入侵檢測技術畢業(yè)論文

1、<p><b>　　目 錄</b></p><p>　　1引言…………………………………………………………………2</p><p>　　1.1入侵檢測技術的提出 ……………………………………………2</p><p>　　1.2入侵檢測技術技術研究史 ………………………………………3</p><p>

2、　　1.2.1 以Denning模型為代表的IDS早期技術 …………………………3</p><p>　　1.2.2中期：統(tǒng)計學理論和專家系統(tǒng)相結合 …………………………4</p><p>　　1.2.3基于網絡的NIDS是目前的主流技術 ………………………5</p><p>　　1.3本課題研究的途徑與意義 …………………………………11</p

3、><p>　　2入侵檢測技術原理 ……………………………………………12</p><p>　　2.1 入侵檢測技術第一步——信息收集 …………………………12</p><p>　　2.1.1 網絡入侵檢測技術模塊方式 ………………………………13</p><p>　　2.1.2 主機入侵檢測技術模塊方式 ……………………………

4、13</p><p>　　2.1.3信息來源的四個方面 …………………………………………13</p><p>　　2.2 入侵檢測技術的第二步——信號分析 ……………………………15</p><p>　　2.2.1模式匹配 ……………………………………………………16</p><p>　　2.2.2統(tǒng)計分析 ……………………………………

5、………………16</p><p>　　2.2.3完整性分析 …………………………………………………16</p><p>　　3入侵檢測技術功能概要 …………………………………………18</p><p>　　4 入侵檢測技術技術分析 …………………………………………19</p><p>　　4.1入侵分析按其檢測技術規(guī)則分類 ……………

6、……………………19</p><p>　　4.1.1基于特征的檢測技術規(guī)則 ……………………………………19</p><p>　　4.1.2基于統(tǒng)計的檢測技術規(guī)則……………………………………20</p><p>　　4.2 一些新的分析技術 ……………………………………………20</p><p>　　4.2.1 統(tǒng)計學方法 ……………………

7、……………………………20</p><p>　　4.2.2 入侵檢測技術的軟計算方法 …………………………………21</p><p>　　4.2.3 基于專家系統(tǒng)的入侵檢測技術方法 …………………………21</p><p>　　5 入侵檢測技術技術發(fā)展方向 ……………………………………22</p><p>　　5.1分布式入侵檢測技術與通用

8、入侵檢測技術架構……………………22</p><p>　　5.2應用層入侵檢測技術 …………………………………………22</p><p>　　5.3智能的入侵檢測技術 …………………………………………22</p><p>　　5.4入侵檢測技術的評測方法 ……………………………………22</p><p>　　5.5網絡安全技術相結合

9、…………………………………………22</p><p>　　6 建立數據分析模型 ……………………………………………23</p><p>　　6.1測試數據的結構 ………………………………………………22</p><p>　　6.2數據中出現(xiàn)的攻擊類型…………………………………………25</p><p>　　6.2.1攻擊（Attacks）

10、 ………………………………………………25</p><p>　　6.2.2發(fā)現(xiàn)訓練集中的攻擊類型 ……………………………………26</p><p>　　6.2.3其他主流的攻擊類型 …………………………………………28</p><p>　　7 聚類算法在網絡入侵檢測技術中的作用 …………………………29</p><p>　　7.1模式識別的

11、概念 ………………………………………………29</p><p>　　7.2模式分類 ……………………………………………29</p><p>　　7.3基于異常的入侵檢測技術 ……………………………………32</p><p>　　7.4聚類算法簡介 …………………………………………………32</p><p>　　7.4.1 K

12、-means算法 ………………………………………………32</p><p>　　7.4.2迭代最優(yōu)化算法………………………………………………32</p><p>　　7.4.3我的構想 …………………………………………………32</p><p>　　結論…………………………………………………………………35</p><p>　　致謝…

13、………………………………………………………………35</p><p>　　參考文獻 ……………………………………………………………35</p><p><b>　　1引言</b></p><p>　　1.1入侵檢測技術的提出</p><p>　　隨著Internet高速發(fā)展，個人、企業(yè)以及政府部門越來越多地依靠網絡傳遞信

14、息, 然而網絡的開放性與共享性容易使它受到外界的攻擊與破壞,信息的安全保密性受到嚴重影響。網絡安全問題已成為世界各國政府、企業(yè)及廣大網絡用戶最關心的問題之一。</p><p>　　在計算機上處理業(yè)務已由基于單機的數學運算、文件處理，基于簡單連結的內部網絡的內部業(yè)務處理、辦公自動化等發(fā)展到基于企業(yè)復雜的內部網、企業(yè)外部網、全球互聯(lián)網的企業(yè)級計算機處理系統(tǒng)和世界范圍內的信息共享和業(yè)務處理。在信息處理能力提高的同時，系

15、統(tǒng)的連結能力也在不斷的提高。但在連結信息能力、流通能力提高的同時，基于網絡連接的安全問題也日益突出，黑客攻擊日益猖獗，防范問題日趨嚴峻：● 具Warroon Research的調查，1997年世界排名前一千的公司幾乎都曾被黑客闖入?！?據美國FBI統(tǒng)計，美國每年因網絡安全造成的損失高達75億美元?！?Ernst和Young報告，由于信息安全被竊或濫用，幾乎80%的大型企業(yè)遭受損失● 在最近一次黑客大規(guī)模的攻擊行動中，雅虎網站的網

16、絡停止運行3小時，這令它損失了幾百萬美金的交易。而據統(tǒng)計在這整個行動中美國經濟共損失了十多億美金。由于業(yè)界人心惶惶，亞馬遜(Amazon.com)、AOL、雅虎(Yahoo!)、eBay的股價均告下挫，以科技股為主的納斯達克指數(Nasdaq)打破過去連續(xù)三天創(chuàng)下新高的升勢，下挫了六十三點，杜瓊斯工業(yè)平均指數周三收市時也跌</p><p>　　目前我國網站所受到黑客的攻擊，還不能與美國的情況相提并論，因為我們在用

17、戶數、用戶規(guī)模上還都處在很初級的階段，但以下事實也不能不讓我們深思： 1993年底，中科院高能所就發(fā)現(xiàn)有"黑客"侵入現(xiàn)象，某用戶的權限被升級為超級權限。當系統(tǒng)管理員跟蹤時，被其報復。1994年，美國一位14歲的小孩通過互聯(lián)網闖入中科院網絡中心和清華的主機，并向我方系統(tǒng)管理員提出警告。</p><p>　　1996年，高能所再次遭到"黑客"入侵，私自在高能所主機上建立了

18、幾十個帳戶，經追蹤發(fā)現(xiàn)是國內某撥號上網的用戶。同期，國內某ISP發(fā)現(xiàn)"黑客"侵入其主服務器并刪改其帳號管理文件，造成數百人無法正常使用。 進入1998年，黑客入侵活動日益猖獗，國內各大網絡幾乎都不同程度地遭到黑客的攻擊：　　7月，江西169網被黑客攻擊，造成該網3天內中斷網絡運行2次達30個小時，工程驗收推遲20天；同期，上海某證券系統(tǒng)被黑客入侵；　　8月，印尼事件激起中國黑客集體入侵印尼網點，造成印尼多

19、個網站癱瘓，但與此同時，中國的部分站點遭到印尼黑客的報復；同期，西安某銀行系統(tǒng)被黑客入侵后，提走80.6萬元現(xiàn)金；　　9月，揚州某銀行被黑客攻擊，利用虛存帳號提走26萬元現(xiàn)金?！　∶磕耆蛞蛴嬎銠C網絡的安全系統(tǒng)被破壞而造成的經濟損失達數百億美元。進入新世紀之后，上述損失將達2000億美元以上。 </p><p>　　看到這些令人震驚的事件，不禁讓人們發(fā)出疑問："網絡還安全嗎？"</p

20、><p>　　試圖破壞信息系統(tǒng)的完整性、機密性、可信性的任何網絡活動都稱為網絡入侵。防范網絡入侵最常用的方法就是防火墻。防火墻（Firewall）是設置在不同網絡（如可信任的企業(yè)內部網和不可信任的公共網）或網絡安全域之間的一系列部件的組合,它屬于網絡層安全技術,其作用是為了保護與互聯(lián)網相連的企業(yè)內部網絡或單獨節(jié)點。它具有簡單實用的特點，并且透明度高，可以在不修改原有網絡應用系統(tǒng)的情況下達到一定的安全要求。 但

21、是，防火墻只是一種被動防御性的網絡安全工具，僅僅使用防火墻是不夠的。首先，入侵者可以找到防火墻的漏洞，繞過防火墻進行攻擊。其次，防火墻對來自內部的攻擊無能為力。它所提供的服務方式是要么都拒絕，要么都通過,不能檢查出經過他的合法流量中是否包含著惡意的入侵代碼，這是遠遠不能滿足用戶復雜的應用要求的?！?lt;/p><p>　　對于以上提到的問題，一個更為有效的解決途徑就是入侵檢測技術。在入侵檢測技術之前，大量的安全機制都

22、是根據從主觀的角度設計的,他們沒有根據網絡攻擊的具體行為來決定安全對策，因此，它們對入侵行為的反應非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據網絡行為的變化來及時地調整系統(tǒng)的安全策略。而入侵檢測技術正是根據網絡攻擊行為而進行設計的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學習和分析入侵手段，及時地調整系統(tǒng)策略以加強系統(tǒng)的安全性?！?lt;/p><p>　　1.2入侵檢測技術技術研究史<

23、/p><p>　　審計是最早引入計算機安全領域的概念，像存取文件、變更他們的內容或分類等的活動都記錄在審計數據中，安全管理員、系統(tǒng)操作員和維護人員和普通用戶一樣都要經過行為審核。安德森提出要建立一個安全監(jiān)督系統(tǒng)，保護那些系統(tǒng)敏感信息。他還提出應該檢查什么、如何分析他、以及如何保護監(jiān)督系統(tǒng)免受攻擊，這成了今天IDS研究的核心內容。 70年代后期，美國政府，包括DoD（國防部）和NIST（國家標準和技術協(xié)會）支持

24、的計算機安全研究2開始了，安全審計也被考慮在這些研究中。1980年，安德森提出了另外一項報告，這次是針對一個空軍客戶，后者使用大型計算機處理大量的機密數據。報告中，安德森提出了減少分析數據量的方法，以及比較統(tǒng)計數據和總的觀察——也就是統(tǒng)計行為，以發(fā)現(xiàn)反常的行為。當一個安全違例發(fā)生或（統(tǒng)計上）反常的事件出現(xiàn)時，就會提醒安全官員。安全官員還能利用詳細的觀測資料做后續(xù)的評估。安德森的報告為SRI（Stanford Research Insti

25、tute）和TRW（美國著名的數據安全公司）的早期工作提供了藍圖。在1980年代中期，入侵檢測技術方面的許多工作都被他的思路深深影響。1.2.1 以Denn</p><p>　　頓寧的模型假設：入侵行為明顯的區(qū)別于正常的活動，入侵者使用系統(tǒng)的模式不同于正常用戶的使用模式，通過監(jiān)控系統(tǒng)的跟蹤記錄，可以識別入侵者異常使用系統(tǒng)的模式，從而檢測技術出入侵者違反系統(tǒng)安全性的情況。論文中的一些提法看起來很吸引人，但卻并沒有

26、多少有力的證據，有些想當然。　　 頓寧的模型中有6個主要構件：主體、對象、審計數據、輪廓特征（或可稱為“范型”profiles）、異常記錄和行為規(guī)則。范型（profiles）表示主體的行為特色，也是模型檢測技術方面的關鍵。行為規(guī)則描述系統(tǒng)驗證一定條件后抽取的行為，他們能“……更新范型，檢測技術異常行為，能把異常和可能的入侵關聯(lián)起來并提出報告”。審計紀錄由一個行為觸發(fā)，而且記錄主體嘗試的行為、行為本身、行動對準的目標、任何可能導致例外

27、的情況以及行為消耗的資源和獨特的時間戳標記。審計記錄會和范型進行比較（使用適當的規(guī)則），那些符合異常條件的事件將被識別出來。這個模型獨立于特定的系統(tǒng)平臺、應用環(huán)境、系統(tǒng)弱點以及入侵的類型，也不需要額外的關于安全機制、系統(tǒng)脆弱性或漏洞攻擊方面的知識，他為構建入侵監(jiān)測系統(tǒng)提供了一個通用的框架。1.2.2中期：統(tǒng)計學理論和專</p><p>　　1994年，Mark Crosbie和Gene Spafford建議使

28、用自治代理（Autonomous Agents）以便提高IDS的可伸縮性、可維護性、效率和容錯性，這個思想跟上了計算機科學中其他領域的研究的潮流，比如說軟件代理。另一個解決當時多數入侵檢測技術系統(tǒng)伸縮性不足的研究成果是1996年提出的GRIDS(Graph-based Intrusion Detection System）系統(tǒng)，該系統(tǒng)對大規(guī)模自動或協(xié)同攻擊的檢測技術很有效，這種跨越多個管理區(qū)域的自動協(xié)同攻擊顯然是入侵行為發(fā)展的方向。

29、　　1997年，CISCO要求WheelGroup公司將入侵檢測技術與他的路由器結合。同年，ISS成功開發(fā)了RealSecure，他是在Windows NT下運行的分布式網絡入侵檢測技術系統(tǒng)，被人們廣泛使用。1996年的第一次開發(fā)是傳統(tǒng)的基于探測器的NIDS（網絡入侵檢測技術系統(tǒng)，監(jiān)視整個網絡段），在Windows和Solaris 2．6上運行。1998年后期，RealSecure發(fā)展成為一個混合式的入侵檢測技術系統(tǒng)。他對入侵行為具有廣

30、泛的反應能力包括斷開連接、發(fā)送SNMP信息、Ema</p><p>　　本課題研究的途徑與意義</p><p>　　聚類是模式識別研究中非常有用的一類技術。用聚類算法的異常檢測技術就是一種無監(jiān)督的異常檢測技術技術，這種方法可以在未標記的數據上進行，它將相似的數據劃分到同一個聚類中，而將不相似的數據劃分到不同的聚類，并為這些聚類加以標記表明它們是正常還是異常，然后將網絡數據劃分到各個聚類中，

31、根據聚類的標記來判斷網絡數據是否異常。</p><p>　　本課題是網絡入侵檢測技術的研究，主要介紹模式識別技術中兩種聚類算法，K-means算法和迭代最優(yōu)化算法，并闡述此算法在入侵檢測技術技術中的應用原理，接著分析這兩種算法具體應用時帶來的利弊，最后針對算法的優(yōu)缺點提出自己改進的算法，并對此算法進行分析，可以說這種算法是有監(jiān)督和無監(jiān)督方法的結合，是K-means算法和迭代最優(yōu)化算法的折中，是一種較理想的算法。&

32、lt;/p><p>　　通過研究本課題，可以了解入侵檢測技術技術的發(fā)展歷程，及國內外研究水平的差距，熟悉各種入侵檢測技術原理方法的異同，以便今后對某種檢測技術方法作進一步的改進時能夠迅速切入要點；在對入侵檢測技術技術研究的同時，認真學習了模式識別這門課程，這是一門交叉學科，模式識別已經在衛(wèi)星航空圖片解釋、工業(yè)產品檢測技術、字符識別、語音識別、指紋識別、醫(yī)學圖像分析等許多方面得到了成功的應用，但所有這些應用都是和問題的

33、性質密不可分的，學習過程中接觸了許多新理論和新方法，其中包括數據挖掘，統(tǒng)計學理論和支持向量機等，極大的拓展了自己的知識面，這所帶來的收獲已經不僅僅停留在對入侵檢測技術技術研究這個層面上。</p><p><b>　　入侵檢測技術原理</b></p><p>　　入侵檢測技術（Intrusion Detection）的定義為：識別針對計算機或網絡資源的惡意企圖和行為，并

34、對此做出反應的過程。IDS則是完成如上功能的獨立系統(tǒng)。IDS能夠檢測技術未授權對象（人或程序）針對系統(tǒng)的入侵企圖或行為(Intrusion)，同時監(jiān)控授權對象對系統(tǒng)資源的非法操作(Misuse)。</p><p>　　入侵檢測技術作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。入侵檢測技術系統(tǒng)能很好的彌補防火墻的不足，從某種意義上說是防火墻的補充

35、，幫助系統(tǒng)對付網絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測技術被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務來實現(xiàn)：　　　◆ 監(jiān)視、分析用戶及系統(tǒng)活

36、動；　　　◆ 系統(tǒng)構造和弱點的審計；　　　◆ 識別反映已知進攻的活動模式并向相關人士報警；　　　◆ 異常行為模式的統(tǒng)計分析；　　　◆ 評估重要系統(tǒng)和數據文件的完整性；　　　◆ 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。　　對一個成功的入侵檢測技術系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解網絡系統(tǒng)（包括程序、文件和硬件設備等）的任何變更，還能</p><p>　　入侵檢測技術第一步——信息收集&

37、lt;/p><p>　　在現(xiàn)實生活中，警察要證明罪犯有罪，必須先收集證據。只有掌握了充足的證據，才能順利破案。IDS也是一樣。一般來說，IDS通過2種方式獲得信息：</p><p>　　2.1.1 網絡入侵檢測技術模塊方式</p><p>　　當一篇文章從網絡的一端傳向另一端時，是被封裝成一個個小包(叫做報文)來傳送的。每個包包括了文章中的一段文字，在到達另一端之后，這

38、些包再被組裝起來。因此，我們可以通過檢測技術網絡中的報文來達到獲得信息的目的。一般來說，檢測技術方式只能夠檢測技術到本機的報文，為了監(jiān)視其他機器的報文，需要把網卡設置為混雜模式。通過在網絡中放置一塊入侵檢測技術模塊，我們可以監(jiān)視受保護機器的數據報文。在受保護的機器將要受到攻擊之前，入侵檢測技術模塊可最先發(fā)現(xiàn)它。 </p><p>　　實際應用中網絡結構千差萬別，用戶只有根據具體情況分別設計實施方案，才能讓網絡入侵

39、檢測技術模塊檢測技術到需要保護機器的狀況。同時，網絡入侵檢測技術模塊得到的只是網絡報文，獲得的信息沒有主機入侵檢測技術模塊全面，所檢測技術的結果也沒有主機入侵檢測技術模塊準確。網絡入侵檢測技術模塊方式的優(yōu)點是方便，不增加受保護機器的負擔。在網段中只要安裝一臺網絡入侵檢測技術模塊即可。</p><p>　　2.1.2 主機入侵檢測技術模塊方式</p><p>　　另外一種獲取信息的方式是主

40、機入侵檢測技術模塊方式。它是在受保護的機器上安裝了主機入侵檢測技術模塊，專門收集受保護機器上的信息。其信息來源可以是系統(tǒng)日志和特定應用程序日志，也可以是捕獲特定的進程和系統(tǒng)調用等等。 </p><p>　　采用主機入侵檢測技術模塊方式的缺點是依賴特定的系統(tǒng)平臺。用戶必須針對不同的操作系統(tǒng)開發(fā)相應的模塊。由于一個網絡中有多種不同的操作系統(tǒng)，很難保證每個操作系統(tǒng)都有對應的主機入侵檢測技術模塊，而一個主機入侵檢測技術模

41、塊只能保護本機，所以在使用上有很大的局限性。此外，它要求在每個機器上安裝，如果裝機數量大時，對用戶來說，是一筆很大的投入。不過，這種模式不受網絡結構的限制，在使用中還能夠利用操作系統(tǒng)的資源，以更精確地判斷出入侵行為。 </p><p>　　在具體應用中，以上2種獲得信息的方式是互為補充的。 </p><p>　　2.1.3信息來源的四個方面</p><p>　　就信

42、息收集來說，內容包括系統(tǒng)、網絡、數據及用戶活動的狀態(tài)和行為。而且，需要在計算機網絡系統(tǒng)中的若干不同關鍵點（不同網段和不同主機）收集信息，這除了盡可能擴大檢測技術范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。 當然，入侵檢測技術很大程度上依賴于收集信息的可靠性和正確性，因此，很有必要只利用當前的優(yōu)秀軟件來報告這些信息。因為黑客經常替換軟件以搞混和移

43、走這些信息，例如替換被程序調用的子程序、庫和其它工具。黑客對系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來跟正常的一樣，而實際上不是。例如，unix系統(tǒng)的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同于指定文件的文件（黑客隱藏了初試文件并用另一版本代替）。這需要保證用來檢測技術網絡系統(tǒng)的軟件的完整性，特別是入侵檢測技術系統(tǒng)軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息。</p><p

44、>　　入侵檢測技術利用的信息一般來自以下四個方面：</p><p>　　1）系統(tǒng)和網絡日志文件</p><p>　　黑客經常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網絡日志文件信息是檢測技術入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網絡上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應

45、的應急響應程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。2）目錄和文件中的不期望的改變網絡環(huán)境中的文件系統(tǒng)包含很多軟件和數據文件，包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件

46、中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。3）程序執(zhí)行中的不期望行為網絡系統(tǒng)上</p><p>　　當收集到證據后，用戶如何判斷它是否就是入侵呢？一般來說，IDS有一個知識庫，知識庫記錄了特定的安全策略。

47、IDS獲得信息后，與知識庫中的安全策略進行比較，進而發(fā)現(xiàn)違反規(guī)定的安全策略的行為。</p><p>　　定義知識庫有很多種方式，最普遍的做法是檢測技術報文中是否含有攻擊特征。知識庫給出何種報文是攻擊的定義。這種方式的實現(xiàn)由簡單到復雜分了幾個層次，主要差別在于檢測技術的準確性和效率上。簡單的實現(xiàn)方法是把攻擊特征和報文的數據進行了字符串比較，發(fā)現(xiàn)匹配即報警。這種做法使準確性和工作效率大為降低。為此，開發(fā)人員還有很多工

48、作要做，如進行校驗和檢查，進行IP碎片重組或TCP重組，實現(xiàn)協(xié)議解碼等等。 </p><p>　　構建知識庫的多種方法只是手段，目的是準確定義入侵行為，這是IDS的核心，也是IDS和普通的網上行為管理軟件的差別所在。雖然它們都能監(jiān)視網絡行為，但是IDS增加了記錄攻擊特征的知識庫，所以比網上行為管理軟件提高了一個層次。而定義攻擊特征是一項專業(yè)性很強的工作，需要具有豐富安全背景的專家從眾多的攻擊行為中提煉出通用的攻擊

49、特征，攻擊特征的準確性直接決定了IDS檢測技術的準確性。 對上述四類收集到的有關系統(tǒng)、網絡、數據及用戶活動的狀態(tài)和行為等信息，一般通過三種技術手段進行分析：模式匹配，統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測技術，而完整性分析則用于事后分析。</p><p><b>　　2.2.1模式匹配</b></p><p>　　模式匹配就是將收集到的信息與已知的網

50、絡入侵和系統(tǒng)誤用模式數據庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規(guī)的數學表達式來表示安全狀態(tài)的變化）。一般來講，一種進攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權限）來表示。該方法的一大優(yōu)點是只需收集相關的數據集合，顯著減少系統(tǒng)負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測技術準確率和效率都相當高。但是，該方法存在的弱點是需要

51、不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測技術到從未出現(xiàn)過的黑客攻擊手段。2.2.2統(tǒng)計分析 統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。例如，統(tǒng)計分析可能標識一個不正常行為，因為它發(fā)現(xiàn)一個在晚八點至早六點不登錄的帳戶卻在凌晨

52、兩點試圖登錄。其優(yōu)點是可檢測技術到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，</p><p>　　3入侵檢測技術功能概要  ·監(jiān)督并分析用戶和系統(tǒng)的活動  ·檢查系統(tǒng)配置和漏洞  ·檢查關鍵系統(tǒng)和數據文件的完整性  ·識別代表已知攻擊的活動模式  

53、3;對反常行為模式的統(tǒng)計分析  ·對操作系統(tǒng)的校驗管理，判斷是否有破壞安全的用戶活動。  ·提高了系統(tǒng)的監(jiān)察能力  ·跟蹤用戶從進入到退出的所有活動或影響  ·識別并報告數據文件的改動  ·發(fā)現(xiàn)系統(tǒng)配置的錯誤，必要時予以更正  ·識別特定類型的攻擊

54、，并向相應人員報警，以作出防御反應  ·可使系統(tǒng)管理人員最新的版本升級添加到程序中  ·允許非專家人員從事系統(tǒng)安全工作  ·為信息安全策略的創(chuàng)建提供指導    入侵檢測技術作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。從網絡安全立體縱深、多層次

55、防御的角度出發(fā)，入侵檢測技術理應受到人們的高度重視，這從國外入侵檢測技術產品市場的蓬勃發(fā)展就可以看出。在國內，隨著上網的關鍵部門、關鍵業(yè)務越來越多，迫切需要具有自主版權的入侵檢測技術產品。但現(xiàn)狀是入侵檢測技術僅僅停留在研究和實驗樣品（缺乏升級和服務）</p><p>　　4 入侵檢測技術技術分析 　　入侵分析的任務就是在提取到的龐大的數據中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測技術規(guī)則進行比較

56、，從而發(fā)現(xiàn)入侵行為。一方面入侵檢測技術系統(tǒng)需要盡可能多地提取數據以獲得足夠的入侵證據，而另一方面由于入侵行為的千變萬化而導致判定入侵的規(guī)則越來越復雜，為了保證入侵檢測技術的效率和滿足實時性的要求，入侵分析必須在系統(tǒng)的性能和檢測技術能力之間進行權衡，合理地設計分析策略，并且可能要犧牲一部分檢測技術能力來保證系統(tǒng)可靠、穩(wěn)定地運行并具有較快的響應速度?！　》治霾呗允侨肭址治龅暮诵?，系統(tǒng)檢測技術能力很大程度上取決于分析策略。在實現(xiàn)上，分析策略

57、通常定義為一些完全獨立的檢測技術規(guī)則?；诰W絡的入侵檢測技術系統(tǒng)通常使用報文的模式匹配或模式匹配序列來定義規(guī)則，檢測技術時將監(jiān)聽到的報文與模式匹配序列進行比較，根據比較的結果來判斷是否有非正常的網絡行為。這樣以來，一個入侵行為能不能被檢測技術出來主要就看該入侵行為的過程或其關鍵特征能不能映射到基于網絡報文的匹配模式序列上去。有的入侵行為很容易映射，如ARP欺騙，但有的入侵行為是很難映射的，如從網絡上下載病毒。對于</p>

58、<p>　　4.1入侵分析按其檢測技術規(guī)則分類</p><p>　　4.1.1基于特征的檢測技術規(guī)則</p><p>　　這種分析規(guī)則認為入侵行為是可以用特征代碼來標識的。比如說，對于嘗試帳號的入侵，雖然合法用戶登錄和入侵者嘗試的操作過程是一樣的，但返回結果是不同的，入侵者返回的是嘗試失敗的報文，因此，只要提取嘗試失敗的報文中的關鍵字段或位組作為特征代碼，將它定義為檢測技術規(guī)則，

59、就可以用來檢測技術該類入侵行為。這樣，分析策略就由若干條檢測技術規(guī)則構成，每條檢測技術規(guī)則就是一個特征代碼，通過將數據與特征代碼比較的方式來發(fā)現(xiàn)入侵。</p><p>　　4.1.2基于統(tǒng)計的檢測技術規(guī)則</p><p>　　這種分析規(guī)則認為入侵行為應該符合統(tǒng)計規(guī)律。例如，系統(tǒng)可以認為一次密碼嘗試失敗并不算是入侵行為，因為的確可能是合法用戶輸入失誤，但是如果在一分鐘內有8次以上同樣的操作就

60、不可能完全是輸入失誤了，而可以認定是入侵行為。因此，組成分析策略的檢測技術規(guī)則就是表示行為頻度的閥值，通過檢測技術出行為并統(tǒng)計其數量和頻度就可以發(fā)現(xiàn)入侵?！　∵@兩種檢測技術規(guī)則各有其適用范圍，不同的入侵行為可能適應于不同的規(guī)則，但就系統(tǒng)實現(xiàn)而言，由于基于統(tǒng)計檢測技術規(guī)則的入侵分析需要保存更多的檢測技術狀態(tài)和上下關系而需要消耗更多的系統(tǒng)處理能力和資源，實現(xiàn)難度相對較大。</p><p>　　4.2 一些新的分析技

61、術</p><p>　　近幾年，為了改進入侵檢測技術的分析技術，許多研究人員從各個方向入手，發(fā)展了一些新的分析方法，對于提高入侵檢測技術系統(tǒng)的正確性、可適應性等起到了一定的推動作用。下面是幾個不同的方向。4.2.1 統(tǒng)計學方法　　 統(tǒng)計模型常用于對異常行為的檢測技術,在統(tǒng)計模型中常用的測量參數包括審計事件的數量、間隔時間、資源消耗情況等。目前提出了可用于入侵檢測技術的5種統(tǒng)計模型包括：　　(1) 操作模型:

62、該模型假設異?？赏ㄟ^測量結果與一些固定指標相比較得到,固定指標可以根據經驗值或一段時間內的統(tǒng)計平均得到,舉例來說,在短時間內的多次失敗的登錄很可能是口令嘗試攻擊。　　(2) 方差:計算參數的方差,設定其置信區(qū)間,當測量值超過置信區(qū)間的范圍時表明有可能是異常?！　?3) 多元模型:操作模型的擴展,通過同時分析多個參數實現(xiàn)檢測技術?！　?4) 馬爾柯夫過程模型:將每種類型的事件定義為系統(tǒng)狀態(tài),用狀態(tài)轉移矩陣來表示狀態(tài)的變化,若對應于發(fā)

63、生事件的狀態(tài)矩陣中轉移概率較小,則該事件可能是異常事件?！　?5) 時間序列分析:將事件計數與資源耗用根據時間排成序列,如果一個新事件在該時間發(fā)生的概率較低,則該事件</p><p>　　4.3.3 基于專家系統(tǒng)的入侵檢測技術方法　 　基于專家系統(tǒng)的入侵檢測技術方法與運用統(tǒng)計方法與神經網絡對入侵進行檢測技術的方法不同,用專家系統(tǒng)對入侵進行檢測技術,經常是針對有特征的入侵行為?！　?所謂的規(guī)則,即是知識。不同

64、的系統(tǒng)與設置具有不同的規(guī)則,且規(guī)則之間往往無通用性。專家系統(tǒng)的建立依賴于知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實時性。特征入侵的特征抽取與表達,是入侵檢測技術專家系統(tǒng)的關鍵。將有關入侵的知識轉化為if-then結構(也可以是復合結構),if部分為入侵特征,then部分是系統(tǒng)防范措施?！　?運用專家系統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性,建立一個完備的知識庫對于一個大型網絡系統(tǒng)往往是不可能的,且

65、如何根據審計記錄中的事件,提取狀態(tài)行為與語言環(huán)境也是較困難的。例如,ISS公司為了建立比較完備的專家系統(tǒng),一方面與地下組織建立良好關系,并成立由許多工作人員與專家組成的X-Force組織來進行這一工作?！　?由于專家系統(tǒng)的不可移植性與規(guī)則的不完備性?，F(xiàn)已不宜單獨用于入侵檢測技術,或單獨形成商品軟件。較適用的方法是將專家系統(tǒng)與采用軟</p><p>　　5 入侵檢測技術技術發(fā)展方向 </p><

66、;p>　　可以看到,在入侵檢測技術技術發(fā)展的同時,入侵技術也在更新,一些地下組織已經將如何繞過IDS或攻擊IDS系統(tǒng)作為研究重點。高速網絡,尤其是交換技術的發(fā)展以及通過加密信道的數據通信,使得通過共享網段偵聽的網絡數據采集方法顯得不足,而大量的通信量對數據分析也提出了新的要求。隨著信息系統(tǒng)對一個國家的社會生產與國民經濟的影響越來越重要,信息戰(zhàn)已逐步被各個國家重視,信息戰(zhàn)中的主要攻擊"武器"之一就是網絡的入侵技術

67、,信息戰(zhàn)的防御主要包括"保護"、"檢測技術"與"響應",入侵檢測技術則是其中"檢測技術"與"響應"環(huán)節(jié)不可缺少的部分。近年對入侵檢測技術技術有幾個主要發(fā)展方向:5.1分布式入侵檢測技術與通用入侵檢測技術架構　　傳統(tǒng)的IDS一般局限于單一的主機或網絡架構,對異構系統(tǒng)及大規(guī)模的網絡的監(jiān)測明顯不足。同時不同的IDS系統(tǒng)之間不能協(xié)同工作能力,

68、為解決這一問題,需要分布式入侵檢測技術技術與通用入侵檢測技術架構。CIDF以構建通用的IDS體系結構與通信系統(tǒng)為目標,GrIDS跟蹤與分析分布系統(tǒng)入侵,EMER-ALD實現(xiàn)在大規(guī)模的網絡與復雜環(huán)境中的入侵檢測技術。5.2應用層入侵檢測技術　　許多入侵的</p><p>　　6 建立數據分析模型 </p><p>　　在前面的文章介紹入侵檢測技術系統(tǒng)時，我們了解到在進

69、行入侵檢測技術的研究中，信息收集是第一步要做的工作，入侵檢測技術工作的順利很大程度上依賴于收集信息的可靠性和正確性。在做本課題研究時，我們研究和測試都是使用的KDD CUP99數據包。它是非常流行和廣泛使用的數據包，用于研究和測試不同的數據組合。此數據包已經經過預處理，使我們較容易進行分析。</p><p>　　6.1測試數據的結構</p><p>　　我們將從其測試數據集中抽出一條數據信

70、息進行分析。</p><p>　　0，tcp，http，RSTR，54540，7300，0，0，0，1，0，1，0，0，0，0，0，0，0，0，0，0，4，5，0，0，0.25，0.4，1，0，0.4，170，170，1，0，0.01，0，0，0，0.06，0.06，back.</p><p>　　此條數據記錄共有四十一個有效字段，下面我將逐一介紹。</p><p>

71、;　　第1-9字段為獨立TCP連接的基本特征</p><p>　　第10-22字段為連接中所包含的主要特征</p><p>　　第23-31字段為在兩秒內計算傳輸向量</p><p>　　第32-41個字段為目標主機的傳輸特征</p><p>　　6.2數據中出現(xiàn)的攻擊類型</p><p>　　我們根據上述數據的結構，

72、分析了KDD CUP99數據包的10%test測試集和10%training 訓練集。分離出數據中所含有的非正常數據和攻擊類型。</p><p>　　6.2.1攻擊（Attacks）</p><p>　　Attacks可以理解為試圖滲透系統(tǒng)或繞過系統(tǒng)的安全策略，以獲取信息、修改信息以及破壞目標網絡或系統(tǒng)功能的行為。我們平時所說的黑客。本指精通計算機及編程技術的高手，現(xiàn)在代指攻擊和非法竊取計

73、算機及網絡資源的電腦高手。我們現(xiàn)在所進行的入侵檢測技術技術就是反攻擊（Attacks）技術，它的核心問題是如何截獲所有的網絡信息。目前主要是通過兩種途徑來獲取信息，一種是通過網絡偵聽的途徑（如Sniffer，Vpacket等程序）來獲取所有的網絡信息（數據包信息，網絡流量信息、網絡狀態(tài)信息、網絡管理信息等），這既是黑客進行攻擊的必然途徑，也是進行反攻擊的必要途徑；另一種是通過對操作系統(tǒng)和應用程序的系統(tǒng)日志進行分析，來發(fā)現(xiàn)入侵行為和系統(tǒng)潛

74、在的安全漏洞。</p><p>　　黑客對網絡的攻擊方式是多種多樣的，一般來講，攻擊總是利用“系統(tǒng)配置的缺陷”，“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進行的。到目前為止，已經發(fā)現(xiàn)的攻擊方式超過2000種，其中對絕大部分黑客攻擊手段已經有相應的解決方法，這些攻擊大概可以劃分為以下六類：</p><p>　　1.拒絕服務攻擊：一般情況下，拒絕服務攻擊是通過使被攻擊對象（通常是工作站或

75、重要服務器）的系統(tǒng)關鍵資源過載，從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。</p><p>　　2.非授權訪問嘗試：是攻擊者對被保護文件進行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護訪問權限所做的嘗試。</p>

76、<p>　　3.預探測攻擊：在連續(xù)的非授權訪問嘗試過程中，攻擊者為了獲得網絡內部的信息及網絡周圍的信息，通常使用這種攻擊嘗試，典型示例包括SATAN掃描、端口掃描和IP半途掃描等。</p><p>　　4.可疑活動：是通常定義的“標準”網絡通信范疇之外的活動，也可以指網絡上不希望有的活動，如IP Unknown Protocol和Duplicate IP Ad

77、dress事件等。</p><p>　　5.協(xié)議解碼：協(xié)議解碼可用于以上任何一種非期望的方法中，網絡或安全管理員需要進行解碼工作，并獲得相應的結果，解碼后的協(xié)議信息可能表明期望的活動，如FTU User和Portmapper Proxy等解碼方式。</p><p>　　6.系統(tǒng)代理攻擊：這種攻擊通常是針對單個主機發(fā)起的，而并非整個網絡，通過RealSecure系統(tǒng)代理可

78、以對它們進行監(jiān)視。</p><p>　　6.2.2發(fā)現(xiàn)訓練集中的攻擊類型</p><p>　　我們發(fā)現(xiàn)訓練集中共有22種攻擊方式：back dos，buffer_overflow u2r，ftp_write r2l，guess_passwd r2l，imap r2l，ipsweep probe，land dos，loadmodule u2r，multihop r2l，neptune dos

79、，nmap probe，perl u2r，phf r2l，pod dos，portsweep probe，rootkit u2r，satan probe，smurf dos，spy r2l，teardrop dos，warezclient r2l，warezmaster r2l。</p><p>　　land dos基于登陸的拒絕服務攻擊。Land攻擊是一種拒絕服務攻擊。其攻擊特征是：用于Land攻擊的數據包中的

80、源地址和目標地址是相同的，因為當操作系統(tǒng)接收到這類數據包時，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環(huán)發(fā)送和接收該數據包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。檢測技術這種攻擊的方法是判斷網絡數據包的源地址和目標地址是否相同。預防這種攻擊的方法是：適當配置防火墻設備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為（一般是丟棄該數據包），并對這種攻擊進行審計（記錄事件發(fā)生的時間，源主機和目標主機的MA

81、C地址和IP地址）。</p><p>　　teardrop dos淚滴攻擊。Teardrop攻擊也是一種拒絕服務攻擊。其攻擊特征是：Teardrop是基于UDP的病態(tài)分片數據包的攻擊方法，其工作原理是向被攻擊者發(fā)送多個分片的IP包（IP分片數據包中包括該分片數據包屬于哪個數據包以及在數據包中的位置等信息），某些操作系統(tǒng)收到含有重疊偏移的偽造分片數據包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。檢測技術這種攻擊的方法是對接收到

82、的分片數據包進行分析，計算數據包的片偏移量（Offset）是否有誤。預防這種攻擊的方法是：添加系統(tǒng)補丁程序，丟棄收到的病態(tài)分片數據包并對這種攻擊進行審計。</p><p>　　smurf dos是一種簡單但有效的拒絕服務攻擊技術，它利用了ICMP（Internet控制信息協(xié)議）。ICMP在Internet上用于錯誤處理和傳遞控制信息。它的功能之一是與主機聯(lián)系，通過發(fā)送一個“回音請求”（echo request）

83、信息包看看主機是否“活著”。最普通的ping程序就使用了這個功能。Smurf 是用一個偷來的帳號安裝到一個計算機上的，然后用一個偽造的源地址連續(xù)ping一個或多個計算機網絡，這就導致所有計算機所響應的那個計算機并不是實際發(fā)送這個信息包的那個計算機。這個偽造的源地址，實際上就是攻擊的目標，它將被極大數量的響應信息量所淹沒。對這個偽造信息包做出響應的計算機網絡就成為攻擊的不知情的同謀。預防這種攻擊的方法是：為了防止黑客利用你的網絡攻擊他人，

84、關閉外部路由器或防火墻的廣播地址特性。為防止被攻擊，在防火墻上設置規(guī)則，丟棄掉ICMP包。</p><p>　　buffer_overflow u2r緩沖區(qū)溢出攻擊由于在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數，最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當發(fā)生緩沖區(qū)溢出時，返回指針指向惡意代碼，這樣系統(tǒng)

85、的控制權就會被奪取。預防這種攻擊的方法是：利用SafeLib、tripwire這樣的程序保護系統(tǒng)，或者瀏覽最新的安全公告不斷更新操作系統(tǒng)。</p><p>　　portsweep probe端口掃描探測器攻擊。通常使用一些軟件，向大范圍的主機連接一系列的TCP端口，掃描軟件報告它成功的建立了連接的主機所開的端口。預防這種攻擊的方法：許多防火墻能檢測技術到是否被掃描，并自動阻斷掃描企圖。</p>&l

86、t;p>　　ipsweep probe IP地址掃描探測器攻擊。運用ping這樣的程序探測目標地址，對此做出響應的表示其存在。預防這種攻擊的方法：在防火墻上過濾掉ICMP應答消息。</p><p>　　nmap probe 端口掃描探測器。Nmap是在UNIX環(huán)境下推薦的端口掃描儀。Nmap不止是端口掃描儀，也是安全工具箱中必不可少的工具。預防這種攻擊的方法：許多防火墻能檢測技術到是否被掃描，并自動阻斷掃

87、描企圖。</p><p>　　6.2.3其他主流的攻擊類型</p><p>　　由于研究的數據集有限。研究時間的局限，我們所看到的攻擊類型還是很有限的，還有幾種主流的攻擊類型，可以幫助我們即時預防，以增強入侵檢測技術系統(tǒng)的性能。</p><p>　　1 Ping of Death</p><p>　　根據TCP/IP的規(guī)范，一個包的長度最大為

88、65536字節(jié)。盡管一個包的長度不能超過65536字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大于65536字節(jié)的包時，就是受到了Ping of Death攻擊，該攻擊會造成主機的宕機。由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對TCP/IP棧的實現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對包的標題頭進行讀取之后，要根據該標題頭里包含的信息來為有效載荷生成緩沖區(qū)，當產生畸形的，聲稱自己的尺寸超過IC

89、MP上限的包也就是加載的尺寸超過64K上限時，就會出現(xiàn)內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當機。 預防這種攻擊的方法：現(xiàn)在所有的標準TCP/IP實現(xiàn)都已實現(xiàn)對付超大尺寸的包，并且大多數防火墻能夠自動過濾這些攻擊，包括：從windows98之后windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外，對防火墻進行配置，阻斷ICM

90、P以及任何未知協(xié)議，都講防止此類攻擊。</p><p>　　2 SYN flood</p><p>　　該攻擊以多個隨機的源主機地址向目的主機發(fā)送SYN包，而在收到目的主機的SYN ACK后并不回應，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務。一些TCP/IP棧的實現(xiàn)只能等待從有限數量的計算機發(fā)來

91、的ACK消息，因為他們只有有限的內存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直到緩沖區(qū)里的連接企圖超時。在一些創(chuàng)建連接不受限制的實現(xiàn)里，SYN洪水具有類似的影響。預防這種攻擊的方法：在防火墻上過濾來自同一主機的后續(xù)連接。 未來的SYN洪水令人擔憂，由于釋放洪水的并不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。</p><p>　　3 UDP洪水（UD

92、P flood）</p><p>　　概覽：各種各樣的假冒攻擊利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數據流，如果足夠多的數據流就會導致帶寬的服務攻擊。 預防這種攻擊的方法：關掉不必要的TCP/IP服務，或者對防火墻進行配置阻斷來

93、自Internet的請求這些服務的UDP請求。</p><p><b>　　4 CPU Hog</b></p><p>　　一種通過耗盡系統(tǒng)資源使運行NT的計算機癱瘓的拒絕服務攻擊，利用Windows NT排定當前運行程序的方式所進行的攻擊。</p><p>　　5 Win Nuke</p><p>　　是以拒絕目的主機

94、服務為目標的網絡層次的攻擊。攻擊者向受害主機的端口139，即netbios發(fā)送大量的數據。因為這些數據并不是目的主機所需要的，所以會導致目的主機的死機。</p><p>　　6 RPC Locator</p><p>　　攻擊者通過telnet連接到受害者機器的端口135上，發(fā)送數據，導致CPU資源完全耗盡。依照程序設置和是否有其他程序運行，這種攻擊可以使受害計算機運行緩慢或者停止響應。無

95、論哪種情況，要使計算機恢復正常運行速度必須重新啟動。</p><p>　　7 聚類算法在網絡入侵檢測技術中的作用</p><p>　　7.1模式識別的概念</p><p>　　模式識別方法（Pattern Recognition Method）是一種借助于計算機對信息進行處理、判決分類的數學統(tǒng)計方法。在日常生產實踐和社會研究中，往往所需處理的問題影響因素非常多且復

96、雜，給問題的研究和解決增加了困難。模式識別方法可使人們在影響因素眾多的情況下仍能對問題進行方便的處理，進而發(fā)現(xiàn)問題的解決途徑和事物發(fā)展的潛在規(guī)律性。在一個多因素問題中，結果即目標與各因素即指標之間難以找出直接的聯(lián)系，很難用理論的途徑去解決。在各指標之間一時也尋找不到明顯的關聯(lián)，所能得到的只是些模糊的認識、由長期的經驗所形成的感知和由測量所積累的數據。因此，若能用計算機技術對以往的經驗、觀察、數據進行總結，尋找目標與各指標之間的某種聯(lián)系或

97、目標的優(yōu)化區(qū)域、優(yōu)化方向，則對實際問題的解決是具有指導意義和應用價值的。模式識別方法正是基于此種思想，并獲得廣泛應用和取得較大成功的有效方法之一。 </p><p>　　應用模式識別方法的首要步驟是建立模式空間。所謂模式空間是指在考察一客觀現(xiàn)象時，影響目標的眾多指標構成的多維空間。每個指標代表一個模式參量。</p><p>　　假設一現(xiàn)象有幾個事件（樣本）組成，每一個事件都有P個特征參量（

98、X1， X2，…Xp），則它就構成P維模式空間，每一個事件的特征參量代表一個模式。模式識別就是對多維空間中各種模式的分布特點進行分析，對模式空間進行劃分，識別各種模式的聚類情況，從而作出判斷或決策。</p><p><b>　　7.2模式分類</b></p><p>　　模式分類的方法有很多種，比如貝葉斯決策論，最大似然估計和貝葉斯參數估計，分參數技術，線性判別函數法

99、，獨立于算法的機器學習，利用這些方法，我們一直假設在設計分類器時，訓練樣本集中每個樣本的類別歸屬是“被標記了” 的，這種利用已標記樣本集的方法稱為“有監(jiān)督”或“有教師”方法。</p><p>　　下面我們將介紹“無監(jiān)督”或“無教師”方法，用來處理未被標記的樣本集。</p><p>　　有許多理由使我們相信“無監(jiān)督”方法是非常有用的：</p><p>　　收集并標記大

100、型樣本集是個非常費時費力的工作，若能在一個較小的樣本空間上粗略地訓練一個分類器，隨后，允許它以自適應的方式處理大量的無監(jiān)督的樣本，我們就能節(jié)省大量的時間和精力。</p><p>　　存在很多應用，待分類模式的性質會隨著時間發(fā)生緩慢的變化。如果這種性質的變化能在無監(jiān)督的情況下捕捉到，分類器的性能就會大幅提升。</p><p>　　可以用無監(jiān)督的方法提取一些基本特征，這些特征對進一步分類會很有

101、用。</p><p>　　在任何一項探索性的工作中，無監(jiān)督的方法都可以向我們揭示觀測數據的一些內部結構和規(guī)律。</p><p>　　在無監(jiān)督情況下，我們可以嘗試以多種方式重新描述問題，其中之一是將問題陳述為對數據分組或聚類的處理。盡管得到的聚類算法沒有很明顯的理論性，但它們確實是模式識別研究中非常有用的一類技術。</p><p>　　下面我們詳細介紹幾種聚類算法并說

102、明它們對入侵檢測技術的貢獻。 </p><p>　　7.3基于異常的入侵檢測技術</p><p>　　基于異常的入侵檢測技術技術可以分

103、為有監(jiān)督的異常檢測技術和無監(jiān)督的異常檢測技術，有監(jiān)督的異常檢測技術通過觀察得到的正常數據建立正常數據模型，然后檢測技術那些偏離正常模型的異常數據，一個比較典型的使用這種技術的系統(tǒng)是美國喬治梅森大學的MADAM/ID系統(tǒng)。這種方法能夠檢測技術新的攻擊類型，因為這些新的攻擊數據也會偏離正常的數據模型。有監(jiān)督的異常檢測技術的一個缺陷是需要一組完全正常的數據來訓練獲得模型，如果訓練數據中包含攻擊數據的話，這些攻擊就很難檢測技術到，因為該方法把這

104、些攻擊數據認為是正常數據，另一方面，要獲取這些訓練數據也是很困難的。</p><p>　　目前入侵檢測技術技術研究的重點轉移到了無監(jiān)督的異常檢測技術上，這種技術用一組沒有標記的數據作為輸入，發(fā)現(xiàn)其中存在的攻擊數據，即試圖從一組不知道什么是正常，什么是異常的數據集中發(fā)現(xiàn)那些異常的數據。無監(jiān)督的異常檢測技術與有監(jiān)督的異常檢測技術相比，它不需要完全正常的訓練數據，只需要未加工的網絡原始數據。無監(jiān)督的異常檢測技術技術有一