入侵检测系统论文

入侵检测系统论文

1.引言

随着互联网技术的高速发展，计算机网络的结构变的越来越复杂，计算机的工作模式由传统的以单机为主的模式向基于网络的分布式模式转化，而由此引发的网络入侵的风险性也随之大大增加，网络安全与信息安全问题成为人们高度重视的问题。每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元，且这个数字正在不断增加。传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要，想要保证网络信息和网络秩序的安全，就必须要更强有力和更完善的安全保护技术。近年来，入侵检测技术以其强有力的安全保护功能进入了人们的视野，也在研究领域形成了热点。

入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制。作为传统安全机制的补充，入侵检测技术不再是被动的对入侵行为进行识别和防护，而是能够提出预警并实行相应反应动作。

入侵检测系统（IDS,Intrusion Detection System）可以识别针对计算机系统和网络系统，或更广泛意义上的信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法行动。通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程，具有智能监控、实时探测、动态响应、易于配置等特点。

2.入侵检测技术

2.1 异常检测

异常检测分为静态异常检测和动态异常检测两种，静态异常检测在检测前保留一份系统静态部分的特征表示或者备份，在检测中，若发现系统的静态部分与以前保存的特征或备份之间出现了偏差，则表明系统受到了攻击或出现了故障。动态异常检测所针对的是行为，在检测前需要建立活动简档文件描述系统和用户的正常行为，在检测中，若发现当前行为和活动简档文件中的正常行为之间出现了超出预定标准的差别，则表明系统受到了入侵。

目前使用的异常检测方法有很多种，其中有代表性的主要由以下2种。

(1).基于特征选择的异常检测方法

基于特征选择的异常检测方法，是从一组特征值中选择能够检测出入侵行为的特征值，构成相应的入侵特征库，用以预测入侵行为。其关键是能否针对具体的入侵类型选择到合适的特征值，因此理想的入侵检测特征库，需要能够进行动态的判断。

(2).基于机器学习的异常检测方法

基于机器学习的异常检测方法，是通过机器学习实现入侵检

测，主要方法有监督学习、归纳学习、类比学习等。

2.2误用检测

误用检测主要用来检测己知的攻击类型,判别用户行为特征是否与攻击特征库中的攻击特征匹配。系统建立在各种已知网络入侵方法和系统缺陷知识的基础之上。这种方法由于依据具体特征库进行判断,

所以检测准确度很高。主要缺陷在于只能检测已知的攻击模式,当出现针对新漏洞的攻击手段或针对旧漏洞的新攻击方式时,需要由人工或者其它机器学习系统得出新攻击的特征模式,添加到攻击特征库中,才能使系统具备检测新的攻击手段的能力。

误用检测常用的方法主要有:

(1)专家系统

专家系统是基于知识的检测中应用最多的一种方法,它包含一系列描述攻击行为的规则(Rules),当审计数据事件被转换为可能被专家系统理解的包含特定警告程度信息的事实(Facts)后,专家系统应用一个推理机(InferenceEngine)在事实和规则的基础上推理出最后结论。

(2)状态转移

状态转移方法采用优化的模式匹配来处理误用检测问题。这种方法采用系统状态和状态转移的表达式来描述已知的攻击模式。由于处理速度的优势和系统的灵活性,状态转移法已成为当今最具竞争力的入侵检测模型之一。状态转移分析是针对事件序

列的分析,所以不善于分析过分复杂的事件,而且不能检测与系统状态无关的入侵。

(3)模型推理

模型推理是指结合攻击脚本推理出是否出现了入侵行为,其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。根据这些知识建立攻击脚本

库。检测时先将这些攻击脚本的子集看作系统正面临的攻击。然后通过一个称为预测器的程序模块根据当前行为模式,产生下一个需要验证的攻击脚本子集,并将它传给决策器,决策器根据这些假设的攻击行为在审计记录中的可能出现方式,将它们翻译成与特定系统匹配的审计记录格式,然后在审计记录中寻找相应信息来确认或否认这些攻击。

3.入侵检测系统的发展方向

在入侵检测技术发展的同时，入侵技术也在更新，攻击者将试图绕过入侵检测系统（IDS）或攻击IDS系统。交换技术的发展以及通过加密信道的数据通信使通过共享网段侦听的网络数据采集方法显得不足，而大通信量对数据分析也提出了新的要求。入侵技术的发展与演化主要反映在下列几个方面：

（1）入侵的综合化与复杂化。入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

（2）入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。

（3）入侵的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

（4）入侵技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务（DDoS）在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。

（5）攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。

今后的入侵检测技术大致可朝下述几个方向发展。

（1）分布式入侵检测：传统的IDS局限于单一的主机或网络架构，对异构系统及大规模的网络检测明显不足，不同的IDS系统之间