1、哈尔滨理工大学硕士学位论文基于蜜罐学习的神经网络入侵检测模型的研究姓名:侯英利申请学位级别:硕士专业:计算机应用技术指导教师:孙名松20080301哈尔滨理大学学硕学位论文基于蜜罐学习的神经网络入侵检测模型的研究摘要随着科技进步和计算机网络技术的发展,越来越多的人融入到了网络,享受着网络带给人们的种种便利。但同时随着互联网规模的迅速扩大,安全问题已经成为一个互联网发展中无法回避的核心问题。虽然传统的安全保护技术如采用认证和授权、访问控制、信息加密、虚拟专用网、防火墙等在一定程度上增强了计算机系统中敏感数据的安全性,但还是不能阻止授权用户滥用计算机致使信息被非法窃取的情况。于是入侵检测技术就应运
2、而生。入侵检测是对防火墙、数据加密等安全保护措施的有效补充,能够识别针对计算机和网络资源的恶意企图和行为,并做出及时响应。针对目前入侵检测系统中存在的高漏报率、高误报率问题,以及各种安全设备之间的相互独立问题,本文提出一种基于蜜罐学习的神经网络入侵检测模型。该模型将径向基函数神经网络应用到入侵检测系统中,使系统具有自学习、自适应能力;改进了基于遗传神经网络的学习算法,以实现并行搜索,从而优化了学习算法;将蜜罐与入侵检测结合以降低误报率。该模型是基于正常与异常两种样本特征库之上的,这样大大会降低漏报率。本文设计了一个新型的入侵检测模型,详细介绍了该模型的实现过程,最终通过仿真实验对数据进行分析。
3、并与传统的入侵检测方法进行了比较。实验结果表明该方法效果良好,学习速度快,漏 报率、 误报率很低。关键词入侵检测;神经网络;算法; 遗传算法;蜜罐哈尔滨理大学学硕:学位论文,哈尔滨理工大学硕士学位论文原创性声明本人郑重声明:此处所提交的硕士学位论文基于蜜罐学习的神经网络入侵检测模型的研究,是本人在导师指导下,在哈 尔滨理工大学攻读硕士学位期间独立进行研究工作所取得的成果。据本人所知,论文中除已注明部分外不包含他人已发表或撰写过的研究成果。对本文研究工作做出贡献的个人和集体,均已在文中以明确方式注明。本声明的法律结果将完全由本人承担。作者签名:灸莨采日期:砂弼年月哆日哈尔滨理工大学硕士学位论文使
4、用授权书基于蜜罐学习的神经网络入侵检测模型的研究系本人在哈尔滨理工大学攻读硕士学位期间在导师指导下完成的硕士学位论文。本论文的研究成果归哈尔滨理工大学所有,本论文的研究内容不得以其它单位的名义发表。本人完全了解哈尔滨理工大学关于保存、使用学位论文的规定,同意学校保留并向有关部门提交论文和电子版本,允许论文被查阅和借阅。本人授权哈尔滨理工大学可以采用影印、缩印或其他复制手段保存论文,可以公布论文的全部或部分内容。本学位论文属于保密口,在年解密后适用授权书。不保密叼。(请在以上相应方框内打)作者签名:灸 煲禾期:劢谣年弓月侈导师繇谫弦拶肌翮 月妒哈尔滨理大学学硕学位论文课题来源第章绪论随着的迅猛发
5、展和网 络社会的到来,网络将会影响政治、经济、文化、军事和社会生活等各个方面。全球使用的用户日益剧增。现在,我国在上开展的各种业务也迅速增加。但是,对于网站的安全,无论在思想意 识还是其他一些相关技术上,都有所欠缺。根据发布的一份报告指出,我国的网站存在着严重的安全漏洞,甚至国内一些著名的门户网站及商务网站曾经被黑客攻击过。世界著名的商业网站,如、都曾被黑客入侵,造成巨大的经济损失。甚至连专门从事网络安全的网站也受到黑客的攻击。而我国的网络安全事故也层出不穷。根据年度报告我国大 陆遭受攻击情况如下:在木马方面,年抽样监测发现我国大陆地区约万个地址(以下无特殊说明均包含动态)的主机被植入木马,与
6、去年同期相比增长一倍。在僵尸网络方面,我国大陆地区约有千多万个地址的主机被植入僵尸程序;在网站页面被篡改方面,监测到中国大陆被篡改网站总数达到个,与去年同期相比增长接近一倍,其中网站被 篡改数量为个,占整个大陆地区被篡改网站的。政府网站被频繁入侵,不仅极大影响了政府形象,也体现出我国在 电子政务发展中遇到严重的安全隐患。年各种网络安全事件与去年同期相比都有明显增加。半年时间内,接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的和。我国大陆地区被植入木马的主机远远超过去年全年,增幅达倍。我国大陆被篡改网站数量比去年同期增加了倍,比去年全年增加了近。这样网络安全问题就不可避免地摆在我们
7、面前,因此迫切需要提供一种安全措施来检测、防范攻 击或对系统资源数据的未授权访问,以保护系统免受入侵者的攻击,尽管已有许多防御技术,如身份 认证、避免程序 错误 等作为保护系统的第一道防线,但仅有防御足不够的,系 统会变得越来越复杂, 现有防火墙技术也难以满足目前网络安全的需要。另外由于设计、程序 错误等原冈,系 统中不可避免地会存在一些漏洞,同时为了系统使用力便, 义必须在信息访问和对系统的严格控制之、日做出止峰平衡, 这样就使得设计 一个完全安全的操作系统变得哈尔滨理大学学顾十学位论文不可能。因此,作为保护计 算机系统的第二道防线,入侵检测技术也随之发展起来,并且成为网络安全的重要组成部分
8、。本课题是黑龙江省自然科学基金项目基于多层前向神经网络的分布式入侵检测模型(项目编号:)的一个分支。在此项目基础上提出了基于蜜罐学习的神经网络入侵检测模型的研究这一课题。研究目的和意义在当今的全球信息化潮流中,计算机网络安全问题不仅仅影响到电子商务、电子政务等网络业务的发展,甚至影响到国家安全和国家稳定。信息战、网 络空间战的概念早就被提出。另外,网上的恐怖活动、政治团体不良信息传播都可能对国家利益构成巨大威胁。每年全球因计算机网络安全系统被破坏而造成的经济损失达数百亿美元。因此网络安全问题己经被提高到关系到国家战略安全的高度。西方发达国家,特别是美国早就从国家战略安全的角度对待网络安全问题,
9、他们 已经投入巨大的人力和物力研究网络安全防护技术,并且在技术上处于领先的地位。我国网络安全技术研究起步晚、技术相对落后,特 别是人们安全意识差,网络安全建设的资金投入少,因此存在的安全风险尤甚于美国等发达国家。为了国家安全和社会信息化的健康发展,我们必须奋起直追,加强计算机网络安全技术的研究,入侵检测技术是一项重要的网络安全防护技术,它是和网络攻击技术的发展相辅相成的,由于网络攻击技术的复杂性,它技术难度大,目前在国际范围内没有很有效的产品和解决方案。虽然传统的安全保护技术如采用认证和授权、访问控制、信息加密、虚拟专用网、防火墙等在一定程度上增强了计算机系统中敏感数据的安全性,但还是不能阻止
10、授权用户滥用计算机致使信息被非法窃取的情况。比如利用防火墙,它是一种静态的访问控制类安全产品,不能够检测出合法流中包含的恶意入侵代码。鉴于上面的情况,为了保证若干网络的计算机系统的安全性,仅有访问控制机制和防火墙等技术是远远不够的,并且某些黑客可以绕过防火墙。因此我们还需要有一种主动保护自己免受攻击的网络安全技术,这就是入侵检测技术“】。入侵检测就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统巾是否有违反安全策略的行为和遭到攻击的迹象,一时做出响应,它作为防火墙的介理补允,能够动念地检测入侵事件,凶而能更好地保护整个例络,人此入侵枪测技术已绛成为安伞专家
11、们影!极研究哈尔演理大学学顾十学位论文的一项重要课题阳。然而目前对入侵检测系统(,)的研究还是处于初级阶段,还 有大量的问题尚未解决比如虚警率问题,漏报率问题等。幸好蜜罐技术的出 现为 网络安全地研究带来了一线 希望。蜜罐好比是情 报收集系统,它故意成 为让人攻击的目标,引 诱黑客前来攻击。它能够很好地记录黑客在蜜罐中的所作所为,甚至黑客的一切击键记录都被记录了下来。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。所以蜜罐与入侵检测系统联合将能大大提高入侵检测效率,极早发现入侵行为。本文致力于研究将蜜罐与入侵检测结合的技术,具有巨大的现实意义。研究现状及发展趋势入
12、侵检测技术发展史入侵检测的研究最早可追溯至嵋在年的工作,他首先提出了入侵检测的概念,在该文中提出审计追踪可应用于监视入侵威胁,但由于当时所有己有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。年提出了入侵检测系统(,)抽象模型。它从实验室原型研究到推出商业化产品、走向市 场并获得广泛认同,入侵检测系统()已 经走过了二十多年的风雨历程。至今已经经历了五个发展阶段:基于主机的入侵检测系统,如;基于多主机的入侵检测系统,女;基于网络的入侵检测系统,女;分布式入侵检测系统,如;以及面向大 规模的入侵检测系统如【】年月,为美国空军做了一份题为()的技术报告,第一
13、次 详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种, 还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的丌创性工作。在报告中,他首次提出了入侵检测的概念,将入侵尝试()或威胁()定义为:潜在的自预谋末经授权访、信息、操作信息、敛使系统不町靠或无法使用的企图。还提出审计踪可应用二监视入侵凡动的心、想。!:;与时所有已有哈尔滨理大学学硕:学位论文的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。年为检测用户对数据库异常访阃在主机上用开发的系统,成为最早的基于主机的雏形之
14、一。年,乔治敦大学的提出了一个实时的入侵检测系统抽象模型(,入侵检测专家系统),首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。它是一种通过使用统计方法发现用户异常操作行为并判断检测攻击的基于主机的入侵检测系统,将异常定义为稀少和不寻常。她提出的模型由六个部分组成:主体、对象、审计记录、轮廓特征、异常 记录、活动规则。它独立于特定的系统平台、应用环境、系 统弱点以及入侵类型, 为构建入侵检测系统提供了一个通用的框架。他们的这个研究成果是许多年代入侵检测研究和系统原型的基础。年首次提出异常检测抽象模型,将入侵检测作为一种计算机系统的安全防御措施。他的这篇提出这个问题的论文被认为是另
15、一篇入侵检测的开创之作。美国国际计算机安全协会()对入侵检测的定 义是:入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击迹象的一种安全技术。年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的等人开发出了()。该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后,入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的和基于主机的。混合型的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。在年莫罩斯蠕虫事件发生之后,网络安全引起了军
16、方、学术界和企业的高度重视。美国空 军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、实验室,开展 对分布式入侵检测系统()的研究,将基于主机和基于网络的检测方法集成到一起。是分布式入侵检测 系统历史上的一个早程碑式的产品,它的检测模型采用了分层结构。年,与捉了收集耵合并处理来自多个主机的审计信息从晰用以检测针对一系列主机的办州攻击。,和建义使用自治咿!以便捉商的呵伸缩。陀、可 维护,、效率和容错哈尔滨理大学丁学硕十学位论文性。年等对先前的研究做了较为完整的回顾和分析,对各种的系统原型进行了分析和评述。年以后出现了很多不同的新的研究方法特别是智能,包
17、括神经网络、遗传算法、模糊识别、免疫系统、数据挖掘等。研究现状入侵检测在近几年来取得了迅速的发展,国外已经推出了一些系统,但这项技术还远未成熟。下面介绍一下目前几种具有高效的学习算法的入侵检测系统。基于神经网络的入侵检测技术是近年来的研究热点之一。该检测技术的关键在于检测前要用入侵样本进行训练,使其具备对某些入侵行为进行分类的能力,从而能够 正确认识各种入侵行为。等人通过使用神经网络分析数据包与入侵签名匹配的结果,行到了较高的正确率。和协将神经网络与关键字匹配结合起来,正确率也有明显提高。和旧将一个起异常行为检测作用的分层神经网络系统包含于之中,实验结果表明该系统对监视有选择区域的网络行为有很
18、好的效果;且这一系统具有一定的适应性,对一些未知入侵行为也有识别能力。神经网络之所以有这样好的效果是在于它能够具有较强的学习能力,自组织、自适应性强,分布式存储,并行处理,具有 较强的对任意连续 函数逼近能力。不仅如此,神经网络在处理非线性优化问题方面也表现的非常出色。基于模型推理的入侵检测技术和基于免疫的入侵检测技术也是研究的热点,尤其是后者。它将生物免疫系统的某些特征运用到中,使整个系统具有自适应性、可调节性和扩展性。将仿生学思想 应用到中,是一个极富挑战的研究方向。遗传算法在入侵检测中的应用历程还比较短,所取得的成果也有限。在一些研究试验中,使用了若干字符串序列来定义用于分析检测的指令组
19、用于检测识别正常或异常行为的这些指令在初始训练阶段不断进化,以提高分析能力。在训练之前,代表指令的这些字符串所具有的分析检测能力很弱,但是通过任意管理重组这些字符串的片段,就可以生成新的字符串。然后再选出检测能力最强的那些指令字符串。这样重组, 测试和选择的循环过程一直进行,直到 检测能力不再提高。此时,这些指令字符串的检测能力已经得到很住提高,可以二实际检测之卜了。;近年来 对遗簟算法的改进,使得遗传算法效率出哈尔滨理大学学硕十学位论文有所提高。并且遗传算法与神经网络的结合也使得学习效率大大提高。基于的分布式入侵检测系统也已成 为研究大型网络系统安全的一个方向。代理技术具有适应性和自主性,能
20、边连续检测外界和内部变化,并作为相应的反应。利用的指令表机制和多问的协同工作,可完成知识库更新、模型过程描述、动态模型识别等功能,比传统的专家系统效率更高。国外已经出了许多基于的分布式入侵 检测 系统框架(如大学设计的,大学设计的等。模糊识别、数据挖掘等技术在入侵检测技术中也得到了广泛应用,但都处于研究阶段,还没有突破性的进展。基于蜜罐的入侵检测系统研究的人比较少。也就是蜜罐与协作技术也是一种比较新颖的技术。蜜罐()是一种在互联网上运行的,目的在于吸引攻击者,然后记录下攻击者的一举一动的计算机系统它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人如电脑黑客而设计的,蜜罐系统是一个包含漏洞的
21、诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标,从而得到相关信息以便检测到攻击。而对于蜜罐与的协作模型的研究也是最近提出射。它的主要思想是如果有可疑行为通过防火墙将黑客转移到蜜罐中。再将新的入侵规则添加到中。因为蜜罐本来就是要故意引诱黑客而设一种虚拟环境没有任何重要资料。但在此模型中没有提到任何学习算法,也没有提到蜜罐与的访问机制,只是添加相 应的入侵规则而没考虑如果异常是一个正常行为的情况。未来发展趋势传统的随着市场的需求推动和技术自身的发展,出现了一些新的形式,大致可朝下述六个方向发展。分析技术向协议 分析和行 为分析发展协议分析技术是在 对网络数据流进行重组
22、的基础上,理解应用协议,再利用模式匹配和统计分析的技术来判明攻击。行为分析技术不仅简啦分析单次攻击事件, 还根据前后发生的事件确认是否确有攻击发生,攻击行为是否生效。目前分析技 术山统计分析、模式匹配、数掘重组等技术转向吣议分析和行为分析。部署方式从集中式向分布式智能发展分析式入侵检测具有使用分析式的方法术检测分命式的攻【的能力,其中的关键技术为愉测信息的协同哈尔滨理丁大学学硕学位论文处理与入侵攻击的全局信息的提取。分布式入侵检测技术较好地将误用入侵检测技术和异常入侵检测技术、基于主机的入侵检测技术和基于网络的入侵检测技术相结合,并融合了专家系统、神 经网络、生物免疫等技术,实现了的功能分散和
23、安全分散引。检测技术向智能化入侵检测方向发展” 检测技术正从模式匹配向神经网络及数据挖掘等智能化入侵检测方向发展,特别是具有自学习能力的专家系统,实现知识库的不断更新与扩展,使 设计的入侵检测系统的防范能力不断增强。响应方式从被动的告警向主动的联动和自动阻断方向发展入侵检测发现攻击,自动发 送给防火墙,防火 墙加载动态规则拦截入侵,称为联动功能,可以极大的增强网络的安全。嵌入式操作系统内核由于黑客攻击的目标主要是终端部分,因此入侵检测系统最好能与操作系统内核结合起来,这样从根本上确定黑客攻击系统到了什么程度,如黑客现在的攻击对系统是否造成了威胁,黑客现在拥有了系统哪个级别的权限,黑客是否控制了
24、一个系统等。与其它安全技术协作随着防火墙、蜜罐、入侵 检测等技术的不断发展,实现它们之间的互动协作显得越来越重要。因此,对于安全技术之间协作以及互动协议和接口标准的研究也是一个重要方向。所以可以看出、等技术也可能是 发展的一个方向。肯定会向大规模,高速化,主 动化,智能化发展,自动阻断也会是必备的响应方式之一。但从目前的安全体系结构来看把蜜罐与很好地结合协作的技术还没有成熟、高效的模型。本文的研究正是针对这一点提出基于蜜罐学习的入侵检测模型。本文研究的主要内容本文针对目前入侵检测系统的弱点一高误报率、高漏报率问题提出了一种入侵检测模型。此模型把蜜罐与有机结合起来,充分利用蜜罐所提供的入侵特征,
25、将其作为入侵检测系统的直接数据源。将神 经网络技术应用到中,把蜜罐所提供的有效数据进行智能学习,在线更新的特征库, 这样大大提高了的智能性与在线学习的能力。 实现了存黑客利用新入侵技术攻击之仃就能检测到的目的哈尔滨理大学学硕学位论文第章相关网络安全技术概述简介无论是入侵还是检测都离不开网络协议。所谓协议是指一组控制数据通信的规则。协议 定义要传送什么,怎样进行通信以及何时进行通信。所以整个网络这所以能够良好有序地运行都是建立在这些网络协议基础之上的。目前应用最为广泛的网络协议是协议参考模型,而不是()七层参考模型。它采用 层结构:接口层、网 络层、传输层和应用层。如图所示。其中,每一层上的协议
26、分别负责不同的通信功能。下层协议为上层协议的实现提供服务。只有下层协议的特征得到满足才考虑上层协议的特征。在协议实现时,上层协议的一些细节可以在下层协议的实现时得到体现。这种网络协议严格分层的特点为协议分析的方法提供了依据。应用层用户进程用户进程用户进程用户进程弋工 工传输层 ?网络层 , :降,鞋黜,每层提供刊的功能:应层:它使用户接入到例络,提供了各种常川的办议:丁(文什传输协哈尔滨理人学学硕学位论文议)、(:远程登录)、( 简单邮件传输协议)、(超文本 传输协议)、(域名服务等。传输层:它负责将完整的报文进行源到目的的交付,提供了两种端到端的会话协议(和)。端到端是指传输层协议 从自己的
27、一个端口发送数据到对方的一个端口。端口是为了方便同一个主机上同时执行多个网络应用程序而设置的。因此在传输层的通信中,除了要指明对方的地址外,还要指定对方应用程序所用的端口。对同一个服务器地址,指定不同端口值将会获得不同的应用服务。大多数的因特网服务器不只提供一项服务,根据端口的不同能区分同一主机上的不同服务。表给出了常见的服务端口。表常见网络服务端口(传输控制协议是面向连接的协议,提供无差错字节流的可靠传递。要发送的字节流分成若干个块顺序传递到层,到达目的地后再由对方的层按照顺序重新组装起来。如果数据包在这一过程中丢失,发送方的层还负责重发丢失的数据。还进行流量控制,防止发送速度大于接收速度而
28、出现数据包丢失的现象。(用户数据包协议)是不可靠的非连接协议。它仅仅负责将数据打包发送出去,不保证数据包一定到达接受方,同 时接受方也不会凋整所接受数据包的顺序。这一协议主要用于强调数据传送的速度而不是可靠性的场合。网络层:该层的作用是负责如何将一个分组从源站交付到目的站,负责如何分配地址。凶特例上的任何一台主机都捌仃一个独一无的地址。目订的地址()是由个字节组成的。地址格式的规定包含在协议中。层足整个模,眇最关键的一叫:。 该层二实现了分组数扒包在网络哈尔滨理大学学硕十学位论文中的点对点的传输,也就是说发送分组只需要指明它要到达的地址,而不必关心它经过什么样的路径到达。一般来说,如果进行通信
29、的双方不是在同一个局域网内,就很难知道所发送的分组数据将如何抵达对方。分组在网络中传输所经过的路径叫做路由。连接因特网中的各个局域网服务器负责把分组数据从一个子网发送到另一个子网,这样的服务器叫做路由器。路由的选择将分 组各路由器时进行,路由器根据它所存储的网络信息和分组所携带目的地址信息,决定向何 处发送分组(如果这个路由器与目的与目的地址直接相连,则将直接转发到目的地址;否则,路由器将根据一定的算法选择发判定以与本路由器相连的其它中继路由器)。这一系列的转发过程与发送和接收方无关,这样就实现了异种网络之间的分组交换,使整个因特网看起来像一个大的单一网络。当前,使用最为广泛的协议是协议,定义
30、的是位地址。网络接口层:实际上,协议并不包括物理层和数据链路层协议,只定义了各物理网络协议与之 间的接口信息。 这 些物理网络包括了多种广域网(如,和)以及各种局域网(如所定义的,等标准局域网类型、)。由于该层与各种具体物理网络打交道,所以其协议帧的格式随着所采用的网络类型的不同而不同。网络攻击技术网络攻击的过程和层次网络攻击主要是指利用专门工具,来完成致使计算机网络和系统崩溃、失效或错误上作的各种信息行动,其目的就是破坏网络安全的保密性、完整性、可用性、可靠性、可控性和不可抵赖性。任何以干 扰、破坏网 络系统为目的的非授权行为都称之为网络攻击。网络攻击的过程攻击者在发动攻击自订要做好大量的准
31、备上作,一般来说,网络攻击要遵循下面的个阶段:侦察、扫描、获得访问、维持访问和擦除踪迹。侦 察阶段,利用社交工程、物理 闯入、普通搜寻、数据库搜索等方法获得域名、地址等基本信息;扫描阶段,使用专门的工具软件,如端口扫捕器和漏洞扫拙器获得活动端厂、操作系统、漏洞信息及防火墙舰则等信息;获得访问阶段,利川各种各样的漏洞,使川棚越的软件如地址欺骗、会话劫持、密码攻。、拒绝服务攻击等发动攻,以侵入系统和获得二二法访问哈尔滨理大学学 顾卜学位论文权限;维持访问阶段,利用各种各样的漏洞,使用特洛伊木马、后门、等维持对系统的访问权限,方便以后控制;擦除踪迹阶段,修改系统日志、建立隐藏文件和秘密通道,清除攻击
32、痕迹,避免被管理 员发现。攻击的层次使用敏感层的概念来表示攻击技术所引起的危险程度如表所示:表敏感层的划分层次内容第层第层第层第层第层第层邮件炸弹攻击,简单服务拒绝攻击本地用户获得非授权读访问本地用户获得他们非授权的文件写权限远程用户获得非授权的帐号,远程用户获得了特权文件的读权限远程用户获得了特权文件的写权限远程用户拥有根()权限网络攻击的方法网络攻击的方式和方法从早期的粗糙、单一的攻击方法发展到今天的精致、综合的攻击方法。早期主要的攻击方法以口令破解、泛洪式拒绝服务和特洛伊木马为主;上世纪九十年代开始兴起缓冲区溢出、网络信息探测和网络漏洞扫描攻击;近几年出现了综合各种网络攻击手段的网络欺骗
33、攻击、分布式拒绝服务攻击和分布式网络病毒攻击。下面是各类网络攻击技术的分类及其新近的发展:阻塞类 攻击阻塞类攻击企图通过强制占有信道资源、网络连接资 源、存储空间资源,使服务器崩溃或资源耗尽无法对外继续提供服务。是典型的阻塞类攻击,常 见的方法有:漏洞攻击、泛洪攻 击、攻击、攻击、电子邮件炸弹等多种方式。为了针对宽带网络技术的发展,目前己发展为火力更为猛烈的分布式集群攻击。控制类攻击 控制类攻击试图获得对目标机器的控制权。常见的有口令攻击、特洛伊木马攻击和缓冲区溢出攻击。探测类 攻击 信息探测类攻击辛要是收集目标系统的各种与网络安全有火的信息,为下一步入侵提供帮助。这类攻吁主要括:扫捕技术、体
34、系结构刺探、系统信息服务收集等。、,卜住 发展更先进 的删络尢踪迹信息探测技术。哈尔滨理工人学学顶十学位论文欺骗类攻 击欺骗类攻 击包括地址欺骗和假消息攻 击,前者是通 过冒充合法网络主机获取敏感信息,后者则主要是通过配置或设置一些假消息来实施欺骗攻击,主要包括:缓存虚构、高速缓存污染、伪造电子邮件等几种。漏洞类攻 击针对扫描器 发现的网络系统的各种漏洞 实施的相应攻击,跟随新发现的漏洞,攻 击手段不断翻新,防不 胜防。由于这些攻击的新颖性,一般而言,即使安装了实施入侵检测的系统,也 难以发现。病毒类攻 击计算机病毒已 经由单机病毒发展到网 络病毒, 电子邮件与蠕虫技术是网络传播病毒的主要方法
35、。上述的网络攻击发展到今天已经融合在一起,形成各种分布式网络攻击方法,尤其是缓 冲区溢出、口令攻击、特洛伊木马和拒绝服务攻击实现了完美的结合,应用更 为广泛。网络攻击的新技术及发展趋势网络攻击新技术新的攻击手段与以往相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从程序的控制程序到内核级,攻击手法不断翻新,对网络的安全威胁越来越大。主要包括:应用程序攻击、超隐蔽嗅探式。后门、核心级别的、脉冲和反射式、主 动嗅探()技术等。发展 趋势分析原有的攻击手段和最新出现的攻击手段,可以预见,网络攻击技术和攻击工具有如下新的发展趋势:()攻击的自动 化程度越来越高;()新的攻击工具开 发越来越
36、快;()攻击工具高度集成,越来越复杂;()病毒与黑客技术相融合,危害越来越大;()针对源码丌放 软件的攻 击开始增多。从上述发展趋势我们可以看出,黑客的攻击形式越来越多样化,攻击手段越米越复杂化,而危害程度越来越大。尤其是针对源码开发的软件的攻击越来越多,致使造成丌源软件越来越少,使得人们对软件的开发造成极的阻力。哈尔滨理工人学学硕十学位论文入侵检测技术入侵检测系统在文献【】中对 入侵检测的定 义为:识别针对计算机或网 络资源的恶意企图和行为,并对此做出反应的过程。入侵 检测系统则是完成如上功能的独立系统。入侵检测系统能够检测未授权对象人或程序针对系统的入侵企图或行为,同时监控授权对象对系统资
37、源的非法操作。进行入侵检测的软件与硬件的组合便是入侵检测系统(,)。我们定义如下:对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。因此,一个完善的入侵检测系统至少需要具备以下特点:经济性为保证系统安全策略的实施而引入的入侵 检测系统必须保证不能妨碍系统的正常运行,如系统性能。时效性能做到实时监控入侵行为。理想情况是事先发现攻击企图,现实情况是实时发现攻击行为。安全性入侵检测系统必须有能力保护自身的安全。否则可能出现监测信息无效,获取入侵检测系统操作权限进而获取超级权限,以及通过设置制造检测漏洞等问题可扩展性分为两个方面,首先是机制与数据
38、的分离,即在现有结构不变的况下,可扩展对新攻击的检测,如基于入侵 检测系统中比较常见的攻击特征库机制;其次是系统结构的可扩展性,在必要的时候可以在不对系统整体结构进行任何修改的前提下对检测手段进行加强,以保证能够检测到新的攻击,如系统的代理机制。入侵检测模型入侵检测原始模型最早的入侵检测模型是由在年提出的,这个模型与具体的系统和具体输入无关,对此后大部分使用系统有借鉴价值。图表示了这个通用模型的体系 结构。哈尔滨理丁人学学硕十学位论文图提出的入侵检测模型事件产生器根据具体的应用环境的不同,可来自于审计记录、网络数据包及其可视行为,这些事件构成了检测的基础。行为特征表是整个检测系统的核心,它包含
39、了计算机用户行为特征的所有变量,这些变量可根据具体所采纳的统计方法及事件记录中的具体行为模式而定义,并根据匹配的记录数据更新变量值。如果有统计变量值达到了异常的程度,则行为特征表产生异常记录,并采取一定的措施。规则模块可以由系统安全策略、入侵模式等组成。它一方面 为判断是否入侵提供参考机制;另一方面,根据事件记录、异常记录以及有效日期等控制并更新其它模块的状态。在具体实现上, 规则的选择与更新可能不尽相同。但一般地,行为特征模 块执行基于行为的检测,而规则模块执行基于知识的检测。通用入侵检测模型通用入侵检测框架()是由提出的,最早由加州大学戴维斯分校安全实验室主持起草工作。主要介绍了一种通用入
40、侵说明语言(),用来表示系统事件、分析 结果和响 应措施。 为了把从逻辑上分为面向任务的组件,试图规范一种通用的语言格式和编码方式以表示在组件边界传递的数据。所做的作主要包括四部分:的体系结构、通信体制、描述语言和 应用编程接口()。根据系统通用的需求以及 现有的系统的结构,将系统的构成划分为四类功能模块:事件发?,肄()、件分析器()、萼川:数折牢()、响应)己()。从功能的哈尔滨理工人学学硕十学位论文角度,这种划分体 现了入侵检测系统所必须具有的体系结构:数据获取、数据管理、数据分析、行为响 应,因此具有通用性。架构如图所示。入侵检测分类原始事件源图的体系结构从数据源分类入侵检测系统根据其
41、检测数据来源分为三类:基于主机的入侵检测系统、基于网络的入侵检测系统、基于分布式的入侵检测系统。基于主机的入侵检测系统从单个主机上提取系统数据如审计、记录等作为入侵分析的数据源,而基于网络的入侵检测系统从网络上提取数据如网络链路层的数据帧作为入侵分析的数据源。通常来说,基于主机的入侵检测系统只能检测单个主机系统,而基于网 络的入侵检测系统可以对本网段的多个主机系统进行检测,多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。基于分布式的入侵检测系统是将基于主机的入侵检测系统与网络流量的监测功能结合起来,集于一身。基于主机的入侵检测 系统()检测对象主要是主机系统和
42、系统本地用户,检测原理是根据主机的审计数据和系统的同志发现可疑事件检测系统町运行在被检测的机或单独的主机上。此类系统依赖于审计数据或系统同志的准确性、完整性以及安全市件的定义具有以下特征:()能够监视 特定的系统行 为。如用 户径录和退、用户进:的操作、审计系统志记求的策略改变锋。哈尔滨理大学学硕:学位论文()能判断攻击是否成功。由于基于主机的入侵检测使用了包含已发生事件的信息,这样 就可比基于网络的入侵检测更准确地判断攻击。某些攻击行为在网络数据流中很难发现,甚至根本没有通过网络而在本地进行,这就只能借助基于主机的与此同时,这类系统仍然存在着安全隐患,如入侵者 设法逃避设计或进行合作入侵,特别是在网络环境下, 仅依靠主机审计信息进行入侵检测难以适应网络安全的要求主要表现在以下几个方面。主机审计信息的弱点容易受攻击,入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。不能通过分析主机的审计记录来检测网络攻击(域名欺骗端口扫描等)。基于网络的入侵 检测系统()使用原始网络数据包作为数据源,通常使用报文的模式匹配或模式匹配序列来定义规则,检测时将监听到的报文与模式匹配序列进行比较,根据比较的结果来判断是否有非正常的网络行为。其攻 击模块通常有模式表达式或
