入侵檢測系統綜述

摘 要：對于任何一個國家、企業或者個人來說，隨著計算機及網絡的發展，網絡安全問題是一個無法回避且重要的問題呈現在面前，很多非法分子或者合法用戶的不當使用都會對網絡系統造成破壞，針對這些行為要采用相應的技術進行制止或者預防，入侵檢測技術成為解決該問題的最好方法之一。文章主要簡綜述了入侵檢測系統的基本檢測方法。

關鍵詞：入侵檢測；入侵檢測系統；誤用檢測；異常檢測

1 入侵檢測系統概述

隨著計算機技術及網絡技術的不斷發展，計算機及數據的安全問題隨之出現，傳統的防火墻技術雖然可以進行有效的防御，但是由于其存在很多弊端，例如：很多外部訪問不經過防火墻；來自計算機數據庫內部的威脅等，防火墻就無能為力了，它并不能對已經進入計算機系統或者來自計算機數據庫內部威脅進行檢測；訪問控制系統可以根據權限來防止越權行為，但是很難保證具有高級權限的用戶對系統所做的破壞行為，也無法阻止低權限用戶非法活動高級權限對系統所進行的破壞；漏洞掃描系統是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查，然后根據掃描結果向用戶提供系統的安全性分析報告，以便用戶采取相應措施來提高網絡安全。它雖然可以發現系統和網絡漏洞，但無法對系統進行實時掃描，入侵檢系統可以進行實時掃描。

發現入侵行為就是入侵檢測。它通過從計算機網絡或系統的核心點收集信息并對其進行分析，然后從其中看網絡或系統中是否有違反安全策略的動作和被攻擊的跡象。入侵檢測目的是保證系統資源的可用性、機密性和完整性，要達到這個目的就要對系統的運行狀態進行監視，以便發現各種攻擊操作、攻擊結果或者攻擊動態。進行入侵檢測的硬件與軟件的組合構成了入侵檢測系統，它能執行所有的入侵檢測任務和功能，監視或阻止入侵或者企圖控制系統或者網絡資源的行為，它可以實時檢測入侵者和入侵信息，并進行相應處理，最大化的保證系統安全。通過對系統各個環節來收集和分析信息，發現入侵活動的特征、對檢測到的行為自動作出響應、記錄并報告檢測過程及結果是入侵檢測系統的基本原理的四個部分。

入侵檢測系統從系統結構看，至少包括信息源、分析引擎和響應三個功能模塊。信息源的功能是分析引擎提供原始數據今夕入侵分析，信息源的正確性和可靠性直接影響入侵檢測的效果，要使檢測網絡系統軟件具有完整性，必須使IDS軟件自己有很強的堅固性；分析引擎的功能是執行入侵或者異常行為檢測；分析引擎的結果提交給響應模塊后，響應模塊采取必要和適當的措施，阻止入侵行為或回復受損害的系統。分析引擎包括完整性分析、模式匹配和統計分析。響應可分為主動響應和被動響應。主動響應就是系統自動或者以用戶設置的方式阻斷攻擊過程或以其他方式來阻斷攻擊過程；被動響應是系統只報告和記錄發生的事件。響應包括簡單報警、切斷連接、封鎖用戶、改變文件屬性，最大的反應就是回擊攻擊者。

入侵檢測系統性能主要的參數是誤報和漏報。所謂誤報就是把正常事件的識別看做是攻擊；所謂漏報是指本來是攻擊事件卻沒被IDS檢測。根據入侵檢測技術系統采用的技術的不同，將IDS分為異常檢測系統和特征檢測系統。異常檢測把入侵活動異常于正常主體活動作為假設，建立一個“活動簡檔”作為正常活動文檔，對系統運行進行實時監控，若發現當前主體的活動與其統計規律發生沖突時，便進行報警。異常入侵檢測技術與系統相對無關，通用性較強，甚至有可能檢測出以前未出現的攻擊行為，但誤檢率高，面臨受惡意訓練攻擊的可能。

特征檢測系統是把入侵者的活動用一種模式表示出來作為假設，對系統運行進行實時觀察，比較觀察到的對象與這些模式是否一致或者相符，一旦發生了相符情況，便進行報警。檢測準確度高是其最大的優點，但是受已知知識的局限，另外對目標系統依賴性太強，不但移植性不好，維護工作量大，對于內部人員的入侵行為無能為力。

2 常見的入侵檢測方法

2.1 在異常入侵檢測系統中常常采用以下幾種檢測方法：

2.1.1 基于貝葉斯推理檢測法：是通過在任何給定的時刻，測量變量值，推理判斷系統是否發生入侵事件。

2.1.2 基于特征選擇檢測法：指從一組度量中挑選出能檢測入侵的度量，用它來對入侵行為進行預測或分類。

2.1.3 基于貝葉斯網絡檢測法：用圖形方式表示隨機變量之間的關系。通過指定的與鄰接節點相關一個小的概率集來計算隨機變量的聯接概率分布。按給定全部節點組合，所有根節點的先驗概率和非根節點概率構成這個集。貝葉斯網絡是一個有向圖，弧表示父、子結點之間的依賴關系。當隨機變量的值變為已知時，就允許將它吸收為證據，為其他的剩余隨機變量條件值判斷提供計算框架。

2.1.4 基于模式預測的檢測法：事件序列不是隨機發生的而是遵循某種可辨別的模式是基于模式預測的異常檢測法的假設條件，其特點是事件序列及相互聯系被考慮到了，只關心少數相關安全事件是該檢測法的最大優點。

2.1.5 基于統計的異常檢測法：是根據用戶對象的活動為每個用戶都建立一個特征輪廓表，通過對當前特征與以前已經建立的特征進行比較，來判斷當前行為的異常性。用戶特征輪廓表要根據審計記錄情況不斷更新，其保護去多衡量指標，這些指標值要根據經驗值或一段時間內的統計而得到。

2.1.6 基于機器學習檢測法：是根據離散數據臨時序列學習獲得網絡、系統和個體的行為特征，并提出了一個實例學習法IBL，IBL是基于相似度，該方法通過新的序列相似度計算將原始數據（如離散事件流和無序的記錄）轉化成可度量的空間。然后，應用IBL學習技術和一種新的基于序列的分類方法，發現異常類型事件，從而檢測入侵行為。其中，成員分類的概率由閾值的選取來決定。

2.1.7 數據挖掘檢測法：數據挖掘的目的是要從海量的數據中提取出有用的數據信息。網絡中會有大量的審計記錄存在，審計記錄大多都是以文件形式存放的。如果靠手工方法來發現記錄中的異常現象是遠遠不夠的，所以將數據挖掘技術應用于入侵檢測中，可以從審計數據中提取有用的知識，然后用這些知識區檢測異常入侵和已知的入侵。目前的方法有KDD算法，其優點是善于處理大量數據的能力與數據關聯分析的能力，但是實時性較差。

2.1.8 基于應用模式的異常檢測法：該方法是根據服務請求類型、服務請求長度、服務請求包大小分布計算網絡服務的異常值。通過實時計算的異常值和所訓練的閾值比較，從而發現異常行為。

2.1.9 基于文本分類的異常檢測法：該方法是將系統產生的進程調用集合轉換為“文檔”。利用K最近鄰聚類文本分類算法，計算文檔的相似性。

2.2 誤用入侵檢測系統中常用的檢測方法有：

2.2.1 模式匹配法：是常常被用于入侵檢測技術中。它是通過把收集到的信息與網絡入侵和系統誤用模式數據庫中的已知信息進行比較，從而對違背安全策略的行為進行發現。模式匹配法可以顯著地減少系統負擔，有較高的檢測率和準確率。

2.2.2 專家系統法：這個方法的思想是把安全專家的知識表示成規則知識庫，再用推理算法檢測入侵。主要是針對有特征的入侵行為。

2.2.3 基于狀態轉移分析的檢測法：該方法的基本思想是將攻擊看成一個連續的、分步驟的并且各個步驟之間有一定的關聯的過程。在網絡中發生入侵時及時阻斷入侵行為，防止可能還會進一步發生的類似攻擊行為。在狀態轉移分析方法中，一個滲透過程可以看作是由攻擊者做出的一系列的行為而導致系統從某個初始狀態變為最終某個被危害的狀態。

參考文獻

[1]李劍.入侵檢測技術[M].北京：高等教育出版社，2008.

[2]薛靜鋒.入侵檢測技術[M].北京：機械工業出版社，2004.

[3]吳慶濤，邵志清.入侵檢測研究綜述[J].計算機應用研究，2005，12.