第8章入侵檢測系統(tǒng)

1、第8章 入侵檢測系統(tǒng),摘要 首先介紹入侵檢測系統(tǒng)的模型，包括IDES模型、IDM模型以及公共入侵檢測框架CIDF；其次分別從數(shù)據(jù)源、檢測方法和響應(yīng)機(jī)制三個(gè)不同角度對(duì)入侵檢測系統(tǒng)進(jìn)行分類；給出了基于主機(jī)IDS、基于網(wǎng)絡(luò)IDS和分布式入侵檢測系統(tǒng)的優(yōu)缺點(diǎn)，對(duì)若干重要的入侵檢測方法進(jìn)行了較為詳細(xì)地介紹；最后，介紹和比較目前常見的些入侵檢測產(chǎn)品。,入侵檢測（Intrusion Detection），顧名思義，就是對(duì)入侵行為的發(fā)覺，它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系

2、統(tǒng)（IDS）。,8.1 入侵檢測系統(tǒng)模型,IDES模型 IDM模型（Intrusion Detection Model） 公共入侵檢測框架CIDF,8.1.1 IDES模型,該模型為構(gòu)建入侵檢測系統(tǒng)提供一個(gè)通用的框架。它由六個(gè)部分組成：主體（subject）、對(duì)象（object）、審計(jì)記錄（audit records）、輪廓特征（profile）、異常記錄（anomaly records）和活動(dòng)規(guī)則（activity rules）。,IDES模型主要用于濫用檢測，它無法檢測出新的攻擊方法，1988年，SRI/CSL的Teresa Lunt等人改進(jìn)了Denning的入侵檢測模型，并開發(fā)出了一個(gè)入

3、侵檢測專家系統(tǒng)。,圖8.2 改進(jìn)的IDES入侵檢測模型,對(duì)于濫用檢測，需要為模式匹配器準(zhǔn)備好入侵的模式庫。 對(duì)于異常檢測，則首先利用收集的數(shù)據(jù)，采取一定的統(tǒng)計(jì)方法建立相應(yīng)的系統(tǒng)分析模型，作為系統(tǒng)正常運(yùn)行的參考基準(zhǔn)，這個(gè)過程由系統(tǒng)的分析引擎完成。 異常檢測器則不斷地計(jì)算相應(yīng)統(tǒng)計(jì)量的變化情況，一旦系統(tǒng)偏移參考基準(zhǔn)超過許可范圍，就認(rèn)為系統(tǒng)異常。,8.1.2 IDM模型 （Intrusion Detection Model）,第一層針對(duì)的客體（object）包括主機(jī)操作系統(tǒng)的審計(jì)記錄、局域網(wǎng)監(jiān)視器結(jié)果和第三方的審計(jì)軟件包提供的數(shù)據(jù)。 第二層處理的客體是對(duì)第一層客體的擴(kuò)充，該層次的客體稱為事件。事件描述

4、第一層的客體內(nèi)容所表示的含義和固有特征性質(zhì)。 第三層引入一個(gè)唯一標(biāo)識(shí)號(hào)，即主體。主體用來鑒別在網(wǎng)絡(luò)中跨越多臺(tái)主機(jī)使用的用戶。 第五層考慮事件對(duì)網(wǎng)絡(luò)和主機(jī)形成的威脅。當(dāng)將事件和它的context結(jié)合起來分析時(shí)，就能夠發(fā)現(xiàn)存在的威脅?？梢愿鶕?jù)濫用的特征和對(duì)象劃分威脅類型，即入侵者做了什么和入侵的對(duì)象是什么。 第六層用1100來表示網(wǎng)絡(luò)的安全狀態(tài)，數(shù)字值越高，則網(wǎng)絡(luò)的安全性就越低。實(shí)際上，可以將網(wǎng)絡(luò)安全的數(shù)字值看成是對(duì)系統(tǒng)中所有主體產(chǎn)生威脅的函數(shù)。,公共入侵檢測框架CIDF,圖8.3 CIDF體系結(jié)構(gòu),事件產(chǎn)生器從入侵檢測系統(tǒng)之外的計(jì)算環(huán)境中收集事件，并將這些事件轉(zhuǎn)換成CIDF的GIDO格式傳送給其

5、他組件。 例如，事件產(chǎn)生器可以是讀取C2級(jí)審計(jì)蹤跡并將其轉(zhuǎn)換成GIDO格式的過濾器，也可以是被動(dòng)地監(jiān)視網(wǎng)絡(luò)并根據(jù)網(wǎng)絡(luò)數(shù)據(jù)流產(chǎn)生事件的另一種過濾器，還可以是SQL數(shù)據(jù)庫中產(chǎn)生事件的應(yīng)用代碼。 事件分析器從其他組件收到的GIDO進(jìn)行分析，并將產(chǎn)生的新GIDO再傳送給其他部件。分析器可以是一個(gè)輪廓描述工具，統(tǒng)計(jì)、檢查現(xiàn)在的事件是否可能與以前某個(gè)事件來自同一個(gè)事件序列，也可以是一個(gè)特征檢測工具，用于在一個(gè)事件序列中檢查是否有已知的濫用攻擊特征。此外，事件分析器還可以觀察事件之間的關(guān)系，將有聯(lián)系的事件分類到一起，以利于以后的進(jìn)一步分析。 響應(yīng)單元處理收到的GIDO，并根據(jù)此采取相應(yīng)的措施，如殺死相關(guān)進(jìn)程

6、、將連接復(fù)位、修改文件權(quán)限等。 事件數(shù)據(jù)庫用來存儲(chǔ)GIDO，以備系統(tǒng)需要的時(shí)候使用。,8.2 入侵檢測系統(tǒng)的分類,按數(shù)據(jù)源分類 基于主機(jī)的IDS（HIDS） 基于網(wǎng)絡(luò)的IDS（NIDS） 分布式入侵檢測系統(tǒng) 按分析引擎分類 異常檢測（anomaly detection） 濫用檢測（misuse detection） 混合的檢測方法,8.2.1.1 基于主機(jī)的IDS（HIDS）,基于主機(jī)的數(shù)據(jù)源主要包括兩種類型： (1) 操作系統(tǒng)審計(jì)記錄（由專門的操作系統(tǒng)機(jī)制產(chǎn)生的系統(tǒng)事件記錄） (2) 系統(tǒng)日志（由系統(tǒng)程序產(chǎn)生的用于記錄系統(tǒng)或應(yīng)用程序事件的文件，通常以文本文件的方式存放）。,（1） 操作系統(tǒng)審

7、計(jì)記錄 操作系統(tǒng)的審計(jì)記錄（audit trail）由包含在操作系統(tǒng)內(nèi)部的專門審計(jì)子系統(tǒng)產(chǎn)生。審計(jì)文件由審計(jì)記錄組成，每條審計(jì)記錄描述了一次單獨(dú)的系統(tǒng)事件。當(dāng)系統(tǒng)中的用戶采取動(dòng)作或調(diào)用進(jìn)程時(shí)，引起相應(yīng)的系統(tǒng)調(diào)用或執(zhí)行命令，此時(shí)審計(jì)系統(tǒng)就會(huì)產(chǎn)生對(duì)應(yīng)的審計(jì)記錄。每條審計(jì)記錄又包含了若干個(gè)審計(jì)標(biāo)記（audit token），分別用于描述審計(jì)記錄的不同的域。 Windows NT 4.0通過了TCSEC的C2級(jí)評(píng)測,圖8.4 Windows NT的客體訪問和審計(jì)示意圖,現(xiàn)代UNIX操作系統(tǒng)大多開發(fā)了C2級(jí)以上的審計(jì)系統(tǒng)，如Solaris2.x等。Solaris2.6的審計(jì)機(jī)制由基本安全模塊（BSM）提

8、供。 系統(tǒng)最初啟動(dòng)時(shí)創(chuàng)建審計(jì)守護(hù)進(jìn)程auditd，它讀取審計(jì)配置，搜集審計(jì)數(shù)據(jù)，并且在磁盤空間滿、審計(jì)關(guān)閉等重要事件發(fā)生時(shí)以發(fā)郵件和控制臺(tái)顯示的方式通知管理員。 審計(jì)配置文件audit_control和audit_user位于/etc/security目錄下，它們指定審計(jì)文件的存放位置、磁盤水位線、系統(tǒng)審計(jì)類和各用戶自己的審計(jì)類，系統(tǒng)審計(jì)類與用戶審計(jì)類共同決定一個(gè)用戶要審計(jì)哪些事件。,Solaris2.6的審計(jì)事件涵蓋系統(tǒng)調(diào)用和安全相關(guān)命令，如下表所示。,【例8.1】設(shè)用戶的審計(jì)策略為：lo，-fr，+ad，則表示記錄有關(guān)該用戶的所有登錄退出事件、失敗的文件讀取事件及成功的系統(tǒng)管理事件。 審計(jì)

9、文件名形如：time1.time2.hostname，其中time1是文件創(chuàng)建時(shí)間，time2是切換到下一文件的時(shí)間，hostname是審計(jì)系統(tǒng)所在的主機(jī)名。 若干審計(jì)文件按照時(shí)間關(guān)系構(gòu)成一條順序鏈。每個(gè)審計(jì)文件由若干審計(jì)記錄構(gòu)成，首尾是兩條特殊的記錄，分別標(biāo)識(shí)它的上一個(gè)和下一個(gè)審計(jì)文件，其它審計(jì)記錄表示實(shí)際的審計(jì)事件，它由若干標(biāo)記token組成，每個(gè)token記錄該事件的一個(gè)方面。,Solaris2.6給系統(tǒng)程序員提供了簡單的編程接口，使之能夠根據(jù)自己的需要增加審計(jì)內(nèi)容。auditsvc(2)指定當(dāng)前的審計(jì)日志文件，audit(2)寫入表示一條審計(jì)記錄。 管理員的auditconfig命令獲

10、取和設(shè)置審計(jì)參數(shù)，audit命令給審計(jì)守護(hù)進(jìn)程發(fā)送信號(hào)，通知auditd開始審計(jì)一個(gè)新文件、重讀配置文件或是關(guān)閉審計(jì)系統(tǒng)。auditreduce命令過濾審計(jì)記錄，praudit命令用來選擇以文本方式或以原始數(shù)據(jù)方式顯示這些審計(jì)記錄。,【例8.2】 若干token實(shí)例如下圖所示,【例8.3】 praudit命令輸出實(shí)例,Header，81，2，login-telnet，Sun Oct 17 21:04:00 1999 +350001500 msec，subject，mht，mht，staff，mht，staff，352，352，24 2 192.168.0.9，text，successful l

11、ogin,return,success,0 Header，88，2，su，Sun Oct 17 21:04:00 1999 +350001500 msec，subject，cxl，root，staff，cxl，staff，431，422，24 2 192.168.0.123，text，bad auth.for user root，return，failure，2,從上例的輸出可以看到，用戶mht從192.168.0.9成功地遠(yuǎn)程登錄到審計(jì)所在主機(jī)；來自192.168.0.123的用戶cxl試圖將用戶更換為root，但沒有成功。 事件類型、時(shí)間、用戶組、有效的用戶身份號(hào)以及成功/出錯(cuò)信息也一目了

12、然。,（2）系統(tǒng)日志 系統(tǒng)日志是反映各種系統(tǒng)事件和配置的文件。 Unix系統(tǒng)提供了分類齊全的系統(tǒng)日志，并且提供通用的服務(wù)（syslog），用于支持產(chǎn)生和更新事件日志，這項(xiàng)服務(wù)是通過syslogd守護(hù)程序來實(shí)現(xiàn)的。,基于主機(jī)的IDS的優(yōu)點(diǎn), 使用了含有已發(fā)生事件信息，可以比基于網(wǎng)絡(luò)的IDS更加準(zhǔn)確地判斷攻擊是否成功。 監(jiān)視特定的系統(tǒng)活動(dòng)基于主機(jī)的IDS監(jiān)視用戶訪問文件的活動(dòng)，包括文件存取、改變文件權(quán)限、試圖建立新的可執(zhí)行文件以及試圖訪問特殊的設(shè)備。 可以檢測到那些基于網(wǎng)絡(luò)的系統(tǒng)察覺不到的攻擊。例如，來自網(wǎng)絡(luò)內(nèi)部的攻擊可以躲開基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 基于主機(jī)的系統(tǒng)安裝在企業(yè)的各種主機(jī)上，更加適于

13、交換的和加密的環(huán)境。 近于實(shí)時(shí)的檢測和響應(yīng) 花費(fèi)低廉。,8.2.1.2 基于網(wǎng)絡(luò)的IDS（NIDS）,在雜收模式下，網(wǎng)卡可以接收本網(wǎng)段內(nèi)傳輸?shù)乃袛?shù)據(jù)包，無論這些數(shù)據(jù)包的目的地址是否為本機(jī)。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)必須利用網(wǎng)卡的雜收模式，以獲得經(jīng)過本網(wǎng)段的所有數(shù)據(jù)信息，從而實(shí)現(xiàn)獲取網(wǎng)絡(luò)數(shù)據(jù)的功能。,基于網(wǎng)絡(luò)的IDS的優(yōu)點(diǎn) 檢測基于主機(jī)的系統(tǒng)漏掉的攻擊基于網(wǎng)絡(luò)的IDS檢查所有數(shù)據(jù)包的頭部從而發(fā)現(xiàn)惡意的和可疑的行動(dòng)跡象。 基于網(wǎng)絡(luò)的IDS實(shí)時(shí)地檢測網(wǎng)絡(luò)通信，攻擊者無法轉(zhuǎn)移證據(jù)。被捕獲的數(shù)據(jù)不僅包括攻擊的方法，而且還包括可識(shí)別黑客身份和對(duì)其進(jìn)行起訴的信息。 實(shí)時(shí)檢測和響應(yīng)基于網(wǎng)絡(luò)的IDS可以在惡意及

14、可疑的攻擊發(fā)生的同時(shí)將其檢測出來，并做出更快的通知和響應(yīng)。例如，一個(gè)基于TCP的對(duì)網(wǎng)絡(luò)進(jìn)行的拒絕服務(wù)攻擊（Denial of Service）可以通過將基于網(wǎng)絡(luò)的IDS發(fā)出TCP復(fù)位信號(hào)，在該攻擊對(duì)目標(biāo)主機(jī)造成破壞前將其中斷。 檢測未成功的攻擊和不良意圖基于網(wǎng)絡(luò)的IDS增加了許多有價(jià)值的數(shù)據(jù)，以判別不良意圖。,8.2.1.3 分布式入侵檢測系統(tǒng),IDS普遍存在的問題 系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中各個(gè)主機(jī)上，這些弱點(diǎn)有可能被入侵者一起用來攻擊網(wǎng)絡(luò)，而僅依靠HIDS或NIDS不能發(fā)現(xiàn)更多的入侵行為。 現(xiàn)在的入侵行為表現(xiàn)出相互協(xié)作入侵的特點(diǎn)，例如分布式拒絕服務(wù)攻擊（DDoS）。 入侵檢測所需要的數(shù)據(jù)

15、來源分散化，收集原始的檢測數(shù)據(jù)變得困難，如交換型網(wǎng)絡(luò)使得監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包受到限制。 由于網(wǎng)絡(luò)傳輸速度加快，網(wǎng)絡(luò)流量不斷增大，所以集中處理原始數(shù)據(jù)的方式往往造成檢測的實(shí)時(shí)性和有效性大打折扣。,DIDS綜合了基于主機(jī)和基于網(wǎng)絡(luò)的IDS的功能： 首先數(shù)據(jù)包過濾的工作由分布在各網(wǎng)絡(luò)設(shè)備上的探測代理完成；其次探測代理認(rèn)為可疑的數(shù)據(jù)包將根據(jù)其類型交給專用的分析層設(shè)備處理。各探測代理不僅實(shí)現(xiàn)信息過濾，同時(shí)對(duì)所在系統(tǒng)進(jìn)行監(jiān)視；而分析層和管理層則可對(duì)全局的信息進(jìn)行關(guān)聯(lián)性分析。 對(duì)網(wǎng)絡(luò)信息進(jìn)行分流，既可以提高檢測速度，解決檢測效率低的問題，又增強(qiáng)了DIDS本身抗擊拒絕服務(wù)攻擊的能力。 DIDS由主機(jī)代理（Host

16、Agent）、局域網(wǎng)代理（LAN Agent）和控制器（DIDS Director）三大部分組成，如圖8.7所示。 主機(jī)代理負(fù)責(zé)監(jiān)測某臺(tái)主機(jī)的安全，依據(jù)搜集到這臺(tái)主機(jī)活動(dòng)的信息產(chǎn)生主機(jī)安全事件，并將這些安全事件傳送到控制器。同樣，LAN代理監(jiān)測局域網(wǎng)的安全，依據(jù)搜集到的網(wǎng)絡(luò)數(shù)據(jù)包信息產(chǎn)生局域網(wǎng)安全事件，也把這些局域網(wǎng)安全事件傳給控制器?？刂破鞲鶕?jù)安全專家的知識(shí)、主機(jī)安全事件和網(wǎng)絡(luò)安全事件進(jìn)行入侵檢測推理分析，最后得出整個(gè)網(wǎng)絡(luò)的安全狀態(tài)結(jié)論。,圖8.7 DIDS結(jié)構(gòu),DIDS,8.2.2 按分析引擎分類,（1） 異常檢測（anomaly detection）IDS（2）濫用檢測（misuse d

17、etection）IDS 異常檢測提取正常模式審計(jì)數(shù)據(jù)的數(shù)學(xué)特征，檢查事件數(shù)據(jù)中是否存在與之相違背的異常模式。 濫用檢測則搜索審計(jì)事件數(shù)據(jù)，查看其中是否存在預(yù)先定義的濫用模式。,8.2.2.1 異常檢測,異常檢測的關(guān)鍵問題在于正常使用模式（normal usage profile）的建立以及如何利用該模式對(duì)當(dāng)前的系統(tǒng)/用戶行為進(jìn)行比較，從而判斷出與正常模式的偏離程度。 “模式” 通常由一組系統(tǒng)的參量（metrics）來定義。,圖8.8 異常行為集與入侵行為集相交而不等時(shí)產(chǎn)生假警報(bào)和漏判的情形,異常檢測基于這樣一個(gè)假設(shè)：無論是程序的執(zhí)行還是用戶的行為，在系統(tǒng)特征上都呈現(xiàn)出緊密的相關(guān)性。 例如，某

18、些特權(quán)程序總是訪問特定目錄下的系統(tǒng)文件，而程序員則經(jīng)常編輯和編譯C語言程序，其正?；顒?dòng)與一個(gè)打字員的正?；顒?dòng)肯定不同。這樣，根據(jù)各自不同的正?；顒?dòng)建立起來的模式（profile）便具有用戶特性。入侵者即使使用正常用戶的賬號(hào)，其行為并不會(huì)與正常用戶的行為相吻合，因而可以被檢測出來。 入侵活動(dòng)集合并不等于異?；顒?dòng)集合。有兩種可能： 將不是入侵的異?；顒?dòng)被標(biāo)識(shí)為入侵，稱為偽肯定（False Positives），造成假報(bào)警。 將入侵活動(dòng)被誤以為正常活動(dòng)，稱為偽否定（False Negatives），造成漏判。,（1） 統(tǒng)計(jì)異常檢測方法 統(tǒng)計(jì)異常檢測方法根據(jù)異常檢測器觀察主體的活動(dòng)，然后產(chǎn)生刻畫這些活

19、動(dòng)的行為的輪廓。每一個(gè)輪廓保存記錄主體當(dāng)前行為，并定時(shí)地將新的正常的行為輪廓加入到行為輪廓庫中，通過比較當(dāng)前的輪廓與已存儲(chǔ)的輪廓來判斷異常行為，從而檢測出入侵行為。 設(shè)M1，M2，Mn為輪廓（profile）的特征參量，這些參量可以是CPU、I/O和郵件的使用、文件訪問數(shù)量以及網(wǎng)絡(luò)會(huì)話時(shí)間等。用S1，S2，Sn分別表示輪廓中參量M1，M2，Mn的異常測量值。這些值表明了異常程度，若Si的值越高，則表示Mi的異常性越大。將這些異常測量值平方后加權(quán)計(jì)算得出輪廓異常值： 這里ai表示輪廓與參量Mi相關(guān)的權(quán)重，i=1n。,對(duì)于Haystack入侵檢測系統(tǒng)，其統(tǒng)計(jì)分析過程為： 首先根據(jù)審計(jì)記錄生成主體的

20、會(huì)話向量：，向量中的每一項(xiàng)表示主體在會(huì)話過程中的各項(xiàng)統(tǒng)計(jì)參數(shù)。 第二步生成貝努利向量。設(shè)定閾向量：T=，其中 ti=表示會(huì)話向量中各項(xiàng)的可信取值范圍，在Haystack系統(tǒng)中取90%的屬性值范圍。所生成的貝努利向量B為：B=，其中 0, timin xitimax bi = 1, 其他 第三步生成加權(quán)入侵指數(shù)Wis，定義權(quán)向量W= 權(quán)向量是每個(gè)屬性對(duì)入侵的影響程度，入侵指數(shù)Wis定義為： 第四步生成嫌疑指標(biāo)SQ(Suspicion Quotitent)，SQ用以表示會(huì)話過程是入侵的可能性，令概率矩陣為P, Pi,j為用會(huì)話前i個(gè)屬性計(jì)算的Wis值為j的概率，Pri(0)表示第i個(gè)參數(shù)在閾值內(nèi)的

21、概率，即的概率，Pri (1)為的概率，Haystack系統(tǒng)設(shè)Pri (0)全部為0.9，通過以下算法可以計(jì)算出Pn,j為會(huì)話的Wis等于j的概率：,算法8.1 Pn,j的計(jì)算 Begin P 0, 0=1.0 for j=1 to max_score do P 0, j=0.0 for i=1 to n do for j=0 to max_score do Pi,j=Pi,j*Pri(0)+Pi-1,j-wi*Pri(1) End. 利用Pn,j定義指標(biāo)SQ： SQ越大，表示事件為入侵的可能性越大。,（2） 基于神經(jīng)網(wǎng)絡(luò)的異常檢測方法 將神經(jīng)網(wǎng)絡(luò)用于異常檢測，其方法主要是通過訓(xùn)練神經(jīng)網(wǎng)絡(luò)，使

22、之能在給定前n個(gè)動(dòng)作或命令的前提下預(yù)測出用戶下一個(gè)動(dòng)作或命令。網(wǎng)絡(luò)經(jīng)過對(duì)用戶常用的命令集進(jìn)行一段時(shí)間的訓(xùn)練后便可以根據(jù)已存在網(wǎng)絡(luò)中的用戶特征文件來匹配真實(shí)的動(dòng)作或命令。 神經(jīng)網(wǎng)絡(luò)有多種模型，在入侵檢測系統(tǒng)中，一般采用前向神經(jīng)網(wǎng)絡(luò)，并采用逆向傳播法BP（back Propagation）對(duì)檢測模型進(jìn)行訓(xùn)練。基于神經(jīng)網(wǎng)絡(luò)的入侵檢測模型如下頁圖所示。,圖8.9 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測模型,此模型有一個(gè)輸入層集，接受二進(jìn)制輸入信號(hào)。這些二進(jìn)制輸入信號(hào)對(duì)應(yīng)于已經(jīng)保存在信息庫中的相關(guān)事件。神經(jīng)網(wǎng)絡(luò)的輸出層用來指示可能的入侵。它根據(jù)問題相關(guān)事件的數(shù)量、規(guī)則數(shù)量和入侵行為的數(shù)量等，確定模型中需要多少個(gè)隱含層，

23、隱含層神經(jīng)元的數(shù)目則取決于訓(xùn)練用的樣本數(shù)以及經(jīng)驗(yàn)積累。神經(jīng)網(wǎng)絡(luò)的每一層又一個(gè)或者多個(gè)神經(jīng)元組成，前一層的輸出作為后一層的輸入，每層神經(jīng)元與其下一層的神經(jīng)元相連，并賦以合適的權(quán)值。 定義神經(jīng)元i的網(wǎng)絡(luò)輸入為xi為： Wji表示連接神經(jīng)元j（位于前一層）到i（位于當(dāng)前層）之間連結(jié)權(quán)值；表示來自神經(jīng)元j的輸入。 位于前一層偏置神經(jīng)元的輸入置為-1，而權(quán)值可以調(diào)節(jié)。位于前一層偏置邊上的權(quán)值表示在當(dāng)前層上每個(gè)神經(jīng)元的門限值。每個(gè)神經(jīng)元的輸出由該神經(jīng)元的網(wǎng)絡(luò)輸入通過激活函數(shù)f（.）變換得到。這里采用以下的激活函數(shù)：,算法8.2 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測算法,構(gòu)造由1，2，L層組成的神經(jīng)網(wǎng)絡(luò)，并對(duì)每一層選擇與

24、問題相適應(yīng)的神經(jīng)元數(shù)目。 將每一層上的偏置神經(jīng)元設(shè)為-1.0。 對(duì)于所有的i和j，令wji=,是在（0，1）之間的隨機(jī)選取的某個(gè)值。 若IDS是離線模式，則從樣本集中選擇一種輸入模式；反之，若是在線模式，則從信息庫中選擇相關(guān)事件作為輸入。 通過神經(jīng)網(wǎng)絡(luò)將信號(hào)傳播到輸出層。 對(duì)輸出層k上的每個(gè)神經(jīng)元i，計(jì)算反向傳播誤差. 對(duì)于層l=1，（K-1）,其上的每個(gè)神經(jīng)元i的反向傳播誤差的計(jì)算見教材第227頁。 修正權(quán)值Wij。 若輸出層的誤差在一個(gè)允許的范圍內(nèi)，則從離線操作模式轉(zhuǎn)到在線操作模式。 轉(zhuǎn)至步驟（），直到IDS變得靈敏。,基于神經(jīng)網(wǎng)絡(luò)的異常檢測系統(tǒng)的優(yōu)點(diǎn) 能夠很好地處理噪音數(shù)據(jù)，并不依賴于對(duì)

25、所處理的數(shù)據(jù)統(tǒng)計(jì)假設(shè)，不用考慮如何選擇特征參量的問題，很容易適應(yīng)新的用戶群。 基于神經(jīng)網(wǎng)絡(luò)的異常檢測的缺點(diǎn) （1）小的命令窗口（即n的大?。⒃斐蓚慰隙ǎ丛斐杉賵?bào)警，而大的命令窗口則造成許多不相關(guān)的數(shù)據(jù)，同時(shí)增加偽否定的機(jī)會(huì)，即造成漏判。 （2）神經(jīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)只有經(jīng)過相當(dāng)?shù)挠?xùn)練后才能確定下來。 （3）入侵者可能在網(wǎng)絡(luò)學(xué)習(xí)階段訓(xùn)練該網(wǎng)絡(luò)。,（3） 基于規(guī)則的異常檢測方法 該方法假設(shè)事件序列不是隨機(jī)的而是遵循可辨別的模式。其特點(diǎn)是考慮了事件序列及相互聯(lián)系。系統(tǒng)利用動(dòng)態(tài)的規(guī)則集來檢測入侵。歸納引擎根據(jù)已發(fā)生事件的情況來預(yù)測將來發(fā)生的事件的概率，根據(jù)此概率動(dòng)態(tài)產(chǎn)生規(guī)則，歸納引擎為每一種事件設(shè)置可能

26、發(fā)生的概率。其歸納出來的規(guī)則一般可寫成如下形式： E1，E2，Ek，（Ek+1，P（Ek+1），（En，P（En） 其含義為如果在輸入事件流中包含事件序列E1，E2 ， ，Ek ，則事件Ek+1，En會(huì)出現(xiàn)在將要到來的事件流的概率分別為P（Ek+1），P（En）。 在通常情況下，當(dāng)規(guī)則的左邊匹配，但右邊的概率值與預(yù)測值相差較大時(shí)，該事件便被標(biāo)識(shí)為異常行為。,8.2.2.2 濫用檢測（misuse detection）,(1) 基于串匹配的濫用檢測檢測系統(tǒng)Snort Snort系統(tǒng)的檢測規(guī)則庫采用二維鏈表的結(jié)構(gòu)。二維鏈表的橫向節(jié)稱為RuleTreeNode（RTN節(jié)點(diǎn)），縱向節(jié)點(diǎn)稱為Option

27、TreeNodes（OTN節(jié)點(diǎn)）。規(guī)則庫中的每條規(guī)則由規(guī)則頭（Rule Header）和規(guī)則選項(xiàng)（Rule Option）兩個(gè)部分組成。 規(guī)則頭決定了該規(guī)則處于二維鏈表橫向的哪一個(gè)RTN節(jié)點(diǎn)；規(guī)則選項(xiàng)決定了該規(guī)則處于二維鏈表縱向的哪一個(gè)OTN節(jié)點(diǎn)。 RTN節(jié)點(diǎn)的包括：規(guī)則頭信息（數(shù)據(jù)包的源地址和目的地址、源端口和目的端口等）；處理函數(shù)集，一組用來檢查數(shù)據(jù)包中的信息是否與該規(guī)則頭信息相同的函數(shù)集（按照鏈表的形式組織）；RTN指針，指向下一個(gè)RTN，用于構(gòu)筑橫向的鏈表；OTN指針，指向下一個(gè)OTN，用于構(gòu)筑縱向的鏈表。每個(gè)橫向的RTN都對(duì)應(yīng)一條由縱向節(jié)電OTN節(jié)點(diǎn)構(gòu)成的鏈表。 OTN節(jié)點(diǎn)包括：規(guī)則

28、選項(xiàng)信息，負(fù)責(zé)描述規(guī)則的各種附加選項(xiàng)信息，例如報(bào)警時(shí)所給出的消息（msg）、登記的文件名（logto）等；處理函數(shù)集；OTN指針指向下一個(gè)OTN，用于構(gòu)筑縱向鏈表。,Snort系統(tǒng)的檢測過程一次獲取并解析完一個(gè)數(shù)據(jù)包，產(chǎn)生相應(yīng)的Packet結(jié)構(gòu)。 首先進(jìn)行橫向鏈表的檢索。從二維鏈表的第一個(gè)RTN節(jié)點(diǎn)開始，依次調(diào)用該RTN節(jié)點(diǎn)所對(duì)應(yīng)的處理函數(shù)，將該RTN節(jié)點(diǎn)所包含的規(guī)則頭信息和當(dāng)前數(shù)據(jù)包生成的Packet結(jié)構(gòu)中的對(duì)應(yīng)數(shù)據(jù)進(jìn)行比較，如果有一個(gè)處理函數(shù)的返回值是“FASLE”，那么說明該數(shù)據(jù)包和該RTN不符合，就定位到下一個(gè)RTN，重復(fù)上述處理過程，直到在某個(gè)RTN上所有處理函數(shù)都返回“TRUE”，

29、就開始進(jìn)行縱向鏈表的檢索。 縱向鏈表檢索的過程與RTN的檢索類似，首先定位于該RTN指向的縱向鏈表的第一個(gè)OTN上，依次調(diào)用該OTN所對(duì)應(yīng)的處理函數(shù)，如果該OTN中至少有一個(gè)處理函數(shù)返回“FASLE”，那么檢索就繼續(xù)下去，直到某個(gè)OTN的所有處理函數(shù)的返回值為“TRUE”為止，此時(shí)說明所檢測的數(shù)據(jù)包具有該OTN對(duì)應(yīng)的攻擊特征，系統(tǒng)就根據(jù)預(yù)先定義的響應(yīng)方式進(jìn)行處理。,（2） 基于專家系統(tǒng)的濫用檢測方法 使用類似于if-then的規(guī)則格式輸入已有的知識(shí)（攻擊模式），然后輸入檢測數(shù)據(jù)（審計(jì)事件紀(jì)錄），系統(tǒng)根據(jù)知識(shí)庫中的內(nèi)容對(duì)檢測數(shù)據(jù)進(jìn)行評(píng)估，判斷是否存在入侵行為模式。 應(yīng)用專家系統(tǒng)進(jìn)行入侵檢測存在的

30、問題： 、處理海量數(shù)據(jù)時(shí)存在效率問題； 、缺乏處理序列數(shù)據(jù)的能力，即缺乏分析數(shù)據(jù)前后的 相關(guān)性問題； 、專家系統(tǒng)的性能完全取決于設(shè)計(jì)者的知識(shí)和技能； 、只能檢測已知的攻擊模式； 、無法處理判斷的不確定性； 、更改規(guī)則時(shí)必須考慮到對(duì)知識(shí)庫中其他規(guī)則的影響。,（3） 基于狀態(tài)轉(zhuǎn)移法的濫用檢測方法 狀態(tài)轉(zhuǎn)移分析法是一種使用狀態(tài)轉(zhuǎn)移圖來表示和檢測已知攻擊模式的濫用檢測技術(shù)。狀態(tài)轉(zhuǎn)移圖中的節(jié)點(diǎn)表示系統(tǒng)的狀態(tài)，弧線代表每一次狀態(tài)的轉(zhuǎn)變。 所有入侵者的滲透過程都可以看作是從有限的特權(quán)開始，利用系統(tǒng)存在的脆弱性，逐步提升自身的權(quán)限。圖中的斷言是在每種系統(tǒng)狀態(tài)下得到的相應(yīng)的、針對(duì)該狀態(tài)的判斷結(jié)果。 利用狀態(tài)轉(zhuǎn)移

31、圖檢測入侵的過程如下： 在任一時(shí)刻，當(dāng)一定數(shù)量的入侵模式與審計(jì)日志部分匹配時(shí)，一些特征動(dòng)作已經(jīng)使得檢測系統(tǒng)到達(dá)各自狀態(tài)轉(zhuǎn)換圖中的某些狀態(tài)。 如果某一狀態(tài)轉(zhuǎn)換圖到達(dá)了終止?fàn)顟B(tài)，則表示該入侵模式已經(jīng)成功匹配；否則，當(dāng)下一個(gè)特征動(dòng)作到來時(shí)，推理引擎能把當(dāng)前狀態(tài)轉(zhuǎn)變成滿足斷言條件的下一狀態(tài)。 如果當(dāng)前狀態(tài)的斷言條件不能滿足，則狀態(tài)轉(zhuǎn)換圖會(huì)從當(dāng)前狀態(tài)轉(zhuǎn)換到最近的能滿足斷言條件的狀態(tài)。,【例8.4】利用狀態(tài)轉(zhuǎn)移分析方法表示和檢測入侵模式 利用Unix BSD4.2中mail程序的一個(gè)安全脆弱性，獲取一個(gè)所有者為root，權(quán)限為setuid的所有人均可執(zhí)行的shell程序，這樣一般用戶運(yùn)行這個(gè)shell就具

32、有了root的權(quán)限。 具體地可以用以下命令實(shí)施入侵： cp/bin/sh/usr/spool/mail/root chmod 4755/usr/spool/mail/root touch x mail rootx 第1條命令是拷貝一個(gè)shell到usr/spool/mail/root； 第2條命令是將該文件的權(quán)限修改為setuid使得所有人都可以運(yùn)行； 第3條命令生成一個(gè)空文件，第四條命令將該空文件通過mail發(fā)送給root； 第4條命令使mail程序?qū)⒖瘴募釉趗sr/spool/mail/root之后，并將usr/spool/mail/root的所有者改為root，但卻沒有將setuid復(fù)

33、位，使得root的mailbox成為了setuid的shell。 檢測該入侵的狀態(tài)轉(zhuǎn)移圖如下頁圖所示。,圖8.11狀態(tài)轉(zhuǎn)移圖實(shí)例,1.Owner(Obj)=user 2.not permitted(SUID,Obj),Modify_Owner Obj,Modify_perm Obj,Create Obj,S1,S2,S3,S4,1.Owner(Obj)=”root” 2.permitted(SUID,Obj),1.Owner(Obj)=user 2.permitted(SUID,Obj),1.exist(Obj)=false 2.not euid=”root”,Obj=” usr/spool/

34、mail/root”,基于著色Petri網(wǎng)的入侵檢測模型 在此模型中，每個(gè)入侵都被表示成一個(gè)著色Petri網(wǎng)。整個(gè)特征匹配過程由標(biāo)記（token）的動(dòng)作構(gòu)成，標(biāo)記在審計(jì)記錄的驅(qū)動(dòng)下，從初始狀態(tài)向最終狀態(tài)（標(biāo)識(shí)入侵發(fā)生的狀態(tài)）逐步前進(jìn)。 處于不同狀態(tài)時(shí)，標(biāo)記的顏色用來代表事件所處的系統(tǒng)環(huán)境（context）。當(dāng)標(biāo)記出現(xiàn)某種特定的顏色時(shí)，預(yù)示著目前的系統(tǒng)環(huán)境滿足了特征匹配的條件，此時(shí)就可以采取相應(yīng)的響應(yīng)動(dòng)作，這種滿足匹配條件時(shí)事件所出的系統(tǒng)環(huán)境定義為警戒點(diǎn)（guards）。,【例8.7】 利用Petri網(wǎng)表示和檢測到入侵模式 圖中t1對(duì)應(yīng)于cp/bin/sh/usr/spool/ mail/roo

35、t，t2對(duì)應(yīng)于chmod 4755/usr/spool/mail/root，t3對(duì)應(yīng)于將一個(gè)文件的所有者變?yōu)閞oot，即mail rootx。 基于著色Petri網(wǎng)的入侵檢測系統(tǒng)的缺陷是盡管在定義入侵特征時(shí)可以盡可能的通用化，但系統(tǒng)對(duì)于檢測未知的攻擊仍然無能為力。,8.2.2.3 混合的檢測方法,（1） 基于數(shù)據(jù)挖掘的異常檢測方法 以數(shù)據(jù)為中心，把入侵檢測看成一個(gè)數(shù)據(jù)分析過程，利用數(shù)據(jù)挖掘的方法從審計(jì)數(shù)據(jù)或數(shù)據(jù)流中提取出感興趣的知識(shí)，這些知識(shí)是隱含的、事先未知的潛在有用信息，提取的知識(shí)表示為概念、規(guī)則、規(guī)律、模式等形式，并用這些知識(shí)去檢測異常入侵和已知的入侵。 主要的數(shù)據(jù)挖掘算法有： （1）分

36、類算法，它將一個(gè)數(shù)據(jù)集合映射成預(yù)先定義好的若干類別，算法的輸出結(jié)果是分類器，它可用規(guī)則集或決策樹的形式表示。利用該算法進(jìn)行入侵檢測的方法是首先收集有關(guān)用戶或應(yīng)用程序的“正?！焙汀胺钦！钡膶徲?jì)數(shù)據(jù)，然后應(yīng)用分類算法得到規(guī)則集，并使用這些規(guī)則集來預(yù)測新的審計(jì)數(shù)據(jù)是屬于正常還是異常行為。 （2）關(guān)聯(lián)分析算法，它決定數(shù)據(jù)庫記錄中各數(shù)據(jù)項(xiàng)之間的關(guān)系，利用審計(jì)數(shù)據(jù)中各數(shù)據(jù)項(xiàng)之間的關(guān)系作為構(gòu)造用戶正常使用模式的基礎(chǔ)。 （3）序列分析算法，它獲取數(shù)據(jù)庫記錄在事件窗口中的關(guān)系，試圖發(fā)現(xiàn)審計(jì)數(shù)據(jù)中的一些經(jīng)常以某種規(guī)律出現(xiàn)的事件序列模式，這些頻繁發(fā)生的事件序列模式有助于在構(gòu)造入侵檢測模型時(shí)選擇有效的統(tǒng)計(jì)特征。,將

37、數(shù)據(jù)挖掘技術(shù)用于異常檢測的基本思想 一段時(shí)間內(nèi)頻繁發(fā)生的行為被認(rèn)為是正常行為。若干特定類型的警報(bào)組在一段時(shí)間內(nèi)（通常是幾秒）交替發(fā)生，并且按照一定的順序在以后的時(shí)間里每隔幾分鐘發(fā)生一次，這些警報(bào)是可疑行為的可能性要比一個(gè)從未見過的突發(fā)警報(bào)小。 使用關(guān)聯(lián)分析方法來發(fā)現(xiàn)警報(bào)所有的頻繁項(xiàng)集。根據(jù)頻繁項(xiàng)集和關(guān)聯(lián)規(guī)則將正常的警報(bào)行為特征化：把連續(xù)的警報(bào)流劃分成若干個(gè)警報(bào)段，每一段使用關(guān)聯(lián)分析語言來表示一個(gè)事務(wù)，項(xiàng)表示警報(bào)。頻繁項(xiàng)集指的是在多個(gè)段中的警報(bào)。關(guān)聯(lián)規(guī)則描述了在一個(gè)段中所發(fā)生的彼此有關(guān)聯(lián)的警報(bào)。傳感器收集到的正常行為模型包括若干頻繁項(xiàng)集的搜集和高可信度的關(guān)聯(lián)規(guī)則。 算法8.3描述了利用數(shù)據(jù)挖掘方

38、法如何從正常行為中檢測出異常。,算法8.3 基于數(shù)據(jù)挖掘的異常檢測算法,輸入：傳感器搜集到的正常行為模式（頻繁項(xiàng)集F、規(guī)則集B），警報(bào)段 輸出：偏離正常行為的警報(bào)段 LOOP B=read_next_burst_of_alarms if then check_rules(R),report_frnquent(B) else M=most_specific_supported_itemsets(B,F) D=B- Check_rules (R),report_infrequent(B,M,D) End End.,基于數(shù)據(jù)挖掘的異常檢測算法的含義 對(duì)于給定的一組頻繁項(xiàng)集F、高可信度規(guī)則集R以及輸入

39、的警報(bào)段B： 檢查所輸入的警報(bào)是否為頻繁項(xiàng)集。如果確定為頻繁項(xiàng)集，那么該警報(bào)可能為正常行為，并且期望的出現(xiàn)頻率與項(xiàng)集的支持度相等；反之，如果頻繁項(xiàng)集是警報(bào)段中的一個(gè)警報(bào)子集，那么它就受該脈沖警報(bào)的支持。 如果受支持的頻繁項(xiàng)集不存在受支持的父集，就將該頻繁項(xiàng)集稱為最詳細(xì)的頻繁項(xiàng)集。集合M表示已發(fā)生過的已知警報(bào)，這些警報(bào)之間相互獨(dú)立，它們在警報(bào)段中頻繁出現(xiàn)，但不能確定它們是否同時(shí)出現(xiàn)。 集合D中的警報(bào)是由輸入警報(bào)中未出現(xiàn)在M中的警報(bào)組成。如果D不為空，便得到一個(gè)包含發(fā)生頻率低于最小支持度門限值的警報(bào)段。,（2） 基于生物免疫的入侵檢測 生物免疫系統(tǒng)由多種免疫細(xì)胞組成，它通過區(qū)分“自我”和“非自我”來實(shí)現(xiàn)機(jī)體的防衛(wèi)功能。“自我”是指自身的細(xì)胞，“非自我”是指病原體、毒性有機(jī)物和內(nèi)源的突變細(xì)胞（致癌）或衰老細(xì)胞。免疫細(xì)胞能對(duì)“非自我”成分產(chǎn)生應(yīng)答，以消除它們對(duì)機(jī)體的危害；但對(duì)“自我”成分，則不產(chǎn)生應(yīng)答，以保持機(jī)體內(nèi)環(huán)境動(dòng)態(tài)穩(wěn)定、維持機(jī)體健康。免疫系統(tǒng)