主机入侵检测技术研究要点

主机入侵检测技术研究

所谓入侵检测技术就是研究入侵检测的技术。目前应用在入侵检测上的技术

有很多种对入侵检测技术的分类也是各种各样。但大体有如下几种分类方式。①基于主机的入侵检测系统（Host-based Intrusion Detection System，HIDS）

HIDS 主要是根据主机的系统日志与审计信息来作为检测的数据进行分析的。通常在受保护的主机上有专门的检测代理来对系统日志与审计信息不断的监视与分析，进而发现攻击。HIDS 能够很好的监视特定的系统行为，比如说用户的登录与登出，文件属性的改变等。能够快速的对已知的二次攻击作出反应，检

测出网络流中不能检测出的攻击。但同样由于它安装在需要保护的设备上，降低了系统的应用效率，全面的部署代价会很大，它不监测网络上的情况，所以很对很多网络攻击无能为力。

②基于网络的入侵检测系统(Network-based Intrusion Detection System, NIDS)

基于网络的入侵检测系统（NIDS）是以网络数据包、网络流或者网络连接

记录来作为分析的数据源的。它通常是把网络主机的网卡设置成混杂模式来捕获网络数据流，然后利用各种技术对数据包或者数据流进行分析研究。对数据包分析的方法有协议分析法、模式匹配法、协议指纹法等，对网络流分析有统计的方法、数据挖掘的方法等。利用这些方法构建的检测系统一旦检测到攻击，就会立即报警作出响应，例如中断网络连接，封闭端口、通知网络管理员等。NIDS 能

够很好的检测出网络数据包的已知攻击，具有成本低，检测与响应实时，不依靠操作系统等优点。但同样它不能检测出未知的攻击，且在网络数据流很大的时候，会出现漏报现象，检测不出针对于主机的攻击等缺点。

③误用检测

误用检测是对已知系统的漏洞与应用软件的弱点进行建模与分析的一项入侵检测技术。它的前提是入侵行为会按某种特定的形式进行编码。这就需要知道所有攻击行为的特征。由于特征的多样性，故误用检测也是多种多样。

④基于模式匹配的误用入侵检测

基于模式匹配的误用检测是把已知的入侵特征转换成特定的格式的数据存

储在数据库中，检测时，数据库存储的特征逐条与入侵事件进行模式匹配，若匹配成功，则确认为攻击，否则为正常。目前的模式匹配方法有BM(Boyer-Moore) 算法、BF（Brute Force）算法、KMP 算法等。模式匹配的误用检测能很好的检测各种已知的攻击，具有易实施，检测效率高，反应及时等特点。但当数据比较大的时候，其效率就变得非常低，特别当应用到网络数据包检测上,就会出现漏报现象。并且它对异常攻击无能为力。

⑤基于状态转移分析的误用入侵检测

基于状态转移分析的误用入侵检测系统是利用状态图来表示入侵特征，不同

状态的刻画了系统不同时刻的特征。状态转移的初始状态表示入侵前的开始状态，而危害状态则表示成功入侵时刻的系统状态。初始状态到危害状态的迁移可

能只经历一个状态也可能会经历很多的中间状态。而且这些中间状态的迁移还可

能是双向的。攻击者执行一系列攻击行为，是系统状态从初始状态经过中间状态

迁移危害状态。通过这种方式来检测是否有入侵攻击的发生。基于状态转移分析

的误用入侵检测在IDS 上应用很多，其具有代表性的产品STAT(statetransition analysis technique)和USTAT(state transition analysis tool for UNIX)。

⑥基于专家系统的误用入侵检测

基于专家系统的误用入侵检测是把从事网络安全研究专家的知识格式化后

转换成规则知识库，然后用推理机中的推理算法来对事件进行检测，发现入侵行为。利用专家系统对入侵进行检测，主要是针对有特征的入侵行为。

异常检测它弥补了误用检测不能检测未知攻击的缺点。但同样它也有自身的

缺点就是会产生高漏报率与误报率。异常检测的方法很多，下面着重介绍几种异

常检测分析技术。

⑦基于统计模型的异常入侵检测

基于统计模型的异常入侵检测是根据统计学原理来进行系统建模设计的。

它是通过观察主体的活动，然后对这些活动进行格式化产生主体轮廓数据库。主

体拥有一系列活动，而这些活动都记录在在主体轮廓数据库中。再通过判断当前

轮廓与主体轮廓数据库的异同来发现异常行为。基于统计模型的异常入侵检测有

很多具体的方法可以应用，例如基于阈值测量的检测，基于平均值与标准偏差模

型的检测，基于马尔可夫进程模型的检测，基于隐马尔可夫链的协议模型的检

测, 基于主元分析和支持向量机的异常检测等。虽然用的方法各异，但它们有一个共同的目标就是寻找异常，即异常的判断标准。很多研究者是通过训练正常行为产生阈值来界定异常行为的。这样阈值决定着误报率与漏报率。故怎么界定阈值是当前异常检测的一个难点所在。

⑧基于神经网络的异常入侵检测

神经网络有自组织，自适应与自学习能力的特点，能处理很多非常复杂的环境，背景知识缺乏的问题，且它允许样本可以有较大缺陷与不足。在基于统计方法的异常入侵检测的缺点是无法实现高维准确检测的，而神经网络构造的智能化的入侵异常检测系统则是可以的。入侵检测主要用到神经网络的分类与识别功能。首先获取研究主体的行为模式特征知识，主体可是主机、用户等。利用神经网络的分类、识别、归纳能力，对这些知识来构建适应用户行为的动态变化特征的入侵检测系统。