入侵检测技术原理研究论文 第8页
24 srv_count  number of connections to the same service as the current connection in the past two seconds在过去的两秒时间与当前连接一样连接到同一服务的连接次数  continuous
25 serror_rate  % of connections that have ``SYN'' errors 有序列号错误连接的百分率 continuous
26 srv_serror_rate  % of connections that have ``SYN'' errors 有序列号错误连接的百分率 continuous
27 rerror_rate  % of connections that have ``REJ'' errors 有“REJ”错误连接的百分率 continuous
28 srv_rerror_rate  % of connections that have ``REJ'' errors  continuous
29 same_srv_rate  % of connections to the same service 相同服务连接百分率 continuous
30 diff_srv_rate  % of connections to different services 不同服务连接的百分率 continuous
31 srv_diff_host_rate  % of connections to different hosts 不同主机连接的百分率 continuous
第32-41个字段为目标主机的传输特征
 feature name description  type
32 Dst_host_count Number of connections to the destination host as the current connection in the past two seconds continuous
33 Dst_host_srv_count Number of connections to the same service as the current connection in the past two seconds continuous
34 Dst_host_same_srv_rate % of connection to the same service continuous
35 Dst_host_diff_srv_rate % of connection to the different service continuous
36 Dst_host_same_src_port_rate % of connection to the same service continuous
37 Dst_host_srv_diff_host_rate % of connection to the different hosts同一服务 continuous
38 Dst_host_serror_rate % of connection that have ‘SYN’ errors continuous
39 Dst_host_srv_serror_rate % of connection that have ‘SYN’ errors同一服务 continuous
40 Dst_host_rerror_rate % of connection that have ‘REJ’ errors continuous
41 Dst_host_srv_rerror_rate % of connection that have ‘REJ’ errors同一服务 continuous
6.2数据中出现的攻击类型
我们根据上述数据的结构，分析了KDD CUP99数据包的10%test测试集和10%training 训练集。分离出数据中所含有的非正常数据和攻击类型。
6.2.1攻击（Attacks）
Attacks可以理解为试图渗透系统或绕过系统的安全策略，以获取信息、修改信息以及破坏目标网络或系统功能的行为。我们平时所说的黑客。本指精通计算机及编程技术的高手，现在代指攻击和非法窃取计算机及网络资源的电脑高手。我们现在所进行的入侵检测技术技术就是反攻击（Attacks）技术，它的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径（如Sniffer，Vpacket等程序）来获取所有的网络信息（数据包信息，网络流量信息、网络状态信息、网络管理信息等），这既是黑客进行攻击的必然途径，也是进行反攻击的必要途径；另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。
黑客对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过2000种，其中对绝大部分黑客攻击手段已经有相应的解决方法，这些攻击大概可以划分为以下六类：
1.拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象（通常是工作站或重要服务器）的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。
2.非授权访问尝试：是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。
3.预探测攻击：在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括SATAN扫描、端口扫描和IP半途扫描等。
4.可疑活动：是通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的活动，如IP Unknown Protocol和Duplicate IP Address事件等。
5.协议解码：协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTU User和Portmapper Proxy等解码方式。
6.系统代理攻击：这种攻击通常是针对单个主机发起的，而并非整个网络，通过RealSecure系统代理可以对它们进行监视。
6.2.2发现训练集中的攻击类型
我们发现训练集中共有22种攻击方式：back dos，buffer_overflow u2r，ftp_write r2l，guess_passwd r2l，imap r2l，ipsweep probe，land dos，loadmodule u2r，multihop r2l，neptune dos，nmap probe，perl u2r，phf r2l，pod dos，portsweep probe，rootkit u2r，satan probe，smurf dos，spy r2l，teardrop dos，warezclient r2l，warezmaster r2l。
land dos基于登陆的拒绝服务攻击。Land攻击是一种拒绝服务攻击。其攻击特征是：用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。检测技术这种攻击的方法是判断网络数据包的源地址和目标地址是否相同。预防这种攻击的方法是：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为（一般是丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址）。
teardrop dos泪滴攻击。Teardrop攻击也是一种拒绝服务攻击。其攻击特征是：Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。检测技术这种攻击的方法是对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。
预防这种攻击的方法是：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。
smurf dos是一种简单但有效的拒绝服务攻击技术，它利用了ICMP（Internet控制信息协议）。ICMP在Internet上用于错误处理和传递控制信息。它的功能之一是与主机联系，通过发送一个“回音请求”（echo request）信息包看看主机是否“活着”。最普通的ping程序就使用了这个功能。Smurf 是用一个偷来的帐号安装到一个计算机上的，然后用一个伪造的源地址连续ping一个或多个计算机网络，这就导致所有计算机所响应的那个计算机并不是实际发送这个信息包

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  ... 下一页  >>