入侵检测与防御

基于神经网络的入侵检测

闫永刚

南京信息工程大学计算机与软件学院气象信息技术与安全

摘要：该文首先对关键件技术概述，然后从其关键技术进行分析，进而对其所存在的相关问题进行详细剖析，从而提出了具有智能化、检测未知或变异攻击的能力、可扩展和自适应性的入侵检测系统概念。

关键词：神经网络;入侵检测

Key words: neural network，intrusion detection

0 引言

随着互联网技术的高速发展，计算机网络的结构变得越来越复杂，计算机的工作模式由传统的以单机为主的模式向基于网络的分布式模式转化，而由此引发的网络入侵的风险性也随之大大增加，网络安全与信息安全问题成为了人们高度重视的问题。

早期对于网络安全主要采取的是保护手段，所采取的主要技术手段有数据加密、认证授权、访问控制、安全审计等，其核心思想是构建一个绝对安全的系统，但是这些技术存在有诸多不足和局限性，所以近年来，在重视保护技术发展的同时，入侵检测技术得到了人们更

1 入侵检测定义

入侵检测是一种主动的网络安全防御措施，入侵检测技术就是采取技术手段发现入侵和入侵企图，以便采取有效的措施来堵塞漏洞和修复系统，使用入侵检测技术具有入侵检测功能的网络安全系统称为入侵检测系统。

2 发展历程及国内外研究的现状

1980年，Anderson首先提出了入侵检测的概念，他将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问信息、操作信息，致使系统不可靠或无法使用的企图。他提出审计追踪可应用于监视入侵威胁。但这一设想的重要性当时并未被理解，但他的这一份报告被认为是入侵检测的开创性工作。从1984年到1986年，Denning和Neumann研究并发展了一个实时入侵检测系统模型，命名为IDES(入侵检测专家系统)，它是一种通过使用统计方法发现用户异常操作行为并且判断检测攻击的基于主机的入侵检测系统，将异常定义为“稀少和不寻常”(指一些统计特征量不在正常范围内)，他们的这个假设是许多80年代入侵检测研究和系统原型的基础。1987年，Dennying提出关于这个问题的论文被认为是另一篇入侵检测的开创之作。1988年，Morris Internet蠕虫事件导致了许多IDS系统的开发研制。1988年，Lunt等人进一步改进了9ennying提出的入侵检测模型，他提出了与系统平台无关的实

时检测方案。

1990年，Heberlein等人提出基于网络的入侵检测—N8M，NSM可以通过在局域网上主动地监视网络信息流量来追踪可疑的行为。1991年。NADIR提出了收集和合并处理来自多个主机的审计信息从而用以检测针对一系列主机的协同攻击。1994年，Hark Crosbie和Gene Spafford建议使用自治代理以便提高IDS的可伸缩性、可维护性、效率和容错性。1994年Biswanath Hukherjee等[41对先前IDS的研究做了较为完整的回顾和分析，对各种IDS的系统原型进行了分析和评述。1995年以后出现了很多不同的新的IDS研究方法特别是智能IDS，包括神经网络、遗传算法、模糊识别、免疫系统、数据挖掘等。

2.1 研究论述内容

基于系统调用的异常检测系统（Anomaly DetectionSystem Based on System Calls）是一个基于主机的、以系统调用短序列为研究对象的异常入侵检测系统。本系统通过对Host 上的操作系统审计记录的分析来实现发现入侵事件。

主要内容：（1）入侵检测的信息源：由于Sun公司的Solaris操作系统是目前流行的服务器UNIX操作系统，其中包含的BSM安全模块使得Solaris系统满足TCSEC标准的C2级审计功能要求。因此，在本项目中使用Sun公司Solaris操作系统上的BSM安全模块生成的BSM审计记录作为入侵检测的信息源。（2）系统调用：系统调用是操作系统提供给用户程序调用的一组特殊接口。通常，在操作系统的核心中都设置了一组用于实现各种系统功能的子程序，也就是系统在其内核里内建的函数，这些函数可以用来完成一些系统级别的功能，操作系统将它们提供给用户调用，称之为系统调用（System Call）。本系统是以系统调用为研究对象来实现的。（3）神经网络：神经网络具有概括和抽象能力，对不完整输入信息具有一定程度的容错处理能力。神经网络具备高度的学习和自适应能力神经网络所特有的内在并行计算和存储特性。以上3种特性使神经网络可以运用在实际的入侵检测中，并且克服了传统入侵检测技术的缺乏检测未知或变异攻击的能力、缺乏扩展和自适应性等缺点。

2.2关键技术分析

2.2.1监控特权程序行为

攻击者入侵系统可以分为远程方式和本地方式。采用本地方式攻击时，攻击者首先需要登录到系统，然后通过在系统本地的操作对系统实施攻击。对于这一类攻击，攻击者常常事先己获得系统普通用户权限，比如内部用户或破解了某一普通用户的口令。登录系统后，为了对系统实施破坏，攻击者需要获取更大的权限――超级用户权限，而提升权限通常是利用setuid程序漏洞，采用缓冲区溢出等方式。在没有普通用户权限的情况下，攻击者只能采取远程攻击方式，通过远程访问系统提供的服务来实施攻击。系统运行的守护进程是攻击者进入系统的惟一入口，守护进程的漏洞则为攻击者打开了方便之门。通过这些漏洞，攻击者可以实现获取超级用户权限、使系统崩溃等恶意目标。由此可以发现，setuid进程和守护进程是入侵者攻击的主要目标，由于它们具备超级用户权限，统称其为特权程序（Privileged Process）。由于特权程序具有超级用户权限，攻击者利用它们的漏洞则可以以超级用户身份访问系统资源，这些漏洞将给系统的安全性带来致命的打击。对特权程序实施监控是防范攻击的重要手段之一。与监控用户行为相比较而言，监控特权程序行为具有以下优点：首先，特权程序行为的各种可能的变化与用户行为相比较而言要有限得多；其次，特权程序通常只完成特定的、有限的功能，然而用户可能执行各种类型的操作；最后，特权程序的行为在时间上是相对稳定的，特别是与用户行为相比－－用户行为不仅执行的操作变化多端，而且随