蘇州大學(xué)學(xué)位論文使用授權(quán)聲明 本人完全了解蘇州大學(xué)關(guān)于收集、保存和使用學(xué)位論文的規(guī)定， 即：學(xué)位論文著作權(quán)歸屬蘇州大學(xué)。本學(xué)位論文電子文檔的內(nèi)容和紙 質(zhì)論文的內(nèi)容相一致蘇州大學(xué)有權(quán)向國(guó)家圖書(shū)館、中國(guó)社科院文獻(xiàn) 信息情報(bào)中心、中國(guó)科學(xué)技術(shù)信息研究所( 含萬(wàn)方數(shù)據(jù)電子出版社) 、 中國(guó)學(xué)術(shù)期刊( 光盤(pán)版) 電子雜志社送交本學(xué)位論文的復(fù)印件和電子 文檔，允許論文被查閱和借閱，可以采用影印、縮印或其他復(fù)制手段 保存和匯編學(xué)位論文，可以將學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù) 據(jù)庫(kù)進(jìn)行檢索 涉密論文口 本學(xué)位論文屬 在年一月解密后適用本規(guī)定 非涉密論文口 名文作者簽名： l 查：盔! 日期： 導(dǎo)師簽名 弘曉、午i r 甚十 中經(jīng)吣絡(luò)的入侵檢測(cè)系統(tǒng)的研究j 設(shè)計(jì) 摘嚶 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì) 摘要 現(xiàn)今計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題已越來(lái)越受人們關(guān)注，網(wǎng)絡(luò)入侵的手段越來(lái)越復(fù)雜多樣 化。由于傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)的具有局限性，使入侵檢測(cè)系統(tǒng)成為了目前網(wǎng)絡(luò)安 全技術(shù)的研究熱點(diǎn)。針對(duì)現(xiàn)有入侵檢測(cè)系統(tǒng)的一些缺點(diǎn)，本文將人工神經(jīng)網(wǎng)絡(luò)應(yīng)用于 入侵檢測(cè)系統(tǒng)中，取得了較明顯效果。 論文首先闡述了入侵檢測(cè)技術(shù)的特點(diǎn)，入侵檢測(cè)系統(tǒng)( i d s ) 的基本模型，研究了 k o h o n e n 神經(jīng)網(wǎng)絡(luò)和b p 神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)方式和數(shù)學(xué)推導(dǎo)。 接著，依照模塊化的思想設(shè)計(jì)了一個(gè)基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，并對(duì)模塊分 別進(jìn)行詳細(xì)的設(shè)計(jì)?？紤]到網(wǎng)絡(luò)數(shù)據(jù)流的龐大，在系統(tǒng)中加入了特征提取模塊，該模 塊運(yùn)用了主成分分析技術(shù)，通過(guò)對(duì)數(shù)據(jù)進(jìn)行空間變換消除冗余降低數(shù)據(jù)維數(shù)，提高系 統(tǒng)實(shí)時(shí)響應(yīng)能力。針對(duì)b p 算法存在的一些缺陷，介紹了6 種改進(jìn)方法。 最后，在m a t l a b 平臺(tái)上進(jìn)行實(shí)驗(yàn)仿真得出實(shí)驗(yàn)結(jié)果并進(jìn)行對(duì)比分析。對(duì)k d d 9 9 數(shù)據(jù)集用p y t h o n 語(yǔ)言進(jìn)行數(shù)據(jù)預(yù)處理，并從中提取出四種攻擊類(lèi)型的訓(xùn)練樣本和測(cè) 試樣本，分別將未經(jīng)主成分分析特征提取技術(shù)和經(jīng)過(guò)該技術(shù)的數(shù)據(jù)送入k o h o n e n 神 經(jīng)網(wǎng)絡(luò)和b p 神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練和檢測(cè)。將檢測(cè)率、誤報(bào)率、訓(xùn)練時(shí)問(wèn)和檢測(cè)時(shí)問(wèn)作 為入侵檢測(cè)系統(tǒng)的性能評(píng)價(jià)標(biāo)準(zhǔn)。在對(duì)k o h o n e n 網(wǎng)絡(luò)的實(shí)驗(yàn)中發(fā)現(xiàn)主成分分析特征 提取技術(shù)縮短訓(xùn)練和檢測(cè)時(shí)間的效果有限，對(duì)攻擊的檢測(cè)率較低，誤報(bào)率較高，無(wú)法 滿(mǎn)足入侵檢測(cè)系統(tǒng)的基本要求；在b p 神經(jīng)網(wǎng)絡(luò)的實(shí)驗(yàn)中，通過(guò)比較得出檢測(cè)四種攻 擊類(lèi)型的最佳算法，p c a 特征提取技術(shù)和改進(jìn)的b p 算法兩者均可以減小網(wǎng)絡(luò)訓(xùn)練未 收斂的幾率，縮短訓(xùn)練時(shí)間和檢測(cè)時(shí)間。對(duì)比k o h o n e n 網(wǎng)絡(luò)和b p 網(wǎng)絡(luò)的實(shí)驗(yàn)結(jié)果： 數(shù)據(jù)通過(guò)主成分分析特征提取后經(jīng)過(guò)改進(jìn)b p 神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)的檢測(cè)率很高、 誤報(bào)率較低、實(shí)時(shí)響應(yīng)快，是一個(gè)高效可行的技術(shù)方法。 關(guān)鍵字：網(wǎng)絡(luò)安全；入侵檢測(cè)系統(tǒng)； b p 神繹網(wǎng)絡(luò)；k o h o n e n 神經(jīng)網(wǎng)絡(luò)；特征提取 作者：陳熹 指導(dǎo)教師：朱燦焰 砷s 仃a c t r e s e a r c h 柚dd e s i g n a t i o no fi l l t m s i o nd c 敞t i o ns y s t e mb 越e do nn e u f a ln e t w o r k r e s e a r c ha n d d e s i g n a t i o no fi n t m s i o nd e t e c t i o ns y s t e m ba s e do nn e u r a ln e t w o r k a b s t r a c t n o w d a y s ，t h ec o m p u t e rn e t w o r ks e c u r i t yi s s u e sh a v eb nm o r e 鋤dm o r ec o n c e m e d t h em e a n so fn e t w o r ki n m j s i o nb e c o m ei n c r e a s i n g l yc o m p l e x 鋤dd i v e r s i f i e d d u et ot h e l i i n i t a t i o n so f 傾d i t i o n a ln e t w o r ks e c 嘶t yt e c h n o l o g i e s ，i n t l l l s i o nd e t e c t i o ns y s t e m st u m i n t ot l l ef b c u sr e s e a r c ho ft h en e t w o r ks e c u d t yt e c h n o l o g i e sa tp r e s e n t t bi m p r o v es o m e s h o r t c o i n i n g so ft h ee x i s t i n gi n 咖s i o nd e t e c t i o ns y s t e m s ，m i sm e s i sa p p l i e da n i f i c i a ln e u r a l n e t 、0 r k st ot h ei n t n l s i o nd e t e c t i o ns y s t e m s ( d s ) ，a n di tc o m e su pw i t hg o o dr e s u l t s 1 1 1t h ep a p e r t h ec h a r a c t 喇s t i c so fi n 仃u s i o nd e t e c t i o nt e c h n o l o g i e s ，t 1 1 eb 鼬i cm o d e lo f d s ，a r ef i r s td e s c 曲咄t h el e a n l i n g 皿n c i p l e 鋤dm a t h e m t i c a ld e r i v a t i o no ft h ek o h o n e n 觚db pn e u r a ln e t w o r ka r es t u d i e d t h e na ni n 仇l s i o nd e t e c t i o n s y s t e m sb a s e do n n e u r a ln e t w o r ki s d e s i g n e d i n a c c o r d a n c ew i t l lt h ei d e ao fm o d u i 甌鋤de a c hm o d u l ei sd e v i s e di nd e t a i l 嘲【i n gi n t o a c c o u n tt h el a r g en e t w o r kd a t a s 仃e a m ，af e a t l l r ee x 仃a c t i o nm o d u l ei sa d d e di n t 0t h es y s t e m 1 1 1 ep r i n c i p a jc o m p o n e n t 觚a l y s i st e c h n o l o g yi sa p p l i c di n t h i sm o d u i e i tc 卸e l i m i n a t e r e d u n d a n c y 柚dr e d u c e st h ed i m e n s i o nb ym e a n so fd a t as p a c e 仃a n s f o m a t i o n ，s o “c a n i m p r o v et l l ea b i l i t yo ft h es y s t e mr e a l 每m er e s p o n s e a l s ot os o l v ew e a kp o i n t so fb 】p a l g o r i t h m ，s i xl 【i n d so fi m p r o v e m e n t sa r ei n 仃c d u c e di nt l l i sp a p e r f i n a l l y e x p e r i m e n ts i m u l a t i o nr e s u l t sa 陀0 b t a i n e db ym a t l a bp l a t f 0 i m f i r s t p r e p r o c e s st l l ek d d 9 9 d a t as e t sw i mp y t l l o nl 卸g u a g e ；e x 仃a c t e dt 量l e 砌i l i n gs 鋤p l e sa n d t e s t i n gs 鋤p l e so ft 1 1 ef u u rt y p e so fa t t a c l 【sf j r o mk d d 9 9 d a t as e t s ，b p 鋤dk o h o n e nn e u r a l n e t w o r ki si m p l e m e n t e dt o 缸a i n 鯽dt e s tt l l ee x 昀c t e dd a t a w h e t h e rt l l ed a t ai sp r o c e s s e d b yf c af e a t u r ee x m l c t i o np r o c e d u r e0 rn o t t h e nc o m p a r e 鋤da n a l y z em er e s u l t sb yu s i n g d e t e c t i o nr a t e ，f 砒s ea l 刪r a t e ，砌i l i n gt i m e 鯽dt e s t i n gt i m e 弱t l l ep e 晌n 1 1 a n c e e v a l u a t i o n 嘶t e r i a i ti sc o n c l u d e dt h o s eb yt h er e s u l t s ，弱i nt h ee x p 耐m e n t s0 f 也e k o h o n e nn e t w o r l 【p n c i p a lc o m p n e ma n a l y s i si si i r n j t e dt os h o r t e nt 置l e 仃a j i l i n g 鋤d t e s t i n gt i m e ：i nt h eb pi i e 呱a l 肥t w o r ke x p e f i m e n t s ，g e tt h eb e s ta l g o r i t l l m st 0d e 也e c tf 0 盯 t y p e s0 fa t t a c l 【sb yc o m p 撕s o 皿m ep c a 咖e x 昀c t i o nt e c l l n o l o g y 卸di m p r o v e db p 墨! ! ! 竺! ! 璺璺里! ! 墅! ! 1 2 翌2 11 里竺! ! ! 里里! ! ! ! ! ! ! 璺! 芝! ! 竺璺竺! 璺2 旦型! 竺! 苧! 型! ! 1 2 1 1 一 坐堅(jiān)竺 a l g o r i t h mc a nb o t hr e d u c et h ec h a n c eo fc o n v e 唱e n c eo fn c t w o r kt r a i n i n g ，r e d u c et r a i n i n g t i m ea n dt e s t i n gt i m e c o m p a r e dw i t ht h ee x p e r i m e n t a lr e s u l t so ft h ek o h o n e nn e t w o r ka n d b pn e t w o r k ，w ea l s oc o n c l u d et h a tt h ed a t aw h i c hi sp r o c e s s e db yp c af e a t u r ee x t r a c t i o n p r o c e d u r eh a v eah i g ht 1 1 j ep o s i t i v er a t e ，al o wf a l s ep o s i t i v er a t ea n daq u i c kr e a l t i m e r e s p o n s ew h e nd e t e c t e db yb pn e u r a ln e t w o r k ，a n dt h i sm e t h o di sa ne 硒c i e n ta n df e a s i b l e t e c h n i q u e k e y w o r d s ： n e t w o r ks e c u r i t y ： i n t r u s i o nd e t e c t i o ns y s t e m( i d s ) ：b pn e u r a l n e t w o r k ：l ( o h o n e nn e u r a ln e t w o r k ：f e a t u r ee x t r a c t i o n w r i l t e n b y ： x ic h e n s u p e r v i s e db y ：c a n y a nz h u 目錄 第l 章緒論1 1 1 課題背景及意義1 1 2 國(guó)內(nèi)外研究現(xiàn)狀2 1 3 研究的主要工作和內(nèi)容安排3 1 3 1 主要工作3 1 3 2 論文內(nèi)容安排3 第2 章入侵檢測(cè)系統(tǒng)及相關(guān)技術(shù)5 2 1 入侵檢測(cè)技術(shù)概述5 2 1 1 入侵檢測(cè)介紹5 2 1 2 入侵檢測(cè)系統(tǒng)的評(píng)估指標(biāo)5 2 2 入侵檢測(cè)系統(tǒng)6 2 2 1 入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)6 2 2 2 入侵檢測(cè)系統(tǒng)的分類(lèi)7 2 2 3 入侵檢測(cè)的標(biāo)準(zhǔn)模型c d f l o 2 3 入侵檢測(cè)技術(shù)的分析方法1 l 2 3 1 誤用檢測(cè)技術(shù)1 l 2 3 2 異常檢測(cè)技術(shù)。1 2 2 4 入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)1 3 2 4 1 入侵檢測(cè)技術(shù)的現(xiàn)狀1 3 2 4 2 入侵檢測(cè)技術(shù)未來(lái)的趨勢(shì)1 4 第3 章k o h o n e n 和b p 神經(jīng)網(wǎng)絡(luò)概述1 6 3 1 人工神經(jīng)網(wǎng)絡(luò)介紹1 6 3 1 1 人工神經(jīng)網(wǎng)絡(luò)發(fā)展歷史1 6 3 1 2 人工神經(jīng)網(wǎng)絡(luò)的特點(diǎn)。1 7 3 1 3 人工神經(jīng)網(wǎng)絡(luò)的神經(jīng)元模型1 8 3 2k o h o n e n 神經(jīng)網(wǎng)絡(luò)算法1 9 3 2 1k o h o n e n 神經(jīng)網(wǎng)絡(luò)的基本原理1 9 3 2 2k o h o n e n 算法的數(shù)學(xué)推導(dǎo)2 l 3 3b p 神經(jīng)網(wǎng)絡(luò)算法2 3 3 3 1b p 神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)過(guò)程2 3 3 3 2b p 算法的數(shù)學(xué)推導(dǎo)一2 4 3 4 神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)中的應(yīng)用2 5 第4 章入侵檢測(cè)系統(tǒng)的設(shè)計(jì)2 6 4 1 系統(tǒng)的總體設(shè)計(jì)2 6 4 2 數(shù)據(jù)源采集模塊2 7 4 3 數(shù)據(jù)預(yù)處理模塊2 8 4 3 1 數(shù)據(jù)預(yù)處理模塊功能2 8 4 3 2 實(shí)驗(yàn)數(shù)據(jù)集一2 8 4 3 3 實(shí)驗(yàn)數(shù)據(jù)集的預(yù)處理3 2 4 4 特征提取模塊3 3 4 4 1 主成分分析的基本原理3 3 4 4 2 主成分分析的計(jì)算步驟3 5 4 5 神經(jīng)網(wǎng)絡(luò)訓(xùn)練和檢測(cè)模塊3 6 4 5 1k o h o n e n 神經(jīng)網(wǎng)絡(luò)的設(shè)計(jì)3 6 4 5 2b p 神經(jīng)網(wǎng)絡(luò)的改進(jìn)和設(shè)計(jì)3 7 4 6 系統(tǒng)響應(yīng)模塊4 2 第5 章實(shí)驗(yàn)及結(jié)果分析4 3 5 1 實(shí)驗(yàn)數(shù)據(jù)及實(shí)驗(yàn)環(huán)境4 3 5 2k 0 h o n e n 神經(jīng)網(wǎng)絡(luò)實(shí)驗(yàn)結(jié)果分析4 3 5 2 1n e p t l l n e 攻擊的實(shí)驗(yàn)結(jié)果分析4 3 5 2 2b a c k 攻擊的實(shí)驗(yàn)結(jié)果分析4 7 5 2 3i p s w e e p 和w a r e z c l i e m 攻擊的實(shí)驗(yàn)結(jié)果分析5 l 5 3b p 神經(jīng)時(shí)絡(luò)頭驗(yàn)結(jié)果分析5 2 5 3 1n e p m 北攻擊的實(shí)驗(yàn)結(jié)果分析5 2 5 3 2b a c k 攻擊的實(shí)驗(yàn)結(jié)果分析5 5 5 3 3w a r e z c l i e n t 攻擊的實(shí)驗(yàn)結(jié)果分析5 7 5 3 4i p s w e e p 攻擊的實(shí)驗(yàn)結(jié)果分析6 0 5 4k o h o n e n 網(wǎng)絡(luò)和b p 網(wǎng)絡(luò)的對(duì)比分析和總結(jié)6 l 第6 章結(jié)論與展望6 3 6 1 結(jié)論6 3 6 2 展望。6 3 參考文獻(xiàn)6 5 攻讀碩士期間發(fā)表的論文6 9 致謝7 0 接十神絳州絡(luò)的入侵榆測(cè)系統(tǒng)的研究j 沒(méi)計(jì) 第l 章緒論 1 1 課題背景及意義 第1 章緒論 隨著互聯(lián)網(wǎng)技術(shù)在經(jīng)濟(jì)、科研、軍事及人們同常生活中的普及，人類(lèi)越來(lái)越離不 開(kāi)互聯(lián)網(wǎng)。網(wǎng)絡(luò)購(gòu)物、團(tuán)購(gòu)、社交網(wǎng)站、網(wǎng)絡(luò)游戲和微博等互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展迅速，豐 富了人們的生活，帶來(lái)許多便利。截至2 0 1 1 年1 2 月底，我國(guó)網(wǎng)民規(guī)模達(dá)到5 1 3 億， 互聯(lián)網(wǎng)普及率達(dá)到3 8 3 ，全年新增網(wǎng)民5 5 8 0 萬(wàn)人，網(wǎng)絡(luò)購(gòu)物使用率提升至3 7 8 ， 去年新增用戶(hù)3 3 4 4 萬(wàn)人，團(tuán)購(gòu)應(yīng)用發(fā)展勢(shì)頭迅猛，用戶(hù)已達(dá)到“6 5 萬(wàn)人，使用率提 升至1 2 6 ，較2 0 1 0 年底上升8 5 個(gè)百分點(diǎn)。團(tuán)購(gòu)用戶(hù)年增長(zhǎng)率高達(dá)2 4 4 8 ，成為 全年增速第二快的網(wǎng)絡(luò)服務(wù)。 在網(wǎng)絡(luò)快速發(fā)展的同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越受人們關(guān)注。2 0 1 1 年上 半年，我國(guó)約有2 1 7 億網(wǎng)民遭到病毒或木馬攻擊【，占整個(gè)網(wǎng)民的4 4 7 ，有約1 2 l 億人有賬號(hào)或密碼被盜的經(jīng)歷，占2 4 9 近年來(lái)，有約3 8 8 0 力網(wǎng)民在近半年碰到過(guò) 網(wǎng)上欺詐行為。網(wǎng)絡(luò)安全事件大幅度增加，網(wǎng)絡(luò)和信息安全面臨著嚴(yán)峻的形式。 2 0 1 0 年1 月1 2 同，全球最大的中文搜索引擎百度的d n s 服務(wù)器遭黑客劫持，5 個(gè)多小時(shí)無(wú)法訪問(wèn)，百度c e o 李彥宏驚呼這次事件是“史無(wú)前例的”。2 0 1 1 年4 月， 索尼p l a y s t a t i o n 網(wǎng)絡(luò)遭遇入侵，被黑客攻擊l o 余次，導(dǎo)致l 億多個(gè)用戶(hù)賬戶(hù)曝光。 同年6 月，美國(guó)花旗銀行系統(tǒng)被黑客入侵，2 l 萬(wàn)北美地區(qū)銀行卡用戶(hù)的姓名、賬戶(hù)、 電子郵箱等信息被泄露。1 2 月，發(fā)生了堪稱(chēng)中國(guó)互聯(lián)網(wǎng)史上最大的泄密事件“c s d n 泄密事件”，c s d n 的安全系統(tǒng)遭到黑客攻擊，6 0 0 萬(wàn)用戶(hù)的登錄名、密碼及郵箱遭 到泄漏，隨后，c s d n ”密碼外泄門(mén)”持續(xù)發(fā)酵，天涯、人人網(wǎng)、開(kāi)心網(wǎng)、世紀(jì)佳緣等 知名網(wǎng)站相繼被曝用戶(hù)數(shù)據(jù)遭泄密，網(wǎng)上公開(kāi)暴露的網(wǎng)絡(luò)賬戶(hù)密碼超過(guò)l 億個(gè)。隨著 第三代移動(dòng)通信( 3 g ) 的來(lái)到，筆記本電腦、無(wú)線路由器和d a 等無(wú)線接入設(shè)備，也開(kāi) 始成為攻擊的新目標(biāo)。 中國(guó)互聯(lián)網(wǎng)絡(luò)安全中心發(fā)布的近幾年中國(guó)電腦病毒疫情的報(bào)告表明，病毒的入侵 攻擊變得越來(lái)越頻繁。犯罪份子為了獲得金錢(qián)制作了越來(lái)越多的黑客軟件。黑客入侵 的手法趨于多元化：網(wǎng)上木馬、間諜程序、釣魚(yú)網(wǎng)站、僵尸網(wǎng)絡(luò)等等。這些計(jì)算機(jī)犯 第l 章緒論 基于神經(jīng)網(wǎng)絡(luò)的入侵柃測(cè)系統(tǒng)的研究與設(shè)計(jì) 罪已經(jīng)成為影響網(wǎng)絡(luò)發(fā)展、特別是商業(yè)應(yīng)用的主要問(wèn)題，造成了巨大的經(jīng)濟(jì)損失，直 接威脅著國(guó)家和社會(huì)的安全。 目前面臨的網(wǎng)絡(luò)安全威脅主要有這幾個(gè)因素：黑客的攻擊、軟件漏洞、網(wǎng)絡(luò)協(xié)議 的缺陷等【2 1 。網(wǎng)絡(luò)安全問(wèn)題未能引起一些企業(yè)的重視也是一個(gè)因素。傳統(tǒng)的網(wǎng)絡(luò)信息 安全的防護(hù)技術(shù)如防火墻有著自己的局限性。首先，防火墻【3 】在錯(cuò)誤的系統(tǒng)配置或安 全策略下不能抵御某些入侵，并且對(duì)來(lái)自?xún)?nèi)部的攻擊毫無(wú)辦法。其次，防火墻是一種 被動(dòng)的保護(hù)，入侵者可以繞過(guò)防火墻實(shí)現(xiàn)入侵。單靠防火墻是不能滿(mǎn)足現(xiàn)今網(wǎng)絡(luò)安全 的需要，必須設(shè)立多道安全防線，綜合各種網(wǎng)絡(luò)安全防御機(jī)制。 解決上述問(wèn)題的方法是建立一個(gè)入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)【4 】具有主動(dòng)防御的 特點(diǎn)，它能夠捕獲并記錄網(wǎng)絡(luò)上的動(dòng)態(tài)數(shù)據(jù)信息，分析出可能出現(xiàn)的異常情況，識(shí)別 入侵者和入侵行為，并進(jìn)行實(shí)時(shí)響應(yīng)或防護(hù)，包括切斷網(wǎng)絡(luò)連接和報(bào)警等。因此，研 究入侵檢測(cè)有著非常重要的意義。 1 2 國(guó)內(nèi)外研究現(xiàn)狀 入侵檢測(cè)的研究開(kāi)始于上世紀(jì)8 0 年代，1 9 8 0 年當(dāng)時(shí)負(fù)責(zé)主持美國(guó)國(guó)防部計(jì)算機(jī) 安全審計(jì)工作的詹姆斯安德森首次提出了入侵嘗試1 5 】( i n t r u s i o na n e m p t ) 或威脅 ( t h 怕a t ) 的概念。 1 9 8 6 年，斯坦福研究院( s r i ) 的多羅西丹寧發(fā)表了一篇論文a nl n ”u s i o n d e t e c t j o nm o d e i 嗍，首次建立了一個(gè)完整的入侵檢測(cè)系統(tǒng)( i d s ) 模型，這篇文章后 來(lái)被認(rèn)為是入侵檢測(cè)系統(tǒng)的開(kāi)山之作。 1 9 9 0 年，美國(guó)加州大學(xué)戴維斯分校設(shè)計(jì)出了第一個(gè)基于局域網(wǎng)的入侵檢測(cè)系統(tǒng)， 第一次將網(wǎng)絡(luò)數(shù)據(jù)包作為審計(jì)數(shù)據(jù)源。 1 9 9 4 年，美國(guó)空軍密碼支持中心建立了一個(gè)入侵檢測(cè)系統(tǒng)a s i m ，該系統(tǒng)主要應(yīng) 用于美國(guó)空軍，并開(kāi)始向商業(yè)推廣。 1 9 9 7 年，思科公司收購(gòu)了w h e e i g r o u p 公司，并在其路由產(chǎn)品中加入i d s 。掀起 了將入侵檢測(cè)技應(yīng)用于網(wǎng)絡(luò)的革命。 隨著i n t e m e t 的發(fā)展和普及，許多類(lèi)型的入侵檢測(cè)系統(tǒng)應(yīng)運(yùn)而生，目前的入侵檢 測(cè)系統(tǒng)大致可以分為兩類(lèi)同：基于主機(jī)的i d s 和基于網(wǎng)絡(luò)的i d s 。 2 幕j 二神經(jīng)i 叫絡(luò)的入侵柃測(cè)系統(tǒng)的研究。j 改計(jì)第l 章緒論 從入侵檢測(cè)的研究產(chǎn)品來(lái)看，國(guó)外的產(chǎn)品處于領(lǐng)先地位，我國(guó)由于起步比較晚， 基礎(chǔ)比較薄弱，成熟的產(chǎn)品不多，多是停圈在理論研究階段。斯坦福大學(xué)、加州大學(xué) 戴維斯分校、麻省理工學(xué)院在網(wǎng)絡(luò)安全領(lǐng)域有著先進(jìn)的研究水平。國(guó)外相關(guān)的主流產(chǎn) 品有1 8 】：c i s c o 公司的n e t r a n g e r 系列、i n t e m e ts e c u r 時(shí)s y s t e m 公司的 r e a l s e c u 怕、i n t r u s i o nd e t e c “o n公司的k a n es e c u r 耐 m o n i t o r 、 a x e n t 1 e c h n o i o g i e s 公司的o m n i g u a r d ，i n t r u d e ra i e r t 、t r u s t e di n f o r m a t i o ns y s t e m 公司 的s t a i k e r s 等。國(guó)內(nèi)的一些高校如中科院、清華大學(xué)、北京郵電大學(xué)、哈爾濱工業(yè)大 學(xué)的科學(xué)研究實(shí)力處于前列。在產(chǎn)品方面主要利9 l ：中科網(wǎng)威的“天眼”入侵檢測(cè)系 統(tǒng)、啟明星辰的s k y b e ( 天闃) 、綠盟科技的n s f o c u sn i d s 系列等。近幾年國(guó)家 對(duì)互聯(lián)網(wǎng)和信息安全越來(lái)越重視，加大了這方面的投入，各高?？蒲薪?jīng)費(fèi)逐年增加， 理論研究和技術(shù)上與國(guó)外的差距正在不斷縮小。 1 3 研究的主要工作和內(nèi)容安排 1 3 1 主要工作 本文的主要工作有以下幾個(gè)方面： ( 1 ) 介紹了入侵檢測(cè)的基本概念，討論了常用的入侵檢測(cè)技術(shù)的特點(diǎn)，分析了入 侵檢測(cè)系統(tǒng)的常用模型。 ( 2 ) 研究了b p 和k o h o n e n 神經(jīng)網(wǎng)絡(luò)，將神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè)系統(tǒng)中，完成 了一個(gè)基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的研設(shè)計(jì)。引入p c a 特征提取技術(shù)來(lái)減小神經(jīng) 網(wǎng)絡(luò)算法的運(yùn)算量，對(duì)b p 神經(jīng)網(wǎng)絡(luò)算法進(jìn)行改進(jìn)以提高檢測(cè)效果。 ( 3 ) 利用k d d 9 9 數(shù)據(jù)集對(duì)兩種不同神經(jīng)網(wǎng)絡(luò)算法的入侵檢測(cè)系統(tǒng)進(jìn)行實(shí)驗(yàn)驗(yàn)仿 真和結(jié)果分析，得出四種攻擊類(lèi)型的最優(yōu)算法，并通過(guò)對(duì)比分析了p c a 特征提取技 術(shù)、兩種神經(jīng)網(wǎng)絡(luò)算法的優(yōu)缺點(diǎn)。 1 3 2 論文內(nèi)容安排 全文共分為六章： 第一章為緒論，主要介紹了入侵檢測(cè)系統(tǒng)的研究及意義，國(guó)內(nèi)外的研究現(xiàn)狀和本 文的主要研究?jī)?nèi)容和章節(jié)安排。 第l 章緒論 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì) 第二章是主要闡述了入侵檢測(cè)的概念，入侵檢測(cè)系統(tǒng)的評(píng)價(jià)標(biāo)準(zhǔn)和主要結(jié)構(gòu)，入 侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)模型以及入侵檢測(cè)技術(shù)的未來(lái)發(fā)展趨勢(shì)。 第三章研究了人工神經(jīng)網(wǎng)絡(luò)的主要特點(diǎn)，k o h o n e n 神經(jīng)網(wǎng)絡(luò)和b p 神經(jīng)網(wǎng)絡(luò)的基 本原理和算法的數(shù)學(xué)推導(dǎo)，分析了神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)系統(tǒng)的中的優(yōu)勢(shì)。 第四章設(shè)計(jì)了一個(gè)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)，對(duì)結(jié)構(gòu)的各模塊進(jìn)行詳細(xì)說(shuō)明，在結(jié)構(gòu) 中應(yīng)用了主成分分析的特征提取技術(shù)降低數(shù)據(jù)維數(shù)，針對(duì)傳統(tǒng)b p 算法的不足進(jìn)行改 進(jìn)。對(duì)k d d 9 9 數(shù)據(jù)集進(jìn)行數(shù)據(jù)預(yù)處理工作，并對(duì)入侵檢測(cè)系統(tǒng)中的k o h o n e n 網(wǎng)絡(luò) 和b p 網(wǎng)絡(luò)進(jìn)行了具體的網(wǎng)絡(luò)參數(shù)設(shè)計(jì)。 第五章對(duì)第四章設(shè)計(jì)的入侵檢測(cè)系統(tǒng)進(jìn)行實(shí)驗(yàn)仿真。將p c a 特征提取技術(shù)和 k o h o n e n 網(wǎng)絡(luò)和b p 神經(jīng)網(wǎng)絡(luò)相結(jié)合，對(duì)各種算法的實(shí)驗(yàn)結(jié)果進(jìn)行比較和分析，得出 結(jié)論。 第六章是對(duì)工作的總結(jié)及展望。 4 幕r 神絳網(wǎng)絡(luò)的入侵榆測(cè)系統(tǒng)的研究j 改汁 第2 帝入侵榆測(cè)系統(tǒng)及相關(guān)技術(shù) 第2 章入侵檢測(cè)系統(tǒng)及相關(guān)技術(shù) 2 1 入侵檢測(cè)技術(shù)概述 2 1 1 入侵檢測(cè)介紹 入侵【1 0 1 ，是指在沒(méi)有獲得許可的情況下，對(duì)計(jì)算機(jī)系統(tǒng)或信息系統(tǒng)進(jìn)行操作，危 及系統(tǒng)保密性、可靠性的行為。入侵分為兩種情況1 1 1 】：外部入侵和內(nèi)部入侵。外部入 侵指來(lái)自系統(tǒng)外的威脅，如黑客入侵、自然災(zāi)害；內(nèi)部入侵指出自系統(tǒng)內(nèi)部的威脅， 一般是合法用戶(hù)的誤操作或越權(quán)行為。入侵可以使系統(tǒng)無(wú)法j 下常工作，導(dǎo)致數(shù)據(jù)丟失， 信息竊取，有的可能造成系統(tǒng)無(wú)法提供服務(wù)。入侵檢測(cè)就是察覺(jué)上述入侵行為的過(guò)程。 入侵檢測(cè)的手段包括監(jiān)控計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的狀態(tài)、行為和運(yùn)行情況，分析處理網(wǎng)絡(luò)關(guān) 鍵節(jié)點(diǎn)的信息，審計(jì)數(shù)據(jù)，檢測(cè)系統(tǒng)用戶(hù)的超越使用權(quán)限的非法行為以及外部入侵者 的入侵行為。入侵檢測(cè)具有實(shí)時(shí)監(jiān)控、動(dòng)態(tài)響應(yīng)、易于配置的特點(diǎn)。因?yàn)槿肭謾z測(cè)能 幫助系統(tǒng)檢測(cè)和阻止網(wǎng)絡(luò)入侵，并且增加了網(wǎng)絡(luò)管理員的安全審計(jì)、監(jiān)視、攻擊識(shí)別 和響應(yīng)等能力，提高了系統(tǒng)的安全性，所以被認(rèn)為是防火墻的有效補(bǔ)充。入侵檢測(cè)技 術(shù)的出現(xiàn)，給系統(tǒng)管理帶來(lái)了主動(dòng)性，進(jìn)一步提高了網(wǎng)絡(luò)的可靠性和安全性。 目前，解決網(wǎng)絡(luò)安全問(wèn)題的主要技術(shù)手段1 12 l 有數(shù)據(jù)加解密技術(shù)、數(shù)據(jù)鑒別技術(shù)、 防火墻技術(shù)、訪問(wèn)控制技術(shù)等，這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)主要采取的是被動(dòng)的防御手 段，通過(guò)檢測(cè)入侵或同志等來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)中的攻擊行為，其特點(diǎn)是在遭受攻擊后， 只能茫然等待下一次攻擊的到來(lái)，不能主動(dòng)對(duì)攻擊行為進(jìn)行控制和反擊。因此，各種 防御技術(shù)都有其局限性。要想更好的保證網(wǎng)絡(luò)的安全，單靠一種防御技術(shù)是無(wú)法達(dá)到 要求的，只有綜合運(yùn)用多種防御機(jī)制，建立多道安全防線( 例如將防火墻、加密技術(shù) 和身份認(rèn)證技術(shù)與入侵檢測(cè)技術(shù)結(jié)合起來(lái)) ，完善安全防御體系，才能有效的抵御來(lái) 自系統(tǒng)內(nèi)外的入侵。 2 1 2 入侵檢測(cè)系統(tǒng)的評(píng)估指標(biāo) 入侵檢測(cè)系統(tǒng)在設(shè)計(jì)完成之后，需要進(jìn)行測(cè)試評(píng)估，看其是否到達(dá)設(shè)計(jì)目標(biāo)。目 前來(lái)說(shuō)對(duì)于入侵檢測(cè)的常用評(píng)估指標(biāo)有【1 3 1 檢測(cè)率、誤報(bào)率、漏報(bào)率等。 5 第2 章入侵檢測(cè)系統(tǒng)及相關(guān)技術(shù)基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì) 檢測(cè)率是指被監(jiān)控系統(tǒng)受到入侵攻擊時(shí)，入侵系統(tǒng)能夠檢測(cè)到的概率，可表示為： 被發(fā)現(xiàn)的攻擊樣本數(shù)，攻擊樣本的總數(shù)。 誤報(bào)率是指把正常的行為判斷為入侵行為而進(jìn)行報(bào)警的概率，可表示為：被誤判 的正確樣本數(shù)，正確樣本的總數(shù)。 漏報(bào)率是指被監(jiān)控系統(tǒng)發(fā)生入侵行為時(shí)，檢測(cè)系統(tǒng)沒(méi)有檢測(cè)出入侵行為的概率， 可表示為：被誤判的j 下確樣本數(shù)，攻擊樣本的總數(shù)。 目前在國(guó)際上也用接受機(jī)特性【14 】( r e c e i v e ro p e 隱t i n gc h a 隱c t e r i s t i c ，r o c ) 曲線來(lái)評(píng)價(jià)入侵檢測(cè)系統(tǒng)的性能，如圖2 - 1 。 a 固 ul 一一 一 一 024681 0 誤報(bào)率( ) 圖2 一lr o c 曲線例圖 r o c 曲線用圖形的方式來(lái)表示j 下確率和誤報(bào)率之間的關(guān)系，曲線越靠近坐標(biāo)的 左上方，曲線的下方區(qū)域越大，說(shuō)明入侵檢測(cè)系統(tǒng)的準(zhǔn)確率越高。用r o c 曲線來(lái)評(píng) 價(jià)入侵檢測(cè)系統(tǒng)顯得非常直觀和有效。 此外，還有一些其它的性能評(píng)價(jià)指標(biāo)，如抗攻擊能力、檢測(cè)延遲時(shí)間、系統(tǒng)負(fù)荷 能力、檢測(cè)范圍等。 2 2 入侵檢測(cè)系統(tǒng) 2 2 1 入侵檢測(cè)系統(tǒng)的結(jié)構(gòu) 入侵檢測(cè)系統(tǒng)1 15 1 是一種能夠通過(guò)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，分析網(wǎng)絡(luò)的相關(guān)數(shù)據(jù)，檢測(cè) 到有可疑的入侵行為后進(jìn)行警報(bào)等一系列措旌的系統(tǒng)。一般的入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)1 1 6 】 翟 尋 雉，二神經(jīng)網(wǎng)絡(luò)的入侵拎測(cè)系統(tǒng)的研究j 設(shè)汁第2 章入侵榆測(cè)系統(tǒng)及相關(guān)技術(shù) 如圖2 - 2 所示，由信息提取、數(shù)據(jù)分析和響應(yīng)處理三部分組成。 信數(shù) 響 言息源 息 據(jù)應(yīng) 提分處 取 析 理 圖2 - 2 入侵檢測(cè)系統(tǒng)的一般結(jié)構(gòu) 1 信息提取 信息提取是入侵檢測(cè)的第一步，含信息收集和數(shù)據(jù)預(yù)處理兩個(gè)步驟。入侵檢測(cè)系 統(tǒng)需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的若干不同關(guān)鍵點(diǎn)( 如不同網(wǎng)段和不同主機(jī)) 收集信息。信 息收集是從入侵檢測(cè)系統(tǒng)的信息源中收集信息，它的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)以及 用戶(hù)活動(dòng)的狀態(tài)和行為。收集到的信息越多越可靠準(zhǔn)確，入侵檢測(cè)的檢測(cè)效果就越好。 收集到信息之后，就要進(jìn)行數(shù)據(jù)預(yù)處理。因?yàn)樵际占臄?shù)據(jù)的質(zhì)量將直接影響數(shù)據(jù) 分析和用戶(hù)特征的提取，所以需要通過(guò)預(yù)處理。信息的收集一般通過(guò)三個(gè)方面來(lái)獲得： 系統(tǒng)和網(wǎng)絡(luò)r 志文件、非正常的目錄和文件改變以及非j 下常的程序執(zhí)行。 2 數(shù)據(jù)分析 經(jīng)過(guò)信息提取得出來(lái)的數(shù)據(jù)依然是海量，在這些數(shù)據(jù)中，正常信息( 非入侵信息) 占絕大多數(shù)，而入侵行為的信息只有一小部分，因此需要利用數(shù)據(jù)分析手段從龐大的 信息量中找出異常信息。數(shù)據(jù)分析技術(shù)有很多種，常見(jiàn)的有完整性分析、模式匹配和 統(tǒng)計(jì)分析等，每種方法各有優(yōu)劣，并且各自應(yīng)用的方向也有區(qū)別。 3 響應(yīng)處理 當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到有入侵攻擊時(shí)，就會(huì)依據(jù)預(yù)先定義好的響應(yīng)機(jī)制采取措 施。響應(yīng)處理分兩步進(jìn)行，第一步是將檢測(cè)結(jié)果和采取的措施寫(xiě)入同志文件，供網(wǎng)絡(luò) 管理員查看和以后的同志審查，記錄的內(nèi)容一般包括同期、時(shí)間、源地址和目的地址、 描述與事件相關(guān)的原始數(shù)據(jù)，以及向系統(tǒng)管理人員發(fā)送報(bào)警的電子郵件等。第二步是 系統(tǒng)對(duì)攻擊做出的響應(yīng)，要求迅速執(zhí)行，如報(bào)警、用防火墻切斷攻擊源地址與系統(tǒng)的 連接、過(guò)濾攻擊者的i p 地址、執(zhí)行用戶(hù)自定義的操作等。 2 2 2 入侵檢測(cè)系統(tǒng)的分類(lèi) 根據(jù)不同的分類(lèi)標(biāo)準(zhǔn)，入侵檢測(cè)系統(tǒng)可以分為不同的類(lèi)別1 17 】：按照數(shù)據(jù)源的不同， 7 第2 章入侵榆測(cè)系統(tǒng)及擁關(guān)技術(shù)基于神經(jīng)叫絡(luò)的入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì) 可以分為基于主機(jī)的i d s 和基于網(wǎng)絡(luò)的l d s ；按照所采用的分析技術(shù)來(lái)分類(lèi)，可以分 為異常檢測(cè)i d s 和誤用檢測(cè)l d s ；依照體系結(jié)構(gòu)的差異，分為集中式、等級(jí)式、協(xié)作 式l d s ；依照響應(yīng)方式來(lái)分，可分為主動(dòng)響應(yīng)i d s 和被動(dòng)響應(yīng)i d s 。根據(jù)反映時(shí)間的 快慢，分為實(shí)時(shí)處理i d s 和事后處理i d s 。下面介紹最常見(jiàn)的分類(lèi)：基于主機(jī)的i d s 和基于網(wǎng)絡(luò)的i d s 。 1 基于主機(jī)的入侵檢測(cè)系統(tǒng)h o s t 七a s e di n t r u s i o nd e t e c t j o ns y s t e m ，h i d s ) 基于主機(jī)的入侵檢測(cè)系統(tǒng)1 1 8 】是早期的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)，重點(diǎn)檢測(cè)主機(jī)系統(tǒng)和系 統(tǒng)本地用戶(hù)。它的數(shù)據(jù)源主要來(lái)自系統(tǒng)同志( 如l i n u x 的l o g l n i o g 、w t m p 和h i s t o 哼 文件) ，應(yīng)用程序同志( 如s y s l o g 文件) ，提取數(shù)據(jù)之后進(jìn)行審計(jì)和數(shù)據(jù)分析，發(fā)現(xiàn) 異常入侵行為并作出響應(yīng)。基于主機(jī)的l d s 還能對(duì)系統(tǒng)的重要文件進(jìn)行實(shí)時(shí)監(jiān)控， 監(jiān)聽(tīng)對(duì)主機(jī)的各服務(wù)端口，監(jiān)視試圖入侵系統(tǒng)的一切可疑行為。h l d s 的系統(tǒng)結(jié)構(gòu)如 圖2 電所示。 圖2 - 3 基于主機(jī)的入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)圖 基于主機(jī)的入侵檢測(cè)系統(tǒng)的基本原理是通過(guò)分析計(jì)算機(jī)操作系統(tǒng)的同志文件、應(yīng) 用程序的同志、系統(tǒng)調(diào)用和端口調(diào)用，比較這些審計(jì)數(shù)據(jù)文件的記錄與攻擊模式是否 匹配，如果匹配，則檢測(cè)系統(tǒng)向管理員發(fā)出報(bào)警并作出相應(yīng)的行動(dòng)。攻擊模式是預(yù)先 設(shè)置好的，在匹配規(guī)則庫(kù)中用一種特定的方式來(lái)表示。h i d s 一般安裝在重要的主機(jī) 系統(tǒng)上，也可以部署在系統(tǒng)關(guān)鍵的路由節(jié)點(diǎn)。為了降低檢測(cè)的誤報(bào)率和漏報(bào)率，可以 8 揍j 二神絳l q 絡(luò)的入侵榆測(cè)系統(tǒng)的研究j 設(shè)計(jì)第2 帝入侵榆測(cè)系統(tǒng)及相關(guān)技術(shù) 將h l d s 布置在網(wǎng)絡(luò)的不同節(jié)點(diǎn)，設(shè)置管理節(jié)點(diǎn)和分節(jié)點(diǎn)。 基于主機(jī)的入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)是：能夠確定攻擊足否成功；監(jiān)控精確全面： 適用于加密和交換環(huán)境；檢測(cè)和響應(yīng)迅速。 但另一方面，基于主機(jī)的入侵檢測(cè)系統(tǒng)也有缺點(diǎn)：部署代價(jià)大；主機(jī)同志提供的 信息有限：占用大量主機(jī)資源。 2 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)( n e t v v o r k 七a s e di n t r u s i o nd e t e c t i o ns y s t e m ，n i d s ) n i d s l l9 】分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包，它通過(guò)網(wǎng)絡(luò)適配器捕獲和過(guò)濾網(wǎng)絡(luò)數(shù)據(jù) 包，隨之進(jìn)行入侵的識(shí)別和響應(yīng)。其系統(tǒng)結(jié)構(gòu)如圖2 1 4 所示。 圖2 4 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)圖 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的基礎(chǔ)。h l d s 將自己的網(wǎng)卡設(shè)置為混 雜模式，就可以捕獲整個(gè)網(wǎng)段內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包。常用的捕獲數(shù)據(jù)包的工具有 e t h e r e a l 、s n i 仟e r 和w i 怕s h a r k 等。網(wǎng)絡(luò)數(shù)據(jù)包被捕獲以后，需要包過(guò)濾機(jī)制進(jìn)行過(guò) 濾，以獲得滿(mǎn)足條件的數(shù)據(jù)包。 網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)過(guò)過(guò)濾后，需要檢測(cè)引擎模塊對(duì)數(shù)據(jù)包進(jìn)行處理和分析，從而發(fā)現(xiàn) 數(shù)據(jù)流中的入侵事件和行為。所以檢測(cè)引擎模塊是h i d s 的重要組成部分，它的好壞 會(huì)直接影響h i d s 的檢測(cè)效果。 網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)庫(kù)用來(lái)預(yù)先記錄一些常用的攻擊模式，這些模式用特定的形式表 示。當(dāng)檢測(cè)引擎模塊需要進(jìn)行數(shù)據(jù)分析和檢測(cè)時(shí)，就會(huì)查詢(xún)?cè)撃Ｊ綆?kù)進(jìn)行特征匹配。 安全管理模塊用來(lái)接收檢測(cè)引擎模塊的響應(yīng)報(bào)告，并作出相應(yīng)的響應(yīng)。 n i d s 的優(yōu)點(diǎn)【約1 是成本較低，不需要安裝在每個(gè)需要保護(hù)的主機(jī)上，只要部署在 一個(gè)或多個(gè)關(guān)鍵訪問(wèn)點(diǎn)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)；即使黑客篡改了同志文件隱藏自己的痕跡，也 o 第2 章入侵檢測(cè)系統(tǒng)及相關(guān)技術(shù) 基于神經(jīng)網(wǎng)絡(luò)的入侵榆測(cè)系統(tǒng)的研究與設(shè)計(jì) 能檢測(cè)出入侵，因?yàn)樗东@到的是網(wǎng)絡(luò)上的數(shù)據(jù)流量；檢測(cè)不依賴(lài)于主機(jī)的操作系統(tǒng)。 n l d s 的缺點(diǎn)是：檢測(cè)的精確度差：在交換和加密環(huán)境中難以部署。 2 2 3 入侵檢測(cè)的標(biāo)準(zhǔn)模型c i d f 目前針對(duì)i d s 的規(guī)范化標(biāo)準(zhǔn)有兩種【2 1 l ：一種是美國(guó)國(guó)防高級(jí)研究計(jì)劃署( d a r p a ) 制定的通用入侵檢測(cè)框架( c o m m o ni n t r u s l o nd e t e c t i o nf r a m e w o r k ，c i d f ) ，另一種 是互聯(lián)網(wǎng)工程任務(wù)組( i e t f ) 的入侵檢測(cè)工作組( i n t r u s i o nd e t e c t l o nw o r k n g g r o u p 。l d w g ) 建議草案。雖然這兩種標(biāo)準(zhǔn)各自的出發(fā)角度不同，但都旨在解決不同 l d s 之間的共存和互操作問(wèn)題。下面介紹其中c i d f 標(biāo)準(zhǔn)。 c i df l 冽把一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)基本組件：事件產(chǎn)生器( e v e n t g e n e r a t o r s ) 、事件分析器( e v e n ta n a i y z e 佑) 、響應(yīng)單元( r e s p o n u n i t s ) 、事件數(shù)據(jù) 庫(kù)( e v e n td a t a b a s e s ) ，如圖2 七所示。 原事件來(lái)源 圖2 - 5 入侵檢測(cè)系統(tǒng)c i d f 模型 ( 1 ) 事件產(chǎn)生器：其任務(wù)是從計(jì)算機(jī)環(huán)境中收集事件，并將這些事件轉(zhuǎn)換成特定 的格式傳送給事件分析器和事件數(shù)據(jù)庫(kù)。 ( 2 ) 事件分析器：負(fù)責(zé)分析事件，并把分析結(jié)果交給事件數(shù)據(jù)庫(kù)和響應(yīng)單元。 ( 3 ) 響應(yīng)單元：對(duì)事件分析器分析的結(jié)果做出反應(yīng)，如向管理員發(fā)出報(bào)警、切斷 連接、封鎖i p 等。 ( 4 ) 事件數(shù)據(jù)庫(kù)：事件數(shù)據(jù)庫(kù)用來(lái)存儲(chǔ)事件，以備查詢(xún)和使用。 i o 皋于神絳網(wǎng)絡(luò)的入侵榆測(cè)系統(tǒng)的研究j 設(shè)汁第2 章入侵榆測(cè)系統(tǒng)及相關(guān)技術(shù) 2 3 入侵檢測(cè)技術(shù)的分析方法 入侵檢測(cè)的分析方法主要有誤剛檢測(cè)和異常檢測(cè)。 2 3 1 誤用檢測(cè)技術(shù) 誤用檢測(cè)又叫做基于知識(shí)的( k n o w i e d g e 書(shū)a s e d ) 檢測(cè)。誤用檢測(cè)技術(shù)1 2 3 l 是通 過(guò)將預(yù)先設(shè)定的入侵模式與監(jiān)控到的入侵發(fā)生情況進(jìn)行模式匹配來(lái)檢測(cè)。它假定所有 可能的入侵行為都能被識(shí)別和表示。它需要預(yù)先建立一個(gè)包含過(guò)去各種入侵攻擊的數(shù) 據(jù)庫(kù)，每種入侵攻擊模式都用一種特定的方式表示，然后在通過(guò)收集和分析到的數(shù)據(jù) 找到是否與數(shù)據(jù)庫(kù)模式匹配的入侵攻擊。誤用檢測(cè)不需要很高的系統(tǒng)條件，檢測(cè)是通 過(guò)模式匹配完成的，消耗資源少，并且有著較高的準(zhǔn)確率，誤報(bào)率低。誤用檢測(cè)技術(shù) 以比較成熟。誤用檢測(cè)的不足在于不能檢測(cè)未知的入侵行為，漏報(bào)率較高；依賴(lài)于操 作系統(tǒng)。入侵?jǐn)?shù)據(jù)庫(kù)必須不斷更新。下面列舉幾種不同的誤用檢測(cè)技術(shù)。 1 模式匹配法 模式匹配法i 約l 是最常用的的誤用檢測(cè)方法，模式匹配模型在檢測(cè)中根據(jù)待分析 的事件在入侵模式數(shù)據(jù)庫(kù)中搜索是否有對(duì)應(yīng)的入侵模式，如果匹配成功，則判斷為有 入侵行為發(fā)生。這種方法的優(yōu)點(diǎn)是易于實(shí)現(xiàn)，缺點(diǎn)是計(jì)算量大。模式匹配的算法的好 壞決定了入侵檢測(cè)系統(tǒng)的檢測(cè)效果。 2 專(zhuān)家系統(tǒng)法 專(zhuān)家系統(tǒng)法是入侵檢測(cè)方法中比較早的且的用的較多的一種檢測(cè)方法，涉及人工 智能領(lǐng)域。專(zhuān)家系統(tǒng)【2 4 l 是以專(zhuān)家的經(jīng)驗(yàn)性知識(shí)為基礎(chǔ)建立的，以知識(shí)庫(kù)和推理機(jī)為中 心的智能軟件系統(tǒng)。在m i d a s 、i d e s 和n i d e s 中，采用了該檢測(cè)方法。 專(zhuān)家系統(tǒng)的優(yōu)勢(shì)是把系統(tǒng)的控制推理從問(wèn)題的描述中分離出來(lái)，對(duì)已知入侵和系 統(tǒng)漏洞檢測(cè)的精確度高，通過(guò)更新不斷增長(zhǎng)應(yīng)用領(lǐng)域，具有很大的靈活性。但它更新 系統(tǒng)困難，系統(tǒng)丌發(fā)的人為因素較大，面對(duì)海量信息時(shí)處理時(shí)間長(zhǎng)，需要編寫(xiě)大量引 擎和規(guī)則的代碼。 3 狀態(tài)轉(zhuǎn)移分析法 狀態(tài)轉(zhuǎn)移分析法1 2 5 j 使用高級(jí)狀態(tài)轉(zhuǎn)換圖來(lái)體現(xiàn)和檢測(cè)已知的入侵攻擊方式。它將 入侵行為看成是由攻擊者執(zhí)行的一系列行為操作組成，這些操作可將系統(tǒng)從某些初始 l l 第2 章入侵檢測(cè)系統(tǒng)及相關(guān)技術(shù)基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì) 狀態(tài)遷移到危及系統(tǒng)安全的狀態(tài)。狀態(tài)轉(zhuǎn)移分析法的優(yōu)點(diǎn)是比較直觀，注重細(xì)節(jié)，非 常適用于檢測(cè)協(xié)同緩慢攻擊。缺點(diǎn)是對(duì)引擎設(shè)計(jì)要求高，狀態(tài)聲明和信號(hào)動(dòng)作需要手