入侵检测技术简单汇总

1、入侵检测技术注意：本文只是对入侵检测技术的粗略的汇总，可供平时了解与学习，不能作为科研 使用！入侵检测分析系统可以采用两种类型的检测技术：异常检测(Anomaly Detection)和误 用检测(Misuse Detection).异常检测异常检测也被称为基于行为的检测，基于行为的检测指根据使用者的行为或资源使用状 况来判断是否入侵。基于行为的检测与系统相对无关，通用性较强。它甚至有可能检测出以 前未出现过的攻击方法，不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整 个系统内的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的，所以它的主 要缺陷在于误检率很高。尤其在用户数

2、目众多，或工作目的经常改变的环境中。其次由于统 计简表要不断更新，入侵者如果知道某系统在检测器的监视之下，他们能慢慢地训练检测系 统，以至于最初认为是异常的行为，经一段时间训练后也认为是正常的了。异常检测主要方法：(1)统计分析概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先，检测器根 据用户对象的动作为每个用户都建立一个用户特征表，通过比较当前特征与已存储定型的以 前特征，从而判断是否是异常行为。用户特征表需要根据审计记录情况不断地加以更新。用于描述特征的变量类型有： 操作密度：度量操作执行的速率，常用于检测通过长时间平均觉察不到的异常行为；审计记录分布：度量在最新纪录中所

3、有操作类型的分布； 范畴尺度：度量在一定动作范畴内特定操作的分布情况； 数值尺度：度量那些产生数值结果的操作，如CPU使用量，I/O使用量等。统计分析通过在一段时间内收集与合法用户行为相关的数据来定义正常的域值 (Threshold ),如果当前的行为偏离了正常行为的域值，那么就是有入侵的产生。对于用 户所生成的每一个审计记录，系统经计算生成一个单独的检测统计值管，用来综合表明最 近用户行为的异常程度较大的T?值将指示有异常行为的发生，而接近于零的T?值则指示 正常的行为。统计值T?本身是一个对多个测量值异常度的综合评价指标。假设有n个测量 值表示为 Si , ( K=i<=n ),则

4、T2 =aiS+a2s2,+anS;，其中 at (l<=i<=n )表示第 i 个 测量值的权重。其优点是能应用成熟的概率统计理论，检测率较高，因为它可以使用不同类型的审计数 据，但也有一些不足之处，如：统计检测对事件发生的次序不敏感，也就是说，完全依靠统 计理论可能漏检那些利用彼此关联事件的入侵行为。其次，定义是否入侵的判断阙值也比 较困难。阙值太低则漏检率提高，阙值太高则误检率提高。并且可检测到的入侵类型也受到 限制。(2)基于人工免疫的异常检测将被检测网络中正常活动视为自我，异常活动视为异己，其目的就是区分正常或异常的 网络活动。人工免疫模型的工作流程分为三个阶段，即生成规

5、则基因库、筛选检测规则集和复制高 效检测规则集。该入侵模型可以分成两个检测层次，一个是系统级检测层次；一个是网络级 检测层次。在系统级检测层中主要监控主机的各种操作行为。用户的删除、修改、格式化等 操作都要接受该层的分析和识别；而网络级检测层主要负责对网络上传输的数据的监控，包 括了网络数据包的识别和检测，地址的过谑等等。人工免疫系统归根结底是进行“自我”和“非我”的识别。而在该入侵检测模型中， 把与所需检测的机器相连的网络间正常的TCP/IP连接集合和该机器系统内合法的操作行 为定义为“自我”，采用可以描述TCP/IP连接的特征信息来表示，例如：源IP地址，目 的IP地址，服务端VI ,协议

6、类型，包的数量、字节数、特定错误和在短时间内网络的 特定服务，以及描述系统合法操作的集合等。而把反常的TCP/IP连接集合和非法的系统操 作集合定义为“非”我。而这些特征信息在具体表现形式上，都可以通过某种规则映射为 唯一表征该信息长度为1的二进制字符串。该方法成功地将人工免疫理论应用到入侵检测中，但目前还只处于研究阶段.(3)机器学习该方法通过对新序列(如离散数据流和无序的记录)的相似度的计算，将原始数据转 化为可度量的空间，然后应用IBL (Instance Based Learning)学习技术和一种新的基 于序列的分类方法，发现异常事件，从而检测入侵行为这种方法检测速率高，且误报率较低

7、. 然而，这种方法对于用户动态行为变化以及单独异常检测还有待改善.(5)基于隐马尔可夫模型(HMM)的入侵检测方法一个系统调用，既可以是完全正常的，也可以是危险的。比如：被缓冲区溢出攻击的程 序，它所产生的系统调用事件和在正常情况下产生的有着明显的不同。因此，可以通过构建 正常情况下系统调用事件模型，然后观察是否与此模型有明显的偏离，以此来有效地检测入 侵的产生。隐马尔可夫模型是对观察到的符号序列构造模型的一种非常好的工具，它在构造 系统调用事件模型上有着比其它方法更好的性能，但它在构造正常行为模型时需要较长的时 间解决办法是提高计算机系统的性能，或者减少观察的数据误用检测误用检测也被称为基于

8、知识的检测，它指运用己知攻击方法，根据己定义好的入侵模式, 通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通 过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。这种方法 由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也 为系统管理员做出相应措施提供了方便。主要缺陷在于与具体系统依赖性太强，不但系统移 植性不好，维护工作量大，而且将具体入侵手段抽象成知识也很困难。并且检测范围受已知 知识的局限，尤其是难以检测出内部人员的入侵行为，如合法用户的泄漏，因为这些入侵行 为并没有利用系统脆弱性。误用检测方法有以下几种：

9、（1） 模式匹配模式匹配就是将收集到的信息与己知的网络入侵和系统误用模式数据库进行比较，从而 发现违背安全策略的行为。该过程可以很简单，如通过字符串匹配发现一个简单的条目或指 令，也可以很复杂，如利用形式化的数学表达式来表示安全状态的变化。模式匹配方法的一 大优点是只需收集与入侵相关的数据集合，可以显著减少系统负担，检测的准确率和效率比 较高。模式匹配主要是用一定的模式描述来提取攻击的主要特征.其基本任务就是把存放在入 侵检测规则集中的已知入侵模式与系统正在检测的网络包或者重构的TCP流中的文本进行 匹配，如果匹配成功，则可以断定发生了入侵。这个过程是不断循环进行的。它具有较高的 检测率和较低

10、的误警率，其检测规则必须不断地更新。模式匹配将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计 记录中找到的数据样板，而不进行规则转换，这样可以直接在审计记录中寻找相匹配的已知 入侵模式。缺点：必须及时更新知识库兼容性较差建立和维护知识库的工作量都相当大（2） 专家系统专家系统是基于知识的检测中运用最多的一种方法。将有关入侵的知识转化成 if-then结构的规则，即将构成入侵所要求的条件转化为if部分，将发现入侵后采取的相 应措施转化成then部分。当其中某个或某部分条件满足时，系统就判断为入侵行为发生。 其中的if-then结构构成了描述具体攻击的规则库，状态行为及其语义环境

11、可根据审计事 件得到，推理机根据规则和行为完成判断工作。在具体实现中，专家系统主要面临以下问题:全面性问题，即难以科学地从各种入侵手段中抽象出全面的规则化知识；效率问题，即所需处理的数据量过大，而且在大型系统上，如何获得实时连续的审 计数据也是个问题。用专家系统对入侵进行检测经常是针对有特征的入侵行为.它将有关入侵的知识转化为 结构，部分为入侵特征，部分为系统防范措施所谓的规则，即是知识。专家系统的建立依赖 于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性专家系统的难点 就在于实现专家系统知识库的完备性（3） 模型推理模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击

12、者行为的知识被 描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。根据 这些知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。检测时先将这些攻击脚本的 子集看作系统正面临的攻击。然后通过一个称为预测器的程序模块根据当前行为模式，产生 下一个需要验证的攻击脚本子集，并将它传给决策器。决策器收到信息后，根据这些假设的 攻击行为在市计记录中的可能出现方式，将它们翻译成与特定系统匹配的审计记录格式。然 后在审计记录中寻找相应信息来确认或否认这些攻击。初始攻击脚本子集的假设应满足：易 于在审计记录中识别，并且出现频率很高。随着一些脚本被确认的次数增多，另一些脚本被 确认的次数

13、减少，攻击脚本不断地得到更新。（4） 基于规则库的方法基于规则库的安全审计方法就是将已知的攻击行为进行特征提取，把这些特征用脚本语 言等方法进行描述后放入规则库中，当进行安全审记时，将收集到的网络数据与这些规则进 行某种比较和匹配操作（关键字、正则表达式、模糊近似度等），从而发现可能的网络攻击行 为。这种方法和某些防火墙和防病毒软件的技术思路类似，检测的准确率都相当高，可以通 过最简单的匹配方法过滤掉大量的网络数据信息，对于使用特定黑客工具进行的网络攻击特 别有效。比如发现目的端口为139以及含有00B标志的数据包，一般肯定是粒nnuke攻击数 据包。而且规则库可以从互连网上下载和升级（如CE

14、RT）等站点都可以提供了各种最新攻击 数据库），使得系统的可扩充性非常好。（5）状态转换分析状态转换分析就是将状态转换图应用于入侵行为的分析。状态转换法将入侵过程看作一 个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入 侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件，即导致系统进 入被入侵状杰必须执行的操作（特征事件）。然后用状态转换图来表示每一个状态和特征事 件，这些事件被集成于模型中，所以检测时不需要一个个地查找审计记录。但是，状态转换 是针对事件序列分析，所以不善于分析过分复杂的事件，而且不能检测与系统状态无关的人 侵。状态转换分析：它将

15、入侵检测表示成一系列被监控的系统状态迁移，攻击模式的状态对 应于系统状态，并具有迁移到另外状态的条件判断。通过弧将连续的状态连接起来以表示状 态改变所需的事件，允许事件类型被植入到模型并且无需同审计记录一一对应。(6) 按键监视(键盘监控)假设每种网络入侵行为都具有特定的击键序列模式，入侵检测系统监视各个用户的击键 模式，并将该模式与已有的入侵击键模式相匹配，如果匹配成功就认为是网络入侵行为。缺点：不能对击键进行语义分析，容易遭受欺骗；缺少可靠的方法来捕获用户的击键行为；无法检测利用程序进行自动攻击的行为。混合检测方法：(说明：虽然此标题是混合检测方法，但其下列举的方法不一定是混合，因为资料不

16、足 无法分类所以全放在此类下)I使用单一的方法进行入侵检测受到一定的局限，要么不能检测未知入侵，要么检测率不 高，达不到有效检测的目标因此，使用多种检测方法来检测入侵受到研究人员的关注，目 前已提出多种混合检测方法(1)神经网络神经网络是一种算法，通过学习已有的输入/输出信息对，抽象出其内在的关系，然后 通过归纳得到新的输入/输出对。在IDS中，系统把用户当前输入的命令和用户已经执行的W个命令传递给神经网络，如 果神经网络通过预测得到的命令与该用户随后输入的命令不一致，则在某种程度上表明用户 的行为与其轮廓框架产生了偏离，即说明用户行为异常。神经网络的引入对入侵检测系统的研究开辟了新的途径，由

17、于它有很多优点，如自适应 性，自学习的能力，因此，在基于神经网络的入侵检测系统中，只要提供系统的审计数据， 它就可以通过自学习从中提取正常的用户或系统活动的特征模式，而不必对大量的数据进行 存取，精简了系统的设计。基于神经网络的检测方法具有普遍性，可以对多个用户采用相同 的检测措施。神经网络适用于不精确模型，统计方法主要依赖用户行为的主观设计，所以此 时描述的精确度很重要，不然会引起大量的误报。入侵检测系统可以利用神经网络的分类 和识别能力，适用于用户行为的动态变化特征。但基于神经网络的入侵检测系统计算量大, 将影响其实时性，可以采用和其他的技术相结合，来构造入侵检测系统。神经网络模仿生物神经

18、系统，通过接收外部输入的刺激，不断获得并积累知识，进而具 有一定的判断预测能力。这种方法通过对一个特定用户先前命令序列的分析推测出下面要执 行的命令。它包括三个阶段：一是在一定的时期从每一个用户的审计日志中来收集训练数据， 这样，就会形成一个向量，以表明每个用户多长时间执行一条命令；二是在命令分布向量的 基础上训练神经网络以标识用户；三是在运行过程中，使用神经网络识别新一天的向量，如 果网络表示和实际用户有很大的不同或没有一个明确的建议，就表示有异常行为发生。基于神经网络的异常入侵检测系统具有学习的能力，它可以紧密地模仿用户的行为并且 根据最近的变化进行调整它的另外一个特性就是允许模糊数据或噪

19、音数据此外，与统计理 论相比，神经网络更好地表达了变量之间的非线性关系其缺点是需要的计算负载较重，并 且很难解释输入和输出之间的关系(2)数据挖掘用数据挖掘程序处理搜集到的审计数据，为各种入侵行为和正常操作建立精确的行为模 式，这是一个自动的过程，不需要人工分析和编码入侵模式。(将数据挖掘技术应用于入侵检测中,利用数据挖掘中的关联分析、序列模式分析等算法 提取与安全相关的系统特征属性，对数据进行分析,可以自动地从大量数据中发现新的模式, 消除入侵检测系统开发过程中的手工编码入侵模式和正常行为轮廓，提高入侵检测系统开发 过程中的有效性、适应性、扩展性和伸缩性。数据挖掘是针对特定应用的数据分析处理

20、过程。根据挖掘目标的不同，数据挖掘分为五 种类型，分别是关联分析、数据总结、数据分类、聚类分析和序列模式分析。数据挖掘 技术的优点是可适应处理大量数据的情况，因为网络或用户行为模式的形成和入侵检测规 则集的建立都是通过对审计数据和数据流的分析和学习完成的，因而减少了入侵检测建模的 手工和经验成分。但是，该方法的技术难点在于如何根据具体应用的要求，从关于安全的先 验知识出发，提取出可以有效地反映系统特性的特征属性，应用合适的算法进行数据挖掘； 同时如何将挖掘结果自动地应用到实际的入侵检测系统中还存在问题。数据挖掘与入侵检测相关的算法类别主要包括下列3种类型：分类算法将特定的数据项归入预先定义好的

21、某个类别。常用的分类算法:RIPPER、Nearest Neighbor 等。关联分析算法用于确定数据记录中各个字段之间的联系。常用的算法：Apriori算法、AprioriTid 算法等。序列分析算法发掘数据集中存在的序列模式，即不同数据记录间的相关性。常用的算法： ArpioriAll 算法、DynamicSome 算法和 Apr iori Some 算法等。(3)数据融合目前，数据融合是针对一个系统中使用多个或多类传感器这一特定问题展开的一种新的 数据处理方法，因此数据融合又称多传感器信息融合或信息融合。多传感器系统是数据融合 的硬件基础，多源信息是数据融合的加工对象，协调优化和综合处理

22、是数据融合的核心。数据 融合系统主要有局部式和全局式两种形式。局部式也称自备式，这种数据融合系统收集来自 单个平台的多个传感器的数据，也可用于检测对象相对单一的智能检测系统中；全局式也称 区域式，这种数据融合系统组合和相关来自空间和时间上各不相同的多平台、多传感器的数 据，多传感器数据融合在解决探测、跟踪和识别等问题方面，具有以下特点：生存能力强,扩展了空间、时间覆盖范围，提高了可信度，降低了信息的模糊度，改进了 探测性能，提高了空间分辨力，改善了系统可靠性。基于数据融合的入侵检测系统提供的信息是有关当前态势的，由于使用的数据是来自多 个传感器，并采用了智能攻击分析，从而减少了误报的数量,因此

23、基于数据融合的入侵检测 系统提供的信息质量非常高。要建立基于数据融合的IDS,需采用支持多层抽象的框架。 Bass列出了 IDS数据融合模型的5层功能。第0层：过滤原始数据；第1层：对数据进行 联合和关联，把对象的上下文放在对象库中；第2层：根据对象的协同行为、依赖性、同样 的起源、两样的目标、相关攻击率等高层属性,针对对象聚合集进行检测；第3层：对当 前态势进行评估，对将来的威胁进行预测；第4层：为了简化检测，对整个过程进行精简。(5)生物免疫生物免疫系统是为了保护个体(自己)不受故意生物(异己)的侵害，而入侵检 测则为保护一台或一组计算机不受入侵，故生物免疫系统原理。算法和体系结构可用于入侵 检测。基于免疫学的入侵检测系