導語：如何才能寫好一篇基于網(wǎng)絡的入侵檢測，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：Ad Hoc網(wǎng)絡；網(wǎng)絡安全；入侵檢測技術(shù)

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)28-0084-02

Intrusion Detection based on Ad hoc Network

BI Yuan-yuan,CHEN Jin-ping

(Jinling Institute of Technology,Nanjing 211169,china)

Abstract: Ad Hoc network is a new kind of infrastructureless network.All nodes are moving constantly and the topology of the ad hoc network is ever changing.Because of its inherent vulnerability makes it highly susceptible to all kinds of attacks,Ad Hoc network security issues to the intrusion detection technology with More to the challenge.Intrusion detection technology and its classification is described in this paper.Summary and analysis of the existing Ad Hoc network suitable for the various advantages and disadvantages of intrusion detection technology for future research studies laid a theoretical foundation.

Key words: Ad hoc network;network security;intrusion detection

1 Ad Hoc網(wǎng)絡的特點

Ad Hoc網(wǎng)絡，又稱自組網(wǎng)絡，是一種沒有基站或移動交換中心之類的固定基礎(chǔ)設施的網(wǎng)絡。網(wǎng)絡中的節(jié)點是不斷移動的，網(wǎng)絡沒有固定的拓撲結(jié)構(gòu)，節(jié)點既作為移動終端，又充當路由器。在彼此通信范圍之內(nèi)的移動節(jié)點之間可以通過無線連接直接通信，對于那些距離很遠的節(jié)點則依靠其他的節(jié)點作路由進行消息轉(zhuǎn)發(fā)。從理論上說，移動Ad Hoc網(wǎng)絡中的節(jié)點可以任意移動、也可以隨機地加入或退出網(wǎng)絡，因此移動Ad Hoc網(wǎng)絡的拓撲結(jié)構(gòu)、范圍和成員是高度動態(tài)的。

2 入侵檢測技術(shù)

2.1 Ad Hoc網(wǎng)絡存在的安全威脅

由于Ad Hoc網(wǎng)絡高度動態(tài)的拓撲結(jié)構(gòu)，會帶來一系列安全問題[1]:

1） 無法使用防火墻技術(shù)來保護網(wǎng)絡。移動Ad Hoc 網(wǎng)絡無法設置一條明確的防護線，襲擊可能來自任何方向。因此要求每個節(jié)點都必須時刻準備預防和抵抗襲擊。

2） 節(jié)點間的信任關(guān)系經(jīng)常變化，因此要求Ad Hoc 網(wǎng)絡的安全措施也應是動態(tài)的，不適用傳統(tǒng)網(wǎng)絡采用的靜態(tài)配置方案。

3） 入侵檢測困難。錯誤的路由信息可能是拓撲變化引起也可能是入侵者所為，另外一個大規(guī)模移動Ad Hoc 網(wǎng)絡中跟蹤一個特定的節(jié)點非常困難。

4） 移動Ad Hoc網(wǎng)絡采用多跳的、無線信道，因此Ad Hoc網(wǎng)絡更容易受到鏈路層的攻擊，包括被動竊聽和假冒、重復攻擊和信息篡改、拒絕服務攻擊等主動攻擊，而且這種攻擊是難以檢測出來的。

5） 移動Ad Hoc網(wǎng)絡通常采用分布式?jīng)Q策, 許多網(wǎng)絡算法都是依靠鄰近節(jié)點相互協(xié)作，節(jié)點在漫游時又缺乏物理保護。

6） 無線帶寬有限、電池能量有限、計算能力有限，使得Ad Hoc 網(wǎng)絡無法部署復雜的安全協(xié)議和加密算法。

在Ad Hoc網(wǎng)絡的安全問題中，路由協(xié)議的安全尤為重要。常見的Ad Hoc網(wǎng)絡的路由協(xié)議有表驅(qū)動路由協(xié)議，如DSDV；按需驅(qū)動路由協(xié)議，如DSR、AODV、TORA和混合路由協(xié)議，如LAR等，這些路由協(xié)議極少考慮其安全問題。而Ad Hoc網(wǎng)絡的路由協(xié)議卻是網(wǎng)絡攻擊的主要目標。對路由協(xié)議的攻擊可分為兩類：被動攻擊和主動攻擊。

2.1.1 被動攻擊

對于被動攻擊，攻擊者并不去干擾正常的路由協(xié)議，而僅僅竊聽路由數(shù)據(jù)。由于Ad Hoc網(wǎng)絡使用的是無線信道，所以這種攻擊比較隱蔽，一般無法檢測到。攻擊者通過分析竊聽到的路由數(shù)據(jù)就可能得到有用的信息。比如，如果去往某個特定節(jié)點的路由請求比到其它節(jié)點的路由請求要頻繁，那么攻擊者就可以認為該特定節(jié)點比較重要。如果確實如此，那么對該節(jié)點的攻擊就會威脅整個網(wǎng)絡的安全和性能。另外，路由數(shù)據(jù)還會暴露節(jié)點的位置，或者說至少會暴露一定的網(wǎng)絡拓撲信息。

2.1.2 主動攻擊

主動攻擊就是網(wǎng)絡攻擊者通過向網(wǎng)絡發(fā)送數(shù)據(jù)包來達到攻擊的目的。比如攻擊者向網(wǎng)絡廣播一些特定的消息，使得別的節(jié)點以為經(jīng)過該節(jié)點的路徑最短或代價最小，這樣受到攻擊的節(jié)點都會將數(shù)據(jù)包發(fā)送給該節(jié)點，從而形成一個吸收數(shù)據(jù)的“黑洞”；攻擊者也可以通過不停地發(fā)送虛假路由信息使得被攻擊的節(jié)點的路由表溢出，從而使得正常的路由信息無法及時更新；攻擊者還可以發(fā)送錯誤的路由信息和重放舊的路由信息，使網(wǎng)絡出現(xiàn)分割和擁塞。

要建立安全的Ad Hoc網(wǎng)絡, 采取主動的防衛(wèi)方式來增強網(wǎng)絡的安全性尤為重要。但現(xiàn)有基于固定網(wǎng)絡的入侵檢測系統(tǒng)不能簡單遷移到Ad Hoc 網(wǎng)絡中, 所以必須重新設計一套新的入侵檢測系統(tǒng)來滿足移動Ad Hoc 網(wǎng)絡特定的安全需要。

2.2 入侵檢測技術(shù)的作用

入侵檢測可定義為：“識別那些未經(jīng)授權(quán)而使用計算機系統(tǒng)的非法用戶和那些對系統(tǒng)有訪問權(quán)限但濫用其特權(quán)的用戶。”[2]

入侵檢測技術(shù)是為保證系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機系統(tǒng)、網(wǎng)絡系統(tǒng)或更廣泛意義上的信息系統(tǒng)中違反安全策略行為的技術(shù)。它根據(jù)用戶的歷史行為，基于用戶的當前操作，完成對攻擊的決策并記錄下攻擊證據(jù)，為數(shù)據(jù)恢復與事故處理提供依據(jù)。

2.3 入侵檢測技術(shù)的分類

根據(jù)檢測方法的不同，入侵檢測可以被分為以下2種類別：異常（anomaly）檢測、誤用（misuse）檢測[3]。

異常檢測是根據(jù)異常使用計算機、異常使用系統(tǒng)資源或者異常的網(wǎng)絡流量來進行的入侵檢測。首先通過提取審計記錄(如網(wǎng)絡流量和日志文件) 中的特征數(shù)據(jù)來建立模型，用檢測到的行為模式與建立的模型相比較，如果兩者之差超過一個給定的閾值，則被視為入侵。該算法的特點是可以檢測到之前未發(fā)生過的攻擊方式，但定義閥值比較困難，容易產(chǎn)生檢測的誤報和漏報。

誤用檢測是根據(jù)事先定義的入侵模式庫，用這些已有的入侵模式和檢測到的入侵模式匹配。該算法的特點是對已知攻擊模式的檢測準確率較高，對未知的攻擊模式檢測效果有限，而且入侵模式庫需要不斷更新。

3 Ad Hoc網(wǎng)絡的入侵檢測技術(shù)

3.1 Ad Hoc網(wǎng)絡特性與入侵檢測技術(shù)的結(jié)合

目前，傳統(tǒng)有線網(wǎng)絡的入侵檢測技術(shù)的研究充分而廣泛，但是這種對傳統(tǒng)有線網(wǎng)絡的IDS研究不能直接用于無線Ad Hoc 網(wǎng)絡中。無線Ad Hoc網(wǎng)絡缺乏固定的基礎(chǔ)設施，物理層設施匱乏，無線Ad Hoc 網(wǎng)絡這種本身的脆弱性使得其更容易受到攻擊，給IDS的設計帶來更多挑戰(zhàn)和要求。

由于缺少一個類似于網(wǎng)關(guān)，路由器的中心控制節(jié)點，無線Ad Hoc的入侵檢測技術(shù)受到各節(jié)點流量的制約。再則，無線Ad Hoc網(wǎng)絡本身的分布式特性，要求入侵檢測技術(shù)也采用一個合適的分布式算法，同時也要考慮到實際應用中的節(jié)點所能承載的最大流量。由于無線Ad Hoc 網(wǎng)絡具有動態(tài)的拓撲結(jié)構(gòu)，各節(jié)點可以靈活游走，這就使得節(jié)點容易被捕獲，從而威脅到整個網(wǎng)絡的安全。為了節(jié)省有限的帶寬資源，無線Ad Hoc網(wǎng)絡的各節(jié)點不可能像有限網(wǎng)絡中的節(jié)點一樣隨時隨地自由通信，因此，帶寬和電池容量更加制約了移動網(wǎng)絡的IDS設計。

3.2 Ad Hoc網(wǎng)絡中合格IDS的要求

設計Ad Hoc網(wǎng)絡的IDS時，應盡量滿足以下條件來避免非法的入侵。1) IDS不能給網(wǎng)絡引入新的漏洞，帶來新的安全問題；2)IDS不能消耗系統(tǒng)過多的資源，影響正常的節(jié)點工作；3) IDS應該具有高度的可靠性，低誤報率和漏報率；4) IDS應該采用分布式的結(jié)構(gòu)；5) IDS應該不間斷地、持續(xù)高效地進行檢測；6) IDS應采用某種方式以標準化入侵檢測信息交換格式，使得多種入侵檢測方案可以互相合作。

3.3 現(xiàn)有Ad Hoc網(wǎng)絡的IDS系統(tǒng)分析

目前國外已經(jīng)有一些關(guān)于無線Ad Hoc網(wǎng)絡的IDS技術(shù)的理論研究，其中基于分布式異常檢測的系統(tǒng)模型有：Ad Hoc網(wǎng)絡分布式IDS、基于AODV的入侵檢測和響應模型、反入侵算法技巧集、看門狗及路由選擇器；基于移動檢測的系統(tǒng)模型有：靜態(tài)安全數(shù)據(jù)庫的IDS、基于移動技術(shù)的分布式IDS；基于規(guī)范的分布式入侵檢測和基于時間自動機的入侵檢測[4]。

國內(nèi)的研究方案目前有基于簇的多層分布式入侵檢測技術(shù)[5]、可存活性入侵檢測系統(tǒng)[1]和基于規(guī)則匹配技術(shù)和統(tǒng)計分析技術(shù)的混合入侵檢測算法[6]等。

1） 基于簇的多層分布式入侵檢測技術(shù)

考慮到網(wǎng)絡節(jié)點的處理能力、能量消耗、移動頻率等因素，將Ad Hoc網(wǎng)絡劃分為若干簇，在一個簇內(nèi)，各節(jié)點可與一跳內(nèi)的任意節(jié)點進行直接通信，但是超出了一跳范圍時，必須通過簇頭節(jié)點才能進行通信。同時，不在一個簇內(nèi)的兩個節(jié)點，即使它們之間的距離只有一跳，也必須通過簇頭節(jié)點才能通信。

基于簇的多層分布式入侵檢測系統(tǒng)由通信接口模塊、本地數(shù)據(jù)收集模塊、移動平臺模塊、移動模塊、分析引擎模塊和響應模塊組成。

通信接口模塊采用通用標準定義，以便兼容其它的標準定義入侵檢測系統(tǒng)，提供了協(xié)同工作的基礎(chǔ)。本地數(shù)據(jù)收集模塊負責從本地的不同數(shù)據(jù)源收集審計數(shù)據(jù)流。移動平臺模塊用于安全地傳輸移動模塊,目前支持TCP/IP 協(xié)議。移動模塊負責收集和處理來自其他簇的數(shù)據(jù)。全局分析引擎模塊中的響應模塊能夠產(chǎn)生報警信息和對可疑鏈路的斷鏈操作。

2） 可存活性入侵檢測系統(tǒng)

可存活性是指當系統(tǒng)在出現(xiàn)故障、發(fā)生意外事件或遭受到攻擊時, 系統(tǒng)具有及時準確地完成預定基本任務的能力。該體系結(jié)構(gòu)按功能分為三層：驅(qū)動層、控制層和執(zhí)行層。在驅(qū)動層，對目前入侵特征分析方法的基礎(chǔ)上，增加了數(shù)據(jù)恢復引擎來提高系統(tǒng)的可存活性；在控制層，從工程技術(shù)的角度，對其進行了模塊化設計，實現(xiàn)了該層的可移植性；在執(zhí)行層，利用新的簇頭選擇算法,極大地減少系統(tǒng)能源消耗，并增強了系統(tǒng)的可存活性。

該方法提高了系統(tǒng)實現(xiàn)時的靈活性，降低了系統(tǒng)實現(xiàn)時的復雜程度。采用技術(shù)和自學習技術(shù)，提高了網(wǎng)絡的可生存性。把監(jiān)視和決策分散到幾個動態(tài)地選出的節(jié)點上, 既降低了整個網(wǎng)絡能源的消耗又提高了入侵檢測系統(tǒng)的效率，還在一定程度上提高了網(wǎng)絡的可存活性。

3） 混合入侵檢測算法

由于異常檢測算法具有較高的虛警率，誤用檢測算法檢測領(lǐng)域有限，不能很好的應用于網(wǎng)絡結(jié)構(gòu)不斷變化、面臨多樣攻擊的Ad Hoc網(wǎng)絡。混合入侵檢測算以規(guī)則匹配為基礎(chǔ)，統(tǒng)計分析網(wǎng)絡在未受到攻擊時的異常時間率來為系統(tǒng)設計閾值，避免虛警率和露報情況；在數(shù)據(jù)分析方面，如果一系列的異常事件都表現(xiàn)為同一種攻擊特征，在單位時間內(nèi)出現(xiàn)的概率高于閾值，則判定為一次攻擊。該算法不但可以提高檢測的準確性,而且對網(wǎng)絡的性能沒有明顯影響,包括數(shù)據(jù)包的傳遞時間及系統(tǒng)的反應時間。

4 結(jié)束語

隨著移動Ad Hoc網(wǎng)絡的廣泛應用，Ad Hoc網(wǎng)絡的安全性問題已突顯其重要性。基于Ad hoc網(wǎng)絡動態(tài)拓撲結(jié)構(gòu)、有限的無線傳輸帶寬、移動節(jié)點的有限性(移動用戶終端內(nèi)存小、CPU 處理能力低、所帶電源有限)和網(wǎng)絡的分布式等特點，本文總結(jié)了國內(nèi)外關(guān)于Ad Hoc網(wǎng)絡入侵檢測技術(shù)的研究成果，分析了各種檢測技術(shù)的特性和優(yōu)缺點，對今后研究Ad Hoc網(wǎng)絡的入侵檢測技術(shù)理論和實踐有一定的參考意義。

參考文獻：

[1] 安德智.Ad Hoc網(wǎng)絡的入侵檢測系統(tǒng)研究[J].PLC應用技術(shù)200例,2008:79-81.

[2] Hubaux J P,Buttyan L,Capkun S.The quest for security in mobile Ad Hoc networks [C].Proceedings of the ACM2 Symposium on Mobile Ad Hoc Networking and Computing.[S.l.]:[s.n.],2001.

[3] Kachirski O, Guha R.Intrusion Detection Using Mobile Agents in Wireless Ad Hoc Networks [C].IEEE,July 2002:10-12.

[4] Amitabh M, Ketan N,Animesh P,et al.Intrusion Detection in Wireless Ad Hoc Networks[J].IEEE Wireless Communications,2004,(02):48-60.

篇2

關(guān)鍵詞：入侵檢測；異常檢測；時間序列分析

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2007)05-11229-02

1 引言

隨著科技進步和網(wǎng)絡技術(shù)的飛速發(fā)展，信息產(chǎn)業(yè)及其應用得到了巨大的發(fā)展，政府、金融、教育等企事業(yè)單位以及個人用戶等對網(wǎng)絡的依賴程度越來越高。同時也由此帶來了信息安全隱患，如何保障網(wǎng)絡與信息系統(tǒng)的安全已經(jīng)成為高度重視的問題。作為一種主動安全防護技術(shù)，入侵檢測系統(tǒng)能夠檢測和識別來自外部或者內(nèi)部的異?；顒踊蛘呷肭中袨?例如，對計算機和網(wǎng)絡資源的惡意使用或者破壞、內(nèi)部用戶的未授權(quán)訪問等)，己經(jīng)成為傳統(tǒng)計算機安全技術(shù)(如防火墻)的有益補充，是網(wǎng)絡安全領(lǐng)域研究的一個新熱點。

入侵檢測系統(tǒng)(Intrusion Detection System, IDS)是防火墻的合理補充。本文使用時間序列分析，設計和實現(xiàn)一個面向網(wǎng)絡流量異常的檢測系統(tǒng)，實時地監(jiān)測和分析網(wǎng)絡中的異常流量，并采取相應措施(如與防火墻聯(lián)動)來避免或抑止網(wǎng)絡掃描、Dos/DDoS攻擊、網(wǎng)絡蠕蟲病毒、惡意下載等網(wǎng)絡攻擊對局域網(wǎng)安全的威脅，保障網(wǎng)絡的正常運行，最大限度地發(fā)揮網(wǎng)絡的作用。

2 常見的網(wǎng)絡流量異常

網(wǎng)絡流量異常會嚴重影響網(wǎng)絡性能，造成網(wǎng)絡擁塞，嚴重的甚至會網(wǎng)絡中斷，使網(wǎng)絡設備利用率達到100%，無法響應進一步的指令。造成網(wǎng)絡異常流量的原因可能有：網(wǎng)絡掃描、Ddos攻擊、網(wǎng)絡蠕蟲、惡意下載、用戶對網(wǎng)絡資源的不當使用以及物理鏈路損壞或者設備不能正常運轉(zhuǎn)等。

這些安全攻擊或威脅有一個共同點，即會引起網(wǎng)絡流量的急劇變化，它對網(wǎng)絡的影響主要體現(xiàn)在兩個方面：

(1)占用帶寬資源使網(wǎng)絡擁塞，造成網(wǎng)絡網(wǎng)絡丟包或時延增大，嚴重時可導致網(wǎng)絡不可用；

(2)占用網(wǎng)絡設備系統(tǒng)資源（CPU、內(nèi)存等），使網(wǎng)絡不能正常的服務。

3 面向流量異常檢測的數(shù)學建模

本文設計和實現(xiàn)面向流量異常的網(wǎng)絡檢測系統(tǒng)，是在基于網(wǎng)絡行為學的研究結(jié)果。網(wǎng)絡行為學認為網(wǎng)絡的流量行為具有長期特征和短期特征。網(wǎng)絡長期特征表現(xiàn)在網(wǎng)絡行為具有一定的規(guī)律性和穩(wěn)定性。能夠?qū)钟蚓W(wǎng)的流量或者某些關(guān)鍵主機的流量情況進行實時監(jiān)測，及早發(fā)現(xiàn)和識別入侵攻擊的發(fā)生。

網(wǎng)絡流量模型依據(jù)的數(shù)學理論基礎(chǔ)的不同，大致可以分為4大類:馬爾可夫類模型、自回歸類模型、長程依賴類流量模型,漏桶類模型[1]。其中，自回歸模型定義下一個業(yè)務流量變量作為前一個變量的一個明確的函數(shù)，即利用前一段時間變量的數(shù)據(jù)來預測該變量的下一個時間的值，在一個時間窗口中，由目前向過去延伸。多個研究結(jié)果表明，它可以有效地用于網(wǎng)絡流量行為的實時預測和控制。因此，可以通過對統(tǒng)計的歷史統(tǒng)計量數(shù)據(jù)進行分析，為網(wǎng)絡流量建立合理的統(tǒng)計模型，并作為檢測系統(tǒng)的異常檢測引擎。

首先在局域網(wǎng)的總出口處連續(xù)的采集進出網(wǎng)絡的流量數(shù)據(jù)，觀測時間為4周（每周7個工作日），建立網(wǎng)絡的正常行為模式。從采集到的數(shù)據(jù)序列，可以看出，網(wǎng)絡的帶寬利用率(或者總流量)和單播/非單播包比率具有明顯的周期性特征，但它是一個不平穩(wěn)的序列，可以采用時間序列分析的方法為它們建立統(tǒng)計模型[2]。

對帶寬利用率和單播/非單播包比率這兩個統(tǒng)計量的時間序列模型可以按如下步驟建立，并用于異常流量的檢測。

(1)原始數(shù)據(jù)處理

首先，采集4周28個工作日的數(shù)據(jù)作為基礎(chǔ)數(shù)據(jù)。數(shù)據(jù)采集系統(tǒng)在工作中有時會引入一些虛假數(shù)據(jù)，因此，在整個數(shù)據(jù)分析過程中，最好先進行異點的檢測和剔除，以便確保這些值是體現(xiàn)正常網(wǎng)絡行為。根據(jù)格拉布斯準則，如果x表示x1,x2,x3,x4的在一周內(nèi)的某一時刻的平均值(4周數(shù)據(jù)的平均)，v表示它們的標準差，即，如果xi滿足|xi|>kv，則xi為異常值，應剔除不用。 x1,x2,x3,x4中剩余的求平均。其中k是格拉布斯準則系數(shù)，與置信區(qū)間為95%相對應的k=1.46。這樣，得到了4周歷史數(shù)據(jù)的10080個時刻的平均值。再采用方差分析的方法的方法對序列進行平穩(wěn)化，這樣就可以把網(wǎng)絡流量的局部看成統(tǒng)計上近似的平穩(wěn)。然后將這個局部作為一個滑動時間窗口，窗口的大小設為N。用這N個局部流量數(shù)據(jù)建立ARMA(n,n-1)模型，來判斷第N+1個數(shù)據(jù)是否異常(在實時異常檢測中，只需要將時間窗口不斷往前依次滑動[3]。

(2)模型的確定和模型參數(shù)的估計

在建模策略上，系統(tǒng)建模法采用ARMA(n，n-1)模型逼近序列{xt}，即

為使建模過程計算盡量簡單，降低階數(shù)，我們用直線擬合樣本數(shù)據(jù)的趨勢，然后提取趨勢項。對提取趨勢項后的數(shù)據(jù)進行建模研究。

文中建模時的初始猜測值采用逆函數(shù)方法確定。它的基本原理是：逆函數(shù)系數(shù)本身是ARMA模型無窮展開式的自回歸參數(shù)，所以對于一個ARMA，可以用無窮階AR模型去逼近。對于ARMA(2n，2n-1)，需要擬和一個AR(2n-1)模型。這一步可以通過求解Yule-Walker方程方法容易地估出AR的系數(shù)Φi。把這些AR模型的系數(shù)Φi作為ARMA(n，n-1)模型的逆函數(shù)系數(shù)Ii。逆函數(shù)系數(shù)的公式如下

將式(2)代入式(1)可以得到算子恒等式，再利用相應的系數(shù)相等的方法，得到ARMA(n，n-1)的滑動平均系數(shù)Φi，最后利用已知的Φi和Ii求出作為AR模型系數(shù)Φi的初始估計值。這樣可以得到ARMA(n，n-1)模型的初始參數(shù)Φi和θi。該方法的整個過程都僅涉及到線性方程組的求解，因而計算簡便易于實現(xiàn)，是對高階ARMA模型進行參數(shù)初估計的有效方法。這種參數(shù)初估計方法不但具有在計算機上容易實現(xiàn)的特點，而且與當前常用的參數(shù)初估計方法相比，在參數(shù)估計精度上有了較大的提高。

由于最終的ARMA模型方程對參數(shù)是非線性的，文章用非線性最小二乘法來逐步逼近的方式來實現(xiàn)殘差平方和的極小化。這個方法從諸參數(shù)的初始值開始，利用下式遞歸計算殘差并求得平方和

一旦在參數(shù)空間中達到平方和較小的那一點時，則以此點為初始值開始新一次的迭代，迭代一直持續(xù)到達到規(guī)定的允許誤差為止。文中利用全局收斂的Levenberg-Marquardt修正的高斯-牛頓法算法來迭代計算殘差。一旦達到誤差要求，就可以得到模型的參數(shù)和階數(shù)。這個方法還可利用局部線性的假設，借助線性最小二乘理論求得各估計參數(shù)的近似置信區(qū)間。

(3)模型適用性檢驗

文中所用的檢驗判據(jù)是F檢驗。 ，式中A0是不受限模型的平方和（較?。珹1是受限模型的平方和（較大），F(xiàn)(s，N-r)是具有s和N-r個自由度的F-分布。其中殘差平方和的公式為：RSS=∑a 。用F檢驗來驗證在階數(shù)增加的過程中殘差的平方和是否顯著，從而確定在那個顯著性水平上，模型是否合適。同時F判據(jù)還可以作為擬合ARMA（2n，2n-1）系列時的停止判據(jù)。一旦決定停止在ARMA(2n，2n-1)模型上時，還可以進一步用F-判據(jù)判斷是否自回歸階次為奇數(shù)。在決定了最終的模型后，也可以用F-判據(jù)去判斷是否還有其他理想的模型形式是合適的。

在使用F-判據(jù)的同時，還必須使用殘差的自相關(guān)檢驗x2來作為進一步的實用性檢驗。x2分布是表征相互獨立的諸標準正態(tài)變量平方和的一個分布， 。使用殘差的自相關(guān)檢驗來判斷殘差的相互獨立性，從而確定殘差是否是白噪聲序列，進一步確定模型是否合理。

3 入侵檢測系統(tǒng)的功能模塊設計

根據(jù)系統(tǒng)的功能需求，可以將流量異常檢測原型系統(tǒng)分成5個基本模塊：流量采集模塊、流量統(tǒng)計模塊、流量異常檢測模塊，報警和響應模塊以及人機交互界面。系統(tǒng)的體系結(jié)構(gòu)如圖1所示。

系統(tǒng)的工作原理是：在局域網(wǎng)的總出口(或被監(jiān)控的核心主機附近的采集點)采集流量數(shù)據(jù)；對每個數(shù)據(jù)包進行分類并統(tǒng)計相關(guān)流量信息(如協(xié)議和端口使用量等)，將這些統(tǒng)計值保存到特定的存儲結(jié)構(gòu):并采用異常檢測模塊對這些流量數(shù)據(jù)進行分析；對于識別出的異常流量分析特征，并通過修改防火墻的規(guī)則或者受害主機隔離等方式來抑止和阻斷這些網(wǎng)絡攻擊的進一步發(fā)展。最后，安全管理人員可以通過人機交互模塊對查看系統(tǒng)的工作狀態(tài)并對系統(tǒng)進行配置和管理[4]。

圖1 系統(tǒng)的體系結(jié)構(gòu)

圖1中的5個模塊的功能分別如下：

(1)流量采集模塊。局域網(wǎng)的總出口或者網(wǎng)絡中被監(jiān)控的核心服務器附近設置流量采集點，采集所有流經(jīng)該采集點的流量數(shù)據(jù)；

(2)流量統(tǒng)計模塊。對所有捕獲的網(wǎng)絡數(shù)據(jù)包進行拆分，統(tǒng)計各種協(xié)議的包的協(xié)議類型、源/目標地址、端口、大小、標識位等信息。然后，該模塊以分鐘為時間粒度，統(tǒng)計網(wǎng)絡帶寬利用率、單播/非單播包比率、應用層協(xié)議包數(shù)量、SYN(SYN+ACK)包比率等統(tǒng)計量進行存儲，等待進一步的處理；

(3)異常檢測模塊。該模塊通過分析網(wǎng)絡流量的幾個統(tǒng)計量來描述其正常的行為模式或者狀態(tài)。其中網(wǎng)絡帶寬利用率、單播/非單播包比率是與時間相關(guān)的統(tǒng)計量，采用時間序列分析的方法為它們建立ARMA(2,1)模型，并用于檢測這些統(tǒng)計量序列中的異常。通過綜合這些統(tǒng)計量的異常情況，識別出網(wǎng)絡流量中的異常情況，并產(chǎn)生安全事件消息；

(4)報警和響應模塊。如果檢測到異常流量，首先需要報警，使系統(tǒng)和系統(tǒng)管理員可以根據(jù)情況選擇不同的處理方法。然后，系統(tǒng)根據(jù)報警級別和安全響應策略采取兩種更為主動的響應方式，即防火墻聯(lián)動和主機隔離；

(5)人機交互界面。采用基于Web的用戶管理，通過該交互界面可以實現(xiàn)信息查看、闡值設定以及處理報警等功能。系統(tǒng)應該對于檢測出的異常主機進行標記，標記異常的類型、統(tǒng)計量、閡值指標、消息以及異常發(fā)生的時間等情況，給系統(tǒng)管理員報告一個異常信息。

4 系統(tǒng)實現(xiàn)與測試

原型系統(tǒng)在Windows 2000環(huán)境采用VC++6.0開發(fā)，采用SQL Sever 2000作為安全事件數(shù)據(jù)庫、安全日志、安全響應策略庫等的后臺數(shù)據(jù)庫。

實驗結(jié)果表明，本文設計和實現(xiàn)的網(wǎng)絡流量異常檢測原型系統(tǒng)對于網(wǎng)絡掃描、Dos/Ddos、蠕蟲等類型的網(wǎng)絡攻擊和入侵具有明顯的檢測效果。但是，相對于紛繁變化的網(wǎng)絡攻擊手段，限于軟硬件環(huán)境和統(tǒng)計分析技術(shù)的缺陷，系統(tǒng)的異常檢測能力還不是很完善，存在著一些不足之處這些都還有待改進。因此，本文的主要目的是希望為同類型的入侵檢測系統(tǒng)或者網(wǎng)絡異常檢測系統(tǒng)的設計和開發(fā)提供一種思路和模式，也為建立局域網(wǎng)的立體縱深、多層次防御系統(tǒng)進行一些有益的嘗試。

參考文獻：

[1]宋獻濤.等.入侵檢測系統(tǒng)的分類學研究[J].計算機工程與應用,2002,38(8):132-13.

[2]孫欽東,張德運,高鵬.并行入侵檢測系統(tǒng)的負載均衡算法[J].小型微型計算機,2004,25(12): 2215-2217.

[3]李信滿,趙大哲,趙宏.基于應用的高速網(wǎng)絡入侵檢測系統(tǒng)研究[J].通信學報，2002, 23(9):1-7.

篇3

關(guān)鍵詞 linux；網(wǎng)絡入侵；防御；系統(tǒng)設計

中圖分類號TP393 文獻標識碼A 文章編號 1674-6708（2011）34-0178-02

0 引言

隨著Linux操作系統(tǒng)與網(wǎng)絡技術(shù)的迅猛發(fā)展，基于Linux操作系統(tǒng)構(gòu)建的小型網(wǎng)絡安全形勢也日趨嚴峻和復雜化，各種計算機安全事件的數(shù)量正在不斷增長。面對小型網(wǎng)絡的安全防御問題，如何構(gòu)建安全的網(wǎng)絡入侵檢測防御系統(tǒng)，成為目前計算機網(wǎng)絡面臨的首要問題。由于網(wǎng)絡入侵者采用的攻擊技術(shù)與攻擊手段不斷地變化，功能更為強大，更具針對性和欺騙性，構(gòu)建高效的入侵檢測防御系統(tǒng)是保護計算機網(wǎng)絡安全的直接解決途徑。目前，在Linux環(huán)境下的主流入侵防御技術(shù)是構(gòu)建特征入侵的防御系統(tǒng)。特征入侵，就是網(wǎng)絡或系統(tǒng)中存在違反安全策略的行為和攻擊行為。入侵檢測防御系統(tǒng)，就是采用主動的入侵檢測技術(shù)檢測系統(tǒng)中的這些違反安全策略行為和攻擊行為的系統(tǒng)。作為一種重要的安全防護工具，入侵檢測防御系統(tǒng)的作用已經(jīng)超過了防火墻的概念。本文通過分析常見的網(wǎng)絡攻擊方式，對Linux操作系統(tǒng)下對網(wǎng)絡入侵檢測防御系統(tǒng)的設計原理和設計實現(xiàn)進行了探討。

1 入侵檢測防御系統(tǒng)

入侵檢測防御系統(tǒng)是為了檢測黑客通過病毒等手段有意攻擊計算機網(wǎng)絡和計算機系統(tǒng)而構(gòu)建的檢測防御系統(tǒng)。入侵檢測防御系統(tǒng)應具有捕獲符合指定條件的網(wǎng)絡數(shù)據(jù)包、數(shù)據(jù)預處理、入侵分析以及告警、簡單防御攻擊行為、誘騙攻擊者、獲取對方攻擊意圖、獲取攻擊者的簡單資料等信息的能力。

2 常見的網(wǎng)絡攻擊方式

如果想要避免Linux網(wǎng)絡遭受黑客的攻擊，就必須對黑客的攻擊方法、攻擊原理以及攻擊過程有深入詳細的了解。這樣才能設計出有效的主動檢測防御系統(tǒng)。在Linux網(wǎng)絡系統(tǒng)中，常被攻擊的方式主要有Synflood攻擊、Ping Flood攻擊、Smurf攻擊、Teardrop攻擊、Land攻擊、ICMP掃描/TCP掃描/UDP掃描等等。

2.1 Synflood攻擊

Synflood攻擊屬于DoS攻擊的一種，是最基本的入侵攻擊手段之一，也是最難對付的入侵攻擊手段。具體表現(xiàn)方式是在計算機進行網(wǎng)絡通信時，服務器接到用戶端的SYN包后，回應用戶端一個SYN/ACK包，然后等待用戶端的ACK回應包進行確認時，用戶端不發(fā)送ACK包而導致服務器一直等待，致使服務器一直等待對應用戶端回應而無法響應其他機器的連接請求時，就可認定為Synflood攻擊。

2.2 Ping Flood攻擊

Ping Flood攻擊的原理是由于操作系統(tǒng)等對傳輸文件包的長度有限制，如ICMP包的64 KB規(guī)定，當發(fā)送者產(chǎn)生長度超過64Kb的文件包時，就會導致內(nèi)存錯誤、TCP/IP堆棧崩潰的情況。目前，大多數(shù)系統(tǒng)對Ping Flood攻擊都有一定的抵抗能力。

2.3 Smurf攻擊

Smurf攻擊的原理是將某數(shù)據(jù)包的回復地址設置成被攻擊網(wǎng)絡的地址，當網(wǎng)絡中某臺機器使用被攻擊的網(wǎng)絡地址發(fā)送一個被設置的數(shù)據(jù)包時，就會收到多個相應的數(shù)據(jù)包，Smurf攻擊就是通過數(shù)據(jù)包阻塞被害網(wǎng)絡的方式進行攻擊，導致該網(wǎng)絡的所有機器都對此數(shù)據(jù)包的請求都做出答復，最終導致網(wǎng)絡的阻塞，甚至崩潰。

2.4 Teardrop攻擊

Teardrop攻擊方式是采用病態(tài)的 UDP數(shù)據(jù)包進行攻擊。當操作系統(tǒng)收到病態(tài)的UDP數(shù)據(jù)包后，產(chǎn)生內(nèi)存錯誤而導致系統(tǒng)崩潰。在識別Teardrop攻擊時，一般是通過檢測UDP數(shù)據(jù)包的完整性和IP包I號是否為242來確認的。

2.5 Land攻擊

Land攻擊中，一個特別打造的SYN包的源地址和目標地址都被設置成某個服務器的地址。當服務器接收自己發(fā)送的SYN/ACK消息時，就會創(chuàng)建一個空的連接，每個連接都將保留到超時，從而出現(xiàn)系統(tǒng)的崩潰現(xiàn)象。在檢測時，對同一端口的大量TCP/SYN包，如果源地址和目標地址相同，就可認定為是Land攻擊。

3 入侵檢測防御系統(tǒng)的設計原理

隨著計算機網(wǎng)絡技術(shù)的發(fā)展，依靠主機自我審計信息的檢測方式已經(jīng)難以適應快速發(fā)展的網(wǎng)絡安全需求，而基于規(guī)則匹配的入侵檢測技術(shù)日益發(fā)展成熟。由于規(guī)則庫的完善，相應的誤報率也得到了有效控制。因此，可采用擴展性好、可移植佳、開源的Snort作為系統(tǒng)檢測模塊，以二級鏈表方式組織規(guī)則庫，將協(xié)議類型、源地址/端口分類合并形成規(guī)則頭鏈表，再對可選規(guī)則分類，將同一協(xié)議類型、源/目的地址/端口的規(guī)則放在同一頭鏈下，形成二鏈表。基于網(wǎng)絡的入侵檢測防御系統(tǒng)整體設計結(jié)構(gòu)如下圖所示。

3.1 網(wǎng)絡數(shù)據(jù)包捕獲模塊

網(wǎng)絡數(shù)據(jù)包捕獲模塊的主要功能就是從以太網(wǎng)中捕獲數(shù)據(jù)包，這個工作可以在操作系統(tǒng)的底層調(diào)用來實現(xiàn)，也可以使用相應的高層調(diào)用來實現(xiàn)。為提高效率，可以采用Lniux流行的BPF捕獲機制實現(xiàn)。此機制性能優(yōu)越，不需底層調(diào)用。

3.2 網(wǎng)絡數(shù)據(jù)分析模塊

網(wǎng)絡數(shù)據(jù)分析模塊是本系統(tǒng)中一個十分重要的模塊，它的設計結(jié)果關(guān)系到能否有效主動防御入侵，保證計算機網(wǎng)絡安全的最終效果。只有能夠完全的分析數(shù)據(jù)包類型，才能在此基礎(chǔ)上進一步分析是否有入侵行為的發(fā)生。為保證分析結(jié)果的準確性，本系統(tǒng)設置了各種入侵行為特征庫，通過預設模塊調(diào)用。通過與捕獲數(shù)據(jù)的對比分析，可以大大提高數(shù)據(jù)的分析速度與準確性，減少錯報、漏報的幾率。

3.3 緊急處理、保護/響應、誘騙模塊

在對網(wǎng)絡數(shù)據(jù)包與特征庫對比分析后，對捕獲到的可疑行為進行緊急響應，積極調(diào)用與之相關(guān)的保護模塊、誘騙系統(tǒng)。由于網(wǎng)絡攻擊的復雜性，不可能做到針對每一種攻擊方式都設置相應處理措施，只能將攻擊方式大致分類處理，并針對每一種分類，設計出相應的保護措施與誘騙措施，以期達到主動防御的效果。因此，本模塊的設計也是整個檢測防御系統(tǒng)的核心，稍有漏洞，就功虧一簣。在進行本模塊的設計時，一定要做好相關(guān)文獻資料的查閱工作，做到最大保護系統(tǒng)的安全，一旦保護模塊失敗，還可以通過誘騙系統(tǒng)暫時保護系統(tǒng)的安全。

3.4 報警系統(tǒng)與系統(tǒng)日志、操作界面模塊

由于網(wǎng)絡技術(shù)的不斷發(fā)展，攻擊者的手段也在快速更新，僅僅依靠設計好的檢測防御模塊還不能徹底保證計算機網(wǎng)絡的安全，還需要設置相應的報警機制，及時的提醒網(wǎng)絡管理員，對可疑的攻擊行為或防御失敗的攻擊行為盡快處理，以避免出現(xiàn)不必要損失。對于系統(tǒng)日志模塊，是記錄系統(tǒng)檢測防護網(wǎng)絡安全性能的實時記錄，也是系統(tǒng)管理員尋找防御失敗攻擊行為解決措施的直接參考依據(jù)。做好系統(tǒng)日志模塊的記錄模塊設計，可以為特征庫的更新做好數(shù)據(jù)基礎(chǔ)，為建立新的檢測防御體系提供技術(shù)支持。

3.5 存儲模塊

由于網(wǎng)絡數(shù)據(jù)包很多，而且是稍縱即逝，如何建立動態(tài)的數(shù)據(jù)存儲、將有用信息經(jīng)檢測分析系統(tǒng)的過濾后，及時存儲起來，是本模塊的主要設計要求?？蓞⒖嫉臄?shù)據(jù)庫為MYSQL，由于本系統(tǒng)采取模塊化的設計思想，易于單獨考慮數(shù)據(jù)模塊的設計方法，以方便動態(tài)掛載/卸載，以及系統(tǒng)管理員的查看。

4 結(jié)論

Linux操作系統(tǒng)是一個免費的操作系統(tǒng)，具有高穩(wěn)定性、高可靠性、高安全性、源文件開放的特點；在近年中，頗受受到了廣大計算機愛好者的青睞，各種基于Linux操作系統(tǒng)的專業(yè)應用程序也得到了開發(fā)應用。Linux作為一個多用戶的操作系統(tǒng)，具有多任務處理、支持共享庫、支持Windows操作系統(tǒng)、虛擬內(nèi)存、支持GUN軟件、內(nèi)置網(wǎng)絡配置、非專有資源代碼等優(yōu)點。隨著Linux應用的不斷深入，Linux的用戶也越來越多，構(gòu)建Linux環(huán)境下的入侵檢測防御系統(tǒng)具有重要的現(xiàn)實意義。

參考文獻

[1][美]Strassberg Keith E.防火墻技術(shù)大全[M].李昂，等譯.北京：機械工業(yè)出版社，2003.

[2]潘瑜.Linux網(wǎng)絡系統(tǒng)安全的分析和探討[J].計算機時代，2003(8)：7-9.

篇4

【關(guān)鍵詞】人工魚群算法 特征選擇 混沌機制 入侵檢測 反饋機制

1 引言

伴隨著網(wǎng)絡技術(shù)的發(fā)展，網(wǎng)絡攻擊也日趨呈現(xiàn)出方式多樣、手法隱蔽等特點，傳統(tǒng)的防火墻屬于被動防御技術(shù)，已經(jīng)不能滿足網(wǎng)絡用戶的安全需求，上世紀80年代，anderson等人就已提出網(wǎng)絡入侵檢測的概念。網(wǎng)絡入侵檢測分為誤用檢測和異常檢測兩種類型，由于異常檢測能夠通過學習來發(fā)現(xiàn)新的攻擊方式，屬于主動防御技術(shù)，因此成為當前主要的研究方向。

網(wǎng)絡入侵檢測需要對入侵的數(shù)據(jù)包進行特征提取和分析。由于特征存在冗余性，因此需要在大量的特征中提取出最優(yōu)的特征，才能降低特征的維數(shù)，提高檢測效率。文獻中研究了當前主流的特征選擇算法，包括：順序選擇法、粗糙集方法、遺傳算法、粒子群算法、蟻群算法和支持向量機（SVM）等。支持向量機因其泛化能力強，成為當前主要的網(wǎng)絡檢測算法，但其存在檢測性能與參數(shù)相關(guān)度過高的弊端。

為改進該算法的弊端，本文提出一種改進的異常入侵檢測方法，該方法采用wrapper特征選擇模型，利用改進的人工魚群算法進行入侵特征選擇，改進的人工魚群算法在原有AFA（Artificial Fish Swarm algorithm）算法的基礎(chǔ)上，引入混沌搜索，利用其遍歷性、隨機性、規(guī)律性等特點，提高了算法的全局收斂性。之后采用SVM分類器對選擇的特征性能進行分類、判斷，最后再對選擇的特征進行更新，以找到最優(yōu)特征組合。最后通過KDD99數(shù)據(jù)集對算法的性能進行驗證，證明了本文算法的可靠性和準確性。

2 異常入侵檢測模型

本文設計的入侵檢測模型結(jié)構(gòu)框架如圖1所示。首先采用wrapper特征選擇模型，利用改進的人工魚群算法（IAFA）進行入侵檢測特征選擇，之后，采用SVM分類器對選擇的特征性能進行判斷，因為特征來自訓練集和測試集兩個方面，因此還要先進行分類，然后再對選擇的特征進行更新，以找到最優(yōu)特征組合。

3 改進人工魚群算法及特征選擇

3.1 改進人工魚群算法

算法借用混沌搜索的思想，混沌變量選用Tent映射：

（1）

根據(jù)上述映射公式，依照如下步驟將人工魚i在可行域中產(chǎn)生混沌點列：

步驟1：依照公式（2）將人工魚狀態(tài)Xi的所有維度 Xik （k=1，…，n），映射到[0，1]這個區(qū)間內(nèi)

（2）

其中ak表示第k維變量Xik的最小值，bk表示Xik的最大值。

步驟2：將Tent映射公式（1）進行M次迭代后，產(chǎn)生一個序列。

步驟3：依照公式（3）將上一步驟中產(chǎn)生的混沌序列的狀態(tài)值映射回原空間

（3）

步驟4：通過上述混沌序列，得到人工魚Xi經(jīng)過Tent映射后產(chǎn)生的混沌點列：

（4）

步驟5：對人工魚狀態(tài)的優(yōu)劣進行再次評估。

步驟6：如果狀態(tài)比狀態(tài)Xi優(yōu)，那么就以作為混沌局部搜索的結(jié)果，否則令s=s+1，然后重新回到步驟2執(zhí)行。

算法設計了一個公告牌，公告牌中記錄了當前人工魚群的最優(yōu)狀態(tài)，人工魚按照某一概率向此狀態(tài)移動，為了能保證改進后的算法能夠有更高的精度和執(zhí)行效率，我們設計讓人工魚按照Pfb的概率執(zhí)行隨機行為，按概率1-Pfb執(zhí)行反饋行為，并且讓Pfb=θPfb，其中 θ（0， 1）。

3.2 入侵特征選擇

入侵特征選擇按照如下步驟完成：

步驟1：收集網(wǎng)絡中的狀態(tài)信息，完成學習樣本的組成及預處理。

步驟2：提取網(wǎng)絡中的狀態(tài)特征。

步驟3：人工魚參數(shù)初始化，具體包括：最大步長Max_Step、視野半徑Visaul、反饋概率Pfb、初始迭代次數(shù)passed_iterate、最大迭代次數(shù)max_iterate等；

步驟4：初始化完成后，隨機生成n條人工魚。

步驟5：計算得到所有人工魚的適應度，并與當前公告牌中的值進行比較，若當前的值優(yōu)于公告牌的值，則將當前的值記入公告牌。

步驟6：對人工魚執(zhí)行覓食、追尾等行為，然后評價其結(jié)果，若執(zhí)行某行為以后，人工魚的狀態(tài)落后于當前狀態(tài)，則該人工魚不動，反之則人工魚向前移動一步。

步驟7：根據(jù)式（1）～（3），執(zhí)行混沌搜索，得到當前解域范圍內(nèi)的最好的人工魚狀態(tài)，并將最好人工魚狀態(tài)記入公告牌；

步驟8：根據(jù)式（5）更新反饋概率；

步驟9：如果達到了精度要求或者是到達了最大迭代次數(shù)，則算法結(jié)束，同時輸出公告牌中的人工魚狀態(tài)，否則轉(zhuǎn)到步驟（5）執(zhí)行。

4 支持向量機的網(wǎng)絡入侵分類器

SVM的思想是在特征空間中建構(gòu)最優(yōu)分割超平面，使得學習器得到全局最優(yōu)化，最優(yōu)超平面用下式描述：

（8）

式中，w表示超平面法向量，超平面偏移向量用b描述。

若以上是一個線性問題，則處理起來比較簡單，但如果是非線性分類問題，這要轉(zhuǎn)化為二次優(yōu)化問題進行處理，即：

（9）

相應約束條件為：

（10）

式中，，c表示懲罰參數(shù)。

引入對偶問題來解決這個超平面優(yōu)化問題，加快分類速度，得到SVM決策函數(shù)如下：

（11）

式中，sign為符號函數(shù)，αi為Lagrange乘子。

由于RBF只需確定一個參數(shù)，即核函數(shù)寬度參數(shù)σ，有利于參數(shù)優(yōu)化，因此，研究選擇RBF核函數(shù)構(gòu)造支持向量機。RBF核函數(shù)定義如下：

（12）

5 仿真實驗

5.1 數(shù)據(jù)來源

在P4雙核3.0 GMHZ CPU、2G RAM，操作系統(tǒng)為Unix，VC語音環(huán)境下進行仿真實驗。數(shù)據(jù)來自KDD CUP 99 異常檢測數(shù)據(jù)集，數(shù)據(jù)集中一個連接記錄共有41個特征，其中包含有9個離散屬性和32個連續(xù)屬性。為了使檢測結(jié)果具有可比性，采用遺傳算法、粒子群優(yōu)化算法與改進的人工魚群算法進行對比仿真實驗，模型性能評價指標采用平均檢測時間和平均檢測速度來衡量。

5.2 檢測正確率對比

遺傳算法、粒子群優(yōu)化算法、改進人工魚群算法在各個數(shù)據(jù)集上運行10次，計算它們結(jié)果的平均網(wǎng)絡入侵檢測正確率（%），結(jié)果如圖2所示。

對比結(jié)果表明，采用改進人工魚群算法對特征進行選擇，可以獲得比遺傳算法、粒子群優(yōu)化算法更優(yōu)的特征子集，更加準確刻畫了網(wǎng)絡狀態(tài)變化信息，有效消除了冗余和無用特征。

5.3 入侵檢測時間比較

幾種算法的平均檢測檢測時間（秒）如表1所示。從表中可知，IAFA-SVM的檢測速度最快，說明采用IAFA進行網(wǎng)絡特征選擇減少了特征數(shù)和計算時間，加快算法收斂速度，使算法更加滿足網(wǎng)絡入侵檢測的實時性要求。

6 結(jié)束語

為了解決異常入侵檢測特征選擇問題，本文提出一種改進人工魚群算法的網(wǎng)絡異常檢測方法。仿真結(jié)果表明，相對于遺傳算法、粒子群優(yōu)化算法等傳統(tǒng)選擇方法，改進人工魚群算法可以獲得更優(yōu)特征子集，提高了異常檢測正確率和檢測速度，在網(wǎng)絡安全應用中有著廣泛的應用前景。

參考文獻

[1]王國偉，賈宗璞.基于防火墻的網(wǎng)絡入侵檢測研究與設計[J].計算機數(shù)字與工程，2005（5）.

[2]鄧九英，杜啟亮，毛宗源等.基于粗糙集與支持向量機的分類算法[J].華南理工大學學報：自然科學版，2008.

[3]詹勇，聲錫藏，王勇軍.攻擊特征自動提取技術(shù)綜述[J].通信學報，2009，30（2）：96-105.

[4]牟永敏，李美貴，粱琦.入侵檢測系統(tǒng)中模式匹配算法的研究[J].電子學報，2006，34（12A）：2488-2490.

[5]陳志賢，黃皓.應用擴張矩陣理論的攻擊特征提取[J].計算機科學，2010，37（4）：49-51.

[6]劉明珍.粒子群優(yōu)化支持向量機的入侵檢測算法[J].計算機工程與應用，2012，48（35）71.

[7]田靜，王力軍，洪濤.基于混沌搜索的蟻群優(yōu)化算法[J].信息技術(shù)，2012（11）.

作者簡介

梁磊（1979-），男，山東省臨清人。計算機軟件與理論專業(yè)碩士。現(xiàn)為青島酒店管理職業(yè)技術(shù)學院信息工程技術(shù)學院講師。主要研究方向為計算機網(wǎng)絡安全。

篇5

【關(guān)鍵詞】網(wǎng)絡安全；入侵檢測；IPv6；入侵檢測系統(tǒng)框架

Abstract：In this paper，the current status of network security is discussed，followed by analysis of the trend of Internet transition from IPv4 to IPv6 version and its characteristics and defect.Based on comparing the characteristics of network intrusion detection technology for traditional IPv4 and IPv6，this paper cites and analyzes the methods transition technology from IPv4 to IPv6.Finally，an appropriate framework of intrusion detection system for current IPv4/IPv6 environment is proposed.

Key words：network security；intrusion detection；IPv6；Intrusion Detection System Framework

1.引言

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡上的惡意攻擊行為日益增多，形形的病毒、木馬、蠕蟲層出不窮，對網(wǎng)絡信息安全構(gòu)成了巨大威脅.為了應對越來越嚴重的網(wǎng)絡安全問題，對網(wǎng)絡流進行實時分析和檢測就顯得極為必要。入侵檢測系統(tǒng)[1]（Intrusion Detection System，IDS）作為一種積極主動、實時動態(tài)的網(wǎng)絡安全防范技術(shù)，越來越受到人們的關(guān)注。它通過收集、分析計算機網(wǎng)絡或系統(tǒng)中若干關(guān)鍵點數(shù)據(jù)以判斷是否有違反安全策略的行為和被攻擊的跡象，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，從而提供對內(nèi)外攻擊和誤操作的實時保護。隨著下一代網(wǎng)絡中IPV6安全機制的引進，網(wǎng)絡層的安全性得到增強。同時，IPV6安全機制的應用對傳統(tǒng)入侵檢測系統(tǒng)也提出了新的要求和挑戰(zhàn)。

2.IPv4向IPv6過渡中的安全問題分析

在IPv6網(wǎng)絡逐漸替換IPv4網(wǎng)絡的過渡過程中，隨著過渡技術(shù)的應用及網(wǎng)絡結(jié)構(gòu)變得越來越復雜，在網(wǎng)絡安全方面產(chǎn)生了越來越多的不容忽視的問題[2]。這些過渡技術(shù)存在的或帶來的安全問題主要有：

采用翻譯過渡技術(shù)，有兩個問題需要關(guān)注。其一是網(wǎng)絡地址翻譯、協(xié)議翻譯網(wǎng)關(guān)聯(lián)合應用層網(wǎng)關(guān)對數(shù)據(jù)報進行翻譯處理時，會破壞數(shù)據(jù)報傳輸中端到端的安全性；其二是網(wǎng)絡層安全技術(shù)不匹配的問題。網(wǎng)絡層安全協(xié)議的主要作用是對在網(wǎng)絡上正常傳送的數(shù)據(jù)進行了最大程度的保密和防止更改，而網(wǎng)絡層協(xié)議-地址翻譯技術(shù)的目的是對網(wǎng)絡中傳送的數(shù)據(jù)報進行協(xié)議和地址的變換，這就帶來了網(wǎng)絡安全協(xié)議技術(shù)與網(wǎng)絡層協(xié)議-地址翻譯技術(shù)不匹配的問題。

采用隧道過渡技術(shù)，由于隧道技術(shù)的設計中沒有網(wǎng)絡安全方面的考慮，以及自身的技術(shù)特點，給網(wǎng)絡安全帶來了眾多的問題。在一個已安裝設置各種安全設備的網(wǎng)絡中，當加入隧道技術(shù)后，這些安全設備的功能會受到隧道的影響。當有數(shù)據(jù)報經(jīng)過隧道的時候，隧道不會對數(shù)據(jù)報進行安全方面的檢查，惡意的數(shù)據(jù)報往往可借用隧道來避開網(wǎng)絡中的安全檢查。

采用雙棧過渡技術(shù)，就是在一臺主機上同時運行兩種版本的網(wǎng)絡層協(xié)議。這兩種網(wǎng)絡層協(xié)議在技術(shù)上存在不相關(guān)性，他們之間的協(xié)調(diào)配合的不完善往往會造成一些安全方面的缺陷，給攻擊者帶來機會。

相較于前兩種過渡技術(shù)，雙棧過渡技術(shù)在安全技術(shù)和可行性方面都相對來說有優(yōu)勢，所帶來的安全隱患也相對較小。

3.IPv4、IPv6網(wǎng)絡中入侵檢測技術(shù)特點

傳統(tǒng)的第一代和第二代IDS通常采用模式匹配技術(shù)，這種技術(shù)是對所有網(wǎng)絡數(shù)據(jù)包與攻擊數(shù)據(jù)庫的攻擊特征進行匹配，依次來判定數(shù)據(jù)包中是否有攻擊存在。目前，入侵檢測系統(tǒng)采用的典型模式匹配算法有Brute Force、Boyer-Moore、Aho-Corasick、Set-wiseBoyer-Moor-Horspool和Aho-Corasick-Boyer-Moore等算法。

IPv6入侵檢測技術(shù)，可定義為對攻擊者使用IPv6網(wǎng)絡協(xié)議對計算機和網(wǎng)絡資源上的惡意使用行為進行識別和響應的處理過程。由于IPv6協(xié)議和IPv4不兼容，所以在IPv6下入侵檢測可能面臨很多新的問題。

首先，IPv6相對IPv4在數(shù)據(jù)報頭上有了很大的變動，所以原來的入侵檢測產(chǎn)品在IPv6網(wǎng)絡上不能直接使用。IPv4下，IP頭部和TCP頭部是緊接在一起的，而且其長度是固定的，所以入侵檢測系統(tǒng)很容易找到頭部，并使用相應的策略。然而在IPv6下TCP/UDP頭的位置有了根本的變化，它們不再是緊接在一起的，通常中間還隔有其它的擴展頭部，如路由選項頭部，AH/ESP頭部等。防火墻必須讀懂整個數(shù)據(jù)包才能進行過濾，這對入侵檢測的處理性能會有很大的影響。針對IPv6的Socket套接口函數(shù)已經(jīng)在RFC2133（Basic Socket InterFace Extends for IPv6）中定義，以前的應用程序都必須參考該新的API做相應的改動。

其次，在IPv6如果使用傳輸模式進行端到端的加密，則IDS無法工作，因為IDS無法理解接收到的加密數(shù)據(jù)包。解決方案之一是讓IDS能對這些數(shù)據(jù)包進行解密，但這樣勢必會帶來新的安全問題。同時IPv6的可靠性是否如最初所設想的那樣，也有待時間的考驗。

3.1 IPv4/IPv6雙棧入侵檢測系統(tǒng)的實現(xiàn)

實現(xiàn)IPv4/IPv6雙棧入侵檢測系統(tǒng)，關(guān)鍵要使現(xiàn)有的協(xié)議解碼模塊具有IPv6協(xié)議解碼功能。協(xié)議解碼分析的類型，從第二層來說，主要分析的是以太網(wǎng)。從第三層來說，有IPv4的包類型，也有IPv6的包類型，還有隧道方式，如IPv6 IN IPv4 TUNNEL和IPv4 IN IPv6 TUNNEL等類型的數(shù)據(jù)包。

協(xié)議解碼，就是按照協(xié)議的數(shù)據(jù)結(jié)構(gòu)和屬性對數(shù)據(jù)包進行分析，對號入座。圖1是具備IPv6協(xié)議解碼功能的協(xié)議解碼流程圖。

由圖1可知，首先我們從Ethemet上抓包，然后將包解出，在解包的過程中把相應的包信息填充完整，通過規(guī)則檢測、輸出等模塊中的分析，判斷出該包是IPv4包還是IPv6包，如類型為0x0800就是IPv4數(shù)據(jù)包，0x86DD就是IPv6數(shù)據(jù)包，然后將以太網(wǎng)的源和目的地址存放起來留作后用，繼續(xù)分析下一層（第三層）的數(shù)據(jù)結(jié)構(gòu)，在這里我們主要分析IPv4和IPv6的包頭結(jié)構(gòu)。

3.2 IPv6環(huán)境中的NIDS模塊設計

整個NIDS系統(tǒng)從邏輯上分為數(shù)據(jù)采集、數(shù)據(jù)分析和結(jié)果輸出三部分。符合CIDF的規(guī)范。系統(tǒng)由數(shù)據(jù)包捕獲模塊、協(xié)議解析模塊、規(guī)則處理模塊、分析檢測模塊、存儲模塊和響應模塊6個模塊組成，體系結(jié)構(gòu)框圖如圖2所示。

3.3 IPv6環(huán)境中的NIDS模塊功能

（1）數(shù)據(jù)包捕獲模塊

該模塊是網(wǎng)絡人侵檢測系統(tǒng)的基本組成部分，是實現(xiàn)整個入侵檢測系統(tǒng)的基礎(chǔ)。數(shù)據(jù)包捕獲模塊的主要功能就是從以太網(wǎng)上捕獲數(shù)據(jù)包。對于不同的操作系統(tǒng)，捕獲數(shù)據(jù)包的實現(xiàn)方式也不同。

（2）協(xié)議解析模塊

協(xié)議解析模塊的主要功能是對捕獲到的數(shù)據(jù)包進行詳細的協(xié)議分析，對數(shù)據(jù)報進行逐層剝離.分析各個協(xié)議的報頭和數(shù)據(jù)部分，檢測出每個數(shù)據(jù)包的類型和特征，在此基礎(chǔ)上進一步的分析是否有入侵行為發(fā)生。

（3）規(guī)則處理模塊

規(guī)則處理模塊的功能就是把事先定義好的入侵規(guī)則庫從文件中讀取出來，進行解析，然后讀入內(nèi)存中相應的變量之中。規(guī)則庫是一個入侵檢測系統(tǒng)的知識庫，它的豐富與否決定了入侵檢測系統(tǒng)的性能，入侵檢測庫越豐富，系統(tǒng)檢測到的入侵行為就會越多。

（4）分析檢測模塊

該模塊主要的功能是根據(jù)入侵規(guī)則庫進行協(xié)議分析，看是否有入侵行為的發(fā)生。入侵檢測功能就是由此模塊實現(xiàn)的。入侵檢測模塊將協(xié)議解析模塊的分析結(jié)果和規(guī)則庫進行匹配，如果兩者匹配成功，就說明有入侵行為發(fā)生。

（5）存儲模塊

此模塊的主要功能是存儲網(wǎng)絡信息。由于網(wǎng)絡數(shù)據(jù)包很多，所以必須及時地把它們存儲起來，供事后分析IP協(xié)議的分布情況，以及某個IP的活動情況等等。這個模塊中主要考慮的是存貯哪些信息以及存儲的手段。

（6）響應模塊

當系統(tǒng)檢測到入侵時，通過響應模塊來處理相關(guān)的事情。響應模塊可采取多種措施對檢測引擎檢測到的入侵行為進行響應，如傳送消息給防火墻、截斷外部入侵行為等，也可以只是向管理員進行簡單的報警，由管理員根據(jù)入侵情況再采取必要的防御措施。

4.結(jié)論

本文從IPv4向IPv6逐步過渡的角度入手，結(jié)合入侵檢測系統(tǒng)的發(fā)展趨勢，通過安全層面分析目前流行的三種過渡技術(shù)，從而得出基于IPv4/IPv6網(wǎng)絡環(huán)境中采用雙棧入侵檢測系統(tǒng)有較強的優(yōu)勢和可行性，并對比了傳統(tǒng)網(wǎng)絡和IPv6環(huán)境下的入侵檢測技術(shù)特點，提出了一個較為合理的IPv4/IPv6雙棧入侵檢測系統(tǒng)，以及IPv6環(huán)境中的NIDS的模塊框架以供參考。

參考文獻

[1]Rebdcca?Gurley?Bace.入侵檢測[M].北京：人民郵電出版社，2001：1-26.

[2]Silvia Hagen.Ipv6精髓.技橋[M].北京：清華大學出版社，2004：56-80.

[3]肖天慶，任翔.新一代國際互聯(lián)網(wǎng)協(xié)議IPv6與IPv4的比較研究[J].紅河學院學報.，2010，8（2）.

[4]蒲寶卿.高校校園網(wǎng)1Pv4向1Pv6過渡策略的分析與研究[J].甘肅高師學報，2010，15（2）.

篇6

關(guān)鍵詞：計算機安全；網(wǎng)絡安全；入侵檢測

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)32-1096-03

The Research and The Realization of The Network Invasion Detection System

ZHAO Zhuan-zheng, TIAN Wang-lan

(Hunan City University, Yiyang 413000, China)

Abstrac: With the Internet popularizing and rapidly development, the network brought to us in convenient, also brought about safe problem for us, which is the network's invasion. This paper first introduced the classification and network intrusion, for the actual network conditions, then analyzed and compared the typical intrusion detection technology and the way of the invasion. it put out the intrusion detection system design ideabased on the network in real-time monitoring. At last it has designed to realization partly in the framework of system, which has basic intrusion detection capacity in practice.

Key words: computer security; network security; intrusion detection

1 前言

1.1 入侵檢測技術(shù)概述

入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術(shù)。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。具體來說，入侵檢測就是對網(wǎng)絡系統(tǒng)的運行狀態(tài)進行監(jiān)視，檢測發(fā)現(xiàn)各種攻擊企圖、攻擊行為和攻擊或攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性。

入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進行統(tǒng)計、自動地收集和系統(tǒng)相關(guān)的補丁、進行審計跟蹤識別違反安全策略的行為、使用誘騙服務器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。

1.2 入侵檢測的功能及原理

一個入侵檢測系統(tǒng)，至少應該能夠完成以下五個功能：監(jiān)控、分析用戶和系統(tǒng)的活動；檢查系統(tǒng)配置和漏洞；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；發(fā)現(xiàn)入侵企圖或異常現(xiàn)象；記錄、報警和主動響應。因此，入侵檢測技術(shù)就是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡安全技術(shù)。入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、入侵識別和響應），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它能夠從計算機網(wǎng)絡系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時做出響應，包括切斷網(wǎng)絡連接、記錄事件和報警等。

所以，入侵檢測系統(tǒng)的原理就是通過收集網(wǎng)絡中的有關(guān)信息和數(shù)據(jù)，對其進行分析發(fā)現(xiàn)隱藏在其中的攻擊者的足跡，并獲取攻擊證據(jù)和制止攻擊者的行為，最后進行數(shù)據(jù)恢復，從而達到保護用戶網(wǎng)絡資源的目的。

1.3 入侵檢測系統(tǒng)的分類

根據(jù)信息源的不同，入侵檢測系統(tǒng)分為基于主機型和基于網(wǎng)絡型兩大類。

基于主機的入侵檢測系統(tǒng)（Host-based Intrusion Detection System，HIDS）通常是安裝在被重點檢測的主機之上，主要是對該主機的網(wǎng)絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統(tǒng)計規(guī)律)，入侵檢測系統(tǒng)就會采取相應措施。

基于網(wǎng)絡的入侵檢測系統(tǒng)（Network-based Intrusion Detection System，NIDS）通常放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包進行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng)絡連接，不同入侵檢測系統(tǒng)在實現(xiàn)時采用的響應方式也可能不同，但通常都包括通知管理員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等。目前，大部分入侵檢測系統(tǒng)都是基于網(wǎng)絡的。

1.4 入侵檢測的過程

入侵檢測技術(shù)主要是審計記錄模式匹配和信息分析，因此它的具體任務是：1）監(jiān)視、分析用戶及系統(tǒng)活動；2）審計系統(tǒng)結(jié)構(gòu)及缺陷；3）鑒別進攻活動模式、識別違反安全策略的行為并及時報警；4）異常行為模式的統(tǒng)計分析；5）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；6）進行操作系統(tǒng)的實際跟蹤管理；

從總體來說，入侵檢測的工作流程可以大致分為以下幾個步驟：1）從系統(tǒng)的不同環(huán)節(jié)收集信息；2）分析該信息，試圖尋找入侵活動的特征；3）自動對檢測到的行為做出響應；4）紀錄并報告檢測過程結(jié)果。

2 網(wǎng)絡入侵檢測系統(tǒng)的總體設計

在計算機網(wǎng)絡中很多位置都特別易于受到電子攻擊的影響，設計一個基于網(wǎng)絡的入侵檢測系統(tǒng)進行網(wǎng)絡數(shù)據(jù)包的實時監(jiān)視，通過使用攻擊特征數(shù)據(jù)庫，入侵檢測系統(tǒng)對穿過網(wǎng)絡的每一個數(shù)據(jù)包都進行檢查，當發(fā)現(xiàn)入侵行為時立即告警。該入侵檢測系統(tǒng)由多個探測器和一個控制器平臺組成，探測器執(zhí)行網(wǎng)絡數(shù)據(jù)包的實時監(jiān)視，控制器提供管理軟件，用以配置、記錄并由探測器產(chǎn)生警報。

本系統(tǒng)設計體系結(jié)構(gòu)包括：入侵檢測體系和入侵檢測配置文件。

篇7

關(guān)鍵詞： 多網(wǎng)絡； 差異化入侵特征； WinPcap函數(shù)庫； 檢測平臺

中圖分類號： TN711?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2017）10?0149?04

Abstract： Since the traditional network intrusion feature detection method has low detection accuracy， a distributed intrusion detection system based on Libnids was designed and implemented. The system segments the multi?network environment into different logical areas. Each logical area contains different analysis nodes， and each node is composed of the data detection unit， analysis and detection unit， and management control unit. The WinPcap function library is used to acquire the data package， according to which， the WM pattern matching algorithm and protocol analysis matching detection model are used to detect the differentiated intrusion feature. The experimental results show that the system has high detection rate， low false alarm rate and low missing report rate.

Keywords： multi?network； differentiation intrusion feature； WinPcap function library； detection platform

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡攻擊問題也逐漸增加，而當前多網(wǎng)絡技術(shù)也成為快速發(fā)展的趨勢，多網(wǎng)絡技術(shù)廣泛應用于不同的領(lǐng)域。因此，為了確保網(wǎng)絡信息系統(tǒng)的安全，尋求有效的多網(wǎng)絡入侵特征檢測方法，具有重要的應用意義[1?3]。傳統(tǒng)的網(wǎng)絡入侵特征檢測方法，僅分析了不同網(wǎng)絡層間的點對點數(shù)據(jù)檢測過程，未分析多網(wǎng)絡環(huán)境下各應用層間的差異性較大產(chǎn)生的分類屬性差異模糊的問題，導致網(wǎng)絡入侵特征檢測準確性降低[4?6]。

1 基于Libnids分布式入侵檢測系統(tǒng)的研究

1.1 系統(tǒng)總體邏輯結(jié)構(gòu)設計

本文采用具有_放性的可用于網(wǎng)絡入侵檢測開發(fā)的專業(yè)編程接口Libnids（Library Network Intrusion Detection System），在Windows 操作系統(tǒng)平臺下設計了分布式網(wǎng)絡入侵檢測平臺。通過網(wǎng)絡安全開發(fā)包Libnids提供的編程接口，可設計出結(jié)構(gòu)化強的分布式網(wǎng)絡入侵檢測系統(tǒng)，實現(xiàn)多網(wǎng)絡環(huán)境下的差異化入侵特征檢測，其邏輯結(jié)構(gòu)如圖1所示。

將總體、入侵檢測系統(tǒng)分割成三個不同的邏輯子網(wǎng)，各子網(wǎng)中設置不同的分析節(jié)點，各節(jié)點由數(shù)據(jù)探測部件、分析檢測部件和管理控制部件構(gòu)成。

1.2 分析節(jié)點的邏輯結(jié)構(gòu)設計

設計的入侵檢測系統(tǒng)是融合狀態(tài)檢測、入侵分析和檢測等功能的，適用于多網(wǎng)絡環(huán)境的差異化入侵特征的檢測系統(tǒng)。采用“分而自治”的思想將總體多網(wǎng)絡環(huán)境分割成不同區(qū)域，將各區(qū)域看成不同的分析節(jié)點，各節(jié)點中有一個管理控制部件、多個數(shù)據(jù)探測部件和多個分析檢測部件。數(shù)據(jù)探測部件采集網(wǎng)絡數(shù)據(jù)包，過濾其中的無價值數(shù)據(jù)，采集有價值數(shù)據(jù)，同時反饋給相應的分析檢測部件。

分析檢測部件對數(shù)據(jù)探測部件反饋的數(shù)據(jù)進行模式匹配以及協(xié)議研究，明確是否存在差異化入侵特征將結(jié)果反饋給管理控制部件進行存儲。管理控制部件同其他分析節(jié)點進行信息的溝通，采用圖像界面顯示出數(shù)據(jù)包信息和差異化入侵特征信息。各分析結(jié)點的邏輯結(jié)構(gòu)如圖2所示。

2 基于Libnids分布式入侵檢測系統(tǒng)的功能實現(xiàn)

2.1 數(shù)據(jù)探測部件利用WinPcap實現(xiàn)數(shù)據(jù)包的采集

數(shù)據(jù)探測部件是總體系統(tǒng)的基礎(chǔ)，其由數(shù)據(jù)包采集模塊和過濾器模塊構(gòu)成，采集多網(wǎng)絡環(huán)境中的差異化網(wǎng)絡數(shù)據(jù)包，并刪除其中的無價值數(shù)據(jù)，將有價值數(shù)據(jù)反饋給所屬的分析檢測部件。設計的數(shù)據(jù)探測部件在Windows平臺下利用WinPcap函數(shù)庫實現(xiàn)了數(shù)據(jù)包的監(jiān)測和采集，并進行初步過濾，為網(wǎng)絡差異化入侵特征的檢測提供基礎(chǔ)。

多網(wǎng)絡環(huán)境能夠分割成不同的區(qū)域，各區(qū)域也就是一個局域網(wǎng)，這些局域網(wǎng)間采用廣播信道通信途徑進行通信，該通信方法確保多網(wǎng)絡環(huán)境匯總傳遞的數(shù)據(jù)包，可被相同區(qū)域中的全部站點接收，并且不同站點的網(wǎng)卡能夠?qū)崿F(xiàn)數(shù)據(jù)包的發(fā)送以及接收。在Windows平臺下網(wǎng)絡數(shù)據(jù)包采集程序的結(jié)構(gòu)如圖3所示。

采集到的海量數(shù)據(jù)包中含有較多的不必檢測的數(shù)據(jù)包。為了提高入侵檢測分析模塊的分析效率，需要采用過濾器模塊過濾出制定種類的數(shù)據(jù)包。過濾器模塊調(diào)用WinPcap的函數(shù)，對HTTP，TCP，UDP，KMP，ARP以及IP數(shù)據(jù)包進行過濾，完成網(wǎng)絡數(shù)據(jù)包的采集，具體的流程如圖4所示。

2.2 分析檢測部件的設計和實現(xiàn)

2.2.1 入侵檢測分析模塊的設計

入侵檢測分析模塊是系統(tǒng)的關(guān)鍵部分，系統(tǒng)通過協(xié)議分析技術(shù)和模式匹配技術(shù)，對網(wǎng)絡數(shù)據(jù)包進行分析，進而判斷多網(wǎng)絡環(huán)境中是否存在差異化入侵特征，入侵檢測分析模塊的基本結(jié)構(gòu)如圖5所示。

2.2.2 模式匹配算法的選擇

WM算法包括預操作和檢索兩個過程，預操作過程對模式串L進行操作后，形成SHIFT表、HASH表和PREFIX表。其中SHIFT為無價值字符表，可保存文本中全部塊字符的移動距離；HASH可保存同匹配窗口中末位塊字符散列值一致的模式串；PREFIX表包括同匹配窗口中第一塊字符散列值一致的模式串。檢索過程采用上述三個表對匹配串T進行遍歷分析，完成差異化入侵特征的檢測，具體的實現(xiàn)流程如圖6所示。

2.2.3 分析匹配檢測基本流程與實現(xiàn)

完成數(shù)據(jù)包的解析后，需要對網(wǎng)絡協(xié)議進行分析和匹配檢測，具體的流程如圖7所示。

通過上述描述的協(xié)議分析匹配檢測方法，對獲取的網(wǎng)絡數(shù)據(jù)包進行檢測時，可通過Libnids關(guān)聯(lián)的函數(shù)對不同的網(wǎng)絡入侵特征進行檢測，具體的流程見圖8。

2.3 通信模塊的設計與實現(xiàn)

連接申請后塑造連接和遠程通信接口，完成信息交互。通信模塊進行通信的工作流程如圖9所示。通過SSL協(xié)議完成多網(wǎng)絡環(huán)境下的信息傳遞，可確保不同分析節(jié)點的通信模塊間通信的安全性。

SSL為安全協(xié)議，其具備信息加密、數(shù)字簽到等功能，可依據(jù)TCP協(xié)議中提供的穩(wěn)定端到端安全服務，確保客戶/服務器應用間通信的安全性。系統(tǒng)要求程序間的通信，在SSL協(xié)議進行完數(shù)據(jù)加密、會話密銷的控制后，再進行通信，并且對程序通信傳輸?shù)臄?shù)據(jù)進行加密，進而提升總體通信的安全性。

3 實驗分析

實驗采用不同的攻擊工具進行相應數(shù)量的攻擊模擬，分析本文系統(tǒng)的入侵檢測系統(tǒng)在多網(wǎng)絡環(huán)境下的入侵檢測效果，并設置在40 Mb/s網(wǎng)絡流量下的入侵檢測虛警率應小于2%，漏報率小于1.8%。本文系統(tǒng)的測試結(jié)果，如表1所示。

分析表1可以看出，本文設計的入侵檢測系統(tǒng)的檢測率高于95%，并且虛警率以及漏報率都符合設置的規(guī)范要求，說明本文系統(tǒng)能夠?qū)崿F(xiàn)多網(wǎng)絡環(huán)境下的差異化入侵特征的準確檢測。實驗對基于關(guān)聯(lián)規(guī)則的入侵檢測系統(tǒng)，在相同的網(wǎng)絡環(huán)境下，通過相應的攻擊工具進行同數(shù)量的攻擊模擬的檢測結(jié)果如表2所示。

對比分析表1和表2 可以看出，本文系統(tǒng)的入侵檢測率高于關(guān)聯(lián)規(guī)則方法，并且本文系統(tǒng)的虛警率和漏報率均低于關(guān)聯(lián)規(guī)則方法。因此說明，本文系統(tǒng)的入侵檢測性能較高，具有較高的應用價值。

4 結(jié) 論

本文設計并實現(xiàn)了基于Libnids分布式入侵檢測系統(tǒng)，在該系統(tǒng)實現(xiàn)方面，利用WinPcap函數(shù)庫完成數(shù)據(jù)包的采集，依據(jù)采集的數(shù)據(jù)包，通過WM模式匹配算法和協(xié)議分析匹配檢測模型，進行差異化入侵特征的檢測。實驗結(jié)果表明，該系統(tǒng)具有較高的檢測率、較低的虛警率和漏報率。

表2 基于關(guān)聯(lián)規(guī)則的入侵檢測系統(tǒng)測結(jié)果

參考文獻

[1] 王輝，陳泓予，劉淑芬.基于改進樸素貝葉斯算法的入侵檢測系統(tǒng)[J].計算機科學，2014，41（4）：111?115.

[2] 程建，張明清，劉小虎，等.基于人工免疫的分布式入侵檢測模型[J].計算機應用，2014，34（1）：86?89.

[3] 張雙雙，王延年.節(jié)點分布不均勻的無線傳感網(wǎng)絡低功耗算法[J].西安工程大學學報，2015，29（6）：720?723.

[4] 譚愛平，陳浩，吳伯橋.基于SVM的網(wǎng)絡入侵檢測集成學習算法[J].計算機科學，2014，41（2）：197?200.

篇8

【關(guān)鍵詞】網(wǎng)絡安全 入侵檢測

一、現(xiàn)在網(wǎng)絡安全隱患

隨著計算機技術(shù)的發(fā)展在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡連接的安全問題也日益突出，很多組織正在致力于提出更多的更強大的主動策略和方案來增強網(wǎng)絡的安全性，然而另一個更為有效的解決途徑就是入侵檢測。在入侵檢測之前，大量的安全機制都是根據(jù)從主觀的角度設計的，他們沒有根據(jù)網(wǎng)絡攻擊的具體行為來決定安全對策。因此，它們對入侵行為的反應非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡行為的變化來及時地調(diào)整系統(tǒng)的安全策略。而入侵檢測正是根據(jù)網(wǎng)絡攻擊行為而進行設計的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學習和分析入侵手段，及時地調(diào)整系

統(tǒng)策略以加強系統(tǒng)的安全性。

二、入侵檢測的定義

入侵檢測是從系統(tǒng)(網(wǎng)絡)的關(guān)鍵點采集信息并分析信息，察看系統(tǒng)(網(wǎng)絡)中是否有違法安全策略的行為，保證系統(tǒng)(網(wǎng)絡)的安全性，完整性和可用性。它從計算機網(wǎng)絡系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。

三、入侵檢測的系統(tǒng)功能構(gòu)成

一個入侵檢測系統(tǒng)的功能結(jié)構(gòu)如圖一所示，它至少包含事件提取、入侵分析、入侵響應和遠程管理四部分功能。

入侵分析的任務就是在提取到的運行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的正常訪問行為和非授權(quán)的不正常訪問行為區(qū)分開，分析出入侵行為并對入侵者進行定位。

入侵響應功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應。

由于單個入侵檢測系統(tǒng)的檢測能力和檢測范圍的限制，入侵檢測系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu)，多個檢測單元運行于網(wǎng)絡中的各個網(wǎng)段或系統(tǒng)上，通過遠程管理功能在一臺管理站點上實現(xiàn)統(tǒng)一的管理和監(jiān)控。

四、入侵檢測系統(tǒng)分類

入侵檢測系統(tǒng)根據(jù)其檢測數(shù)據(jù)來源分為兩類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)。

1.基于網(wǎng)絡的入侵檢測系統(tǒng)

基于網(wǎng)絡的入侵檢測系統(tǒng)通過網(wǎng)絡監(jiān)視來實現(xiàn)數(shù)據(jù)提取。在internet中，局域網(wǎng)普遍采用ieee 802.3協(xié)議。該協(xié)議定義主機進行數(shù)據(jù)傳輸時采用子網(wǎng)廣播的方式，任何一臺主機發(fā)送的數(shù)據(jù)包，都會在所經(jīng)過的子網(wǎng)中進行廣播，也就是說，任何一臺主機接收和發(fā)送的數(shù)據(jù)都可以被同一子網(wǎng)內(nèi)的其他主機接收。在正常設置下，主機的網(wǎng)卡對每一個到達的數(shù)據(jù)包進行過濾，只將目的地址是本機的或廣播地址的數(shù)據(jù)包放入接收緩沖區(qū)，而將其他數(shù)據(jù)包丟棄，因此，正常情況下網(wǎng)絡上的主機表現(xiàn)為只關(guān)心與本機有關(guān)的數(shù)據(jù)包，但是將網(wǎng)卡的接收模式進行適當?shù)脑O置后就可以改變網(wǎng)卡的過濾策略，使網(wǎng)卡能夠接收經(jīng)過本網(wǎng)段的所有數(shù)據(jù)包，無論這些數(shù)據(jù)包的目的地是否是該主機。網(wǎng)卡的這種接收模式被稱為混雜模式，目前絕大部分網(wǎng)卡都提供這種設置，因此，在需要的時候，對網(wǎng)卡進行合理的設置就能獲得經(jīng)過本網(wǎng)段的所有通信信息，從而實現(xiàn)網(wǎng)絡監(jiān)視的功能。在其他網(wǎng)絡環(huán)境下，雖然可能不采用廣播的方式傳送報文，但目前很多路由設備或交換機都提供數(shù)據(jù)報文監(jiān)視功能。

2.基于網(wǎng)絡的入侵檢測系統(tǒng)

基于主機的入侵檢測系統(tǒng)將檢測模塊駐留在被保護系統(tǒng)上，通過提取被保護系統(tǒng)的運行數(shù)據(jù)并進行入侵分析來實現(xiàn)入侵檢測的功能。

基于主機的入侵檢測系統(tǒng)可以有若干種實現(xiàn)方法：

檢測系統(tǒng)設置以發(fā)現(xiàn)不正當?shù)南到y(tǒng)設置和系統(tǒng)設置的不正當更改對系統(tǒng)安全狀態(tài)進行定期檢查以發(fā)現(xiàn)不正常的安全狀態(tài)。

基于主機日志的安全審計，通過分析主機日志來發(fā)現(xiàn)入侵行為?；谥鳈C的入侵檢測系統(tǒng)具有檢測效率高，分析代價小，分析速度快的特點，能夠迅速并準確地定位入侵者，并可以結(jié)合操作系統(tǒng)和應用程序的行為特征對入侵進行進一步分析。目前很多是基于主機日志分析的入侵檢測系統(tǒng)?；谥鳈C的入侵檢測系統(tǒng)存在的問題是：首先它在一定程度上依賴于系統(tǒng)的可靠性，它要求系統(tǒng)本身應該具備基本的安全功能并具有合理的設置，然后才能提取入侵信息；即使進行了正確的設置，對操作系統(tǒng)熟悉的攻擊者仍然有可能在入侵行為完成后及時地將系統(tǒng)日志抹去，從而不被發(fā)覺；并且主機的日志能夠提供的信息有限，有的入侵手段和途徑不會在日志中有所反映，日志系統(tǒng)對有的入侵行為不能做出正確的響應，例如利用網(wǎng)絡協(xié)議棧的漏洞進行的攻擊，通過ping命令發(fā)送大數(shù)據(jù)包，造成系統(tǒng)協(xié)議棧溢出而死機，或是利用arp欺騙來偽裝成其他主機進行通信，這些手段都不會被高層的日志記錄下來。在數(shù)據(jù)提取的實時性、充分性、可靠性方面基于主機日志的入侵檢測系統(tǒng)不如基于網(wǎng)絡的入侵檢測系統(tǒng)。

五、入侵檢測技術(shù)的發(fā)展方向

近年對入侵檢測技術(shù)有幾個主要發(fā)展方向:

(1)分布式入侵檢測與通用入侵檢測架構(gòu)

傳統(tǒng)的ids一般局限于單一的主機或網(wǎng)絡架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡的監(jiān)測明顯不足。同時不同的ids系統(tǒng)之間不能協(xié)同工作能力，為解決這一問題，需要分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。

(2)應用層入侵檢測

許多入侵的語義只有在應用層才能理解，而目前的ids僅能檢測如web之類的通用協(xié)議，而不能處理如lotus notes、數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)。許多基于客戶、服務器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應用，需要應用層的入侵檢測保護。

(3)智能的入侵檢測

入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡與遺傳算法在入侵檢測領(lǐng)域應用研究，但是這只是一些嘗試性的研究工作，需要對智能化的ids加以進一步的研究以解決其自學習與自適應能力。

入侵檢測產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，我們認為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識別和完整性檢測）外，應重點加強統(tǒng)計分析的相關(guān)技術(shù)研究。

參考文獻：

篇9

關(guān)鍵詞：入侵檢測系統(tǒng)；異常檢測模式；誤用檢測模式；混合檢測模式

中圖分類號：TP393.08文獻標識碼：A文章編號：1007-9599 (2011) 04-0000-02

Intrusion Detection Model Research Based on Mixed Detection Mode

Zhong Rui

(Modern Education Technology Center,Gannan Normal University,Ganzhou341000,China)

Abstract:This paper analyses the frequently-used intrusion detection technology function in details.The author has proposed intrusion detection model based on mixed mode,which combines the abnormal detection mode with misuse detection mode.The integrated use of these two modes makes up for disadvantages of both modes.The intrusion detection model based on mixed mode could extremely improve network attack detection rate of intrusion detection system,in the meanwhile it reduces the network attack false positive rate and has strong practicability.

Keywords:Intrusion Detection System;Abnormal detection mode;Misuse detection mode;Mixed detection mode

一、引言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，各種互聯(lián)網(wǎng)的應用層出不窮，給人們的生活帶來了極大的便利，由于互聯(lián)網(wǎng)的開放性和互聯(lián)性，在給人們帶來便利的同時也留下了諸多不安全的隱患，各種病毒和木馬在互聯(lián)網(wǎng)上肆意傳播，網(wǎng)絡安全問題成為互聯(lián)網(wǎng)上最為棘手的技術(shù)難題。依據(jù)CNCERT抽樣監(jiān)測結(jié)果和國家信息安全漏洞共享平臺（CNVD）的數(shù)據(jù)，境內(nèi)被木馬控制的主機IP地址數(shù)目約為51萬個；境內(nèi)被僵尸網(wǎng)絡控制的主機IP地址數(shù)目約為1.3萬個，環(huán)比增長9%；境內(nèi)被篡改政府網(wǎng)站數(shù)量為73個，環(huán)比增長7%；新增信息安全漏洞94個，環(huán)比增長236%，其中高危漏洞12個。由此可見目前網(wǎng)絡安全態(tài)勢不容樂觀，因此入侵檢測技術(shù)已成為當前解決網(wǎng)絡安全問題的重要技術(shù)手段，具有重要的研究意義。

二、入侵檢測技術(shù)分類

目前入侵檢測技術(shù)的方法有按照檢測模式分類，能夠分為兩類：基于誤用的入侵檢測系統(tǒng)與基于異常的入侵檢測系統(tǒng)，這兩種類別的入侵檢測系統(tǒng)在攻擊檢測率、實時性、誤報率等方面都具有不同的優(yōu)勢。

（一）基于誤用的入侵檢測技術(shù)

使用數(shù)學建模方法對目前現(xiàn)有網(wǎng)絡攻擊所具有的特征進行抽象，建立網(wǎng)絡攻擊的特征模型，在進行入侵檢測時將當前網(wǎng)絡數(shù)據(jù)包特征與網(wǎng)絡攻擊特征庫中的各種網(wǎng)絡攻擊進行對比，若與網(wǎng)絡攻擊特征庫中的某一網(wǎng)絡攻擊特征匹配，則進行報警過濾處理?；谡`用的入侵檢測技術(shù)是對異常網(wǎng)絡行為特征進行建模，具有誤報率低的特點。由于網(wǎng)絡攻擊的多樣性導致網(wǎng)絡攻擊特征庫不完全，無法檢測出未知網(wǎng)絡攻擊。為了提高基于誤用的入侵檢測系統(tǒng)的檢測率需要不斷對其特征庫進行更新，以應對網(wǎng)絡中不斷出現(xiàn)的各種網(wǎng)絡攻擊。

（二）基于異常的入侵檢測技術(shù)

當網(wǎng)絡處于正常時分析網(wǎng)絡數(shù)據(jù)包所具有的特征，構(gòu)建正常網(wǎng)絡行為特征的數(shù)學模型，進行入侵檢測時將當前網(wǎng)絡數(shù)據(jù)包特征與正常特征庫進行對比檢測，若與正常行為特征庫的偏離度超出所設定閾值時，則認定當前網(wǎng)絡狀態(tài)存在異常?；诋惓５娜肭謾z測技術(shù)是對正常的網(wǎng)絡行為特征進行建模，因此特征庫的體積很小且不用進行更新?；诋惓５娜肭謾z測技術(shù)具有很高的檢測率，同時其誤報率也很高。

三、基于混合檢測模式的入侵檢測模型分析

通過對目前現(xiàn)有入侵檢測技術(shù)的分析得知，誤用檢測技術(shù)具有高檢測率、高漏報率的特點，異常檢測技術(shù)具有高檢測率、高誤報率的特點，因此在構(gòu)建入侵檢測系統(tǒng)時，若只使用其中一種檢測技術(shù)來構(gòu)建入侵檢測系統(tǒng)，都無法實現(xiàn)入侵檢測系統(tǒng)的高效性和實時性。為了改善這兩種檢測模式的不足，通過結(jié)合使用兩種檢測模式，將能彌補兩者所存在的不足，在這里本文提出了基于混合模式的入侵檢測模型。

基于混合模式的入侵檢測模型的系統(tǒng)結(jié)構(gòu)圖，如圖1所示：

該檢測模型的具體工作流程為：

第一步：在進行網(wǎng)絡攻擊檢測前，需要建立正常網(wǎng)絡特征庫與網(wǎng)絡攻擊特征庫，以上兩個特征庫將被基于異常的入侵檢測技術(shù)模塊與基于誤用入侵檢測技術(shù)模塊調(diào)用；

第二步：實施網(wǎng)絡攻擊檢測時，從互聯(lián)網(wǎng)中將網(wǎng)絡數(shù)據(jù)包采集下來，送入基于異常的入侵檢測技術(shù)模塊，檢測當前網(wǎng)絡數(shù)據(jù)包中是否存在異常情況，若當前網(wǎng)絡數(shù)據(jù)包的特征與正常網(wǎng)絡特征庫的偏離度超出所設定的閾值時，該模塊報告異常同時將存在異常的網(wǎng)絡數(shù)據(jù)包送入基于誤用的入侵檢測技術(shù)模塊中，以進一步確定導致網(wǎng)絡異常的原因；若基于異常的網(wǎng)絡入侵檢測技術(shù)模塊報告未發(fā)現(xiàn)異常，則放行數(shù)據(jù)包；

第三步：對出現(xiàn)異常的網(wǎng)絡數(shù)據(jù)包進行誤用檢測，基于誤用的入侵檢測技術(shù)模塊將對出現(xiàn)異常的網(wǎng)絡數(shù)據(jù)包實施拆包檢測，將存在異常的網(wǎng)絡數(shù)據(jù)包特征與網(wǎng)絡攻擊特征庫中的特征進行比對，若存在匹配的網(wǎng)絡攻擊則報告當前網(wǎng)絡攻擊同時對該網(wǎng)絡攻擊數(shù)據(jù)包進行過濾。

第四步：若異常網(wǎng)絡數(shù)據(jù)包的特征與網(wǎng)絡攻擊特征庫中的特征沒有匹配項，則需要通過手工分析的方式對當前出現(xiàn)異常的網(wǎng)絡數(shù)據(jù)包進行拆包分析，以確定導致當前網(wǎng)絡異常是否由網(wǎng)絡攻擊導致。如果是網(wǎng)絡攻擊，需要在網(wǎng)絡攻擊特征庫添加該類型的網(wǎng)絡攻擊，如果不是網(wǎng)絡攻擊，放行該類型的網(wǎng)絡數(shù)據(jù)包；

（一）基于誤用的入侵檢測技術(shù)模塊實現(xiàn)方法

目前常用于構(gòu)建基于誤用入侵檢測系統(tǒng)技術(shù)模塊的方法有模式匹配、狀態(tài)轉(zhuǎn)換分析等方法。

模式匹配是最為常用的檢測技術(shù)，該技術(shù)是通過獲取網(wǎng)絡攻擊相關(guān)的特征信息，并建立相應的網(wǎng)絡攻擊特征規(guī)則庫，其檢測策略與防火墻相同，都是將當前網(wǎng)絡數(shù)據(jù)信息與攻擊特征規(guī)則庫中的規(guī)則進行對比，若匹配則判定為網(wǎng)絡攻擊行為，因此這種檢測方法的檢測準確率很高。使用模式匹配技術(shù)進行網(wǎng)絡攻擊檢測時最關(guān)鍵的工作是要不斷的更新網(wǎng)絡攻擊特征規(guī)則庫，以應付網(wǎng)絡中不斷出現(xiàn)的新的攻擊手段。

狀態(tài)轉(zhuǎn)移分析方法是將網(wǎng)絡攻擊行為看成由一系列的狀態(tài)轉(zhuǎn)移構(gòu)成，由攻擊剛開始時的準備階段一直到網(wǎng)絡攻擊完成的介紹階段，使用數(shù)學模型對整個攻擊階段狀態(tài)的變化進行描述，建立網(wǎng)絡攻擊的狀態(tài)轉(zhuǎn)換模型，在進行網(wǎng)絡攻擊檢測時使用該模型對網(wǎng)絡攻擊行為判定，由于該模型是對狀態(tài)轉(zhuǎn)移進行建模的，因此基于狀態(tài)轉(zhuǎn)換分析的入侵檢測方法能夠在網(wǎng)絡攻擊剛開始時就能將網(wǎng)絡攻擊檢測出來，具有較好的實時性。

（二）基于異常的入侵檢測技術(shù)模塊實現(xiàn)方法

建立基于異常網(wǎng)絡檢測模型時常用的方法有模式預測、數(shù)據(jù)挖掘等方法。模式預測方法是通過對事件發(fā)生的順序以及事件之間的相互關(guān)系進行描述，并依據(jù)這些描述建立起相應的特征庫，在進行網(wǎng)絡攻擊檢測時，能夠檢測出在進行網(wǎng)絡攻擊前一些特有網(wǎng)絡攻擊先兆，目前大部分網(wǎng)絡攻擊在實施攻擊前都需要對目標主機進行踩點和探測，基于模式預測的網(wǎng)絡攻擊檢測方法能夠?qū)⒐羟安赛c和探測檢測出，識別出網(wǎng)絡攻擊的企圖，因此該技術(shù)具有較好的預測性，實時性好。

數(shù)據(jù)挖掘技術(shù)是通過使用數(shù)據(jù)挖掘算法對大量系統(tǒng)日志信息、審計日志以及網(wǎng)絡數(shù)據(jù)包等進行分析和信息提出，發(fā)掘出其中有用的網(wǎng)絡安全的數(shù)據(jù)信息，建立正常網(wǎng)絡行為特征模型，在進行攻擊檢測時將當前網(wǎng)絡數(shù)據(jù)包特征信息與正常網(wǎng)絡行為特征進行對比，若偏離度大于設定的閾值則存在網(wǎng)絡攻擊行為。

四、總結(jié)

本文所構(gòu)建的基于混合檢測模式的入侵檢測模型，綜合使用了基于異常的入侵檢測技術(shù)與基于誤用的入侵檢測技術(shù)，兩種檢測技術(shù)的混合使用彌補了各檢測技術(shù)中所存在的不足，混合檢測模式的使用能夠極大的提高入侵檢測系統(tǒng)的檢測率，降低網(wǎng)絡攻擊檢測系統(tǒng)的誤報率，對提升入侵檢測系統(tǒng)的性能起到了極大的促進作用。

參考文獻：

[1]ZHUGE JW,HAN XH,ZHOU YL.Research and development of botnets[J].Journal of Software,2008,19,3

[2]國家互聯(lián)網(wǎng)應急中心.網(wǎng)絡安全信息與動態(tài)周報[EB/OL].[2010-9-7]..cn/UserFiles/File/201033weekly.pdf

篇10

    關(guān)鍵詞:入侵檢測技術(shù);生物免疫系統(tǒng);人工免疫系統(tǒng)。

    引言

    網(wǎng)絡技術(shù)的不斷發(fā)展,極大的加快了社會信息化的步伐。網(wǎng)絡技術(shù)在給人們帶來巨大的便利之時,也給人類帶來了巨大的挑戰(zhàn)。網(wǎng)絡的開放性為信息的竊取、盜用、非法修改及各種擾亂破壞提供了可乘之機。因此,計算機安全變得越來越重要,如何對計算機系統(tǒng)和網(wǎng)絡中的各種非法行為進行主動防御和有效抑制,成為當今計算機安全亟待解決的重要問題。

    1、[番茄花園3] 傳統(tǒng)的網(wǎng)絡安全采取的防護措施及簡要分析

    傳統(tǒng)的網(wǎng)絡安全防護,是以防火墻和殺毒軟件為主體,再加上身份認證機制等構(gòu)建的防護體系,這種方法對防止系統(tǒng)被非法入侵有一定的效果。

    但是,某些入侵者會設法尋找防火墻背后可能敞開的通道對其進行攻擊,另一方面防火墻在防止網(wǎng)絡內(nèi)部襲擊等方面收效甚微,對于企業(yè)內(nèi)部心懷不滿而又技術(shù)高超的員工來說,防火墻形同虛設。而且,由于功能有限,防火墻通常不能提供有效的入侵檢測。

    因此,要構(gòu)建一個合格的網(wǎng)絡安全保護體系,光靠防火墻是遠遠不夠的,還需要有能夠?qū)W(wǎng)絡進行實時監(jiān)控、實時報警,并且能夠有效識別攻擊手段的網(wǎng)絡安全工具。

    入侵檢測系統(tǒng)(IDS,Intrusion Detection System)應運而生。

    2、基于人工免疫的入侵檢測技術(shù)手段

    2.1入侵檢測技術(shù)的系統(tǒng)機制

    所謂入侵檢測,就是指檢測對計算機或網(wǎng)絡進行非授權(quán)使用或入侵的過程。入侵檢測技術(shù)主要是研究使用什么樣的方法來檢測入侵行為。

    入侵檢測是近年來網(wǎng)絡安全研究的熱點,隨著計算機和網(wǎng)絡技術(shù)的不斷發(fā)展,系統(tǒng)遭受的入侵和攻擊也越來越多。網(wǎng)絡與信息安全問題顯得越來越突出,研究入侵檢測及防御技術(shù)很有必要。

    入侵檢測系統(tǒng)可通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關(guān)鍵點的信息收集并對其進行分析,發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中違反安全策略的行為和攻擊跡象,產(chǎn)生報警,從而有效防護網(wǎng)絡的安全。

    入侵檢測系統(tǒng)作為防火墻之后的有益補充,有著不可替代的作用,在網(wǎng)絡安全防護中的地位也越來越突出。作為一個全新的、快速發(fā)展的領(lǐng)域,有關(guān)入侵檢測技術(shù)的研究已經(jīng)成為網(wǎng)絡安全中極為重要的一個課題,已經(jīng)引起了國內(nèi)外許多專家學者的廣泛重視,對入侵檢測技術(shù)的研究具有十分重要的意義。[1]

    2.2 生物免疫系統(tǒng)原理

    生物免疫系統(tǒng)將所有的細胞分為兩類:自身的細胞(Self細胞)和非自身的細胞(Non-Self細胞)。Self細胞指自身健康,沒有被感染、破壞的細胞;Non-Self 細胞是指病毒、細菌、寄生蟲等有害物質(zhì)和自身被感染、破壞的細胞

    免疫系統(tǒng)只對Non-Self細胞具有免疫作用。當一個外部抗原(Non-self細胞)襲擊身體時,抗原體細胞把外部分子分解到抗原決定基層次,產(chǎn)生與抗原決定基結(jié)合的抗體。一旦抗原決定基發(fā)現(xiàn)匹配,一個特定信號就會發(fā)給免疫細胞,產(chǎn)生更多的抗體,淹沒抗原威脅或感染。只有那些能夠識別抗原的細胞才進行擴增,才會被免疫系統(tǒng)保留下來。

    2.3人工免疫系統(tǒng)

    人工免疫系統(tǒng)是研究、借鑒和利用生物免疫系統(tǒng)(這里主要是指人類的免疫系統(tǒng))各種原理和機制而發(fā)展的各類信息處理技術(shù)、計算技術(shù)及其在工程和科學中的應用而產(chǎn)生的各種智能系統(tǒng)的統(tǒng)稱

    2.4入侵檢測系統(tǒng)與免疫系統(tǒng)的相似性

    從生物的免疫系統(tǒng)特點出發(fā)可以發(fā)現(xiàn),入侵檢測系統(tǒng)與免疫系統(tǒng)具有本質(zhì)的相似性:

    免疫系統(tǒng)負責識別生物體“自身”(Self)和“非自身”(Non-self)的細胞,清除異常細胞。入侵檢測系統(tǒng)則辨別正常和異常行為模式。生物免疫系統(tǒng)對抗原的初次應答類似于入侵檢測系統(tǒng)異常檢測,可檢測出未知的抗原。生物免疫系統(tǒng)第二次應答即利用對抗原的“記憶”引發(fā)的再次應答與誤用檢測相類似。

    利用生物免疫系統(tǒng)的這些特性,應用到入侵檢測領(lǐng)域,能有效的阻止和預防對計算機系統(tǒng)和網(wǎng)絡的入侵行為,可增強信息的安全性。[4]

    3、基于人工免疫的入侵檢測

    3.1  概念提出

    根據(jù)上面的敘述我們發(fā)現(xiàn):

    入侵檢測系統(tǒng)的作用在于檢測并阻止系統(tǒng)內(nèi)外部非法用戶的攻擊,免疫系統(tǒng)的作用在于保護生物體免受外部病原體(如病毒,細菌等)的攻擊。二者的行為本質(zhì)上可以歸結(jié)為對危險“非我”的識別和清除,這種相似性為借鑒免疫機制研究入侵檢測提供了一種新的思路。

    從信息處理的角度來看,免疫系統(tǒng)是一個自適應、自學習、自組織、并行處理和分布協(xié)調(diào)的復雜系統(tǒng)。目前,國際上不少研究人員已經(jīng)認識到生物免疫系統(tǒng)中蘊涵了豐富且有效的信息處理機制,并針對計算機網(wǎng)絡抗入侵、反病毒等安全問題,建立了相應的人工免疫模型和系統(tǒng),取得了一定的進展,具有十分廣闊的應用前景。

    同時,在當前網(wǎng)絡安全面臨諸多困難的時期,借鑒生物免疫系統(tǒng)來設計網(wǎng)絡安全新機制也變得更加緊迫,具有十分重要的意義。

    3.2 基于人工免疫入侵檢測的分類

    基于人工免疫的入侵檢測技術(shù)主要分為基于人工免疫的異常檢測技術(shù)和基于人工免疫的誤用檢測技術(shù)兩種,檢測系統(tǒng)主要分為基于主機的人工免疫入侵檢測系統(tǒng)和基于網(wǎng)絡的人工免疫入侵檢測系統(tǒng)兩種。每一種技術(shù)都可應用于任意一種檢測系統(tǒng),每一種檢測系統(tǒng)也可以使用任意一種檢測技術(shù)。

    4、現(xiàn)有的成熟技術(shù)及模型

    基于人工免疫的入侵檢測技術(shù)雖然都是應用人工免疫與入侵檢測相結(jié)合的方法,但是該技術(shù)并不是固定不變的,不同的研究人員根據(jù)自己的研究提出了不同的入侵檢測模型。

    4.1 基于人工免疫入侵檢測和防火墻的網(wǎng)絡安全主動防御技術(shù)

    本節(jié)將人工免疫入侵檢測系統(tǒng)和防火墻結(jié)合起來提出一種動態(tài)網(wǎng)絡安全主動防御技術(shù), 能夠全方位對計算機網(wǎng)絡進行安全防護。

    防火墻

    本節(jié)提到的防火墻是一種新型防火墻, 它除了一般防火墻的網(wǎng)段隔離、基于IP 和端口的阻斷、NAT 等功能外, 還增加了內(nèi)容過濾、動態(tài)配置、安全防護等功能等。

    入侵檢測

    入侵監(jiān)測系統(tǒng)能夠通過向管理員發(fā)出入侵或者入侵企圖來加強當前的存取控制系統(tǒng),例如防火墻;識別防火墻通常不能識別的攻擊,如來自企業(yè)內(nèi)部的攻擊;在發(fā)現(xiàn)入侵企圖之后提供必要的信息,幫助系統(tǒng)的移植。

    4.1.1基于人工免疫原理建立的入侵檢測模型

    入侵檢測是通過對系統(tǒng)或者是網(wǎng)絡的運行狀態(tài)進行檢測,發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果,以保證系統(tǒng)資源的機密性、完整性和可用性。借鑒生物免疫系統(tǒng)在抵抗外界有害抗原的入侵上有效、獨特的工作機制,能夠很好的解決現(xiàn)有入侵檢測系統(tǒng)的高誤報率和缺乏自適應性。本節(jié)將人工免疫入侵檢測系統(tǒng)分為基于主機和網(wǎng)絡兩類,檢測的對象是運行在主機上的各種操作行為和通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)包。

    1、基于主機的人工免疫入侵檢測模型

    在免疫計算機的生物學模擬中,將計算機中感興趣的程序(如Ftp,Telnet,Send mail 等等)的活動進程視為分子,將多個進程運行的計算機視為多細胞有機體,將計算機網(wǎng)絡視為有機體組織。入侵識別主要根據(jù)網(wǎng)絡操作系統(tǒng)中由授權(quán)程序執(zhí)行的系統(tǒng)調(diào)用短序列,類似于肽鏈。在系統(tǒng)中, 建立一個類似于淋巴細胞的進程,該進程直接和內(nèi)核通信,檢控其他進程及時發(fā)現(xiàn)程序執(zhí)行的異常。與免疫系統(tǒng)的判別機制相同,當該“淋巴細胞”進程發(fā)現(xiàn)某個進程運行異常時,就認為該進程被破壞或正在受到攻擊。免疫計算機實時檢控和處理主機的審計數(shù)據(jù),提取感興趣的行為數(shù)據(jù),建立行為特征模式,并與已知的正常行為模式匹配,一旦發(fā)現(xiàn)異常便報警?；谥鳈C的人工免疫入侵檢測模型如圖1 所示

    該模型主要由入侵分析、入侵判斷和入侵響應三個部分構(gòu)成。從操作系統(tǒng)提取的審計數(shù)據(jù)經(jīng)數(shù)據(jù)過濾及分析處理,轉(zhuǎn)換為統(tǒng)一的數(shù)據(jù)模式以便執(zhí)行入侵分析。行為特征數(shù)據(jù)庫是入侵判斷的主要依據(jù),通過入侵判斷(與行為特征數(shù)據(jù)庫的匹配),將判斷結(jié)果通過用戶界面通知系統(tǒng)管理員或交由系統(tǒng)自行處理。

    2、基于網(wǎng)絡的人工免疫入侵檢測模型