入侵检测技术的发展方向

1、目录1 引言 11.1 入侵检测技术成因 11.2 入侵检测系统的成长 22 入侵检测定义与分类 32.1 入侵检测定义 32.2 入侵检测技术分析 42.3 入侵检测的分类 53 常用的入侵检测技术方法 63.1 神经网络异常检测 63.2 概率统计异常检测 73.3 专家系统误用检测 73.4 基于模型的入侵检测 74 入侵检测技术的发展方向 74.1 分布式合作引擎、协同式抵抗入侵 84.2 智能化入侵检测 84.3 分布式入侵检测技术与通用入侵检测技术架构 94.4 应用层入侵检测技术 94.5 入侵检测技术的评测方法 94.6 网络安全技术相结合 104.7 全面的安全防御方案 10

2、结束语 11参考文献 12计算机网络入侵检测技术的研究1 引言1.1 入侵检测技术成因随着计算机网络技术的飞速发展和也能够用以及计算机网络用 户数量的不断增加， 如何有效地保证网络上信息的安全成为计算机网 络的一个关键技术。 虽然迄今为止以发展了多种安全机制来保护计算 机网络，如：用户授权与认证、访问控制、数据加密、数据备份等。 但以上的安全机制已不能满足当前网络安全的需要。 网络入侵和攻击 的现象仍然是屡见不鲜。 尤其是电子商务的应用， 使得网络安全问题 的解决迫在眉睫，使得从技术、管理等多方面采取综合措施，保障信 息与网络的安全已成为世界各国计算机技术人员的共同目标。为了实现计算机和因特网

3、的安全，传统的安全防御措施，如：加 密、身份验证、 访问控制等已暴露出了众多的缺陷或漏洞。入侵检测 责是信息与网络安全保障中应运而生的关键技术之一。 入侵是指未经 授权蓄意尝试访问信息、篡改信息，是系统不可靠或不能使用，亦即 破坏资源的机密性、 完整性和可用性的行为。 它的特点是不受时空限 制，攻击手段隐蔽而且更加错综复杂，内部作案连接不断。入侵检测 以其动态防护特点， 成为实现网络安全的新的解决策略。 引入入侵检 测技术， 相当于在计算机系统中引入了一个闭环的安全策略。 计算机 的多种检测系统进行安全策略的反馈， 从而进行及时的修正， 大大提 高了系统的安全性。1.2 入侵检测系统的成长上世

4、纪 90 年代中期，商业入侵检测产品初现端倪， 1994年出现 了第一台入侵检测产品：ASIM而到了 1997年，Cisco将网络入侵 检测集成到其路由器设备中，同年， ISS 推出 Realsecure ，入侵检测 系统正式进入主流网络安全产品阶段。在这个时期， 入侵检测通常被视作防火墙的有益补充， 这个阶段 用户已经能够逐渐认识到防火墙仅能对 4 层以下的攻击进行防御， 而 对那些基于数据驱动攻击或者被称为深层攻击的威胁行为无能为力。 厂商们用得比较多的例子就是大厦保安与闭路监控系统的例子， 防火 墙相当于保安， 入侵检测相当于闭路监控设备， 那些绕过防火墙的攻 击行为将在“企图作恶”时，

5、被入侵检测系统逮个正着。而后，在200012003年之间，蠕虫病毒大肆泛滥，红色代码、 尼姆达、震荡波、冲击波此起彼伏。 由于这些蠕虫多是使用正常端口， 除非明确不需要使用此端口的服务， 防火墙是无法控制和发现蠕虫传 播的，反倒是入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进 行检测 （ 就是前面提到的滥用检测，将针对漏洞的攻击代码结合病毒 特征做成事件特征，当发现有该类事件发生，就可判断出现蠕虫。 ） ， 一时间入侵检测名声大振， 和防火墙、 防病毒一起并称为“网络安全 三大件”。2 入侵检测定义与分类2.1 入侵检测定义入侵检测 (Intrusion Detection)技术是安全审核中

6、的核心技术之一，是网络安全防护的重要组成部分。 入侵检测技术是为保证计算 机系统的安全而设计与配置的一种能够及时发现并报告系统中未授 权或异常现象的技术， 是一种用于检测计算机网络中能够违反安全策 略行为的技术。它通过收集和分析网络行为、安全日志、审计数据、 其它网络上可以获得的信息以及计算机系统中若干关键点的信息， 来 检测网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 入 侵检测作为一种积极主动地安全防护技术， 提供了对内部攻击、 外部 攻击和误操作的实时保护，在网络系统受到危害之前拦截和相应入 侵。违反安全策略的行为有：入侵非法用户的违规行为；滥用 合法用户的违规行为。入侵检测通

7、过执行以下任务来实现：监视、 分析用户及系统活动； 系统构造和弱点的审计； 识别反应一直进攻的 活动模式并向相关人士报警； 异常行为模式的统计分析； 评估重要系 统和数据文件的完整性； 操作系统的审计跟踪管理， 并识别用户违反 安全策略的行为。入侵检测的原理如图 1 所示。用户当前行为用户 历史 厅为I检测X图1入侵检测原理应用入侵检测技术，能是在入侵攻击对系统发生危害前，检测到 入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中, 能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相 关信息，作为防范系统的知识，填入知识库内，以增强系统的防范能 力。2.2入侵检测技术分析入

8、侵分析的任务就是在提取到的庞大的数据中找到入侵的痕迹。入侵分析过程需要将提取到的事件与入侵检测技术规则进行比 较，从而发现入侵行为。一方面入侵检测技术系统需要尽可能多地提 取数据以获得足够的入侵证据，而另一方面由于入侵行为的千变万化 而导致判定入侵的规则越来越复杂，为了保证入侵检测技术的效率和 满足实时性的要求，入侵分析必须在系统的性能和检测技术能力之间 进行权衡，合理地设计分析策略，并且可能要牺牲一部分检测技术能 力来保证系统可靠、稳定地运行并具有较快的响应速度。分析策略是入侵分析的核心， 系统检测技术能力很大程度上取决 于分析策略。 在实现上， 分析策略通常定义为一些完全独立的检测技 术规

9、则。基于网络的入侵检测技术系统通常使用报文的模式匹配或模 式匹配序列来定义规则， 检测技术时将监听到的报文与模式匹配序列 进行比较， 根据比较的结果来判断是否有非正常的网络行为。 这样以 来，一个入侵行为能不能被检测技术出来主要就看该入侵行为的过程 或其关键特征能不能映射到基于网络报文的匹配模式序列上去。 有的 入侵行为很容易映射，如 ARP欺骗，但有的入侵行为是很难映射的， 如从网络上下载病毒。 对于有的入侵行为， 即使理论上可以进行映射， 但是在实现上是不可行的， 比如说有的网络行为需要经过非常复杂的 步骤或较长的过程才能表现其入侵特性， 这样的行为由于具有非常庞 大的模式匹配序列， 需要

10、综合大量的数据报文来进行匹配， 因而在实 际上是不可行的。 而有的入侵行为由于需要进行多层协议分析或有较 强的上下文关系， 需要消耗大量的处理能力来进行检测技术， 因而在 实现上也有很大的难度。2.3 入侵检测的分类通过对现有入侵检测技术方法的研究， 可以从不同角度对入侵检 测技术进行分类：(1) 按照检测数据来源。有以下三类：基于主机的入侵检测技术； 基于网络的入侵检测技术；基于主机和网络的入侵检测技术。以上 3 种入侵检测技术都具有各自的优点和不足， 可以相互作为补充， 一个晚辈的入侵检测系统一定是基于主机和基于网络两种方式兼备的分 布式系统。(2) 按照检测技术。分为异常检测技术和误用检

11、测技术。异常检 测技术又可称为基于行为的入侵检测技术， 它假定了所有的入侵行为 都有异常特性。误用技术， 又称为基于知识的入侵检测技术，它通过 攻击模式、攻击签名的形式表达入侵行为。(3) 按照工作方式。可以分为离线检测和在线检测。离线检测： 在事后分析审计事件， 从中检测入侵活动，是一种非实时工作的系统。 在线监测：实时联机的检测系统，它包含对实时网络数据包分析，对 实时主机审计分析。(4) 按照系统网络构架。分为几种是检测技术、分布式检测技术 和分层式检测技术。 将分析结果传到邻近的上层， 高一层的监测系统 只分析下一层的分析结果。 分层式检测系统通过分析分层式数据使系 统具有更好的可升级

12、性。3 常用的入侵检测技术方法目前，常用的入侵检测技术方法比较多，下面列出几个进行说明。3.1 神经网络异常检测这种方法对用户行为具有自学习和自适应的能力， 能够根据实际 监测到的信息有效地加以处理并做出入侵可能性的判断。 通过对下一 事件错误率的预测在一定程度上反映用户行为的异常程度。 目前该方 法使用比较普遍，但该方法还不成熟。还没有出现较为完善的产品。3.2 概率统计异常检测这种方法是基于对用户历史行为建模， 以及在早期的证据或模型 的基础上 审计系统实时的检测用户对系统的使用情况， 根据系统内 部保存的用户行为概率统计模型进行检测， 当发现有可疑的用户行为 发生时保持跟踪并监测、记录该

13、用户的行为。3.3 专家系统误用检测针对有特征人侵的行为。 较多采用专家系统进行检测。 在专家检 测系统实现中，通过 If-Then 结构（ 也可以是复合结构 ）的规则对安全 专家的知识进行表达。 专家系统的建立依赖于知识库的完备性， 知识 库的完备性又取决于审计记录的完备性与实时性。3.4 基于模型的入侵检测人侵者在攻击一个系统时往往采用一定的行为程序，如猜测口令 的行为序列， 这种行为序列构成了具有一定行为特征的模型， 根据这 种模型所代表的攻击意图的行为特征， 可以实时地检测出恶意的攻击 企图。4 入侵检测技术的发展方向可以看到 ,在入侵检测技术发展的同时 , 入侵技术也在更新 , 一些

14、地下组织已经将如何绕过IDS或攻击IDS系统作为研究重点。高速网 络,尤其是交换技术的发展以及通过加密信道的数据通信 , 使得通过 共享网段侦听的网络数据采集方法显得不足 ,而大量的通信量对数据 分析也提出了新的要求。 随着信息系统对一个国家的社会生产与国民 经济的影响越来越重要 ,信息战已逐步被各个国家重视 ,信息战中的 主要攻击 武器之一就是网络的入侵技术 ,信息战的防御主要包括 保护 、 检测技术 与响应,入侵检测技术则是其中 检测技术 与 响应 环节不可缺少的部分。近年对入侵检测技术有几个主要发展方 向:4.1 分布式合作引擎、协同式抵抗入侵随着入侵手段的提高尤其是分布式、协同式、复杂

15、模式攻击的 出现和发展，传统的单一、 缺乏协作的入侵检测技术已经不能满足需 要，这就要求要有充分的协作机制。 入侵检测信息的合作与协同处理 成为必须的。4.2 智能化入侵检测所谓的智能化方法，即使用智能化的方法与手段来进行入侵检 测。现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方 法，这些方法常用于入侵特征的辨识与泛化目。 较为一致的解决方案 应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软 件或模块的结合使用。 并且需要对智能化的入侵检测技术加以进一步地研究以提高其自学习与自适应能力4.3 分布式入侵检测技术与通用入侵检测技术架构传统的IDS般局限于单一的主机或网络架构，

16、对异构系统及大 规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作 能力 , 为解决这一问题 , 需要分布式入侵检测技术与通用入侵检测技 术架构。CIDF以构建通用的IDS体系结构与通信系统为目标,GrIDS跟 踪与分析分布系统入侵，EMER-AL实现在大规模的网络与复杂环境中 的入侵检测技术。4.4 应用层入侵检测技术许多入侵的语义只有在应用层才能理解，而目前的IDS仅能检测 技术如WE之类的通用协议，而不能处理如LotusNotes、数据库系统等 其他的应用系统。 许多基于客户、 服务器结构与中间件技术及对象技 术的大型应用 ,需要应用层的入侵检测技术保护。 Stillerma

17、n 等人已 经开始对CORB的 IDS研究。4.5 入侵检测技术的评测方法用户需对众多的IDS系统进行评价，评价指标包括IDS检测技术范 围、系统资源占用、IDS系统自身的可靠性与鲁棒性。从而设计通用 的入侵检测技术测试与评估方法与平台，实现对多种IDS系统的检测 技术已成为当前IDS的另一重要研究与发展领域。4.6 网络安全技术相结合结合防火墙、PKIX、安全电子交易SET等新的网络安全与电子商务技术 ,提供完整的网络安全保障。4.7 全面的安全防御方案使用安全工程风险管理的思想与各种方法处理网络安全问题， 将 网络安全作为一个整体工程来处理。从管理制度、网络架构、数据加 密、防火墙、病毒防

18、护、入侵检测等多方位全面的对网络作全面的评 估然后设计和实施可行的解决方案。12结束语随着网络的进一步发展以及黑客攻击手段的多样化， 网络安全问 题的日益突出，入侵检测技术作为保护计算机系统安全的重要组成部 分受到越来越多人们的关注和重视 并已经开始在各种不同网络环境 中发挥关键作用。 本文分析概括了入侵的方式， 入侵检测技术的定义、 工作原理与分类、入侵检测技术的方法。并且，提出了今后的发展趋 势目的在于为进一步的研究起到启发和借鉴作用。可以预见，入侵 检测技术的发展将对网络应用具有重要意义并产生深远影响， 而入侵 检测技术的未来发展方向将主要是智能的分布式入侵检测系统， 研究 和开发自主知识产权的入侵检测系统将成为我国信息安全领域的重 要课题。参考文献1 王艳华，马志强，藏露入侵检测技术在网络