàn)的是對入侵檢測系統(tǒng)不同側(cè)面的理解。如對日志的審核、對系統(tǒng)文件的完整性檢查等。分布式IDS是本文研究一個重點(diǎn)。所以，其可伸縮性、安全性都等到了顯著的提高，并且與集中式IDS相比，分布式IDS對基于網(wǎng)絡(luò)的共享數(shù)據(jù)量的要求較低。等級式IDS也存在一些問題：首先，當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時，區(qū)域分析結(jié)果的匯總機(jī)制也需要做相應(yīng)的調(diào)整；其次，這種結(jié)構(gòu)的IDS最后還是要將各地收集的結(jié)果傳送到最高級的檢測服務(wù)器進(jìn)行全局分析，所以系統(tǒng)的安全性并沒有實(shí)質(zhì)性的改進(jìn)。隨著服務(wù)器所承載的主機(jī)數(shù)量的增多，中央服務(wù)器進(jìn)行分析處理的數(shù)量就會猛增，而且一旦服務(wù)器遭受攻擊，整個系統(tǒng)就會崩潰。根據(jù)體系結(jié)構(gòu)分類（1）集中式入侵檢測系統(tǒng)集中式IDS有多個分布在不同主機(jī)上的審計程序，僅有一個中央入侵檢測服務(wù)器。異常檢測的誤報較多。它試圖用定量的方式描述可以接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。商用IDS多采用該種檢測方法。該檢測方法可以有效地檢測到已知攻擊，檢測精度高，誤報少。誤用檢測是對不正常的行為建模，這些不正常的行為是被記錄下來的確認(rèn)的誤用和攻擊。由于近些年來，混合式病毒攻擊的活動更為猖獗，單一的基于主機(jī)或者單一的基于網(wǎng)絡(luò)的IDS無法抵御混合式攻擊，因此，采用混合型的入侵檢測系統(tǒng)可以更好的保護(hù)系統(tǒng)。（3）混合型入侵檢測系統(tǒng)毋庸質(zhì)疑，混合型就是既基于主機(jī)又基于網(wǎng)絡(luò)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)主要用于實(shí)時監(jiān)控網(wǎng)絡(luò)上的關(guān)鍵路徑（某一共享網(wǎng)段）。（2）基于網(wǎng)絡(luò)（networkbased）的入侵檢測系統(tǒng)該系統(tǒng)獲取的數(shù)據(jù)來源是網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包。基于主機(jī)的入侵檢測系統(tǒng)主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。 入侵檢測的分類根據(jù)原始數(shù)據(jù)的來源分類：（1）基于主機(jī)（hostbased）的入侵檢測系統(tǒng)該系統(tǒng)獲取的數(shù)據(jù)來源于運(yùn)行該系統(tǒng)所在的主機(jī)。（4）響應(yīng)單元（Response units ）響應(yīng)單元根據(jù)警告信息做出反應(yīng)，如切斷連接、改變文本屬性等強(qiáng)烈的反應(yīng)，也可能是簡單地報警。（2）事件分析器（Event analyzers）事件分析器接收事件信息，然后對它們進(jìn)行分析，判斷是否是入侵行為或異?，F(xiàn)象，最后把判斷的結(jié)果轉(zhuǎn)換為警告信息。 入侵檢測系統(tǒng)的基本結(jié)構(gòu)構(gòu)成CIDF（Common Intrusion Detection Frame,公共入侵檢測框架）提出了通用模型，將入侵檢測系統(tǒng)分為四個基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫，見下圖。使監(jiān)控和分析過程自動化的軟件或硬件產(chǎn)品稱為入侵檢測系統(tǒng)（Intrusion Detection System），簡稱IDS。關(guān)于入侵檢測的概念，還有許多從不同角度的定義。 入侵檢測技術(shù) 入侵檢測的概念1980年4月，在James ：《計算機(jī)安全威脅監(jiān)控與監(jiān)視》(“Computer Security Threat Monitoring and Surveillance”)的技術(shù)報告中，首次提出了入侵（威脅 threat）的概念：潛在的有預(yù)謀未經(jīng)授權(quán)訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。但是，經(jīng)驗(yàn)證明程序錯誤和其它人為錯誤造成的安全隱患是不可能完全避免的。如果配置不當(dāng)，攻擊者就可以很容易突破防線，獲得非授權(quán)訪問能力甚至是系統(tǒng)特權(quán)。包括作為計算機(jī)核心的操作系統(tǒng)和作為支撐軟件的編譯器和數(shù)據(jù)庫管理系統(tǒng)，也包括提供服務(wù)的應(yīng)用程序等，這些軟件往往由于功能復(fù)雜、規(guī)模龐大，又沒有安全理論的指導(dǎo)或安全原則未能貫穿始終，甚至有的在設(shè)計之初就沒有考慮安全問題，導(dǎo)致了諸如緩沖區(qū)溢出、符號連接和后門等各種各樣的攻擊手段，這些漏洞一旦被發(fā)現(xiàn)，就可對系統(tǒng)的安全構(gòu)成致命的威脅。例如監(jiān)聽、暗藏的ICMP通道、SYN洪水、IP欺騙、DNS欺騙、TCP會話劫取、路由欺騙等都是利用了網(wǎng)絡(luò)協(xié)議設(shè)計上的漏洞。 安全威脅的根源五花八門的攻擊方法讓人眼花繚亂，那么為什么會有這么多的漏洞讓黑客有機(jī)可乘呢？概括地說，安全威脅的根源主要是三個方面：TCP/IP協(xié)議族在規(guī)則之初是為了方便地實(shí)現(xiàn)信息的共享，設(shè)計時注重的是開放和靈活，未能對安全性（身份鑒別和信息保密等）給予足夠的考慮。例如一個用戶用login或其他終端會話連接到遠(yuǎn)程主機(jī)上，身份驗(yàn)證之后，入侵者搶占該連接。⑤TCP會話劫取TCP會話劫取是入侵者強(qiáng)行強(qiáng)占已經(jīng)存在的連接。為了實(shí)施Web欺騙，黑客必須引誘用戶去訪問這個假冒的網(wǎng)站，一般有以下方法：利用前面介紹的DNS欺騙；創(chuàng)建錯誤的Web索引，指示給搜索引擎；把錯誤的WEB連接發(fā)送給用戶。如果用戶訪問這個假冒的網(wǎng)站，從用戶角度來說感覺不到任何差別，但是用戶的一舉一動都在黑客的監(jiān)視之下，用戶提交的任何敏感信息（例如信用卡的帳號和密碼）都成了黑客的獵物。防范方法是用轉(zhuǎn)化得到的IP地址或域名再次作反向轉(zhuǎn)換驗(yàn)證。③DNS欺騙DNS完成IP地址到域名之間的相互轉(zhuǎn)換，從DNS服務(wù)器返回到響應(yīng)一般為Internet上所有的主機(jī)所信任。②路由欺騙通過偽造或修改路由表來故意發(fā)送非本地報文以達(dá)到攻擊目的。若入侵者的主機(jī)為illegal,目標(biāo)主機(jī)為target,信任主機(jī)為friend,入侵者將illegal的IP地址改為friend的IP地址，即入侵者將發(fā)向目標(biāo)主機(jī)的數(shù)據(jù)包中源地址改為被信任主機(jī)的地址，這樣target就會相信illegal，允許它訪問。當(dāng)從遠(yuǎn)程主機(jī)上啟動任何R*命令，接收的主機(jī)僅檢查發(fā)送機(jī)器的IP地址是否符合授權(quán)信任的主機(jī)，如果符合，命令就被執(zhí)行；若不符合，就拒絕命令或要求口令。信任也可被擴(kuò)充到一些選中的機(jī)器上的不同用戶，而最終可到任何主機(jī)上的任何用戶。欺騙欺騙可以分為以下幾種：①IP欺騙在UNIX網(wǎng)絡(luò)中可以有被信任的主機(jī)。利用此通道，可以秘密向目標(biāo)主機(jī)上的木馬程序傳遞命令并在目標(biāo)機(jī)器上執(zhí)行，也可以將在目標(biāo)主機(jī)上搜集到的信息傳送給遠(yuǎn)端的黑客，作為一個秘密用戶與用戶、用戶與機(jī)器間通信的方法。黑客正是利用了這一點(diǎn)，用ICMP數(shù)據(jù)包開一個暗藏的通道。任何一臺機(jī)器接收到一個回應(yīng)請求，都返回一個回應(yīng)應(yīng)答報文給原請求者。暗藏ICMP通道ICMP （因特網(wǎng)控制報文協(xié)議）是IP層上的差錯和控制協(xié)議。拒絕服務(wù)DOS（Denial of Service）拒絕服務(wù)是就攻擊結(jié)果而言的，指目標(biāo)主機(jī)不能為用戶提供正常的服務(wù)，即破壞目標(biāo)系統(tǒng)的可用性。緩沖區(qū)溢出攻擊又可分為遠(yuǎn)程溢出攻擊和本地溢出攻擊，本地溢出攻擊是黑客獲得普通用戶權(quán)限后提升自己權(quán)限采用的方法；遠(yuǎn)程溢出攻擊是黑客獲得普通用戶權(quán)限后提升自己權(quán)限常采用的方法；遠(yuǎn)程溢出攻擊則可以在沒有系統(tǒng)的任何帳號的情況下獲得系統(tǒng)中的用戶權(quán)限，甚至直接獲得特權(quán)用戶權(quán)限。黑客利用緩沖區(qū)溢出覆蓋程序或函數(shù)的返回地址，當(dāng)程序或函數(shù)返回時指針指向黑客設(shè)計的位置，使黑客的惡意代碼得以執(zhí)行而獲得系統(tǒng)中的用戶權(quán)限甚至特權(quán)用戶權(quán)限。特洛伊木馬程序?yàn)榱四茉诿看蜗到y(tǒng)啟動的時候自動啟動，必須要修改注冊表項，所以通過檢查注冊表也可以發(fā)現(xiàn)特洛伊木馬程序，目前已有專用的防范軟件來記錄系統(tǒng)的狀態(tài)及其修改并可擒獲非法修改。黑客在成功入侵后也常在目標(biāo)系統(tǒng)中安裝特洛伊木馬程序以便長期控制目標(biāo)系統(tǒng)。特洛伊木馬程序一般采用客戶/服務(wù)器方式，駐留到目標(biāo)系統(tǒng)中的程序作為服務(wù)器端，接收客戶端（在黑客的主機(jī)上）的控制命令。特洛伊木馬特洛伊木馬程序是指非法駐留在目標(biāo)系統(tǒng)中，提供隱秘的、非用戶所希望的程序。攻擊者通過猜測、監(jiān)聽和破解用戶口令等方法獲得對主機(jī)或網(wǎng)絡(luò)的訪問權(quán)，登錄目標(biāo)系統(tǒng)訪問資源，安裝后門等。)；ICMP掃描包括：ICMP查詢報文請求及應(yīng)答掃描、ICMP