入侵檢測系統(tǒng)綜述

摘 要：對于任何一個國家、企業(yè)或者個人來說，隨著計算機及網絡的發(fā)展，網絡安全問題是一個無法回避且重要的問題呈現(xiàn)在面前，很多非法分子或者合法用戶的不當使用都會對網絡系統(tǒng)造成破壞，針對這些行為要采用相應的技術進行制止或者預防，入侵檢測技術成為解決該問題的最好方法之一。文章主要簡綜述了入侵檢測系統(tǒng)的基本檢測方法。

關鍵詞：入侵檢測；入侵檢測系統(tǒng)；誤用檢測；異常檢測

1 入侵檢測系統(tǒng)概述

隨著計算機技術及網絡技術的不斷發(fā)展，計算機及數(shù)據(jù)的安全問題隨之出現(xiàn)，傳統(tǒng)的防火墻技術雖然可以進行有效的防御，但是由于其存在很多弊端，例如：很多外部訪問不經過防火墻；來自計算機數(shù)據(jù)庫內部的威脅等，防火墻就無能為力了，它并不能對已經進入計算機系統(tǒng)或者來自計算機數(shù)據(jù)庫內部威脅進行檢測；訪問控制系統(tǒng)可以根據(jù)權限來防止越權行為，但是很難保證具有高級權限的用戶對系統(tǒng)所做的破壞行為，也無法阻止低權限用戶非法活動高級權限對系統(tǒng)所進行的破壞；漏洞掃描系統(tǒng)是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查，然后根據(jù)掃描結果向用戶提供系統(tǒng)的安全性分析報告，以便用戶采取相應措施來提高網絡安全。它雖然可以發(fā)現(xiàn)系統(tǒng)和網絡漏洞，但無法對系統(tǒng)進行實時掃描，入侵檢系統(tǒng)可以進行實時掃描。

發(fā)現(xiàn)入侵行為就是入侵檢測。它通過從計算機網絡或系統(tǒng)的核心點收集信息并對其進行分析，然后從其中看網絡或系統(tǒng)中是否有違反安全策略的動作和被攻擊的跡象。入侵檢測目的是保證系統(tǒng)資源的可用性、機密性和完整性，要達到這個目的就要對系統(tǒng)的運行狀態(tài)進行監(jiān)視，以便發(fā)現(xiàn)各種攻擊操作、攻擊結果或者攻擊動態(tài)。進行入侵檢測的硬件與軟件的組合構成了入侵檢測系統(tǒng)，它能執(zhí)行所有的入侵檢測任務和功能，監(jiān)視或阻止入侵或者企圖控制系統(tǒng)或者網絡資源的行為，它可以實時檢測入侵者和入侵信息，并進行相應處理，最大化的保證系統(tǒng)安全。通過對系統(tǒng)各個環(huán)節(jié)來收集和分析信息，發(fā)現(xiàn)入侵活動的特征、對檢測到的行為自動作出響應、記錄并報告檢測過程及結果是入侵檢測系統(tǒng)的基本原理的四個部分。

入侵檢測系統(tǒng)從系統(tǒng)結構看，至少包括信息源、分析引擎和響應三個功能模塊。信息源的功能是分析引擎提供原始數(shù)據(jù)今夕入侵分析，信息源的正確性和可靠性直接影響入侵檢測的效果，要使檢測網絡系統(tǒng)軟件具有完整性，必須使IDS軟件自己有很強的堅固性；分析引擎的功能是執(zhí)行入侵或者異常行為檢測；分析引擎的結果提交給響應模塊后，響應模塊采取必要和適當?shù)拇胧?，阻止入侵行為或回復受損害的系統(tǒng)。分析引擎包括完整性分析、模式匹配和統(tǒng)計分析。響應可分為主動響應和被動響應。主動響應就是系統(tǒng)自動或者以用戶設置的方式阻斷攻擊過程或以其他方式來阻斷攻擊過程；被動響應是系統(tǒng)只報告和記錄發(fā)生的事件。響應包括簡單報警、切斷連接、封鎖用戶、改變文件屬性，最大的反應就是回擊攻擊者。

入侵檢測系統(tǒng)性能主要的參數(shù)是誤報和漏報。所謂誤報就是把正常事件的識別看做是攻擊；所謂漏報是指本來是攻擊事件卻沒被IDS檢測。根據(jù)入侵檢測技術系統(tǒng)采用的技術的不同，將IDS分為異常檢測系統(tǒng)和特征檢測系統(tǒng)。異常檢測把入侵活動異常于正常主體活動作為假設，建立一個“活動簡檔”作為正?；顒游臋n，對系統(tǒng)運行進行實時監(jiān)控，若發(fā)現(xiàn)當前主體的活動與其統(tǒng)計規(guī)律發(fā)生沖突時，便進行報警。異常入侵檢測技術與系統(tǒng)相對無關，通用性較強，甚至有可能檢測出以前未出現(xiàn)的攻擊行為，但誤檢率高，面臨受惡意訓練攻擊的可能。

特征檢測系統(tǒng)是把入侵者的活動用一種模式表示出來作為假設，對系統(tǒng)運行進行實時觀察，比較觀察到的對象與這些模式是否一致或者相符，一旦發(fā)生了相符情況，便進行報警。檢測準確度高是其最大的優(yōu)點，但是受已知知識的局限，另外對目標系統(tǒng)依賴性太強，不但移植性不好，維護工作量大，對于內部人員的入侵行為無能為力。

2 常見的入侵檢測方法

2.1 在異常入侵檢測系統(tǒng)中常常采用以下幾種檢測方法：

2.1.1 基于貝葉斯推理檢測法：是通過在任何給定的時刻，測量變量值，推理判斷系統(tǒng)是否發(fā)生入侵事件。

2.1.2 基于特征選擇檢測法：指從一組度量中挑選出能檢測入侵的度量，用它來對入侵行為進行預測或分類。

2.1.3 基于貝葉斯網絡檢測法：用圖形方式表示隨機變量之間的關系。通過指定的與鄰接節(jié)點相關一個小的概率集來計算隨機變量的聯(lián)接概率分布。按給定全部節(jié)點組合，所有根節(jié)點的先驗概率和非根節(jié)點概率構成這個集。貝葉斯網絡是一個有向圖，弧表示父、子結點之間的依賴關系。當隨機變量的值變?yōu)橐阎獣r，就允許將它吸收為證據(jù)，為其他的剩余隨機變量條件值判斷提供計算框架。

2.1.4 基于模式預測的檢測法：事件序列不是隨機發(fā)生的而是遵循某種可辨別的模式是基于模式預測的異常檢測法的假設條件，其特點是事件序列及相互聯(lián)系被考慮到了，只關心少數(shù)相關安全事件是該檢測法的最大優(yōu)點。

2.1.5 基于統(tǒng)計的異常檢測法：是根據(jù)用戶對象的活動為每個用戶都建立一個特征輪廓表，通過對當前特征與以前已經建立的特征進行比較，來判斷當前行為的異常性。用戶特征輪廓表要根據(jù)審計記錄情況不斷更新，其保護去多衡量指標，這些指標值要根據(jù)經驗值或一段時間內的統(tǒng)計而得到。

2.1.6 基于機器學習檢測法：是根據(jù)離散數(shù)據(jù)臨時序列學習獲得網絡、系統(tǒng)和個體的行為特征，并提出了一個實例學習法IBL，IBL是基于相似度，該方法通過新的序列相似度計算將原始數(shù)據(jù)（如離散事件流和無序的記錄）轉化成可度量的空間。然后，應用IBL學習技術和一種新的基于序列的分類方法，發(fā)現(xiàn)異常類型事件，從而檢測入侵行為。其中，成員分類的概率由閾值的選取來決定。

2.1.7 數(shù)據(jù)挖掘檢測法：數(shù)據(jù)挖掘的目的是要從海量的數(shù)據(jù)中提取出有用的數(shù)據(jù)信息。網絡中會有大量的審計記錄存在，審計記錄大多都是以文件形式存放的。如果靠手工方法來發(fā)現(xiàn)記錄中的異?，F(xiàn)象是遠遠不夠的，所以將數(shù)據(jù)挖掘技術應用于入侵檢測中，可以從審計數(shù)據(jù)中提取有用的知識，然后用這些知識區(qū)檢測異常入侵和已知的入侵。目前的方法有KDD算法，其優(yōu)點是善于處理大量數(shù)據(jù)的能力與數(shù)據(jù)關聯(lián)分析的能力，但是實時性較差。

2.1.8 基于應用模式的異常檢測法：該方法是根據(jù)服務請求類型、服務請求長度、服務請求包大小分布計算網絡服務的異常值。通過實時計算的異常值和所訓練的閾值比較，從而發(fā)現(xiàn)異常行為。

2.1.9 基于文本分類的異常檢測法：該方法是將系統(tǒng)產生的進程調用集合轉換為“文檔”。利用K最近鄰聚類文本分類算法，計算文檔的相似性。

2.2 誤用入侵檢測系統(tǒng)中常用的檢測方法有：

2.2.1 模式匹配法：是常常被用于入侵檢測技術中。它是通過把收集到的信息與網絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫中的已知信息進行比較，從而對違背安全策略的行為進行發(fā)現(xiàn)。模式匹配法可以顯著地減少系統(tǒng)負擔，有較高的檢測率和準確率。

2.2.2 專家系統(tǒng)法：這個方法的思想是把安全專家的知識表示成規(guī)則知識庫，再用推理算法檢測入侵。主要是針對有特征的入侵行為。

2.2.3 基于狀態(tài)轉移分析的檢測法：該方法的基本思想是將攻擊看成一個連續(xù)的、分步驟的并且各個步驟之間有一定的關聯(lián)的過程。在網絡中發(fā)生入侵時及時阻斷入侵行為，防止可能還會進一步發(fā)生的類似攻擊行為。在狀態(tài)轉移分析方法中，一個滲透過程可以看作是由攻擊者做出的一系列的行為而導致系統(tǒng)從某個初始狀態(tài)變?yōu)樽罱K某個被危害的狀態(tài)。

參考文獻

[1]李劍.入侵檢測技術[M].北京：高等教育出版社，2008.

[2]薛靜鋒.入侵檢測技術[M].北京：機械工業(yè)出版社，2004.

[3]吳慶濤，邵志清.入侵檢測研究綜述[J].計算機應用研究，2005，12.