董雪

摘要：入侵檢測系統(tǒng)作為網(wǎng)絡安全監(jiān)測中的重要防線，近年來已成為各國的研究熱點，入侵檢測與數(shù)據(jù)挖掘技術的結合已成為大勢所趨。該文對網(wǎng)絡安全中常見的入侵行為進行了分析與總結，并淺析了數(shù)據(jù)挖掘技術在入侵檢測中的應用步驟，以及在每個步驟中應該完成的事項。

關鍵詞：入侵行為；入侵檢測；網(wǎng)絡安全；數(shù)據(jù)挖掘

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）19-0004-02

1 引言

隨著信息時代的來臨，人們?nèi)粘Ｉ詈凸ぷ饕央x不開網(wǎng)絡的支持[1]，但隨之而來的互聯(lián)網(wǎng)安全問題也成為現(xiàn)在人們關注的熱點[2]，用戶信息的泄露、黑客的攻擊、個人隱私的盜取、“釣魚”網(wǎng)站的欺詐等問題都不斷考驗著網(wǎng)絡的安全性能，傳統(tǒng)的防火墻技術只能避免一類攻擊的威脅[3]，卻不能防止從LAN內(nèi)部的攻擊，而入侵檢測技術的出現(xiàn)很好地填補了主動防御的空缺，并彌補了傳統(tǒng)防火墻技術的缺陷[4]。

我國對入侵檢測技術的研究相對國外較晚，目前處于初期起步階段，2001年清華大學發(fā)布了我國第一個分布式入侵檢測系統(tǒng)DCIDS，隨后南京大學、哈工大、哈理工等都先后投入到入侵檢測系統(tǒng)的研究[5]，它可以主動地檢測內(nèi)部和外部非法攻擊以及誤操作等內(nèi)容，針對網(wǎng)絡安全問題，高性能的入侵檢測系統(tǒng)有利于組建更加完善的安全防御體系。

2 常見入侵行為

入侵行為主要是指對網(wǎng)絡信息通過技術手段進行收集、分析以及整理后，對所發(fā)現(xiàn)的系統(tǒng)漏洞與弱點，有針對性地對服務器、安全設備以及網(wǎng)絡設備等目標系統(tǒng)進行資源入侵與攻擊，或者是機密信息的盜取、監(jiān)視與控制等活動。

2.1 拒絕服務攻擊行為

拒絕服務攻擊DoS（Denial of Service）是通過利用合理的服務請求來非法占用盡可能多的共享服務資源，壓垮服務計算機，導致合法的用戶沒有辦法及時獲得服務響應，系統(tǒng)運行變得緩慢，甚至癱瘓，拒絕服務攻擊是一種最易于實施的攻擊行為，且效果明顯，防范起來有一定難度，而在此基礎上出現(xiàn)的DDoS（Distubuted Denial of Service，分布式拒絕服務）攻擊，防范難度更高，常見的攻擊有死亡之ping（ping of death）、淚滴（teardrop）、UDP（UDPflood）、SNY洪水（SNYflood）、Land攻擊、Fraggle攻擊、電子郵件炸彈、畸形消息攻擊等。簡單的拒絕服務攻擊安裝了防火墻即可抵御，而分布式拒絕服務攻擊是目前最難預防的網(wǎng)絡攻擊之一，防范方式也更加復雜，主要以預防為主，預防的主要方式有篩查系統(tǒng)漏洞、負載均衡、CDN流量清洗、分布式集群防御、系統(tǒng)資源優(yōu)化、過濾不必要的服務和端口、限制特定流量、擴充帶寬、使用硬件防火墻以及選用高性能設備等。

2.2 緩沖區(qū)溢出攻擊行為

緩沖區(qū)溢出攻擊是指攻擊者通過將超過有限空間緩沖區(qū)容量的字符串寫入緩沖區(qū)，由于緩沖區(qū)沒有足夠大的空間而發(fā)生的緩沖區(qū)溢出，緩沖區(qū)溢出可能會導致超長字符串將相鄰存儲單元覆蓋掉，使得部分程序運行失敗，甚至引起系統(tǒng)的崩潰，或者攻擊者也有可能利用緩沖區(qū)溢出漏洞執(zhí)行任意指令，嚴重的可能獲得系統(tǒng)的特級權限，威脅系統(tǒng)安全。一般情況下，緩沖區(qū)溢出攻擊的方法有三種，分別是在程序的地址空間里安排適當?shù)拇a、植入綜合代碼的流程控制以及將控制程序轉移到攻擊代碼的形式?，F(xiàn)階段防范緩沖區(qū)溢出攻擊的方法主要有正確的編寫代碼、數(shù)組邊界的檢查、程序指針完整性的檢查以及非執(zhí)行的緩沖區(qū)。

2.3 網(wǎng)絡監(jiān)聽攻擊行為

網(wǎng)絡監(jiān)聽是指當數(shù)據(jù)在網(wǎng)絡中進行傳播的時候，尤其是個人隱私以及機密信息等，通過工具可將網(wǎng)絡接口設置成為有監(jiān)聽的模式，設置后便可將正在網(wǎng)絡中傳播的數(shù)據(jù)捕獲到或者截獲，然后便可加以攻擊。目前防范網(wǎng)絡監(jiān)聽的措施主要有使用反監(jiān)聽工具進行檢測、對網(wǎng)絡進行邏輯或物理的分段以及使用加密技術等。

2.4 IP地址欺騙攻擊行為

IP地址欺騙攻擊是指利用TCP/IP協(xié)議本身存在的某些缺陷，對行動產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，也就是偽造他人的源IP地址。IP地址欺騙攻擊也是常見的黑客攻擊形式之一，攻擊者使被信任關系的主機網(wǎng)絡暫時癱瘓，同時對目標主機某個端口發(fā)出的TCP序列號進行采樣，并猜測它的數(shù)據(jù)序列號。之后偽裝成為被信任主機，建立與目標主機基于地址驗證的應用連接，這樣就完成了IP地址欺騙攻擊。防范IP地址欺騙攻擊的方式主要有禁止建立基于IP地址的信任關系，而采用基于密碼的認證機制、在路由器上對數(shù)據(jù)包進行監(jiān)控、數(shù)據(jù)加密、使用IP安全協(xié)議等。

2.5 端口掃描攻擊行為

端口掃描是指攻擊者向某臺目標計算機發(fā)送一組端口掃描消息，而一個端口就是一個潛在的入侵通道，通過端口掃描獲取目標計算機所提供的計算機網(wǎng)絡服務類型，一般情況下端口掃描有三個目的：一是識別目標計算機上正在運行的TCP或UDP服務；二是識別目標計算機是哪種類型的操作系統(tǒng)；三是識別某個應用程序或某個特定服務的版本號，利用這些信息來發(fā)現(xiàn)目標系統(tǒng)的安全漏洞，并加以攻擊。防范端口掃描的策略主要有在防火墻上采用更嚴格的過濾規(guī)則、關閉閑置和有潛在危險的端口、為某些網(wǎng)絡服務更改默認端口等。

2.6 口令攻擊行為

口令是網(wǎng)絡系統(tǒng)一種最常見、使用最方便、應用范圍最廣的證明身份的“信物”。網(wǎng)絡系統(tǒng)利用口令來驗證用戶身份、確定用戶權限、實施訪問控制。口令攻擊是指攻擊者通過非法方式獲得口令，冒充合法用戶侵入系統(tǒng)，奪取系統(tǒng)控制權的過程。它是攻擊者最喜歡的網(wǎng)絡攻擊方式之一，也是進行網(wǎng)絡攻擊最基本、最重要、最有效的方式之一。防范網(wǎng)絡攻擊常用的措施主要有加強口令安全、檢測和防止網(wǎng)絡偵聽。

2.7 計算機病毒攻擊行為

計算機病毒攻擊是指攻擊者將具有損壞計算機功能或者破壞數(shù)據(jù)的代碼或一組計算機指令植入計算機程序中，該代碼或計算機指令具有自我復制功能，并能直接影響計算機的使用。它具有非授權可執(zhí)行性、隱蔽性、潛伏性、破壞性、傳染性、可觸發(fā)性等特性。常見的計算機病毒主要有系統(tǒng)病毒、蠕蟲病毒、木馬病毒、腳本病毒、宏病毒、后門病毒以及玩笑病毒等。計算機病毒攻擊的防范方法主要有安裝殺毒軟件、增強防火墻的過濾功能、及時為操作系統(tǒng)打補丁、關閉不常用的服務、不使用來歷不明的存儲設備以及不隨便下載網(wǎng)絡上的軟件等。

2.8 電子郵件攻擊行為

電子郵件攻擊有兩種類型，一種稱之為郵件炸彈，指攻擊者利用偽造的IP地址和郵件地址對目標郵箱發(fā)送數(shù)量巨大的垃圾郵件，而造成的網(wǎng)絡流量長時間占用計算機處理器時間，過多消耗系統(tǒng)資源，嚴重時可導致系統(tǒng)癱瘓；另一種是郵件欺騙，指攻擊者偽裝成系統(tǒng)管理員，給用戶發(fā)送虛假郵件要求用戶更改口令，或者是所發(fā)送的郵件中含有帶病毒的附件。郵件攻擊的防范策略是使用安全電子郵件、實時監(jiān)測電子郵件流量、在郵件服務器設置用戶郵箱限額管理等。

2.9 網(wǎng)頁攻擊行為

網(wǎng)頁攻擊是指某些惡意網(wǎng)頁通過含有安全漏洞的軟件或系統(tǒng)操作平臺，執(zhí)行嵌入在網(wǎng)頁HTML超本標記語言內(nèi)的JavaApplet小應用程序、Javascript腳本語言程序、ActiveX軟件部件交互技術支持可自動執(zhí)行的代碼程序，來強制執(zhí)行修改用戶操作系統(tǒng)的注冊表及系統(tǒng)使用配置程序等操作，甚至達到非法占用系統(tǒng)資源、破壞數(shù)據(jù)、格式化硬盤、感染木馬程序的意圖。網(wǎng)頁攻擊方式有修改IE標題欄、瀏覽器默認首頁被修改并且鎖定設置項以及禁止使用注冊表編輯器等。防范網(wǎng)頁攻擊的措施有安裝殺毒軟件、過濾指定網(wǎng)頁、禁用運程注冊表服務以及設定安全級別等。

3 數(shù)據(jù)挖掘技術在入侵檢測中的研究

現(xiàn)有的防范網(wǎng)絡入侵的方式都具有一定的局限性，且對網(wǎng)絡安全分析人員的水平有一定要求。入侵檢測通過檢測系統(tǒng)的審計數(shù)據(jù)或網(wǎng)絡數(shù)據(jù)包信息，來判斷系統(tǒng)或網(wǎng)絡是否受到攻擊，然后做出相應的防護措施。其作為一種積極主動的安全防護技術具有很高的綜合性，可對多種入侵行為進行檢測，又由于其具有主動性，能夠防止入侵行為的發(fā)生，減少或者有效避免入侵行為帶來的不良后果。

數(shù)據(jù)挖掘技術在入侵檢測領域的應用已成為入侵檢測研究的發(fā)展趨勢，網(wǎng)絡及系統(tǒng)每時每刻都在產(chǎn)生著海量的與網(wǎng)絡安全密切相關的數(shù)據(jù)，由于這些數(shù)據(jù)源極其分散并且數(shù)據(jù)格式多種多樣使得入侵檢測技術從簡單的統(tǒng)計分析變化到如今的與數(shù)據(jù)挖掘技術的結合，入侵檢測系統(tǒng)正朝著高檢測率、低誤報率的方向發(fā)展。

將數(shù)據(jù)挖掘技術應用到入侵檢測研究中要經(jīng)歷六個階段：⑴ 對網(wǎng)絡安全問題進行定義，即入侵檢測系統(tǒng)完成什么樣的目標；⑵對網(wǎng)絡和系統(tǒng)產(chǎn)生的與網(wǎng)絡安全相關的數(shù)據(jù)進行數(shù)據(jù)理解，對數(shù)據(jù)源的數(shù)量、特征以及完整性等方面進行分析；⑶ 對經(jīng)過初步處理的網(wǎng)絡安全數(shù)據(jù)集進行數(shù)據(jù)清洗、數(shù)據(jù)融合、統(tǒng)一存儲，形成一個更全面與準確度更高的綜合性網(wǎng)絡安全數(shù)據(jù)集；⑷ 網(wǎng)絡安全模型的建立，即利用數(shù)據(jù)挖掘算法在網(wǎng)絡安全數(shù)據(jù)集上建模，現(xiàn)階段大量用于入侵檢測系統(tǒng)方面的算法主要有支持向量機、關聯(lián)算法、分類算法等；⑸ 對入侵檢測系統(tǒng)中建立的網(wǎng)絡安全監(jiān)測模型進行評估，衡量所建模型監(jiān)測的準確率等問題；⑹ 網(wǎng)絡安全模型準確率達標后，可對其進行部署并開始使用。

4 結語

網(wǎng)絡技術的發(fā)展日益成熟，伴隨而來的是越來越嚴重的網(wǎng)絡安全問題，通過分析常見的入侵行為后發(fā)現(xiàn)，數(shù)據(jù)挖掘技術與入侵檢測系統(tǒng)的結合至關重要，可以在一定程度上幫助人們更好的防范入侵行為的發(fā)生并在入侵行為發(fā)生后快速做出應對措施。

參考文獻：

[1] 張玲，白中英，謝康.動態(tài)疫苗接種的入侵檢測側方法[J].北京郵電大學學報，2014，37（Z）：77.

[2] 解男男.機器學習方法在入侵檢測中的應用研究[D].吉林大學，2015.

[3] 郭勝國，邢丹丹.入侵檢測系統(tǒng)的方法研究[J].電腦編程技巧與維護，2016（4）.

[4] Rao S，Gupta P.Implementing Improved Algorithm Over APRIORIData Mining Association Rule Algorithm 1[J].2012.

[5] 蘇一丹，李桂.網(wǎng)絡攻擊的形式化建模探討[J].計算機工程與應用，2004（23）：135-136.