入侵检测系统技术综述

本文由♀皓月♂贡献

doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。

入侵检测系统技术综述

自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果摘要：大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中.本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程.文章以历史和实践的观点$透视入侵和入侵检测技术相互制约,相互促进的演进过程. 关键词：关键词：计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史 1 、引言

自从计算机问世以来，安全问题就一直存在。特别是随着Internet的迅速扩张和电子商务的兴起，人们发现保护资源和数据的安全，让他免受来自恶意入侵者的威胁是件相当困难的事。提到网络安全，很多人首先想到的是防火墙，防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外，但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下，入侵检测系统（IDS）应运而生。

2、概述

计算机网络技术的飞速发展极大地改变了人们的学习、工作以及生活方式。随着计算机及网络系统中存储的重要信息越来越多，系统的安全问题也显得E1益突出，我们需要尽可能找到更好的措施以保护系统免受入侵者的攻击，尽管已有许多防御技术，如防火墙，但它只是一种静态的被动的防护技术。要求事先设置规则。对于实时攻击或异常行为不能实时反应。无法自动调整策略设置以阻断正在进行的攻击。因而出现了入侵检测系统，它是一种动态的网络安全策略，能够有效地发现入侵行为和合法用户滥用特权的行为，它是P2DR(动态安全模型)的核心部分。

3、入侵检测系统产生及其发展

绝大多数入侵检测系统的处理效率低下，不能满足大规模和高带宽网络的安全防护要求。这就决定了当前的入侵检测系统在未来信息战中的作用是有限的。因为信息战中双方使用的网络进攻手段肯定是储备的、从未出现的新手段。即使检测到攻击，现有的入侵检测系统的响应能力和实时性也很有限，不能预防快速脚本攻击，对于此类恶意攻击只能发现和纪录，而不能实时阻止。国内只有少数的网络入侵检测软件，相关领域的系统研究也是刚刚起步，与外国尚有很大差距。目前，在入侵检测的技术发展上还是存在着以下主要缺陷：(1)网络安全设备的处理速度慢。(2)入侵检测系统的漏报率和误报率高。(3)入侵检测系统的互动性能差，整个系统的

安全性能低。

4、入侵检测系统的概论

4.1 入侵检测系统的概念

入侵检测系统(Intrusion Detection System，简称IDS)是从多种计算机系统及网络系统中收集信息，再通过这些信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击；在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。

4.2 入侵检测系统的分类

入侵检测技术主要可以分成两类：异常入侵检测(Anomaly Detection)技术和误用人侵检测(Misuse Detec—tion)技术。 4．2．1 基于统计模型的异常入侵检测 1)基于阈值测量

(Threshold Measures)的检测。这种方法也称为操作模型(Operational Model)，是对某个时间段内时间的发生次数设置一个阈值，若超过该值就有可能出现异常情况。定义异常的阈值设置偏高就会导致误否定错误，误否定错误的后果不仅是检测不到入侵，而且还会给安全管理人员以安全的错觉。定义异常的阈值设置偏低就会导致难以忍受的误肯定判断，误肯定过多就会降低入侵检测方法的效率而且会增添安全管理员的负担。 2)基于平均值和标准偏差模型的检测。这种模型将观察到的前n个事件用变量x1,……，xn。来表示，这些变量的平均值mean和标准偏差stdev分别为：mean=( x1 + …… + x n )／n stdev=sqrt(( x 21

+ …… + x 2 n )／(n+1)一mean 2 )

对于一个新监测到的事件用 x n ?1 表示，如果它落到置信区间mean±d*stdev之外就认为是异常的，d是标准偏移均值参数。这种方法的优点是能够动态地学习有关正常事件的知识，并通过置信区间的动态改变而表现出来。 3)基于马尔科夫进程模型的检测。该模型将离散的事件看作一个状态变量，然后用状态迁移矩阵刻画不同状态之间的迁移频率，而不是个别状态或审计纪录的频率。若观察到的新事件就给定的先前状态和矩阵来说发生的频率太低就认为是异常事件。该模型的优点是可以检测到不寻常的命令或事件序列而不是单一的事件。

4．2．2 基于神经网络的异常入侵检测神经网络方法是利用一个包含很多计算单元的网络来完成复杂的映射函数的，这些单元通过使用加权的连接互相作用。一个神经网络知识根据单元和它们权值间连接编码成网格结构，实际的学习过程是通过改变权值和加入或移去连接进行的。神经网络处理分成2个阶段：首先，通过正常系统行为对该网络进行训练，调整其结构和权值；然后，通过正常系统行为对该网络进行训练，由此判别这些事件流是正常还是异常的。同时，系统也可以利用这些观测到的数据进行训练，从而使网络可以学习系统行为的一些变化。 4．2．3 基于免疫系统的异常入侵检测这种入侵检测方法是通过模仿生物有机体的免疫系统工作机制，使得受保护的系统能够将非法行为和合法行为区分开。生物免疫系统连续不断地产生称作抗体的监测器细胞，并将其分布到整个机体中。这些分布式的抗原监视所有的活性细胞，试图检测出入侵机体的外来细胞。类似的，计算机免疫系统按照系统调用序列为不同的行为，即正常行为和异常行为建立应用程序模型。比较模型与所观测到的事件就可以分出正常和异常的行为。 4．2．4 基于文件检查的异常入侵检测这种方法通过使用系统敏感数据的加密校验和来检测文件产生的变化。但是由于文件检测通常是在入侵后才进行检测，所以如果加密校验和被修改或检测进程泄漏就可能导致检测失效。 4．2．5 基于污染检查的异常入侵检测这种方法认为所有用户提供的输入都是被污染的，任何在敏感区域使用这些污染输入的企图都会失败，若要使用这些数据就必须进行去污操作。去污操作是通过正则表达式来提取所要用的内容，这样可以避免嵌入式shell命令等的使用 4．2．6 基于协议认证的异常入侵检测许多攻击技术利用协议的不正常使用来攻击系统，协议认证技术就是通过建立协议使用标准来严格地检查这些攻击。但由于协议的不同实现方法影响了标准的一致性，所以该方法可能导致肯定性的错误。

4．3 误用入侵检测

误用入侵检测是对已知系统和应用软件的弱点进行入侵建模，从而对观测到的用户行为和资源使用情况进行模式匹配而达到检测的目的。误用入侵检测的主要假设是入侵活动能够被精确地按照某种方式进行编码并可以识别基于同一弱点进行攻击的入侵方法的变种。

4．3．1 基于状态转移分析的误用检测状态转移分析系统利用有限状态自动机来模拟人侵，入侵由从初始系统状态到入侵状态的一系列动作组成，初始状态代表着入侵执行前的状态，入侵状态代表着入侵完成时的状态。系统状态根据系统属性和用户权利进行描述，转换则由一个用户动作驱动。每个事件都运用于有限状态自动机的实例中，如果某个自动机