基于网络的入侵检测范文

时间:2023-10-30 17:33:20

导语:如何才能写好一篇基于网络的入侵检测,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

基于网络的入侵检测

篇1

关键词:Ad Hoc网络;网络安全;入侵检测技术

中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)28-0084-02

Intrusion Detection based on Ad hoc Network

BI Yuan-yuan,CHEN Jin-ping

(Jinling Institute of Technology,Nanjing 211169,china)

Abstract: Ad Hoc network is a new kind of infrastructureless network.All nodes are moving constantly and the topology of the ad hoc network is ever changing.Because of its inherent vulnerability makes it highly susceptible to all kinds of attacks,Ad Hoc network security issues to the intrusion detection technology with More to the challenge.Intrusion detection technology and its classification is described in this paper.Summary and analysis of the existing Ad Hoc network suitable for the various advantages and disadvantages of intrusion detection technology for future research studies laid a theoretical foundation.

Key words: Ad hoc network;network security;intrusion detection

1 Ad Hoc网络的特点

Ad Hoc网络,又称自组网络,是一种没有基站或移动交换中心之类的固定基础设施的网络。网络中的节点是不断移动的,网络没有固定的拓扑结构,节点既作为移动终端,又充当路由器。在彼此通信范围之内的移动节点之间可以通过无线连接直接通信,对于那些距离很远的节点则依靠其他的节点作路由进行消息转发。从理论上说,移动Ad Hoc网络中的节点可以任意移动、也可以随机地加入或退出网络,因此移动Ad Hoc网络的拓扑结构、范围和成员是高度动态的。

2 入侵检测技术

2.1 Ad Hoc网络存在的安全威胁

由于Ad Hoc网络高度动态的拓扑结构,会带来一系列安全问题[1]:

1) 无法使用防火墙技术来保护网络。移动Ad Hoc 网络无法设置一条明确的防护线,袭击可能来自任何方向。因此要求每个节点都必须时刻准备预防和抵抗袭击。

2) 节点间的信任关系经常变化,因此要求Ad Hoc 网络的安全措施也应是动态的,不适用传统网络采用的静态配置方案。

3) 入侵检测困难。错误的路由信息可能是拓扑变化引起也可能是入侵者所为,另外一个大规模移动Ad Hoc 网络中跟踪一个特定的节点非常困难。

4) 移动Ad Hoc网络采用多跳的、无线信道,因此Ad Hoc网络更容易受到链路层的攻击,包括被动窃听和假冒、重复攻击和信息篡改、拒绝服务攻击等主动攻击,而且这种攻击是难以检测出来的。

5) 移动Ad Hoc网络通常采用分布式决策, 许多网络算法都是依靠邻近节点相互协作,节点在漫游时又缺乏物理保护。

6) 无线带宽有限、电池能量有限、计算能力有限,使得Ad Hoc 网络无法部署复杂的安全协议和加密算法。

在Ad Hoc网络的安全问题中,路由协议的安全尤为重要。常见的Ad Hoc网络的路由协议有表驱动路由协议,如DSDV;按需驱动路由协议,如DSR、AODV、TORA和混合路由协议,如LAR等,这些路由协议极少考虑其安全问题。而Ad Hoc网络的路由协议却是网络攻击的主要目标。对路由协议的攻击可分为两类:被动攻击和主动攻击。

2.1.1 被动攻击

对于被动攻击,攻击者并不去干扰正常的路由协议,而仅仅窃听路由数据。由于Ad Hoc网络使用的是无线信道,所以这种攻击比较隐蔽,一般无法检测到。攻击者通过分析窃听到的路由数据就可能得到有用的信息。比如,如果去往某个特定节点的路由请求比到其它节点的路由请求要频繁,那么攻击者就可以认为该特定节点比较重要。如果确实如此,那么对该节点的攻击就会威胁整个网络的安全和性能。另外,路由数据还会暴露节点的位置,或者说至少会暴露一定的网络拓扑信息。

2.1.2 主动攻击

主动攻击就是网络攻击者通过向网络发送数据包来达到攻击的目的。比如攻击者向网络广播一些特定的消息,使得别的节点以为经过该节点的路径最短或代价最小,这样受到攻击的节点都会将数据包发送给该节点,从而形成一个吸收数据的“黑洞”;攻击者也可以通过不停地发送虚假路由信息使得被攻击的节点的路由表溢出,从而使得正常的路由信息无法及时更新;攻击者还可以发送错误的路由信息和重放旧的路由信息,使网络出现分割和拥塞。

要建立安全的Ad Hoc网络, 采取主动的防卫方式来增强网络的安全性尤为重要。但现有基于固定网络入侵检测系统不能简单迁移到Ad Hoc 网络中, 所以必须重新设计一套新的入侵检测系统来满足移动Ad Hoc 网络特定的安全需要。

2.2 入侵检测技术的作用

入侵检测可定义为:“识别那些未经授权而使用计算机系统的非法用户和那些对系统有访问权限但滥用其特权的用户。”[2]

入侵检测技术是为保证系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机系统、网络系统或更广泛意义上的信息系统中违反安全策略行为的技术。它根据用户的历史行为,基于用户的当前操作,完成对攻击的决策并记录下攻击证据,为数据恢复与事故处理提供依据。

2.3 入侵检测技术的分类

根据检测方法的不同,入侵检测可以被分为以下2种类别:异常(anomaly)检测、误用(misuse)检测[3]。

异常检测是根据异常使用计算机、异常使用系统资源或者异常的网络流量来进行的入侵检测。首先通过提取审计记录(如网络流量和日志文件) 中的特征数据来建立模型,用检测到的行为模式与建立的模型相比较,如果两者之差超过一个给定的阈值,则被视为入侵。该算法的特点是可以检测到之前未发生过的攻击方式,但定义阀值比较困难,容易产生检测的误报和漏报。

误用检测是根据事先定义的入侵模式库,用这些已有的入侵模式和检测到的入侵模式匹配。该算法的特点是对已知攻击模式的检测准确率较高,对未知的攻击模式检测效果有限,而且入侵模式库需要不断更新。

3 Ad Hoc网络的入侵检测技术

3.1 Ad Hoc网络特性与入侵检测技术的结合

目前,传统有线网络的入侵检测技术的研究充分而广泛,但是这种对传统有线网络的IDS研究不能直接用于无线Ad Hoc 网络中。无线Ad Hoc网络缺乏固定的基础设施,物理层设施匮乏,无线Ad Hoc 网络这种本身的脆弱性使得其更容易受到攻击,给IDS的设计带来更多挑战和要求。

由于缺少一个类似于网关,路由器的中心控制节点,无线Ad Hoc的入侵检测技术受到各节点流量的制约。再则,无线Ad Hoc网络本身的分布式特性,要求入侵检测技术也采用一个合适的分布式算法,同时也要考虑到实际应用中的节点所能承载的最大流量。由于无线Ad Hoc 网络具有动态的拓扑结构,各节点可以灵活游走,这就使得节点容易被捕获,从而威胁到整个网络的安全。为了节省有限的带宽资源,无线Ad Hoc网络的各节点不可能像有限网络中的节点一样随时随地自由通信,因此,带宽和电池容量更加制约了移动网络的IDS设计。

3.2 Ad Hoc网络中合格IDS的要求

设计Ad Hoc网络的IDS时,应尽量满足以下条件来避免非法的入侵。1) IDS不能给网络引入新的漏洞,带来新的安全问题;2)IDS不能消耗系统过多的资源,影响正常的节点工作;3) IDS应该具有高度的可靠性,低误报率和漏报率;4) IDS应该采用分布式的结构;5) IDS应该不间断地、持续高效地进行检测;6) IDS应采用某种方式以标准化入侵检测信息交换格式,使得多种入侵检测方案可以互相合作。

3.3 现有Ad Hoc网络的IDS系统分析

目前国外已经有一些关于无线Ad Hoc网络的IDS技术的理论研究,其中基于分布式异常检测的系统模型有:Ad Hoc网络分布式IDS、基于AODV的入侵检测和响应模型、反入侵算法技巧集、看门狗及路由选择器;基于移动检测的系统模型有:静态安全数据库的IDS、基于移动技术的分布式IDS;基于规范的分布式入侵检测和基于时间自动机的入侵检测[4]。

国内的研究方案目前有基于簇的多层分布式入侵检测技术[5]、可存活性入侵检测系统[1]和基于规则匹配技术和统计分析技术的混合入侵检测算法[6]等。

1) 基于簇的多层分布式入侵检测技术

考虑到网络节点的处理能力、能量消耗、移动频率等因素,将Ad Hoc网络划分为若干簇,在一个簇内,各节点可与一跳内的任意节点进行直接通信,但是超出了一跳范围时,必须通过簇头节点才能进行通信。同时,不在一个簇内的两个节点,即使它们之间的距离只有一跳,也必须通过簇头节点才能通信。

基于簇的多层分布式入侵检测系统由通信接口模块、本地数据收集模块、移动平台模块、移动模块、分析引擎模块和响应模块组成。

通信接口模块采用通用标准定义,以便兼容其它的标准定义入侵检测系统,提供了协同工作的基础。本地数据收集模块负责从本地的不同数据源收集审计数据流。移动平台模块用于安全地传输移动模块,目前支持TCP/IP 协议。移动模块负责收集和处理来自其他簇的数据。全局分析引擎模块中的响应模块能够产生报警信息和对可疑链路的断链操作。

2) 可存活性入侵检测系统

可存活性是指当系统在出现故障、发生意外事件或遭受到攻击时, 系统具有及时准确地完成预定基本任务的能力。该体系结构按功能分为三层:驱动层、控制层和执行层。在驱动层,对目前入侵特征分析方法的基础上,增加了数据恢复引擎来提高系统的可存活性;在控制层,从工程技术的角度,对其进行了模块化设计,实现了该层的可移植性;在执行层,利用新的簇头选择算法,极大地减少系统能源消耗,并增强了系统的可存活性。

该方法提高了系统实现时的灵活性,降低了系统实现时的复杂程度。采用技术和自学习技术,提高了网络的可生存性。把监视和决策分散到几个动态地选出的节点上, 既降低了整个网络能源的消耗又提高了入侵检测系统的效率,还在一定程度上提高了网络的可存活性。

3) 混合入侵检测算法

由于异常检测算法具有较高的虚警率,误用检测算法检测领域有限,不能很好的应用于网络结构不断变化、面临多样攻击的Ad Hoc网络。混合入侵检测算以规则匹配为基础,统计分析网络在未受到攻击时的异常时间率来为系统设计阈值,避免虚警率和露报情况;在数据分析方面,如果一系列的异常事件都表现为同一种攻击特征,在单位时间内出现的概率高于阈值,则判定为一次攻击。该算法不但可以提高检测的准确性,而且对网络的性能没有明显影响,包括数据包的传递时间及系统的反应时间。

4 结束语

随着移动Ad Hoc网络的广泛应用,Ad Hoc网络的安全性问题已突显其重要性。基于Ad hoc网络动态拓扑结构、有限的无线传输带宽、移动节点的有限性(移动用户终端内存小、CPU 处理能力低、所带电源有限)和网络的分布式等特点,本文总结了国内外关于Ad Hoc网络入侵检测技术的研究成果,分析了各种检测技术的特性和优缺点,对今后研究Ad Hoc网络的入侵检测技术理论和实践有一定的参考意义。

参考文献:

[1] 安德智.Ad Hoc网络的入侵检测系统研究[J].PLC应用技术200例,2008:79-81.

[2] Hubaux J P,Buttyan L,Capkun S.The quest for security in mobile Ad Hoc networks [C].Proceedings of the ACM2 Symposium on Mobile Ad Hoc Networking and Computing.[S.l.]:[s.n.],2001.

[3] Kachirski O, Guha R.Intrusion Detection Using Mobile Agents in Wireless Ad Hoc Networks [C].IEEE,July 2002:10-12.

[4] Amitabh M, Ketan N,Animesh P,et al.Intrusion Detection in Wireless Ad Hoc Networks[J].IEEE Wireless Communications,2004,(02):48-60.

篇2

关键词:入侵检测;异常检测;时间序列分析

中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)05-11229-02

1 引言

随着科技进步和网络技术的飞速发展,信息产业及其应用得到了巨大的发展,政府、金融、教育等企事业单位以及个人用户等对网络的依赖程度越来越高。同时也由此带来了信息安全隐患,如何保障网络与信息系统的安全已经成为高度重视的问题。作为一种主动安全防护技术,入侵检测系统能够检测和识别来自外部或者内部的异常活动或者入侵行为(例如,对计算机和网络资源的恶意使用或者破坏、内部用户的未授权访问等),己经成为传统计算机安全技术(如防火墙)的有益补充,是网络安全领域研究的一个新热点。

入侵检测系统(Intrusion Detection System, IDS)是防火墙的合理补充。本文使用时间序列分析,设计和实现一个面向网络流量异常的检测系统,实时地监测和分析网络中的异常流量,并采取相应措施(如与防火墙联动)来避免或抑止网络扫描、Dos/DDoS攻击、网络蠕虫病毒、恶意下载等网络攻击对局域网安全的威胁,保障网络的正常运行,最大限度地发挥网络的作用。

2 常见的网络流量异常

网络流量异常会严重影响网络性能,造成网络拥塞,严重的甚至会网络中断,使网络设备利用率达到100%,无法响应进一步的指令。造成网络异常流量的原因可能有:网络扫描、Ddos攻击、网络蠕虫、恶意下载、用户对网络资源的不当使用以及物理链路损坏或者设备不能正常运转等。

这些安全攻击或威胁有一个共同点,即会引起网络流量的急剧变化,它对网络的影响主要体现在两个方面:

(1)占用带宽资源使网络拥塞,造成网络网络丢包或时延增大,严重时可导致网络不可用;

(2)占用网络设备系统资源(CPU、内存等),使网络不能正常的服务。

3 面向流量异常检测的数学建模

本文设计和实现面向流量异常的网络检测系统,是在基于网络行为学的研究结果。网络行为学认为网络的流量行为具有长期特征和短期特征。网络长期特征表现在网络行为具有一定的规律性和稳定性。能够对局域网的流量或者某些关键主机的流量情况进行实时监测,及早发现和识别入侵攻击的发生。

网络流量模型依据的数学理论基础的不同,大致可以分为4大类:马尔可夫类模型、自回归类模型、长程依赖类流量模型,漏桶类模型[1]。其中,自回归模型定义下一个业务流量变量作为前一个变量的一个明确的函数,即利用前一段时间变量的数据来预测该变量的下一个时间的值,在一个时间窗口中,由目前向过去延伸。多个研究结果表明,它可以有效地用于网络流量行为的实时预测和控制。因此,可以通过对统计的历史统计量数据进行分析,为网络流量建立合理的统计模型,并作为检测系统的异常检测引擎。

首先在局域网的总出口处连续的采集进出网络的流量数据,观测时间为4周(每周7个工作日),建立网络的正常行为模式。从采集到的数据序列,可以看出,网络的带宽利用率(或者总流量)和单播/非单播包比率具有明显的周期性特征,但它是一个不平稳的序列,可以采用时间序列分析的方法为它们建立统计模型[2]。

对带宽利用率和单播/非单播包比率这两个统计量的时间序列模型可以按如下步骤建立,并用于异常流量的检测。

(1)原始数据处理

首先,采集4周28个工作日的数据作为基础数据。数据采集系统在工作中有时会引入一些虚假数据,因此,在整个数据分析过程中,最好先进行异点的检测和剔除,以便确保这些值是体现正常网络行为。根据格拉布斯准则,如果x表示x1,x2,x3,x4的在一周内的某一时刻的平均值(4周数据的平均),v表示它们的标准差,即,如果xi满足|xi|>kv,则xi为异常值,应剔除不用。 x1,x2,x3,x4中剩余的求平均。其中k是格拉布斯准则系数,与置信区间为95%相对应的k=1.46。这样,得到了4周历史数据的10080个时刻的平均值。再采用方差分析的方法的方法对序列进行平稳化,这样就可以把网络流量的局部看成统计上近似的平稳。然后将这个局部作为一个滑动时间窗口,窗口的大小设为N。用这N个局部流量数据建立ARMA(n,n-1)模型,来判断第N+1个数据是否异常(在实时异常检测中,只需要将时间窗口不断往前依次滑动[3]。

(2)模型的确定和模型参数的估计

在建模策略上,系统建模法采用ARMA(n,n-1)模型逼近序列{xt},即

为使建模过程计算尽量简单,降低阶数,我们用直线拟合样本数据的趋势,然后提取趋势项。对提取趋势项后的数据进行建模研究。

文中建模时的初始猜测值采用逆函数方法确定。它的基本原理是:逆函数系数本身是ARMA模型无穷展开式的自回归参数,所以对于一个ARMA,可以用无穷阶AR模型去逼近。对于ARMA(2n,2n-1),需要拟和一个AR(2n-1)模型。这一步可以通过求解Yule-Walker方程方法容易地估出AR的系数Φi。把这些AR模型的系数Φi作为ARMA(n,n-1)模型的逆函数系数Ii。逆函数系数的公式如下

将式(2)代入式(1)可以得到算子恒等式,再利用相应的系数相等的方法,得到ARMA(n,n-1)的滑动平均系数Φi,最后利用已知的Φi和Ii求出作为AR模型系数Φi的初始估计值。这样可以得到ARMA(n,n-1)模型的初始参数Φi和θi。该方法的整个过程都仅涉及到线性方程组的求解,因而计算简便易于实现,是对高阶ARMA模型进行参数初估计的有效方法。这种参数初估计方法不但具有在计算机上容易实现的特点,而且与当前常用的参数初估计方法相比,在参数估计精度上有了较大的提高。

由于最终的ARMA模型方程对参数是非线性的,文章用非线性最小二乘法来逐步逼近的方式来实现残差平方和的极小化。这个方法从诸参数的初始值开始,利用下式递归计算残差并求得平方和

一旦在参数空间中达到平方和较小的那一点时,则以此点为初始值开始新一次的迭代,迭代一直持续到达到规定的允许误差为止。文中利用全局收敛的Levenberg-Marquardt修正的高斯-牛顿法算法来迭代计算残差。一旦达到误差要求,就可以得到模型的参数和阶数。这个方法还可利用局部线性的假设,借助线性最小二乘理论求得各估计参数的近似置信区间。

(3)模型适用性检验

文中所用的检验判据是F检验。 ,式中A0是不受限模型的平方和(较小),A1是受限模型的平方和(较大),F(s,N-r)是具有s和N-r个自由度的F-分布。其中残差平方和的公式为:RSS=∑a 。用F检验来验证在阶数增加的过程中残差的平方和是否显著,从而确定在那个显著性水平上,模型是否合适。同时F判据还可以作为拟合ARMA(2n,2n-1)系列时的停止判据。一旦决定停止在ARMA(2n,2n-1)模型上时,还可以进一步用F-判据判断是否自回归阶次为奇数。在决定了最终的模型后,也可以用F-判据去判断是否还有其他理想的模型形式是合适的。

在使用F-判据的同时,还必须使用残差的自相关检验x2来作为进一步的实用性检验。x2分布是表征相互独立的诸标准正态变量平方和的一个分布, 。使用残差的自相关检验来判断残差的相互独立性,从而确定残差是否是白噪声序列,进一步确定模型是否合理。

3 入侵检测系统的功能模块设计

根据系统的功能需求,可以将流量异常检测原型系统分成5个基本模块:流量采集模块、流量统计模块、流量异常检测模块,报警和响应模块以及人机交互界面。系统的体系结构如图1所示。

系统的工作原理是:在局域网的总出口(或被监控的核心主机附近的采集点)采集流量数据;对每个数据包进行分类并统计相关流量信息(如协议和端口使用量等),将这些统计值保存到特定的存储结构:并采用异常检测模块对这些流量数据进行分析;对于识别出的异常流量分析特征,并通过修改防火墙的规则或者受害主机隔离等方式来抑止和阻断这些网络攻击的进一步发展。最后,安全管理人员可以通过人机交互模块对查看系统的工作状态并对系统进行配置和管理[4]。

图1 系统的体系结构

图1中的5个模块的功能分别如下:

(1)流量采集模块。局域网的总出口或者网络中被监控的核心服务器附近设置流量采集点,采集所有流经该采集点的流量数据;

(2)流量统计模块。对所有捕获的网络数据包进行拆分,统计各种协议的包的协议类型、源/目标地址、端口、大小、标识位等信息。然后,该模块以分钟为时间粒度,统计网络带宽利用率、单播/非单播包比率、应用层协议包数量、SYN(SYN+ACK)包比率等统计量进行存储,等待进一步的处理;

(3)异常检测模块。该模块通过分析网络流量的几个统计量来描述其正常的行为模式或者状态。其中网络带宽利用率、单播/非单播包比率是与时间相关的统计量,采用时间序列分析的方法为它们建立ARMA(2,1)模型,并用于检测这些统计量序列中的异常。通过综合这些统计量的异常情况,识别出网络流量中的异常情况,并产生安全事件消息;

(4)报警和响应模块。如果检测到异常流量,首先需要报警,使系统和系统管理员可以根据情况选择不同的处理方法。然后,系统根据报警级别和安全响应策略采取两种更为主动的响应方式,即防火墙联动和主机隔离;

(5)人机交互界面。采用基于Web的用户管理,通过该交互界面可以实现信息查看、阐值设定以及处理报警等功能。系统应该对于检测出的异常主机进行标记,标记异常的类型、统计量、阂值指标、消息以及异常发生的时间等情况,给系统管理员报告一个异常信息。

4 系统实现与测试

原型系统在Windows 2000环境采用VC++6.0开发,采用SQL Sever 2000作为安全事件数据库、安全日志、安全响应策略库等的后台数据库。

实验结果表明,本文设计和实现的网络流量异常检测原型系统对于网络扫描、Dos/Ddos、蠕虫等类型的网络攻击和入侵具有明显的检测效果。但是,相对于纷繁变化的网络攻击手段,限于软硬件环境和统计分析技术的缺陷,系统的异常检测能力还不是很完善,存在着一些不足之处这些都还有待改进。因此,本文的主要目的是希望为同类型的入侵检测系统或者网络异常检测系统的设计和开发提供一种思路和模式,也为建立局域网的立体纵深、多层次防御系统进行一些有益的尝试。

参考文献:

[1]宋献涛.等.入侵检测系统的分类学研究[J].计算机工程与应用,2002,38(8):132-13.

[2]孙钦东,张德运,高鹏.并行入侵检测系统的负载均衡算法[J].小型微型计算机,2004,25(12): 2215-2217.

[3]李信满,赵大哲,赵宏.基于应用的高速网络入侵检测系统研究[J].通信学报,2002, 23(9):1-7.

篇3

关键词 linux;网络入侵;防御;系统设计

中图分类号TP393 文献标识码A 文章编号 1674-6708(2011)34-0178-02

0 引言

随着Linux操作系统与网络技术的迅猛发展,基于Linux操作系统构建的小型网络安全形势也日趋严峻和复杂化,各种计算机安全事件的数量正在不断增长。面对小型网络的安全防御问题,如何构建安全的网络入侵检测防御系统,成为目前计算机网络面临的首要问题。由于网络入侵者采用的攻击技术与攻击手段不断地变化,功能更为强大,更具针对性和欺骗性,构建高效的入侵检测防御系统是保护计算机网络安全的直接解决途径。目前,在Linux环境下的主流入侵防御技术是构建特征入侵的防御系统。特征入侵,就是网络或系统中存在违反安全策略的行为和攻击行为。入侵检测防御系统,就是采用主动的入侵检测技术检测系统中的这些违反安全策略行为和攻击行为的系统。作为一种重要的安全防护工具,入侵检测防御系统的作用已经超过了防火墙的概念。本文通过分析常见的网络攻击方式,对Linux操作系统下对网络入侵检测防御系统的设计原理和设计实现进行了探讨。

1 入侵检测防御系统

入侵检测防御系统是为了检测黑客通过病毒等手段有意攻击计算机网络和计算机系统而构建的检测防御系统。入侵检测防御系统应具有捕获符合指定条件的网络数据包、数据预处理、入侵分析以及告警、简单防御攻击行为、诱骗攻击者、获取对方攻击意图、获取攻击者的简单资料等信息的能力。

2 常见的网络攻击方式

如果想要避免Linux网络遭受黑客的攻击,就必须对黑客的攻击方法、攻击原理以及攻击过程有深入详细的了解。这样才能设计出有效的主动检测防御系统。在Linux网络系统中,常被攻击的方式主要有Synflood攻击、Ping Flood攻击、Smurf攻击、Teardrop攻击、Land攻击、ICMP扫描/TCP扫描/UDP扫描等等。

2.1 Synflood攻击

Synflood攻击属于DoS攻击的一种,是最基本的入侵攻击手段之一,也是最难对付的入侵攻击手段。具体表现方式是在计算机进行网络通信时,服务器接到用户端的SYN包后,回应用户端一个SYN/ACK包,然后等待用户端的ACK回应包进行确认时,用户端不发送ACK包而导致服务器一直等待,致使服务器一直等待对应用户端回应而无法响应其他机器的连接请求时,就可认定为Synflood攻击。

2.2 Ping Flood攻击

Ping Flood攻击的原理是由于操作系统等对传输文件包的长度有限制,如ICMP包的64 KB规定,当发送者产生长度超过64Kb的文件包时,就会导致内存错误、TCP/IP堆栈崩溃的情况。目前,大多数系统对Ping Flood攻击都有一定的抵抗能力。

2.3 Smurf攻击

Smurf攻击的原理是将某数据包的回复地址设置成被攻击网络的地址,当网络中某台机器使用被攻击的网络地址发送一个被设置的数据包时,就会收到多个相应的数据包,Smurf攻击就是通过数据包阻塞被害网络的方式进行攻击,导致该网络的所有机器都对此数据包的请求都做出答复,最终导致网络的阻塞,甚至崩溃。

2.4 Teardrop攻击

Teardrop攻击方式是采用病态的 UDP数据包进行攻击。当操作系统收到病态的UDP数据包后,产生内存错误而导致系统崩溃。在识别Teardrop攻击时,一般是通过检测UDP数据包的完整性和IP包I号是否为242来确认的。

2.5 Land攻击

Land攻击中,一个特别打造的SYN包的源地址和目标地址都被设置成某个服务器的地址。当服务器接收自己发送的SYN/ACK消息时,就会创建一个空的连接,每个连接都将保留到超时,从而出现系统的崩溃现象。在检测时,对同一端口的大量TCP/SYN包,如果源地址和目标地址相同,就可认定为是Land攻击。

3 入侵检测防御系统的设计原理

随着计算机网络技术的发展,依靠主机自我审计信息的检测方式已经难以适应快速发展的网络安全需求,而基于规则匹配的入侵检测技术日益发展成熟。由于规则库的完善,相应的误报率也得到了有效控制。因此,可采用扩展性好、可移植佳、开源的Snort作为系统检测模块,以二级链表方式组织规则库,将协议类型、源地址/端口分类合并形成规则头链表,再对可选规则分类,将同一协议类型、源/目的地址/端口的规则放在同一头链下,形成二链表。基于网络的入侵检测防御系统整体设计结构如下图所示。

3.1 网络数据包捕获模块

网络数据包捕获模块的主要功能就是从以太网中捕获数据包,这个工作可以在操作系统的底层调用来实现,也可以使用相应的高层调用来实现。为提高效率,可以采用Lniux流行的BPF捕获机制实现。此机制性能优越,不需底层调用。

3.2 网络数据分析模块

网络数据分析模块是本系统中一个十分重要的模块,它的设计结果关系到能否有效主动防御入侵,保证计算机网络安全的最终效果。只有能够完全的分析数据包类型,才能在此基础上进一步分析是否有入侵行为的发生。为保证分析结果的准确性,本系统设置了各种入侵行为特征库,通过预设模块调用。通过与捕获数据的对比分析,可以大大提高数据的分析速度与准确性,减少错报、漏报的几率。

3.3 紧急处理、保护/响应、诱骗模块

在对网络数据包与特征库对比分析后,对捕获到的可疑行为进行紧急响应,积极调用与之相关的保护模块、诱骗系统。由于网络攻击的复杂性,不可能做到针对每一种攻击方式都设置相应处理措施,只能将攻击方式大致分类处理,并针对每一种分类,设计出相应的保护措施与诱骗措施,以期达到主动防御的效果。因此,本模块的设计也是整个检测防御系统的核心,稍有漏洞,就功亏一篑。在进行本模块的设计时,一定要做好相关文献资料的查阅工作,做到最大保护系统的安全,一旦保护模块失败,还可以通过诱骗系统暂时保护系统的安全。

3.4 报警系统与系统日志、操作界面模块

由于网络技术的不断发展,攻击者的手段也在快速更新,仅仅依靠设计好的检测防御模块还不能彻底保证计算机网络的安全,还需要设置相应的报警机制,及时的提醒网络管理员,对可疑的攻击行为或防御失败的攻击行为尽快处理,以避免出现不必要损失。对于系统日志模块,是记录系统检测防护网络安全性能的实时记录,也是系统管理员寻找防御失败攻击行为解决措施的直接参考依据。做好系统日志模块的记录模块设计,可以为特征库的更新做好数据基础,为建立新的检测防御体系提供技术支持。

3.5 存储模块

由于网络数据包很多,而且是稍纵即逝,如何建立动态的数据存储、将有用信息经检测分析系统的过滤后,及时存储起来,是本模块的主要设计要求。可参考的数据库为MYSQL,由于本系统采取模块化的设计思想,易于单独考虑数据模块的设计方法,以方便动态挂载/卸载,以及系统管理员的查看。

4 结论

Linux操作系统是一个免费的操作系统,具有高稳定性、高可靠性、高安全性、源文件开放的特点;在近年中,颇受受到了广大计算机爱好者的青睐,各种基于Linux操作系统的专业应用程序也得到了开发应用。Linux作为一个多用户的操作系统,具有多任务处理、支持共享库、支持Windows操作系统、虚拟内存、支持GUN软件、内置网络配置、非专有资源代码等优点。随着Linux应用的不断深入,Linux的用户也越来越多,构建Linux环境下的入侵检测防御系统具有重要的现实意义。

参考文献

[1][美]Strassberg Keith E.防火墙技术大全[M].李昂,等译.北京:机械工业出版社,2003.

[2]潘瑜.Linux网络系统安全的分析和探讨[J].计算机时代,2003(8):7-9.

篇4

【关键词】人工鱼群算法 特征选择 混沌机制 入侵检测 反馈机制

1 引言

伴随着网络技术的发展,网络攻击也日趋呈现出方式多样、手法隐蔽等特点,传统的防火墙属于被动防御技术,已经不能满足网络用户的安全需求,上世纪80年代,anderson等人就已提出网络入侵检测的概念。网络入侵检测分为误用检测和异常检测两种类型,由于异常检测能够通过学习来发现新的攻击方式,属于主动防御技术,因此成为当前主要的研究方向。

网络入侵检测需要对入侵的数据包进行特征提取和分析。由于特征存在冗余性,因此需要在大量的特征中提取出最优的特征,才能降低特征的维数,提高检测效率。文献中研究了当前主流的特征选择算法,包括:顺序选择法、粗糙集方法、遗传算法、粒子群算法、蚁群算法和支持向量机(SVM)等。支持向量机因其泛化能力强,成为当前主要的网络检测算法,但其存在检测性能与参数相关度过高的弊端。

为改进该算法的弊端,本文提出一种改进的异常入侵检测方法,该方法采用wrapper特征选择模型,利用改进的人工鱼群算法进行入侵特征选择,改进的人工鱼群算法在原有AFA(Artificial Fish Swarm algorithm)算法的基础上,引入混沌搜索,利用其遍历性、随机性、规律性等特点,提高了算法的全局收敛性。之后采用SVM分类器对选择的特征性能进行分类、判断,最后再对选择的特征进行更新,以找到最优特征组合。最后通过KDD99数据集对算法的性能进行验证,证明了本文算法的可靠性和准确性。

2 异常入侵检测模型

本文设计的入侵检测模型结构框架如图1所示。首先采用wrapper特征选择模型,利用改进的人工鱼群算法(IAFA)进行入侵检测特征选择,之后,采用SVM分类器对选择的特征性能进行判断,因为特征来自训练集和测试集两个方面,因此还要先进行分类,然后再对选择的特征进行更新,以找到最优特征组合。

3 改进人工鱼群算法及特征选择

3.1 改进人工鱼群算法

算法借用混沌搜索的思想,混沌变量选用Tent映射:

(1)

根据上述映射公式,依照如下步骤将人工鱼i在可行域中产生混沌点列:

步骤1:依照公式(2)将人工鱼状态Xi的所有维度 Xik (k=1,…,n),映射到[0,1]这个区间内

(2)

其中ak表示第k维变量Xik的最小值,bk表示Xik的最大值。

步骤2:将Tent映射公式(1)进行M次迭代后,产生一个序列。

步骤3:依照公式(3)将上一步骤中产生的混沌序列的状态值映射回原空间

(3)

步骤4:通过上述混沌序列,得到人工鱼Xi经过Tent映射后产生的混沌点列:

(4)

步骤5:对人工鱼状态的优劣进行再次评估。

步骤6:如果状态比状态Xi优,那么就以作为混沌局部搜索的结果,否则令s=s+1,然后重新回到步骤2执行。

算法设计了一个公告牌,公告牌中记录了当前人工鱼群的最优状态,人工鱼按照某一概率向此状态移动,为了能保证改进后的算法能够有更高的精度和执行效率,我们设计让人工鱼按照Pfb的概率执行随机行为,按概率1-Pfb执行反馈行为,并且让Pfb=θPfb,其中 θ(0, 1)。

3.2 入侵特征选择

入侵特征选择按照如下步骤完成:

步骤1:收集网络中的状态信息,完成学习样本的组成及预处理。

步骤2:提取网络中的状态特征。

步骤3:人工鱼参数初始化,具体包括:最大步长Max_Step、视野半径Visaul、反馈概率Pfb、初始迭代次数passed_iterate、最大迭代次数max_iterate等;

步骤4:初始化完成后,随机生成n条人工鱼。

步骤5:计算得到所有人工鱼的适应度,并与当前公告牌中的值进行比较,若当前的值优于公告牌的值,则将当前的值记入公告牌。

步骤6:对人工鱼执行觅食、追尾等行为,然后评价其结果,若执行某行为以后,人工鱼的状态落后于当前状态,则该人工鱼不动,反之则人工鱼向前移动一步。

步骤7:根据式(1)~(3),执行混沌搜索,得到当前解域范围内的最好的人工鱼状态,并将最好人工鱼状态记入公告牌;

步骤8:根据式(5)更新反馈概率;

步骤9:如果达到了精度要求或者是到达了最大迭代次数,则算法结束,同时输出公告牌中的人工鱼状态,否则转到步骤(5)执行。

4 支持向量机的网络入侵分类器

SVM的思想是在特征空间中建构最优分割超平面,使得学习器得到全局最优化,最优超平面用下式描述:

(8)

式中,w表示超平面法向量,超平面偏移向量用b描述。

若以上是一个线性问题,则处理起来比较简单,但如果是非线性分类问题,这要转化为二次优化问题进行处理,即:

(9)

相应约束条件为:

(10)

式中,,c表示惩罚参数。

引入对偶问题来解决这个超平面优化问题,加快分类速度,得到SVM决策函数如下:

(11)

式中,sign为符号函数,αi为Lagrange乘子。

由于RBF只需确定一个参数,即核函数宽度参数σ,有利于参数优化,因此,研究选择RBF核函数构造支持向量机。RBF核函数定义如下:

(12)

5 仿真实验

5.1 数据来源

在P4双核3.0 GMHZ CPU、2G RAM,操作系统为Unix,VC语音环境下进行仿真实验。数据来自KDD CUP 99 异常检测数据集,数据集中一个连接记录共有41个特征,其中包含有9个离散属性和32个连续属性。为了使检测结果具有可比性,采用遗传算法、粒子群优化算法与改进的人工鱼群算法进行对比仿真实验,模型性能评价指标采用平均检测时间和平均检测速度来衡量。

5.2 检测正确率对比

遗传算法、粒子群优化算法、改进人工鱼群算法在各个数据集上运行10次,计算它们结果的平均网络入侵检测正确率(%),结果如图2所示。

对比结果表明,采用改进人工鱼群算法对特征进行选择,可以获得比遗传算法、粒子群优化算法更优的特征子集,更加准确刻画了网络状态变化信息,有效消除了冗余和无用特征。

5.3 入侵检测时间比较

几种算法的平均检测检测时间(秒)如表1所示。从表中可知,IAFA-SVM的检测速度最快,说明采用IAFA进行网络特征选择减少了特征数和计算时间,加快算法收敛速度,使算法更加满足网络入侵检测的实时性要求。

6 结束语

为了解决异常入侵检测特征选择问题,本文提出一种改进人工鱼群算法的网络异常检测方法。仿真结果表明,相对于遗传算法、粒子群优化算法等传统选择方法,改进人工鱼群算法可以获得更优特征子集,提高了异常检测正确率和检测速度,在网络安全应用中有着广泛的应用前景。

参考文献

[1]王国伟,贾宗璞.基于防火墙的网络入侵检测研究与设计[J].计算机数字与工程,2005(5).

[2]邓九英,杜启亮,毛宗源等.基于粗糙集与支持向量机的分类算法[J].华南理工大学学报:自然科学版,2008.

[3]詹勇,声锡藏,王勇军.攻击特征自动提取技术综述[J].通信学报,2009,30(2):96-105.

[4]牟永敏,李美贵,粱琦.入侵检测系统中模式匹配算法的研究[J].电子学报,2006,34(12A):2488-2490.

[5]陈志贤,黄皓.应用扩张矩阵理论的攻击特征提取[J].计算机科学,2010,37(4):49-51.

[6]刘明珍.粒子群优化支持向量机的入侵检测算法[J].计算机工程与应用,2012,48(35)71.

[7]田静,王力军,洪涛.基于混沌搜索的蚁群优化算法[J].信息技术,2012(11).

作者简介

梁磊(1979-),男,山东省临清人。计算机软件与理论专业硕士。现为青岛酒店管理职业技术学院信息工程技术学院讲师。主要研究方向为计算机网络安全。

篇5

【关键词】网络安全;入侵检测;IPv6;入侵检测系统框架

Abstract:In this paper,the current status of network security is discussed,followed by analysis of the trend of Internet transition from IPv4 to IPv6 version and its characteristics and defect.Based on comparing the characteristics of network intrusion detection technology for traditional IPv4 and IPv6,this paper cites and analyzes the methods transition technology from IPv4 to IPv6.Finally,an appropriate framework of intrusion detection system for current IPv4/IPv6 environment is proposed.

Key words:network security;intrusion detection;IPv6;Intrusion Detection System Framework

1.引言

随着互联网的快速发展,网络上的恶意攻击行为日益增多,形形的病毒、木马、蠕虫层出不穷,对网络信息安全构成了巨大威胁.为了应对越来越严重的网络安全问题,对网络流进行实时分析和检测就显得极为必要。入侵检测系统[1](Intrusion Detection System,IDS)作为一种积极主动、实时动态的网络安全防范技术,越来越受到人们的关注。它通过收集、分析计算机网络或系统中若干关键点数据以判断是否有违反安全策略的行为和被攻击的迹象,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,从而提供对内外攻击和误操作的实时保护。随着下一代网络中IPV6安全机制的引进,网络层的安全性得到增强。同时,IPV6安全机制的应用对传统入侵检测系统也提出了新的要求和挑战。

2.IPv4向IPv6过渡中的安全问题分析

在IPv6网络逐渐替换IPv4网络的过渡过程中,随着过渡技术的应用及网络结构变得越来越复杂,在网络安全方面产生了越来越多的不容忽视的问题[2]。这些过渡技术存在的或带来的安全问题主要有:

采用翻译过渡技术,有两个问题需要关注。其一是网络地址翻译、协议翻译网关联合应用层网关对数据报进行翻译处理时,会破坏数据报传输中端到端的安全性;其二是网络层安全技术不匹配的问题。网络层安全协议的主要作用是对在网络上正常传送的数据进行了最大程度的保密和防止更改,而网络层协议-地址翻译技术的目的是对网络中传送的数据报进行协议和地址的变换,这就带来了网络安全协议技术与网络层协议-地址翻译技术不匹配的问题。

采用隧道过渡技术,由于隧道技术的设计中没有网络安全方面的考虑,以及自身的技术特点,给网络安全带来了众多的问题。在一个已安装设置各种安全设备的网络中,当加入隧道技术后,这些安全设备的功能会受到隧道的影响。当有数据报经过隧道的时候,隧道不会对数据报进行安全方面的检查,恶意的数据报往往可借用隧道来避开网络中的安全检查。

采用双栈过渡技术,就是在一台主机上同时运行两种版本的网络层协议。这两种网络层协议在技术上存在不相关性,他们之间的协调配合的不完善往往会造成一些安全方面的缺陷,给攻击者带来机会。

相较于前两种过渡技术,双栈过渡技术在安全技术和可行性方面都相对来说有优势,所带来的安全隐患也相对较小。

3.IPv4、IPv6网络中入侵检测技术特点

传统的第一代和第二代IDS通常采用模式匹配技术,这种技术是对所有网络数据包与攻击数据库的攻击特征进行匹配,依次来判定数据包中是否有攻击存在。目前,入侵检测系统采用的典型模式匹配算法有Brute Force、Boyer-Moore、Aho-Corasick、Set-wiseBoyer-Moor-Horspool和Aho-Corasick-Boyer-Moore等算法。

IPv6入侵检测技术,可定义为对攻击者使用IPv6网络协议对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程。由于IPv6协议和IPv4不兼容,所以在IPv6下入侵检测可能面临很多新的问题。

首先,IPv6相对IPv4在数据报头上有了很大的变动,所以原来的入侵检测产品在IPv6网络上不能直接使用。IPv4下,IP头部和TCP头部是紧接在一起的,而且其长度是固定的,所以入侵检测系统很容易找到头部,并使用相应的策略。然而在IPv6下TCP/UDP头的位置有了根本的变化,它们不再是紧接在一起的,通常中间还隔有其它的扩展头部,如路由选项头部,AH/ESP头部等。防火墙必须读懂整个数据包才能进行过滤,这对入侵检测的处理性能会有很大的影响。针对IPv6的Socket套接口函数已经在RFC2133(Basic Socket InterFace Extends for IPv6)中定义,以前的应用程序都必须参考该新的API做相应的改动。

其次,在IPv6如果使用传输模式进行端到端的加密,则IDS无法工作,因为IDS无法理解接收到的加密数据包。解决方案之一是让IDS能对这些数据包进行解密,但这样势必会带来新的安全问题。同时IPv6的可靠性是否如最初所设想的那样,也有待时间的考验。

3.1 IPv4/IPv6双栈入侵检测系统的实现

实现IPv4/IPv6双栈入侵检测系统,关键要使现有的协议解码模块具有IPv6协议解码功能。协议解码分析的类型,从第二层来说,主要分析的是以太网。从第三层来说,有IPv4的包类型,也有IPv6的包类型,还有隧道方式,如IPv6 IN IPv4 TUNNEL和IPv4 IN IPv6 TUNNEL等类型的数据包。

协议解码,就是按照协议的数据结构和属性对数据包进行分析,对号入座。图1是具备IPv6协议解码功能的协议解码流程图。

由图1可知,首先我们从Ethemet上抓包,然后将包解出,在解包的过程中把相应的包信息填充完整,通过规则检测、输出等模块中的分析,判断出该包是IPv4包还是IPv6包,如类型为0x0800就是IPv4数据包,0x86DD就是IPv6数据包,然后将以太网的源和目的地址存放起来留作后用,继续分析下一层(第三层)的数据结构,在这里我们主要分析IPv4和IPv6的包头结构。

3.2 IPv6环境中的NIDS模块设计

整个NIDS系统从逻辑上分为数据采集、数据分析和结果输出三部分。符合CIDF的规范。系统由数据包捕获模块、协议解析模块、规则处理模块、分析检测模块、存储模块和响应模块6个模块组成,体系结构框图如图2所示。

3.3 IPv6环境中的NIDS模块功能

(1)数据包捕获模块

该模块是网络人侵检测系统的基本组成部分,是实现整个入侵检测系统的基础。数据包捕获模块的主要功能就是从以太网上捕获数据包。对于不同的操作系统,捕获数据包的实现方式也不同。

(2)协议解析模块

协议解析模块的主要功能是对捕获到的数据包进行详细的协议分析,对数据报进行逐层剥离.分析各个协议的报头和数据部分,检测出每个数据包的类型和特征,在此基础上进一步的分析是否有入侵行为发生。

(3)规则处理模块

规则处理模块的功能就是把事先定义好的入侵规则库从文件中读取出来,进行解析,然后读入内存中相应的变量之中。规则库是一个入侵检测系统的知识库,它的丰富与否决定了入侵检测系统的性能,入侵检测库越丰富,系统检测到的入侵行为就会越多。

(4)分析检测模块

该模块主要的功能是根据入侵规则库进行协议分析,看是否有入侵行为的发生。入侵检测功能就是由此模块实现的。入侵检测模块将协议解析模块的分析结果和规则库进行匹配,如果两者匹配成功,就说明有入侵行为发生。

(5)存储模块

此模块的主要功能是存储网络信息。由于网络数据包很多,所以必须及时地把它们存储起来,供事后分析IP协议的分布情况,以及某个IP的活动情况等等。这个模块中主要考虑的是存贮哪些信息以及存储的手段。

(6)响应模块

当系统检测到入侵时,通过响应模块来处理相关的事情。响应模块可采取多种措施对检测引擎检测到的入侵行为进行响应,如传送消息给防火墙、截断外部入侵行为等,也可以只是向管理员进行简单的报警,由管理员根据入侵情况再采取必要的防御措施。

4.结论

本文从IPv4向IPv6逐步过渡的角度入手,结合入侵检测系统的发展趋势,通过安全层面分析目前流行的三种过渡技术,从而得出基于IPv4/IPv6网络环境中采用双栈入侵检测系统有较强的优势和可行性,并对比了传统网络和IPv6环境下的入侵检测技术特点,提出了一个较为合理的IPv4/IPv6双栈入侵检测系统,以及IPv6环境中的NIDS的模块框架以供参考。

参考文献

[1]Rebdcca?Gurley?Bace.入侵检测[M].北京:人民邮电出版社,2001:1-26.

[2]Silvia Hagen.Ipv6精髓.技桥[M].北京:清华大学出版社,2004:56-80.

[3]肖天庆,任翔.新一代国际互联网协议IPv6与IPv4的比较研究[J].红河学院学报.,2010,8(2).

[4]蒲宝卿.高校校园网1Pv4向1Pv6过渡策略的分析与研究[J].甘肃高师学报,2010,15(2).

篇6

关键词:计算机安全;网络安全;入侵检测

中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)32-1096-03

The Research and The Realization of The Network Invasion Detection System

ZHAO Zhuan-zheng, TIAN Wang-lan

(Hunan City University, Yiyang 413000, China)

Abstrac: With the Internet popularizing and rapidly development, the network brought to us in convenient, also brought about safe problem for us, which is the network's invasion. This paper first introduced the classification and network intrusion, for the actual network conditions, then analyzed and compared the typical intrusion detection technology and the way of the invasion. it put out the intrusion detection system design ideabased on the network in real-time monitoring. At last it has designed to realization partly in the framework of system, which has basic intrusion detection capacity in practice.

Key words: computer security; network security; intrusion detection

1 前言

1.1 入侵检测技术概述

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。具体来说,入侵检测就是对网络系统的运行状态进行监视,检测发现各种攻击企图、攻击行为和攻击或攻击结果,以保证系统资源的机密性、完整性和可用性。

入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全策略的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。

1.2 入侵检测的功能及原理

一个入侵检测系统,至少应该能够完成以下五个功能:监控、分析用户和系统的活动;检查系统配置和漏洞;评估系统关键资源和数据文件的完整性;发现入侵企图或异常现象;记录、报警和主动响应。因此,入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、入侵识别和响应),提高了信息安全基础结构的完整性。它能够从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。

所以,入侵检测系统的原理就是通过收集网络中的有关信息和数据,对其进行分析发现隐藏在其中的攻击者的足迹,并获取攻击证据和制止攻击者的行为,最后进行数据恢复,从而达到保护用户网络资源的目的。

1.3 入侵检测系统的分类

根据信息源的不同,入侵检测系统分为基于主机型和基于网络型两大类。

基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律),入侵检测系统就会采取相应措施。

基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)通常放置在比较重要的网段内,不停地监视网段中的各种数据包。对每一个数据包进行特征分析。如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接,不同入侵检测系统在实现时采用的响应方式也可能不同,但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依据等。目前,大部分入侵检测系统都是基于网络的。

1.4 入侵检测的过程

入侵检测技术主要是审计记录模式匹配和信息分析,因此它的具体任务是:1)监视、分析用户及系统活动;2)审计系统结构及缺陷;3)鉴别进攻活动模式、识别违反安全策略的行为并及时报警;4)异常行为模式的统计分析;5)评估重要系统和数据文件的完整性;6)进行操作系统的实际跟踪管理;

从总体来说,入侵检测的工作流程可以大致分为以下几个步骤:1)从系统的不同环节收集信息;2)分析该信息,试图寻找入侵活动的特征;3)自动对检测到的行为做出响应;4)纪录并报告检测过程结果。

2 网络入侵检测系统的总体设计

在计算机网络中很多位置都特别易于受到电子攻击的影响,设计一个基于网络的入侵检测系统进行网络数据包的实时监视,通过使用攻击特征数据库,入侵检测系统对穿过网络的每一个数据包都进行检查,当发现入侵行为时立即告警。该入侵检测系统由多个探测器和一个控制器平台组成,探测器执行网络数据包的实时监视,控制器提供管理软件,用以配置、记录并由探测器产生警报。

本系统设计体系结构包括:入侵检测体系和入侵检测配置文件。

篇7

关键词: 多网络; 差异化入侵特征; WinPcap函数库; 检测平台

中图分类号: TN711?34; TP393 文献标识码: A 文章编号: 1004?373X(2017)10?0149?04

Abstract: Since the traditional network intrusion feature detection method has low detection accuracy, a distributed intrusion detection system based on Libnids was designed and implemented. The system segments the multi?network environment into different logical areas. Each logical area contains different analysis nodes, and each node is composed of the data detection unit, analysis and detection unit, and management control unit. The WinPcap function library is used to acquire the data package, according to which, the WM pattern matching algorithm and protocol analysis matching detection model are used to detect the differentiated intrusion feature. The experimental results show that the system has high detection rate, low false alarm rate and low missing report rate.

Keywords: multi?network; differentiation intrusion feature; WinPcap function library; detection platform

0 引 言

随着互联网技术的快速发展,网络攻击问题也逐渐增加,而当前多网络技术也成为快速发展的趋势,多网络技术广泛应用于不同的领域。因此,为了确保网络信息系统的安全,寻求有效的多网络入侵特征检测方法,具有重要的应用意义[1?3]。传统的网络入侵特征检测方法,仅分析了不同网络层间的点对点数据检测过程,未分析多网络环境下各应用层间的差异性较大产生的分类属性差异模糊的问题,导致网络入侵特征检测准确性降低[4?6]。

1 基于Libnids分布式入侵检测系统的研究

1.1 系统总体逻辑结构设计

本文采用具有_放性的可用于网络入侵检测开发的专业编程接口Libnids(Library Network Intrusion Detection System),在Windows 操作系统平台下设计了分布式网络入侵检测平台。通过网络安全开发包Libnids提供的编程接口,可设计出结构化强的分布式网络入侵检测系统,实现多网络环境下的差异化入侵特征检测,其逻辑结构如图1所示。

将总体、入侵检测系统分割成三个不同的逻辑子网,各子网中设置不同的分析节点,各节点由数据探测部件、分析检测部件和管理控制部件构成。

1.2 分析节点的逻辑结构设计

设计的入侵检测系统是融合状态检测、入侵分析和检测等功能的,适用于多网络环境的差异化入侵特征的检测系统。采用“分而自治”的思想将总体多网络环境分割成不同区域,将各区域看成不同的分析节点,各节点中有一个管理控制部件、多个数据探测部件和多个分析检测部件。数据探测部件采集网络数据包,过滤其中的无价值数据,采集有价值数据,同时反馈给相应的分析检测部件。

分析检测部件对数据探测部件反馈的数据进行模式匹配以及协议研究,明确是否存在差异化入侵特征将结果反馈给管理控制部件进行存储。管理控制部件同其他分析节点进行信息的沟通,采用图像界面显示出数据包信息和差异化入侵特征信息。各分析结点的逻辑结构如图2所示。

2 基于Libnids分布式入侵检测系统的功能实现

2.1 数据探测部件利用WinPcap实现数据包的采集

数据探测部件是总体系统的基础,其由数据包采集模块和过滤器模块构成,采集多网络环境中的差异化网络数据包,并删除其中的无价值数据,将有价值数据反馈给所属的分析检测部件。设计的数据探测部件在Windows平台下利用WinPcap函数库实现了数据包的监测和采集,并进行初步过滤,为网络差异化入侵特征的检测提供基础。

多网络环境能够分割成不同的区域,各区域也就是一个局域网,这些局域网间采用广播信道通信途径进行通信,该通信方法确保多网络环境汇总传递的数据包,可被相同区域中的全部站点接收,并且不同站点的网卡能够实现数据包的发送以及接收。在Windows平台下网络数据包采集程序的结构如图3所示。

采集到的海量数据包中含有较多的不必检测的数据包。为了提高入侵检测分析模块的分析效率,需要采用过滤器模块过滤出制定种类的数据包。过滤器模块调用WinPcap的函数,对HTTP,TCP,UDP,KMP,ARP以及IP数据包进行过滤,完成网络数据包的采集,具体的流程如图4所示。

2.2 分析检测部件的设计和实现

2.2.1 入侵检测分析模块的设计

入侵检测分析模块是系统的关键部分,系统通过协议分析技术和模式匹配技术,对网络数据包进行分析,进而判断多网络环境中是否存在差异化入侵特征,入侵检测分析模块的基本结构如图5所示。

2.2.2 模式匹配算法的选择

WM算法包括预操作和检索两个过程,预操作过程对模式串L进行操作后,形成SHIFT表、HASH表和PREFIX表。其中SHIFT为无价值字符表,可保存文本中全部块字符的移动距离;HASH可保存同匹配窗口中末位块字符散列值一致的模式串;PREFIX表包括同匹配窗口中第一块字符散列值一致的模式串。检索过程采用上述三个表对匹配串T进行遍历分析,完成差异化入侵特征的检测,具体的实现流程如图6所示。

2.2.3 分析匹配检测基本流程与实现

完成数据包的解析后,需要对网络协议进行分析和匹配检测,具体的流程如图7所示。

通过上述描述的协议分析匹配检测方法,对获取的网络数据包进行检测时,可通过Libnids关联的函数对不同的网络入侵特征进行检测,具体的流程见图8。

2.3 通信模块的设计与实现

连接申请后塑造连接和远程通信接口,完成信息交互。通信模块进行通信的工作流程如图9所示。通过SSL协议完成多网络环境下的信息传递,可确保不同分析节点的通信模块间通信的安全性。

SSL为安全协议,其具备信息加密、数字签到等功能,可依据TCP协议中提供的稳定端到端安全服务,确保客户/服务器应用间通信的安全性。系统要求程序间的通信,在SSL协议进行完数据加密、会话密销的控制后,再进行通信,并且对程序通信传输的数据进行加密,进而提升总体通信的安全性。

3 实验分析

实验采用不同的攻击工具进行相应数量的攻击模拟,分析本文系统的入侵检测系统在多网络环境下的入侵检测效果,并设置在40 Mb/s网络流量下的入侵检测虚警率应小于2%,漏报率小于1.8%。本文系统的测试结果,如表1所示。

分析表1可以看出,本文设计的入侵检测系统的检测率高于95%,并且虚警率以及漏报率都符合设置的规范要求,说明本文系统能够实现多网络环境下的差异化入侵特征的准确检测。实验对基于关联规则的入侵检测系统,在相同的网络环境下,通过相应的攻击工具进行同数量的攻击模拟的检测结果如表2所示。

对比分析表1和表2 可以看出,本文系统的入侵检测率高于关联规则方法,并且本文系统的虚警率和漏报率均低于关联规则方法。因此说明,本文系统的入侵检测性能较高,具有较高的应用价值。

4 结 论

本文设计并实现了基于Libnids分布式入侵检测系统,在该系统实现方面,利用WinPcap函数库完成数据包的采集,依据采集的数据包,通过WM模式匹配算法和协议分析匹配检测模型,进行差异化入侵特征的检测。实验结果表明,该系统具有较高的检测率、较低的虚警率和漏报率。

表2 基于关联规则的入侵检测系统测结果

参考文献

[1] 王辉,陈泓予,刘淑芬.基于改进朴素贝叶斯算法的入侵检测系统[J].计算机科学,2014,41(4):111?115.

[2] 程建,张明清,刘小虎,等.基于人工免疫的分布式入侵检测模型[J].计算机应用,2014,34(1):86?89.

[3] 张双双,王延年.节点分布不均匀的无线传感网络低功耗算法[J].西安工程大学学报,2015,29(6):720?723.

[4] 谭爱平,陈浩,吴伯桥.基于SVM的网络入侵检测集成学习算法[J].计算机科学,2014,41(2):197?200.

篇8

【关键词】网络安全 入侵检测

一、现在网络安全隐患

随着计算机技术的发展在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性,然而另一个更为有效的解决途径就是入侵检测。在入侵检测之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策。因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系

统策略以加强系统的安全性。

二、入侵检测的定义

入侵检测是从系统(网络)的关键点采集信息并分析信息,察看系统(网络)中是否有违法安全策略的行为,保证系统(网络)的安全性,完整性和可用性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。

三、入侵检测的系统功能构成

一个入侵检测系统的功能结构如图一所示,它至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。

入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹,将授权的正常访问行为和非授权的不正常访问行为区分开,分析出入侵行为并对入侵者进行定位。

入侵响应功能在分析出入侵行为后被触发,根据入侵行为产生响应。

由于单个入侵检测系统的检测能力和检测范围的限制,入侵检测系统一般采用分布监视集中管理的结构,多个检测单元运行于网络中的各个网段或系统上,通过远程管理功能在一台管理站点上实现统一的管理和监控。

四、入侵检测系统分类

入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。

1.基于网络的入侵检测系统

基于网络的入侵检测系统通过网络监视来实现数据提取。在internet中,局域网普遍采用ieee 802.3协议。该协议定义主机进行数据传输时采用子网广播的方式,任何一台主机发送的数据包,都会在所经过的子网中进行广播,也就是说,任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。在正常设置下,主机的网卡对每一个到达的数据包进行过滤,只将目的地址是本机的或广播地址的数据包放入接收缓冲区,而将其他数据包丢弃,因此,正常情况下网络上的主机表现为只关心与本机有关的数据包,但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略,使网卡能够接收经过本网段的所有数据包,无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式,目前绝大部分网卡都提供这种设置,因此,在需要的时候,对网卡进行合理的设置就能获得经过本网段的所有通信信息,从而实现网络监视的功能。在其他网络环境下,虽然可能不采用广播的方式传送报文,但目前很多路由设备或交换机都提供数据报文监视功能。

2.基于网络的入侵检测系统

基于主机的入侵检测系统将检测模块驻留在被保护系统上,通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。

基于主机的入侵检测系统可以有若干种实现方法:

检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。

基于主机日志的安全审计,通过分析主机日志来发现入侵行为。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。目前很多是基于主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问题是:首先它在一定程度上依赖于系统的可靠性,它要求系统本身应该具备基本的安全功能并具有合理的设置,然后才能提取入侵信息;即使进行了正确的设置,对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去,从而不被发觉;并且主机的日志能够提供的信息有限,有的入侵手段和途径不会在日志中有所反映,日志系统对有的入侵行为不能做出正确的响应,例如利用网络协议栈的漏洞进行的攻击,通过ping命令发送大数据包,造成系统协议栈溢出而死机,或是利用arp欺骗来伪装成其他主机进行通信,这些手段都不会被高层的日志记录下来。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。

五、入侵检测技术的发展方向

近年对入侵检测技术有几个主要发展方向:

(1)分布式入侵检测与通用入侵检测架构

传统的ids一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的ids系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构。

(2)应用层入侵检测

许多入侵的语义只有在应用层才能理解,而目前的ids仅能检测如web之类的通用协议,而不能处理如lotus notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。

(3)智能的入侵检测

入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的ids加以进一步的研究以解决其自学习与自适应能力。

入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。

参考文献:

篇9

关键词:入侵检测系统;异常检测模式;误用检测模式;混合检测模式

中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 04-0000-02

Intrusion Detection Model Research Based on Mixed Detection Mode

Zhong Rui

(Modern Education Technology Center,Gannan Normal University,Ganzhou341000,China)

Abstract:This paper analyses the frequently-used intrusion detection technology function in details.The author has proposed intrusion detection model based on mixed mode,which combines the abnormal detection mode with misuse detection mode.The integrated use of these two modes makes up for disadvantages of both modes.The intrusion detection model based on mixed mode could extremely improve network attack detection rate of intrusion detection system,in the meanwhile it reduces the network attack false positive rate and has strong practicability.

Keywords:Intrusion Detection System;Abnormal detection mode;Misuse detection mode;Mixed detection mode

一、引言

随着互联网技术的飞速发展,各种互联网的应用层出不穷,给人们的生活带来了极大的便利,由于互联网的开放性和互联性,在给人们带来便利的同时也留下了诸多不安全的隐患,各种病毒和木马在互联网上肆意传播,网络安全问题成为互联网上最为棘手的技术难题。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)的数据,境内被木马控制的主机IP地址数目约为51万个;境内被僵尸网络控制的主机IP地址数目约为1.3万个,环比增长9%;境内被篡改政府网站数量为73个,环比增长7%;新增信息安全漏洞94个,环比增长236%,其中高危漏洞12个。由此可见目前网络安全态势不容乐观,因此入侵检测技术已成为当前解决网络安全问题的重要技术手段,具有重要的研究意义。

二、入侵检测技术分类

目前入侵检测技术的方法有按照检测模式分类,能够分为两类:基于误用的入侵检测系统与基于异常的入侵检测系统,这两种类别的入侵检测系统在攻击检测率、实时性、误报率等方面都具有不同的优势。

(一)基于误用的入侵检测技术

使用数学建模方法对目前现有网络攻击所具有的特征进行抽象,建立网络攻击的特征模型,在进行入侵检测时将当前网络数据包特征与网络攻击特征库中的各种网络攻击进行对比,若与网络攻击特征库中的某一网络攻击特征匹配,则进行报警过滤处理。基于误用的入侵检测技术是对异常网络行为特征进行建模,具有误报率低的特点。由于网络攻击的多样性导致网络攻击特征库不完全,无法检测出未知网络攻击。为了提高基于误用的入侵检测系统的检测率需要不断对其特征库进行更新,以应对网络中不断出现的各种网络攻击。

(二)基于异常的入侵检测技术

当网络处于正常时分析网络数据包所具有的特征,构建正常网络行为特征的数学模型,进行入侵检测时将当前网络数据包特征与正常特征库进行对比检测,若与正常行为特征库的偏离度超出所设定阈值时,则认定当前网络状态存在异常。基于异常的入侵检测技术是对正常的网络行为特征进行建模,因此特征库的体积很小且不用进行更新。基于异常的入侵检测技术具有很高的检测率,同时其误报率也很高。

三、基于混合检测模式的入侵检测模型分析

通过对目前现有入侵检测技术的分析得知,误用检测技术具有高检测率、高漏报率的特点,异常检测技术具有高检测率、高误报率的特点,因此在构建入侵检测系统时,若只使用其中一种检测技术来构建入侵检测系统,都无法实现入侵检测系统的高效性和实时性。为了改善这两种检测模式的不足,通过结合使用两种检测模式,将能弥补两者所存在的不足,在这里本文提出了基于混合模式的入侵检测模型。

基于混合模式的入侵检测模型的系统结构图,如图1所示:

该检测模型的具体工作流程为:

第一步:在进行网络攻击检测前,需要建立正常网络特征库与网络攻击特征库,以上两个特征库将被基于异常的入侵检测技术模块与基于误用入侵检测技术模块调用;

第二步:实施网络攻击检测时,从互联网中将网络数据包采集下来,送入基于异常的入侵检测技术模块,检测当前网络数据包中是否存在异常情况,若当前网络数据包的特征与正常网络特征库的偏离度超出所设定的阈值时,该模块报告异常同时将存在异常的网络数据包送入基于误用的入侵检测技术模块中,以进一步确定导致网络异常的原因;若基于异常的网络入侵检测技术模块报告未发现异常,则放行数据包;

第三步:对出现异常的网络数据包进行误用检测,基于误用的入侵检测技术模块将对出现异常的网络数据包实施拆包检测,将存在异常的网络数据包特征与网络攻击特征库中的特征进行比对,若存在匹配的网络攻击则报告当前网络攻击同时对该网络攻击数据包进行过滤。

第四步:若异常网络数据包的特征与网络攻击特征库中的特征没有匹配项,则需要通过手工分析的方式对当前出现异常的网络数据包进行拆包分析,以确定导致当前网络异常是否由网络攻击导致。如果是网络攻击,需要在网络攻击特征库添加该类型的网络攻击,如果不是网络攻击,放行该类型的网络数据包;

(一)基于误用的入侵检测技术模块实现方法

目前常用于构建基于误用入侵检测系统技术模块的方法有模式匹配、状态转换分析等方法。

模式匹配是最为常用的检测技术,该技术是通过获取网络攻击相关的特征信息,并建立相应的网络攻击特征规则库,其检测策略与防火墙相同,都是将当前网络数据信息与攻击特征规则库中的规则进行对比,若匹配则判定为网络攻击行为,因此这种检测方法的检测准确率很高。使用模式匹配技术进行网络攻击检测时最关键的工作是要不断的更新网络攻击特征规则库,以应付网络中不断出现的新的攻击手段。

状态转移分析方法是将网络攻击行为看成由一系列的状态转移构成,由攻击刚开始时的准备阶段一直到网络攻击完成的介绍阶段,使用数学模型对整个攻击阶段状态的变化进行描述,建立网络攻击的状态转换模型,在进行网络攻击检测时使用该模型对网络攻击行为判定,由于该模型是对状态转移进行建模的,因此基于状态转换分析的入侵检测方法能够在网络攻击刚开始时就能将网络攻击检测出来,具有较好的实时性。

(二)基于异常的入侵检测技术模块实现方法

建立基于异常网络检测模型时常用的方法有模式预测、数据挖掘等方法。模式预测方法是通过对事件发生的顺序以及事件之间的相互关系进行描述,并依据这些描述建立起相应的特征库,在进行网络攻击检测时,能够检测出在进行网络攻击前一些特有网络攻击先兆,目前大部分网络攻击在实施攻击前都需要对目标主机进行踩点和探测,基于模式预测的网络攻击检测方法能够将攻击前踩点和探测检测出,识别出网络攻击的企图,因此该技术具有较好的预测性,实时性好。

数据挖掘技术是通过使用数据挖掘算法对大量系统日志信息、审计日志以及网络数据包等进行分析和信息提出,发掘出其中有用的网络安全的数据信息,建立正常网络行为特征模型,在进行攻击检测时将当前网络数据包特征信息与正常网络行为特征进行对比,若偏离度大于设定的阈值则存在网络攻击行为。

四、总结

本文所构建的基于混合检测模式的入侵检测模型,综合使用了基于异常的入侵检测技术与基于误用的入侵检测技术,两种检测技术的混合使用弥补了各检测技术中所存在的不足,混合检测模式的使用能够极大的提高入侵检测系统的检测率,降低网络攻击检测系统的误报率,对提升入侵检测系统的性能起到了极大的促进作用。

参考文献:

[1]ZHUGE JW,HAN XH,ZHOU YL.Research and development of botnets[J].Journal of Software,2008,19,3

[2]国家互联网应急中心.网络安全信息与动态周报[EB/OL].[2010-9-7]..cn/UserFiles/File/201033weekly.pdf

篇10

    关键词:入侵检测技术;生物免疫系统;人工免疫系统。

    引言

    网络技术的不断发展,极大的加快了社会信息化的步伐。网络技术在给人们带来巨大的便利之时,也给人类带来了巨大的挑战。网络的开放性为信息的窃取、盗用、非法修改及各种扰乱破坏提供了可乘之机。因此,计算机安全变得越来越重要,如何对计算机系统和网络中的各种非法行为进行主动防御和有效抑制,成为当今计算机安全亟待解决的重要问题。

    1、[番茄花园3] 传统的网络安全采取的防护措施及简要分析

    传统的网络安全防护,是以防火墙和杀毒软件为主体,再加上身份认证机制等构建的防护体系,这种方法对防止系统被非法入侵有一定的效果。

    但是,某些入侵者会设法寻找防火墙背后可能敞开的通道对其进行攻击,另一方面防火墙在防止网络内部袭击等方面收效甚微,对于企业内部心怀不满而又技术高超的员工来说,防火墙形同虚设。而且,由于功能有限,防火墙通常不能提供有效的入侵检测。

    因此,要构建一个合格的网络安全保护体系,光靠防火墙是远远不够的,还需要有能够对网络进行实时监控、实时报警,并且能够有效识别攻击手段的网络安全工具。

    入侵检测系统(IDS,Intrusion Detection System)应运而生。

    2、基于人工免疫的入侵检测技术手段

    2.1入侵检测技术的系统机制

    所谓入侵检测,就是指检测对计算机或网络进行非授权使用或入侵的过程。入侵检测技术主要是研究使用什么样的方法来检测入侵行为。

    入侵检测是近年来网络安全研究的热点,随着计算机和网络技术的不断发展,系统遭受的入侵和攻击也越来越多。网络与信息安全问题显得越来越突出,研究入侵检测及防御技术很有必要。

    入侵检测系统可通过对计算机网络或计算机系统中若干关键点的信息收集并对其进行分析,发现网络或系统中违反安全策略的行为和攻击迹象,产生报警,从而有效防护网络的安全。

    入侵检测系统作为防火墙之后的有益补充,有着不可替代的作用,在网络安全防护中的地位也越来越突出。作为一个全新的、快速发展的领域,有关入侵检测技术的研究已经成为网络安全中极为重要的一个课题,已经引起了国内外许多专家学者的广泛重视,对入侵检测技术的研究具有十分重要的意义。[1]

    2.2 生物免疫系统原理

    生物免疫系统将所有的细胞分为两类:自身的细胞(Self细胞)和非自身的细胞(Non-Self细胞)。Self细胞指自身健康,没有被感染、破坏的细胞;Non-Self 细胞是指病毒、细菌、寄生虫等有害物质和自身被感染、破坏的细胞

    免疫系统只对Non-Self细胞具有免疫作用。当一个外部抗原(Non-self细胞)袭击身体时,抗原体细胞把外部分子分解到抗原决定基层次,产生与抗原决定基结合的抗体。一旦抗原决定基发现匹配,一个特定信号就会发给免疫细胞,产生更多的抗体,淹没抗原威胁或感染。只有那些能够识别抗原的细胞才进行扩增,才会被免疫系统保留下来。

    2.3人工免疫系统

    人工免疫系统是研究、借鉴和利用生物免疫系统(这里主要是指人类的免疫系统)各种原理和机制而发展的各类信息处理技术、计算技术及其在工程和科学中的应用而产生的各种智能系统的统称

    2.4入侵检测系统与免疫系统的相似性

    从生物的免疫系统特点出发可以发现,入侵检测系统与免疫系统具有本质的相似性:

    免疫系统负责识别生物体“自身”(Self)和“非自身”(Non-self)的细胞,清除异常细胞。入侵检测系统则辨别正常和异常行为模式。生物免疫系统对抗原的初次应答类似于入侵检测系统异常检测,可检测出未知的抗原。生物免疫系统第二次应答即利用对抗原的“记忆”引发的再次应答与误用检测相类似。

    利用生物免疫系统的这些特性,应用到入侵检测领域,能有效的阻止和预防对计算机系统和网络的入侵行为,可增强信息的安全性。[4]

    3、基于人工免疫的入侵检测

    3.1  概念提出

    根据上面的叙述我们发现:

    入侵检测系统的作用在于检测并阻止系统内外部非法用户的攻击,免疫系统的作用在于保护生物体免受外部病原体(如病毒,细菌等)的攻击。二者的行为本质上可以归结为对危险“非我”的识别和清除,这种相似性为借鉴免疫机制研究入侵检测提供了一种新的思路。

    从信息处理的角度来看,免疫系统是一个自适应、自学习、自组织、并行处理和分布协调的复杂系统。目前,国际上不少研究人员已经认识到生物免疫系统中蕴涵了丰富且有效的信息处理机制,并针对计算机网络抗入侵、反病毒等安全问题,建立了相应的人工免疫模型和系统,取得了一定的进展,具有十分广阔的应用前景。

    同时,在当前网络安全面临诸多困难的时期,借鉴生物免疫系统来设计网络安全新机制也变得更加紧迫,具有十分重要的意义。

    3.2 基于人工免疫入侵检测的分类

    基于人工免疫的入侵检测技术主要分为基于人工免疫的异常检测技术和基于人工免疫的误用检测技术两种,检测系统主要分为基于主机的人工免疫入侵检测系统和基于网络的人工免疫入侵检测系统两种。每一种技术都可应用于任意一种检测系统,每一种检测系统也可以使用任意一种检测技术。

    4、现有的成熟技术及模型

    基于人工免疫的入侵检测技术虽然都是应用人工免疫与入侵检测相结合的方法,但是该技术并不是固定不变的,不同的研究人员根据自己的研究提出了不同的入侵检测模型。

    4.1 基于人工免疫入侵检测和防火墙的网络安全主动防御技术

    本节将人工免疫入侵检测系统和防火墙结合起来提出一种动态网络安全主动防御技术, 能够全方位对计算机网络进行安全防护。

    防火墙

    本节提到的防火墙是一种新型防火墙, 它除了一般防火墙的网段隔离、基于IP 和端口的阻断、NAT 等功能外, 还增加了内容过滤、动态配置、安全防护等功能等。

    入侵检测

    入侵监测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统,例如防火墙;识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息,帮助系统的移植。

    4.1.1基于人工免疫原理建立的入侵检测模型

    入侵检测是通过对系统或者是网络的运行状态进行检测,发现各种攻击企图、攻击行为或攻击结果,以保证系统资源的机密性、完整性和可用性。借鉴生物免疫系统在抵抗外界有害抗原的入侵上有效、独特的工作机制,能够很好的解决现有入侵检测系统的高误报率和缺乏自适应性。本节将人工免疫入侵检测系统分为基于主机和网络两类,检测的对象是运行在主机上的各种操作行为和通过网络传输的数据包。

    1、基于主机的人工免疫入侵检测模型

    在免疫计算机的生物学模拟中,将计算机中感兴趣的程序(如Ftp,Telnet,Send mail 等等)的活动进程视为分子,将多个进程运行的计算机视为多细胞有机体,将计算机网络视为有机体组织。入侵识别主要根据网络操作系统中由授权程序执行的系统调用短序列,类似于肽链。在系统中, 建立一个类似于淋巴细胞的进程,该进程直接和内核通信,检控其他进程及时发现程序执行的异常。与免疫系统的判别机制相同,当该“淋巴细胞”进程发现某个进程运行异常时,就认为该进程被破坏或正在受到攻击。免疫计算机实时检控和处理主机的审计数据,提取感兴趣的行为数据,建立行为特征模式,并与已知的正常行为模式匹配,一旦发现异常便报警。基于主机的人工免疫入侵检测模型如图1 所示

    该模型主要由入侵分析、入侵判断和入侵响应三个部分构成。从操作系统提取的审计数据经数据过滤及分析处理,转换为统一的数据模式以便执行入侵分析。行为特征数据库是入侵判断的主要依据,通过入侵判断(与行为特征数据库的匹配),将判断结果通过用户界面通知系统管理员或交由系统自行处理。

    2、基于网络的人工免疫入侵检测模型