ＩＤＳ分析系統

[摘要] IDS分析系統從IDS存儲系統中的數據進行進一步的分析，通常采用兩種類型的檢測技術，基于行為的檢測和基于知識的檢測。

[關鍵詞] 檢測 行為 知識

隨著病毒，黑客入侵事件的日益猖獗，只從防御的角度構造安全系統是不夠的。入侵檢測（IDS）技術是繼“防火墻”、“數據加密”等傳統安全保護措施后新一代的安全保障技術。

本文提出的基于部件的分布式入侵檢測系統FONIX，其主要組成部分包括主要部件有：網絡引擎、主機代理、存儲系統、IDS分析系統、響應系統、控制臺。

IDS分析系統在整個FONIX系統中處于二級分析結構中，它從存儲系統中的數據進行進一步的分析。由于分析系統和存儲系統是利用統一的網絡接口交換數據，所以一個IDS中可能有多個分析系統，每個分析系統采用的檢測方法也不一定相同。在同一個分析系統中，也可以同時使用多種檢測方法，對相同的數據使用不同的檢測方法進行分析，對各自的檢測結果進行比較，可以提高檢測準確度，也可以完善不同的檢測方法。

分析系統可以采用兩種類型的檢測技術:基于行為的檢測和基于知識的檢測。

一、基于行為的檢測

基于行為的檢測指根據使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現來檢測，所以也被稱為異常檢測(Anomaly Detection)。基于行為的檢測與系統相對無關，通用性較強，能夠檢測出以前未出現過的攻擊方法，其主要缺陷在于誤檢率很高。基于行為的檢測方法主要有以下兩種。

1.概率統計方法

概率統計方法要通過檢測器并根據用戶對象的動作為每個用戶都建立一個用戶特征表，通過比較當前特征與已存儲定型的以前特征，來判斷是否是異常行為。用戶特征表需要根據審計記錄情況不斷地加以更新。用于描述特征的變量類型有:操作密度;審計記錄分布;范疇尺度;數值尺度。

這些變量所記錄的具體操作包括：CPU 的使用，I/O 的使用，使用地點及時間，郵件使用，編輯器使用，編譯器使用，所創建、刪除、訪問或改變的目錄及文件，網絡上活動等。

這種方法的優越性在于能應用成熟的概率統計理論。但也有一些不足之處，如：統計檢測對事件發生的次序不敏感，定義是否入侵的判斷閾值也比較困難等。

2.神經網絡方法

利用神經網絡檢測入侵的基本思想是用一系列信息單元(命令)訓練神經單元，這樣在給定一組輸入后，就可能預測出輸出。與統計理論相比，神經網絡更好地表達了變量間的非線性關系，并且能自動學習并更新。

二、基于知識的檢測

基于知識的檢測也被稱為違規檢測(Misuse Detection)。這種方法依據具體特征庫進行判斷，即運用已知攻擊方法，根據已定義好的入侵模式，通過判斷這些入侵模式是否出現來檢測。

主要缺陷在于與具體系統依賴性太強，難以檢測出內部人員的入侵行為。基于知識的檢測方法大致有以下3種。

1.專家系統

專家系統是將有關入侵的知識轉化成if-then結構的規則，即將構成入侵所要求的條件轉化為if 部分，將發現入侵后采取的相應措施轉化成then部分。其中的if-then結構構成了描述具體攻擊的規則庫。

專家系統主要缺陷有全面性問題，即難以科學地從各種入侵手段中抽象出全面的規則化知識；其次效率。

2.模型推理

模型推理是指結合攻擊腳本推理出入侵行為是否出現。其中有關攻擊者行為的知識被描述為：攻擊者目的，攻擊者達到此目的的可能行為步驟，以及對系統的特殊使用等。

模型推理方法的優越性在于：對不確定性的推理有合理的數學理論基礎，同時決策器使得攻擊腳本可以與審計記錄的上下文無關。另外，這種檢測方法也減少了需要處理的數據量。

3.狀態轉換分析

狀態轉換法將入侵過程看作一個行為序列，這個行為序列導致系統從初始狀態轉入被入侵狀態。分析時首先針對每一種入侵方法確定系統的初始狀態和被入侵狀態，以及導致狀態轉換的轉換條件，即導致系統進入被入侵狀態必須執行的操作(特征事件)。然后用狀態轉換圖來表示每一個狀態和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄。

狀態轉換分析法的缺點是不善于分析過分復雜的事件，而且不能檢測與系統狀態無關的入侵。

三、結束語

IDS分析系統在整個IDS系統中處于二級分析結構中，它從存儲系統中的數據進行進一步的分析。分析系統通常采用兩種類型的檢測技術，基于行為的檢測和基于知識的檢測。

基于行為的檢測技術包括概率統計方法，神經網絡方法。基于知識的檢測技術分為專家系統；模型推理與狀態轉換分析。

參考文獻:

[1]R.Agrawal and R.Srikant.Mining sequential patterns.In Proceedings of the 11th International Conference on Data Engineering ，Taipei，Taiwan，1995

[2]R.Agrawal，T.Imielinski，and A.Swami.Mining association rules between sets of items in arge databases.In Proceedings of the ACM SIGMOD Conference on Management of Data ，pages 207 216，1993

[3]Atkins，P.Buis，C.Hare，R.Kelley，C.Nachenberg，A.B.Nelson，P.Phillips，T.Ritchey，and W.Steen.Internet Security Professional Reference .New Riders Publishing，1996