基于網(wǎng)絡(luò)的入侵檢測(cè)范文

時(shí)間:2023-10-30 17:33:20

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇基于網(wǎng)絡(luò)的入侵檢測(cè),這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

基于網(wǎng)絡(luò)的入侵檢測(cè)

篇1

關(guān)鍵詞:Ad Hoc網(wǎng)絡(luò);網(wǎng)絡(luò)安全;入侵檢測(cè)技術(shù)

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)28-0084-02

Intrusion Detection based on Ad hoc Network

BI Yuan-yuan,CHEN Jin-ping

(Jinling Institute of Technology,Nanjing 211169,china)

Abstract: Ad Hoc network is a new kind of infrastructureless network.All nodes are moving constantly and the topology of the ad hoc network is ever changing.Because of its inherent vulnerability makes it highly susceptible to all kinds of attacks,Ad Hoc network security issues to the intrusion detection technology with More to the challenge.Intrusion detection technology and its classification is described in this paper.Summary and analysis of the existing Ad Hoc network suitable for the various advantages and disadvantages of intrusion detection technology for future research studies laid a theoretical foundation.

Key words: Ad hoc network;network security;intrusion detection

1 Ad Hoc網(wǎng)絡(luò)的特點(diǎn)

Ad Hoc網(wǎng)絡(luò),又稱(chēng)自組網(wǎng)絡(luò),是一種沒(méi)有基站或移動(dòng)交換中心之類(lèi)的固定基礎(chǔ)設(shè)施的網(wǎng)絡(luò)。網(wǎng)絡(luò)中的節(jié)點(diǎn)是不斷移動(dòng)的,網(wǎng)絡(luò)沒(méi)有固定的拓?fù)浣Y(jié)構(gòu),節(jié)點(diǎn)既作為移動(dòng)終端,又充當(dāng)路由器。在彼此通信范圍之內(nèi)的移動(dòng)節(jié)點(diǎn)之間可以通過(guò)無(wú)線(xiàn)連接直接通信,對(duì)于那些距離很遠(yuǎn)的節(jié)點(diǎn)則依靠其他的節(jié)點(diǎn)作路由進(jìn)行消息轉(zhuǎn)發(fā)。從理論上說(shuō),移動(dòng)Ad Hoc網(wǎng)絡(luò)中的節(jié)點(diǎn)可以任意移動(dòng)、也可以隨機(jī)地加入或退出網(wǎng)絡(luò),因此移動(dòng)Ad Hoc網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、范圍和成員是高度動(dòng)態(tài)的。

2 入侵檢測(cè)技術(shù)

2.1 Ad Hoc網(wǎng)絡(luò)存在的安全威脅

由于A(yíng)d Hoc網(wǎng)絡(luò)高度動(dòng)態(tài)的拓?fù)浣Y(jié)構(gòu),會(huì)帶來(lái)一系列安全問(wèn)題[1]:

1) 無(wú)法使用防火墻技術(shù)來(lái)保護(hù)網(wǎng)絡(luò)。移動(dòng)Ad Hoc 網(wǎng)絡(luò)無(wú)法設(shè)置一條明確的防護(hù)線(xiàn),襲擊可能來(lái)自任何方向。因此要求每個(gè)節(jié)點(diǎn)都必須時(shí)刻準(zhǔn)備預(yù)防和抵抗襲擊。

2) 節(jié)點(diǎn)間的信任關(guān)系經(jīng)常變化,因此要求Ad Hoc 網(wǎng)絡(luò)的安全措施也應(yīng)是動(dòng)態(tài)的,不適用傳統(tǒng)網(wǎng)絡(luò)采用的靜態(tài)配置方案。

3) 入侵檢測(cè)困難。錯(cuò)誤的路由信息可能是拓?fù)渥兓鹨部赡苁侨肭终咚鶠?,另外一個(gè)大規(guī)模移動(dòng)Ad Hoc 網(wǎng)絡(luò)中跟蹤一個(gè)特定的節(jié)點(diǎn)非常困難。

4) 移動(dòng)Ad Hoc網(wǎng)絡(luò)采用多跳的、無(wú)線(xiàn)信道,因此Ad Hoc網(wǎng)絡(luò)更容易受到鏈路層的攻擊,包括被動(dòng)竊聽(tīng)和假冒、重復(fù)攻擊和信息篡改、拒絕服務(wù)攻擊等主動(dòng)攻擊,而且這種攻擊是難以檢測(cè)出來(lái)的。

5) 移動(dòng)Ad Hoc網(wǎng)絡(luò)通常采用分布式?jīng)Q策, 許多網(wǎng)絡(luò)算法都是依靠鄰近節(jié)點(diǎn)相互協(xié)作,節(jié)點(diǎn)在漫游時(shí)又缺乏物理保護(hù)。

6) 無(wú)線(xiàn)帶寬有限、電池能量有限、計(jì)算能力有限,使得Ad Hoc 網(wǎng)絡(luò)無(wú)法部署復(fù)雜的安全協(xié)議和加密算法。

在A(yíng)d Hoc網(wǎng)絡(luò)的安全問(wèn)題中,路由協(xié)議的安全尤為重要。常見(jiàn)的Ad Hoc網(wǎng)絡(luò)的路由協(xié)議有表驅(qū)動(dòng)路由協(xié)議,如DSDV;按需驅(qū)動(dòng)路由協(xié)議,如DSR、AODV、TORA和混合路由協(xié)議,如LAR等,這些路由協(xié)議極少考慮其安全問(wèn)題。而Ad Hoc網(wǎng)絡(luò)的路由協(xié)議卻是網(wǎng)絡(luò)攻擊的主要目標(biāo)。對(duì)路由協(xié)議的攻擊可分為兩類(lèi):被動(dòng)攻擊和主動(dòng)攻擊。

2.1.1 被動(dòng)攻擊

對(duì)于被動(dòng)攻擊,攻擊者并不去干擾正常的路由協(xié)議,而僅僅竊聽(tīng)路由數(shù)據(jù)。由于A(yíng)d Hoc網(wǎng)絡(luò)使用的是無(wú)線(xiàn)信道,所以這種攻擊比較隱蔽,一般無(wú)法檢測(cè)到。攻擊者通過(guò)分析竊聽(tīng)到的路由數(shù)據(jù)就可能得到有用的信息。比如,如果去往某個(gè)特定節(jié)點(diǎn)的路由請(qǐng)求比到其它節(jié)點(diǎn)的路由請(qǐng)求要頻繁,那么攻擊者就可以認(rèn)為該特定節(jié)點(diǎn)比較重要。如果確實(shí)如此,那么對(duì)該節(jié)點(diǎn)的攻擊就會(huì)威脅整個(gè)網(wǎng)絡(luò)的安全和性能。另外,路由數(shù)據(jù)還會(huì)暴露節(jié)點(diǎn)的位置,或者說(shuō)至少會(huì)暴露一定的網(wǎng)絡(luò)拓?fù)湫畔ⅰ?/p>

2.1.2 主動(dòng)攻擊

主動(dòng)攻擊就是網(wǎng)絡(luò)攻擊者通過(guò)向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包來(lái)達(dá)到攻擊的目的。比如攻擊者向網(wǎng)絡(luò)廣播一些特定的消息,使得別的節(jié)點(diǎn)以為經(jīng)過(guò)該節(jié)點(diǎn)的路徑最短或代價(jià)最小,這樣受到攻擊的節(jié)點(diǎn)都會(huì)將數(shù)據(jù)包發(fā)送給該節(jié)點(diǎn),從而形成一個(gè)吸收數(shù)據(jù)的“黑洞”;攻擊者也可以通過(guò)不停地發(fā)送虛假路由信息使得被攻擊的節(jié)點(diǎn)的路由表溢出,從而使得正常的路由信息無(wú)法及時(shí)更新;攻擊者還可以發(fā)送錯(cuò)誤的路由信息和重放舊的路由信息,使網(wǎng)絡(luò)出現(xiàn)分割和擁塞。

要建立安全的Ad Hoc網(wǎng)絡(luò), 采取主動(dòng)的防衛(wèi)方式來(lái)增強(qiáng)網(wǎng)絡(luò)的安全性尤為重要。但現(xiàn)有基于固定網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不能簡(jiǎn)單遷移到Ad Hoc 網(wǎng)絡(luò)中, 所以必須重新設(shè)計(jì)一套新的入侵檢測(cè)系統(tǒng)來(lái)滿(mǎn)足移動(dòng)Ad Hoc 網(wǎng)絡(luò)特定的安全需要。

2.2 入侵檢測(cè)技術(shù)的作用

入侵檢測(cè)可定義為:“識(shí)別那些未經(jīng)授權(quán)而使用計(jì)算機(jī)系統(tǒng)的非法用戶(hù)和那些對(duì)系統(tǒng)有訪(fǎng)問(wèn)權(quán)限但濫用其特權(quán)的用戶(hù)?!盵2]

入侵檢測(cè)技術(shù)是為保證系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)或更廣泛意義上的信息系統(tǒng)中違反安全策略行為的技術(shù)。它根據(jù)用戶(hù)的歷史行為,基于用戶(hù)的當(dāng)前操作,完成對(duì)攻擊的決策并記錄下攻擊證據(jù),為數(shù)據(jù)恢復(fù)與事故處理提供依據(jù)。

2.3 入侵檢測(cè)技術(shù)的分類(lèi)

根據(jù)檢測(cè)方法的不同,入侵檢測(cè)可以被分為以下2種類(lèi)別:異常(anomaly)檢測(cè)、誤用(misuse)檢測(cè)[3]。

異常檢測(cè)是根據(jù)異常使用計(jì)算機(jī)、異常使用系統(tǒng)資源或者異常的網(wǎng)絡(luò)流量來(lái)進(jìn)行的入侵檢測(cè)。首先通過(guò)提取審計(jì)記錄(如網(wǎng)絡(luò)流量和日志文件) 中的特征數(shù)據(jù)來(lái)建立模型,用檢測(cè)到的行為模式與建立的模型相比較,如果兩者之差超過(guò)一個(gè)給定的閾值,則被視為入侵。該算法的特點(diǎn)是可以檢測(cè)到之前未發(fā)生過(guò)的攻擊方式,但定義閥值比較困難,容易產(chǎn)生檢測(cè)的誤報(bào)和漏報(bào)。

誤用檢測(cè)是根據(jù)事先定義的入侵模式庫(kù),用這些已有的入侵模式和檢測(cè)到的入侵模式匹配。該算法的特點(diǎn)是對(duì)已知攻擊模式的檢測(cè)準(zhǔn)確率較高,對(duì)未知的攻擊模式檢測(cè)效果有限,而且入侵模式庫(kù)需要不斷更新。

3 Ad Hoc網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)

3.1 Ad Hoc網(wǎng)絡(luò)特性與入侵檢測(cè)技術(shù)的結(jié)合

目前,傳統(tǒng)有線(xiàn)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)的研究充分而廣泛,但是這種對(duì)傳統(tǒng)有線(xiàn)網(wǎng)絡(luò)的IDS研究不能直接用于無(wú)線(xiàn)Ad Hoc 網(wǎng)絡(luò)中。無(wú)線(xiàn)Ad Hoc網(wǎng)絡(luò)缺乏固定的基礎(chǔ)設(shè)施,物理層設(shè)施匱乏,無(wú)線(xiàn)Ad Hoc 網(wǎng)絡(luò)這種本身的脆弱性使得其更容易受到攻擊,給IDS的設(shè)計(jì)帶來(lái)更多挑戰(zhàn)和要求。

由于缺少一個(gè)類(lèi)似于網(wǎng)關(guān),路由器的中心控制節(jié)點(diǎn),無(wú)線(xiàn)Ad Hoc的入侵檢測(cè)技術(shù)受到各節(jié)點(diǎn)流量的制約。再則,無(wú)線(xiàn)Ad Hoc網(wǎng)絡(luò)本身的分布式特性,要求入侵檢測(cè)技術(shù)也采用一個(gè)合適的分布式算法,同時(shí)也要考慮到實(shí)際應(yīng)用中的節(jié)點(diǎn)所能承載的最大流量。由于無(wú)線(xiàn)Ad Hoc 網(wǎng)絡(luò)具有動(dòng)態(tài)的拓?fù)浣Y(jié)構(gòu),各節(jié)點(diǎn)可以靈活游走,這就使得節(jié)點(diǎn)容易被捕獲,從而威脅到整個(gè)網(wǎng)絡(luò)的安全。為了節(jié)省有限的帶寬資源,無(wú)線(xiàn)Ad Hoc網(wǎng)絡(luò)的各節(jié)點(diǎn)不可能像有限網(wǎng)絡(luò)中的節(jié)點(diǎn)一樣隨時(shí)隨地自由通信,因此,帶寬和電池容量更加制約了移動(dòng)網(wǎng)絡(luò)的IDS設(shè)計(jì)。

3.2 Ad Hoc網(wǎng)絡(luò)中合格IDS的要求

設(shè)計(jì)Ad Hoc網(wǎng)絡(luò)的IDS時(shí),應(yīng)盡量滿(mǎn)足以下條件來(lái)避免非法的入侵。1) IDS不能給網(wǎng)絡(luò)引入新的漏洞,帶來(lái)新的安全問(wèn)題;2)IDS不能消耗系統(tǒng)過(guò)多的資源,影響正常的節(jié)點(diǎn)工作;3) IDS應(yīng)該具有高度的可靠性,低誤報(bào)率和漏報(bào)率;4) IDS應(yīng)該采用分布式的結(jié)構(gòu);5) IDS應(yīng)該不間斷地、持續(xù)高效地進(jìn)行檢測(cè);6) IDS應(yīng)采用某種方式以標(biāo)準(zhǔn)化入侵檢測(cè)信息交換格式,使得多種入侵檢測(cè)方案可以互相合作。

3.3 現(xiàn)有Ad Hoc網(wǎng)絡(luò)的IDS系統(tǒng)分析

目前國(guó)外已經(jīng)有一些關(guān)于無(wú)線(xiàn)Ad Hoc網(wǎng)絡(luò)的IDS技術(shù)的理論研究,其中基于分布式異常檢測(cè)的系統(tǒng)模型有:Ad Hoc網(wǎng)絡(luò)分布式IDS、基于A(yíng)ODV的入侵檢測(cè)和響應(yīng)模型、反入侵算法技巧集、看門(mén)狗及路由選擇器;基于移動(dòng)檢測(cè)的系統(tǒng)模型有:靜態(tài)安全數(shù)據(jù)庫(kù)的IDS、基于移動(dòng)技術(shù)的分布式IDS;基于規(guī)范的分布式入侵檢測(cè)和基于時(shí)間自動(dòng)機(jī)的入侵檢測(cè)[4]。

國(guó)內(nèi)的研究方案目前有基于簇的多層分布式入侵檢測(cè)技術(shù)[5]、可存活性入侵檢測(cè)系統(tǒng)[1]和基于規(guī)則匹配技術(shù)和統(tǒng)計(jì)分析技術(shù)的混合入侵檢測(cè)算法[6]等。

1) 基于簇的多層分布式入侵檢測(cè)技術(shù)

考慮到網(wǎng)絡(luò)節(jié)點(diǎn)的處理能力、能量消耗、移動(dòng)頻率等因素,將Ad Hoc網(wǎng)絡(luò)劃分為若干簇,在一個(gè)簇內(nèi),各節(jié)點(diǎn)可與一跳內(nèi)的任意節(jié)點(diǎn)進(jìn)行直接通信,但是超出了一跳范圍時(shí),必須通過(guò)簇頭節(jié)點(diǎn)才能進(jìn)行通信。同時(shí),不在一個(gè)簇內(nèi)的兩個(gè)節(jié)點(diǎn),即使它們之間的距離只有一跳,也必須通過(guò)簇頭節(jié)點(diǎn)才能通信。

基于簇的多層分布式入侵檢測(cè)系統(tǒng)由通信接口模塊、本地?cái)?shù)據(jù)收集模塊、移動(dòng)平臺(tái)模塊、移動(dòng)模塊、分析引擎模塊和響應(yīng)模塊組成。

通信接口模塊采用通用標(biāo)準(zhǔn)定義,以便兼容其它的標(biāo)準(zhǔn)定義入侵檢測(cè)系統(tǒng),提供了協(xié)同工作的基礎(chǔ)。本地?cái)?shù)據(jù)收集模塊負(fù)責(zé)從本地的不同數(shù)據(jù)源收集審計(jì)數(shù)據(jù)流。移動(dòng)平臺(tái)模塊用于安全地傳輸移動(dòng)模塊,目前支持TCP/IP 協(xié)議。移動(dòng)模塊負(fù)責(zé)收集和處理來(lái)自其他簇的數(shù)據(jù)。全局分析引擎模塊中的響應(yīng)模塊能夠產(chǎn)生報(bào)警信息和對(duì)可疑鏈路的斷鏈操作。

2) 可存活性入侵檢測(cè)系統(tǒng)

可存活性是指當(dāng)系統(tǒng)在出現(xiàn)故障、發(fā)生意外事件或遭受到攻擊時(shí), 系統(tǒng)具有及時(shí)準(zhǔn)確地完成預(yù)定基本任務(wù)的能力。該體系結(jié)構(gòu)按功能分為三層:驅(qū)動(dòng)層、控制層和執(zhí)行層。在驅(qū)動(dòng)層,對(duì)目前入侵特征分析方法的基礎(chǔ)上,增加了數(shù)據(jù)恢復(fù)引擎來(lái)提高系統(tǒng)的可存活性;在控制層,從工程技術(shù)的角度,對(duì)其進(jìn)行了模塊化設(shè)計(jì),實(shí)現(xiàn)了該層的可移植性;在執(zhí)行層,利用新的簇頭選擇算法,極大地減少系統(tǒng)能源消耗,并增強(qiáng)了系統(tǒng)的可存活性。

該方法提高了系統(tǒng)實(shí)現(xiàn)時(shí)的靈活性,降低了系統(tǒng)實(shí)現(xiàn)時(shí)的復(fù)雜程度。采用技術(shù)和自學(xué)習(xí)技術(shù),提高了網(wǎng)絡(luò)的可生存性。把監(jiān)視和決策分散到幾個(gè)動(dòng)態(tài)地選出的節(jié)點(diǎn)上, 既降低了整個(gè)網(wǎng)絡(luò)能源的消耗又提高了入侵檢測(cè)系統(tǒng)的效率,還在一定程度上提高了網(wǎng)絡(luò)的可存活性。

3) 混合入侵檢測(cè)算法

由于異常檢測(cè)算法具有較高的虛警率,誤用檢測(cè)算法檢測(cè)領(lǐng)域有限,不能很好的應(yīng)用于網(wǎng)絡(luò)結(jié)構(gòu)不斷變化、面臨多樣攻擊的Ad Hoc網(wǎng)絡(luò)?;旌先肭謾z測(cè)算以規(guī)則匹配為基礎(chǔ),統(tǒng)計(jì)分析網(wǎng)絡(luò)在未受到攻擊時(shí)的異常時(shí)間率來(lái)為系統(tǒng)設(shè)計(jì)閾值,避免虛警率和露報(bào)情況;在數(shù)據(jù)分析方面,如果一系列的異常事件都表現(xiàn)為同一種攻擊特征,在單位時(shí)間內(nèi)出現(xiàn)的概率高于閾值,則判定為一次攻擊。該算法不但可以提高檢測(cè)的準(zhǔn)確性,而且對(duì)網(wǎng)絡(luò)的性能沒(méi)有明顯影響,包括數(shù)據(jù)包的傳遞時(shí)間及系統(tǒng)的反應(yīng)時(shí)間。

4 結(jié)束語(yǔ)

隨著移動(dòng)Ad Hoc網(wǎng)絡(luò)的廣泛應(yīng)用,Ad Hoc網(wǎng)絡(luò)的安全性問(wèn)題已突顯其重要性?;贏(yíng)d hoc網(wǎng)絡(luò)動(dòng)態(tài)拓?fù)浣Y(jié)構(gòu)、有限的無(wú)線(xiàn)傳輸帶寬、移動(dòng)節(jié)點(diǎn)的有限性(移動(dòng)用戶(hù)終端內(nèi)存小、CPU 處理能力低、所帶電源有限)和網(wǎng)絡(luò)的分布式等特點(diǎn),本文總結(jié)了國(guó)內(nèi)外關(guān)于A(yíng)d Hoc網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究成果,分析了各種檢測(cè)技術(shù)的特性和優(yōu)缺點(diǎn),對(duì)今后研究Ad Hoc網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)理論和實(shí)踐有一定的參考意義。

參考文獻(xiàn):

[1] 安德智.Ad Hoc網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)研究[J].PLC應(yīng)用技術(shù)200例,2008:79-81.

[2] Hubaux J P,Buttyan L,Capkun S.The quest for security in mobile Ad Hoc networks [C].Proceedings of the ACM2 Symposium on Mobile Ad Hoc Networking and Computing.[S.l.]:[s.n.],2001.

[3] Kachirski O, Guha R.Intrusion Detection Using Mobile Agents in Wireless Ad Hoc Networks [C].IEEE,July 2002:10-12.

[4] Amitabh M, Ketan N,Animesh P,et al.Intrusion Detection in Wireless Ad Hoc Networks[J].IEEE Wireless Communications,2004,(02):48-60.

篇2

關(guān)鍵詞:入侵檢測(cè);異常檢測(cè);時(shí)間序列分析

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2007)05-11229-02

1 引言

隨著科技進(jìn)步和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,信息產(chǎn)業(yè)及其應(yīng)用得到了巨大的發(fā)展,政府、金融、教育等企事業(yè)單位以及個(gè)人用戶(hù)等對(duì)網(wǎng)絡(luò)的依賴(lài)程度越來(lái)越高。同時(shí)也由此帶來(lái)了信息安全隱患,如何保障網(wǎng)絡(luò)與信息系統(tǒng)的安全已經(jīng)成為高度重視的問(wèn)題。作為一種主動(dòng)安全防護(hù)技術(shù),入侵檢測(cè)系統(tǒng)能夠檢測(cè)和識(shí)別來(lái)自外部或者內(nèi)部的異?;顒?dòng)或者入侵行為(例如,對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用或者破壞、內(nèi)部用戶(hù)的未授權(quán)訪(fǎng)問(wèn)等),己經(jīng)成為傳統(tǒng)計(jì)算機(jī)安全技術(shù)(如防火墻)的有益補(bǔ)充,是網(wǎng)絡(luò)安全領(lǐng)域研究的一個(gè)新熱點(diǎn)。

入侵檢測(cè)系統(tǒng)(Intrusion Detection System, IDS)是防火墻的合理補(bǔ)充。本文使用時(shí)間序列分析,設(shè)計(jì)和實(shí)現(xiàn)一個(gè)面向網(wǎng)絡(luò)流量異常的檢測(cè)系統(tǒng),實(shí)時(shí)地監(jiān)測(cè)和分析網(wǎng)絡(luò)中的異常流量,并采取相應(yīng)措施(如與防火墻聯(lián)動(dòng))來(lái)避免或抑止網(wǎng)絡(luò)掃描、Dos/DDoS攻擊、網(wǎng)絡(luò)蠕蟲(chóng)病毒、惡意下載等網(wǎng)絡(luò)攻擊對(duì)局域網(wǎng)安全的威脅,保障網(wǎng)絡(luò)的正常運(yùn)行,最大限度地發(fā)揮網(wǎng)絡(luò)的作用。

2 常見(jiàn)的網(wǎng)絡(luò)流量異常

網(wǎng)絡(luò)流量異常會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能,造成網(wǎng)絡(luò)擁塞,嚴(yán)重的甚至?xí)W(wǎng)絡(luò)中斷,使網(wǎng)絡(luò)設(shè)備利用率達(dá)到100%,無(wú)法響應(yīng)進(jìn)一步的指令。造成網(wǎng)絡(luò)異常流量的原因可能有:網(wǎng)絡(luò)掃描、Ddos攻擊、網(wǎng)絡(luò)蠕蟲(chóng)、惡意下載、用戶(hù)對(duì)網(wǎng)絡(luò)資源的不當(dāng)使用以及物理鏈路損壞或者設(shè)備不能正常運(yùn)轉(zhuǎn)等。

這些安全攻擊或威脅有一個(gè)共同點(diǎn),即會(huì)引起網(wǎng)絡(luò)流量的急劇變化,它對(duì)網(wǎng)絡(luò)的影響主要體現(xiàn)在兩個(gè)方面:

(1)占用帶寬資源使網(wǎng)絡(luò)擁塞,造成網(wǎng)絡(luò)網(wǎng)絡(luò)丟包或時(shí)延增大,嚴(yán)重時(shí)可導(dǎo)致網(wǎng)絡(luò)不可用;

(2)占用網(wǎng)絡(luò)設(shè)備系統(tǒng)資源(CPU、內(nèi)存等),使網(wǎng)絡(luò)不能正常的服務(wù)。

3 面向流量異常檢測(cè)的數(shù)學(xué)建模

本文設(shè)計(jì)和實(shí)現(xiàn)面向流量異常的網(wǎng)絡(luò)檢測(cè)系統(tǒng),是在基于網(wǎng)絡(luò)行為學(xué)的研究結(jié)果。網(wǎng)絡(luò)行為學(xué)認(rèn)為網(wǎng)絡(luò)的流量行為具有長(zhǎng)期特征和短期特征。網(wǎng)絡(luò)長(zhǎng)期特征表現(xiàn)在網(wǎng)絡(luò)行為具有一定的規(guī)律性和穩(wěn)定性。能夠?qū)钟蚓W(wǎng)的流量或者某些關(guān)鍵主機(jī)的流量情況進(jìn)行實(shí)時(shí)監(jiān)測(cè),及早發(fā)現(xiàn)和識(shí)別入侵攻擊的發(fā)生。

網(wǎng)絡(luò)流量模型依據(jù)的數(shù)學(xué)理論基礎(chǔ)的不同,大致可以分為4大類(lèi):馬爾可夫類(lèi)模型、自回歸類(lèi)模型、長(zhǎng)程依賴(lài)類(lèi)流量模型,漏桶類(lèi)模型[1]。其中,自回歸模型定義下一個(gè)業(yè)務(wù)流量變量作為前一個(gè)變量的一個(gè)明確的函數(shù),即利用前一段時(shí)間變量的數(shù)據(jù)來(lái)預(yù)測(cè)該變量的下一個(gè)時(shí)間的值,在一個(gè)時(shí)間窗口中,由目前向過(guò)去延伸。多個(gè)研究結(jié)果表明,它可以有效地用于網(wǎng)絡(luò)流量行為的實(shí)時(shí)預(yù)測(cè)和控制。因此,可以通過(guò)對(duì)統(tǒng)計(jì)的歷史統(tǒng)計(jì)量數(shù)據(jù)進(jìn)行分析,為網(wǎng)絡(luò)流量建立合理的統(tǒng)計(jì)模型,并作為檢測(cè)系統(tǒng)的異常檢測(cè)引擎。

首先在局域網(wǎng)的總出口處連續(xù)的采集進(jìn)出網(wǎng)絡(luò)的流量數(shù)據(jù),觀(guān)測(cè)時(shí)間為4周(每周7個(gè)工作日),建立網(wǎng)絡(luò)的正常行為模式。從采集到的數(shù)據(jù)序列,可以看出,網(wǎng)絡(luò)的帶寬利用率(或者總流量)和單播/非單播包比率具有明顯的周期性特征,但它是一個(gè)不平穩(wěn)的序列,可以采用時(shí)間序列分析的方法為它們建立統(tǒng)計(jì)模型[2]。

對(duì)帶寬利用率和單播/非單播包比率這兩個(gè)統(tǒng)計(jì)量的時(shí)間序列模型可以按如下步驟建立,并用于異常流量的檢測(cè)。

(1)原始數(shù)據(jù)處理

首先,采集4周28個(gè)工作日的數(shù)據(jù)作為基礎(chǔ)數(shù)據(jù)。數(shù)據(jù)采集系統(tǒng)在工作中有時(shí)會(huì)引入一些虛假數(shù)據(jù),因此,在整個(gè)數(shù)據(jù)分析過(guò)程中,最好先進(jìn)行異點(diǎn)的檢測(cè)和剔除,以便確保這些值是體現(xiàn)正常網(wǎng)絡(luò)行為。根據(jù)格拉布斯準(zhǔn)則,如果x表示x1,x2,x3,x4的在一周內(nèi)的某一時(shí)刻的平均值(4周數(shù)據(jù)的平均),v表示它們的標(biāo)準(zhǔn)差,即,如果xi滿(mǎn)足|xi|>kv,則xi為異常值,應(yīng)剔除不用。 x1,x2,x3,x4中剩余的求平均。其中k是格拉布斯準(zhǔn)則系數(shù),與置信區(qū)間為95%相對(duì)應(yīng)的k=1.46。這樣,得到了4周歷史數(shù)據(jù)的10080個(gè)時(shí)刻的平均值。再采用方差分析的方法的方法對(duì)序列進(jìn)行平穩(wěn)化,這樣就可以把網(wǎng)絡(luò)流量的局部看成統(tǒng)計(jì)上近似的平穩(wěn)。然后將這個(gè)局部作為一個(gè)滑動(dòng)時(shí)間窗口,窗口的大小設(shè)為N。用這N個(gè)局部流量數(shù)據(jù)建立ARMA(n,n-1)模型,來(lái)判斷第N+1個(gè)數(shù)據(jù)是否異常(在實(shí)時(shí)異常檢測(cè)中,只需要將時(shí)間窗口不斷往前依次滑動(dòng)[3]。

(2)模型的確定和模型參數(shù)的估計(jì)

在建模策略上,系統(tǒng)建模法采用ARMA(n,n-1)模型逼近序列{xt},即

為使建模過(guò)程計(jì)算盡量簡(jiǎn)單,降低階數(shù),我們用直線(xiàn)擬合樣本數(shù)據(jù)的趨勢(shì),然后提取趨勢(shì)項(xiàng)。對(duì)提取趨勢(shì)項(xiàng)后的數(shù)據(jù)進(jìn)行建模研究。

文中建模時(shí)的初始猜測(cè)值采用逆函數(shù)方法確定。它的基本原理是:逆函數(shù)系數(shù)本身是ARMA模型無(wú)窮展開(kāi)式的自回歸參數(shù),所以對(duì)于一個(gè)ARMA,可以用無(wú)窮階AR模型去逼近。對(duì)于A(yíng)RMA(2n,2n-1),需要擬和一個(gè)AR(2n-1)模型。這一步可以通過(guò)求解Yule-Walker方程方法容易地估出AR的系數(shù)Φi。把這些AR模型的系數(shù)Φi作為ARMA(n,n-1)模型的逆函數(shù)系數(shù)Ii。逆函數(shù)系數(shù)的公式如下

將式(2)代入式(1)可以得到算子恒等式,再利用相應(yīng)的系數(shù)相等的方法,得到ARMA(n,n-1)的滑動(dòng)平均系數(shù)Φi,最后利用已知的Φi和Ii求出作為AR模型系數(shù)Φi的初始估計(jì)值。這樣可以得到ARMA(n,n-1)模型的初始參數(shù)Φi和θi。該方法的整個(gè)過(guò)程都僅涉及到線(xiàn)性方程組的求解,因而計(jì)算簡(jiǎn)便易于實(shí)現(xiàn),是對(duì)高階ARMA模型進(jìn)行參數(shù)初估計(jì)的有效方法。這種參數(shù)初估計(jì)方法不但具有在計(jì)算機(jī)上容易實(shí)現(xiàn)的特點(diǎn),而且與當(dāng)前常用的參數(shù)初估計(jì)方法相比,在參數(shù)估計(jì)精度上有了較大的提高。

由于最終的ARMA模型方程對(duì)參數(shù)是非線(xiàn)性的,文章用非線(xiàn)性最小二乘法來(lái)逐步逼近的方式來(lái)實(shí)現(xiàn)殘差平方和的極小化。這個(gè)方法從諸參數(shù)的初始值開(kāi)始,利用下式遞歸計(jì)算殘差并求得平方和

一旦在參數(shù)空間中達(dá)到平方和較小的那一點(diǎn)時(shí),則以此點(diǎn)為初始值開(kāi)始新一次的迭代,迭代一直持續(xù)到達(dá)到規(guī)定的允許誤差為止。文中利用全局收斂的Levenberg-Marquardt修正的高斯-牛頓法算法來(lái)迭代計(jì)算殘差。一旦達(dá)到誤差要求,就可以得到模型的參數(shù)和階數(shù)。這個(gè)方法還可利用局部線(xiàn)性的假設(shè),借助線(xiàn)性最小二乘理論求得各估計(jì)參數(shù)的近似置信區(qū)間。

(3)模型適用性檢驗(yàn)

文中所用的檢驗(yàn)判據(jù)是F檢驗(yàn)。 ,式中A0是不受限模型的平方和(較?。?,A1是受限模型的平方和(較大),F(xiàn)(s,N-r)是具有s和N-r個(gè)自由度的F-分布。其中殘差平方和的公式為:RSS=∑a 。用F檢驗(yàn)來(lái)驗(yàn)證在階數(shù)增加的過(guò)程中殘差的平方和是否顯著,從而確定在那個(gè)顯著性水平上,模型是否合適。同時(shí)F判據(jù)還可以作為擬合ARMA(2n,2n-1)系列時(shí)的停止判據(jù)。一旦決定停止在A(yíng)RMA(2n,2n-1)模型上時(shí),還可以進(jìn)一步用F-判據(jù)判斷是否自回歸階次為奇數(shù)。在決定了最終的模型后,也可以用F-判據(jù)去判斷是否還有其他理想的模型形式是合適的。

在使用F-判據(jù)的同時(shí),還必須使用殘差的自相關(guān)檢驗(yàn)x2來(lái)作為進(jìn)一步的實(shí)用性檢驗(yàn)。x2分布是表征相互獨(dú)立的諸標(biāo)準(zhǔn)正態(tài)變量平方和的一個(gè)分布, 。使用殘差的自相關(guān)檢驗(yàn)來(lái)判斷殘差的相互獨(dú)立性,從而確定殘差是否是白噪聲序列,進(jìn)一步確定模型是否合理。

3 入侵檢測(cè)系統(tǒng)的功能模塊設(shè)計(jì)

根據(jù)系統(tǒng)的功能需求,可以將流量異常檢測(cè)原型系統(tǒng)分成5個(gè)基本模塊:流量采集模塊、流量統(tǒng)計(jì)模塊、流量異常檢測(cè)模塊,報(bào)警和響應(yīng)模塊以及人機(jī)交互界面。系統(tǒng)的體系結(jié)構(gòu)如圖1所示。

系統(tǒng)的工作原理是:在局域網(wǎng)的總出口(或被監(jiān)控的核心主機(jī)附近的采集點(diǎn))采集流量數(shù)據(jù);對(duì)每個(gè)數(shù)據(jù)包進(jìn)行分類(lèi)并統(tǒng)計(jì)相關(guān)流量信息(如協(xié)議和端口使用量等),將這些統(tǒng)計(jì)值保存到特定的存儲(chǔ)結(jié)構(gòu):并采用異常檢測(cè)模塊對(duì)這些流量數(shù)據(jù)進(jìn)行分析;對(duì)于識(shí)別出的異常流量分析特征,并通過(guò)修改防火墻的規(guī)則或者受害主機(jī)隔離等方式來(lái)抑止和阻斷這些網(wǎng)絡(luò)攻擊的進(jìn)一步發(fā)展。最后,安全管理人員可以通過(guò)人機(jī)交互模塊對(duì)查看系統(tǒng)的工作狀態(tài)并對(duì)系統(tǒng)進(jìn)行配置和管理[4]。

圖1 系統(tǒng)的體系結(jié)構(gòu)

圖1中的5個(gè)模塊的功能分別如下:

(1)流量采集模塊。局域網(wǎng)的總出口或者網(wǎng)絡(luò)中被監(jiān)控的核心服務(wù)器附近設(shè)置流量采集點(diǎn),采集所有流經(jīng)該采集點(diǎn)的流量數(shù)據(jù);

(2)流量統(tǒng)計(jì)模塊。對(duì)所有捕獲的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行拆分,統(tǒng)計(jì)各種協(xié)議的包的協(xié)議類(lèi)型、源/目標(biāo)地址、端口、大小、標(biāo)識(shí)位等信息。然后,該模塊以分鐘為時(shí)間粒度,統(tǒng)計(jì)網(wǎng)絡(luò)帶寬利用率、單播/非單播包比率、應(yīng)用層協(xié)議包數(shù)量、SYN(SYN+ACK)包比率等統(tǒng)計(jì)量進(jìn)行存儲(chǔ),等待進(jìn)一步的處理;

(3)異常檢測(cè)模塊。該模塊通過(guò)分析網(wǎng)絡(luò)流量的幾個(gè)統(tǒng)計(jì)量來(lái)描述其正常的行為模式或者狀態(tài)。其中網(wǎng)絡(luò)帶寬利用率、單播/非單播包比率是與時(shí)間相關(guān)的統(tǒng)計(jì)量,采用時(shí)間序列分析的方法為它們建立ARMA(2,1)模型,并用于檢測(cè)這些統(tǒng)計(jì)量序列中的異常。通過(guò)綜合這些統(tǒng)計(jì)量的異常情況,識(shí)別出網(wǎng)絡(luò)流量中的異常情況,并產(chǎn)生安全事件消息;

(4)報(bào)警和響應(yīng)模塊。如果檢測(cè)到異常流量,首先需要報(bào)警,使系統(tǒng)和系統(tǒng)管理員可以根據(jù)情況選擇不同的處理方法。然后,系統(tǒng)根據(jù)報(bào)警級(jí)別和安全響應(yīng)策略采取兩種更為主動(dòng)的響應(yīng)方式,即防火墻聯(lián)動(dòng)和主機(jī)隔離;

(5)人機(jī)交互界面。采用基于Web的用戶(hù)管理,通過(guò)該交互界面可以實(shí)現(xiàn)信息查看、闡值設(shè)定以及處理報(bào)警等功能。系統(tǒng)應(yīng)該對(duì)于檢測(cè)出的異常主機(jī)進(jìn)行標(biāo)記,標(biāo)記異常的類(lèi)型、統(tǒng)計(jì)量、閡值指標(biāo)、消息以及異常發(fā)生的時(shí)間等情況,給系統(tǒng)管理員報(bào)告一個(gè)異常信息。

4 系統(tǒng)實(shí)現(xiàn)與測(cè)試

原型系統(tǒng)在Windows 2000環(huán)境采用VC++6.0開(kāi)發(fā),采用SQL Sever 2000作為安全事件數(shù)據(jù)庫(kù)、安全日志、安全響應(yīng)策略庫(kù)等的后臺(tái)數(shù)據(jù)庫(kù)。

實(shí)驗(yàn)結(jié)果表明,本文設(shè)計(jì)和實(shí)現(xiàn)的網(wǎng)絡(luò)流量異常檢測(cè)原型系統(tǒng)對(duì)于網(wǎng)絡(luò)掃描、Dos/Ddos、蠕蟲(chóng)等類(lèi)型的網(wǎng)絡(luò)攻擊和入侵具有明顯的檢測(cè)效果。但是,相對(duì)于紛繁變化的網(wǎng)絡(luò)攻擊手段,限于軟硬件環(huán)境和統(tǒng)計(jì)分析技術(shù)的缺陷,系統(tǒng)的異常檢測(cè)能力還不是很完善,存在著一些不足之處這些都還有待改進(jìn)。因此,本文的主要目的是希望為同類(lèi)型的入侵檢測(cè)系統(tǒng)或者網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)提供一種思路和模式,也為建立局域網(wǎng)的立體縱深、多層次防御系統(tǒng)進(jìn)行一些有益的嘗試。

參考文獻(xiàn):

[1]宋獻(xiàn)濤.等.入侵檢測(cè)系統(tǒng)的分類(lèi)學(xué)研究[J].計(jì)算機(jī)工程與應(yīng)用,2002,38(8):132-13.

[2]孫欽東,張德運(yùn),高鵬.并行入侵檢測(cè)系統(tǒng)的負(fù)載均衡算法[J].小型微型計(jì)算機(jī),2004,25(12): 2215-2217.

[3]李信滿(mǎn),趙大哲,趙宏.基于應(yīng)用的高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究[J].通信學(xué)報(bào),2002, 23(9):1-7.

篇3

關(guān)鍵詞 linux;網(wǎng)絡(luò)入侵;防御;系統(tǒng)設(shè)計(jì)

中圖分類(lèi)號(hào)TP393 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2011)34-0178-02

0 引言

隨著Linux操作系統(tǒng)與網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,基于Linux操作系統(tǒng)構(gòu)建的小型網(wǎng)絡(luò)安全形勢(shì)也日趨嚴(yán)峻和復(fù)雜化,各種計(jì)算機(jī)安全事件的數(shù)量正在不斷增長(zhǎng)。面對(duì)小型網(wǎng)絡(luò)的安全防御問(wèn)題,如何構(gòu)建安全的網(wǎng)絡(luò)入侵檢測(cè)防御系統(tǒng),成為目前計(jì)算機(jī)網(wǎng)絡(luò)面臨的首要問(wèn)題。由于網(wǎng)絡(luò)入侵者采用的攻擊技術(shù)與攻擊手段不斷地變化,功能更為強(qiáng)大,更具針對(duì)性和欺騙性,構(gòu)建高效的入侵檢測(cè)防御系統(tǒng)是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的直接解決途徑。目前,在Linux環(huán)境下的主流入侵防御技術(shù)是構(gòu)建特征入侵的防御系統(tǒng)。特征入侵,就是網(wǎng)絡(luò)或系統(tǒng)中存在違反安全策略的行為和攻擊行為。入侵檢測(cè)防御系統(tǒng),就是采用主動(dòng)的入侵檢測(cè)技術(shù)檢測(cè)系統(tǒng)中的這些違反安全策略行為和攻擊行為的系統(tǒng)。作為一種重要的安全防護(hù)工具,入侵檢測(cè)防御系統(tǒng)的作用已經(jīng)超過(guò)了防火墻的概念。本文通過(guò)分析常見(jiàn)的網(wǎng)絡(luò)攻擊方式,對(duì)Linux操作系統(tǒng)下對(duì)網(wǎng)絡(luò)入侵檢測(cè)防御系統(tǒng)的設(shè)計(jì)原理和設(shè)計(jì)實(shí)現(xiàn)進(jìn)行了探討。

1 入侵檢測(cè)防御系統(tǒng)

入侵檢測(cè)防御系統(tǒng)是為了檢測(cè)黑客通過(guò)病毒等手段有意攻擊計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)而構(gòu)建的檢測(cè)防御系統(tǒng)。入侵檢測(cè)防御系統(tǒng)應(yīng)具有捕獲符合指定條件的網(wǎng)絡(luò)數(shù)據(jù)包、數(shù)據(jù)預(yù)處理、入侵分析以及告警、簡(jiǎn)單防御攻擊行為、誘騙攻擊者、獲取對(duì)方攻擊意圖、獲取攻擊者的簡(jiǎn)單資料等信息的能力。

2 常見(jiàn)的網(wǎng)絡(luò)攻擊方式

如果想要避免Linux網(wǎng)絡(luò)遭受黑客的攻擊,就必須對(duì)黑客的攻擊方法、攻擊原理以及攻擊過(guò)程有深入詳細(xì)的了解。這樣才能設(shè)計(jì)出有效的主動(dòng)檢測(cè)防御系統(tǒng)。在Linux網(wǎng)絡(luò)系統(tǒng)中,常被攻擊的方式主要有Synflood攻擊、Ping Flood攻擊、Smurf攻擊、Teardrop攻擊、Land攻擊、ICMP掃描/TCP掃描/UDP掃描等等。

2.1 Synflood攻擊

Synflood攻擊屬于DoS攻擊的一種,是最基本的入侵攻擊手段之一,也是最難對(duì)付的入侵攻擊手段。具體表現(xiàn)方式是在計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)通信時(shí),服務(wù)器接到用戶(hù)端的SYN包后,回應(yīng)用戶(hù)端一個(gè)SYN/ACK包,然后等待用戶(hù)端的ACK回應(yīng)包進(jìn)行確認(rèn)時(shí),用戶(hù)端不發(fā)送ACK包而導(dǎo)致服務(wù)器一直等待,致使服務(wù)器一直等待對(duì)應(yīng)用戶(hù)端回應(yīng)而無(wú)法響應(yīng)其他機(jī)器的連接請(qǐng)求時(shí),就可認(rèn)定為Synflood攻擊。

2.2 Ping Flood攻擊

Ping Flood攻擊的原理是由于操作系統(tǒng)等對(duì)傳輸文件包的長(zhǎng)度有限制,如ICMP包的64 KB規(guī)定,當(dāng)發(fā)送者產(chǎn)生長(zhǎng)度超過(guò)64Kb的文件包時(shí),就會(huì)導(dǎo)致內(nèi)存錯(cuò)誤、TCP/IP堆棧崩潰的情況。目前,大多數(shù)系統(tǒng)對(duì)Ping Flood攻擊都有一定的抵抗能力。

2.3 Smurf攻擊

Smurf攻擊的原理是將某數(shù)據(jù)包的回復(fù)地址設(shè)置成被攻擊網(wǎng)絡(luò)的地址,當(dāng)網(wǎng)絡(luò)中某臺(tái)機(jī)器使用被攻擊的網(wǎng)絡(luò)地址發(fā)送一個(gè)被設(shè)置的數(shù)據(jù)包時(shí),就會(huì)收到多個(gè)相應(yīng)的數(shù)據(jù)包,Smurf攻擊就是通過(guò)數(shù)據(jù)包阻塞被害網(wǎng)絡(luò)的方式進(jìn)行攻擊,導(dǎo)致該網(wǎng)絡(luò)的所有機(jī)器都對(duì)此數(shù)據(jù)包的請(qǐng)求都做出答復(fù),最終導(dǎo)致網(wǎng)絡(luò)的阻塞,甚至崩潰。

2.4 Teardrop攻擊

Teardrop攻擊方式是采用病態(tài)的 UDP數(shù)據(jù)包進(jìn)行攻擊。當(dāng)操作系統(tǒng)收到病態(tài)的UDP數(shù)據(jù)包后,產(chǎn)生內(nèi)存錯(cuò)誤而導(dǎo)致系統(tǒng)崩潰。在識(shí)別Teardrop攻擊時(shí),一般是通過(guò)檢測(cè)UDP數(shù)據(jù)包的完整性和IP包I號(hào)是否為242來(lái)確認(rèn)的。

2.5 Land攻擊

Land攻擊中,一個(gè)特別打造的SYN包的源地址和目標(biāo)地址都被設(shè)置成某個(gè)服務(wù)器的地址。當(dāng)服務(wù)器接收自己發(fā)送的SYN/ACK消息時(shí),就會(huì)創(chuàng)建一個(gè)空的連接,每個(gè)連接都將保留到超時(shí),從而出現(xiàn)系統(tǒng)的崩潰現(xiàn)象。在檢測(cè)時(shí),對(duì)同一端口的大量TCP/SYN包,如果源地址和目標(biāo)地址相同,就可認(rèn)定為是Land攻擊。

3 入侵檢測(cè)防御系統(tǒng)的設(shè)計(jì)原理

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,依靠主機(jī)自我審計(jì)信息的檢測(cè)方式已經(jīng)難以適應(yīng)快速發(fā)展的網(wǎng)絡(luò)安全需求,而基于規(guī)則匹配的入侵檢測(cè)技術(shù)日益發(fā)展成熟。由于規(guī)則庫(kù)的完善,相應(yīng)的誤報(bào)率也得到了有效控制。因此,可采用擴(kuò)展性好、可移植佳、開(kāi)源的Snort作為系統(tǒng)檢測(cè)模塊,以二級(jí)鏈表方式組織規(guī)則庫(kù),將協(xié)議類(lèi)型、源地址/端口分類(lèi)合并形成規(guī)則頭鏈表,再對(duì)可選規(guī)則分類(lèi),將同一協(xié)議類(lèi)型、源/目的地址/端口的規(guī)則放在同一頭鏈下,形成二鏈表。基于網(wǎng)絡(luò)的入侵檢測(cè)防御系統(tǒng)整體設(shè)計(jì)結(jié)構(gòu)如下圖所示。

3.1 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊

網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊的主要功能就是從以太網(wǎng)中捕獲數(shù)據(jù)包,這個(gè)工作可以在操作系統(tǒng)的底層調(diào)用來(lái)實(shí)現(xiàn),也可以使用相應(yīng)的高層調(diào)用來(lái)實(shí)現(xiàn)。為提高效率,可以采用Lniux流行的BPF捕獲機(jī)制實(shí)現(xiàn)。此機(jī)制性能優(yōu)越,不需底層調(diào)用。

3.2 網(wǎng)絡(luò)數(shù)據(jù)分析模塊

網(wǎng)絡(luò)數(shù)據(jù)分析模塊是本系統(tǒng)中一個(gè)十分重要的模塊,它的設(shè)計(jì)結(jié)果關(guān)系到能否有效主動(dòng)防御入侵,保證計(jì)算機(jī)網(wǎng)絡(luò)安全的最終效果。只有能夠完全的分析數(shù)據(jù)包類(lèi)型,才能在此基礎(chǔ)上進(jìn)一步分析是否有入侵行為的發(fā)生。為保證分析結(jié)果的準(zhǔn)確性,本系統(tǒng)設(shè)置了各種入侵行為特征庫(kù),通過(guò)預(yù)設(shè)模塊調(diào)用。通過(guò)與捕獲數(shù)據(jù)的對(duì)比分析,可以大大提高數(shù)據(jù)的分析速度與準(zhǔn)確性,減少錯(cuò)報(bào)、漏報(bào)的幾率。

3.3 緊急處理、保護(hù)/響應(yīng)、誘騙模塊

在對(duì)網(wǎng)絡(luò)數(shù)據(jù)包與特征庫(kù)對(duì)比分析后,對(duì)捕獲到的可疑行為進(jìn)行緊急響應(yīng),積極調(diào)用與之相關(guān)的保護(hù)模塊、誘騙系統(tǒng)。由于網(wǎng)絡(luò)攻擊的復(fù)雜性,不可能做到針對(duì)每一種攻擊方式都設(shè)置相應(yīng)處理措施,只能將攻擊方式大致分類(lèi)處理,并針對(duì)每一種分類(lèi),設(shè)計(jì)出相應(yīng)的保護(hù)措施與誘騙措施,以期達(dá)到主動(dòng)防御的效果。因此,本模塊的設(shè)計(jì)也是整個(gè)檢測(cè)防御系統(tǒng)的核心,稍有漏洞,就功虧一簣。在進(jìn)行本模塊的設(shè)計(jì)時(shí),一定要做好相關(guān)文獻(xiàn)資料的查閱工作,做到最大保護(hù)系統(tǒng)的安全,一旦保護(hù)模塊失敗,還可以通過(guò)誘騙系統(tǒng)暫時(shí)保護(hù)系統(tǒng)的安全。

3.4 報(bào)警系統(tǒng)與系統(tǒng)日志、操作界面模塊

由于網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,攻擊者的手段也在快速更新,僅僅依靠設(shè)計(jì)好的檢測(cè)防御模塊還不能徹底保證計(jì)算機(jī)網(wǎng)絡(luò)的安全,還需要設(shè)置相應(yīng)的報(bào)警機(jī)制,及時(shí)的提醒網(wǎng)絡(luò)管理員,對(duì)可疑的攻擊行為或防御失敗的攻擊行為盡快處理,以避免出現(xiàn)不必要損失。對(duì)于系統(tǒng)日志模塊,是記錄系統(tǒng)檢測(cè)防護(hù)網(wǎng)絡(luò)安全性能的實(shí)時(shí)記錄,也是系統(tǒng)管理員尋找防御失敗攻擊行為解決措施的直接參考依據(jù)。做好系統(tǒng)日志模塊的記錄模塊設(shè)計(jì),可以為特征庫(kù)的更新做好數(shù)據(jù)基礎(chǔ),為建立新的檢測(cè)防御體系提供技術(shù)支持。

3.5 存儲(chǔ)模塊

由于網(wǎng)絡(luò)數(shù)據(jù)包很多,而且是稍縱即逝,如何建立動(dòng)態(tài)的數(shù)據(jù)存儲(chǔ)、將有用信息經(jīng)檢測(cè)分析系統(tǒng)的過(guò)濾后,及時(shí)存儲(chǔ)起來(lái),是本模塊的主要設(shè)計(jì)要求??蓞⒖嫉臄?shù)據(jù)庫(kù)為MYSQL,由于本系統(tǒng)采取模塊化的設(shè)計(jì)思想,易于單獨(dú)考慮數(shù)據(jù)模塊的設(shè)計(jì)方法,以方便動(dòng)態(tài)掛載/卸載,以及系統(tǒng)管理員的查看。

4 結(jié)論

Linux操作系統(tǒng)是一個(gè)免費(fèi)的操作系統(tǒng),具有高穩(wěn)定性、高可靠性、高安全性、源文件開(kāi)放的特點(diǎn);在近年中,頗受受到了廣大計(jì)算機(jī)愛(ài)好者的青睞,各種基于Linux操作系統(tǒng)的專(zhuān)業(yè)應(yīng)用程序也得到了開(kāi)發(fā)應(yīng)用。Linux作為一個(gè)多用戶(hù)的操作系統(tǒng),具有多任務(wù)處理、支持共享庫(kù)、支持Windows操作系統(tǒng)、虛擬內(nèi)存、支持GUN軟件、內(nèi)置網(wǎng)絡(luò)配置、非專(zhuān)有資源代碼等優(yōu)點(diǎn)。隨著Linux應(yīng)用的不斷深入,Linux的用戶(hù)也越來(lái)越多,構(gòu)建Linux環(huán)境下的入侵檢測(cè)防御系統(tǒng)具有重要的現(xiàn)實(shí)意義。

參考文獻(xiàn)

[1][美]Strassberg Keith E.防火墻技術(shù)大全[M].李昂,等譯.北京:機(jī)械工業(yè)出版社,2003.

[2]潘瑜.Linux網(wǎng)絡(luò)系統(tǒng)安全的分析和探討[J].計(jì)算機(jī)時(shí)代,2003(8):7-9.

篇4

【關(guān)鍵詞】人工魚(yú)群算法 特征選擇 混沌機(jī)制 入侵檢測(cè) 反饋機(jī)制

1 引言

伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊也日趨呈現(xiàn)出方式多樣、手法隱蔽等特點(diǎn),傳統(tǒng)的防火墻屬于被動(dòng)防御技術(shù),已經(jīng)不能滿(mǎn)足網(wǎng)絡(luò)用戶(hù)的安全需求,上世紀(jì)80年代,anderson等人就已提出網(wǎng)絡(luò)入侵檢測(cè)的概念。網(wǎng)絡(luò)入侵檢測(cè)分為誤用檢測(cè)和異常檢測(cè)兩種類(lèi)型,由于異常檢測(cè)能夠通過(guò)學(xué)習(xí)來(lái)發(fā)現(xiàn)新的攻擊方式,屬于主動(dòng)防御技術(shù),因此成為當(dāng)前主要的研究方向。

網(wǎng)絡(luò)入侵檢測(cè)需要對(duì)入侵的數(shù)據(jù)包進(jìn)行特征提取和分析。由于特征存在冗余性,因此需要在大量的特征中提取出最優(yōu)的特征,才能降低特征的維數(shù),提高檢測(cè)效率。文獻(xiàn)中研究了當(dāng)前主流的特征選擇算法,包括:順序選擇法、粗糙集方法、遺傳算法、粒子群算法、蟻群算法和支持向量機(jī)(SVM)等。支持向量機(jī)因其泛化能力強(qiáng),成為當(dāng)前主要的網(wǎng)絡(luò)檢測(cè)算法,但其存在檢測(cè)性能與參數(shù)相關(guān)度過(guò)高的弊端。

為改進(jìn)該算法的弊端,本文提出一種改進(jìn)的異常入侵檢測(cè)方法,該方法采用wrapper特征選擇模型,利用改進(jìn)的人工魚(yú)群算法進(jìn)行入侵特征選擇,改進(jìn)的人工魚(yú)群算法在原有AFA(Artificial Fish Swarm algorithm)算法的基礎(chǔ)上,引入混沌搜索,利用其遍歷性、隨機(jī)性、規(guī)律性等特點(diǎn),提高了算法的全局收斂性。之后采用SVM分類(lèi)器對(duì)選擇的特征性能進(jìn)行分類(lèi)、判斷,最后再對(duì)選擇的特征進(jìn)行更新,以找到最優(yōu)特征組合。最后通過(guò)KDD99數(shù)據(jù)集對(duì)算法的性能進(jìn)行驗(yàn)證,證明了本文算法的可靠性和準(zhǔn)確性。

2 異常入侵檢測(cè)模型

本文設(shè)計(jì)的入侵檢測(cè)模型結(jié)構(gòu)框架如圖1所示。首先采用wrapper特征選擇模型,利用改進(jìn)的人工魚(yú)群算法(IAFA)進(jìn)行入侵檢測(cè)特征選擇,之后,采用SVM分類(lèi)器對(duì)選擇的特征性能進(jìn)行判斷,因?yàn)樘卣鱽?lái)自訓(xùn)練集和測(cè)試集兩個(gè)方面,因此還要先進(jìn)行分類(lèi),然后再對(duì)選擇的特征進(jìn)行更新,以找到最優(yōu)特征組合。

3 改進(jìn)人工魚(yú)群算法及特征選擇

3.1 改進(jìn)人工魚(yú)群算法

算法借用混沌搜索的思想,混沌變量選用Tent映射:

(1)

根據(jù)上述映射公式,依照如下步驟將人工魚(yú)i在可行域中產(chǎn)生混沌點(diǎn)列:

步驟1:依照公式(2)將人工魚(yú)狀態(tài)Xi的所有維度 Xik (k=1,…,n),映射到[0,1]這個(gè)區(qū)間內(nèi)

(2)

其中ak表示第k維變量Xik的最小值,bk表示Xik的最大值。

步驟2:將Tent映射公式(1)進(jìn)行M次迭代后,產(chǎn)生一個(gè)序列。

步驟3:依照公式(3)將上一步驟中產(chǎn)生的混沌序列的狀態(tài)值映射回原空間

(3)

步驟4:通過(guò)上述混沌序列,得到人工魚(yú)Xi經(jīng)過(guò)Tent映射后產(chǎn)生的混沌點(diǎn)列:

(4)

步驟5:對(duì)人工魚(yú)狀態(tài)的優(yōu)劣進(jìn)行再次評(píng)估。

步驟6:如果狀態(tài)比狀態(tài)Xi優(yōu),那么就以作為混沌局部搜索的結(jié)果,否則令s=s+1,然后重新回到步驟2執(zhí)行。

算法設(shè)計(jì)了一個(gè)公告牌,公告牌中記錄了當(dāng)前人工魚(yú)群的最優(yōu)狀態(tài),人工魚(yú)按照某一概率向此狀態(tài)移動(dòng),為了能保證改進(jìn)后的算法能夠有更高的精度和執(zhí)行效率,我們?cè)O(shè)計(jì)讓人工魚(yú)按照Pfb的概率執(zhí)行隨機(jī)行為,按概率1-Pfb執(zhí)行反饋行為,并且讓Pfb=θPfb,其中 θ(0, 1)。

3.2 入侵特征選擇

入侵特征選擇按照如下步驟完成:

步驟1:收集網(wǎng)絡(luò)中的狀態(tài)信息,完成學(xué)習(xí)樣本的組成及預(yù)處理。

步驟2:提取網(wǎng)絡(luò)中的狀態(tài)特征。

步驟3:人工魚(yú)參數(shù)初始化,具體包括:最大步長(zhǎng)Max_Step、視野半徑Visaul、反饋概率Pfb、初始迭代次數(shù)passed_iterate、最大迭代次數(shù)max_iterate等;

步驟4:初始化完成后,隨機(jī)生成n條人工魚(yú)。

步驟5:計(jì)算得到所有人工魚(yú)的適應(yīng)度,并與當(dāng)前公告牌中的值進(jìn)行比較,若當(dāng)前的值優(yōu)于公告牌的值,則將當(dāng)前的值記入公告牌。

步驟6:對(duì)人工魚(yú)執(zhí)行覓食、追尾等行為,然后評(píng)價(jià)其結(jié)果,若執(zhí)行某行為以后,人工魚(yú)的狀態(tài)落后于當(dāng)前狀態(tài),則該人工魚(yú)不動(dòng),反之則人工魚(yú)向前移動(dòng)一步。

步驟7:根據(jù)式(1)~(3),執(zhí)行混沌搜索,得到當(dāng)前解域范圍內(nèi)的最好的人工魚(yú)狀態(tài),并將最好人工魚(yú)狀態(tài)記入公告牌;

步驟8:根據(jù)式(5)更新反饋概率;

步驟9:如果達(dá)到了精度要求或者是到達(dá)了最大迭代次數(shù),則算法結(jié)束,同時(shí)輸出公告牌中的人工魚(yú)狀態(tài),否則轉(zhuǎn)到步驟(5)執(zhí)行。

4 支持向量機(jī)的網(wǎng)絡(luò)入侵分類(lèi)器

SVM的思想是在特征空間中建構(gòu)最優(yōu)分割超平面,使得學(xué)習(xí)器得到全局最優(yōu)化,最優(yōu)超平面用下式描述:

(8)

式中,w表示超平面法向量,超平面偏移向量用b描述。

若以上是一個(gè)線(xiàn)性問(wèn)題,則處理起來(lái)比較簡(jiǎn)單,但如果是非線(xiàn)性分類(lèi)問(wèn)題,這要轉(zhuǎn)化為二次優(yōu)化問(wèn)題進(jìn)行處理,即:

(9)

相應(yīng)約束條件為:

(10)

式中,,c表示懲罰參數(shù)。

引入對(duì)偶問(wèn)題來(lái)解決這個(gè)超平面優(yōu)化問(wèn)題,加快分類(lèi)速度,得到SVM決策函數(shù)如下:

(11)

式中,sign為符號(hào)函數(shù),αi為L(zhǎng)agrange乘子。

由于RBF只需確定一個(gè)參數(shù),即核函數(shù)寬度參數(shù)σ,有利于參數(shù)優(yōu)化,因此,研究選擇RBF核函數(shù)構(gòu)造支持向量機(jī)。RBF核函數(shù)定義如下:

(12)

5 仿真實(shí)驗(yàn)

5.1 數(shù)據(jù)來(lái)源

在P4雙核3.0 GMHZ CPU、2G RAM,操作系統(tǒng)為Unix,VC語(yǔ)音環(huán)境下進(jìn)行仿真實(shí)驗(yàn)。數(shù)據(jù)來(lái)自KDD CUP 99 異常檢測(cè)數(shù)據(jù)集,數(shù)據(jù)集中一個(gè)連接記錄共有41個(gè)特征,其中包含有9個(gè)離散屬性和32個(gè)連續(xù)屬性。為了使檢測(cè)結(jié)果具有可比性,采用遺傳算法、粒子群優(yōu)化算法與改進(jìn)的人工魚(yú)群算法進(jìn)行對(duì)比仿真實(shí)驗(yàn),模型性能評(píng)價(jià)指標(biāo)采用平均檢測(cè)時(shí)間和平均檢測(cè)速度來(lái)衡量。

5.2 檢測(cè)正確率對(duì)比

遺傳算法、粒子群優(yōu)化算法、改進(jìn)人工魚(yú)群算法在各個(gè)數(shù)據(jù)集上運(yùn)行10次,計(jì)算它們結(jié)果的平均網(wǎng)絡(luò)入侵檢測(cè)正確率(%),結(jié)果如圖2所示。

對(duì)比結(jié)果表明,采用改進(jìn)人工魚(yú)群算法對(duì)特征進(jìn)行選擇,可以獲得比遺傳算法、粒子群優(yōu)化算法更優(yōu)的特征子集,更加準(zhǔn)確刻畫(huà)了網(wǎng)絡(luò)狀態(tài)變化信息,有效消除了冗余和無(wú)用特征。

5.3 入侵檢測(cè)時(shí)間比較

幾種算法的平均檢測(cè)檢測(cè)時(shí)間(秒)如表1所示。從表中可知,IAFA-SVM的檢測(cè)速度最快,說(shuō)明采用IAFA進(jìn)行網(wǎng)絡(luò)特征選擇減少了特征數(shù)和計(jì)算時(shí)間,加快算法收斂速度,使算法更加滿(mǎn)足網(wǎng)絡(luò)入侵檢測(cè)的實(shí)時(shí)性要求。

6 結(jié)束語(yǔ)

為了解決異常入侵檢測(cè)特征選擇問(wèn)題,本文提出一種改進(jìn)人工魚(yú)群算法的網(wǎng)絡(luò)異常檢測(cè)方法。仿真結(jié)果表明,相對(duì)于遺傳算法、粒子群優(yōu)化算法等傳統(tǒng)選擇方法,改進(jìn)人工魚(yú)群算法可以獲得更優(yōu)特征子集,提高了異常檢測(cè)正確率和檢測(cè)速度,在網(wǎng)絡(luò)安全應(yīng)用中有著廣泛的應(yīng)用前景。

參考文獻(xiàn)

[1]王國(guó)偉,賈宗璞.基于防火墻的網(wǎng)絡(luò)入侵檢測(cè)研究與設(shè)計(jì)[J].計(jì)算機(jī)數(shù)字與工程,2005(5).

[2]鄧九英,杜啟亮,毛宗源等.基于粗糙集與支持向量機(jī)的分類(lèi)算法[J].華南理工大學(xué)學(xué)報(bào):自然科學(xué)版,2008.

[3]詹勇,聲錫藏,王勇軍.攻擊特征自動(dòng)提取技術(shù)綜述[J].通信學(xué)報(bào),2009,30(2):96-105.

[4]牟永敏,李美貴,粱琦.入侵檢測(cè)系統(tǒng)中模式匹配算法的研究[J].電子學(xué)報(bào),2006,34(12A):2488-2490.

[5]陳志賢,黃皓.應(yīng)用擴(kuò)張矩陣?yán)碚摰墓籼卣魈崛J].計(jì)算機(jī)科學(xué),2010,37(4):49-51.

[6]劉明珍.粒子群優(yōu)化支持向量機(jī)的入侵檢測(cè)算法[J].計(jì)算機(jī)工程與應(yīng)用,2012,48(35)71.

[7]田靜,王力軍,洪濤.基于混沌搜索的蟻群優(yōu)化算法[J].信息技術(shù),2012(11).

作者簡(jiǎn)介

梁磊(1979-),男,山東省臨清人。計(jì)算機(jī)軟件與理論專(zhuān)業(yè)碩士?,F(xiàn)為青島酒店管理職業(yè)技術(shù)學(xué)院信息工程技術(shù)學(xué)院講師。主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)安全。

篇5

【關(guān)鍵詞】網(wǎng)絡(luò)安全;入侵檢測(cè);IPv6;入侵檢測(cè)系統(tǒng)框架

Abstract:In this paper,the current status of network security is discussed,followed by analysis of the trend of Internet transition from IPv4 to IPv6 version and its characteristics and defect.Based on comparing the characteristics of network intrusion detection technology for traditional IPv4 and IPv6,this paper cites and analyzes the methods transition technology from IPv4 to IPv6.Finally,an appropriate framework of intrusion detection system for current IPv4/IPv6 environment is proposed.

Key words:network security;intrusion detection;IPv6;Intrusion Detection System Framework

1.引言

隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)上的惡意攻擊行為日益增多,形形的病毒、木馬、蠕蟲(chóng)層出不窮,對(duì)網(wǎng)絡(luò)信息安全構(gòu)成了巨大威脅.為了應(yīng)對(duì)越來(lái)越嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題,對(duì)網(wǎng)絡(luò)流進(jìn)行實(shí)時(shí)分析和檢測(cè)就顯得極為必要。入侵檢測(cè)系統(tǒng)[1](Intrusion Detection System,IDS)作為一種積極主動(dòng)、實(shí)時(shí)動(dòng)態(tài)的網(wǎng)絡(luò)安全防范技術(shù),越來(lái)越受到人們的關(guān)注。它通過(guò)收集、分析計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中若干關(guān)鍵點(diǎn)數(shù)據(jù)以判斷是否有違反安全策略的行為和被攻擊的跡象,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,從而提供對(duì)內(nèi)外攻擊和誤操作的實(shí)時(shí)保護(hù)。隨著下一代網(wǎng)絡(luò)中IPV6安全機(jī)制的引進(jìn),網(wǎng)絡(luò)層的安全性得到增強(qiáng)。同時(shí),IPV6安全機(jī)制的應(yīng)用對(duì)傳統(tǒng)入侵檢測(cè)系統(tǒng)也提出了新的要求和挑戰(zhàn)。

2.IPv4向IPv6過(guò)渡中的安全問(wèn)題分析

在IPv6網(wǎng)絡(luò)逐漸替換IPv4網(wǎng)絡(luò)的過(guò)渡過(guò)程中,隨著過(guò)渡技術(shù)的應(yīng)用及網(wǎng)絡(luò)結(jié)構(gòu)變得越來(lái)越復(fù)雜,在網(wǎng)絡(luò)安全方面產(chǎn)生了越來(lái)越多的不容忽視的問(wèn)題[2]。這些過(guò)渡技術(shù)存在的或帶來(lái)的安全問(wèn)題主要有:

采用翻譯過(guò)渡技術(shù),有兩個(gè)問(wèn)題需要關(guān)注。其一是網(wǎng)絡(luò)地址翻譯、協(xié)議翻譯網(wǎng)關(guān)聯(lián)合應(yīng)用層網(wǎng)關(guān)對(duì)數(shù)據(jù)報(bào)進(jìn)行翻譯處理時(shí),會(huì)破壞數(shù)據(jù)報(bào)傳輸中端到端的安全性;其二是網(wǎng)絡(luò)層安全技術(shù)不匹配的問(wèn)題。網(wǎng)絡(luò)層安全協(xié)議的主要作用是對(duì)在網(wǎng)絡(luò)上正常傳送的數(shù)據(jù)進(jìn)行了最大程度的保密和防止更改,而網(wǎng)絡(luò)層協(xié)議-地址翻譯技術(shù)的目的是對(duì)網(wǎng)絡(luò)中傳送的數(shù)據(jù)報(bào)進(jìn)行協(xié)議和地址的變換,這就帶來(lái)了網(wǎng)絡(luò)安全協(xié)議技術(shù)與網(wǎng)絡(luò)層協(xié)議-地址翻譯技術(shù)不匹配的問(wèn)題。

采用隧道過(guò)渡技術(shù),由于隧道技術(shù)的設(shè)計(jì)中沒(méi)有網(wǎng)絡(luò)安全方面的考慮,以及自身的技術(shù)特點(diǎn),給網(wǎng)絡(luò)安全帶來(lái)了眾多的問(wèn)題。在一個(gè)已安裝設(shè)置各種安全設(shè)備的網(wǎng)絡(luò)中,當(dāng)加入隧道技術(shù)后,這些安全設(shè)備的功能會(huì)受到隧道的影響。當(dāng)有數(shù)據(jù)報(bào)經(jīng)過(guò)隧道的時(shí)候,隧道不會(huì)對(duì)數(shù)據(jù)報(bào)進(jìn)行安全方面的檢查,惡意的數(shù)據(jù)報(bào)往往可借用隧道來(lái)避開(kāi)網(wǎng)絡(luò)中的安全檢查。

采用雙棧過(guò)渡技術(shù),就是在一臺(tái)主機(jī)上同時(shí)運(yùn)行兩種版本的網(wǎng)絡(luò)層協(xié)議。這兩種網(wǎng)絡(luò)層協(xié)議在技術(shù)上存在不相關(guān)性,他們之間的協(xié)調(diào)配合的不完善往往會(huì)造成一些安全方面的缺陷,給攻擊者帶來(lái)機(jī)會(huì)。

相較于前兩種過(guò)渡技術(shù),雙棧過(guò)渡技術(shù)在安全技術(shù)和可行性方面都相對(duì)來(lái)說(shuō)有優(yōu)勢(shì),所帶來(lái)的安全隱患也相對(duì)較小。

3.IPv4、IPv6網(wǎng)絡(luò)中入侵檢測(cè)技術(shù)特點(diǎn)

傳統(tǒng)的第一代和第二代IDS通常采用模式匹配技術(shù),這種技術(shù)是對(duì)所有網(wǎng)絡(luò)數(shù)據(jù)包與攻擊數(shù)據(jù)庫(kù)的攻擊特征進(jìn)行匹配,依次來(lái)判定數(shù)據(jù)包中是否有攻擊存在。目前,入侵檢測(cè)系統(tǒng)采用的典型模式匹配算法有Brute Force、Boyer-Moore、Aho-Corasick、Set-wiseBoyer-Moor-Horspool和Aho-Corasick-Boyer-Moore等算法。

IPv6入侵檢測(cè)技術(shù),可定義為對(duì)攻擊者使用IPv6網(wǎng)絡(luò)協(xié)議對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)的處理過(guò)程。由于IPv6協(xié)議和IPv4不兼容,所以在IPv6下入侵檢測(cè)可能面臨很多新的問(wèn)題。

首先,IPv6相對(duì)IPv4在數(shù)據(jù)報(bào)頭上有了很大的變動(dòng),所以原來(lái)的入侵檢測(cè)產(chǎn)品在IPv6網(wǎng)絡(luò)上不能直接使用。IPv4下,IP頭部和TCP頭部是緊接在一起的,而且其長(zhǎng)度是固定的,所以入侵檢測(cè)系統(tǒng)很容易找到頭部,并使用相應(yīng)的策略。然而在IPv6下TCP/UDP頭的位置有了根本的變化,它們不再是緊接在一起的,通常中間還隔有其它的擴(kuò)展頭部,如路由選項(xiàng)頭部,AH/ESP頭部等。防火墻必須讀懂整個(gè)數(shù)據(jù)包才能進(jìn)行過(guò)濾,這對(duì)入侵檢測(cè)的處理性能會(huì)有很大的影響。針對(duì)IPv6的Socket套接口函數(shù)已經(jīng)在RFC2133(Basic Socket InterFace Extends for IPv6)中定義,以前的應(yīng)用程序都必須參考該新的API做相應(yīng)的改動(dòng)。

其次,在IPv6如果使用傳輸模式進(jìn)行端到端的加密,則IDS無(wú)法工作,因?yàn)镮DS無(wú)法理解接收到的加密數(shù)據(jù)包。解決方案之一是讓IDS能對(duì)這些數(shù)據(jù)包進(jìn)行解密,但這樣勢(shì)必會(huì)帶來(lái)新的安全問(wèn)題。同時(shí)IPv6的可靠性是否如最初所設(shè)想的那樣,也有待時(shí)間的考驗(yàn)。

3.1 IPv4/IPv6雙棧入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)

實(shí)現(xiàn)IPv4/IPv6雙棧入侵檢測(cè)系統(tǒng),關(guān)鍵要使現(xiàn)有的協(xié)議解碼模塊具有IPv6協(xié)議解碼功能。協(xié)議解碼分析的類(lèi)型,從第二層來(lái)說(shuō),主要分析的是以太網(wǎng)。從第三層來(lái)說(shuō),有IPv4的包類(lèi)型,也有IPv6的包類(lèi)型,還有隧道方式,如IPv6 IN IPv4 TUNNEL和IPv4 IN IPv6 TUNNEL等類(lèi)型的數(shù)據(jù)包。

協(xié)議解碼,就是按照協(xié)議的數(shù)據(jù)結(jié)構(gòu)和屬性對(duì)數(shù)據(jù)包進(jìn)行分析,對(duì)號(hào)入座。圖1是具備IPv6協(xié)議解碼功能的協(xié)議解碼流程圖。

由圖1可知,首先我們從Ethemet上抓包,然后將包解出,在解包的過(guò)程中把相應(yīng)的包信息填充完整,通過(guò)規(guī)則檢測(cè)、輸出等模塊中的分析,判斷出該包是IPv4包還是IPv6包,如類(lèi)型為0x0800就是IPv4數(shù)據(jù)包,0x86DD就是IPv6數(shù)據(jù)包,然后將以太網(wǎng)的源和目的地址存放起來(lái)留作后用,繼續(xù)分析下一層(第三層)的數(shù)據(jù)結(jié)構(gòu),在這里我們主要分析IPv4和IPv6的包頭結(jié)構(gòu)。

3.2 IPv6環(huán)境中的NIDS模塊設(shè)計(jì)

整個(gè)NIDS系統(tǒng)從邏輯上分為數(shù)據(jù)采集、數(shù)據(jù)分析和結(jié)果輸出三部分。符合CIDF的規(guī)范。系統(tǒng)由數(shù)據(jù)包捕獲模塊、協(xié)議解析模塊、規(guī)則處理模塊、分析檢測(cè)模塊、存儲(chǔ)模塊和響應(yīng)模塊6個(gè)模塊組成,體系結(jié)構(gòu)框圖如圖2所示。

3.3 IPv6環(huán)境中的NIDS模塊功能

(1)數(shù)據(jù)包捕獲模塊

該模塊是網(wǎng)絡(luò)人侵檢測(cè)系統(tǒng)的基本組成部分,是實(shí)現(xiàn)整個(gè)入侵檢測(cè)系統(tǒng)的基礎(chǔ)。數(shù)據(jù)包捕獲模塊的主要功能就是從以太網(wǎng)上捕獲數(shù)據(jù)包。對(duì)于不同的操作系統(tǒng),捕獲數(shù)據(jù)包的實(shí)現(xiàn)方式也不同。

(2)協(xié)議解析模塊

協(xié)議解析模塊的主要功能是對(duì)捕獲到的數(shù)據(jù)包進(jìn)行詳細(xì)的協(xié)議分析,對(duì)數(shù)據(jù)報(bào)進(jìn)行逐層剝離.分析各個(gè)協(xié)議的報(bào)頭和數(shù)據(jù)部分,檢測(cè)出每個(gè)數(shù)據(jù)包的類(lèi)型和特征,在此基礎(chǔ)上進(jìn)一步的分析是否有入侵行為發(fā)生。

(3)規(guī)則處理模塊

規(guī)則處理模塊的功能就是把事先定義好的入侵規(guī)則庫(kù)從文件中讀取出來(lái),進(jìn)行解析,然后讀入內(nèi)存中相應(yīng)的變量之中。規(guī)則庫(kù)是一個(gè)入侵檢測(cè)系統(tǒng)的知識(shí)庫(kù),它的豐富與否決定了入侵檢測(cè)系統(tǒng)的性能,入侵檢測(cè)庫(kù)越豐富,系統(tǒng)檢測(cè)到的入侵行為就會(huì)越多。

(4)分析檢測(cè)模塊

該模塊主要的功能是根據(jù)入侵規(guī)則庫(kù)進(jìn)行協(xié)議分析,看是否有入侵行為的發(fā)生。入侵檢測(cè)功能就是由此模塊實(shí)現(xiàn)的。入侵檢測(cè)模塊將協(xié)議解析模塊的分析結(jié)果和規(guī)則庫(kù)進(jìn)行匹配,如果兩者匹配成功,就說(shuō)明有入侵行為發(fā)生。

(5)存儲(chǔ)模塊

此模塊的主要功能是存儲(chǔ)網(wǎng)絡(luò)信息。由于網(wǎng)絡(luò)數(shù)據(jù)包很多,所以必須及時(shí)地把它們存儲(chǔ)起來(lái),供事后分析IP協(xié)議的分布情況,以及某個(gè)IP的活動(dòng)情況等等。這個(gè)模塊中主要考慮的是存貯哪些信息以及存儲(chǔ)的手段。

(6)響應(yīng)模塊

當(dāng)系統(tǒng)檢測(cè)到入侵時(shí),通過(guò)響應(yīng)模塊來(lái)處理相關(guān)的事情。響應(yīng)模塊可采取多種措施對(duì)檢測(cè)引擎檢測(cè)到的入侵行為進(jìn)行響應(yīng),如傳送消息給防火墻、截?cái)嗤獠咳肭中袨榈?,也可以只是向管理員進(jìn)行簡(jiǎn)單的報(bào)警,由管理員根據(jù)入侵情況再采取必要的防御措施。

4.結(jié)論

本文從IPv4向IPv6逐步過(guò)渡的角度入手,結(jié)合入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì),通過(guò)安全層面分析目前流行的三種過(guò)渡技術(shù),從而得出基于IPv4/IPv6網(wǎng)絡(luò)環(huán)境中采用雙棧入侵檢測(cè)系統(tǒng)有較強(qiáng)的優(yōu)勢(shì)和可行性,并對(duì)比了傳統(tǒng)網(wǎng)絡(luò)和IPv6環(huán)境下的入侵檢測(cè)技術(shù)特點(diǎn),提出了一個(gè)較為合理的IPv4/IPv6雙棧入侵檢測(cè)系統(tǒng),以及IPv6環(huán)境中的NIDS的模塊框架以供參考。

參考文獻(xiàn)

[1]Rebdcca?Gurley?Bace.入侵檢測(cè)[M].北京:人民郵電出版社,2001:1-26.

[2]Silvia Hagen.Ipv6精髓.技橋[M].北京:清華大學(xué)出版社,2004:56-80.

[3]肖天慶,任翔.新一代國(guó)際互聯(lián)網(wǎng)協(xié)議IPv6與IPv4的比較研究[J].紅河學(xué)院學(xué)報(bào).,2010,8(2).

[4]蒲寶卿.高校校園網(wǎng)1Pv4向1Pv6過(guò)渡策略的分析與研究[J].甘肅高師學(xué)報(bào),2010,15(2).

篇6

關(guān)鍵詞:計(jì)算機(jī)安全;網(wǎng)絡(luò)安全;入侵檢測(cè)

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)32-1096-03

The Research and The Realization of The Network Invasion Detection System

ZHAO Zhuan-zheng, TIAN Wang-lan

(Hunan City University, Yiyang 413000, China)

Abstrac: With the Internet popularizing and rapidly development, the network brought to us in convenient, also brought about safe problem for us, which is the network's invasion. This paper first introduced the classification and network intrusion, for the actual network conditions, then analyzed and compared the typical intrusion detection technology and the way of the invasion. it put out the intrusion detection system design ideabased on the network in real-time monitoring. At last it has designed to realization partly in the framework of system, which has basic intrusion detection capacity in practice.

Key words: computer security; network security; intrusion detection

1 前言

1.1 入侵檢測(cè)技術(shù)概述

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。具體來(lái)說(shuō),入侵檢測(cè)就是對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視,檢測(cè)發(fā)現(xiàn)各種攻擊企圖、攻擊行為和攻擊或攻擊結(jié)果,以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。

入侵檢測(cè)具有監(jiān)視分析用戶(hù)和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全策略的行為、使用誘騙服務(wù)器記錄黑客行為等功能,使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。

1.2 入侵檢測(cè)的功能及原理

一個(gè)入侵檢測(cè)系統(tǒng),至少應(yīng)該能夠完成以下五個(gè)功能:監(jiān)控、分析用戶(hù)和系統(tǒng)的活動(dòng);檢查系統(tǒng)配置和漏洞;評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性;發(fā)現(xiàn)入侵企圖或異?,F(xiàn)象;記錄、報(bào)警和主動(dòng)響應(yīng)。因此,入侵檢測(cè)技術(shù)就是一種主動(dòng)保護(hù)自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、入侵識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它能夠從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后,會(huì)及時(shí)做出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。

所以,入侵檢測(cè)系統(tǒng)的原理就是通過(guò)收集網(wǎng)絡(luò)中的有關(guān)信息和數(shù)據(jù),對(duì)其進(jìn)行分析發(fā)現(xiàn)隱藏在其中的攻擊者的足跡,并獲取攻擊證據(jù)和制止攻擊者的行為,最后進(jìn)行數(shù)據(jù)恢復(fù),從而達(dá)到保護(hù)用戶(hù)網(wǎng)絡(luò)資源的目的。

1.3 入侵檢測(cè)系統(tǒng)的分類(lèi)

根據(jù)信息源的不同,入侵檢測(cè)系統(tǒng)分為基于主機(jī)型和基于網(wǎng)絡(luò)型兩大類(lèi)。

基于主機(jī)的入侵檢測(cè)系統(tǒng)(Host-based Intrusion Detection System,HIDS)通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上,主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律),入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(Network-based Intrusion Detection System,NIDS)通常放置在比較重要的網(wǎng)段內(nèi),不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合,入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接,不同入侵檢測(cè)系統(tǒng)在實(shí)現(xiàn)時(shí)采用的響應(yīng)方式也可能不同,但通常都包括通知管理員、切斷連接、記錄相關(guān)的信息以提供必要的法律依據(jù)等。目前,大部分入侵檢測(cè)系統(tǒng)都是基于網(wǎng)絡(luò)的。

1.4 入侵檢測(cè)的過(guò)程

入侵檢測(cè)技術(shù)主要是審計(jì)記錄模式匹配和信息分析,因此它的具體任務(wù)是:1)監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng);2)審計(jì)系統(tǒng)結(jié)構(gòu)及缺陷;3)鑒別進(jìn)攻活動(dòng)模式、識(shí)別違反安全策略的行為并及時(shí)報(bào)警;4)異常行為模式的統(tǒng)計(jì)分析;5)評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;6)進(jìn)行操作系統(tǒng)的實(shí)際跟蹤管理;

從總體來(lái)說(shuō),入侵檢測(cè)的工作流程可以大致分為以下幾個(gè)步驟:1)從系統(tǒng)的不同環(huán)節(jié)收集信息;2)分析該信息,試圖尋找入侵活動(dòng)的特征;3)自動(dòng)對(duì)檢測(cè)到的行為做出響應(yīng);4)紀(jì)錄并報(bào)告檢測(cè)過(guò)程結(jié)果。

2 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的總體設(shè)計(jì)

在計(jì)算機(jī)網(wǎng)絡(luò)中很多位置都特別易于受到電子攻擊的影響,設(shè)計(jì)一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的實(shí)時(shí)監(jiān)視,通過(guò)使用攻擊特征數(shù)據(jù)庫(kù),入侵檢測(cè)系統(tǒng)對(duì)穿過(guò)網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包都進(jìn)行檢查,當(dāng)發(fā)現(xiàn)入侵行為時(shí)立即告警。該入侵檢測(cè)系統(tǒng)由多個(gè)探測(cè)器和一個(gè)控制器平臺(tái)組成,探測(cè)器執(zhí)行網(wǎng)絡(luò)數(shù)據(jù)包的實(shí)時(shí)監(jiān)視,控制器提供管理軟件,用以配置、記錄并由探測(cè)器產(chǎn)生警報(bào)。

本系統(tǒng)設(shè)計(jì)體系結(jié)構(gòu)包括:入侵檢測(cè)體系和入侵檢測(cè)配置文件。

篇7

關(guān)鍵詞: 多網(wǎng)絡(luò); 差異化入侵特征; WinPcap函數(shù)庫(kù); 檢測(cè)平臺(tái)

中圖分類(lèi)號(hào): TN711?34; TP393 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào): 1004?373X(2017)10?0149?04

Abstract: Since the traditional network intrusion feature detection method has low detection accuracy, a distributed intrusion detection system based on Libnids was designed and implemented. The system segments the multi?network environment into different logical areas. Each logical area contains different analysis nodes, and each node is composed of the data detection unit, analysis and detection unit, and management control unit. The WinPcap function library is used to acquire the data package, according to which, the WM pattern matching algorithm and protocol analysis matching detection model are used to detect the differentiated intrusion feature. The experimental results show that the system has high detection rate, low false alarm rate and low missing report rate.

Keywords: multi?network; differentiation intrusion feature; WinPcap function library; detection platform

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)攻擊問(wèn)題也逐漸增加,而當(dāng)前多網(wǎng)絡(luò)技術(shù)也成為快速發(fā)展的趨勢(shì),多網(wǎng)絡(luò)技術(shù)廣泛應(yīng)用于不同的領(lǐng)域。因此,為了確保網(wǎng)絡(luò)信息系統(tǒng)的安全,尋求有效的多網(wǎng)絡(luò)入侵特征檢測(cè)方法,具有重要的應(yīng)用意義[1?3]。傳統(tǒng)的網(wǎng)絡(luò)入侵特征檢測(cè)方法,僅分析了不同網(wǎng)絡(luò)層間的點(diǎn)對(duì)點(diǎn)數(shù)據(jù)檢測(cè)過(guò)程,未分析多網(wǎng)絡(luò)環(huán)境下各應(yīng)用層間的差異性較大產(chǎn)生的分類(lèi)屬性差異模糊的問(wèn)題,導(dǎo)致網(wǎng)絡(luò)入侵特征檢測(cè)準(zhǔn)確性降低[4?6]。

1 基于Libnids分布式入侵檢測(cè)系統(tǒng)的研究

1.1 系統(tǒng)總體邏輯結(jié)構(gòu)設(shè)計(jì)

本文采用具有_放性的可用于網(wǎng)絡(luò)入侵檢測(cè)開(kāi)發(fā)的專(zhuān)業(yè)編程接口Libnids(Library Network Intrusion Detection System),在Windows 操作系統(tǒng)平臺(tái)下設(shè)計(jì)了分布式網(wǎng)絡(luò)入侵檢測(cè)平臺(tái)。通過(guò)網(wǎng)絡(luò)安全開(kāi)發(fā)包Libnids提供的編程接口,可設(shè)計(jì)出結(jié)構(gòu)化強(qiáng)的分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),實(shí)現(xiàn)多網(wǎng)絡(luò)環(huán)境下的差異化入侵特征檢測(cè),其邏輯結(jié)構(gòu)如圖1所示。

將總體、入侵檢測(cè)系統(tǒng)分割成三個(gè)不同的邏輯子網(wǎng),各子網(wǎng)中設(shè)置不同的分析節(jié)點(diǎn),各節(jié)點(diǎn)由數(shù)據(jù)探測(cè)部件、分析檢測(cè)部件和管理控制部件構(gòu)成。

1.2 分析節(jié)點(diǎn)的邏輯結(jié)構(gòu)設(shè)計(jì)

設(shè)計(jì)的入侵檢測(cè)系統(tǒng)是融合狀態(tài)檢測(cè)、入侵分析和檢測(cè)等功能的,適用于多網(wǎng)絡(luò)環(huán)境的差異化入侵特征的檢測(cè)系統(tǒng)。采用“分而自治”的思想將總體多網(wǎng)絡(luò)環(huán)境分割成不同區(qū)域,將各區(qū)域看成不同的分析節(jié)點(diǎn),各節(jié)點(diǎn)中有一個(gè)管理控制部件、多個(gè)數(shù)據(jù)探測(cè)部件和多個(gè)分析檢測(cè)部件。數(shù)據(jù)探測(cè)部件采集網(wǎng)絡(luò)數(shù)據(jù)包,過(guò)濾其中的無(wú)價(jià)值數(shù)據(jù),采集有價(jià)值數(shù)據(jù),同時(shí)反饋給相應(yīng)的分析檢測(cè)部件。

分析檢測(cè)部件對(duì)數(shù)據(jù)探測(cè)部件反饋的數(shù)據(jù)進(jìn)行模式匹配以及協(xié)議研究,明確是否存在差異化入侵特征將結(jié)果反饋給管理控制部件進(jìn)行存儲(chǔ)。管理控制部件同其他分析節(jié)點(diǎn)進(jìn)行信息的溝通,采用圖像界面顯示出數(shù)據(jù)包信息和差異化入侵特征信息。各分析結(jié)點(diǎn)的邏輯結(jié)構(gòu)如圖2所示。

2 基于Libnids分布式入侵檢測(cè)系統(tǒng)的功能實(shí)現(xiàn)

2.1 數(shù)據(jù)探測(cè)部件利用WinPcap實(shí)現(xiàn)數(shù)據(jù)包的采集

數(shù)據(jù)探測(cè)部件是總體系統(tǒng)的基礎(chǔ),其由數(shù)據(jù)包采集模塊和過(guò)濾器模塊構(gòu)成,采集多網(wǎng)絡(luò)環(huán)境中的差異化網(wǎng)絡(luò)數(shù)據(jù)包,并刪除其中的無(wú)價(jià)值數(shù)據(jù),將有價(jià)值數(shù)據(jù)反饋給所屬的分析檢測(cè)部件。設(shè)計(jì)的數(shù)據(jù)探測(cè)部件在Windows平臺(tái)下利用WinPcap函數(shù)庫(kù)實(shí)現(xiàn)了數(shù)據(jù)包的監(jiān)測(cè)和采集,并進(jìn)行初步過(guò)濾,為網(wǎng)絡(luò)差異化入侵特征的檢測(cè)提供基礎(chǔ)。

多網(wǎng)絡(luò)環(huán)境能夠分割成不同的區(qū)域,各區(qū)域也就是一個(gè)局域網(wǎng),這些局域網(wǎng)間采用廣播信道通信途徑進(jìn)行通信,該通信方法確保多網(wǎng)絡(luò)環(huán)境匯總傳遞的數(shù)據(jù)包,可被相同區(qū)域中的全部站點(diǎn)接收,并且不同站點(diǎn)的網(wǎng)卡能夠?qū)崿F(xiàn)數(shù)據(jù)包的發(fā)送以及接收。在Windows平臺(tái)下網(wǎng)絡(luò)數(shù)據(jù)包采集程序的結(jié)構(gòu)如圖3所示。

采集到的海量數(shù)據(jù)包中含有較多的不必檢測(cè)的數(shù)據(jù)包。為了提高入侵檢測(cè)分析模塊的分析效率,需要采用過(guò)濾器模塊過(guò)濾出制定種類(lèi)的數(shù)據(jù)包。過(guò)濾器模塊調(diào)用WinPcap的函數(shù),對(duì)HTTP,TCP,UDP,KMP,ARP以及IP數(shù)據(jù)包進(jìn)行過(guò)濾,完成網(wǎng)絡(luò)數(shù)據(jù)包的采集,具體的流程如圖4所示。

2.2 分析檢測(cè)部件的設(shè)計(jì)和實(shí)現(xiàn)

2.2.1 入侵檢測(cè)分析模塊的設(shè)計(jì)

入侵檢測(cè)分析模塊是系統(tǒng)的關(guān)鍵部分,系統(tǒng)通過(guò)協(xié)議分析技術(shù)和模式匹配技術(shù),對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析,進(jìn)而判斷多網(wǎng)絡(luò)環(huán)境中是否存在差異化入侵特征,入侵檢測(cè)分析模塊的基本結(jié)構(gòu)如圖5所示。

2.2.2 模式匹配算法的選擇

WM算法包括預(yù)操作和檢索兩個(gè)過(guò)程,預(yù)操作過(guò)程對(duì)模式串L進(jìn)行操作后,形成SHIFT表、HASH表和PREFIX表。其中SHIFT為無(wú)價(jià)值字符表,可保存文本中全部塊字符的移動(dòng)距離;HASH可保存同匹配窗口中末位塊字符散列值一致的模式串;PREFIX表包括同匹配窗口中第一塊字符散列值一致的模式串。檢索過(guò)程采用上述三個(gè)表對(duì)匹配串T進(jìn)行遍歷分析,完成差異化入侵特征的檢測(cè),具體的實(shí)現(xiàn)流程如圖6所示。

2.2.3 分析匹配檢測(cè)基本流程與實(shí)現(xiàn)

完成數(shù)據(jù)包的解析后,需要對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行分析和匹配檢測(cè),具體的流程如圖7所示。

通過(guò)上述描述的協(xié)議分析匹配檢測(cè)方法,對(duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)時(shí),可通過(guò)Libnids關(guān)聯(lián)的函數(shù)對(duì)不同的網(wǎng)絡(luò)入侵特征進(jìn)行檢測(cè),具體的流程見(jiàn)圖8。

2.3 通信模塊的設(shè)計(jì)與實(shí)現(xiàn)

連接申請(qǐng)后塑造連接和遠(yuǎn)程通信接口,完成信息交互。通信模塊進(jìn)行通信的工作流程如圖9所示。通過(guò)SSL協(xié)議完成多網(wǎng)絡(luò)環(huán)境下的信息傳遞,可確保不同分析節(jié)點(diǎn)的通信模塊間通信的安全性。

SSL為安全協(xié)議,其具備信息加密、數(shù)字簽到等功能,可依據(jù)TCP協(xié)議中提供的穩(wěn)定端到端安全服務(wù),確保客戶(hù)/服務(wù)器應(yīng)用間通信的安全性。系統(tǒng)要求程序間的通信,在SSL協(xié)議進(jìn)行完數(shù)據(jù)加密、會(huì)話(huà)密銷(xiāo)的控制后,再進(jìn)行通信,并且對(duì)程序通信傳輸?shù)臄?shù)據(jù)進(jìn)行加密,進(jìn)而提升總體通信的安全性。

3 實(shí)驗(yàn)分析

實(shí)驗(yàn)采用不同的攻擊工具進(jìn)行相應(yīng)數(shù)量的攻擊模擬,分析本文系統(tǒng)的入侵檢測(cè)系統(tǒng)在多網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)效果,并設(shè)置在40 Mb/s網(wǎng)絡(luò)流量下的入侵檢測(cè)虛警率應(yīng)小于2%,漏報(bào)率小于1.8%。本文系統(tǒng)的測(cè)試結(jié)果,如表1所示。

分析表1可以看出,本文設(shè)計(jì)的入侵檢測(cè)系統(tǒng)的檢測(cè)率高于95%,并且虛警率以及漏報(bào)率都符合設(shè)置的規(guī)范要求,說(shuō)明本文系統(tǒng)能夠?qū)崿F(xiàn)多網(wǎng)絡(luò)環(huán)境下的差異化入侵特征的準(zhǔn)確檢測(cè)。實(shí)驗(yàn)對(duì)基于關(guān)聯(lián)規(guī)則的入侵檢測(cè)系統(tǒng),在相同的網(wǎng)絡(luò)環(huán)境下,通過(guò)相應(yīng)的攻擊工具進(jìn)行同數(shù)量的攻擊模擬的檢測(cè)結(jié)果如表2所示。

對(duì)比分析表1和表2 可以看出,本文系統(tǒng)的入侵檢測(cè)率高于關(guān)聯(lián)規(guī)則方法,并且本文系統(tǒng)的虛警率和漏報(bào)率均低于關(guān)聯(lián)規(guī)則方法。因此說(shuō)明,本文系統(tǒng)的入侵檢測(cè)性能較高,具有較高的應(yīng)用價(jià)值。

4 結(jié) 論

本文設(shè)計(jì)并實(shí)現(xiàn)了基于Libnids分布式入侵檢測(cè)系統(tǒng),在該系統(tǒng)實(shí)現(xiàn)方面,利用WinPcap函數(shù)庫(kù)完成數(shù)據(jù)包的采集,依據(jù)采集的數(shù)據(jù)包,通過(guò)WM模式匹配算法和協(xié)議分析匹配檢測(cè)模型,進(jìn)行差異化入侵特征的檢測(cè)。實(shí)驗(yàn)結(jié)果表明,該系統(tǒng)具有較高的檢測(cè)率、較低的虛警率和漏報(bào)率。

表2 基于關(guān)聯(lián)規(guī)則的入侵檢測(cè)系統(tǒng)測(cè)結(jié)果

參考文獻(xiàn)

[1] 王輝,陳泓予,劉淑芬.基于改進(jìn)樸素貝葉斯算法的入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)科學(xué),2014,41(4):111?115.

[2] 程建,張明清,劉小虎,等.基于人工免疫的分布式入侵檢測(cè)模型[J].計(jì)算機(jī)應(yīng)用,2014,34(1):86?89.

[3] 張雙雙,王延年.節(jié)點(diǎn)分布不均勻的無(wú)線(xiàn)傳感網(wǎng)絡(luò)低功耗算法[J].西安工程大學(xué)學(xué)報(bào),2015,29(6):720?723.

[4] 譚愛(ài)平,陳浩,吳伯橋.基于SVM的網(wǎng)絡(luò)入侵檢測(cè)集成學(xué)習(xí)算法[J].計(jì)算機(jī)科學(xué),2014,41(2):197?200.

篇8

【關(guān)鍵詞】網(wǎng)絡(luò)安全 入侵檢測(cè)

一、現(xiàn)在網(wǎng)絡(luò)安全隱患

隨著計(jì)算機(jī)技術(shù)的發(fā)展在連結(jié)信息能力、流通能力提高的同時(shí),基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出,很多組織正在致力于提出更多的更強(qiáng)大的主動(dòng)策略和方案來(lái)增強(qiáng)網(wǎng)絡(luò)的安全性,然而另一個(gè)更為有效的解決途徑就是入侵檢測(cè)。在入侵檢測(cè)之前,大量的安全機(jī)制都是根據(jù)從主觀(guān)的角度設(shè)計(jì)的,他們沒(méi)有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來(lái)決定安全對(duì)策。因此,它們對(duì)入侵行為的反應(yīng)非常遲鈍,很難發(fā)現(xiàn)未知的攻擊行為,不能根據(jù)網(wǎng)絡(luò)行為的變化來(lái)及時(shí)地調(diào)整系統(tǒng)的安全策略。而入侵檢測(cè)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的,它不僅能夠發(fā)現(xiàn)已知入侵行為,而且有能力發(fā)現(xiàn)未知的入侵行為,并可以通過(guò)學(xué)習(xí)和分析入侵手段,及時(shí)地調(diào)整系

統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。

二、入侵檢測(cè)的定義

入侵檢測(cè)是從系統(tǒng)(網(wǎng)絡(luò))的關(guān)鍵點(diǎn)采集信息并分析信息,察看系統(tǒng)(網(wǎng)絡(luò))中是否有違法安全策略的行為,保證系統(tǒng)(網(wǎng)絡(luò))的安全性,完整性和可用性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén),在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

三、入侵檢測(cè)的系統(tǒng)功能構(gòu)成

一個(gè)入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)如圖一所示,它至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分功能。

入侵分析的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕跡,將授權(quán)的正常訪(fǎng)問(wèn)行為和非授權(quán)的不正常訪(fǎng)問(wèn)行為區(qū)分開(kāi),分析出入侵行為并對(duì)入侵者進(jìn)行定位。

入侵響應(yīng)功能在分析出入侵行為后被觸發(fā),根據(jù)入侵行為產(chǎn)生響應(yīng)。

由于單個(gè)入侵檢測(cè)系統(tǒng)的檢測(cè)能力和檢測(cè)范圍的限制,入侵檢測(cè)系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu),多個(gè)檢測(cè)單元運(yùn)行于網(wǎng)絡(luò)中的各個(gè)網(wǎng)段或系統(tǒng)上,通過(guò)遠(yuǎn)程管理功能在一臺(tái)管理站點(diǎn)上實(shí)現(xiàn)統(tǒng)一的管理和監(jiān)控。

四、入侵檢測(cè)系統(tǒng)分類(lèi)

入侵檢測(cè)系統(tǒng)根據(jù)其檢測(cè)數(shù)據(jù)來(lái)源分為兩類(lèi):基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。

1.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過(guò)網(wǎng)絡(luò)監(jiān)視來(lái)實(shí)現(xiàn)數(shù)據(jù)提取。在internet中,局域網(wǎng)普遍采用ieee 802.3協(xié)議。該協(xié)議定義主機(jī)進(jìn)行數(shù)據(jù)傳輸時(shí)采用子網(wǎng)廣播的方式,任何一臺(tái)主機(jī)發(fā)送的數(shù)據(jù)包,都會(huì)在所經(jīng)過(guò)的子網(wǎng)中進(jìn)行廣播,也就是說(shuō),任何一臺(tái)主機(jī)接收和發(fā)送的數(shù)據(jù)都可以被同一子網(wǎng)內(nèi)的其他主機(jī)接收。在正常設(shè)置下,主機(jī)的網(wǎng)卡對(duì)每一個(gè)到達(dá)的數(shù)據(jù)包進(jìn)行過(guò)濾,只將目的地址是本機(jī)的或廣播地址的數(shù)據(jù)包放入接收緩沖區(qū),而將其他數(shù)據(jù)包丟棄,因此,正常情況下網(wǎng)絡(luò)上的主機(jī)表現(xiàn)為只關(guān)心與本機(jī)有關(guān)的數(shù)據(jù)包,但是將網(wǎng)卡的接收模式進(jìn)行適當(dāng)?shù)脑O(shè)置后就可以改變網(wǎng)卡的過(guò)濾策略,使網(wǎng)卡能夠接收經(jīng)過(guò)本網(wǎng)段的所有數(shù)據(jù)包,無(wú)論這些數(shù)據(jù)包的目的地是否是該主機(jī)。網(wǎng)卡的這種接收模式被稱(chēng)為混雜模式,目前絕大部分網(wǎng)卡都提供這種設(shè)置,因此,在需要的時(shí)候,對(duì)網(wǎng)卡進(jìn)行合理的設(shè)置就能獲得經(jīng)過(guò)本網(wǎng)段的所有通信信息,從而實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)視的功能。在其他網(wǎng)絡(luò)環(huán)境下,雖然可能不采用廣播的方式傳送報(bào)文,但目前很多路由設(shè)備或交換機(jī)都提供數(shù)據(jù)報(bào)文監(jiān)視功能。

2.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

基于主機(jī)的入侵檢測(cè)系統(tǒng)將檢測(cè)模塊駐留在被保護(hù)系統(tǒng)上,通過(guò)提取被保護(hù)系統(tǒng)的運(yùn)行數(shù)據(jù)并進(jìn)行入侵分析來(lái)實(shí)現(xiàn)入侵檢測(cè)的功能。

基于主機(jī)的入侵檢測(cè)系統(tǒng)可以有若干種實(shí)現(xiàn)方法:

檢測(cè)系統(tǒng)設(shè)置以發(fā)現(xiàn)不正當(dāng)?shù)南到y(tǒng)設(shè)置和系統(tǒng)設(shè)置的不正當(dāng)更改對(duì)系統(tǒng)安全狀態(tài)進(jìn)行定期檢查以發(fā)現(xiàn)不正常的安全狀態(tài)。

基于主機(jī)日志的安全審計(jì),通過(guò)分析主機(jī)日志來(lái)發(fā)現(xiàn)入侵行為?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)具有檢測(cè)效率高,分析代價(jià)小,分析速度快的特點(diǎn),能夠迅速并準(zhǔn)確地定位入侵者,并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對(duì)入侵進(jìn)行進(jìn)一步分析。目前很多是基于主機(jī)日志分析的入侵檢測(cè)系統(tǒng)?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)存在的問(wèn)題是:首先它在一定程度上依賴(lài)于系統(tǒng)的可靠性,它要求系統(tǒng)本身應(yīng)該具備基本的安全功能并具有合理的設(shè)置,然后才能提取入侵信息;即使進(jìn)行了正確的設(shè)置,對(duì)操作系統(tǒng)熟悉的攻擊者仍然有可能在入侵行為完成后及時(shí)地將系統(tǒng)日志抹去,從而不被發(fā)覺(jué);并且主機(jī)的日志能夠提供的信息有限,有的入侵手段和途徑不會(huì)在日志中有所反映,日志系統(tǒng)對(duì)有的入侵行為不能做出正確的響應(yīng),例如利用網(wǎng)絡(luò)協(xié)議棧的漏洞進(jìn)行的攻擊,通過(guò)ping命令發(fā)送大數(shù)據(jù)包,造成系統(tǒng)協(xié)議棧溢出而死機(jī),或是利用arp欺騙來(lái)偽裝成其他主機(jī)進(jìn)行通信,這些手段都不會(huì)被高層的日志記錄下來(lái)。在數(shù)據(jù)提取的實(shí)時(shí)性、充分性、可靠性方面基于主機(jī)日志的入侵檢測(cè)系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。

五、入侵檢測(cè)技術(shù)的發(fā)展方向

近年對(duì)入侵檢測(cè)技術(shù)有幾個(gè)主要發(fā)展方向:

(1)分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)

傳統(tǒng)的ids一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足。同時(shí)不同的ids系統(tǒng)之間不能協(xié)同工作能力,為解決這一問(wèn)題,需要分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。

(2)應(yīng)用層入侵檢測(cè)

許多入侵的語(yǔ)義只有在應(yīng)用層才能理解,而目前的ids僅能檢測(cè)如web之類(lèi)的通用協(xié)議,而不能處理如lotus notes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶(hù)、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用,需要應(yīng)用層的入侵檢測(cè)保護(hù)。

(3)智能的入侵檢測(cè)

入侵方法越來(lái)越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究,但是這只是一些嘗試性的研究工作,需要對(duì)智能化的ids加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。

入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間,從技術(shù)途徑來(lái)講,我們認(rèn)為,除了完善常規(guī)的、傳統(tǒng)的技術(shù)(模式識(shí)別和完整性檢測(cè))外,應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。

參考文獻(xiàn):

篇9

關(guān)鍵詞:入侵檢測(cè)系統(tǒng);異常檢測(cè)模式;誤用檢測(cè)模式;混合檢測(cè)模式

中圖分類(lèi)號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 04-0000-02

Intrusion Detection Model Research Based on Mixed Detection Mode

Zhong Rui

(Modern Education Technology Center,Gannan Normal University,Ganzhou341000,China)

Abstract:This paper analyses the frequently-used intrusion detection technology function in details.The author has proposed intrusion detection model based on mixed mode,which combines the abnormal detection mode with misuse detection mode.The integrated use of these two modes makes up for disadvantages of both modes.The intrusion detection model based on mixed mode could extremely improve network attack detection rate of intrusion detection system,in the meanwhile it reduces the network attack false positive rate and has strong practicability.

Keywords:Intrusion Detection System;Abnormal detection mode;Misuse detection mode;Mixed detection mode

一、引言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,各種互聯(lián)網(wǎng)的應(yīng)用層出不窮,給人們的生活帶來(lái)了極大的便利,由于互聯(lián)網(wǎng)的開(kāi)放性和互聯(lián)性,在給人們帶來(lái)便利的同時(shí)也留下了諸多不安全的隱患,各種病毒和木馬在互聯(lián)網(wǎng)上肆意傳播,網(wǎng)絡(luò)安全問(wèn)題成為互聯(lián)網(wǎng)上最為棘手的技術(shù)難題。依據(jù)CNCERT抽樣監(jiān)測(cè)結(jié)果和國(guó)家信息安全漏洞共享平臺(tái)(CNVD)的數(shù)據(jù),境內(nèi)被木馬控制的主機(jī)IP地址數(shù)目約為51萬(wàn)個(gè);境內(nèi)被僵尸網(wǎng)絡(luò)控制的主機(jī)IP地址數(shù)目約為1.3萬(wàn)個(gè),環(huán)比增長(zhǎng)9%;境內(nèi)被篡改政府網(wǎng)站數(shù)量為73個(gè),環(huán)比增長(zhǎng)7%;新增信息安全漏洞94個(gè),環(huán)比增長(zhǎng)236%,其中高危漏洞12個(gè)。由此可見(jiàn)目前網(wǎng)絡(luò)安全態(tài)勢(shì)不容樂(lè)觀(guān),因此入侵檢測(cè)技術(shù)已成為當(dāng)前解決網(wǎng)絡(luò)安全問(wèn)題的重要技術(shù)手段,具有重要的研究意義。

二、入侵檢測(cè)技術(shù)分類(lèi)

目前入侵檢測(cè)技術(shù)的方法有按照檢測(cè)模式分類(lèi),能夠分為兩類(lèi):基于誤用的入侵檢測(cè)系統(tǒng)與基于異常的入侵檢測(cè)系統(tǒng),這兩種類(lèi)別的入侵檢測(cè)系統(tǒng)在攻擊檢測(cè)率、實(shí)時(shí)性、誤報(bào)率等方面都具有不同的優(yōu)勢(shì)。

(一)基于誤用的入侵檢測(cè)技術(shù)

使用數(shù)學(xué)建模方法對(duì)目前現(xiàn)有網(wǎng)絡(luò)攻擊所具有的特征進(jìn)行抽象,建立網(wǎng)絡(luò)攻擊的特征模型,在進(jìn)行入侵檢測(cè)時(shí)將當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)包特征與網(wǎng)絡(luò)攻擊特征庫(kù)中的各種網(wǎng)絡(luò)攻擊進(jìn)行對(duì)比,若與網(wǎng)絡(luò)攻擊特征庫(kù)中的某一網(wǎng)絡(luò)攻擊特征匹配,則進(jìn)行報(bào)警過(guò)濾處理?;谡`用的入侵檢測(cè)技術(shù)是對(duì)異常網(wǎng)絡(luò)行為特征進(jìn)行建模,具有誤報(bào)率低的特點(diǎn)。由于網(wǎng)絡(luò)攻擊的多樣性導(dǎo)致網(wǎng)絡(luò)攻擊特征庫(kù)不完全,無(wú)法檢測(cè)出未知網(wǎng)絡(luò)攻擊。為了提高基于誤用的入侵檢測(cè)系統(tǒng)的檢測(cè)率需要不斷對(duì)其特征庫(kù)進(jìn)行更新,以應(yīng)對(duì)網(wǎng)絡(luò)中不斷出現(xiàn)的各種網(wǎng)絡(luò)攻擊。

(二)基于異常的入侵檢測(cè)技術(shù)

當(dāng)網(wǎng)絡(luò)處于正常時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)包所具有的特征,構(gòu)建正常網(wǎng)絡(luò)行為特征的數(shù)學(xué)模型,進(jìn)行入侵檢測(cè)時(shí)將當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)包特征與正常特征庫(kù)進(jìn)行對(duì)比檢測(cè),若與正常行為特征庫(kù)的偏離度超出所設(shè)定閾值時(shí),則認(rèn)定當(dāng)前網(wǎng)絡(luò)狀態(tài)存在異常?;诋惓5娜肭謾z測(cè)技術(shù)是對(duì)正常的網(wǎng)絡(luò)行為特征進(jìn)行建模,因此特征庫(kù)的體積很小且不用進(jìn)行更新?;诋惓5娜肭謾z測(cè)技術(shù)具有很高的檢測(cè)率,同時(shí)其誤報(bào)率也很高。

三、基于混合檢測(cè)模式的入侵檢測(cè)模型分析

通過(guò)對(duì)目前現(xiàn)有入侵檢測(cè)技術(shù)的分析得知,誤用檢測(cè)技術(shù)具有高檢測(cè)率、高漏報(bào)率的特點(diǎn),異常檢測(cè)技術(shù)具有高檢測(cè)率、高誤報(bào)率的特點(diǎn),因此在構(gòu)建入侵檢測(cè)系統(tǒng)時(shí),若只使用其中一種檢測(cè)技術(shù)來(lái)構(gòu)建入侵檢測(cè)系統(tǒng),都無(wú)法實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)的高效性和實(shí)時(shí)性。為了改善這兩種檢測(cè)模式的不足,通過(guò)結(jié)合使用兩種檢測(cè)模式,將能彌補(bǔ)兩者所存在的不足,在這里本文提出了基于混合模式的入侵檢測(cè)模型。

基于混合模式的入侵檢測(cè)模型的系統(tǒng)結(jié)構(gòu)圖,如圖1所示:

該檢測(cè)模型的具體工作流程為:

第一步:在進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)前,需要建立正常網(wǎng)絡(luò)特征庫(kù)與網(wǎng)絡(luò)攻擊特征庫(kù),以上兩個(gè)特征庫(kù)將被基于異常的入侵檢測(cè)技術(shù)模塊與基于誤用入侵檢測(cè)技術(shù)模塊調(diào)用;

第二步:實(shí)施網(wǎng)絡(luò)攻擊檢測(cè)時(shí),從互聯(lián)網(wǎng)中將網(wǎng)絡(luò)數(shù)據(jù)包采集下來(lái),送入基于異常的入侵檢測(cè)技術(shù)模塊,檢測(cè)當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)包中是否存在異常情況,若當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)包的特征與正常網(wǎng)絡(luò)特征庫(kù)的偏離度超出所設(shè)定的閾值時(shí),該模塊報(bào)告異常同時(shí)將存在異常的網(wǎng)絡(luò)數(shù)據(jù)包送入基于誤用的入侵檢測(cè)技術(shù)模塊中,以進(jìn)一步確定導(dǎo)致網(wǎng)絡(luò)異常的原因;若基于異常的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)模塊報(bào)告未發(fā)現(xiàn)異常,則放行數(shù)據(jù)包;

第三步:對(duì)出現(xiàn)異常的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行誤用檢測(cè),基于誤用的入侵檢測(cè)技術(shù)模塊將對(duì)出現(xiàn)異常的網(wǎng)絡(luò)數(shù)據(jù)包實(shí)施拆包檢測(cè),將存在異常的網(wǎng)絡(luò)數(shù)據(jù)包特征與網(wǎng)絡(luò)攻擊特征庫(kù)中的特征進(jìn)行比對(duì),若存在匹配的網(wǎng)絡(luò)攻擊則報(bào)告當(dāng)前網(wǎng)絡(luò)攻擊同時(shí)對(duì)該網(wǎng)絡(luò)攻擊數(shù)據(jù)包進(jìn)行過(guò)濾。

第四步:若異常網(wǎng)絡(luò)數(shù)據(jù)包的特征與網(wǎng)絡(luò)攻擊特征庫(kù)中的特征沒(méi)有匹配項(xiàng),則需要通過(guò)手工分析的方式對(duì)當(dāng)前出現(xiàn)異常的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行拆包分析,以確定導(dǎo)致當(dāng)前網(wǎng)絡(luò)異常是否由網(wǎng)絡(luò)攻擊導(dǎo)致。如果是網(wǎng)絡(luò)攻擊,需要在網(wǎng)絡(luò)攻擊特征庫(kù)添加該類(lèi)型的網(wǎng)絡(luò)攻擊,如果不是網(wǎng)絡(luò)攻擊,放行該類(lèi)型的網(wǎng)絡(luò)數(shù)據(jù)包;

(一)基于誤用的入侵檢測(cè)技術(shù)模塊實(shí)現(xiàn)方法

目前常用于構(gòu)建基于誤用入侵檢測(cè)系統(tǒng)技術(shù)模塊的方法有模式匹配、狀態(tài)轉(zhuǎn)換分析等方法。

模式匹配是最為常用的檢測(cè)技術(shù),該技術(shù)是通過(guò)獲取網(wǎng)絡(luò)攻擊相關(guān)的特征信息,并建立相應(yīng)的網(wǎng)絡(luò)攻擊特征規(guī)則庫(kù),其檢測(cè)策略與防火墻相同,都是將當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)信息與攻擊特征規(guī)則庫(kù)中的規(guī)則進(jìn)行對(duì)比,若匹配則判定為網(wǎng)絡(luò)攻擊行為,因此這種檢測(cè)方法的檢測(cè)準(zhǔn)確率很高。使用模式匹配技術(shù)進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)時(shí)最關(guān)鍵的工作是要不斷的更新網(wǎng)絡(luò)攻擊特征規(guī)則庫(kù),以應(yīng)付網(wǎng)絡(luò)中不斷出現(xiàn)的新的攻擊手段。

狀態(tài)轉(zhuǎn)移分析方法是將網(wǎng)絡(luò)攻擊行為看成由一系列的狀態(tài)轉(zhuǎn)移構(gòu)成,由攻擊剛開(kāi)始時(shí)的準(zhǔn)備階段一直到網(wǎng)絡(luò)攻擊完成的介紹階段,使用數(shù)學(xué)模型對(duì)整個(gè)攻擊階段狀態(tài)的變化進(jìn)行描述,建立網(wǎng)絡(luò)攻擊的狀態(tài)轉(zhuǎn)換模型,在進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)時(shí)使用該模型對(duì)網(wǎng)絡(luò)攻擊行為判定,由于該模型是對(duì)狀態(tài)轉(zhuǎn)移進(jìn)行建模的,因此基于狀態(tài)轉(zhuǎn)換分析的入侵檢測(cè)方法能夠在網(wǎng)絡(luò)攻擊剛開(kāi)始時(shí)就能將網(wǎng)絡(luò)攻擊檢測(cè)出來(lái),具有較好的實(shí)時(shí)性。

(二)基于異常的入侵檢測(cè)技術(shù)模塊實(shí)現(xiàn)方法

建立基于異常網(wǎng)絡(luò)檢測(cè)模型時(shí)常用的方法有模式預(yù)測(cè)、數(shù)據(jù)挖掘等方法。模式預(yù)測(cè)方法是通過(guò)對(duì)事件發(fā)生的順序以及事件之間的相互關(guān)系進(jìn)行描述,并依據(jù)這些描述建立起相應(yīng)的特征庫(kù),在進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)時(shí),能夠檢測(cè)出在進(jìn)行網(wǎng)絡(luò)攻擊前一些特有網(wǎng)絡(luò)攻擊先兆,目前大部分網(wǎng)絡(luò)攻擊在實(shí)施攻擊前都需要對(duì)目標(biāo)主機(jī)進(jìn)行踩點(diǎn)和探測(cè),基于模式預(yù)測(cè)的網(wǎng)絡(luò)攻擊檢測(cè)方法能夠?qū)⒐羟安赛c(diǎn)和探測(cè)檢測(cè)出,識(shí)別出網(wǎng)絡(luò)攻擊的企圖,因此該技術(shù)具有較好的預(yù)測(cè)性,實(shí)時(shí)性好。

數(shù)據(jù)挖掘技術(shù)是通過(guò)使用數(shù)據(jù)挖掘算法對(duì)大量系統(tǒng)日志信息、審計(jì)日志以及網(wǎng)絡(luò)數(shù)據(jù)包等進(jìn)行分析和信息提出,發(fā)掘出其中有用的網(wǎng)絡(luò)安全的數(shù)據(jù)信息,建立正常網(wǎng)絡(luò)行為特征模型,在進(jìn)行攻擊檢測(cè)時(shí)將當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)包特征信息與正常網(wǎng)絡(luò)行為特征進(jìn)行對(duì)比,若偏離度大于設(shè)定的閾值則存在網(wǎng)絡(luò)攻擊行為。

四、總結(jié)

本文所構(gòu)建的基于混合檢測(cè)模式的入侵檢測(cè)模型,綜合使用了基于異常的入侵檢測(cè)技術(shù)與基于誤用的入侵檢測(cè)技術(shù),兩種檢測(cè)技術(shù)的混合使用彌補(bǔ)了各檢測(cè)技術(shù)中所存在的不足,混合檢測(cè)模式的使用能夠極大的提高入侵檢測(cè)系統(tǒng)的檢測(cè)率,降低網(wǎng)絡(luò)攻擊檢測(cè)系統(tǒng)的誤報(bào)率,對(duì)提升入侵檢測(cè)系統(tǒng)的性能起到了極大的促進(jìn)作用。

參考文獻(xiàn):

[1]ZHUGE JW,HAN XH,ZHOU YL.Research and development of botnets[J].Journal of Software,2008,19,3

[2]國(guó)家互聯(lián)網(wǎng)應(yīng)急中心.網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)[EB/OL].[2010-9-7]..cn/UserFiles/File/201033weekly.pdf

篇10

    關(guān)鍵詞:入侵檢測(cè)技術(shù);生物免疫系統(tǒng);人工免疫系統(tǒng)。

    引言

    網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,極大的加快了社會(huì)信息化的步伐。網(wǎng)絡(luò)技術(shù)在給人們帶來(lái)巨大的便利之時(shí),也給人類(lèi)帶來(lái)了巨大的挑戰(zhàn)。網(wǎng)絡(luò)的開(kāi)放性為信息的竊取、盜用、非法修改及各種擾亂破壞提供了可乘之機(jī)。因此,計(jì)算機(jī)安全變得越來(lái)越重要,如何對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中的各種非法行為進(jìn)行主動(dòng)防御和有效抑制,成為當(dāng)今計(jì)算機(jī)安全亟待解決的重要問(wèn)題。

    1、[番茄花園3] 傳統(tǒng)的網(wǎng)絡(luò)安全采取的防護(hù)措施及簡(jiǎn)要分析

    傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù),是以防火墻和殺毒軟件為主體,再加上身份認(rèn)證機(jī)制等構(gòu)建的防護(hù)體系,這種方法對(duì)防止系統(tǒng)被非法入侵有一定的效果。

    但是,某些入侵者會(huì)設(shè)法尋找防火墻背后可能敞開(kāi)的通道對(duì)其進(jìn)行攻擊,另一方面防火墻在防止網(wǎng)絡(luò)內(nèi)部襲擊等方面收效甚微,對(duì)于企業(yè)內(nèi)部心懷不滿(mǎn)而又技術(shù)高超的員工來(lái)說(shuō),防火墻形同虛設(shè)。而且,由于功能有限,防火墻通常不能提供有效的入侵檢測(cè)。

    因此,要構(gòu)建一個(gè)合格的網(wǎng)絡(luò)安全保護(hù)體系,光靠防火墻是遠(yuǎn)遠(yuǎn)不夠的,還需要有能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控、實(shí)時(shí)報(bào)警,并且能夠有效識(shí)別攻擊手段的網(wǎng)絡(luò)安全工具。

    入侵檢測(cè)系統(tǒng)(IDS,Intrusion Detection System)應(yīng)運(yùn)而生。

    2、基于人工免疫的入侵檢測(cè)技術(shù)手段

    2.1入侵檢測(cè)技術(shù)的系統(tǒng)機(jī)制

    所謂入侵檢測(cè),就是指檢測(cè)對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)進(jìn)行非授權(quán)使用或入侵的過(guò)程。入侵檢測(cè)技術(shù)主要是研究使用什么樣的方法來(lái)檢測(cè)入侵行為。

    入侵檢測(cè)是近年來(lái)網(wǎng)絡(luò)安全研究的熱點(diǎn),隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,系統(tǒng)遭受的入侵和攻擊也越來(lái)越多。網(wǎng)絡(luò)與信息安全問(wèn)題顯得越來(lái)越突出,研究入侵檢測(cè)及防御技術(shù)很有必要。

    入侵檢測(cè)系統(tǒng)可通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息收集并對(duì)其進(jìn)行分析,發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中違反安全策略的行為和攻擊跡象,產(chǎn)生報(bào)警,從而有效防護(hù)網(wǎng)絡(luò)的安全。

    入侵檢測(cè)系統(tǒng)作為防火墻之后的有益補(bǔ)充,有著不可替代的作用,在網(wǎng)絡(luò)安全防護(hù)中的地位也越來(lái)越突出。作為一個(gè)全新的、快速發(fā)展的領(lǐng)域,有關(guān)入侵檢測(cè)技術(shù)的研究已經(jīng)成為網(wǎng)絡(luò)安全中極為重要的一個(gè)課題,已經(jīng)引起了國(guó)內(nèi)外許多專(zhuān)家學(xué)者的廣泛重視,對(duì)入侵檢測(cè)技術(shù)的研究具有十分重要的意義。[1]

    2.2 生物免疫系統(tǒng)原理

    生物免疫系統(tǒng)將所有的細(xì)胞分為兩類(lèi):自身的細(xì)胞(Self細(xì)胞)和非自身的細(xì)胞(Non-Self細(xì)胞)。Self細(xì)胞指自身健康,沒(méi)有被感染、破壞的細(xì)胞;Non-Self 細(xì)胞是指病毒、細(xì)菌、寄生蟲(chóng)等有害物質(zhì)和自身被感染、破壞的細(xì)胞

    免疫系統(tǒng)只對(duì)Non-Self細(xì)胞具有免疫作用。當(dāng)一個(gè)外部抗原(Non-self細(xì)胞)襲擊身體時(shí),抗原體細(xì)胞把外部分子分解到抗原決定基層次,產(chǎn)生與抗原決定基結(jié)合的抗體。一旦抗原決定基發(fā)現(xiàn)匹配,一個(gè)特定信號(hào)就會(huì)發(fā)給免疫細(xì)胞,產(chǎn)生更多的抗體,淹沒(méi)抗原威脅或感染。只有那些能夠識(shí)別抗原的細(xì)胞才進(jìn)行擴(kuò)增,才會(huì)被免疫系統(tǒng)保留下來(lái)。

    2.3人工免疫系統(tǒng)

    人工免疫系統(tǒng)是研究、借鑒和利用生物免疫系統(tǒng)(這里主要是指人類(lèi)的免疫系統(tǒng))各種原理和機(jī)制而發(fā)展的各類(lèi)信息處理技術(shù)、計(jì)算技術(shù)及其在工程和科學(xué)中的應(yīng)用而產(chǎn)生的各種智能系統(tǒng)的統(tǒng)稱(chēng)

    2.4入侵檢測(cè)系統(tǒng)與免疫系統(tǒng)的相似性

    從生物的免疫系統(tǒng)特點(diǎn)出發(fā)可以發(fā)現(xiàn),入侵檢測(cè)系統(tǒng)與免疫系統(tǒng)具有本質(zhì)的相似性:

    免疫系統(tǒng)負(fù)責(zé)識(shí)別生物體“自身”(Self)和“非自身”(Non-self)的細(xì)胞,清除異常細(xì)胞。入侵檢測(cè)系統(tǒng)則辨別正常和異常行為模式。生物免疫系統(tǒng)對(duì)抗原的初次應(yīng)答類(lèi)似于入侵檢測(cè)系統(tǒng)異常檢測(cè),可檢測(cè)出未知的抗原。生物免疫系統(tǒng)第二次應(yīng)答即利用對(duì)抗原的“記憶”引發(fā)的再次應(yīng)答與誤用檢測(cè)相類(lèi)似。

    利用生物免疫系統(tǒng)的這些特性,應(yīng)用到入侵檢測(cè)領(lǐng)域,能有效的阻止和預(yù)防對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的入侵行為,可增強(qiáng)信息的安全性。[4]

    3、基于人工免疫的入侵檢測(cè)

    3.1  概念提出

    根據(jù)上面的敘述我們發(fā)現(xiàn):

    入侵檢測(cè)系統(tǒng)的作用在于檢測(cè)并阻止系統(tǒng)內(nèi)外部非法用戶(hù)的攻擊,免疫系統(tǒng)的作用在于保護(hù)生物體免受外部病原體(如病毒,細(xì)菌等)的攻擊。二者的行為本質(zhì)上可以歸結(jié)為對(duì)危險(xiǎn)“非我”的識(shí)別和清除,這種相似性為借鑒免疫機(jī)制研究入侵檢測(cè)提供了一種新的思路。

    從信息處理的角度來(lái)看,免疫系統(tǒng)是一個(gè)自適應(yīng)、自學(xué)習(xí)、自組織、并行處理和分布協(xié)調(diào)的復(fù)雜系統(tǒng)。目前,國(guó)際上不少研究人員已經(jīng)認(rèn)識(shí)到生物免疫系統(tǒng)中蘊(yùn)涵了豐富且有效的信息處理機(jī)制,并針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)抗入侵、反病毒等安全問(wèn)題,建立了相應(yīng)的人工免疫模型和系統(tǒng),取得了一定的進(jìn)展,具有十分廣闊的應(yīng)用前景。

    同時(shí),在當(dāng)前網(wǎng)絡(luò)安全面臨諸多困難的時(shí)期,借鑒生物免疫系統(tǒng)來(lái)設(shè)計(jì)網(wǎng)絡(luò)安全新機(jī)制也變得更加緊迫,具有十分重要的意義。

    3.2 基于人工免疫入侵檢測(cè)的分類(lèi)

    基于人工免疫的入侵檢測(cè)技術(shù)主要分為基于人工免疫的異常檢測(cè)技術(shù)和基于人工免疫的誤用檢測(cè)技術(shù)兩種,檢測(cè)系統(tǒng)主要分為基于主機(jī)的人工免疫入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的人工免疫入侵檢測(cè)系統(tǒng)兩種。每一種技術(shù)都可應(yīng)用于任意一種檢測(cè)系統(tǒng),每一種檢測(cè)系統(tǒng)也可以使用任意一種檢測(cè)技術(shù)。

    4、現(xiàn)有的成熟技術(shù)及模型

    基于人工免疫的入侵檢測(cè)技術(shù)雖然都是應(yīng)用人工免疫與入侵檢測(cè)相結(jié)合的方法,但是該技術(shù)并不是固定不變的,不同的研究人員根據(jù)自己的研究提出了不同的入侵檢測(cè)模型。

    4.1 基于人工免疫入侵檢測(cè)和防火墻的網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)

    本節(jié)將人工免疫入侵檢測(cè)系統(tǒng)和防火墻結(jié)合起來(lái)提出一種動(dòng)態(tài)網(wǎng)絡(luò)安全主動(dòng)防御技術(shù), 能夠全方位對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全防護(hù)。

    防火墻

    本節(jié)提到的防火墻是一種新型防火墻, 它除了一般防火墻的網(wǎng)段隔離、基于IP 和端口的阻斷、NAT 等功能外, 還增加了內(nèi)容過(guò)濾、動(dòng)態(tài)配置、安全防護(hù)等功能等。

    入侵檢測(cè)

    入侵監(jiān)測(cè)系統(tǒng)能夠通過(guò)向管理員發(fā)出入侵或者入侵企圖來(lái)加強(qiáng)當(dāng)前的存取控制系統(tǒng),例如防火墻;識(shí)別防火墻通常不能識(shí)別的攻擊,如來(lái)自企業(yè)內(nèi)部的攻擊;在發(fā)現(xiàn)入侵企圖之后提供必要的信息,幫助系統(tǒng)的移植。

    4.1.1基于人工免疫原理建立的入侵檢測(cè)模型

    入侵檢測(cè)是通過(guò)對(duì)系統(tǒng)或者是網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行檢測(cè),發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果,以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。借鑒生物免疫系統(tǒng)在抵抗外界有害抗原的入侵上有效、獨(dú)特的工作機(jī)制,能夠很好的解決現(xiàn)有入侵檢測(cè)系統(tǒng)的高誤報(bào)率和缺乏自適應(yīng)性。本節(jié)將人工免疫入侵檢測(cè)系統(tǒng)分為基于主機(jī)和網(wǎng)絡(luò)兩類(lèi),檢測(cè)的對(duì)象是運(yùn)行在主機(jī)上的各種操作行為和通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包。

    1、基于主機(jī)的人工免疫入侵檢測(cè)模型

    在免疫計(jì)算機(jī)的生物學(xué)模擬中,將計(jì)算機(jī)中感興趣的程序(如Ftp,Telnet,Send mail 等等)的活動(dòng)進(jìn)程視為分子,將多個(gè)進(jìn)程運(yùn)行的計(jì)算機(jī)視為多細(xì)胞有機(jī)體,將計(jì)算機(jī)網(wǎng)絡(luò)視為有機(jī)體組織。入侵識(shí)別主要根據(jù)網(wǎng)絡(luò)操作系統(tǒng)中由授權(quán)程序執(zhí)行的系統(tǒng)調(diào)用短序列,類(lèi)似于肽鏈。在系統(tǒng)中, 建立一個(gè)類(lèi)似于淋巴細(xì)胞的進(jìn)程,該進(jìn)程直接和內(nèi)核通信,檢控其他進(jìn)程及時(shí)發(fā)現(xiàn)程序執(zhí)行的異常。與免疫系統(tǒng)的判別機(jī)制相同,當(dāng)該“淋巴細(xì)胞”進(jìn)程發(fā)現(xiàn)某個(gè)進(jìn)程運(yùn)行異常時(shí),就認(rèn)為該進(jìn)程被破壞或正在受到攻擊。免疫計(jì)算機(jī)實(shí)時(shí)檢控和處理主機(jī)的審計(jì)數(shù)據(jù),提取感興趣的行為數(shù)據(jù),建立行為特征模式,并與已知的正常行為模式匹配,一旦發(fā)現(xiàn)異常便報(bào)警。基于主機(jī)的人工免疫入侵檢測(cè)模型如圖1 所示

    該模型主要由入侵分析、入侵判斷和入侵響應(yīng)三個(gè)部分構(gòu)成。從操作系統(tǒng)提取的審計(jì)數(shù)據(jù)經(jīng)數(shù)據(jù)過(guò)濾及分析處理,轉(zhuǎn)換為統(tǒng)一的數(shù)據(jù)模式以便執(zhí)行入侵分析。行為特征數(shù)據(jù)庫(kù)是入侵判斷的主要依據(jù),通過(guò)入侵判斷(與行為特征數(shù)據(jù)庫(kù)的匹配),將判斷結(jié)果通過(guò)用戶(hù)界面通知系統(tǒng)管理員或交由系統(tǒng)自行處理。

    2、基于網(wǎng)絡(luò)的人工免疫入侵檢測(cè)模型