1、入侵检测技术研究现状分析入侵检测技术作为网络安全防护技术的重要组成部分,已经成为网络安全领域研究的热点,对入侵检测系统的定义、分类进行了介绍,并重点对入侵检测技术的现状进行了分析和总结。 入侵检测网络安全技术 1 引言 随着信息时代的到来,电子商务、电子政务,网络改变人们的生活,人类已经进入信息化社会。计算机系统与网络的广泛应用,使网络安全问题成为日益瞩目的焦点。单纯的安全保护措施并不能保障系统的绝对安全,入侵检测技术作为网络安全防护技术的重要组成部分,已经成为网络安全领域研究的热点。 2 入侵检测的概念 入侵检测(Intrusion Detection) ,顾名思义,是指对入侵行为的发现。入
2、侵检测技术是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 入侵检测系统(IDS)则是指一套监控和识别计算机系统或网络系统中发生的事件,根据规则进行入侵检测和响应的软件系统或软件与硬件组合的系统。 3 入侵检测技术分析 3.1 入侵检测的分类 关于入侵检测系统的分类大体可分为四类: (1)根据入侵检测的数据来源的不同,入侵检测系统可以分为基于主机的入侵检测系统、基于网络的入侵检测系统、混合式入侵检测系统等。基于主机的入侵检测系统往往以系统日志、应用程序日志等作为数据源,保护所在的系统。基于网络的入侵
3、检测系统通过在共享网段上对通信数据进行侦听采集数据,分析可疑现象,能够实现对整个网段的监控、保护。混合式入侵检测系统采用上述两种数据来源,能够同时分析来自主机系统的审计日志和网络数据流。 (2)根据入侵检测体系结构的不同,将入侵检测系统分为集中式入侵检测系统和分布式入侵检测系统。集中式 IDS 由一个集中的入侵检测服务器和运行于各个主机上的简单的审计程序组成,审计数据由分散的主机审计程序收集后传送到检测服务器,由服务器对这些数据进行分析,适用于小型网络中的入侵检测。分布式 IDS 的各个组件分布在网络中不同的计算机上,一般来说分布性主要体现在数据收集和数据分析模块上。(3)根据入侵检测系统所采
4、用的技术不同分为异常检测、误用检测和混合型检测。误用检测是利用已知的攻击特点或系统漏洞,直接对入侵行为进行特征化描述,建立某种或某类己经发生过的入侵的特征行为模式库,如果发现当前行为与某个入侵模式一致,就表示发生了这种入侵。异常检测是建立计算机系统中正常行为的模式库,然后根据采集的数据,如果数据特征与正常行为的特征相比,出现明显的偏差,则认为是异常。 (4)根据响应方式可分为:主动响应和被动响应两种。 3.2 入侵检测主要技术 (1)概率统计方法 概率统计首要做的就是建立一个统计特征轮廓,它通常由对主体特征属性变量进行统计概率分布以及偏差等来描述的。譬如:CPU 的使用,I/O 的使用,使用地
5、点及时间,邮件使用,编辑器使用,编译器使用,所创建、删除、访问或改变的目录及文件,网络上活动等。这种方法的优点在于能够检测出未知的入侵行为,同时缺点也很明显:误报、漏报率高。 (2)神经网络 基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测出输出。当前命令和刚过去的 w 个命令组成了网络的输入,其中 w 是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后,该网络就形成了相应用户的特征表,于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。该技术目前还不很成熟。 (3)专家系统 早期的 IDS 大多是采用这种技术
6、,将有关入侵的知识转化成 if-then结构的规则,即将构成入侵所要求的条件转化为 if 部分,将发现入侵后采取的相应措施转化成 then 部分。当其中某个或某部分条件满足时,系统就判断为入侵行为发生。其中的 if-then 结构构成了描述具体攻击的规则库,状态行为及其语义环境可根据审计事件得到,推理机根据规则和行为完成判断工作。系统规则库的完备与否决定了专家系统的检测率和误检率。 (4)模型推理 模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。根据这些知识建立攻击脚本库,每一脚本都由一系列攻
7、击行为组成。 (5)基于遗传算法的入侵检测 遗传算法是基于自然选择和进化的思想,把适者生存和随机的信息交换组合起来形成的一种搜索方法,其目的在于为问题提供最优的解决方案。入侵检测的过程可以抽象为:为审计事件记录定义一种向量表示形式,这种向量或者对应于攻击行为,或者代表正常行为。通过对所定义的向量进行测试,提出改进的向量表示形式,不断重复这个过程直到得到令人满意的结果。在这种方法中,遗传算法的任务是使用“适者生存”的原理,得出最佳的向量表示形式。 (6)基于数据挖掘的入侵检测 数据挖掘是从大量的数据中发掘潜在的、未知的和有用的知识,把数据挖掘用于入侵检测系统易于从大量存在的审计数据中发现正常的或
8、入侵性的行为模式。把入侵检测过程看成是一个数据分析过程,依据数据挖掘中的方法从审计数据或数据流中发现感兴趣的知识。把发现的知识用概念、模式、规则、规律等形式表示出来,并用这些知识去验证是否是异常入侵和己知的入侵。 另外还有许多新的技术也应用于入侵检测系统的研究中,如:基于免疫学的入侵检测系统等,取得了很好的研究成果,在此不再详述。 4 入侵检测技术的发展趋势 在入侵检测技术发展的同时, 入侵技术也在不断更新,网络环境也日益复杂,大通信量对数据分析也提出了新的要求。新一代的入侵检测系统需要对攻击和威胁进行更加详细的分类,最大限度的降低误报和漏报率,建立事件相关性和时间相关性分析,更好地满足网络安全的需求。参考文献: 1吴庆涛,邵志清.入侵检测研究综述.计算机应用研究,2005. 2王哲,阮永良.异常入侵检测技术综述.电脑知识与技术,2004.这里是一个图片这里是一个图片
