董雪

摘要：入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全監(jiān)測(cè)中的重要防線，近年來(lái)已成為各國(guó)的研究熱點(diǎn)，入侵檢測(cè)與數(shù)據(jù)挖掘技術(shù)的結(jié)合已成為大勢(shì)所趨。該文對(duì)網(wǎng)絡(luò)安全中常見(jiàn)的入侵行為進(jìn)行了分析與總結(jié)，并淺析了數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)中的應(yīng)用步驟，以及在每個(gè)步驟中應(yīng)該完成的事項(xiàng)。

關(guān)鍵詞：入侵行為；入侵檢測(cè)；網(wǎng)絡(luò)安全；數(shù)據(jù)挖掘

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）19-0004-02

1 引言

隨著信息時(shí)代的來(lái)臨，人們?nèi)粘Ｉ詈凸ぷ饕央x不開(kāi)網(wǎng)絡(luò)的支持[1]，但隨之而來(lái)的互聯(lián)網(wǎng)安全問(wèn)題也成為現(xiàn)在人們關(guān)注的熱點(diǎn)[2]，用戶信息的泄露、黑客的攻擊、個(gè)人隱私的盜取、“釣魚(yú)”網(wǎng)站的欺詐等問(wèn)題都不斷考驗(yàn)著網(wǎng)絡(luò)的安全性能，傳統(tǒng)的防火墻技術(shù)只能避免一類(lèi)攻擊的威脅[3]，卻不能防止從LAN內(nèi)部的攻擊，而入侵檢測(cè)技術(shù)的出現(xiàn)很好地填補(bǔ)了主動(dòng)防御的空缺，并彌補(bǔ)了傳統(tǒng)防火墻技術(shù)的缺陷[4]。

我國(guó)對(duì)入侵檢測(cè)技術(shù)的研究相對(duì)國(guó)外較晚，目前處于初期起步階段，2001年清華大學(xué)發(fā)布了我國(guó)第一個(gè)分布式入侵檢測(cè)系統(tǒng)DCIDS，隨后南京大學(xué)、哈工大、哈理工等都先后投入到入侵檢測(cè)系統(tǒng)的研究[5]，它可以主動(dòng)地檢測(cè)內(nèi)部和外部非法攻擊以及誤操作等內(nèi)容，針對(duì)網(wǎng)絡(luò)安全問(wèn)題，高性能的入侵檢測(cè)系統(tǒng)有利于組建更加完善的安全防御體系。

2 常見(jiàn)入侵行為

入侵行為主要是指對(duì)網(wǎng)絡(luò)信息通過(guò)技術(shù)手段進(jìn)行收集、分析以及整理后，對(duì)所發(fā)現(xiàn)的系統(tǒng)漏洞與弱點(diǎn)，有針對(duì)性地對(duì)服務(wù)器、安全設(shè)備以及網(wǎng)絡(luò)設(shè)備等目標(biāo)系統(tǒng)進(jìn)行資源入侵與攻擊，或者是機(jī)密信息的盜取、監(jiān)視與控制等活動(dòng)。

2.1 拒絕服務(wù)攻擊行為

拒絕服務(wù)攻擊DoS（Denial of Service）是通過(guò)利用合理的服務(wù)請(qǐng)求來(lái)非法占用盡可能多的共享服務(wù)資源，壓垮服務(wù)計(jì)算機(jī)，導(dǎo)致合法的用戶沒(méi)有辦法及時(shí)獲得服務(wù)響應(yīng)，系統(tǒng)運(yùn)行變得緩慢，甚至癱瘓，拒絕服務(wù)攻擊是一種最易于實(shí)施的攻擊行為，且效果明顯，防范起來(lái)有一定難度，而在此基礎(chǔ)上出現(xiàn)的DDoS（Distubuted Denial of Service，分布式拒絕服務(wù)）攻擊，防范難度更高，常見(jiàn)的攻擊有死亡之ping（ping of death）、淚滴（teardrop）、UDP（UDPflood）、SNY洪水（SNYflood）、Land攻擊、Fraggle攻擊、電子郵件炸彈、畸形消息攻擊等。簡(jiǎn)單的拒絕服務(wù)攻擊安裝了防火墻即可抵御，而分布式拒絕服務(wù)攻擊是目前最難預(yù)防的網(wǎng)絡(luò)攻擊之一，防范方式也更加復(fù)雜，主要以預(yù)防為主，預(yù)防的主要方式有篩查系統(tǒng)漏洞、負(fù)載均衡、CDN流量清洗、分布式集群防御、系統(tǒng)資源優(yōu)化、過(guò)濾不必要的服務(wù)和端口、限制特定流量、擴(kuò)充帶寬、使用硬件防火墻以及選用高性能設(shè)備等。

2.2 緩沖區(qū)溢出攻擊行為

緩沖區(qū)溢出攻擊是指攻擊者通過(guò)將超過(guò)有限空間緩沖區(qū)容量的字符串寫(xiě)入緩沖區(qū)，由于緩沖區(qū)沒(méi)有足夠大的空間而發(fā)生的緩沖區(qū)溢出，緩沖區(qū)溢出可能會(huì)導(dǎo)致超長(zhǎng)字符串將相鄰存儲(chǔ)單元覆蓋掉，使得部分程序運(yùn)行失敗，甚至引起系統(tǒng)的崩潰，或者攻擊者也有可能利用緩沖區(qū)溢出漏洞執(zhí)行任意指令，嚴(yán)重的可能獲得系統(tǒng)的特級(jí)權(quán)限，威脅系統(tǒng)安全。一般情況下，緩沖區(qū)溢出攻擊的方法有三種，分別是在程序的地址空間里安排適當(dāng)?shù)拇a、植入綜合代碼的流程控制以及將控制程序轉(zhuǎn)移到攻擊代碼的形式?，F(xiàn)階段防范緩沖區(qū)溢出攻擊的方法主要有正確的編寫(xiě)代碼、數(shù)組邊界的檢查、程序指針完整性的檢查以及非執(zhí)行的緩沖區(qū)。

2.3 網(wǎng)絡(luò)監(jiān)聽(tīng)攻擊行為

網(wǎng)絡(luò)監(jiān)聽(tīng)是指當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)中進(jìn)行傳播的時(shí)候，尤其是個(gè)人隱私以及機(jī)密信息等，通過(guò)工具可將網(wǎng)絡(luò)接口設(shè)置成為有監(jiān)聽(tīng)的模式，設(shè)置后便可將正在網(wǎng)絡(luò)中傳播的數(shù)據(jù)捕獲到或者截獲，然后便可加以攻擊。目前防范網(wǎng)絡(luò)監(jiān)聽(tīng)的措施主要有使用反監(jiān)聽(tīng)工具進(jìn)行檢測(cè)、對(duì)網(wǎng)絡(luò)進(jìn)行邏輯或物理的分段以及使用加密技術(shù)等。

2.4 IP地址欺騙攻擊行為

IP地址欺騙攻擊是指利用TCP/IP協(xié)議本身存在的某些缺陷，對(duì)行動(dòng)產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，也就是偽造他人的源IP地址。IP地址欺騙攻擊也是常見(jiàn)的黑客攻擊形式之一，攻擊者使被信任關(guān)系的主機(jī)網(wǎng)絡(luò)暫時(shí)癱瘓，同時(shí)對(duì)目標(biāo)主機(jī)某個(gè)端口發(fā)出的TCP序列號(hào)進(jìn)行采樣，并猜測(cè)它的數(shù)據(jù)序列號(hào)。之后偽裝成為被信任主機(jī)，建立與目標(biāo)主機(jī)基于地址驗(yàn)證的應(yīng)用連接，這樣就完成了IP地址欺騙攻擊。防范IP地址欺騙攻擊的方式主要有禁止建立基于IP地址的信任關(guān)系，而采用基于密碼的認(rèn)證機(jī)制、在路由器上對(duì)數(shù)據(jù)包進(jìn)行監(jiān)控、數(shù)據(jù)加密、使用IP安全協(xié)議等。

2.5 端口掃描攻擊行為

端口掃描是指攻擊者向某臺(tái)目標(biāo)計(jì)算機(jī)發(fā)送一組端口掃描消息，而一個(gè)端口就是一個(gè)潛在的入侵通道，通過(guò)端口掃描獲取目標(biāo)計(jì)算機(jī)所提供的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)類(lèi)型，一般情況下端口掃描有三個(gè)目的：一是識(shí)別目標(biāo)計(jì)算機(jī)上正在運(yùn)行的TCP或UDP服務(wù)；二是識(shí)別目標(biāo)計(jì)算機(jī)是哪種類(lèi)型的操作系統(tǒng)；三是識(shí)別某個(gè)應(yīng)用程序或某個(gè)特定服務(wù)的版本號(hào)，利用這些信息來(lái)發(fā)現(xiàn)目標(biāo)系統(tǒng)的安全漏洞，并加以攻擊。防范端口掃描的策略主要有在防火墻上采用更嚴(yán)格的過(guò)濾規(guī)則、關(guān)閉閑置和有潛在危險(xiǎn)的端口、為某些網(wǎng)絡(luò)服務(wù)更改默認(rèn)端口等。

2.6 口令攻擊行為

口令是網(wǎng)絡(luò)系統(tǒng)一種最常見(jiàn)、使用最方便、應(yīng)用范圍最廣的證明身份的“信物”。網(wǎng)絡(luò)系統(tǒng)利用口令來(lái)驗(yàn)證用戶身份、確定用戶權(quán)限、實(shí)施訪問(wèn)控制?？诹罟羰侵腹粽咄ㄟ^(guò)非法方式獲得口令，冒充合法用戶侵入系統(tǒng)，奪取系統(tǒng)控制權(quán)的過(guò)程。它是攻擊者最喜歡的網(wǎng)絡(luò)攻擊方式之一，也是進(jìn)行網(wǎng)絡(luò)攻擊最基本、最重要、最有效的方式之一。防范網(wǎng)絡(luò)攻擊常用的措施主要有加強(qiáng)口令安全、檢測(cè)和防止網(wǎng)絡(luò)偵聽(tīng)。

2.7 計(jì)算機(jī)病毒攻擊行為

計(jì)算機(jī)病毒攻擊是指攻擊者將具有損壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)的代碼或一組計(jì)算機(jī)指令植入計(jì)算機(jī)程序中，該代碼或計(jì)算機(jī)指令具有自我復(fù)制功能，并能直接影響計(jì)算機(jī)的使用。它具有非授權(quán)可執(zhí)行性、隱蔽性、潛伏性、破壞性、傳染性、可觸發(fā)性等特性。常見(jiàn)的計(jì)算機(jī)病毒主要有系統(tǒng)病毒、蠕蟲(chóng)病毒、木馬病毒、腳本病毒、宏病毒、后門(mén)病毒以及玩笑病毒等。計(jì)算機(jī)病毒攻擊的防范方法主要有安裝殺毒軟件、增強(qiáng)防火墻的過(guò)濾功能、及時(shí)為操作系統(tǒng)打補(bǔ)丁、關(guān)閉不常用的服務(wù)、不使用來(lái)歷不明的存儲(chǔ)設(shè)備以及不隨便下載網(wǎng)絡(luò)上的軟件等。

2.8 電子郵件攻擊行為

電子郵件攻擊有兩種類(lèi)型，一種稱之為郵件炸彈，指攻擊者利用偽造的IP地址和郵件地址對(duì)目標(biāo)郵箱發(fā)送數(shù)量巨大的垃圾郵件，而造成的網(wǎng)絡(luò)流量長(zhǎng)時(shí)間占用計(jì)算機(jī)處理器時(shí)間，過(guò)多消耗系統(tǒng)資源，嚴(yán)重時(shí)可導(dǎo)致系統(tǒng)癱瘓；另一種是郵件欺騙，指攻擊者偽裝成系統(tǒng)管理員，給用戶發(fā)送虛假郵件要求用戶更改口令，或者是所發(fā)送的郵件中含有帶病毒的附件。郵件攻擊的防范策略是使用安全電子郵件、實(shí)時(shí)監(jiān)測(cè)電子郵件流量、在郵件服務(wù)器設(shè)置用戶郵箱限額管理等。

2.9 網(wǎng)頁(yè)攻擊行為

網(wǎng)頁(yè)攻擊是指某些惡意網(wǎng)頁(yè)通過(guò)含有安全漏洞的軟件或系統(tǒng)操作平臺(tái)，執(zhí)行嵌入在網(wǎng)頁(yè)HTML超本標(biāo)記語(yǔ)言內(nèi)的JavaApplet小應(yīng)用程序、Javascript腳本語(yǔ)言程序、ActiveX軟件部件交互技術(shù)支持可自動(dòng)執(zhí)行的代碼程序，來(lái)強(qiáng)制執(zhí)行修改用戶操作系統(tǒng)的注冊(cè)表及系統(tǒng)使用配置程序等操作，甚至達(dá)到非法占用系統(tǒng)資源、破壞數(shù)據(jù)、格式化硬盤(pán)、感染木馬程序的意圖。網(wǎng)頁(yè)攻擊方式有修改IE標(biāo)題欄、瀏覽器默認(rèn)首頁(yè)被修改并且鎖定設(shè)置項(xiàng)以及禁止使用注冊(cè)表編輯器等。防范網(wǎng)頁(yè)攻擊的措施有安裝殺毒軟件、過(guò)濾指定網(wǎng)頁(yè)、禁用運(yùn)程注冊(cè)表服務(wù)以及設(shè)定安全級(jí)別等。

3 數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)中的研究

現(xiàn)有的防范網(wǎng)絡(luò)入侵的方式都具有一定的局限性，且對(duì)網(wǎng)絡(luò)安全分析人員的水平有一定要求。入侵檢測(cè)通過(guò)檢測(cè)系統(tǒng)的審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包信息，來(lái)判斷系統(tǒng)或網(wǎng)絡(luò)是否受到攻擊，然后做出相應(yīng)的防護(hù)措施。其作為一種積極主動(dòng)的安全防護(hù)技術(shù)具有很高的綜合性，可對(duì)多種入侵行為進(jìn)行檢測(cè)，又由于其具有主動(dòng)性，能夠防止入侵行為的發(fā)生，減少或者有效避免入侵行為帶來(lái)的不良后果。

數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)領(lǐng)域的應(yīng)用已成為入侵檢測(cè)研究的發(fā)展趨勢(shì)，網(wǎng)絡(luò)及系統(tǒng)每時(shí)每刻都在產(chǎn)生著海量的與網(wǎng)絡(luò)安全密切相關(guān)的數(shù)據(jù)，由于這些數(shù)據(jù)源極其分散并且數(shù)據(jù)格式多種多樣使得入侵檢測(cè)技術(shù)從簡(jiǎn)單的統(tǒng)計(jì)分析變化到如今的與數(shù)據(jù)挖掘技術(shù)的結(jié)合，入侵檢測(cè)系統(tǒng)正朝著高檢測(cè)率、低誤報(bào)率的方向發(fā)展。

將數(shù)據(jù)挖掘技術(shù)應(yīng)用到入侵檢測(cè)研究中要經(jīng)歷六個(gè)階段：⑴ 對(duì)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行定義，即入侵檢測(cè)系統(tǒng)完成什么樣的目標(biāo)；⑵對(duì)網(wǎng)絡(luò)和系統(tǒng)產(chǎn)生的與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)進(jìn)行數(shù)據(jù)理解，對(duì)數(shù)據(jù)源的數(shù)量、特征以及完整性等方面進(jìn)行分析；⑶ 對(duì)經(jīng)過(guò)初步處理的網(wǎng)絡(luò)安全數(shù)據(jù)集進(jìn)行數(shù)據(jù)清洗、數(shù)據(jù)融合、統(tǒng)一存儲(chǔ)，形成一個(gè)更全面與準(zhǔn)確度更高的綜合性網(wǎng)絡(luò)安全數(shù)據(jù)集；⑷ 網(wǎng)絡(luò)安全模型的建立，即利用數(shù)據(jù)挖掘算法在網(wǎng)絡(luò)安全數(shù)據(jù)集上建模，現(xiàn)階段大量用于入侵檢測(cè)系統(tǒng)方面的算法主要有支持向量機(jī)、關(guān)聯(lián)算法、分類(lèi)算法等；⑸ 對(duì)入侵檢測(cè)系統(tǒng)中建立的網(wǎng)絡(luò)安全監(jiān)測(cè)模型進(jìn)行評(píng)估，衡量所建模型監(jiān)測(cè)的準(zhǔn)確率等問(wèn)題；⑹ 網(wǎng)絡(luò)安全模型準(zhǔn)確率達(dá)標(biāo)后，可對(duì)其進(jìn)行部署并開(kāi)始使用。

4 結(jié)語(yǔ)

網(wǎng)絡(luò)技術(shù)的發(fā)展日益成熟，伴隨而來(lái)的是越來(lái)越嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題，通過(guò)分析常見(jiàn)的入侵行為后發(fā)現(xiàn)，數(shù)據(jù)挖掘技術(shù)與入侵檢測(cè)系統(tǒng)的結(jié)合至關(guān)重要，可以在一定程度上幫助人們更好的防范入侵行為的發(fā)生并在入侵行為發(fā)生后快速做出應(yīng)對(duì)措施。

參考文獻(xiàn)：

[1] 張玲，白中英，謝康.動(dòng)態(tài)疫苗接種的入侵檢測(cè)側(cè)方法[J].北京郵電大學(xué)學(xué)報(bào)，2014，37（Z）：77.

[2] 解男男.機(jī)器學(xué)習(xí)方法在入侵檢測(cè)中的應(yīng)用研究[D].吉林大學(xué)，2015.

[3] 郭勝國(guó)，邢丹丹.入侵檢測(cè)系統(tǒng)的方法研究[J].電腦編程技巧與維護(hù)，2016（4）.

[4] Rao S，Gupta P.Implementing Improved Algorithm Over APRIORIData Mining Association Rule Algorithm 1[J].2012.

[5] 蘇一丹，李桂.網(wǎng)絡(luò)攻擊的形式化建模探討[J].計(jì)算機(jī)工程與應(yīng)用，2004（23）：135-136.