决策树技术在基于Web入侵检测技术中的应用研究.docVIP

决策树技术在基于Web入侵检测技术中的应用研究 　　摘要:在分析了Web服务器的安全性问题后,根据入侵检测技术的原理,提出应用基于误用的检测技术检测针对Web服务器的攻击,针对基于误用检测技术的不足,简述了决策树技术的原理,提出了应用决策树技术改进原来的规则分类,并通过实例验证了其可行性。 　　关键词:决策树;入侵检测;Web服务器;ID3 　　中图分类号:TP393.02文献标识码:A文章编号:1007-9599 (2010) 01-0000-03 　　 　　一、引言 　　 　　越来越多的公司、政府部门和个人都使用Web站点作为信息发布和资源共享的平台,Web应用日趋广泛,安全性也日益突出,因此对入侵攻击的检测与防范、保障计算机系统、网络系统的安全已经成为刻不容缓的重要课题,尤其是保护Web服务器的安全问题更加紧迫。 　　Web服务的安全问题可分为两部分:一部分是传输中的安全问题,包括数据防窃听和数据完整性等;另一部分是Web服务器端和客户端本身的安全性问题。前者可以通过各种安全协议来加强其安全性;而后者,就需要通过防火墙和入侵检测(Intrusion Detection)技术来进行防范。 　　一般来说,防火墙的抗攻击性很强,但仅依靠防火墙作为对Web服务器的保护是不充分的,需要通过入侵检测技术来对其进行防范。 　　入侵检测通常分为异常检测和误用检测。误用检测模型是收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是非法入侵。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。 　　异常检测模型首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵,但是异常检测的假设是入侵者活动异常于正常主体的活动(如用户行为和系统资源使用情况等),建立正常活动的“活动模式”,当主体的活动违反其统计规律时,认为可能是“入侵”行为。这种方法虽然能检测未知攻击,但较难建立合理的“活动模式”,有时异常并不意味着入侵,所以该方法一直存在误警率高的问题。此外,确定“正常”行为特征轮廓和选取特征量都很困难,又由于需要实时地建立和更新系统或用户的特征轮廓,所以所需的计算量很大,异常检测会消耗更多的系统资源。 　　研究表明,一个能检测网络应用层攻击的有效的入侵检测系统至少应该具备以下两个条件: 　　(一)检测的准确性。高误警率将会使入侵检测系统失去使用价值。 　　(二)检测的实时性。快速检测到攻击,能进行及时响应。 　　为了满足保护Web服务器的要求,采用误用检测技术设计基于Web的入侵检测系统效果最佳。 　　 　　二、现有检测方法的不足 　　 　　从本质上来说,现有入侵检测系统对于检测针对Web服务器的攻击,都是采用基于规则检测的入侵检测方法,如著名的入侵检测系统Snort2.0,针对每一种入侵行为,都提炼出它的特征并按照规范写成检验规则,从而形成一个规则数据库。然后将捕获的数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。 　　下面通过一个实例来说明现有入侵检测系统针对Web服务器攻击的检测方法:NT IIS Showcode ASP攻击是一种以获取非法访问权限为目的的,该攻击通过构造特定的URL请求,达到可以非法阅读服务器上的其他文件的目的。对于这个入侵实例,检测的关键是判断端口号和数据段内容,而IP地址、协议类型和TCP标志位只是辅助的特征码。 　　NT IIS Showcode ASP攻击所构造的URL请求内容为:http://attackhost/msadc/Samples/SELECTOR/showcode.asp?当开始分析原始数据包时,就直接匹配端口和数据段的内容,无疑针对该入侵行为上述做法的匹配效率是最高的,但是实际上这样做会降低整体检测的效率,因为入侵检测系统要对庞大的网络数据逐一进行检测,应该遵循先检测所有入侵行为的共同特征,其次才是个体特征的原则,例如如果首先检测IP地址,一旦发现其不属于检测范围之内,就立即检测下一个数据包而并非继续检测该包的其他字段。这样既保证了检测的快速性,又提高了报警的实时性。 　　Snort规则的基本内容为:规则动作、协议类型、源IP地址、源端口号、目的IP地址、目的端口号、特征数据段等。对于上述攻击的检测,Snort的规则内容为:alert tcp !$HOME_NET any-$HOME_NET 80(msg:CAN-1999-0736-IIS-showcode;flagsA; uricontent:/selector/showcode.as