入侵检测系统中两种异常检测方法分析【我的论文】(精)

网络入侵检测系统的研究

摘要：随着互联网络的广泛应用，网络信息量迅速增长，网络安全问题日趋突出。入侵检测作为网络安全的重要组成部分，已成为目前研究的热点，本文介绍了入侵检测系统的概念、功能、模式及分类，指出了当前入侵检测系统存在的问题并提出了改进措施，特别是针对异常入侵检测方法的研究，着重分析了基于神经网络的和层次聚类的异常检测方法，并从理论和试验层次队两种检测技术进行分析比较，客观分析了两种算法的优缺点。同时预测了入侵检测系统的发展趋势。

关键词：入侵检测；入侵检测系统；BP神经网络；层次聚类；网络安全。

在基于网络的计算机应用给人们生活带来方便的同时，网上黑客的攻击活动正以每年10倍的速度增长，因此，保证计算机系统、网络以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

防火墙作为一种边界安全的手段，在网络安全保护中起着重要作用，其主要功能石控制对网络的非法访问，通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，以防范外对内的非法访问。然而，由于性能的限制，防火墙通常不能提供实时的入侵检测能力，为了弥补防火墙存在缺陷，引入了入侵检测IDS( Intrusion Detection System )技术。入侵检测是防火墙之后的第二道安全闸

门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的检测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提供对内部攻击、外部攻击和误操作的实时保护。

一、入侵检测系统的概念

入侵检测定义为识别为被授权使用的计算机系统和有合法权利使用系统但却滥用特权的过程。即通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从而发现是否有违反安全策略的行为和被入侵的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS）。一个入侵检测产品通常由两部分组成，即传感器与控制台。传感器负责采集数据、分析数据并生成安全时间；控制台主要起到中央管理作用。商品化的产品通常提供图形界面的控制台，这些控制台基本上都支持Windows NT平台。

入侵检测系统的主要功能有：1、监视、分析用户及系统活动；2、核查系统配置和漏洞；3、识别已知进攻并向相关人员报警；4、统计分析异常行为；5、评估重要系统和数据的完整性；6、操作系统日志管理，并识别违反安全策略的用户活动。

二、入侵检测系统模型

美国斯坦福国际研究所（SRI）的D.E.Denning于1986年首次提出一种入侵检测模型。该模型的检测方

法就是建立用户正常行为的描述模型，并以此同当前

用户活动的审计记录进行比较。如果有较大偏差，则

表示有异常活动发生：这是一种基于统计的检测方法。

随着技术的发展，后来人们又提出了基于规则的检测

方法。通用入侵检测架构（CIDF）组织，试图将现有

的入侵检测系统标准化，阐述了一个入侵检测系统分

为以下4个组件：事件产生器、事件分析器、相应单

元和事件数据库，同时将需要分析的数据统称为事件。

事件可以是基于网络的数据包，也可以是基于主机的

系统日志中的信息。事件产生器的目的是从整个计算

机环境中获得事件，并向系统其他部分提供此事件；

事件分析器分析得到的事件并产生分析结果；响应单

元则是队分析结果做出反应的功能单元，它可以做出

切断连接、修改文件属性等强烈反应；事件数据库是

存放各种中间和最终数据地方的通称，它可以是复杂

的数据库也可以是简单的文本文件。

三、入侵检测系统的分类

对入侵检测系统主要从数据源、检测方法、分布形式、响应方式等方面分类，其中前两种为主要的分

类方式。

（一）按照数据来源分类

1、网络型

网络型入侵检测系统部署在网络设备节点上，优点是能够检测基于协议的攻击，攻击者不易转移证据；检测实时性强，无需改动网络拓扑，对外透明，能降低本身守攻击的可能性；可在几个关键点上配置并观察多个系统。主要缺点是对于加密信道和某些基于加密信道的应用层协议无法实现数据解密，不能起到监视作用；无法得到主机系统的实时状态信息，检测复杂攻击的准确率低；在实时检测中，需对每个数据包都进行协议解析和模式匹配，系统开销大。

2、主机型

主机型入侵检测系统部署在主机上，监视分析主机审计记录以检测入侵，效率高，能准确定位入侵并进一步分析。有点是不需要额外的硬件，可用于加密以及交换环境，对网络流量不敏感，检测粒度细，目标明确集中，可监测敏感文件、程序或端口。缺点是占用主机资源，依赖于系统可靠性，可移植性差，只能检测针对本机的攻击，不适合检测基于网络协议的攻击，数据源主要包括系统审计信息、系统日志信息、内核信息、应用审计信息、系统目标信息。

3、混合型

混合型入侵检测结合了网络入侵检测和主机入侵检测二者的优点，在关键主机上采用主机入侵检测，在网

络关键节点上采用网络入侵检测。

（二）按照检测方法分类

1、异常检测（Anomaly Detection）

异常检测志根据用户行为或者资源状况正常程度，将当前情况和轮廓（Profile）比较以发现入侵，不依赖具体行为，可发现未知攻击。异常检测认为入侵是异常的子集，有统计分析、非参量统计分析、专家系统、量化分析和基于规则的检测，但关键在正常模式（Normal Profile）的建立及利用该模式与当前状况比较。

异常检测的主要优点：与系统相对无关，通用性较强；不需要过多系统缺陷的知识，适应性强，能检测位置入侵；不同的描述模式可使用不同的概率统计模型。异常检测的主要缺点：由于不可能对系统所有用户行为全面描述，且用户的行为常改变，所以误报率高；入侵者通过恶意训练，使检测系统习惯攻击而无法识别。

2、滥用检测（Misuse Detection）

滥用检测方法定义入侵模式，通过模式是否出现来判断，也称基于知识的检测（Knowledge Based Detection）。它依据具体攻击特征细微变化就会使之无能为力，漏报率较高，对系统依赖性高，一致性较差，检测范围守已知知识局限，难以检测内部入侵，而且将具体入侵手段抽象成知识也很困难，该方法主要有简单模式匹配、专家系统、状态转移法、条件概率、击键监控、信息反馈批处理分析等。