淺談入侵檢測(cè)技術(shù).doc

湖南機(jī)電職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 頁(yè) 目錄1 引言11.1 入侵檢測(cè)技術(shù)的提出11.2 網(wǎng)絡(luò)入侵檢測(cè)的研究史21.2.1 以Denning模型為基礎(chǔ)的早期技術(shù)31.2.2中期：以統(tǒng)計(jì)學(xué)理論與專家系統(tǒng)相結(jié)合31.2.3基于網(wǎng)絡(luò)的NIDS為主流的入侵檢測(cè)41.3 本課題研究的途徑與意義52 入侵檢測(cè)技術(shù)原理62.1 入侵檢測(cè)技術(shù)第一步信息收集62.1.1 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)模塊方式72.1.2 主機(jī)入侵檢測(cè)技術(shù)模塊方式72.1.3 信息來(lái)源的四個(gè)方面72.2 入侵檢測(cè)技術(shù)的第二步信號(hào)分析92.2.1 模式匹配92.2.2 統(tǒng)計(jì)分析102.2.3 完整性分析103 入侵檢測(cè)技術(shù)功能概要114 入侵檢測(cè)技術(shù)分析124.1 入侵分析按其檢測(cè)技術(shù)規(guī)則分類124.1.1基于特征的檢測(cè)技術(shù)規(guī)則124.1.2基于統(tǒng)計(jì)的檢測(cè)技術(shù)規(guī)則124.2 一些新的分析技術(shù)134.2.1 統(tǒng)計(jì)學(xué)方法134.2.2 入侵檢測(cè)技術(shù)的軟計(jì)算方法144.3.3 基于專家系統(tǒng)的入侵檢測(cè)技術(shù)方法145 入侵檢測(cè)技術(shù)發(fā)展方向155.1分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)技術(shù)架構(gòu)155.2應(yīng)用層入侵檢測(cè)技術(shù)155.3智能的入侵檢測(cè)技術(shù)155.4入侵檢測(cè)技術(shù)的評(píng)測(cè)方法165.5網(wǎng)絡(luò)安全技術(shù)相結(jié)合166 建立數(shù)據(jù)分析模型176.1測(cè)試數(shù)據(jù)的結(jié)構(gòu)176.2數(shù)據(jù)中出現(xiàn)的攻擊類型206.2.1攻擊（Attacks）206.2.2發(fā)現(xiàn)訓(xùn)練集中的攻擊類型216.2.3其他主流的攻擊類型22結(jié)論25致謝26參考文獻(xiàn)27 湖南機(jī)電職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文） 第 29 頁(yè) 1 引 言聚類是模式識(shí)別研究中非常有用的一類技術(shù)。用聚類算法的異常檢測(cè)技術(shù)就是一種無(wú)監(jiān)督的異常檢測(cè)技術(shù)技術(shù)，這種方法可以在未標(biāo)記的數(shù)據(jù)上進(jìn)行，它將相似的數(shù)據(jù)劃分到同一個(gè)聚類中，而將不相似的數(shù)據(jù)劃分到不同的聚類，并為這些聚類加以標(biāo)記表明它們是正常還是異常，然后將網(wǎng)絡(luò)數(shù)據(jù)劃分到各個(gè)聚類中，根據(jù)聚類的標(biāo)記來(lái)判斷網(wǎng)絡(luò)數(shù)據(jù)是否異常。本課題是網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究，主要介紹模式識(shí)別技術(shù)中兩種聚類算法，K-means算法和迭代最優(yōu)化算法，并闡述此算法在入侵檢測(cè)技術(shù)技術(shù)中的應(yīng)用原理，接著分析這兩種算法具體應(yīng)用時(shí)帶來(lái)的利弊，最后針對(duì)算法的優(yōu)缺點(diǎn)提出自己改進(jìn)的算法，并對(duì)此算法進(jìn)行分析，可以說(shuō)這種算法是有監(jiān)督和無(wú)監(jiān)督方法的結(jié)合，是K-means算法和迭代最優(yōu)化算法的折中，是一種較理想的算法。通過(guò)研究本課題，可以了解入侵檢測(cè)技術(shù)技術(shù)的發(fā)展歷程，及國(guó)內(nèi)外研究水平的差距，熟悉各種入侵檢測(cè)技術(shù)原理方法的異同，以便今后對(duì)某種檢測(cè)技術(shù)方法作進(jìn)一步的改進(jìn)時(shí)能夠迅速切入要點(diǎn)；在對(duì)入侵檢測(cè)技術(shù)技術(shù)研究的同時(shí)，認(rèn)真學(xué)習(xí)了模式識(shí)別這門課程，這是一門交叉學(xué)科，模式識(shí)別已經(jīng)在衛(wèi)星航空?qǐng)D片解釋、工業(yè)產(chǎn)品檢測(cè)技術(shù)、字符識(shí)別、語(yǔ)音識(shí)別、指紋識(shí)別、醫(yī)學(xué)圖像分析等許多方面得到了成功的應(yīng)用，但所有這些應(yīng)用都是和問(wèn)題的性質(zhì)密不可分的，學(xué)習(xí)過(guò)程中接觸了許多新理論和新方法，其中包括數(shù)據(jù)挖掘，統(tǒng)計(jì)學(xué)理論和支持向量機(jī)等，極大的拓展了自己的知識(shí)面，這所帶來(lái)的收獲已經(jīng)不僅僅停留在對(duì)入侵檢測(cè)技術(shù)技術(shù)研究這個(gè)層面。2 入侵檢測(cè)技術(shù)的發(fā)展史2.1 入侵檢測(cè)技術(shù)的提出 隨著Internet高速發(fā)展，個(gè)人、企業(yè)以及政府部門越來(lái)越多地依靠網(wǎng)絡(luò)傳遞信息, 然而網(wǎng)絡(luò)的開(kāi)放性與共享性容易使它受到外界的攻擊與破壞,信息的安全保密性受到嚴(yán)重影響。網(wǎng)絡(luò)安全問(wèn)題已成為世界各國(guó)政府、企業(yè)及廣大網(wǎng)絡(luò)用戶最關(guān)心的問(wèn)題之一。在計(jì)算機(jī)上處理業(yè)務(wù)已由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡(jiǎn)單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在信息處理能力提高的同時(shí)，系統(tǒng)的連結(jié)能力也在不斷的提高。但在連結(jié)信息能力、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出，黑客攻擊日益猖獗，防范問(wèn)題日趨嚴(yán)峻： 具Warroon Research的調(diào)查，1997年世界排名前一千的公司幾乎都曾被黑客闖入。 據(jù)美國(guó)FBI統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。 Ernst和Young報(bào)告，由于信息安全被竊或?yàn)E用，幾乎80%的大型企業(yè)遭受損失。 在最近一次黑客大規(guī)模的攻擊行動(dòng)中，雅虎網(wǎng)站的網(wǎng)絡(luò)停止運(yùn)行3小時(shí)，這令它損失了幾百萬(wàn)美金的交易。而據(jù)統(tǒng)計(jì)在這整個(gè)行動(dòng)中美國(guó)經(jīng)濟(jì)共損失了十多億美金。由于業(yè)界人心惶惶，亞馬遜(A)、AOL、雅虎(Yahoo!)、eBay的股價(jià)均告下挫，以科技股為主的納斯達(dá)克指數(shù)(Nasdaq)打破過(guò)去連續(xù)三天創(chuàng)下新高的升勢(shì)，下挫了六十三點(diǎn)，杜瓊斯工業(yè)平均指數(shù)周三收市時(shí)也跌了二百五十八點(diǎn)。遇襲的網(wǎng)站包括雅虎、亞馬遜和B、MSN.com、網(wǎng)上拍賣行eBay以及新聞網(wǎng)站CNN.com，估計(jì)這些襲擊把Internet交通拖慢了百分二十。目前我國(guó)網(wǎng)站所受到黑客的攻擊，還不能與美國(guó)的情況相提并論，因?yàn)槲覀冊(cè)谟脩魯?shù)、用戶規(guī)模上還都處在很初級(jí)的階段，但以下事實(shí)也不能不讓我們深思： 1993年底，中科院高能所就發(fā)現(xiàn)有黑客侵入現(xiàn)象，某用戶的權(quán)限被升級(jí)為超級(jí)權(quán)限。當(dāng)系統(tǒng)管理員跟蹤時(shí)，被其報(bào)復(fù)。1994年，美國(guó)一位14歲的小孩通過(guò)互聯(lián)網(wǎng)闖入中科院網(wǎng)絡(luò)中心和清華的主機(jī)，并向我方系統(tǒng)管理員提出警告。 1996年，高能所再次遭到黑客入侵，私自在高能所主機(jī)上建立了幾十個(gè)帳戶，經(jīng)追蹤發(fā)現(xiàn)是國(guó)內(nèi)某撥號(hào)上網(wǎng)的用戶。同期，國(guó)內(nèi)某ISP發(fā)現(xiàn)黑客侵入其主服務(wù)器并刪改其帳號(hào)管理文件，造成數(shù)百人無(wú)法正常使用。 進(jìn)入1998年，黑客入侵活動(dòng)日益猖獗，國(guó)內(nèi)各大網(wǎng)絡(luò)幾乎都不同程度地遭到黑客的攻擊：7月，江西169網(wǎng)被黑客攻擊，造成該網(wǎng)3天內(nèi)中斷網(wǎng)絡(luò)運(yùn)行2次達(dá)30個(gè)小時(shí)，工程驗(yàn)收推遲20天；同期，上海某證券系統(tǒng)被黑客入侵；8月，印尼事件激起中國(guó)黑客集體入侵印尼網(wǎng)點(diǎn)，造成印尼多個(gè)網(wǎng)站癱瘓，但與此同時(shí)，中國(guó)的部分站點(diǎn)遭到印尼黑客的報(bào)復(fù)；同期，西安某銀行系統(tǒng)被黑客入侵后，提走80.6萬(wàn)元現(xiàn)金；9月，揚(yáng)州某銀行被黑客攻擊，利用虛存帳號(hào)提走26萬(wàn)元現(xiàn)金。每年全球因計(jì)算機(jī)網(wǎng)絡(luò)的安全系統(tǒng)被破壞而造成的經(jīng)濟(jì)損失達(dá)數(shù)百億美元。進(jìn)入新世紀(jì)之后，上述損失將達(dá)2000億美元以上。 看到這些令人震驚的事件，不禁讓人們發(fā)出疑問(wèn)：網(wǎng)絡(luò)還安全嗎？試圖破壞信息系統(tǒng)的完整性、機(jī)密性、可信性的任何網(wǎng)絡(luò)活動(dòng)都稱為網(wǎng)絡(luò)入侵。防范網(wǎng)絡(luò)入侵最常用的方法就是防火墻。防火墻（Firewall）是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合,它屬于網(wǎng)絡(luò)層安全技術(shù),其作用是為了保護(hù)與互聯(lián)網(wǎng)相連的企業(yè)內(nèi)部網(wǎng)絡(luò)或單獨(dú)節(jié)點(diǎn)。它具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。但是，防火墻只是一種被動(dòng)防御性的網(wǎng)絡(luò)安全工具，僅僅使用防火墻是不夠的。首先，入侵者可以找到防火墻的漏洞，繞過(guò)防火墻進(jìn)行攻擊。其次，防火墻對(duì)來(lái)自內(nèi)部的攻擊無(wú)能為力。它所提供的服務(wù)方式是要么都拒絕，要么都通過(guò),不能檢查出經(jīng)過(guò)他的合法流量中是否包含著惡意的入侵代碼，這是遠(yuǎn)遠(yuǎn)不能滿足用戶復(fù)雜的應(yīng)用要求的。對(duì)于以上提到的問(wèn)題，一個(gè)更為有效的解決途徑就是入侵檢測(cè)技術(shù)。在入侵檢測(cè)技術(shù)之前，大量的安全機(jī)制都是根據(jù)從主觀的角度設(shè)計(jì)的,他們沒(méi)有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來(lái)決定安全對(duì)策，因此，它們對(duì)入侵行為的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來(lái)及時(shí)地調(diào)整系統(tǒng)的安全策略。而入侵檢測(cè)技術(shù)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過(guò)學(xué)習(xí)和分析入侵手段，及時(shí)地調(diào)整系統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。2.2 網(wǎng)絡(luò)入侵檢測(cè)的研究史審計(jì)是最早引入計(jì)算機(jī)安全領(lǐng)域的概念，像存取文件、變更他們的內(nèi)容或分類等的活動(dòng)都記錄在審計(jì)數(shù)據(jù)中，安全管理員、系統(tǒng)操作員和維護(hù)人員和普通用戶一樣都要經(jīng)過(guò)行為審核。安德森提出要建立一個(gè)安全監(jiān)督系統(tǒng)，保護(hù)那些系統(tǒng)敏感信息。他還提出應(yīng)該檢查什么、如何分析他、以及如何保護(hù)監(jiān)督系統(tǒng)免受攻擊，這成了今天IDS研究的核心內(nèi)容。70年代后期，美國(guó)政府，包括DoD（國(guó)防部）和NIST（國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)）支持的計(jì)算機(jī)安全研究2開(kāi)始了，安全審計(jì)也被考慮在這些研究中。1980年，安德森提出了另外一項(xiàng)報(bào)告，這次是針對(duì)一個(gè)空軍客戶，后者使用大型計(jì)算機(jī)處理大量的機(jī)密數(shù)據(jù)。報(bào)告中，安德森提出了減少分析數(shù)據(jù)量的方法，以及比較統(tǒng)計(jì)數(shù)據(jù)和總的觀察也就是統(tǒng)計(jì)行為，以發(fā)現(xiàn)反常的行為。當(dāng)一個(gè)安全違例發(fā)生或（統(tǒng)計(jì)上）反常的事件出現(xiàn)時(shí)，就會(huì)提醒安全官員。安全官員還能利用詳細(xì)的觀測(cè)資料做后續(xù)的評(píng)估。安德森的報(bào)告為SRI（Stanford Research Institute）和TRW（美國(guó)著名的數(shù)據(jù)安全公司）的早期工作提供了藍(lán)圖。在1980年代中期，入侵檢測(cè)技術(shù)方面的許多工作都被他的思路深深影響。2.2.1 以Denning模型為基礎(chǔ)的早期技術(shù) 1987年Denning提出了一種抽象的通用入侵檢測(cè)的模型,如圖1所示.該模型主要由主體、對(duì)象、審計(jì)記錄、活動(dòng)簡(jiǎn)檔、異常記錄、活動(dòng)規(guī)則6部分組成。繼Denning提出上述通用入侵檢測(cè) 模型后，IDES和它的后續(xù)版本NIDES都完全基于Denning模型。2.2.2中期：以統(tǒng)計(jì)學(xué)理論與專家系統(tǒng)相結(jié)合 統(tǒng)計(jì)方法：是一種較成熟的入侵檢測(cè)方法，它使得入侵檢測(cè)系統(tǒng)能夠?qū)W習(xí)主體日常駐機(jī)構(gòu)行為，將那些與正?；顒?dòng)之間存在較大統(tǒng)計(jì)偏差的活動(dòng)標(biāo)志為異?；顒?dòng)。在統(tǒng)計(jì)方法中，首先選取有效的統(tǒng)計(jì)數(shù)據(jù)測(cè)量點(diǎn)，生成能夠反映主題特征的會(huì)話向量，并采用統(tǒng)計(jì)方法分析數(shù)據(jù)，判斷當(dāng)前活動(dòng)是否符合主題的歷史行為特征；隨著系統(tǒng)持續(xù)運(yùn)行，歇息主題行為特征，更新歷史記錄，其主要優(yōu)點(diǎn)是能夠自適應(yīng)地學(xué)習(xí)用戶行為。專家系統(tǒng)：在專家系統(tǒng)中，入侵行為被編碼成專家系統(tǒng)規(guī)則，用這些規(guī)則識(shí)別單個(gè)審計(jì)事件或表示一個(gè)入侵行為一系列事件。專家系統(tǒng)可以解釋系統(tǒng)的確審計(jì)記錄并判別它們是否滿足描述規(guī)則。缺點(diǎn)：使用專家系統(tǒng)來(lái)表示一系列規(guī)則不太直觀，規(guī)則更新必須要專家完成。此兩者相結(jié)合，統(tǒng)計(jì)方法來(lái)統(tǒng)計(jì)和記錄所有的入侵行為，并把這種行為存儲(chǔ)起來(lái)，而專家系統(tǒng)則把相應(yīng)的入侵行為編碼成系統(tǒng)所認(rèn)知的內(nèi)部規(guī)則。如果在遇到入侵行為后，在統(tǒng)計(jì)方法和專家系統(tǒng)的共同作用下，就能夠有效的防止和識(shí)別入侵行為。2.2.3基于網(wǎng)絡(luò)的NIDS為主流的入侵檢測(cè) NIDS是以網(wǎng)絡(luò)包作為分析數(shù)據(jù)源。它通常利用一個(gè)工作在混雜模式下的網(wǎng)卡來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流，其分析模塊通常使用模式匹配、統(tǒng)計(jì)分析等技術(shù)來(lái)識(shí)別攻擊行為。一旦檢測(cè)到了攻擊行為，IDS的響應(yīng)模塊就作出適當(dāng)?shù)捻憫?yīng)，比如報(bào)警、切斷相關(guān)用戶的網(wǎng)絡(luò)連接等。與SCANER收集網(wǎng)絡(luò)中的漏洞不同，NIDS收集的是網(wǎng)絡(luò)中的動(dòng)態(tài)流量信息。因此，攻擊特征庫(kù)數(shù)目多少以及數(shù)據(jù)處理能力，就決定了NIDS識(shí)別入侵行為的能力。大部分NIDS的處理能力還是100兆級(jí)的，部分NIDS已經(jīng)達(dá)到1000兆級(jí)。NIDS設(shè)在防火墻后一個(gè)流動(dòng)崗哨，能夠適時(shí)發(fā)覺(jué)在網(wǎng)絡(luò)中的攻擊行為，并采取相應(yīng)的響應(yīng)措施。 1994年，Mark Crosbie和Gene Spafford 建議使用自治代理（Autonomous Agents ）以便提高IDS的可維護(hù)性、效率和容錯(cuò)性，這個(gè)思想跟上了計(jì)算機(jī)科學(xué)中其他領(lǐng)域的研究的潮流，比如說(shuō)軟件代理。另一個(gè)解決當(dāng)時(shí)多數(shù)入侵檢測(cè)技術(shù)系統(tǒng)伸縮性不足的研究成果是1996年提出的GRIDS（ Graph-based Intrusion Detection System）系統(tǒng)，該系統(tǒng)對(duì)大規(guī)模自動(dòng)或協(xié)同攻擊的檢測(cè)技術(shù)很有效，這種跨越多個(gè)管理區(qū)域的自動(dòng)協(xié)同才擊顯然是入侵行為發(fā)展的方向。 1997年，CISCO要求WheelGroup公司將入侵檢測(cè)技術(shù)與他的路由器結(jié)合。同年，ISS成功開(kāi)發(fā)了RealSecure,他是在Windows NT 下運(yùn)行的分布式網(wǎng)絡(luò)入侵檢測(cè)技術(shù)系統(tǒng)，被人們廣泛使用。1996年的第一次開(kāi)發(fā)是傳統(tǒng)的基于探測(cè)器的NIDS（網(wǎng)絡(luò)入侵檢測(cè)技術(shù)系統(tǒng)，監(jiān)視整個(gè)網(wǎng)絡(luò)段），在Windows和Solaris2.6上運(yùn)行。1998年后期，RealSecure發(fā)展成為一個(gè)混合式的入侵檢測(cè)技術(shù)系統(tǒng)。他對(duì)入侵行為具有廣泛的反應(yīng)能力包括斷開(kāi)連接、發(fā)送SNMP信息、Email提醒、運(yùn)行客戶程序記錄會(huì)話內(nèi)容等，并能根據(jù)檢測(cè)技術(shù)自動(dòng)產(chǎn)生審計(jì)策略。 NIDS系統(tǒng)由安全控制中心完成整個(gè)分布式安全監(jiān)測(cè)預(yù)警系統(tǒng)的管理與配置。探測(cè)器負(fù)責(zé)測(cè)其所在網(wǎng)段上的數(shù)據(jù)流，進(jìn)行實(shí)時(shí)自動(dòng)攻擊識(shí)別和響應(yīng)。近年來(lái)的技術(shù)創(chuàng)新還有：Forrest將免疫原理運(yùn)用到分布式入侵檢測(cè)技術(shù)中；1998年Ross Anderson 和 AbidaKhattk 將信息檢索技術(shù)引入這個(gè)領(lǐng)域。 3 入侵檢測(cè)技術(shù)原理入侵檢測(cè)技術(shù)（Intrusion Detection）的定義為：識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為，并對(duì)此做出反應(yīng)的過(guò)程。IDS則是完成如入侵企圖或行為（Intrusion），同時(shí)監(jiān)控授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作（Misuse）。入侵檢測(cè)技術(shù)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)技術(shù)系統(tǒng)能很好的彌補(bǔ)防火墻的不足，從某種意義上說(shuō)是防火墻的補(bǔ)充，幫助系統(tǒng)對(duì)會(huì)網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲南的跡象。入侵檢測(cè)技術(shù)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過(guò)它執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)： 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)； 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)； 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警； 異常行為模式的統(tǒng)計(jì)分析； 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。對(duì)一個(gè)成功的入侵檢測(cè)技術(shù)系統(tǒng)來(lái)講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，不能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是它應(yīng)該管理、配置簡(jiǎn)單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且，入侵檢測(cè)技術(shù)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)技術(shù)系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。3.1 入侵檢測(cè)技術(shù)第一步信息收集 在現(xiàn)實(shí)生活中，警察要證明罪犯有罪，必須先收集證據(jù)。只有掌握了充足的證據(jù)，才能順得破案。IDS也是一樣。一般來(lái)說(shuō)，IDS通過(guò)2種方式獲得信息：3.1.1 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)模塊方式 當(dāng)一篇文章從網(wǎng)絡(luò)的一端傳向另一端時(shí)，是被 封裝成一個(gè)個(gè)小包（叫做報(bào)文）來(lái)傳送的。每個(gè)包包括了文章中的一段文字，在到達(dá)另一端之后，這些包再被組裝起來(lái)。因此，我們可以通過(guò)檢測(cè)技術(shù)網(wǎng)絡(luò)中的報(bào)文，為了監(jiān)視其他機(jī)器的報(bào)文，需要把網(wǎng)卡設(shè)置為混雜模式。通過(guò)在網(wǎng)絡(luò)中放置一塊入侵檢測(cè)技術(shù)模塊，我們可以監(jiān)視近觀保護(hù)機(jī)器的數(shù)據(jù)報(bào)文。在受保護(hù)的機(jī)器將要受到攻擊之前，入侵檢測(cè)技術(shù)模塊可最先發(fā)現(xiàn)它。實(shí)際應(yīng)用中網(wǎng)絡(luò)結(jié)構(gòu)千差萬(wàn)別，用戶只有具體情況分別設(shè)計(jì)實(shí)施方案，才能讓網(wǎng)絡(luò)入侵檢測(cè)技術(shù)模塊檢測(cè)技術(shù)到需要保護(hù)機(jī)器的狀況。同時(shí)，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)模塊得到的只是網(wǎng)絡(luò)報(bào)文，獲得的信息沒(méi)有主機(jī)入侵檢測(cè)技術(shù)模塊全面，所檢測(cè)技術(shù)的結(jié)果也沒(méi)有主機(jī)入侵檢測(cè)技術(shù)模塊準(zhǔn)確。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)模塊方式的優(yōu)點(diǎn)是方便，不增加受保護(hù)機(jī)器的負(fù)擔(dān)。在網(wǎng)段中只要安裝一臺(tái)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)模塊既可。3.1.2 主機(jī)入侵檢測(cè)技術(shù)模塊方式 另外一種獲取信息的方式是主機(jī)入侵檢測(cè)技術(shù)模塊方式。它是在受保護(hù)的機(jī)器上安裝了主機(jī)入侵檢測(cè)技術(shù)模塊，專門收集受保護(hù)機(jī)器上的信息。其信息來(lái)源可以是系統(tǒng)日志和特定應(yīng)用程序日志，也右以是捕獲特定的進(jìn)和和系統(tǒng)調(diào)用等等。 采用主機(jī)入侵檢測(cè)技術(shù)模塊方式的缺點(diǎn)是依賴特定的系統(tǒng)平臺(tái)。用戶必須針對(duì)不同的操作系統(tǒng)開(kāi)發(fā)相應(yīng)的模塊。由于一個(gè)網(wǎng)絡(luò)中有多種不同的操作系統(tǒng)，很難保證每個(gè)操作系統(tǒng)都有對(duì)應(yīng)的主機(jī)入侵檢測(cè)技術(shù)模塊，而一個(gè)主現(xiàn)信侵檢測(cè)技術(shù)模塊只能保護(hù)本機(jī)，所以在使用上有很大的局限性。此外，它要求在每個(gè)機(jī)器上安裝，如果裝數(shù)量大時(shí)，對(duì)用戶來(lái)說(shuō)，是一筆很大的投入。不過(guò)，這種模式不受網(wǎng)絡(luò)結(jié)構(gòu)的限制，在使用中還能夠利用操作系統(tǒng)的資源，以更精確地判斷出入侵行為。在具體應(yīng)用中，以上2種獲得信息的方式是互補(bǔ)充的。3.1.3 信息來(lái)源的四個(gè)方面 就信息收集來(lái)說(shuō)，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息，這除了盡可能擴(kuò)大檢測(cè)技術(shù)范圍的因素外，還有一個(gè)重要的因素就是從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)，但從幾個(gè)源來(lái)的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。 當(dāng)然，入侵檢測(cè)技術(shù)很大和度上依賴于收集信息的可靠性和下確性，因此，很有必要只利用 當(dāng)前的優(yōu)秀軟件來(lái)報(bào)告這些信息。因?yàn)楹诳徒?jīng)常替換軟件以搞混和移走這些信息，例如替換被 程序調(diào)用的子程序、庫(kù)和其它工具。黑客對(duì)系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來(lái)跟正常的一樣，而實(shí)際上不是。例如，unix系統(tǒng)的PS指令可以被 替換為一個(gè)不顯示侵入過(guò)程的指令，攻其無(wú)備是編輯被替換成一個(gè)讀取不同于指定文件（黑客隱藏了初試文件并用另一版本代替）。這需要保證用來(lái)檢測(cè)技術(shù)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測(cè)技術(shù)系統(tǒng)軟本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)因性，防止被篡必而收集到錯(cuò)誤的信息。 入侵檢測(cè)技術(shù)利用的信息一般來(lái)處以下四個(gè)方面： （1）系統(tǒng)和網(wǎng)絡(luò)日志文件 黑客在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)上日志文件信息是檢測(cè)技術(shù)入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人下在入侵或已成功入侵了系統(tǒng)。通過(guò)看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并墊腳快地啟動(dòng)相應(yīng)響應(yīng)程序。日志文件中了各種行類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶ID改變、用戶對(duì)文件的訪問(wèn)、授權(quán)和認(rèn)證信息等內(nèi)容。很顯然地，對(duì)用戶活動(dòng)來(lái)講，不正常的或不期望的行不就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問(wèn)重要文件等等。（2）目錄和文件中的不期望的改變網(wǎng)絡(luò)不幸中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)。黑客經(jīng)常替換、修改和破壞他們獲得訪問(wèn)權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都在盡力支離替換系統(tǒng)程序或修改系統(tǒng)日志文件。（3）程序執(zhí)行中的不期望行為 網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動(dòng)的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫(kù)服務(wù)器。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來(lái)實(shí)現(xiàn)。每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進(jìn)程可訪問(wèn)的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個(gè)進(jìn)程的執(zhí)行行為由它運(yùn)行的操作來(lái)表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)間其它進(jìn)程的通訊。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會(huì)將程序或服務(wù)的運(yùn)行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。（4）物理形式的入侵信息這包括兩個(gè)方面的內(nèi)容，一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件連接；二是對(duì)物理資源的未授權(quán)訪問(wèn)。黑客會(huì)想方設(shè)法突破網(wǎng)絡(luò)的周邊防衛(wèi)，如果他們能夠在物理上訪問(wèn)內(nèi)部網(wǎng)，就能夠安裝他們自己的設(shè)備和軟件。依此，黑客就可以知道網(wǎng)上的由用戶加上支離的不安全（未授權(quán)）設(shè)備，然后自用這些設(shè)備訪問(wèn)網(wǎng)絡(luò)。例如，用戶在家里可能安裝Modem以訪問(wèn)遠(yuǎn)程辦公室，與此同時(shí)黑客正在利用自動(dòng)工具來(lái)識(shí)別在公共電話線上的Modem，如果一撥號(hào)訪問(wèn)流量經(jīng)過(guò)了這些自動(dòng)工具，那么這一撥號(hào)訪問(wèn)就成為了威脅網(wǎng)絡(luò)安全的后門。黑客就會(huì)利用這個(gè)后門來(lái)訪問(wèn)內(nèi)部網(wǎng)，從而越過(guò)了內(nèi)部網(wǎng)絡(luò)原有的防護(hù)措施，然后捕獲網(wǎng)絡(luò)流量，進(jìn)而攻擊其它系統(tǒng)，并偷取敏感的私有信息等等。3.2 入侵檢測(cè)技術(shù)的第二步信號(hào)分析 當(dāng)收集到證據(jù)后，用戶判斷它是否就是入侵呢？一般來(lái)說(shuō)，IDS有一個(gè)知識(shí)庫(kù)，知識(shí)庫(kù)記錄了特定的安全策略。IDS獲得信息后，與知識(shí)庫(kù)中的安全策略進(jìn)行比較，進(jìn)而發(fā)現(xiàn)違反規(guī)定的安全策略的行為。定義知識(shí)庫(kù)有很多種方式，最普遍的做法是檢測(cè)技術(shù)報(bào)文國(guó)是否含有攻擊特征。知識(shí)庫(kù)給出何種報(bào)文是攻擊的定義。這種方式的實(shí)現(xiàn)由簡(jiǎn)單到復(fù)雜分了幾個(gè)層次，主要差別在于檢測(cè)技術(shù)的準(zhǔn)確性和效率上。簡(jiǎn)單的實(shí)現(xiàn)方法是把攻擊特征和報(bào)文的數(shù)據(jù)進(jìn)行了字符串比較，發(fā)現(xiàn)匹配即報(bào)警。這種做法使準(zhǔn)確性和工作效率大為降低。為此，開(kāi)發(fā)人員還有很多工作要做，如進(jìn)行校驗(yàn)和檢查，進(jìn)行IP碎片重組或TCP重組，實(shí)現(xiàn)協(xié)議解碼等等。 構(gòu)建知識(shí)庫(kù)的多種方法只是手段，目的是準(zhǔn)確定義入侵行不，這是IDS的核心，也是IDS和普通的網(wǎng)上行為管理軟件的差別所在。雖然它們都能監(jiān)視網(wǎng)絡(luò)行為，但是IDS增加了記錄攻擊牲的知識(shí)庫(kù)，所以比風(fēng)上行為管理軟件提高了一個(gè)層次。而定義攻擊特征是一項(xiàng)專業(yè)性很強(qiáng)的工作，需要具有豐富安全背景的專家從眾多的攻擊行為中提煉出通用的攻擊特征，攻擊特征的準(zhǔn)確性直接決定了IDS檢測(cè)技術(shù)的準(zhǔn)確性。 對(duì)上壕四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分析和完整性分析。其中前兩各方法用于實(shí)時(shí)的入侵檢測(cè)技術(shù)，而完整性分析內(nèi)里用于事后分析。3.2.1 模式匹配 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用下規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）。一般來(lái)講，一種進(jìn)攻模式可以用一個(gè)過(guò)程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來(lái)表示。該方法的一個(gè)優(yōu)點(diǎn)只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)技術(shù)準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)技術(shù)到從未出現(xiàn)過(guò)的黑客攻擊手段。3.2.2 統(tǒng)計(jì)分析 統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，統(tǒng)計(jì)分析可能標(biāo)識(shí)一個(gè)不正常行為，因?yàn)樗l(fā)現(xiàn)一個(gè)在晚八點(diǎn)至早六點(diǎn)不登錄的帳肩戶卻在凌晨?jī)牲c(diǎn)試圖登錄。其優(yōu)點(diǎn)是可檢測(cè)技術(shù)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。3.2.3 完整性分析完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被絡(luò)伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如MD5），它能識(shí)別哪怕是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。盡管如此，完整性檢測(cè)技術(shù)方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。4 入侵檢測(cè)技術(shù)功能概要 監(jiān)督并分析用戶和系統(tǒng)的活動(dòng) 檢查系統(tǒng)配置和漏洞 檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性 識(shí)別代表已知攻擊的活動(dòng)模式 對(duì)反常行不模式的統(tǒng)計(jì)分析 對(duì)操作系統(tǒng)的校驗(yàn)管理，判斷是否有破壞安全的用戶活動(dòng) 提高了系統(tǒng)的監(jiān)察能力 跟蹤用戶從進(jìn)入到退出的所有活動(dòng)或影響 識(shí)別并報(bào)告數(shù)據(jù)文件的改動(dòng) 發(fā)現(xiàn)系統(tǒng)配置的錯(cuò)誤，必要時(shí)予以更正 識(shí)別特定類型的攻擊，并向相應(yīng)人員報(bào)警，以作出防御反應(yīng) 可使系統(tǒng)管理人員最新的版本升級(jí)添加到程序中 允許非專家人員從事系統(tǒng)安全工作 為信息安全策略的創(chuàng)建提供指導(dǎo)入侵檢測(cè)技術(shù)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)技術(shù)理應(yīng)受到人們的高度重視，這從國(guó)外入侵檢測(cè)技術(shù)產(chǎn)品市場(chǎng)蓬勃發(fā)展就可以看出。在國(guó)內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來(lái)越多，迫切需要具有自主版權(quán)的入侵檢測(cè)技術(shù)產(chǎn)品。但現(xiàn)狀是入侵檢測(cè)技術(shù)僅僅停留在研究和實(shí)驗(yàn)樣品（缺乏升級(jí)和服務(wù)）階段，或者是防火墻中集成較為初級(jí)的入侵檢測(cè)技術(shù)模塊?？梢?jiàn)，入侵檢測(cè)技術(shù)產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來(lái)講，我們認(rèn)為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識(shí)別和完整性檢測(cè)技術(shù)）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。5 入侵檢測(cè)技術(shù)分析 入侵分析的任務(wù)就是在提取到的龐大的數(shù)據(jù)中找到入侵的痕跡。入侵分析過(guò)程需要將提取到的事件與入侵檢測(cè)技術(shù)規(guī)則進(jìn)行比較，從而發(fā)現(xiàn)入侵行為。一方面入侵檢測(cè)技術(shù)系統(tǒng)需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù)，而另一方面由于入侵行為的千變?nèi)f化而導(dǎo)致判定入侵的規(guī)則越來(lái)越復(fù)雜，為了保證入侵檢測(cè)技術(shù)的效率和滿足實(shí)時(shí)性的要求，入侵分析必須在系統(tǒng)的性能和檢測(cè)技術(shù)能力之間進(jìn)行權(quán)衡，合理地設(shè)計(jì)分析策略，并且可能要犧牲一部分檢測(cè)技術(shù)能力來(lái)保證系統(tǒng)可靠、穩(wěn)定地運(yùn)行并具有較快的響應(yīng)速度。分析策略是入侵分析的核心，系統(tǒng)檢測(cè)技術(shù)能力很大程度上取決于分析策略。在實(shí)現(xiàn)上，分析策略通常定義為一些完全獨(dú)立的檢測(cè)技術(shù)規(guī)則。基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)系統(tǒng)通常使用報(bào)文的模式匹配或模式匹配序列來(lái)定義規(guī)則，檢測(cè)技術(shù)時(shí)將監(jiān)聽(tīng)到的報(bào)文與模式匹配序列進(jìn)行比較，根據(jù)比較的結(jié)果來(lái)判斷是否有非正常的網(wǎng)絡(luò)行為。這樣以來(lái)，一個(gè)入侵行為能不能被檢測(cè)技術(shù)出來(lái)主要就看該入侵行為的過(guò)程或其關(guān)鍵特征能不能映射到基于網(wǎng)絡(luò)報(bào)文的匹配模式序列上去。有的入侵行為很容易映射，如ARP欺騙，但有的入侵行為是很難映射的，如從網(wǎng)絡(luò)上下載病毒。對(duì)于有的入侵行為，即使理論上可以進(jìn)行映射，但是在實(shí)現(xiàn)上是不可行的，比如說(shuō)有的網(wǎng)絡(luò)行為需要經(jīng)過(guò)非常復(fù)雜的步驟或較長(zhǎng)的過(guò)程才能表現(xiàn)其入侵特性，這樣的行為由于具有非常龐大的模式匹配序列，需要綜合大量的數(shù)據(jù)報(bào)文來(lái)進(jìn)行匹配，因而在實(shí)際上是不可行的。而有的入侵行為由于需要進(jìn)行多層協(xié)議分析或有較強(qiáng)的上下文關(guān)系，需要消耗大量的處理能力來(lái)進(jìn)行檢測(cè)技術(shù)，因而在實(shí)現(xiàn)上也有很大的難度。5.1 入侵分析按其檢測(cè)技術(shù)規(guī)則分類5.1.1基于特征的檢測(cè)技術(shù)規(guī)則這種分析規(guī)則認(rèn)為入侵行為是可以用特征代碼來(lái)標(biāo)識(shí)的。比如說(shuō)，對(duì)于嘗試帳號(hào)的入侵，雖然合法用戶登錄和入侵者嘗試的操作過(guò)程是一樣的，但返回結(jié)果是不同的，入侵者返回的是嘗試失敗的報(bào)文，因此，只要提取嘗試失敗的報(bào)文中的關(guān)鍵字段或位組作為特征代碼，將它定義為檢測(cè)技術(shù)規(guī)則，就可以用來(lái)檢測(cè)技術(shù)該類入侵行為。這樣，分析策略就由若干條檢測(cè)技術(shù)規(guī)則構(gòu)成，每條檢測(cè)技術(shù)規(guī)則就是一個(gè)特征代碼，通過(guò)將數(shù)據(jù)與特征代碼比較的方式來(lái)發(fā)現(xiàn)入侵。5.1.2基于統(tǒng)計(jì)的檢測(cè)技術(shù)規(guī)則這種分析規(guī)則認(rèn)為入侵行為應(yīng)該符合統(tǒng)計(jì)規(guī)律。例如，系統(tǒng)可以認(rèn)為一次密碼嘗試失敗并不算是入侵行為，因?yàn)榈拇_可能是合法用戶輸入失誤，但是如果在一分鐘內(nèi)有8次以上同樣的操作就不可能完全是輸入失誤了，而可以認(rèn)定是入侵行為。因此，組成分析策略的檢測(cè)技術(shù)規(guī)則就是表示行為頻度的閥值，通過(guò)檢測(cè)技術(shù)出行為并統(tǒng)計(jì)其數(shù)量和頻度就可以發(fā)現(xiàn)入侵。這兩種檢測(cè)技術(shù)規(guī)則各有其適用范圍，不同的入侵行為可能適應(yīng)于不同的規(guī)則，但就系統(tǒng)實(shí)現(xiàn)而言，由于基于統(tǒng)計(jì)檢測(cè)技術(shù)規(guī)則的入侵分析需要保存更多的檢測(cè)技術(shù)狀態(tài)和上下關(guān)系而需要消耗更多的系統(tǒng)處理能力和資源，實(shí)現(xiàn)難度相對(duì)較大。5.2 一些新的分析技術(shù)近幾年，為了改進(jìn)入侵檢測(cè)技術(shù)的分析技術(shù)，許多研究人員從各個(gè)方向入手，發(fā)展了一些新的分析方法，對(duì)于提高入侵檢測(cè)技術(shù)系統(tǒng)的正確性、可適應(yīng)性等起到了一定的推動(dòng)作用。下面是幾個(gè)不同的方向。5.2.1 統(tǒng)計(jì)學(xué)方法統(tǒng)計(jì)模型常用于對(duì)異常行為的檢測(cè)技術(shù),在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括審計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。目前提出了可用于入侵檢測(cè)技術(shù)的5種統(tǒng)計(jì)模型包括：(1) 操作模型:該模型假設(shè)異?？赏ㄟ^(guò)測(cè)量結(jié)果與一些固定指標(biāo)相比較得到,固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到,舉例來(lái)說(shuō),在短時(shí)間內(nèi)的多次失敗的登錄很可能是口令嘗試攻擊。(2) 方差:計(jì)算參數(shù)的方差,設(shè)定其置信區(qū)間,當(dāng)測(cè)量值超過(guò)置信區(qū)間的范圍時(shí)表明有可能是異常。(3) 多元模型:操作模型的擴(kuò)展,通過(guò)同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)技術(shù)。(4) 馬爾柯夫過(guò)程模型:將每種類型的事件定義為系統(tǒng)狀態(tài),用狀態(tài)轉(zhuǎn)移矩陣來(lái)表示狀態(tài)的變化,若對(duì)應(yīng)于發(fā)生事件的狀態(tài)矩陣中轉(zhuǎn)移概率較小,則該事件可能是異常事件。(5) 時(shí)間序列分析:將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列,如果一個(gè)新事件在該時(shí)間發(fā)生的概率較低,則該事件可能是入侵。入侵檢測(cè)技術(shù)的統(tǒng)計(jì)分析首先計(jì)算用戶會(huì)話過(guò)程的統(tǒng)計(jì)參數(shù),再進(jìn)行與閾值比較處理與加權(quán)處理,最終通過(guò)計(jì)算其可疑概率分析其為入侵事件的可能性。統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以學(xué)習(xí)用戶的使用習(xí)慣,從而具有較高檢出率與可用性。但是它的學(xué)習(xí)能力也給入侵者以機(jī)會(huì)通過(guò)逐步訓(xùn)練使入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律,從而透過(guò)入侵檢測(cè)技術(shù)系統(tǒng)。5.2.2 入侵檢測(cè)技術(shù)的軟計(jì)算方法入侵檢測(cè)技術(shù)的方法可有多種,針對(duì)異常入侵行為檢測(cè)技術(shù)的策略與方法往往也不是固定的,智能計(jì)算技術(shù)在入侵檢測(cè)技術(shù)中的應(yīng)用將大大提高檢測(cè)技術(shù)的效率與準(zhǔn)確性。所謂軟計(jì)算的方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。5.3.3 基于專家系統(tǒng)的入侵檢測(cè)技術(shù)方法基于專家系統(tǒng)的入侵檢測(cè)技術(shù)方法與運(yùn)用統(tǒng)計(jì)方法與神經(jīng)網(wǎng)絡(luò)對(duì)入侵進(jìn)行檢測(cè)技術(shù)的方法不同,用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)技術(shù),經(jīng)常是針對(duì)有特征的入侵行為。所謂的規(guī)則,即是知識(shí)。不同的系統(tǒng)與設(shè)置具有不同的規(guī)則,且規(guī)則之間往往無(wú)通用性。專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性,知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。特征入侵的特征抽取與表達(dá),是入侵檢測(cè)技術(shù)專家系統(tǒng)的關(guān)鍵。將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)(也可以是復(fù)合結(jié)構(gòu)),if部分為入侵特征,then部分是系統(tǒng)防范措施。運(yùn)用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識(shí)庫(kù)的完備性,建立一個(gè)完備的知識(shí)庫(kù)對(duì)于一個(gè)大型網(wǎng)絡(luò)系統(tǒng)往往是不可能的,且如何根據(jù)審計(jì)記錄中的事件,提取狀態(tài)行為與語(yǔ)言環(huán)境也是較困難的。例如,ISS公司為了建立比較完備的專家系統(tǒng),一方面與地下組織建立良好關(guān)系,并成立由許多工作人員與專家組成的X-Force組織來(lái)進(jìn)行這一工作。由于專家系統(tǒng)的不可移植性與規(guī)則的不完備性?，F(xiàn)已不宜單獨(dú)用于入侵檢測(cè)技術(shù),或單獨(dú)形成商品軟件。較適用的方法是將專家系統(tǒng)與采用軟計(jì)算方法技術(shù)的入侵檢測(cè)技術(shù)系統(tǒng)結(jié)合在一起,構(gòu)成一個(gè)以已知的入侵規(guī)則為基礎(chǔ),可擴(kuò)展的動(dòng)態(tài)入侵事件檢測(cè)技術(shù)系統(tǒng),自適應(yīng)地進(jìn)行特征與異常檢測(cè)技術(shù),實(shí)現(xiàn)高效的入侵檢測(cè)技術(shù)及其防御。6 入侵檢測(cè)技術(shù)發(fā)展方向 可以看到,在入侵檢測(cè)技術(shù)技術(shù)發(fā)展的同時(shí),入侵技術(shù)也在更新,一些地下組織已經(jīng)將如何繞過(guò)IDS或攻擊IDS系統(tǒng)作為研究重點(diǎn)。高速網(wǎng)絡(luò),尤其是交換技術(shù)的發(fā)展以及通過(guò)加密信道的數(shù)據(jù)通信,使得通過(guò)共享網(wǎng)段偵聽(tīng)的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足,而大量的通信量對(duì)數(shù)據(jù)分析也提出了新的要求。隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來(lái)越重要,信息戰(zhàn)已逐步被各個(gè)國(guó)家重視,信息戰(zhàn)中的主要攻擊武器之一就是網(wǎng)絡(luò)的入侵技術(shù),信息戰(zhàn)的防御主要包括保護(hù)、檢測(cè)技術(shù)與響應(yīng),入侵檢測(cè)技術(shù)則是其中檢測(cè)技術(shù)與響應(yīng)環(huán)節(jié)不可缺少的部分。近年對(duì)入侵檢測(cè)技術(shù)技術(shù)有幾個(gè)主要發(fā)展方向:6.1分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)技術(shù)架構(gòu)傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足。同時(shí)不同的IDS系統(tǒng)之間不能協(xié)同工作能力,為解決這一問(wèn)題,需要分布式入侵檢測(cè)技術(shù)技術(shù)與通用入侵檢測(cè)技術(shù)架構(gòu)。CIDF以構(gòu)建通用的IDS體系結(jié)構(gòu)與通信系統(tǒng)為目標(biāo),GrIDS跟蹤與分析分布系統(tǒng)入侵,EMER-ALD實(shí)現(xiàn)在大規(guī)模的網(wǎng)絡(luò)與復(fù)雜環(huán)境中的入侵檢測(cè)技術(shù)。6.2應(yīng)用層入侵檢測(cè)技術(shù)許多入侵的語(yǔ)義只有在應(yīng)用層才能理解,而目前的IDS僅能檢測(cè)技術(shù)如WEB之類的通用協(xié)議,而不能處理如LotusNotes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用,需要應(yīng)用層的入侵檢測(cè)技術(shù)保護(hù)。Stillerman等人已經(jīng)開(kāi)始對(duì)CORBA的IDS研究。6.3智能的入侵檢測(cè)技術(shù)入侵方法越來(lái)越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)技術(shù)領(lǐng)域應(yīng)用研究,但是這只是一些嘗試性的研究工作,需要對(duì)智能化的IDS加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。6.4入侵檢測(cè)技術(shù)的評(píng)測(cè)方法用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià),評(píng)價(jià)指標(biāo)包括IDS檢測(cè)技術(shù)范圍、系統(tǒng)資源占用、IDS系統(tǒng)自身的可靠性與魯棒性。從而設(shè)計(jì)通用的入侵檢測(cè)技術(shù)測(cè)試與評(píng)估方法與平臺(tái),實(shí)現(xiàn)對(duì)多種IDS系統(tǒng)的檢測(cè)技術(shù)已成為當(dāng)前IDS的另一重要研究與發(fā)展領(lǐng)域。6.5網(wǎng)絡(luò)安全技術(shù)相結(jié)合結(jié)合防火墻、PKIX、安全電子交易SET等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù),提供完整的網(wǎng)絡(luò)安全保障。7 建立數(shù)據(jù)分析模型 在前面的文章介紹入侵檢測(cè)技術(shù)系統(tǒng)時(shí)，我們了解到在進(jìn)行入侵檢測(cè)技術(shù)的研究中，信息收集是第一步要做的工作，入侵檢測(cè)技術(shù)工作的順利很大程度上依賴于收集信息的可靠性和正確性。在做本課題研究時(shí)，我們研究和測(cè)試都是使用的KDD CUP99數(shù)據(jù)包。它是非常流行和廣泛使用的數(shù)據(jù)包，用于研究和測(cè)試不同的數(shù)據(jù)組合。此數(shù)據(jù)包已經(jīng)經(jīng)過(guò)預(yù)處理，使我們較容易進(jìn)行分析。7.1測(cè)試數(shù)據(jù)的結(jié)構(gòu)我們將從其測(cè)試數(shù)據(jù)集中抽出一條數(shù)據(jù)信息進(jìn)行分析。0，tcp，http，RSTR，54540，7300，0，0，0，1，0，1，0，0，0，0，0，0，0，0，0，0，4，5，0，0，0.25，0.4，1，0，0.4，170，170，1，0，0.01，0，0，0，0.06，0.06，back.此條數(shù)據(jù)記錄共有四十一個(gè)有效字段，下面我將逐一介紹。第1-9字段為獨(dú)立TCP連接的基本特征（如表一）feature name description type1duration 持續(xù)時(shí)間length (number of seconds) of the connection連接長(zhǎng)度（秒數(shù)）Continuous 連續(xù)型2protocol_type協(xié)議類型type of the protocol, e.g. tcp, udp, etc.discrete 離散型3service提供服務(wù)network service on the destination, e.g., http, telnet, etc.目標(biāo)的網(wǎng)絡(luò)服務(wù)discrete離散型4src_bytes源字段number of data bytes from source to destination從數(shù)據(jù)源到目的地continuous5dst_bytes目的字段number of data bytes from destination to source從目的地到數(shù)據(jù)源continuous6flag標(biāo)記normal or error status of the connectiondiscrete7land登陸1 if connection is from/to the same host/port; 0 otherwise連接是否同主機(jī)或同端口discrete8wrong_fragment出錯(cuò)幀number of wrong fragmentscontinuous9urgent緊急包number of urgent packetscontinuous表一第10-22字段為連接中所包含的主要特征（如表二）feature name description type10hot熱點(diǎn)number of hot indicators指示器數(shù)量Continuous連續(xù)型11num_failed_logins登錄失敗number of failed login attempts嘗試登錄失敗continuous12logged_in成功登錄1 if successfully logged in; 0 otherwisediscrete離散型13num_compromised警戒數(shù)number of compromised conditionscontinuous14root_shell啟動(dòng)權(quán)1 if root shell is obtained; 0 otherwisediscrete15su_attempted1 if su root command attempted; 0 otherwisediscrete16num_rootnumber of root accesses接受的root訪問(wèn)數(shù)continuous17num_file_creationsNumber of file creation operations建立文件操作數(shù)continuous18num_shellsNumber of shell prompts“shell”提示數(shù)continuous19num_access_filesnumber of operations on access control files對(duì)訪問(wèn)控制文件的操作數(shù)continuous20num_outbound_cmdsnumber of outbound commands in an ftp session 在FTP會(huì)話中對(duì)外開(kāi)放命令數(shù)continuous21is_hot_login1 if the login belongs to the hot list; 0 otherwise是否熱情連接注冊(cè)discrete22is_guest_login1 if the login is a guestlogin; 0 otherwise是否訪問(wèn)者注冊(cè)discrete表二第23-31字段為在兩秒內(nèi)計(jì)算傳輸向量（如表三）feature nameDescriptiontype23countnumber of connections to the same host as the current connection in the past two seconds在過(guò)去的兩秒時(shí)間與當(dāng)前連接一樣連接到同一主機(jī)的連接次數(shù)Continuous連續(xù)型24srv_countnumber of connections to the same service as the current connection in the past two seconds在過(guò)去的兩秒時(shí)間與當(dāng)前連接一樣連接到同一服務(wù)的連接次數(shù)continuous25serror_rate% of connections that have SYN errors有序列號(hào)錯(cuò)誤連接的百分率continuous26srv_serror_rate% of connections that have SYN errors有序列號(hào)錯(cuò)誤連接的百分率continuous27rerror_rate% of connections that have REJ errors有“REJ”錯(cuò)誤連接的百分率continuous28srv_rerror_rate% of connections that have REJ errorscontinuous29same_srv_rate% of connections to the same service相同服務(wù)連接百分率continuous30diff_srv_rate% of connections to different services不同服務(wù)連接的百分率continuous31srv_diff_host_rate% of connections to different hosts不同主機(jī)連接的百分率continuous表三第32-41個(gè)字段為目標(biāo)主機(jī)的傳輸特征feature namedescriptiontype32Dst_host_countNumber of connections to the destination host as the current connection in the past two secondscontinuous33Dst_host_srv_countNumber of connections to the same service as the current connection in t