入侵檢測技術(shù)畢業(yè)論文

1、<p><b>　　目 錄</b></p><p>　　1引言…………………………………………………………………2</p><p>　　1.1入侵檢測技術(shù)的提出 ……………………………………………2</p><p>　　1.2入侵檢測技術(shù)技術(shù)研究史 ………………………………………3</p><p>

2、　　1.2.1 以Denning模型為代表的IDS早期技術(shù) …………………………3</p><p>　　1.2.2中期：統(tǒng)計學理論和專家系統(tǒng)相結(jié)合 …………………………4</p><p>　　1.2.3基于網(wǎng)絡的NIDS是目前的主流技術(shù) ………………………5</p><p>　　1.3本課題研究的途徑與意義 …………………………………11</p

3、><p>　　2入侵檢測技術(shù)原理 ……………………………………………12</p><p>　　2.1 入侵檢測技術(shù)第一步——信息收集 …………………………12</p><p>　　2.1.1 網(wǎng)絡入侵檢測技術(shù)模塊方式 ………………………………13</p><p>　　2.1.2 主機入侵檢測技術(shù)模塊方式 ……………………………

4、13</p><p>　　2.1.3信息來源的四個方面 …………………………………………13</p><p>　　2.2 入侵檢測技術(shù)的第二步——信號分析 ……………………………15</p><p>　　2.2.1模式匹配 ……………………………………………………16</p><p>　　2.2.2統(tǒng)計分析 ……………………………………

5、………………16</p><p>　　2.2.3完整性分析 …………………………………………………16</p><p>　　3入侵檢測技術(shù)功能概要 …………………………………………18</p><p>　　4 入侵檢測技術(shù)技術(shù)分析 …………………………………………19</p><p>　　4.1入侵分析按其檢測技術(shù)規(guī)則分類 ……………

6、……………………19</p><p>　　4.1.1基于特征的檢測技術(shù)規(guī)則 ……………………………………19</p><p>　　4.1.2基于統(tǒng)計的檢測技術(shù)規(guī)則……………………………………20</p><p>　　4.2 一些新的分析技術(shù) ……………………………………………20</p><p>　　4.2.1 統(tǒng)計學方法 ……………………

7、……………………………20</p><p>　　4.2.2 入侵檢測技術(shù)的軟計算方法 …………………………………21</p><p>　　4.2.3 基于專家系統(tǒng)的入侵檢測技術(shù)方法 …………………………21</p><p>　　5 入侵檢測技術(shù)技術(shù)發(fā)展方向 ……………………………………22</p><p>　　5.1分布式入侵檢測技術(shù)與通用

8、入侵檢測技術(shù)架構(gòu)……………………22</p><p>　　5.2應用層入侵檢測技術(shù) …………………………………………22</p><p>　　5.3智能的入侵檢測技術(shù) …………………………………………22</p><p>　　5.4入侵檢測技術(shù)的評測方法 ……………………………………22</p><p>　　5.5網(wǎng)絡安全技術(shù)相結(jié)合

9、…………………………………………22</p><p>　　6 建立數(shù)據(jù)分析模型 ……………………………………………23</p><p>　　6.1測試數(shù)據(jù)的結(jié)構(gòu) ………………………………………………22</p><p>　　6.2數(shù)據(jù)中出現(xiàn)的攻擊類型…………………………………………25</p><p>　　6.2.1攻擊（Attacks）

10、 ………………………………………………25</p><p>　　6.2.2發(fā)現(xiàn)訓練集中的攻擊類型 ……………………………………26</p><p>　　6.2.3其他主流的攻擊類型 …………………………………………28</p><p>　　7 聚類算法在網(wǎng)絡入侵檢測技術(shù)中的作用 …………………………29</p><p>　　7.1模式識別的

11、概念 ………………………………………………29</p><p>　　7.2模式分類 ……………………………………………29</p><p>　　7.3基于異常的入侵檢測技術(shù) ……………………………………32</p><p>　　7.4聚類算法簡介 …………………………………………………32</p><p>　　7.4.1 K

12、-means算法 ………………………………………………32</p><p>　　7.4.2迭代最優(yōu)化算法………………………………………………32</p><p>　　7.4.3我的構(gòu)想 …………………………………………………32</p><p>　　結(jié)論…………………………………………………………………35</p><p>　　致謝…

13、………………………………………………………………35</p><p>　　參考文獻 ……………………………………………………………35</p><p><b>　　1引言</b></p><p>　　1.1入侵檢測技術(shù)的提出</p><p>　　隨著Internet高速發(fā)展，個人、企業(yè)以及政府部門越來越多地依靠網(wǎng)絡傳遞信

14、息, 然而網(wǎng)絡的開放性與共享性容易使它受到外界的攻擊與破壞,信息的安全保密性受到嚴重影響。網(wǎng)絡安全問題已成為世界各國政府、企業(yè)及廣大網(wǎng)絡用戶最關(guān)心的問題之一。</p><p>　　在計算機上處理業(yè)務已由基于單機的數(shù)學運算、文件處理，基于簡單連結(jié)的內(nèi)部網(wǎng)絡的內(nèi)部業(yè)務處理、辦公自動化等發(fā)展到基于企業(yè)復雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級計算機處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務處理。在信息處理能力提高的同時，系

15、統(tǒng)的連結(jié)能力也在不斷的提高。但在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡連接的安全問題也日益突出，黑客攻擊日益猖獗，防范問題日趨嚴峻：● 具Warroon Research的調(diào)查，1997年世界排名前一千的公司幾乎都曾被黑客闖入。● 據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡安全造成的損失高達75億美元?！?Ernst和Young報告，由于信息安全被竊或濫用，幾乎80%的大型企業(yè)遭受損失● 在最近一次黑客大規(guī)模的攻擊行動中，雅虎網(wǎng)站的網(wǎng)

16、絡停止運行3小時，這令它損失了幾百萬美金的交易。而據(jù)統(tǒng)計在這整個行動中美國經(jīng)濟共損失了十多億美金。由于業(yè)界人心惶惶，亞馬遜(Amazon.com)、AOL、雅虎(Yahoo!)、eBay的股價均告下挫，以科技股為主的納斯達克指數(shù)(Nasdaq)打破過去連續(xù)三天創(chuàng)下新高的升勢，下挫了六十三點，杜瓊斯工業(yè)平均指數(shù)周三收市時也跌</p><p>　　目前我國網(wǎng)站所受到黑客的攻擊，還不能與美國的情況相提并論，因為我們在用

17、戶數(shù)、用戶規(guī)模上還都處在很初級的階段，但以下事實也不能不讓我們深思： 1993年底，中科院高能所就發(fā)現(xiàn)有"黑客"侵入現(xiàn)象，某用戶的權(quán)限被升級為超級權(quán)限。當系統(tǒng)管理員跟蹤時，被其報復。1994年，美國一位14歲的小孩通過互聯(lián)網(wǎng)闖入中科院網(wǎng)絡中心和清華的主機，并向我方系統(tǒng)管理員提出警告。</p><p>　　1996年，高能所再次遭到"黑客"入侵，私自在高能所主機上建立了

18、幾十個帳戶，經(jīng)追蹤發(fā)現(xiàn)是國內(nèi)某撥號上網(wǎng)的用戶。同期，國內(nèi)某ISP發(fā)現(xiàn)"黑客"侵入其主服務器并刪改其帳號管理文件，造成數(shù)百人無法正常使用。 進入1998年，黑客入侵活動日益猖獗，國內(nèi)各大網(wǎng)絡幾乎都不同程度地遭到黑客的攻擊：　　7月，江西169網(wǎng)被黑客攻擊，造成該網(wǎng)3天內(nèi)中斷網(wǎng)絡運行2次達30個小時，工程驗收推遲20天；同期，上海某證券系統(tǒng)被黑客入侵；　　8月，印尼事件激起中國黑客集體入侵印尼網(wǎng)點，造成印尼多

19、個網(wǎng)站癱瘓，但與此同時，中國的部分站點遭到印尼黑客的報復；同期，西安某銀行系統(tǒng)被黑客入侵后，提走80.6萬元現(xiàn)金；　　9月，揚州某銀行被黑客攻擊，利用虛存帳號提走26萬元現(xiàn)金。　　每年全球因計算機網(wǎng)絡的安全系統(tǒng)被破壞而造成的經(jīng)濟損失達數(shù)百億美元。進入新世紀之后，上述損失將達2000億美元以上。 </p><p>　　看到這些令人震驚的事件，不禁讓人們發(fā)出疑問："網(wǎng)絡還安全嗎？"</p

20、><p>　　試圖破壞信息系統(tǒng)的完整性、機密性、可信性的任何網(wǎng)絡活動都稱為網(wǎng)絡入侵。防范網(wǎng)絡入侵最常用的方法就是防火墻。防火墻（Firewall）是設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合,它屬于網(wǎng)絡層安全技術(shù),其作用是為了保護與互聯(lián)網(wǎng)相連的企業(yè)內(nèi)部網(wǎng)絡或單獨節(jié)點。它具有簡單實用的特點，并且透明度高，可以在不修改原有網(wǎng)絡應用系統(tǒng)的情況下達到一定的安全要求。 但

21、是，防火墻只是一種被動防御性的網(wǎng)絡安全工具，僅僅使用防火墻是不夠的。首先，入侵者可以找到防火墻的漏洞，繞過防火墻進行攻擊。其次，防火墻對來自內(nèi)部的攻擊無能為力。它所提供的服務方式是要么都拒絕，要么都通過,不能檢查出經(jīng)過他的合法流量中是否包含著惡意的入侵代碼，這是遠遠不能滿足用戶復雜的應用要求的?！?lt;/p><p>　　對于以上提到的問題，一個更為有效的解決途徑就是入侵檢測技術(shù)。在入侵檢測技術(shù)之前，大量的安全機制都

22、是根據(jù)從主觀的角度設計的,他們沒有根據(jù)網(wǎng)絡攻擊的具體行為來決定安全對策，因此，它們對入侵行為的反應非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡行為的變化來及時地調(diào)整系統(tǒng)的安全策略。而入侵檢測技術(shù)正是根據(jù)網(wǎng)絡攻擊行為而進行設計的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學習和分析入侵手段，及時地調(diào)整系統(tǒng)策略以加強系統(tǒng)的安全性。　</p><p>　　1.2入侵檢測技術(shù)技術(shù)研究史<

23、/p><p>　　審計是最早引入計算機安全領(lǐng)域的概念，像存取文件、變更他們的內(nèi)容或分類等的活動都記錄在審計數(shù)據(jù)中，安全管理員、系統(tǒng)操作員和維護人員和普通用戶一樣都要經(jīng)過行為審核。安德森提出要建立一個安全監(jiān)督系統(tǒng)，保護那些系統(tǒng)敏感信息。他還提出應該檢查什么、如何分析他、以及如何保護監(jiān)督系統(tǒng)免受攻擊，這成了今天IDS研究的核心內(nèi)容。 70年代后期，美國政府，包括DoD（國防部）和NIST（國家標準和技術(shù)協(xié)會）支持

24、的計算機安全研究2開始了，安全審計也被考慮在這些研究中。1980年，安德森提出了另外一項報告，這次是針對一個空軍客戶，后者使用大型計算機處理大量的機密數(shù)據(jù)。報告中，安德森提出了減少分析數(shù)據(jù)量的方法，以及比較統(tǒng)計數(shù)據(jù)和總的觀察——也就是統(tǒng)計行為，以發(fā)現(xiàn)反常的行為。當一個安全違例發(fā)生或（統(tǒng)計上）反常的事件出現(xiàn)時，就會提醒安全官員。安全官員還能利用詳細的觀測資料做后續(xù)的評估。安德森的報告為SRI（Stanford Research Insti

25、tute）和TRW（美國著名的數(shù)據(jù)安全公司）的早期工作提供了藍圖。在1980年代中期，入侵檢測技術(shù)方面的許多工作都被他的思路深深影響。1.2.1 以Denn</p><p>　　頓寧的模型假設：入侵行為明顯的區(qū)別于正常的活動，入侵者使用系統(tǒng)的模式不同于正常用戶的使用模式，通過監(jiān)控系統(tǒng)的跟蹤記錄，可以識別入侵者異常使用系統(tǒng)的模式，從而檢測技術(shù)出入侵者違反系統(tǒng)安全性的情況。論文中的一些提法看起來很吸引人，但卻并沒有

26、多少有力的證據(jù)，有些想當然。　　 頓寧的模型中有6個主要構(gòu)件：主體、對象、審計數(shù)據(jù)、輪廓特征（或可稱為“范型”profiles）、異常記錄和行為規(guī)則。范型（profiles）表示主體的行為特色，也是模型檢測技術(shù)方面的關(guān)鍵。行為規(guī)則描述系統(tǒng)驗證一定條件后抽取的行為，他們能“……更新范型，檢測技術(shù)異常行為，能把異常和可能的入侵關(guān)聯(lián)起來并提出報告”。審計紀錄由一個行為觸發(fā)，而且記錄主體嘗試的行為、行為本身、行動對準的目標、任何可能導致例外

27、的情況以及行為消耗的資源和獨特的時間戳標記。審計記錄會和范型進行比較（使用適當?shù)囊?guī)則），那些符合異常條件的事件將被識別出來。這個模型獨立于特定的系統(tǒng)平臺、應用環(huán)境、系統(tǒng)弱點以及入侵的類型，也不需要額外的關(guān)于安全機制、系統(tǒng)脆弱性或漏洞攻擊方面的知識，他為構(gòu)建入侵監(jiān)測系統(tǒng)提供了一個通用的框架。1.2.2中期：統(tǒng)計學理論和專</p><p>　　1994年，Mark Crosbie和Gene Spafford建議使

28、用自治代理（Autonomous Agents）以便提高IDS的可伸縮性、可維護性、效率和容錯性，這個思想跟上了計算機科學中其他領(lǐng)域的研究的潮流，比如說軟件代理。另一個解決當時多數(shù)入侵檢測技術(shù)系統(tǒng)伸縮性不足的研究成果是1996年提出的GRIDS(Graph-based Intrusion Detection System）系統(tǒng)，該系統(tǒng)對大規(guī)模自動或協(xié)同攻擊的檢測技術(shù)很有效，這種跨越多個管理區(qū)域的自動協(xié)同攻擊顯然是入侵行為發(fā)展的方向。

29、　　1997年，CISCO要求WheelGroup公司將入侵檢測技術(shù)與他的路由器結(jié)合。同年，ISS成功開發(fā)了RealSecure，他是在Windows NT下運行的分布式網(wǎng)絡入侵檢測技術(shù)系統(tǒng)，被人們廣泛使用。1996年的第一次開發(fā)是傳統(tǒng)的基于探測器的NIDS（網(wǎng)絡入侵檢測技術(shù)系統(tǒng)，監(jiān)視整個網(wǎng)絡段），在Windows和Solaris 2．6上運行。1998年后期，RealSecure發(fā)展成為一個混合式的入侵檢測技術(shù)系統(tǒng)。他對入侵行為具有廣

30、泛的反應能力包括斷開連接、發(fā)送SNMP信息、Ema</p><p>　　本課題研究的途徑與意義</p><p>　　聚類是模式識別研究中非常有用的一類技術(shù)。用聚類算法的異常檢測技術(shù)就是一種無監(jiān)督的異常檢測技術(shù)技術(shù)，這種方法可以在未標記的數(shù)據(jù)上進行，它將相似的數(shù)據(jù)劃分到同一個聚類中，而將不相似的數(shù)據(jù)劃分到不同的聚類，并為這些聚類加以標記表明它們是正常還是異常，然后將網(wǎng)絡數(shù)據(jù)劃分到各個聚類中，

31、根據(jù)聚類的標記來判斷網(wǎng)絡數(shù)據(jù)是否異常。</p><p>　　本課題是網(wǎng)絡入侵檢測技術(shù)的研究，主要介紹模式識別技術(shù)中兩種聚類算法，K-means算法和迭代最優(yōu)化算法，并闡述此算法在入侵檢測技術(shù)技術(shù)中的應用原理，接著分析這兩種算法具體應用時帶來的利弊，最后針對算法的優(yōu)缺點提出自己改進的算法，并對此算法進行分析，可以說這種算法是有監(jiān)督和無監(jiān)督方法的結(jié)合，是K-means算法和迭代最優(yōu)化算法的折中，是一種較理想的算法。&

32、lt;/p><p>　　通過研究本課題，可以了解入侵檢測技術(shù)技術(shù)的發(fā)展歷程，及國內(nèi)外研究水平的差距，熟悉各種入侵檢測技術(shù)原理方法的異同，以便今后對某種檢測技術(shù)方法作進一步的改進時能夠迅速切入要點；在對入侵檢測技術(shù)技術(shù)研究的同時，認真學習了模式識別這門課程，這是一門交叉學科，模式識別已經(jīng)在衛(wèi)星航空圖片解釋、工業(yè)產(chǎn)品檢測技術(shù)、字符識別、語音識別、指紋識別、醫(yī)學圖像分析等許多方面得到了成功的應用，但所有這些應用都是和問題的

33、性質(zhì)密不可分的，學習過程中接觸了許多新理論和新方法，其中包括數(shù)據(jù)挖掘，統(tǒng)計學理論和支持向量機等，極大的拓展了自己的知識面，這所帶來的收獲已經(jīng)不僅僅停留在對入侵檢測技術(shù)技術(shù)研究這個層面上。</p><p><b>　　入侵檢測技術(shù)原理</b></p><p>　　入侵檢測技術(shù)（Intrusion Detection）的定義為：識別針對計算機或網(wǎng)絡資源的惡意企圖和行為，并

34、對此做出反應的過程。IDS則是完成如上功能的獨立系統(tǒng)。IDS能夠檢測技術(shù)未授權(quán)對象（人或程序）針對系統(tǒng)的入侵企圖或行為(Intrusion)，同時監(jiān)控授權(quán)對象對系統(tǒng)資源的非法操作(Misuse)。</p><p>　　入侵檢測技術(shù)作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。入侵檢測技術(shù)系統(tǒng)能很好的彌補防火墻的不足，從某種意義上說是防火墻的補充

35、，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測技術(shù)被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務來實現(xiàn)：　　　◆ 監(jiān)視、分析用戶及系統(tǒng)活

36、動；　　　◆ 系統(tǒng)構(gòu)造和弱點的審計；　　　◆ 識別反映已知進攻的活動模式并向相關(guān)人士報警；　　　◆ 異常行為模式的統(tǒng)計分析；　　　◆ 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；　　　◆ 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為?！　σ粋€成功的入侵檢測技術(shù)系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡系統(tǒng)（包括程序、文件和硬件設備等）的任何變更，還能</p><p>　　入侵檢測技術(shù)第一步——信息收集&

37、lt;/p><p>　　在現(xiàn)實生活中，警察要證明罪犯有罪，必須先收集證據(jù)。只有掌握了充足的證據(jù)，才能順利破案。IDS也是一樣。一般來說，IDS通過2種方式獲得信息：</p><p>　　2.1.1 網(wǎng)絡入侵檢測技術(shù)模塊方式</p><p>　　當一篇文章從網(wǎng)絡的一端傳向另一端時，是被封裝成一個個小包(叫做報文)來傳送的。每個包包括了文章中的一段文字，在到達另一端之后，這

38、些包再被組裝起來。因此，我們可以通過檢測技術(shù)網(wǎng)絡中的報文來達到獲得信息的目的。一般來說，檢測技術(shù)方式只能夠檢測技術(shù)到本機的報文，為了監(jiān)視其他機器的報文，需要把網(wǎng)卡設置為混雜模式。通過在網(wǎng)絡中放置一塊入侵檢測技術(shù)模塊，我們可以監(jiān)視受保護機器的數(shù)據(jù)報文。在受保護的機器將要受到攻擊之前，入侵檢測技術(shù)模塊可最先發(fā)現(xiàn)它。 </p><p>　　實際應用中網(wǎng)絡結(jié)構(gòu)千差萬別，用戶只有根據(jù)具體情況分別設計實施方案，才能讓網(wǎng)絡入侵

39、檢測技術(shù)模塊檢測技術(shù)到需要保護機器的狀況。同時，網(wǎng)絡入侵檢測技術(shù)模塊得到的只是網(wǎng)絡報文，獲得的信息沒有主機入侵檢測技術(shù)模塊全面，所檢測技術(shù)的結(jié)果也沒有主機入侵檢測技術(shù)模塊準確。網(wǎng)絡入侵檢測技術(shù)模塊方式的優(yōu)點是方便，不增加受保護機器的負擔。在網(wǎng)段中只要安裝一臺網(wǎng)絡入侵檢測技術(shù)模塊即可。</p><p>　　2.1.2 主機入侵檢測技術(shù)模塊方式</p><p>　　另外一種獲取信息的方式是主

40、機入侵檢測技術(shù)模塊方式。它是在受保護的機器上安裝了主機入侵檢測技術(shù)模塊，專門收集受保護機器上的信息。其信息來源可以是系統(tǒng)日志和特定應用程序日志，也可以是捕獲特定的進程和系統(tǒng)調(diào)用等等。 </p><p>　　采用主機入侵檢測技術(shù)模塊方式的缺點是依賴特定的系統(tǒng)平臺。用戶必須針對不同的操作系統(tǒng)開發(fā)相應的模塊。由于一個網(wǎng)絡中有多種不同的操作系統(tǒng)，很難保證每個操作系統(tǒng)都有對應的主機入侵檢測技術(shù)模塊，而一個主機入侵檢測技術(shù)模

41、塊只能保護本機，所以在使用上有很大的局限性。此外，它要求在每個機器上安裝，如果裝機數(shù)量大時，對用戶來說，是一筆很大的投入。不過，這種模式不受網(wǎng)絡結(jié)構(gòu)的限制，在使用中還能夠利用操作系統(tǒng)的資源，以更精確地判斷出入侵行為。 </p><p>　　在具體應用中，以上2種獲得信息的方式是互為補充的。 </p><p>　　2.1.3信息來源的四個方面</p><p>　　就信

42、息收集來說，內(nèi)容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為。而且，需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息，這除了盡可能擴大檢測技術(shù)范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。 當然，入侵檢測技術(shù)很大程度上依賴于收集信息的可靠性和正確性，因此，很有必要只利用當前的優(yōu)秀軟件來報告這些信息。因為黑客經(jīng)常替換軟件以搞混和移

43、走這些信息，例如替換被程序調(diào)用的子程序、庫和其它工具。黑客對系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來跟正常的一樣，而實際上不是。例如，unix系統(tǒng)的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同于指定文件的文件（黑客隱藏了初試文件并用另一版本代替）。這需要保證用來檢測技術(shù)網(wǎng)絡系統(tǒng)的軟件的完整性，特別是入侵檢測技術(shù)系統(tǒng)軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。</p><p

44、>　　入侵檢測技術(shù)利用的信息一般來自以下四個方面：</p><p>　　1）系統(tǒng)和網(wǎng)絡日志文件</p><p>　　黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡日志文件信息是檢測技術(shù)入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應

45、的應急響應程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。2）目錄和文件中的不期望的改變網(wǎng)絡環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標。目錄和文件

46、中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。3）程序執(zhí)行中的不期望行為網(wǎng)絡系統(tǒng)上</p><p>　　當收集到證據(jù)后，用戶如何判斷它是否就是入侵呢？一般來說，IDS有一個知識庫，知識庫記錄了特定的安全策略。

47、IDS獲得信息后，與知識庫中的安全策略進行比較，進而發(fā)現(xiàn)違反規(guī)定的安全策略的行為。</p><p>　　定義知識庫有很多種方式，最普遍的做法是檢測技術(shù)報文中是否含有攻擊特征。知識庫給出何種報文是攻擊的定義。這種方式的實現(xiàn)由簡單到復雜分了幾個層次，主要差別在于檢測技術(shù)的準確性和效率上。簡單的實現(xiàn)方法是把攻擊特征和報文的數(shù)據(jù)進行了字符串比較，發(fā)現(xiàn)匹配即報警。這種做法使準確性和工作效率大為降低。為此，開發(fā)人員還有很多工

48、作要做，如進行校驗和檢查，進行IP碎片重組或TCP重組，實現(xiàn)協(xié)議解碼等等。 </p><p>　　構(gòu)建知識庫的多種方法只是手段，目的是準確定義入侵行為，這是IDS的核心，也是IDS和普通的網(wǎng)上行為管理軟件的差別所在。雖然它們都能監(jiān)視網(wǎng)絡行為，但是IDS增加了記錄攻擊特征的知識庫，所以比網(wǎng)上行為管理軟件提高了一個層次。而定義攻擊特征是一項專業(yè)性很強的工作，需要具有豐富安全背景的專家從眾多的攻擊行為中提煉出通用的攻擊

49、特征，攻擊特征的準確性直接決定了IDS檢測技術(shù)的準確性。 對上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進行分析：模式匹配，統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測技術(shù)，而完整性分析則用于事后分析。</p><p><b>　　2.2.1模式匹配</b></p><p>　　模式匹配就是將收集到的信息與已知的網(wǎng)

50、絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化）。一般來講，一種進攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該方法的一大優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負擔，且技術(shù)已相當成熟。它與病毒防火墻采用的方法一樣，檢測技術(shù)準確率和效率都相當高。但是，該方法存在的弱點是需要

51、不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測技術(shù)到從未出現(xiàn)過的黑客攻擊手段。2.2.2統(tǒng)計分析 統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值將被用來與網(wǎng)絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。例如，統(tǒng)計分析可能標識一個不正常行為，因為它發(fā)現(xiàn)一個在晚八點至早六點不登錄的帳戶卻在凌晨

52、兩點試圖登錄。其優(yōu)點是可檢測技術(shù)到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，</p><p>　　3入侵檢測技術(shù)功能概要  ·監(jiān)督并分析用戶和系統(tǒng)的活動  ·檢查系統(tǒng)配置和漏洞  ·檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性  ·識別代表已知攻擊的活動模式  

53、3;對反常行為模式的統(tǒng)計分析  ·對操作系統(tǒng)的校驗管理，判斷是否有破壞安全的用戶活動。  ·提高了系統(tǒng)的監(jiān)察能力  ·跟蹤用戶從進入到退出的所有活動或影響  ·識別并報告數(shù)據(jù)文件的改動  ·發(fā)現(xiàn)系統(tǒng)配置的錯誤，必要時予以更正  ·識別特定類型的攻擊

54、，并向相應人員報警，以作出防御反應  ·可使系統(tǒng)管理人員最新的版本升級添加到程序中  ·允許非專家人員從事系統(tǒng)安全工作  ·為信息安全策略的創(chuàng)建提供指導    入侵檢測技術(shù)作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。從網(wǎng)絡安全立體縱深、多層次

55、防御的角度出發(fā)，入侵檢測技術(shù)理應受到人們的高度重視，這從國外入侵檢測技術(shù)產(chǎn)品市場的蓬勃發(fā)展就可以看出。在國內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務越來越多，迫切需要具有自主版權(quán)的入侵檢測技術(shù)產(chǎn)品。但現(xiàn)狀是入侵檢測技術(shù)僅僅停留在研究和實驗樣品（缺乏升級和服務）</p><p>　　4 入侵檢測技術(shù)技術(shù)分析 　　入侵分析的任務就是在提取到的龐大的數(shù)據(jù)中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測技術(shù)規(guī)則進行比較

56、，從而發(fā)現(xiàn)入侵行為。一方面入侵檢測技術(shù)系統(tǒng)需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù)，而另一方面由于入侵行為的千變?nèi)f化而導致判定入侵的規(guī)則越來越復雜，為了保證入侵檢測技術(shù)的效率和滿足實時性的要求，入侵分析必須在系統(tǒng)的性能和檢測技術(shù)能力之間進行權(quán)衡，合理地設計分析策略，并且可能要犧牲一部分檢測技術(shù)能力來保證系統(tǒng)可靠、穩(wěn)定地運行并具有較快的響應速度?！　》治霾呗允侨肭址治龅暮诵?，系統(tǒng)檢測技術(shù)能力很大程度上取決于分析策略。在實現(xiàn)上，分析策略

57、通常定義為一些完全獨立的檢測技術(shù)規(guī)則。基于網(wǎng)絡的入侵檢測技術(shù)系統(tǒng)通常使用報文的模式匹配或模式匹配序列來定義規(guī)則，檢測技術(shù)時將監(jiān)聽到的報文與模式匹配序列進行比較，根據(jù)比較的結(jié)果來判斷是否有非正常的網(wǎng)絡行為。這樣以來，一個入侵行為能不能被檢測技術(shù)出來主要就看該入侵行為的過程或其關(guān)鍵特征能不能映射到基于網(wǎng)絡報文的匹配模式序列上去。有的入侵行為很容易映射，如ARP欺騙，但有的入侵行為是很難映射的，如從網(wǎng)絡上下載病毒。對于</p>

58、<p>　　4.1入侵分析按其檢測技術(shù)規(guī)則分類</p><p>　　4.1.1基于特征的檢測技術(shù)規(guī)則</p><p>　　這種分析規(guī)則認為入侵行為是可以用特征代碼來標識的。比如說，對于嘗試帳號的入侵，雖然合法用戶登錄和入侵者嘗試的操作過程是一樣的，但返回結(jié)果是不同的，入侵者返回的是嘗試失敗的報文，因此，只要提取嘗試失敗的報文中的關(guān)鍵字段或位組作為特征代碼，將它定義為檢測技術(shù)規(guī)則，

59、就可以用來檢測技術(shù)該類入侵行為。這樣，分析策略就由若干條檢測技術(shù)規(guī)則構(gòu)成，每條檢測技術(shù)規(guī)則就是一個特征代碼，通過將數(shù)據(jù)與特征代碼比較的方式來發(fā)現(xiàn)入侵。</p><p>　　4.1.2基于統(tǒng)計的檢測技術(shù)規(guī)則</p><p>　　這種分析規(guī)則認為入侵行為應該符合統(tǒng)計規(guī)律。例如，系統(tǒng)可以認為一次密碼嘗試失敗并不算是入侵行為，因為的確可能是合法用戶輸入失誤，但是如果在一分鐘內(nèi)有8次以上同樣的操作就

60、不可能完全是輸入失誤了，而可以認定是入侵行為。因此，組成分析策略的檢測技術(shù)規(guī)則就是表示行為頻度的閥值，通過檢測技術(shù)出行為并統(tǒng)計其數(shù)量和頻度就可以發(fā)現(xiàn)入侵?！　∵@兩種檢測技術(shù)規(guī)則各有其適用范圍，不同的入侵行為可能適應于不同的規(guī)則，但就系統(tǒng)實現(xiàn)而言，由于基于統(tǒng)計檢測技術(shù)規(guī)則的入侵分析需要保存更多的檢測技術(shù)狀態(tài)和上下關(guān)系而需要消耗更多的系統(tǒng)處理能力和資源，實現(xiàn)難度相對較大。</p><p>　　4.2 一些新的分析技

61、術(shù)</p><p>　　近幾年，為了改進入侵檢測技術(shù)的分析技術(shù)，許多研究人員從各個方向入手，發(fā)展了一些新的分析方法，對于提高入侵檢測技術(shù)系統(tǒng)的正確性、可適應性等起到了一定的推動作用。下面是幾個不同的方向。4.2.1 統(tǒng)計學方法　　 統(tǒng)計模型常用于對異常行為的檢測技術(shù),在統(tǒng)計模型中常用的測量參數(shù)包括審計事件的數(shù)量、間隔時間、資源消耗情況等。目前提出了可用于入侵檢測技術(shù)的5種統(tǒng)計模型包括：　　(1) 操作模型:

62、該模型假設異?？赏ㄟ^測量結(jié)果與一些固定指標相比較得到,固定指標可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到,舉例來說,在短時間內(nèi)的多次失敗的登錄很可能是口令嘗試攻擊?！　?2) 方差:計算參數(shù)的方差,設定其置信區(qū)間,當測量值超過置信區(qū)間的范圍時表明有可能是異常。　　(3) 多元模型:操作模型的擴展,通過同時分析多個參數(shù)實現(xiàn)檢測技術(shù)?！　?4) 馬爾柯夫過程模型:將每種類型的事件定義為系統(tǒng)狀態(tài),用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化,若對應于發(fā)

63、生事件的狀態(tài)矩陣中轉(zhuǎn)移概率較小,則該事件可能是異常事件。　　(5) 時間序列分析:將事件計數(shù)與資源耗用根據(jù)時間排成序列,如果一個新事件在該時間發(fā)生的概率較低,則該事件</p><p>　　4.3.3 基于專家系統(tǒng)的入侵檢測技術(shù)方法　 　基于專家系統(tǒng)的入侵檢測技術(shù)方法與運用統(tǒng)計方法與神經(jīng)網(wǎng)絡對入侵進行檢測技術(shù)的方法不同,用專家系統(tǒng)對入侵進行檢測技術(shù),經(jīng)常是針對有特征的入侵行為?！　?所謂的規(guī)則,即是知識。不同

64、的系統(tǒng)與設置具有不同的規(guī)則,且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實時性。特征入侵的特征抽取與表達,是入侵檢測技術(shù)專家系統(tǒng)的關(guān)鍵。將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)(也可以是復合結(jié)構(gòu)),if部分為入侵特征,then部分是系統(tǒng)防范措施?！　?運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性,建立一個完備的知識庫對于一個大型網(wǎng)絡系統(tǒng)往往是不可能的,且

65、如何根據(jù)審計記錄中的事件,提取狀態(tài)行為與語言環(huán)境也是較困難的。例如,ISS公司為了建立比較完備的專家系統(tǒng),一方面與地下組織建立良好關(guān)系,并成立由許多工作人員與專家組成的X-Force組織來進行這一工作?！　?由于專家系統(tǒng)的不可移植性與規(guī)則的不完備性。現(xiàn)已不宜單獨用于入侵檢測技術(shù),或單獨形成商品軟件。較適用的方法是將專家系統(tǒng)與采用軟</p><p>　　5 入侵檢測技術(shù)技術(shù)發(fā)展方向 </p><

66、;p>　　可以看到,在入侵檢測技術(shù)技術(shù)發(fā)展的同時,入侵技術(shù)也在更新,一些地下組織已經(jīng)將如何繞過IDS或攻擊IDS系統(tǒng)作為研究重點。高速網(wǎng)絡,尤其是交換技術(shù)的發(fā)展以及通過加密信道的數(shù)據(jù)通信,使得通過共享網(wǎng)段偵聽的網(wǎng)絡數(shù)據(jù)采集方法顯得不足,而大量的通信量對數(shù)據(jù)分析也提出了新的要求。隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟的影響越來越重要,信息戰(zhàn)已逐步被各個國家重視,信息戰(zhàn)中的主要攻擊"武器"之一就是網(wǎng)絡的入侵技術(shù)

67、,信息戰(zhàn)的防御主要包括"保護"、"檢測技術(shù)"與"響應",入侵檢測技術(shù)則是其中"檢測技術(shù)"與"響應"環(huán)節(jié)不可缺少的部分。近年對入侵檢測技術(shù)技術(shù)有幾個主要發(fā)展方向:5.1分布式入侵檢測技術(shù)與通用入侵檢測技術(shù)架構(gòu)　　傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡架構(gòu),對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡的監(jiān)測明顯不足。同時不同的IDS系統(tǒng)之間不能協(xié)同工作能力,

68、為解決這一問題,需要分布式入侵檢測技術(shù)技術(shù)與通用入侵檢測技術(shù)架構(gòu)。CIDF以構(gòu)建通用的IDS體系結(jié)構(gòu)與通信系統(tǒng)為目標,GrIDS跟蹤與分析分布系統(tǒng)入侵,EMER-ALD實現(xiàn)在大規(guī)模的網(wǎng)絡與復雜環(huán)境中的入侵檢測技術(shù)。5.2應用層入侵檢測技術(shù)　　許多入侵的</p><p>　　6 建立數(shù)據(jù)分析模型 </p><p>　　在前面的文章介紹入侵檢測技術(shù)系統(tǒng)時，我們了解到在進

69、行入侵檢測技術(shù)的研究中，信息收集是第一步要做的工作，入侵檢測技術(shù)工作的順利很大程度上依賴于收集信息的可靠性和正確性。在做本課題研究時，我們研究和測試都是使用的KDD CUP99數(shù)據(jù)包。它是非常流行和廣泛使用的數(shù)據(jù)包，用于研究和測試不同的數(shù)據(jù)組合。此數(shù)據(jù)包已經(jīng)經(jīng)過預處理，使我們較容易進行分析。</p><p>　　6.1測試數(shù)據(jù)的結(jié)構(gòu)</p><p>　　我們將從其測試數(shù)據(jù)集中抽出一條數(shù)據(jù)信

70、息進行分析。</p><p>　　0，tcp，http，RSTR，54540，7300，0，0，0，1，0，1，0，0，0，0，0，0，0，0，0，0，4，5，0，0，0.25，0.4，1，0，0.4，170，170，1，0，0.01，0，0，0，0.06，0.06，back.</p><p>　　此條數(shù)據(jù)記錄共有四十一個有效字段，下面我將逐一介紹。</p><p>

71、;　　第1-9字段為獨立TCP連接的基本特征</p><p>　　第10-22字段為連接中所包含的主要特征</p><p>　　第23-31字段為在兩秒內(nèi)計算傳輸向量</p><p>　　第32-41個字段為目標主機的傳輸特征</p><p>　　6.2數(shù)據(jù)中出現(xiàn)的攻擊類型</p><p>　　我們根據(jù)上述數(shù)據(jù)的結(jié)構(gòu)，

72、分析了KDD CUP99數(shù)據(jù)包的10%test測試集和10%training 訓練集。分離出數(shù)據(jù)中所含有的非正常數(shù)據(jù)和攻擊類型。</p><p>　　6.2.1攻擊（Attacks）</p><p>　　Attacks可以理解為試圖滲透系統(tǒng)或繞過系統(tǒng)的安全策略，以獲取信息、修改信息以及破壞目標網(wǎng)絡或系統(tǒng)功能的行為。我們平時所說的黑客。本指精通計算機及編程技術(shù)的高手，現(xiàn)在代指攻擊和非法竊取計

73、算機及網(wǎng)絡資源的電腦高手。我們現(xiàn)在所進行的入侵檢測技術(shù)技術(shù)就是反攻擊（Attacks）技術(shù)，它的核心問題是如何截獲所有的網(wǎng)絡信息。目前主要是通過兩種途徑來獲取信息，一種是通過網(wǎng)絡偵聽的途徑（如Sniffer，Vpacket等程序）來獲取所有的網(wǎng)絡信息（數(shù)據(jù)包信息，網(wǎng)絡流量信息、網(wǎng)絡狀態(tài)信息、網(wǎng)絡管理信息等），這既是黑客進行攻擊的必然途徑，也是進行反攻擊的必要途徑；另一種是通過對操作系統(tǒng)和應用程序的系統(tǒng)日志進行分析，來發(fā)現(xiàn)入侵行為和系統(tǒng)潛

74、在的安全漏洞。</p><p>　　黑客對網(wǎng)絡的攻擊方式是多種多樣的，一般來講，攻擊總是利用“系統(tǒng)配置的缺陷”，“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種，其中對絕大部分黑客攻擊手段已經(jīng)有相應的解決方法，這些攻擊大概可以劃分為以下六類：</p><p>　　1.拒絕服務攻擊：一般情況下，拒絕服務攻擊是通過使被攻擊對象（通常是工作站或

75、重要服務器）的系統(tǒng)關(guān)鍵資源過載，從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。</p><p>　　2.非授權(quán)訪問嘗試：是攻擊者對被保護文件進行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護訪問權(quán)限所做的嘗試。</p>

76、<p>　　3.預探測攻擊：在連續(xù)的非授權(quán)訪問嘗試過程中，攻擊者為了獲得網(wǎng)絡內(nèi)部的信息及網(wǎng)絡周圍的信息，通常使用這種攻擊嘗試，典型示例包括SATAN掃描、端口掃描和IP半途掃描等。</p><p>　　4.可疑活動：是通常定義的“標準”網(wǎng)絡通信范疇之外的活動，也可以指網(wǎng)絡上不希望有的活動，如IP Unknown Protocol和Duplicate IP Ad

77、dress事件等。</p><p>　　5.協(xié)議解碼：協(xié)議解碼可用于以上任何一種非期望的方法中，網(wǎng)絡或安全管理員需要進行解碼工作，并獲得相應的結(jié)果，解碼后的協(xié)議信息可能表明期望的活動，如FTU User和Portmapper Proxy等解碼方式。</p><p>　　6.系統(tǒng)代理攻擊：這種攻擊通常是針對單個主機發(fā)起的，而并非整個網(wǎng)絡，通過RealSecure系統(tǒng)代理可

78、以對它們進行監(jiān)視。</p><p>　　6.2.2發(fā)現(xiàn)訓練集中的攻擊類型</p><p>　　我們發(fā)現(xiàn)訓練集中共有22種攻擊方式：back dos，buffer_overflow u2r，ftp_write r2l，guess_passwd r2l，imap r2l，ipsweep probe，land dos，loadmodule u2r，multihop r2l，neptune dos

79、，nmap probe，perl u2r，phf r2l，pod dos，portsweep probe，rootkit u2r，satan probe，smurf dos，spy r2l，teardrop dos，warezclient r2l，warezmaster r2l。</p><p>　　land dos基于登陸的拒絕服務攻擊。Land攻擊是一種拒絕服務攻擊。其攻擊特征是：用于Land攻擊的數(shù)據(jù)包中的

80、源地址和目標地址是相同的，因為當操作系統(tǒng)接收到這類數(shù)據(jù)包時，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。檢測技術(shù)這種攻擊的方法是判斷網(wǎng)絡數(shù)據(jù)包的源地址和目標地址是否相同。預防這種攻擊的方法是：適當配置防火墻設備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為（一般是丟棄該數(shù)據(jù)包），并對這種攻擊進行審計（記錄事件發(fā)生的時間，源主機和目標主機的MA

81、C地址和IP地址）。</p><p>　　teardrop dos淚滴攻擊。Teardrop攻擊也是一種拒絕服務攻擊。其攻擊特征是：Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法，其工作原理是向被攻擊者發(fā)送多個分片的IP包（IP分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息），某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。檢測技術(shù)這種攻擊的方法是對接收到

82、的分片數(shù)據(jù)包進行分析，計算數(shù)據(jù)包的片偏移量（Offset）是否有誤。預防這種攻擊的方法是：添加系統(tǒng)補丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對這種攻擊進行審計。</p><p>　　smurf dos是一種簡單但有效的拒絕服務攻擊技術(shù)，它利用了ICMP（Internet控制信息協(xié)議）。ICMP在Internet上用于錯誤處理和傳遞控制信息。它的功能之一是與主機聯(lián)系，通過發(fā)送一個“回音請求”（echo request）

83、信息包看看主機是否“活著”。最普通的ping程序就使用了這個功能。Smurf 是用一個偷來的帳號安裝到一個計算機上的，然后用一個偽造的源地址連續(xù)ping一個或多個計算機網(wǎng)絡，這就導致所有計算機所響應的那個計算機并不是實際發(fā)送這個信息包的那個計算機。這個偽造的源地址，實際上就是攻擊的目標，它將被極大數(shù)量的響應信息量所淹沒。對這個偽造信息包做出響應的計算機網(wǎng)絡就成為攻擊的不知情的同謀。預防這種攻擊的方法是：為了防止黑客利用你的網(wǎng)絡攻擊他人，

84、關(guān)閉外部路由器或防火墻的廣播地址特性。為防止被攻擊，在防火墻上設置規(guī)則，丟棄掉ICMP包。</p><p>　　buffer_overflow u2r緩沖區(qū)溢出攻擊由于在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數(shù)，最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當發(fā)生緩沖區(qū)溢出時，返回指針指向惡意代碼，這樣系統(tǒng)

85、的控制權(quán)就會被奪取。預防這種攻擊的方法是：利用SafeLib、tripwire這樣的程序保護系統(tǒng)，或者瀏覽最新的安全公告不斷更新操作系統(tǒng)。</p><p>　　portsweep probe端口掃描探測器攻擊。通常使用一些軟件，向大范圍的主機連接一系列的TCP端口，掃描軟件報告它成功的建立了連接的主機所開的端口。預防這種攻擊的方法：許多防火墻能檢測技術(shù)到是否被掃描，并自動阻斷掃描企圖。</p>&l

86、t;p>　　ipsweep probe IP地址掃描探測器攻擊。運用ping這樣的程序探測目標地址，對此做出響應的表示其存在。預防這種攻擊的方法：在防火墻上過濾掉ICMP應答消息。</p><p>　　nmap probe 端口掃描探測器。Nmap是在UNIX環(huán)境下推薦的端口掃描儀。Nmap不止是端口掃描儀，也是安全工具箱中必不可少的工具。預防這種攻擊的方法：許多防火墻能檢測技術(shù)到是否被掃描，并自動阻斷掃

87、描企圖。</p><p>　　6.2.3其他主流的攻擊類型</p><p>　　由于研究的數(shù)據(jù)集有限。研究時間的局限，我們所看到的攻擊類型還是很有限的，還有幾種主流的攻擊類型，可以幫助我們即時預防，以增強入侵檢測技術(shù)系統(tǒng)的性能。</p><p>　　1 Ping of Death</p><p>　　根據(jù)TCP/IP的規(guī)范，一個包的長度最大為

88、65536字節(jié)。盡管一個包的長度不能超過65536字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大于65536字節(jié)的包時，就是受到了Ping of Death攻擊，該攻擊會造成主機的宕機。由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對TCP/IP棧的實現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對包的標題頭進行讀取之后，要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)，當產(chǎn)生畸形的，聲稱自己的尺寸超過IC

89、MP上限的包也就是加載的尺寸超過64K上限時，就會出現(xiàn)內(nèi)存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當機。 預防這種攻擊的方法：現(xiàn)在所有的標準TCP/IP實現(xiàn)都已實現(xiàn)對付超大尺寸的包，并且大多數(shù)防火墻能夠自動過濾這些攻擊，包括：從windows98之后windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外，對防火墻進行配置，阻斷ICM

90、P以及任何未知協(xié)議，都講防止此類攻擊。</p><p>　　2 SYN flood</p><p>　　該攻擊以多個隨機的源主機地址向目的主機發(fā)送SYN包，而在收到目的主機的SYN ACK后并不回應，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務。一些TCP/IP棧的實現(xiàn)只能等待從有限數(shù)量的計算機發(fā)來

91、的ACK消息，因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直到緩沖區(qū)里的連接企圖超時。在一些創(chuàng)建連接不受限制的實現(xiàn)里，SYN洪水具有類似的影響。預防這種攻擊的方法：在防火墻上過濾來自同一主機的后續(xù)連接。 未來的SYN洪水令人擔憂，由于釋放洪水的并不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。</p><p>　　3 UDP洪水（UD

92、P flood）</p><p>　　概覽：各種各樣的假冒攻擊利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數(shù)據(jù)。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數(shù)據(jù)流，如果足夠多的數(shù)據(jù)流就會導致帶寬的服務攻擊。 預防這種攻擊的方法：關(guān)掉不必要的TCP/IP服務，或者對防火墻進行配置阻斷來

93、自Internet的請求這些服務的UDP請求。</p><p><b>　　4 CPU Hog</b></p><p>　　一種通過耗盡系統(tǒng)資源使運行NT的計算機癱瘓的拒絕服務攻擊，利用Windows NT排定當前運行程序的方式所進行的攻擊。</p><p>　　5 Win Nuke</p><p>　　是以拒絕目的主機

94、服務為目標的網(wǎng)絡層次的攻擊。攻擊者向受害主機的端口139，即netbios發(fā)送大量的數(shù)據(jù)。因為這些數(shù)據(jù)并不是目的主機所需要的，所以會導致目的主機的死機。</p><p>　　6 RPC Locator</p><p>　　攻擊者通過telnet連接到受害者機器的端口135上，發(fā)送數(shù)據(jù)，導致CPU資源完全耗盡。依照程序設置和是否有其他程序運行，這種攻擊可以使受害計算機運行緩慢或者停止響應。無

95、論哪種情況，要使計算機恢復正常運行速度必須重新啟動。</p><p>　　7 聚類算法在網(wǎng)絡入侵檢測技術(shù)中的作用</p><p>　　7.1模式識別的概念</p><p>　　模式識別方法（Pattern Recognition Method）是一種借助于計算機對信息進行處理、判決分類的數(shù)學統(tǒng)計方法。在日常生產(chǎn)實踐和社會研究中，往往所需處理的問題影響因素非常多且復

96、雜，給問題的研究和解決增加了困難。模式識別方法可使人們在影響因素眾多的情況下仍能對問題進行方便的處理，進而發(fā)現(xiàn)問題的解決途徑和事物發(fā)展的潛在規(guī)律性。在一個多因素問題中，結(jié)果即目標與各因素即指標之間難以找出直接的聯(lián)系，很難用理論的途徑去解決。在各指標之間一時也尋找不到明顯的關(guān)聯(lián)，所能得到的只是些模糊的認識、由長期的經(jīng)驗所形成的感知和由測量所積累的數(shù)據(jù)。因此，若能用計算機技術(shù)對以往的經(jīng)驗、觀察、數(shù)據(jù)進行總結(jié)，尋找目標與各指標之間的某種聯(lián)系或

97、目標的優(yōu)化區(qū)域、優(yōu)化方向，則對實際問題的解決是具有指導意義和應用價值的。模式識別方法正是基于此種思想，并獲得廣泛應用和取得較大成功的有效方法之一。 </p><p>　　應用模式識別方法的首要步驟是建立模式空間。所謂模式空間是指在考察一客觀現(xiàn)象時，影響目標的眾多指標構(gòu)成的多維空間。每個指標代表一個模式參量。</p><p>　　假設一現(xiàn)象有幾個事件（樣本）組成，每一個事件都有P個特征參量（

98、X1， X2，…Xp），則它就構(gòu)成P維模式空間，每一個事件的特征參量代表一個模式。模式識別就是對多維空間中各種模式的分布特點進行分析，對模式空間進行劃分，識別各種模式的聚類情況，從而作出判斷或決策。</p><p><b>　　7.2模式分類</b></p><p>　　模式分類的方法有很多種，比如貝葉斯決策論，最大似然估計和貝葉斯參數(shù)估計，分參數(shù)技術(shù)，線性判別函數(shù)法

99、，獨立于算法的機器學習，利用這些方法，我們一直假設在設計分類器時，訓練樣本集中每個樣本的類別歸屬是“被標記了” 的，這種利用已標記樣本集的方法稱為“有監(jiān)督”或“有教師”方法。</p><p>　　下面我們將介紹“無監(jiān)督”或“無教師”方法，用來處理未被標記的樣本集。</p><p>　　有許多理由使我們相信“無監(jiān)督”方法是非常有用的：</p><p>　　收集并標記大

100、型樣本集是個非常費時費力的工作，若能在一個較小的樣本空間上粗略地訓練一個分類器，隨后，允許它以自適應的方式處理大量的無監(jiān)督的樣本，我們就能節(jié)省大量的時間和精力。</p><p>　　存在很多應用，待分類模式的性質(zhì)會隨著時間發(fā)生緩慢的變化。如果這種性質(zhì)的變化能在無監(jiān)督的情況下捕捉到，分類器的性能就會大幅提升。</p><p>　　可以用無監(jiān)督的方法提取一些基本特征，這些特征對進一步分類會很有

101、用。</p><p>　　在任何一項探索性的工作中，無監(jiān)督的方法都可以向我們揭示觀測數(shù)據(jù)的一些內(nèi)部結(jié)構(gòu)和規(guī)律。</p><p>　　在無監(jiān)督情況下，我們可以嘗試以多種方式重新描述問題，其中之一是將問題陳述為對數(shù)據(jù)分組或聚類的處理。盡管得到的聚類算法沒有很明顯的理論性，但它們確實是模式識別研究中非常有用的一類技術(shù)。</p><p>　　下面我們詳細介紹幾種聚類算法并說

102、明它們對入侵檢測技術(shù)的貢獻。 </p><p>　　7.3基于異常的入侵檢測技術(shù)</p><p>　　基于異常的入侵檢測技術(shù)技術(shù)可以分

103、為有監(jiān)督的異常檢測技術(shù)和無監(jiān)督的異常檢測技術(shù)，有監(jiān)督的異常檢測技術(shù)通過觀察得到的正常數(shù)據(jù)建立正常數(shù)據(jù)模型，然后檢測技術(shù)那些偏離正常模型的異常數(shù)據(jù)，一個比較典型的使用這種技術(shù)的系統(tǒng)是美國喬治梅森大學的MADAM/ID系統(tǒng)。這種方法能夠檢測技術(shù)新的攻擊類型，因為這些新的攻擊數(shù)據(jù)也會偏離正常的數(shù)據(jù)模型。有監(jiān)督的異常檢測技術(shù)的一個缺陷是需要一組完全正常的數(shù)據(jù)來訓練獲得模型，如果訓練數(shù)據(jù)中包含攻擊數(shù)據(jù)的話，這些攻擊就很難檢測技術(shù)到，因為該方法把這

104、些攻擊數(shù)據(jù)認為是正常數(shù)據(jù)，另一方面，要獲取這些訓練數(shù)據(jù)也是很困難的。</p><p>　　目前入侵檢測技術(shù)技術(shù)研究的重點轉(zhuǎn)移到了無監(jiān)督的異常檢測技術(shù)上，這種技術(shù)用一組沒有標記的數(shù)據(jù)作為輸入，發(fā)現(xiàn)其中存在的攻擊數(shù)據(jù)，即試圖從一組不知道什么是正常，什么是異常的數(shù)據(jù)集中發(fā)現(xiàn)那些異常的數(shù)據(jù)。無監(jiān)督的異常檢測技術(shù)與有監(jiān)督的異常檢測技術(shù)相比，它不需要完全正常的訓練數(shù)據(jù)，只需要未加工的網(wǎng)絡原始數(shù)據(jù)。無監(jiān)督的異常檢測技術(shù)技術(shù)有一