基于人工智能的Linux网络入侵检测系统的设计.pdf

《基于人工智能的Linux网络入侵检测系统的设计.pdf》由会员分享，可在线阅读，更多相关《基于人工智能的Linux网络入侵检测系统的设计.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第2 2 卷第三届全国软件测试会议与移动计算、栅格、智能化高级论坛论文集2 1 9 基于人工智能的L i n u x 网络入侵检测系统的设计T h eD e s i g no fN e t w o r kI n t r u s i o nD e t e c t i o nS y s t e mi nL i n u xb a s e do nA r t i i f c i a lI n t e l l i g e n c e龚成清(广东女子职业技术学院广州5 1 1 4 5 0)【摘要】随着网络技术的发展，网络入侵的手段也越来越复杂。网络入侵检测系统是属于主动的网络安全防御体系，是保证网络安全的

2、有效手段。把人工智能的方法引入到网络入侵检测系统的设计中，设计出了一个L i n u x系统下的网络入侵检测系统，并对系统的每个功能模块的实现作了介绍。基于人工智能的入侵检测系统具有高效率，智能化的特点。【关键词】入侵检测系统，人工智能，数据包，协议，攻击中图分类号：T P 3 9 3 0 8文献标识码：AA B S T R A C TW i t ht h eD e v e l o p m e n to fn e t w o r kT e c h n o l o g y，t h em e t h o do fN e t w o r kI n t r u s i o ni sm o r ea n

3、 dm o r eC o m p l e x N e t w o r kI n t r u s i o n D e t e c t i o nS y s t e mi sa nA c t i v eN e t w o r kS a f e t yR e c o v e r yS y s t e m I ti sa nE f f e c t i v eM e a s u r et oG u a r a n t e et h eN e t w o r ks a f e t y T h i sp a p e ru s e dt h eA r t i i f c i a lI n t e l l i

4、g e n c et Od e s i g naN e t w o r kI n t r u s i o nD e t e c t i o nS y s t e m I td e s i g n e daN e t w o r kI n t r u s i o nD e t e c t i o ni nL i n u xo p e r a t i n gs y s t e ma n dg a v ei n t r o d u c t i o nt Ot h er e a l i z a t i o no fe v e r yf u n c t i o nm o d u l e N e t w

5、o r kI n t r u s i o nD e t e c t i o nb a s e do nA r t i i f c i a lI n t e l l i g e n c ei sH i g h e f f i c i e n c ya n dI n t e l l i g e n c e K E Y W O R D Si n t r u s i o nd e t e c t i o ns y s t e m，a r t i i f c i a li n t e l l i g e n c e p a c k a g e，p r o t o c o l，a t t a c k随着网

6、络技术的飞速发展，网络的安全问题也日渐严峻。为了保护系统的安全，人们利用网络防火墙、密码技术、身份认证等措施防止黑客的入侵。但这些被动的防御措施也暴露出很多技术的不足，于是，就提出了主动的网络安全防御体系，网络入侵检测系统就是这种体系的典型代表。L i n u x 的操作系统正越来越广泛地被应用于网络服务器，虽然L i n u x 系统比w i n d o w s 系统要安全，但由于网络的开放性，采用I A n u x 操作系统的网络服务器也难免在入侵之列。因此，一个功能完善的网络入侵检测系统对于L i n u x 系统的安全就显得尤为重要了。当前，人们对人工智能的研究正在日益深入。人工智能也

7、越来越广泛地应用在各类系统之中。在网络入侵检测系统引入人工智能的技术将会大大提升系统的性能。1 人工智能的概念人工智能是计算机科学的一个分支，是一门研究运用计算机模拟和延伸人脑功能的综合性学科。其精确的定义是：一个电脑系统具有人类知识和行为，并具有学习、推断、判断来解决问题、记忆知识和了解人类自然语言的能力。它是在神经生理学、语言哲学、控制论、信息论、计算机科学等学科的基础上发展起来的一门学科。人工智能的两个核心是“人工”和“智能”。人工智能的研究范围包括自然语言处理、机器人学和知识系统这三个方面。现在对人工智能的研究往往采用三条途径：一是采用生物学的方法，弄清人类智能的本质；二是用计算机科学

8、方法研究，即采用以网络连接为主的连接机制，利用人工神经网络，模拟人类的形象思维，该方法可以解决难以用符号表示的知识，三是采用生理学的方法。随着人工智能理论和技术研究的日渐成熟，人工智能技术开始应用于各类的系统中。2 网络入侵检测系统设计的原理入侵检测系统根据检测的对象可分为基于主机的入侵检测系统H I D S(H o s tI n t r u s i o nD e t e c t i o nS y s t e m)和基于网络的入侵检测系统N I D S(N e t w o r kI n t r u s i o nD e t e c t i o nS y s t e m)纠。H I D S 是根

9、据主机系统的系统日志和*2 0 0 9 0 5 1 2 收到，2 0 0 9 0 6 2 7 改回*龚成清，男。1 9 7 9 年生，讲师，硕士，研究方向：网络安全数据库。2 2 0 基于人工智能的L i n u x 网络入侵检测系统的设计审计记录来进行检测分析。通过对系统日志和审计记录不问断地监视和分析来发现攻击，这种系统的主要目的是在事件发生后提供足够的分析来阻止进一步的攻击，其主要的优点是能够监视特定系统的行为，但H I D S 除了检测自身的主机外，根本不检测网络上的情况。单独地依靠主机审计信息进行入侵检测已经难以适应网络安全的需求了。人们就提出了基于网络检测系统的体系结构。N I D

10、 S 是使用原始网络数据包作为数据源，根据网络流量、网络数据包和协议来分析检测入侵，其基本原理如图l 所示。N I D S 不依赖于具体的操作系统，能够检测到H I D S 无法检测到的入侵，具有低成本、实时检测和响应、人侵对象不容易销毁证据等优点引。3 人工智能在l i n u x 网络入侵检测系统的应用根据入侵检测系统N I D S 的设计的原理，我们应用人工智能的方法在l i n u x 系统下设计出一个人侵检测系统。系统的总体结构如图2 所示。本系统从逻辑上分为数据采集、数据分析和结果显示三大部分，由7 个模块组成：网络数据包捕获模块：该模块主要功能是从以太网中获取捕获数据包，为网络协

11、议分析模块提供足够的数据系统管理模块萄碘_网络数据包捕获模块1图1 系统设计原理知识推理规则库夏亘圈耍匿墅茎卜 二二j 耍羹塑匿二一!奎竺兰皇入侵检测模块I 口规则解析模块存储模块肚=网络协议分析模块网络数据包捕获模块入侵规则库网络图2 系统总体结构图源。数据包的捕获方必需要有很高的实时性，如果捕获不及时就会有漏包的情况出现，这样就有可能让一些可疑的数据包有机可乘了。为此，在实现的时候采用了一个在L i n u x 下非常流行的B P F 捕获机制。B P F 封装了底层的调用，并且作了优化处理，不需要用底层的调用来编写代码就可以获得非常优越的性能。利用L i n u x 下提供的l i b

12、p c a p 函数库就很容易实现B P F 的捕获机制。网络协议分析模块：网络协议分析模块就是对捕获到的数据包进行协议分析，检测出每个数据包的类型和特征并进行详细的分析，确定是否有入侵的行为发生。该模块的设计将直接影响到入侵检测的性能。在本系统中，我们分析了网络中的大部分协议，包括：以太网协议，A R P R A R P、I P、T C P、U D P、H T T P 等。存储模块：此模块主要功能是及时地存储网络的信息，供事后分析用。存储模块从网络协议模块和其他模块中获取数据信息通常有两种方法：推方法(P U S H)和拉方法(P U I。L)。推方法是在协议分析模块分析一个数据包的时候就把

13、数据信息推给存储模块；拉方法是存储模块需要数据时查询协议分析模块，一起获得最新的数据信息。推方法对于入侵检测系统来说是一种比较好的结构。本系统采用的就是推方法，当协议分析模块在分析一个网络数据包的时候就把分析后的数据信息马上存储到数据库中。在这个模块中，除了实现网络信息的存储外，还实现了对存储的数据信息进行统计分析。规则解析模块：该模块的主要目的是通过建立人侵规则库，把定义好的入侵规则库从文件中读取出来进行解析，读人内存，为人侵事件检测模块服务。由于入侵攻击的种类非常多，而且新的入侵方法不断涌现，如果都用静态的代码来实现入侵事件的话，系统将变得非常的庞大。因此，引人人工智能的方法建立一种入侵事

14、件描述语言，用入侵事件描述语言来描述规则，用规则来描述一个入侵事件来实现动态地建立规则。入侵规则库中主要存放以下数据：a 所有明确拒绝的访问的对应规则，如很多D o S 等黑客攻击手段。b 设定对所采集到数据包的分析策略，比如在规则中定义对哪些协议，哪些地址，哪些端1 2 1，哪些域在哪些不同的情况下进行不同的分析，设定哪些规则是相联的，以及关联规则执行的先后顺序等。使得整个分析过程表现出一定的智能性以及达到一定的专家水平。入侵规则库是用规则集表示的知识集合。用于存储关于入侵特征的知识，是进行推理的基础。规则采用产生式的形式。对于很多的规则检验还需要采用规则关联的方式进行。规则关联是一个非常强

15、大的功能特性：利用规则之间的关联可以很大程度上提高检测的准确性。这个系统所采用的规则集形式描述如下：第2 2 卷第三届全国软件测试会议与移动计算、栅格、智能化高级论坛论文集2 2 1 I F(前提)(前提)T H E N(结论)或(动作)。下面举例说明对R P CD C o M 的溢出漏洞攻击的规则库设计。为了使这个系统能精确有效的判断出这个攻击，需要对规则库进行3 条相联规则的设置，其具体设置如下(伪语言)：(R I：B i n d R e q，*规则名*3I F(口P a c k e t h e a d e r p r o=6*匹配I P 包头的协议字段为6，即T C P 包*)(T C

16、P P a c k e t h e a d e r D p o r t=1 3 5，*匹配T C P 包头的目标端口字段为1 3 5。即R P CD C O M 漏洞常用的攻击端口*)(T c Ps t a t e-T C Pe s t a b l i s h e d，*匹配T C P 包状态为已建立且从连接的发起者发出*)(C H E C KP A Y L O A DH E A D E R#*匹配R P CD C O MB I N D 包的p a y l o a d 特征，R P C 包头及两个特定的U U I D*)T H E N(S e t E v e n t”预警：R P CD C O

17、 M 绑定请求”，*定义可能出现在告警日志的事件信息。*)*说明：此规则匹配一个攻击会话中必定先于实际攻击数据包出现的绑定R P CD C O M 的数据包。以此规则匹配出来的事件不单独触发告警。用于被以下的两个规则做关联。*)(R 2：S e r N a m e O v e r f l o w，*规则名*$r e q u i r e sB i n d R e q$*指定需要B i n d R e q 规则先要被匹配到，本规则才能使用。*I F(I P P a c k e t h e a d e r p r o=6，*同上条规则一样的前提条件。*)(T C PP a c k e t h e a

18、 d e r D p o r t=1 3 5，*同上条规则一样的前提条件*)(T C P s t a t e=T C P e s t a b l i s h e d，*同上条规则一样的前提条件。*)(；眯C H E C K P A Y L O A D H O S T*匹配攻击数据包的p a y l o a d 特征，检查是否存在超过3 2 字节的主机名*)T H E N(S e t E v e n t”预警R P CD C O M 长主机名的栈溢出攻击尝试”，*定义可能出现在告警日志的事件信息。随后也可进行通知管理员或防火墙的操作*)*说明：此规则匹配R P CD C O M 长主机名的栈溢出

19、攻击。*)(R 3：P a t h N a m e O v e r f l o w*规则名*$r e q u i r e sB i n d R e q$*同上条规则一样的前提条件。*I F(I PP a c k e t h e a d e r p r o=6，*同上条规则一样的前提条件。)(T C PP a c k e t h e a d e r D p o r t=1 3 5，*同上条规则一样的前提条件*)(T C P s t a t e-T C Pe s t a b l i s h e d，*同上条规则一样的前提条件*)(C H E C K P A Y L O A D P A T H t

20、匹配攻击数据包的p a y l o a d 特征，检查是否存在超长的路径名。*)T H E N(S e t E v e n t”预警：R P CD C O M 长路径名的堆溢出攻击尝试一*定义可能出现在告警日志的事件信息，随后也可进行通知管理员或防火墙的操作。*)*说明：此规则匹配R P CD C O M 长路径名的堆溢出攻击*)入侵事件描述语言的建立是一项非常复杂的工程。在本系统中，我们采用了基于协议分析的入侵描述语言，用此语言来描述规则。入侵事件检测模块：该模块的主要功能是检测是否有入侵行为的发生。这个模块就是在协议分析的基础上，对捕获的数据包进行规则解析。把协议分析的结果作为检测的对象，

21、运用入侵事件描述语言，对规则库进行匹配来检测是否有入侵行为的存在。其流程如图3。响应模块：响应是入侵检测系统中一个必不可少的部分，当系统检测到入侵的时候，只有通过响应才可以进行相应的处理。入侵检测系统的响应可以分为主动响应和被动响应两种 3 。目前大多数入侵检测系统采用的都是被动响应的方式。被动响应图3 入侵检测流程处理起来比较简单，但功能也比较单一，自动化程度较低。为此，我们引入人工智能的知识，在本系统中采用了主动响应的方式。在主动响应模块中，系统的整个智能推理机制是建立在知识推理规则库的基础上的。利用现有的知识推理2 2 2 基于人工智能的L i n u x 网络入侵检测系统的设计2 0

22、0 9 拄库，系统自动地或以用户设置的方式来阻断攻击过程或以其他方式影响攻击过程，可以选择的措施通常有三种：第一种就是针对人侵者采取的措施，即跟踪人侵者实施攻击的发起地，并采取措施以禁用入侵者的机器或网络连接；第二种措施就是修正系统，即辨认出问题所在并将引起问题的部分隔离起来；第三种措施就是收集更详细的信息，利用专用的服务器作为诱骗系统引诱攻击者进入，记录下攻击者的行为，从而获得关于攻击者的详细信息。基于人工智能的主动响应不仅能够阻止正在进行的攻击，而且计算机能够对攻击作出自动的反应，效率较高且大大提升了系统的智能性。系统同时把入侵行为和响应动作记录下来写到日志文件为事后分析提供依据。界面管理

23、模块：界面就是为了控制方便而设计的。在本系统中使用了G T K+的技术来设计界面。G T K+是L i n u x 系统中一个应用非常广泛的界面开发技术4 1。在这个模块里，为了实现数据的动态显示，使用了多线程的技术，用一个线程捕获数据包，一个线程分析数据包，一个线程显示数据包。多线程的技术大大地增加了系统的性能。4 结束语入侵检测系统对网络安全至关重要。随着网络技术的发展，入侵的手段也越来越多样化、复杂化，对人侵检测系统技术要求也越来越高。本文在传统入侵检测系统的基础上引入了人工智能的方法，能够高效地检测出网络的常见入侵行为并自动进行相应处理，改善了入侵检测系统的智能，大大提升了入侵检测系统

24、的性能。参考文献 1 万玛宁，关永人工智能技术在计算机辅助教学中的应用研究E J 微计算机信息。2 0 0 6(2 2)；2 5 7 2 6 0 2 胡昌振网络入侵检测原理与技术 M 北京：北京理工大学出版社2 0 0 6 3 3罗守山。入侵检测 M 北京：北京邮电大学出版社。2 0 0 4 1-4 3范永开。杨爱林L I N U X 应用开发技术详解 M 北京：人民邮电出版社。2 0 0 6(上接第2 1 3 页)3 2 学习软件测试的方法学习方法的好坏和学习习惯对学习效果的影响非常大，以下是软件测试初学者需要注意的几个地方：勤学好问：问题积累是学习的拦路虎。时问越久，问题越多，给学习造成了

25、很大的阻力，更甚者会让初学者心生放弃。三人行必有我师，勤学好问，不要滋生“历史”遗留问题。充分利用各类学习资源：软件测试的资源非常丰富，书籍、网站、论坛、技术交流群等唾手可得。充分利用这些资源可以缩短学习和解决问题的周期，使学习更加高效。细心、耐心：软件测试是对人技术和意志的一种考验，不细心就有可能与缺陷擦肩而过，没有耐心就无法将枯燥的测试进行到底。只有充分的细心和耐心才能适应和完成软件测试工作。“怀疑”精神：定性思维往往是发生错误的根源，因此，软件测试人员需要对软件抱有怀疑态度，考虑每个细节，而不是想当然的接受任何假设。沟通能力：软件测试人员必须具有良好的人际关系和沟通能力。由于需要经常和开

26、发人员、测试组其他成员进行沟通，所以软件测试人员说话办事必须稳重得当，不能随意指责别人，否则会事倍功半，影响软件测试的效率。在学习软件测试的过程中，利用各种有利机会，多与人进行沟通和交流。最后，希望更多有识之士能够加入软件测试大家庭，与我们共同徜徉在软件测试这五彩缤纷的世界。参考文献 1 把冉软件测试行业特别调查 J 中国经济信息，2 0 0 8(9)：7 4 7 6 2 美I R o nP a t t o n 著周予滨，姚静译软件测试 M 北京：机械工业出版社2 0 0 8 3 3软件测试的几个误区 Z h t t p：u s e r q z o n e q q c o m 3 3 5 4 6 3 1 2 0 0 8 0 6 3 1 4 黄茗云。王英龙，张洪亮软件测试热点浅析 J 信息技术与信息化，2 0 0 8(2)：2 6 2 8 基于人工智能的Linux网络入侵检测系统的设计基于人工智能的Linux网络入侵检测系统的设计作者：龚成清作者单位：广东女子职业技术学院 广州 511450 本文链接：http:/