72MLP在入侵检测中的应用

1实验数据集介绍在进行入侵检测技术的研究中，信息收集是第一步工作。入侵检测技术工作的顺利很大程度上依赖于收集信息的可靠性和正确性。本课题研究和测试所使用的数据集都是KDDCup99数据包，它是非常流行和广泛使用的数据包。(1)数据结构分析从数据集中抽取一条数据进行分析0,tcp,http,SF,159,4087,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,5,5,0.00,0.00,0.00,0.00,1.00,0.00,0.00,11,79,1.00,0.00,0.09,0.04,0.00,0.00,0.00,0.00,normal.观察得知词条数据共有41个有效字段。下面介绍每个有效字段含义：第1-9字段为独立TCP连接的基本特征featurenamedescriptiontype1duration持续时间length(numberofseconds)oftheconnection连接长度（秒数）Continuous连续型2protocol_type协议类型typeoftheprotocol,e.g.tcp,udp,etc.discrete离散型3service提供服务networkserviceonthedestination,e.g.,http,telnet,etc.目标的网络服务discrete离散型4flag标记normalorerrorstatusoftheconnectiondiscrete5src_bytes源字段numberofdatabytesfromsourcetodestination从数据源到目的地continuous6dst_bytes目的字段numberofdatabytesfromdestinationtosource从目的地到数据源continuous7land登陆1ifconnectionisfrom/tothesamehost/port;0otherwise连接是否同主机或同端口discrete8wrong_fragment出错帧numberof``wrong''fragmentscontinuous9urgent紧急包numberofurgentpacketscontinuous第10-22字段为连接中所包含的主要特征featurenamedescriptiontype10hot热点numberof``hot''indicators指示器数量Continuous连续型11num_failed_logins登录失败numberoffailedloginattempts尝试登录失败continuous12logged_in成功登录1ifsuccessfullyloggedin;0otherwisediscrete离散型13num_compromised警戒数numberof``compromised''conditionscontinuous14root_shell启动权1ifrootshellisobtained;0otherwisediscrete15su_attempted1if``suroot''commandattempted;0otherwisediscrete16num_rootnumberof``root''accesses接受的root访问数continuous17num_file_creationsNumberoffilecreationoperations建立文件操作数continuous18num_shellsNumberofshellprompts“shell”提示数continuous19num_access_filesnumberofoperationsonaccesscontrolfiles对访问控制文件的操作数continuous20num_outbound_cmdsnumberofoutboundcommandsinanftpsession在FTP会话中对外开放命令数continuous21is_hot_login1iftheloginbelongstothe``hot''list;0otherwise是否热情连接注册discrete22is_guest_login1iftheloginisa``guest''login;0otherwise是否访问者注册discrete第23-31字段为在两秒内计算传输向量featurenameDescriptiontype23countnumberofconnectionstothesamehostasthecurrentconnectioninthepasttwoseconds在过去的两秒时间与当前连接一样连接到同一主机的连接次数Continuous连续型24srv_countnumberofconnectionstothesameserviceasthecurrentconnectioninthepasttwoseconds在过去的两秒时间与当前连接一样连接到同一服务的连接次数continuous25serror_rate%ofconnectionsthathave``SYN''errors有序列号错误连接的百分率continuous26srv_serror_rate%ofconnectionsthathave``SYN''errors有序列号错误连接的百分率continuous27rerror_rate%ofconnectionsthathave``REJ''errors有“REJ”错误连接的百分率continuous28srv_rerror_rate%ofconnectionsthathave``REJ''errorscontinuous29same_srv_rate%ofconnectionstothesameservice相同服务连接百分率continuous30diff_srv_rate%ofconnectionstodifferentservices不同服务连接的百分率continuous31srv_diff_host_rate%ofconnectionstodifferenthosts不同主机连接的百分率continuous第32-41个字段为目标主机的传输特征featurenamedescriptiontype32Dst_host_countNumberofconnectionstothedestinationhostasthecurrentconnectioninthepasttwosecondscontinuous33Dst_host_srv_countNumberofconnectionstothesameserviceasthecurrentconnectioninthepasttwosecondscontinuous34Dst_host_same_srv_rate%ofconnectiontothesameservicecontinuous35Dst_host_diff_srv_rate%ofconnectiontothedifferentservicecontinuous36Dst_host_same_src_port_rate%ofconnectiontothesameservicecontinuous37Dst_host_srv_diff_host_rate%ofconnectiontothedifferenthosts同一服务continuous38Dst_host_serror_rate%ofconnectionthathave‘SYN’errorscontinuous39Dst_host_srv_serror_rate%ofconnectionthathave‘SYN’errors同一服务continuous40Dst_host_rerror_rate%ofconnectionthathave‘REJ’errorscontinuous41Dst_host_srv_rerror_rate%ofconnectionthathave‘REJ’errors同一服务continuous(2)数据集的攻击类型数据集中共有22种攻击方式：backdos，buffer_overflowu2r，ftp_writer2l，guess_passwdr2l，imapr2l，ipsweepprobe，landdos，loadmoduleu2r，multihopr2l，neptunedos，nmapprobe，perlu2r，phfr2l，poddos，portsweepprobe，rootkitu2r，satanprobe，smurfdos，spyr2l，teardropdos，warezclientr2l，warezmasterr2l。DOS:denial-of-service,e.g.synflood;R2L:unauthorizedaccessfromaremotemachine,e.g.guessingpassword;U2R:unauthorizedaccesstolocalsuperuser(root)privileges,e.g.,various``bufferoverflow''attacks;probing:surveillanceandotherprobing,e.g.,portscanning.landdos基于登陆的拒绝服务攻击。Land攻击是一种拒绝服务攻击。其攻击特征是：用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。检测技术这种攻击的方法是判断网络数据包的源地址和目标地址是否相同。预防这种攻击的方法是：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为（一般是丢弃该数据包），并对这种攻击进行审计（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址）。teardropdos泪滴攻击。Teardrop攻击也是一种拒绝服务攻击。其攻击特征是：Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。检测技术这种攻击的方法是对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。预防这种攻击的方法是：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。smurfdos是一种简单但有效的拒绝服务攻击技术，它利用了ICMP（Internet控制信息协议）。ICMP在Internet上用于错误处理和传递控制信息。它的功能之一是与主机联系，通过发送一个“回音请求”（echorequest）信息包看看主机是否“活着”。最普通的ping程序就使用了这个功能。Smurf是用一个偷来的帐号安装到一个计算机上的，然后用一个伪造的源地址连续ping一个或多个计算机网络，这就导致所有计算机所响应的那个计算机并不是实际发送这个信息包的那个计算机。这个伪造的源地址，实际上就是攻击的目标，它将被极大数量的响应信息量所淹没。对这个伪造信息包做出响应的计算机网络就成为攻击的不知情的同谋。预防这种攻击的方法是：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。buffer_overflowu2r缓冲区溢出攻击由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。