(整理)入侵检测论文

入侵检测技术论文

1. 引言

随着互联网技术的高速发展，计算机网络的结构变的越来越复杂，计算机的工作模式有传统的以单机为主的模式向基于网络的分布式模式转化，而由此引发的网络入侵的风险性也随之大大增加，网络安全与信息安全问题成为人们高度重视的问题。每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元，且这个数字正在不断增加。传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要，想要保证网络信息和网络秩序的安全，就必须要更强有力和更完善的安全保护技术。近年来，入侵检测技术以其强有力的安全保护功能进入了人们的视野，也在研究领域形成了热点。

入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制。作为传统安全机制的补充，入侵检测技术不再是被动的对入侵行为进行识别和防护，而是能够提出预警并实行相应反应动作。入侵检测系统（IDS,Intrusion Detection System）可以识别针对计算机系统和网络系统，或更广泛意义上的信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法行动。通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程，具有智能监控、实时探测、动态响应、易于配置等特点。

1．入侵检测系统的发展历程

入侵检测是一种主动的网络安全防御措施。入侵检测技术就是采取技术手段发现入侵和入侵企图，以便采取有效的措施来堵塞漏洞和修复系统，使用入侵检测技术具有入侵检测功能的网络安全系统称为入侵检测系统。

1.1 入侵检测概念的提出

1980年，James Anderson在为美国空军所做的技术报告《Computer Security Threat Monitoring and Surveillance 》中首次提出了入侵检测的概念，提出可以通过审计踪迹来检测对文件的非授权访问，并给出了一些基本术语的定义，包括威胁、攻击、渗透、脆弱性等等。

Anderson报告将入侵划分为外部闯入、内部授权用户的越权使用和滥用三种，同时提出使用基于统计的检测方法，即针对某类会话的参数，例如连接时间、输入输出数据量，在对大量用户的类似行为作出统计的基础上得出平均值，将其作为代表正常会话的阈值，检测程序将会话的相关参数与对应的阈值进行比较，当二者的差异超过既定的范围时，这次会话将被当作异常。

Anderson报告实现的是基于单个主机的审计，在应用软件层实现，其覆盖面不大，并且完整性难以保证，但是其提出的一些基本概念和分析，为日后入侵检测技术的发展奠定了良好的基础。

1.2 入侵检测模型的建立

1987年，Dorothy E. Denning在其论文《An

intrusion-detection model》中首次提出了入侵检测系统的抽象模型，称为IDES系统，并且首次将入侵检测的概念作为一种计算机系统的安全防御措施提出。

Denning所提出的模型是一个通用的检测模型，其不依赖于特定的系统和应用环境，也不假定被检测的攻击类型。在此之后开发的IDS系统基本上都沿用了这个结构模型。

Denning所提出的模型采用基于规则的模式匹配进行检测，根据主机审计记录数据，生成有关系统的若干轮廓，并对轮廓的变化差异进行监测以发现系统的入侵行为。

Denning模型并不关心目标系统所采用的安全机制，因此也不检测攻击者针对已知的系统弱点进行攻击的特征行为，这也被认为是其一个重大缺陷。

2．入侵检测技术

2.1 异常检测

异常检测分为静态异常检测和动态异常检测两种，静态异常检测在检测前保留一份系统静态部分的特征表示或者备份，在检测中，若发现系统的静态部分与以前保存的特征或备份之间出现了偏差，则表明系统受到了攻击或出现了故障。动态异常检测所针对的是行为，在检测前需要建立活动简档文件描述系统和用户的正常行为，在检测中，若发现当前行为和活动简档文件中的正常行为之间出现了超出预定标准的差别，则表明系统受到了入

目前使用的异常检测方法有很多种，其中有代表性的主要由以下5种。

(1)基于特征选择的异常检测方法基于特征选择的异常检测方法，是从一组特征值中选择能够检测出入侵行为的特征值，

构成相应的入侵特征库，用以预测入侵行为。其关键是能否针对具体的入侵类型选择到合适的特征值，因此理想的入侵检测特征库，需要能够进行动态的判断。

在基于特征选择的异常检测方法中，Maccabe提出的使用遗传算法对特征集合进行搜索以生成合适的入侵特征库的方法是一种比较有代表性的方法。

(2)基于机器学习的异常检测方法

基于机器学习的异常检测方法，是通过机器学习实现入侵检测，主要方法有监督学习、归纳学习、类比学习等。

2.2误用检测

误用检测主要用来检测己知的攻击类型,判别用户行为特征是否与攻击特征库中的攻击特征匹配。系统建立在各种已知网络入侵方法和系统缺陷知识的基础之上。这种方法由于依据具体特征库进行判断,所以检测准确度很高。主要缺陷在于只能检测已知的攻击模式,当出现针对新漏洞的攻击手段或针对旧漏洞的新攻击方式时,需要由人工或者其它机器学习系统得出新攻击的特征模式,添加到攻击特征库中,才能使系统具备检测新的攻击手段的

误用检测常用的方法主要有:

(1)专家系统

专家系统是基于知识的检测中应用最多的一种方法,它包含一系列描述攻击行为的规则(Rules),当审计数据事件被转换为

可能被专家系统理解的包含特定警告程度信息的事实(Facts)后,专家系统应用一个推理机(InferenceEngine)在事实和规则的基础上推理出最后结论。

(2)状态转移

状态转移方法采用优化的模式匹配来处理误用检测问题。这种方法采用系统状态和状态转移的表达式来描述已知的攻击模式。由于处理速度的优势和系统的灵活性,状态转移法已成为当今最具竞争力的入侵检测模型之一。状态转移分析是针对事件序列的分析,所以不善于分析过分复杂的事件,而且不能检测与系

统状态无关的入侵。

(3)模型推理