基于RBF神經(jīng)網(wǎng)絡(luò)與RVM的入侵檢測(cè)算法研究.pdf

1、上海交通大學(xué)工程碩士學(xué)位論文10第一章緒論1.1課題的目的和意義近年來(lái)，隨著信息技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)技術(shù)逐漸普及，網(wǎng)絡(luò)接入量和信息傳輸量不斷增加，各種非法的網(wǎng)絡(luò)入侵也是層出不窮。入侵檢測(cè)[1](IntrusionDetection)的主要目的，就是要實(shí)時(shí)高效地檢測(cè)出各種非法入侵信號(hào)的存在，進(jìn)而有效阻止這些信號(hào)的攻擊，從而有力保障計(jì)算機(jī)網(wǎng)絡(luò)通信的安全。信息時(shí)代的到來(lái)，互聯(lián)網(wǎng)技術(shù)得到了大力發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性也逐步顯現(xiàn)。防火墻技術(shù)

2、[2]作為網(wǎng)絡(luò)安全的一種行之有效的防護(hù)手段，已經(jīng)廣泛應(yīng)用于各種場(chǎng)合。然而，計(jì)算機(jī)入侵技術(shù)的發(fā)展也是日新月異，防火墻作為一種單一的防護(hù)手段，在確保計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題上顯得有點(diǎn)力不從心。防火墻對(duì)于防范網(wǎng)絡(luò)黑客表現(xiàn)出十分明顯的局限性。首先，防火墻無(wú)法阻止內(nèi)部人員所發(fā)動(dòng)的攻擊；其次，它對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的控制缺乏靈活性，反應(yīng)比較遲鈍；最后，在入侵事件已經(jīng)發(fā)生后，使用防火墻保存的信息比較少，往往難以調(diào)查和取證。正是基于防火墻技術(shù)存在這些缺點(diǎn)和不足，為

3、了增強(qiáng)網(wǎng)絡(luò)的安全性以及可靠性，我們需要一種更為強(qiáng)大更為主動(dòng)的安全防護(hù)技術(shù)，入侵檢測(cè)技術(shù)就是在這種條件下應(yīng)運(yùn)而生了。入侵檢測(cè)技術(shù)對(duì)內(nèi)部攻擊、外部攻擊和誤操作等均提供了實(shí)時(shí)的防護(hù)，能夠幫助網(wǎng)絡(luò)系統(tǒng)快速捕捉入侵信號(hào)，并迅速做出響應(yīng)。正因?yàn)槿肭謾z測(cè)技術(shù)增強(qiáng)了網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)能力，因而得到了快速發(fā)展和廣泛應(yīng)用。隨著開(kāi)放式網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計(jì)算機(jī)已經(jīng)從單一的主機(jī)，發(fā)展為分布式的互聯(lián)網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大和網(wǎng)絡(luò)用戶(hù)的日趨增多，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)

4、系統(tǒng)的入侵形勢(shì)變得非常嚴(yán)峻。而網(wǎng)絡(luò)技術(shù)的復(fù)雜化，也直接導(dǎo)致網(wǎng)絡(luò)入侵方式的多樣化，使得檢測(cè)入侵攻擊的難度大大增加，從而對(duì)入侵檢測(cè)技術(shù)的研究提出了更為迫切的要求。現(xiàn)在入侵檢測(cè)技術(shù)的研究大致可分為兩個(gè)方向：第一個(gè)方向是分布式入侵檢測(cè)技術(shù)[34]。該方向既包括針對(duì)分布式網(wǎng)絡(luò)的入侵攻擊檢測(cè)方法，也包括使用分布式的方法來(lái)實(shí)現(xiàn)對(duì)分布式攻擊的檢測(cè)方法，其中最為關(guān)鍵的技術(shù)就是檢測(cè)信息的協(xié)同處理以及入侵攻擊全局信息的提取。第二個(gè)方向是智能入侵檢測(cè)技術(shù)[56

5、]，即使用智能化的方法來(lái)進(jìn)行入侵檢測(cè)?，F(xiàn)階段常用的智能化方法主要有神經(jīng)網(wǎng)絡(luò)，支持向量機(jī)(SVM)等機(jī)器學(xué)習(xí)的方法，這些方法常用于入侵攻擊信號(hào)特征的識(shí)別。以上兩個(gè)方向從不同的方面對(duì)入侵檢測(cè)進(jìn)行深入，它們共同推進(jìn)了入侵檢測(cè)上海交通大學(xué)工程碩士學(xué)位論文12入侵者入侵報(bào)警特征庫(kù)匹配過(guò)程圖1.1誤用入侵檢測(cè)模型Fig.1.1MisuseIntrusionDetectionModel誤用檢測(cè)還存在另一個(gè)局限性，就是要考慮審計(jì)處理實(shí)際情況。例如，由于

6、審計(jì)信息巨大的存儲(chǔ)空間需求會(huì)給整個(gè)系統(tǒng)造成潛在的沖擊，而且當(dāng)前審計(jì)操作不能記錄程序變量或進(jìn)程的變化等。如果能夠從程序變量的值推斷入侵，那么就可通過(guò)跟蹤程序活動(dòng)蹤跡來(lái)檢測(cè)入侵行為。但是，這需要借助外部工具和不受限的存儲(chǔ)空間。而審計(jì)方法也不能夠解釋程序的輸入或輸出數(shù)據(jù)。在現(xiàn)代的操作系統(tǒng)中，由于用戶(hù)級(jí)調(diào)用讀寫(xiě)函數(shù)并不總是表現(xiàn)和審計(jì)跟蹤一一對(duì)應(yīng)得，而是由于IO(InputOutput，輸入輸出)的緩沖區(qū)所引起的，因此審計(jì)師需要根據(jù)監(jiān)測(cè)應(yīng)用程序向

7、系統(tǒng)服務(wù)的請(qǐng)求而通過(guò)日志來(lái)實(shí)現(xiàn)。這還存在以下一些問(wèn)題，比如說(shuō)有的破壞方法可能找不出來(lái)源，這是由于他們不產(chǎn)生可檢測(cè)的標(biāo)簽。而從不同的來(lái)源的偽造攻擊，盡管產(chǎn)生了相同的事件，卻由于事件數(shù)據(jù)的不完整而被忽略。(2)異常檢測(cè)也稱(chēng)作基于行為的入侵檢測(cè)，即根據(jù)攻擊者的行為或網(wǎng)絡(luò)資源的使用狀況來(lái)判斷是否為入侵信號(hào)?；谛袨榈臋z測(cè)與系統(tǒng)無(wú)關(guān)，具有較強(qiáng)的通用性。它還能檢測(cè)出以前未出現(xiàn)過(guò)的攻擊行為，而不像基于知識(shí)的檢測(cè)那樣受已知特征的限制。常用的基于異常的檢