基于启发式规则的入侵检测技术研究毕业论文

基于启发式规则的入侵检测技术研究毕业论文内容摘要：

种 ： 一种是主机系统中的审计数据、安全日志、行为记录等信息 ； 一种是网络协议数据包。 特征提取的目的就是对这些原始数据进行分析，提取攻击特征，通过适当的编码将其加入入侵模式库。 一个特征应该是一个数据独有的特性，提取出来的特征应该能够准确、完整的描述该数据或行为，从而为判断入侵提供依据。 提取入侵行为的特征，就是对入侵行为进行形式化的描述，对其进行准确地分类。 目前，网络攻击分类方法主要有四种 ： 基于经验术语的分类方法 、 基于单一属性的分类方法 、 基于多属性的分类方法 、 基于应用的分类方法。 其中基于多属性的攻击分类方法将攻击看成是一个动态的过程，并将其分解成相互关联的多个独立的阶段，再对每个阶段的属性进行独立的描述，具有很好的扩展性，能够全面地、准确地表述攻击过程，得到了广泛的研究和应用。 近几年，基于主成分分析 (Principal Component Analysis， PCA)和独立成分第一章 绪 论 6 分析 ( Independent Component Analysis， ICA)的特征提取方法成为研究的热点。 PCA 技术可以将数据从高维数据空间变换到低维特征空间，能够保留属性中那些最重要的属性，从而更精确的描 述入侵行为。 ICA 也是一种用于数据特征提取的线性变换技术，与 PCA 的主要区别是 ： PCA 分析仅利用数据的二阶统计信息，所得的数据特征彼此正交 ； 而 ICA 分析利用了数据的高阶统计信息，强调的是数据特征之间的独立性。 4)入侵检测方法研究 入侵检测方法可以分为两类 ： 异常入侵检测 (Anomaly Detection)、 误用入侵检测 (Misuse Detection)和混合型入侵检测 (Hybrid Detection)。 (1)异常 (Anomaly)IDS： 异常检测也叫基于行为的检测，是利用统计的方法来检测系统的异常行 为。 异常检测假设 ： 任何对系统的入侵和误操作都会导致系统异常。 它首先建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为“异常”，再通过检测系统的行为或使用情况的变化来完成对“异常”行为的检测。 异常检测只能识别出那些与正常过程有较大偏差的行为，由于对各种网络环境的适应性不强，且缺乏精确的判定标准，异常检测经常会出现误报的现象。 (2)误用的 (Misuse)IDS： 误用检测也叫基于知识的检测，是指运用已知的攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测入侵。 这种方 法由于依据具体特征库进行判断，所以对已知的攻击类型非常有效 ；并且因为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。 但这种方法对攻击的变种和新的攻击几乎无能为力 ； 同时由于对具体系统的依赖性太强，系统移植性不好，维护工作量大，并且检测范围受已知知识的局限。 (3)混合型 (Hybrid)IDS： 由于基于误用的 IDS 和基于异常的 IDS 各有其优越性和不足，因而在许多 IDS 中同时采用了这两种不同的入侵检测方法，这种 IDS称为混合型 IDS。 混合型 IDS 中异常检测器和误用检测器之间应该是互相约束的。 由于异常检 测难以克服其局限性，因而许多商用 IDS 基本上采用的都用基于误用的入侵检测方法。 许多科研人员正在努力研究能应用于实际入侵检测系统的异常检测器。 异常入侵检测能够识别新的入侵行为，具有较低的漏警率，但是却有很高的误警率。 而误用入侵检测无法识别新的入侵行为，只能识别那些在其规则库中存在的入侵行为，具有较高的漏警率，但是却有很低的误警率。 因此，异常入侵检测方法与误用入侵检测方法在功能上是互补的。 考虑到这些特性，目前大多数入侵检测系统都同时采用了这两种方法，即混合型检测方法，主要有 ：第一章 绪 论 7 基于规范的检测方法，基于生物免疫 的检测方法，基 于伪装的检测方法，基于入侵报警的关联检测方法。 混合型入侵检测方法综合了异常和误用检测的优点，是目前入侵检测研究的重点，其设计目标是提高入侵检测的可靠性、准确性，降低检测的误警率和漏警率。 5)IDS 响应机制研究 IDS 响应机制是入侵检测的重要功能模块。 响应机制根据入侵检测的结果，采取必要和适当的动作，阻止进一步的入侵行为或恢复受损害的系统，同时对数据源和入侵检测的分析引擎产生影响。 针对数据源，响应机制可以要求数据源提供更为详细的信息、调整监视策略、改变收集的数据类型 ； 针对分析引擎，可以更改检 测规则、调整系统运行参数等。 (1)被动响应 IDS： 系统检测到入侵后，仅仅记录所检测到的异常活动信息，并将警报信息报告给系统管理员，由系统管理员决定接下来应该采取什么措施。 在早期的入侵检测系统中，都是采取被动响应方式。 (2)主动响应 IDS： 系统检测到入侵后，采取某种响应手段或措施阻塞攻击的进程或者改变受攻击的网络环境配置，以尽可能减小危害或阻止入侵。 主动响应采取的措施有 ： 追踪入侵、切断攻击发起主机或网络的连接、反向攻击入侵主机等，更为先进的主动响应手段包括自动修补目标系统的安全漏洞、动态更改检测系统的检 测规则集合等方法，甚至包括与“蜜罐” (HoneyPort)系统密切合作，积极收集攻击行为的信息和入侵证据等。 在实际应用中响应机制最重要的要求是在系统被入侵后能及时进行响应，如果响应不及时，系统可能已经遭到严重的破坏，入侵检测将失去意义，这就是实时响应的要求。 传统的响应方法是系统自动根据事先定制的规则进行反应，由于新的入侵手段的出现以及规则库的相对低智能，这种方法很难实现准确无误的响应。 代理技术的发展为实时响应提供了支持，基于分布式智能代理技术的实时响应机制是当前研究的重点。 分布式智能代理技术是当前远程 通信发展最快的领域之一，它是指在分布式环境中，一组不同的代理彼此协作，互相通信，使各代理能够做出最理想的决策。 它具有高度的智能化能够独立做出各种决策来检测入侵并消除负面影响。 基于分布式智能代理技术的实时响应机制与入侵检测系统的体系结构研究休戚相关，采用的是主体型体 系结构，需要有效设计系统中的各个功能模块及它们之间的通信协议。 6) IDS 标准化 第一章 绪 论 8 随着网络规模的扩大，网络入侵方式、类型及特征日趋多样化，入侵活动变得复杂而又难以捉摸，某些入侵行为单靠单一的入侵检测系统无法检测出来，需要多种安全措施协同工作才能有 效保障网络系统的安全，这就要求各安全系统之间能够交换信息，相互协作，形成一个整体有效的安全保障系统，这就是入侵检测系统的标准化制定。 自 1997 年起，美国国防高级研究计划署 (DARPA)和互联网工程任务组(IETF)的入侵检测工作组 (IDWG)发起制定了一系列建议草案，从体系结构、API、通信机制、语言格式等方面规范了 IDS 的标准。 目前入侵检测标准化工作取得的成果有 ： DARPA提出的公共入侵检测框架 (Common Intrusion Detection Framework， CIDF )和 IDWG 制定的数据 格式和交换规程。 CIDF 的规格文档主要包括 4 部分 ： 体系结构、 IDS 通信机制、通用入侵描述语言 ( Common Intrusion Specification Language， CISL )、应用编程接口 API。 IDWG 定义了数据格式和交换规程，用于入侵检测与响应系统之间与需要交互的管理系统之间的信息共享，包括 三 部分 ： 入侵检测消息交换格式(IDMEF )、入侵检测交换协议 (IDXP)、隧道轮廓 (Tunnel Profile )。 入侵检测系统的标准化工作提高了 IDS 产品、组件与其它安全产品之间的互操作性和 互用性，使得多种安全技术及其产品能够协同工作，共同保障系统安全。 本文 的主要工作 入侵检测在网络安全防护中发挥着重要的作用，具有重大的研究意义。 如上所述，入侵检测研究的领域很多，本文对其中若干子课题作了研究，分别是网络攻击模型研究、入侵检测方法研究以及 IDS 体系结构研究。 本文所作的主要工作如下 ： 1)对入侵检测模式匹配算法作了研究，提出了一种改进的 ACBM 多模式匹配算法。 ACBM 算法在误用入侵检测基于规则的模式匹配中得到广泛的应用，然而在实际的应用中还存在以下问题 ： 对短模式处理效果差 ； 不支持 多用户等。 本文分析了这些问题存在的原因，并对算法作了改进 ： 首先，将短模式与长模式分开进行处理，避免了短模式对长模式的影响， 并 通过直接计算哈希值的方法来对短模式串进行匹配，提高了短模式串的匹配速度 ； 最后，采用地址过滤的方法 避免了链表的遍历，同时节省了原有算法中用于计算前缀哈希值的时耗；其次，为 进一步提高了算法的匹配速度，设计 MRRT 规约树能支持多第一章 绪 论 9 线程归约和在线动态调整，特别适用于大规模多模式匹配。 改进后的 ACBM算法具有更好的性能，提高了入侵检测中模式匹配的速度。 2)基于启发式搜索的特征选择 ，在进行模式 分类时，只有特征向量中包含足够的类别信息，分类器才能实现正确分类，而特征中是否包含足够的类别信息却很难确定，为了提高识别率，我们总是最大限度地提取特征信息，结果不仅使特征维数增大，而且其中可能存在较大的相关性和兀余性，这给特征的进一步处理和入侵检测模型的实现都带来很大的困难。 因而，需要在不降低 (或尽量不降低 )检测准确度的前提下，采用一定的算法，尽量降低特征空间的维数，这就是特征选择。 2)对 IDS 中的 SVM 分类器作了研究，提出了一种基于超球面边界样本点筛选算法的 SVM 分类器。 在异常入侵检测中 SVM 分类器可用 于对未知入侵进行检测，而 SVM 分类器的构造目前主要受到两个方面的困扰 ： 一是当训练样本规模较大时，分类器的训练时间过长 ； 二是离群点的存在严重影响分类器的泛化能力。 为了消除离群点并精简训练样本集，考虑到分类器的划分结果主要由位于两类样本点边界处占样本数少部分的支持向量决定，本文采用了以下方法对样本集进行处理 ： 首先采用 KNN 算法对离群点进行消除 ； 然后构造以样本点为球心的超球面，通过判断超球面内样本点类别的异同来判断该作为球心的样本点是否位于边界，从而提取边界样本点。 实验结果表明通过选择适当的临近点个数及超球面半径 ，能够有效的提取边界样本点，达到消除离群点和精简训练样本集的目的，而且精简后的样本集不会影响分类器的泛化能力。 该分类器在异常入侵检测中表现出较好的性能。 3)提出了一种基于 启发式规则的 混合入侵检测系统模型。 模型 专门 设计了混合 入侵检测引擎 ，结合误用入侵检测和异常入侵检测技术，降低了入侵检测的误警率和漏警率。 整个模型具有很好的可扩展性、可靠性、稳定性和可用性，能够适用于大规模的高速的网络环境。 本 文 的 组织结构 本文的章节安排如下 ： 第一章，绪论。 详细分析了论文的研究背景、意义及技术难点，给出了论文的主 要研究工作和创新点。 第二章， 入侵检测技术研究综述。 介绍了入侵检测的概念和通用模型以及入侵检测的技术分类，系统结构分析，以及使用的规则描述语言和实验数据等第一章 绪 论 10 内容。 第三章， 误用入侵检测中的模式识别算法研究。 介绍了误用入侵检测模式匹配问题，重点分析介绍了 ACBM多模式匹配算法，提出了一种改进的 ACBM算法 IACBM，比较分析了两种算法入侵检测的性能。 第四章， 基于启发式搜索的特征选择。 介绍我们提出的基于变量相似性的特征选择算法。 第五章， 异常入侵检测中的 SVM 分类器研究。 介绍了异常入侵检测分类问题，对传统 的 SVM 分类器作了介绍，针对传统 S VM 分类器存在的主要问题，提出了一种基于超球面边界样本点筛选算法的 SVM 分类器 (INNSVM)，比较分析了 INNSVM 分类器与其它 SVM 分类器对入侵检测的性能。 第六章，基于启发式规则的混合入侵检测模型。 介绍了 IDS 系统体系结构的发展， 提出了一种基于启发式规则的混合入侵检测模型，把连接上下行数据分别采用误用检测技术和异常检测技术， 并对检测到得结果 通过混合分析引擎拟合 ， 对模型的性能作了测试。 第 七 章，总结与展望。 对本文的工作进行总结，并对进一步的研究工作进行展望。 第二 章 入侵检测技术研究综述 11 第二 章 入侵检测技术研究综述 本章综述了入侵检测技术的发展历程，对现有的入侵检测技术进行了分类，介绍了入侵检测技术的评价指标，并以 典型的入侵检测技术为例，分别介绍其技术要点，指出了它们的优缺点。 最后介绍了入侵检测系统的体系结构、规则描述语言和实验数据等。 检测技术的发展史 早在 20 世纪 80 年代就已经展开了对入侵检测技术的研究，发展至今已有近 30 年的历程。 根据所检测数据的来源不同，入侵检测技术经历了基于主机的入侵检测技术、基于网络的入侵检测技术和分布式入侵检测技术三个发展时期。 1980 年， James 先生在他的开山之作《 Computer Security Threat Monitoring and Surveiliance》 冲首次提出了入侵检测的概念，由此开始了对入侵检测技术的研究。 在这篇文章中，他提到了审计数据对于入侵检测的重要性 ，通过监视和存储相关的审计数据信息，建立用户审计信息模型，再根据这些统计模型发现系统当中存在。