基于用戶模型的入侵檢測系統研究

摘要：本文針對網絡黑客盛行、越權訪問等問題凸現，對網絡入侵檢測技術的發展、關鍵技術及難題進行了深入研究，提出了一種基于用戶行為模型的入侵檢測系統，并通過加入用戶行為模塊和規則庫更新模塊提高系統的入侵檢測性能。

關鍵詞：入侵檢測系統 用戶行為 防御 模型

0 引言

隨著互聯網技術的日新月異的飛速發展，互聯網在人們的日常生活中扮演著必不可少的角色。但是在網絡給社會帶來方便的同時，黑客的盛行、數據資源的竊取、越權訪問等問題也凸顯出來，給經濟社會帶來不可忽視的嚴重后果。目前針對數據資源安全方面的防范機制，在一定程度上可以抵御非法入侵行為。但隨著入侵的方式越來越多，傳統的入侵檢測安全機制在很大程度上無法滿足迅速發展變化的入侵行為；另外更新過慢，致使數據安全面臨著很嚴峻的挑戰。

入侵檢測作為一種新的動態安全防御技術，是繼防火墻之后的第二道安全防線。入侵檢測針對檢測到的入侵行為采取對抗措施的行為，是動態安全技術的最核心技術之一，是安全防御體系的一個重要組成部分。

1 入侵檢測系統體系結構分類及特點

依據檢測系統的不同的數據來源，把入侵檢測系統分為以下三類：基于主機的入侵檢測系統（HIDS）、基于網絡的入侵檢測系統（NIDS）和混合分布式入侵檢測系統（DIDS）。

1.1 基于主機的入侵檢測系統

基于主機的入侵檢測系統：主要是通過監視與分析主機的審計記錄檢測入侵，在所使用的主機上提取數據作為數據源，進行分析檢測入侵。其主要特點是可以針對不同操作系統的特點捕捉應用層入侵事件。

1.2 基于網絡的入侵檢測系統

基于網絡的入侵檢測系統：通過偵聽共享網絡段上采集通訊數據分析可疑的行為，其數據源是網絡上的數據包。優點是檢測速度快、隱蔽性較好、視野相比基于主機的系統更寬。因它使用較少的檢測器故對主機內存資源消耗很小，且使用統一的網絡協議進行網絡交互，這樣就無需考慮主機是否屬于同構架構。

1.3 混合分布式入侵檢測系統

若想更好的檢測入侵行為，就必須把基于主機的入侵檢測系統和基于網絡的入侵檢測系統更好的結合起來，這就是所謂的混合分布式入侵檢測系統。從不同的主機系統、網絡部件或者通過網絡監聽等方式采集數據，從而利用網絡數據或者采集與主機系統的事件來檢測違背安全策略的入侵行為。

2 入侵檢測關鍵技術

入侵檢測技術手段就目前而言，主要分為兩類，一是實時的檢測；二是事后分析。

2.1 模式匹配

模式匹配就是將收集到的操作行為與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。傳統匹配算法技術成熟，準確率高，但存在兩大缺陷:一是不能適應高速網絡環境；二是丟包率高。

2.2 異常檢測

異常檢測，也稱基于行為的檢測，其基本前提是假定所有的入侵行為都是異常的。原理是首先建立系統或用戶的“正常”行為特征輪廓，通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。

統計分析是在異常入侵檢測中用的最普遍的技術，該方法中用一些稱為統計分析檢測點的統計變量刻畫用戶或系統的行為。統計方法的優點是它可以“學習”用戶的使用習慣，從而具有較高檢出率與可用性。但是它的“學習”能力也給入侵者機會，通過逐步“訓練”使入侵事件符合正常操作的統計規律，透過入侵檢測系統。

2.3 完整性分析技術

整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被更改的應用程序方面特別有效。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用于實時響應，用于事后分析。

3 用戶行為建模

用戶行為模型是根據用戶行為進行分析整理，挖掘出用戶行為的特征，并對提取到的用戶行為建立相應的用戶行為數據庫來進行組織管理。庫中數據就是所謂的用戶行為的形式化的描述信息，方便進行基于用戶行為的入侵行為檢測。構建用戶行為模型的常用技術主要是在利用專門的監聽軟件，通過監聽用戶的一些使用行為，以及瀏覽的網絡資源的記錄，然后從數據挖掘的角度可以分為基于規則的和基于統計的兩種。基于規則的方法主要思想是預定義一些與用戶行為相關的特征，通過數據挖掘的手段，挖掘出用戶興趣偏好，并建立相應的數據庫進行存儲。基于統計的建模方式就是利用統計學的方法對用戶行為進行處理得出入侵行為的一些統計學特征。

4 基于用戶行為模型的入侵檢測系統

基于對已有入侵檢測系統和技術的研究，本文采用混合分布式檢測方式，將基于主機和基于網絡的系統有機地結合起來，采用數據挖掘技術及數據建模技術實現基于用戶行為模型的入侵檢測系統，嘗試取兩種檢測系統架構的優點避其缺點來更好的滿足檢測需求。系統規則數據庫會隨著新的攻擊類型和新的合法的使用模式的出現而自動增添新的規則，并根據遺忘曲線的規律對規則庫進行動態更新，這樣就提高了系統的擴展性和環境適應性。

基于用戶行為模型的入侵檢測系統的工作原理是利用監聽軟件提取用戶在網絡上對于共享數據的操作行為，這些行為都屬于符合安全策略的行為；運用數據建模技術對用戶行為進行特征提取，進而進行數據建模得到一個規則庫；運用模式匹配技術來判斷用戶行為的合法性，來決定是否允許此用戶行為。規則庫中具有自動更新功能，根據遺忘曲線的規律對規則庫進行動態更新，這樣就提高了系統的擴展性和環境適應性。

5 結論

本文融合了兩種流行的入侵檢測系統—基于網絡的入侵檢測系統和基于主機的入侵檢測系統的優點，在檢測系統中加入用戶行為模塊，通過對用戶行為建模得出符合安全策略的用戶行為規則庫，進而利用模式匹配方法對用戶的操作行為進行安全性檢測。通過加入規則庫更新模塊，依據遺忘曲線規律對規則庫進行更新來提高系統應對急速變化的入侵行為，進而提高系統的檢測速度。

參考文獻：

[1]Wenke Lee. A Data Mining Framework for Constructing Features and Models for Intrusion Detection Sysytems[D].PhD thesis， Columbia University.June 1999.

[2]喻飛，朱妙松，朱淼良等.入侵檢測系統中特征匹配的改進[J].計算機工程與應用，2004，39(29):32～35.

[3]李仁發，李紅，喻飛等.入侵檢測系統中負載均衡研究與仿真[J].系統仿真學報，2004，16(7):1444～1449.

[4]Li Zhitang，Yang Hongyun.A funzzy intrusion detection model [J].Computer Engineering Science，2000，22(2):49-53.

[5]Karen Frederick著，林琪譯.入侵檢測特征與分析[M].北京:中國電力出版社.2002.

[6]Mehmed Kantardzic著，閃四清，陳茵，程雁等譯.數據挖掘—概念、模型、方法和算法[M].北京:清華大學出版社.2003.