【正文】 人隱私的泄漏會給人們帶來許多不必要的麻煩，如各種電話、短信、垃圾郵件的騷擾等，嚴(yán)重時會對人們的生活造成極大的影響。對于企業(yè)來說，商場如戰(zhàn)場，而商機(jī)往往由及時可靠的信息獲取來決定，許多公司企業(yè)的網(wǎng)絡(luò)中往往會存在一些涉及商業(yè)機(jī)密的重要文件，這些文件往往成為一些商業(yè)計劃成敗的關(guān)鍵，一旦泄漏，對公司企業(yè)的打擊是沉重的。政府的重要文件和國家機(jī)密作為一個國家最為重要的信息，往往決定著國家的重大決策，把握著國家的經(jīng)濟(jì)命脈，影響范圍十分廣泛，涉及國家金融、經(jīng)濟(jì)、軍事、安全的各個方面，現(xiàn)在政府都建立了自己的網(wǎng)站，方便政府的辦公，但是同時也增加了這些重要的文件及機(jī)密泄漏的風(fēng)險。3)數(shù)據(jù)損毀：網(wǎng)絡(luò)中最重要的資源就是數(shù)據(jù)，網(wǎng)絡(luò)提供的一切服務(wù)以及在網(wǎng)絡(luò)中傳輸?shù)娜魏涡畔?，其?shí)就是一堆數(shù)據(jù)。也有來自系統(tǒng)本身的原因，如系統(tǒng)崩潰導(dǎo)致數(shù)據(jù)損毀，存儲介質(zhì)故障導(dǎo)致數(shù)據(jù)損毀。其中，因?yàn)槿肭中袨槎鴮?dǎo)致的數(shù)據(jù)損毀是最為常見而又很難防范的。4)非法控制：入侵者在成功入侵某些機(jī)關(guān)、企業(yè)或個人的主機(jī)后，往往會在被入侵主機(jī)中植入木馬，留下后門，方便其對主機(jī)進(jìn)行長期的非法控制。2005年，美國海軍航空中心的電腦被黑客入侵，通過對被入侵電腦的控制，該黑客甚至可以操控軍用導(dǎo)彈的發(fā)射，一場人為的災(zāi)難就因?yàn)榫W(wǎng)絡(luò)系統(tǒng)的安全問題而掌握在入侵者的一念之間，其后果多么可怕。同時，正是由于當(dāng)前的網(wǎng)絡(luò)規(guī)模不斷大，所涉及的用戶范圍不斷增加，一旦發(fā)生有組織，大規(guī)模的網(wǎng)絡(luò)入侵事件，所造成的影響也就越惡劣，據(jù)國際網(wǎng)絡(luò)安全專家分析，目前世界范圍內(nèi)的網(wǎng)絡(luò)安全防護(hù)仍然處于薄弱狀態(tài)：百分之九十五的網(wǎng)絡(luò)攻擊沒有被檢測到，而所檢測到的網(wǎng)絡(luò)攻擊也只有百分之十五被報告；中國國內(nèi)80％的網(wǎng)站存在安全隱患，20％的網(wǎng)站有嚴(yán)重安全問題。 國內(nèi)外研究現(xiàn)狀入侵檢測的研究可追溯到20世紀(jì)80年代，早在1980年，Anderson等人就給出了入侵檢測的概念，并提出利用審計信息來跟蹤用戶可疑行為的入侵檢測方法。目前國內(nèi)外關(guān)于信息安全的國際會議已有上百個，比較有影響的有IFIP/SEC，ACM CCS，ISC，ICICS，CIS，CNCC，NDSS等。其中，國際信息處理聯(lián)合會IFIP召開的世界計算機(jī)大會(IFIP/WCC)下面的安全會議(IFIP/SEC)是信息安全領(lǐng)域的國際頂級學(xué)術(shù)會議，因其引領(lǐng)技術(shù)潮流而備受各國信息安全界的關(guān)注，而入侵檢測一直是IFIP/SEC會的主要議題之一。需要特別提到的是2000年世界計算機(jī)大會IFIP/WCC2000在北京舉行，江澤民主席在會議開幕式上致詞，國內(nèi)著名信息安全專家卿斯?jié)h為IFIP/SEC2000程序委員會主席，充分說明信息安全問題在中國已經(jīng)受到了足夠的關(guān)注和重視，相關(guān)的研究已經(jīng)與國際社會接軌，并得到國際社會的認(rèn)可。ICICS為國內(nèi)外信息安全學(xué)者與專家齊聚一堂，探討國際信息安全前沿技術(shù)提供了難得的機(jī)會，對促進(jìn)國內(nèi)外的學(xué)術(shù)交流，促進(jìn)我國信息安全學(xué)科的發(fā)展做出了重要的貢獻(xiàn)。其中，SRI/CSL、普渡大學(xué)、加州大學(xué)戴維斯分校、洛斯阿拉莫斯國家實(shí)驗(yàn)室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這些方面的研究代表了當(dāng)前的最高水平。近年來，以信息安全專家卿斯?jié)h、方濱興、馮登國、李建華、周仲義、陳恭亮、唐正軍為代表的眾多國內(nèi)信息安全研究人員在入侵檢測領(lǐng)域取得了豐碩的研究成果，發(fā)表了大量的文獻(xiàn)和專著。近幾年，隨著人們對信息安全的認(rèn)識不斷提升，信息安全問題越來越引起人們的重視，入侵檢測系統(tǒng)的市場更是飛速發(fā)展，許多公司投入到這一領(lǐng)域，推出了自己的產(chǎn)品。國內(nèi)在入侵檢測研究方面雖然起步較晚，但發(fā)展很快，目前在公安部取得銷售許可證的安全廠商已有30余家，主要的企業(yè)及其產(chǎn)品有：啟明星辰(VenusTech)的天聞、北方計算中心的NIDS detector、遠(yuǎn)東科技的黑客煞星、金諾網(wǎng)安的KIDS、綠盟的冰之眼IDS等。網(wǎng)絡(luò)入侵檢測各領(lǐng)域研究現(xiàn)狀如下：1) IDS體系結(jié)構(gòu)研究IDS體系結(jié)構(gòu)研究的內(nèi)容是系統(tǒng)各功能部件以及部件之間的聯(lián)系，它定義了IDS的各個功能模塊以及模塊間的關(guān)系，決定了IDS的功能、性能以及適用的場合。審計程序把當(dāng)?shù)厥占降臄?shù)據(jù)發(fā)送給中央服務(wù)器進(jìn)行分析處理。②系統(tǒng)安全性脆弱，一旦中央服務(wù)器出現(xiàn)故障，整個系統(tǒng)就會陷入癱瘓；③根據(jù)各個主機(jī)不同需求配置服務(wù)器也非常復(fù)雜。它用來監(jiān)控大型網(wǎng)絡(luò)，定義了若干個分等級的監(jiān)控區(qū)，每個IDS負(fù)責(zé)一個區(qū)，每一級IDS只負(fù)責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級IDS。(3)分布式：將中央檢測服務(wù)器的任務(wù)分配給多個基于主機(jī)的IDS，這些IDS不分等級，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動。2)網(wǎng)絡(luò)攻擊模型研究網(wǎng)絡(luò)攻擊模型的建立對于了解網(wǎng)絡(luò)攻擊原理，分析網(wǎng)絡(luò)入侵過程，評估網(wǎng)絡(luò)安全程度有著重要的意義，對于IDS的部署有著重要的指導(dǎo)作用。其中攻擊圖的建模方法最為有效，也是目前研究的重點(diǎn)。目前，網(wǎng)絡(luò)攻擊圖自動生成的研究主要有兩種方法：基于模型檢測技術(shù)的方法和基于圖論的方法。網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)源有兩種：一種是主機(jī)系統(tǒng)中的審計數(shù)據(jù)、安全日志、行為記錄等信息；一種是網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包。一個特征應(yīng)該是一個數(shù)據(jù)獨(dú)有的特性，提取出來的特征應(yīng)該能夠準(zhǔn)確、完整的描述該數(shù)據(jù)或行為，從而為判斷入侵提供依據(jù)。目前，網(wǎng)絡(luò)攻擊分類方法主要有四種：基于經(jīng)驗(yàn)術(shù)語的分類方法、基于單一屬性的分類方法、基于多屬性的分類方法、基于應(yīng)用的分類方法。近幾年，基于主成分分析(Principal Component Analysis， PCA)和獨(dú)立成分分析( Independent Component Analysis， ICA)的特征提取方法成為研究的熱點(diǎn)。ICA也是一種用于數(shù)據(jù)特征提取的線性變換技術(shù)，與PCA的主要區(qū)別是：PCA分析僅利用數(shù)據(jù)的二階統(tǒng)計信息，所得的數(shù)據(jù)特征彼此正交；而ICA分析利用了數(shù)據(jù)的高階統(tǒng)計信息，強(qiáng)調(diào)的是數(shù)據(jù)特征之間的獨(dú)立性。(1)異常(Anomaly)IDS：異常檢測也叫基于行為的檢測，是利用統(tǒng)計的方法來檢測系統(tǒng)的異常行為。它首先建立統(tǒng)計概率模型，明確所觀察對象的正常情況，然后決定在何種程度上將一個行為標(biāo)為“異?！?，再通過檢測系統(tǒng)的行為或使用情況的變化來完成對“異?！毙袨榈臋z測。(2)誤用的(Misuse)IDS：誤用檢測也叫基于知識的檢測，是指運(yùn)用已知的攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測入侵。但這種方法對攻擊的變種和新的攻擊幾乎無能為力；同時由于對具體系統(tǒng)的依賴性太強(qiáng)，系統(tǒng)移植性不好，維護(hù)工作量大，并且檢測范圍受已知知識的局限?；旌闲虸DS中異常檢測器和誤用檢測器之間應(yīng)該是互相約束的。許多科研人員正在努力研究能應(yīng)用于實(shí)際入侵檢測系統(tǒng)的異常檢測器。而誤用入侵檢測無法識別新的入侵行為，只能識別那些在其規(guī)則庫中存在的入侵行為，具有較高的漏警率，但是卻有很低的誤警率?？紤]到這些特性，目前大多數(shù)入侵檢測系統(tǒng)都同時采用了這兩種方法，即混合型檢測方法，主要有：基于規(guī)范的檢測方法，基于生物免疫的檢測方法，基于偽裝的檢測方法，基于入侵報警的關(guān)聯(lián)檢測方法。5)IDS響應(yīng)機(jī)制研究IDS響應(yīng)機(jī)制是入侵檢測的重要功能模塊。針對數(shù)據(jù)源，響應(yīng)機(jī)制可以要求數(shù)據(jù)源提供更為詳細(xì)的信息、調(diào)整監(jiān)視策略、改變收集的數(shù)據(jù)類型；針對分析引擎，可以更改檢測規(guī)則、調(diào)整系統(tǒng)運(yùn)行參數(shù)等。在早期的入侵檢測系統(tǒng)中，都是采取被動響應(yīng)方式。主動響應(yīng)采取的措施有：追蹤入侵、切斷攻擊發(fā)起主機(jī)或網(wǎng)絡(luò)的連接、反向攻擊入侵主機(jī)等，更為先進(jìn)的主動響應(yīng)手段包括自動修補(bǔ)目標(biāo)系統(tǒng)的安全漏洞、動態(tài)更改檢測系統(tǒng)的檢測規(guī)則集合等方法，甚至包括與“蜜罐”(HoneyPort)系統(tǒng)密切合作，積極收集攻擊行為的信息和入侵證據(jù)等。傳統(tǒng)的響應(yīng)方法是系統(tǒng)自動根據(jù)事先定制的規(guī)則進(jìn)行反應(yīng)，由于新的入侵手段的出現(xiàn)以及規(guī)則庫的相對低智能，這種方法很難實(shí)現(xiàn)準(zhǔn)確無誤的響應(yīng)。分布式智能代理技術(shù)是當(dāng)前遠(yuǎn)程通信發(fā)展最快的領(lǐng)域之一，它是指在分布式環(huán)境中，一組不同的代理彼此協(xié)作，互相通信，使各代理能夠做出最理想的決策?；诜植际街悄艽砑夹g(shù)的實(shí)時響應(yīng)機(jī)制與入侵檢測系統(tǒng)的體系結(jié)構(gòu)研究休戚相關(guān)，采用的是主體型體系結(jié)構(gòu)，需要有效設(shè)計系統(tǒng)中的各個功能模塊及它們之間的通信協(xié)議。自1997年起，美國國防高級研究計劃署(DARPA)和互聯(lián)網(wǎng)工程任務(wù)組(IETF)的入侵檢測工作組(IDWG)發(fā)起制定了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語言格式等方面規(guī)范了IDS的標(biāo)準(zhǔn)。CIDF的規(guī)格文檔主要包括4部分：體系結(jié)構(gòu)、IDS通信機(jī)制、通用入侵描述語言( Common Intrusion Specification Language，CISL )、應(yīng)用編程接口API。入侵檢測系統(tǒng)的標(biāo)準(zhǔn)化工作提高了IDS產(chǎn)品、組件與其它安全產(chǎn)品之間的互操作性和互用性，使得多種安全技術(shù)及其產(chǎn)品能夠協(xié)同工作，共同保障系統(tǒng)安全。如上所述，入侵檢測研究的領(lǐng)域很多，本文對其中若干子課題作了研究，分別是網(wǎng)絡(luò)攻擊模型研究、入侵檢測方法研究以及IDS體系結(jié)構(gòu)研究。ACBM算法在誤用入侵檢測基于規(guī)則的模式匹配中得到廣泛的應(yīng)用，然而在實(shí)際的應(yīng)用中還存在以下問題：對短模式處理效果差；不支持多用戶等 。改進(jìn)后的ACBM算法具有更好的性能，提高了入侵檢測中模式匹配的速度。因而，需要在不降低(或盡量不降低)檢測準(zhǔn)確度的前提下，采用一定的算法，盡量降低特征空間的維數(shù)，這就是特征選擇。在異常入侵檢測中SVM分類器可用于對未知入侵進(jìn)行檢測，而SVM分類器的構(gòu)造目前主要受到兩個方面的困擾：一是當(dāng)訓(xùn)練樣本規(guī)模較大時，分類器的訓(xùn)練時間過長；二是離群點(diǎn)的存在嚴(yán)重影響分類器的泛化能力。實(shí)驗(yàn)結(jié)果表明通過選擇適當(dāng)?shù)呐R近點(diǎn)個數(shù)及超球面半徑，能夠有效的提取邊界樣本點(diǎn)，達(dá)到消除離群點(diǎn)和精簡訓(xùn)練樣本集的目的，而且精簡后的樣本集不會影響分類器的泛化能力。3)提出了一種基于啟發(fā)式規(guī)則的混合入侵檢測系統(tǒng)模型。整個模型具有很好的可擴(kuò)展性、可靠性、穩(wěn)定性和可用性，能夠適用于大規(guī)模的高速的網(wǎng)絡(luò)環(huán)境。詳細(xì)分析了論文的研究背景、意義及技術(shù)難點(diǎn)，給出了論文的主要研究工作和創(chuàng)新點(diǎn)。介紹了入侵檢測的概念和通用模型以及入侵檢測的技術(shù)分類，系統(tǒng)結(jié)構(gòu)分析，以及使用的規(guī)則描述語言和實(shí)驗(yàn)數(shù)據(jù)等內(nèi)容。介紹了誤用入侵檢測模式匹配問題，重點(diǎn)分析介紹了ACBM多模式匹配算法，提出了一種改進(jìn)的ACBM算法IACBM，比較分析了兩種算法入侵檢測的性能。介紹我們提出的基于變量相似性的特征選擇算法。介紹了異常入侵檢測分類問題，對傳統(tǒng)的SVM分類器作了介紹，針對傳統(tǒng)S VM分類器存在的主要問題，提出了一種基于超球面邊界樣本點(diǎn)篩選算法的SVM分類器(INNSVM)，比較分析了INNSVM分類器與其它SVM分類器對入侵檢測的性能。介紹了IDS系統(tǒng)體系結(jié)構(gòu)的發(fā)展，提出了一種基于啟發(fā)式規(guī)則的混合入侵檢測模型，把連接上下行數(shù)據(jù)分別采用誤用檢測技術(shù)和異常檢測技術(shù)，并對檢測到得結(jié)果通過混合分析引擎擬合，對模型的性能作了測試。對本文的工作進(jìn)行總結(jié)，并對進(jìn)一步的研究工作進(jìn)行展望。最后介紹了入侵檢測系統(tǒng)的體系結(jié)構(gòu)、規(guī)則描述語言和實(shí)驗(yàn)數(shù)據(jù)等。根據(jù)所檢測數(shù)據(jù)的來源不同，入侵檢測技術(shù)經(jīng)歷了基于主機(jī)的入侵檢測技術(shù)、基于網(wǎng)絡(luò)的入侵檢測技術(shù)和分布式入侵檢測技術(shù)三個發(fā)展時期。在這篇文章中，他提到了審計數(shù)據(jù)對于入侵檢測的重要性，通過監(jiān)視和存儲相關(guān)的審計數(shù)據(jù)信息，建立用戶審計信息模型，再根據(jù)這些統(tǒng)計模型發(fā)現(xiàn)系統(tǒng)當(dāng)中存在的異常行為。1987年，Dorothy Denning博士提出了IDS的抽象模型，模型主要由主體( Subjects )、對象(Objects )、審計記錄(Audit Records )、行為輪廓(Profiles )、異常記錄(Anomaly Records)及活動規(guī)則(Activity Rules)組成，這是一個入侵檢測系統(tǒng)的通用框架。這篇文獻(xiàn)可以看成是在入侵檢測技術(shù)的發(fā)展歷史中具有里程碑意義的重要論著。該系統(tǒng)可以用于檢測主機(jī)系統(tǒng)上發(fā)生的入侵行為，是一個與系統(tǒng)平臺無關(guān)的專家檢測系統(tǒng)。后來入侵檢測的原型系統(tǒng)被陸續(xù)開發(fā)，如下一代入侵檢測系統(tǒng)( NextGeneration Intrusion Detection System， NIDES )、Haystack系統(tǒng)等。1990年，( Network Security Monitor，NSM )，通過在共享網(wǎng)段上對通信數(shù)據(jù)的監(jiān)聽和采集，檢測所有數(shù)據(jù)包的包頭信息，分析可能出現(xiàn)的攻擊現(xiàn)象，從而達(dá)到對整個網(wǎng)段的入侵檢測和保護(hù)。這種方法擴(kuò)展了入侵檢測技術(shù)的應(yīng)用范圍，同時由于采用的是監(jiān)聽的方式獲取待檢測數(shù)據(jù)，沒有增加網(wǎng)絡(luò)負(fù)擔(dān)，也不會占用網(wǎng)絡(luò)上其他主機(jī)的資源。而且隨著分布式網(wǎng)絡(luò)攻擊的出現(xiàn)，分布式入侵檢測技術(shù)也應(yīng)運(yùn)而生。該系統(tǒng)由三個部分組成：主機(jī)管理單元、網(wǎng)絡(luò)管理單元和中央管理單元。雖然DIDS存在很多不足之處，但它畢竟是對分布式入侵檢測技術(shù)研究的有益嘗試。每個CSM單元都由本地入侵檢測單元、安全管理器、圖形用戶界面、入侵處理單元、命令監(jiān)視器和通信處理器組成。同年提出的基于圖的入侵檢測系統(tǒng)(Graph base Intrusion Detection System，GrIDS) 則是考慮到入侵檢測系統(tǒng)擴(kuò)展性不強(qiáng)的問題，針對大規(guī)模網(wǎng)絡(luò)的協(xié)同攻擊，提出了使用圖對網(wǎng)絡(luò)行為進(jìn)行建模的方法。 檢測技術(shù)的分類根據(jù)采用檢測方法的不同，現(xiàn)有的入侵檢測技術(shù)從總體上可以分為三類：誤用檢測，異常檢測和混合檢測。誤用檢測判斷入侵的典型過程是根據(jù)已知的攻擊建立檢測模型，將待檢測數(shù)據(jù)與模型進(jìn)行比較，如果能夠匹配上檢測模型，待檢測數(shù)據(jù)將被認(rèn)為是攻擊。從誤用檢測技術(shù)的思想來看，這種技術(shù)能夠很好地發(fā)現(xiàn)跟己知攻擊行為具有相同特征的攻擊，檢測已知攻擊的正確率很高，然而存在的問題是不能發(fā)現(xiàn)新的攻擊，甚至不能發(fā)現(xiàn)同一種攻擊的變種，因此存在漏報的可能。異常檢測(Anomaly Detection)的概念在James Anderson早期的文章中就有體現(xiàn)，他提出可以根據(jù)用戶行為的一些統(tǒng)計信息來判定系統(tǒng)的不正常使用模式，從而發(fā)現(xiàn)“偽裝者”，這正是異常檢測的基本思想。典型的建立異常檢測模型的方法包括閉值分析法、統(tǒng)計分析法、神經(jīng)網(wǎng)絡(luò)等。但是這種技術(shù)普遍存在誤報率高的缺點(diǎn)。 檢測技術(shù)的評價指標(biāo)為了評估檢測技術(shù)的優(yōu)劣，需要一系列的定量評價指標(biāo)。分類正確率是指被正確分類的測試樣本個數(shù)與全體測試樣本個數(shù)的比值： ()這是一個評價入侵檢測技術(shù)對于正常樣本