入侵检测技术y

版权所有，盗版必纠第9章入侵检测技术版权所有，盗版必纠概述入侵检测作为一种积极主动的平安技术，已成为维护网络平安的重要手段之一，并在网络平安中发挥着越来越重要的作用。本章主要介绍入侵检测的根本概念、组成、体系结构、检测技术、标准化问题和开展方向等。版权所有，盗版必纠目录第9章入侵检测技术9.1入侵检测概述9.2入侵检测技术9.3IDS的标准化9.4入侵检测的开展版权所有，盗版必纠随着黑客攻击技术的日渐高明，暴露出来的系统漏洞也越来越多，传统的操作系统加固技术和防火墙隔离技术等都是静态的平安防御技术，对网络环境下日新月异的攻击手段缺乏主动的反响，越来越不能满足现有系统对平安性的要求。网络平安需要纵深的、多层次的平安措施。9.1入侵检测概述版权所有，盗版必纠现今流行的防火墙技术的局限性主要表现在：第一，入侵者可寻找防火墙背后可能敞开的后门；第二，不能阻止内部攻击；第三，通常不能提供实时的入侵检测能力；第四，不能主动跟踪入侵者；第五，不能对病毒进行有效防护。入侵检测技术作为近20多年来出现的一种积极主动的网络平安技术，是P2DR2模型的一个重要组成局部。与传统的加密和访问控制的常用平安方法相比，入侵检测系统〔IDS〕是全新的计算机平安措施。它不仅可以检测来自网络外部的入侵行为，同时也可以检测来自网络内部用户的未授权活动和误操作，有效地弥补了防火墙的缺乏，被称为防火墙之后的第二道平安闸门。此外，它在必要的时候还可以采取措施阻止入侵行为的进一步发生和破坏。9.1.1为什么需要入侵检测系统版权所有，盗版必纠假设说防火墙是一幢大楼的门锁，那么入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼，但不能防止大楼内部个别人员的不良企图，并且一旦小偷绕过门锁进入大楼，门锁就没有任何作用了。网络系统中的入侵检测系统恰恰类似于大楼内的实时监视和报警装置，在平安监测中是十分必要的，它被视为防火墙之后的第二道平安闸门。Anderson在早期的研究中曾用“威胁〞表示入侵，并把它定义为：一种成心的、未授权的企图的潜在可能性，这些企图包括：访问信息、操纵信息、或使系统不可靠或不能用。事实上，“入侵〞就是对系统平安策略的侵犯，它不仅包括发起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝效劳访问〔DenialofService，DoS〕等对计算机造成危害的行为。9.1.2入侵检测的概念版权所有，盗版必纠入侵检测是从计算机网络或计算机系统中的假设干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反平安策略的行为和遭到袭击的迹象的一种机制。入侵检测系统的英文缩写是IDS〔IntrusionDetectionSystem〕，它通过对网络及其上的系统进行监视，可以识别恶意的使用行为，并根据监视结果进行不同的平安动作，最大限度地降低可能的入侵危害。因为入侵行为不仅可以来自外部，同时也可来自内部用户的未授权活动。所以一个有效的入侵检测系统应当能够检测两种类型的入侵：来自外部世界的闯入和内部攻击者。9.1.2入侵检测的概念版权所有，盗版必纠入侵检测系统根本上不具有访问控制的能力，它就像一个有着多年经验、熟悉各种入侵方式的网络侦察员，通过对数据包流的分析，可以从数据流中过滤出可疑数据包，通过与的入侵方式或正常使用方式进行比较，来确定入侵是否发生和入侵的类型并进行报警。网络管理员根据这些报警就可以确切地知道所受到的攻击并采取相应的措施。因此，可以说入侵检测系统是网络管理员经验积累的一种表达，它极大地减轻了网络管理员的负担，降低了对网络管理员的技术要求，提高了网络平安管理的效率和准确性。9.1.2入侵检测的概念版权所有，盗版必纠对入侵检测的研究最早可以追溯到20世纪80年代。1980年，JamesAnderson在其著名的技术报告《ComputerSecurityThreatMonitoringandSurveillance》〔计算机平安威胁监控与监视〕中首先提出了入侵检测的概念，他将入侵检测划分为外部闯入、内部授权用户的越权使用和滥用三种类型，并提出用审计追踪来监视入侵威胁。然而，这一设想在当时并没有引起人们的注意，入侵检测真正受到重视和快速开展还是在Internet兴起之后。9.1.3入侵检测的历史版权所有，盗版必纠1986年，Denning提出了一个经典的入侵检测模型，如图9.1。他首次将入侵检测的概念作为一种计算机系统的平安防御措施提出。该模型由六个局部组成：主体、对象、审计记录、轮廓特征、异常记录、活动规那么，它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。9.1.3入侵检测的历史版权所有，盗版必纠9.1.3入侵检测的历史版权所有，盗版必纠1990年加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM〔NetworkSecurityMonitor〕，从此，入侵检测系统被分为两个根本类型：基于网络的IDS和基于主机的IDS。自从1988年的莫里斯蠕虫事件发生之后，美国一些研究机构开始对分布式入侵检测系统〔DIDS〕进行研究，将基于主机和基于网络的检测方法集成在一起，使得DIDS成了分布式入侵检测系统历史上的一个里程碑式的产品。从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。1994年，MarkCrosbie和EugeneSpafford首次建议使用自治代理〔Autonomousagents〕来提高IDS的可伸缩、可维护性、效率和容错性。9.1.3入侵检测的历史版权所有，盗版必纠1996年出现了GRIDS(Graph-basedIntrusionDetectionSystem)，它的设计和实现使得对大规模自动或协同攻击的检测更为便利。同年，Forrest等人首次将免疫原理运用到分布式的入侵检测领域。此后，在IDS中还出现了遗传算法、遗传编程的运用。1997年，RossAnderson和AbidaKhattak将信息检索技术引进到了入侵检测领域。1998年，W.Lee首次提出了运用数据挖掘技术对审计数据进行处理。1999年，StevenCheung等人又提出了入侵容忍〔Intrusiontolerance〕的概念，在IDS中引入了容错技术。2000年，TimmBass提出了数据融合〔DataFusion〕的概念，将分布式入侵检测理解为在层次化模型下对多感应器的数据综合问题。9.1.3入侵检测的历史版权所有，盗版必纠这几年，入侵检测系统开展很快，如ISS，Cisco，Axent，NSW，NFR等都发布了它们的产品，这些产品各有自己的优势。然而，由于通用标准的缺乏，不同的入侵检测系统之间还不能有效地进行互操作。9.1.3入侵检测的历史版权所有，盗版必纠入侵检测系统包括三个功能部件：提供事件记录流的信息源、发现入侵迹象的分析引擎、基于分析引擎的结果产生反响的响应部件。因此，IDS可以看作这样的管理工具：它从计算机网络的各个关键点收集各种系统和网络资源的信息，然后分析有入侵〔来自组织外部的攻击〕和误用〔源于内部组织的攻击〕迹象的信息，并识别这些行为和活动，在某些情况下，它可以自动地对检测到的活动进行响应，报告检测过程的结果，从而帮助计算机系统对付攻击。IDS也可以包括一个所谓的“蜜罐〞〔Honeypot〕，人为留下一些明显的平安漏洞，以引诱攻击者对这些漏洞进行入侵，从而为研究入侵行为提供信息。9.1.4入侵检测系统的作用版权所有，盗版必纠入侵检测系统的主要功能是：监视用户和系统的活动，查找非法用户和合法用户的越权操作。审计系统配置的正确性和平安漏洞，并提示管理员修补漏洞。对用户的非正常活动进行统计分析，发现入侵行为的规律。检查系统程序和数据的一致性与正确性。能够实时地对检测到的入侵行为进行反响。操作系统的审计跟踪管理。9.1.4入侵检测系统的作用版权所有，盗版必纠对一个成功的入侵检测系统而言，它不但可使系统管理员时刻了解网络系统〔包括程序、文件和硬件设备等〕的任何变更，还能为网络平安策略的制定提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员也能非常容易地利用它对网络实施平安保护。入侵检测的规模还应根据网络威胁、系统构造和平安需求的改变而改变；在发现入侵后，应能及时做出响应，包括切断网络连接、记录事件和报警等。9.1.4入侵检测系统的作用版权所有，盗版必纠入侵检测系统可以从不同的角度进行分类，目前主要有以下几种分类方法。1．按照数据的来源按照采集器的数据来源，可分为三种，即基于主机的IDS、基于网络的IDS和基于路由器的IDS。9.1.5入侵检测的分类版权所有，盗版必纠基于主机的IDS〔Host-basedIntrusionDetectionSystem，HIDS〕：通过监视和分析所在主机的审计记录检测入侵。优点是可精确判断入侵事件，并及时进行反响，不受网络加密的影响。缺点是会占用珍贵的主机资源。另外，能否及时采集到审计也是这种系统的弱点之一，因为入侵者会将主机审计子系统作为攻击目标以避开IDS。典型的系统主要有：ComputerWatch，Discovery，Haystack，IDES，ISOA，MIDAS以及LosAlamos国家实验室开发的异常检测系统W&S。9.1.5入侵检测的分类基于网络的IDS〔Network-basedIntrusionDetectionSystem，NIDS〕：通过在共享网段上对主机之间的通信数据进行侦听，分析可疑现象。这类系统不需要主机通过严格的审计，主机资源消耗少，可提供对网络通用的保护而无需顾及异构主机的不同架构。但它只能监视经过本网段的活动，且精确度较差，在交换网络环境下难于配置，防欺骗能力也较差。9.1.5入侵检测的分类版权所有，盗版必纠基于路由器的入侵检测系统〔Router-basedIntrusionDetectionSystem，RIDS〕：通过对网关中相关信息的提取，提供对整个信息根底设施的保护，确保大型网络计算机之间平安、可靠的连接。一般安装在路由器上，但负载变化对网络性能的影响很大。9.1.5入侵检测的分类版权所有，盗版必纠当然，以上三种入侵检测系统都具有自己的优点和缺乏，可互相作为补充。一般地，一个完备的入侵检测系统一定是基于主机和基于网络两种方式兼备的分布式系统。事实上，现在的商用产品也很少是基于一种入侵检测模型、使用一种技术实现的，一般都是理论模型与技术条件间的折衷方案。不同的体系结构、不同的技术途径实现的入侵检测系统都有不同的优缺点，都只能最适用于某种特定的环境。9.1.5入侵检测的分类版权所有，盗版必纠2．按照分析的方式按照分析器所采用的数据分析方式，可分为异常检测系统、误用检测系统和混合检测系统。9.1.5入侵检测的分类版权所有，盗版必纠异常检测〔Anomalydetection〕系统： 检测与可接受行为之间的偏差。假定所有的入侵行为都与正常行为不同，建立正常活动的简档，当主体活动违反其统计规律时，那么将其视为可疑行为。该技术的关键是异常阈值和正常特征的选择。其优点是可以发现新型的入侵行为，缺点是容易产生误报。9.1.5入侵检测的分类版权所有，盗版必纠误用检测〔Misusedetection〕系统： 检测与的不可接受行为之间的匹配程度。假定所有入侵行为和手段〔及其变种〕都能够表达为一种模式或特征，系统的目标就是检测主体活动是否符合这些模式，如果符合那么视为可疑行为。该技术的关键是如何表达入侵的模式，把真正的入侵行为与正常行为区分开来，因此入侵模式表达的好坏直接影响入侵检测的能力。其优点是误报少，缺点是只能发现攻击库中的攻击，且其复杂性将随着攻击数量的增加而增加。9.1.5入侵检测的分类版权所有，盗版必纠混合检测〔Hybriddetection〕系统：同时使用以上两种方法，从而获得二者的优点而防止其缺点。目前，国际顶尖的入侵检测系统还主要以模式发现技术为主，并结合异常发现技术。9.1.5入侵检测的分类版权所有，盗版必纠3．按照分析的位置按照分析器进行数据分析的位置，IDS可分为集中式和分布式。9.1.5入侵检测的分类版权所有，盗版必纠集中式的IDS：数据的分析在一个固定的位置上，独立于受监视主机。这里不考虑数据收集的位置，只考虑数据分析的位置。如：IDES〔ArealtimeIntrusionDetectionExpertSystem，一个实时的入侵检测专家系统〕，IDIOT〔Anapplicationofpetri-netstointrusiondetection，运用了Petri网，由PurdueCOAST开发〕，NADIR〔Anautomatedsystemfordetectingnetworkintrusionandmisuse，检测网络入侵和误用的自动系统〕，NSM〔NetworkSecurityMonitor，第一个用网络通信作为审计数据来源的系统〕。9.1.5入侵检测的分类版权所有，盗版必纠分布式的IDS：数据分析在很多位置进行，和被监视主机的数量成比例。这里只考虑数据分析部件的位置和数量，而不考虑数据收集部件。如：DIDS〔DistributedIntrusionDetectionSystem〕，GrIDS〔Graph-basedIntrusionDetectionSystem〕，EMERALD〔EventMonitoringEnablingResponsetoAnomalousLiveDisturbances〕，AAFID〔AutonomousAgentsforIntrusionDetection〕。9.1.5入侵检测的分类版权所有，盗版必纠4．其它分类方法根据响应方式，入侵检测系统可分为主动和被动响应系统。主动响应对发现的入侵行为主动进行处理以阻止攻击，被动响应仅仅对发现的入侵行为进行告警和写入日志。根据系统的工作方式，可分为离线检测和在线检测。离线检测在事后分析审计事件，从中检查入侵活动，是一种非实时工作的系统；在线检测包含：对实时网络数据包分析、对实时主机审计分析，是一种实时联机的检测系统。9.1.5入侵检测的分类版权所有，盗版必纠当然，系统攻击和入侵检测是矛与盾的关系，各种不同机制的入侵检测系统之间并没有绝对的优劣之分。在当前，由于对计算机系统各局部存在漏洞的情况、人类的攻击行为、漏洞与攻击行为之间的关系都没有〔也不可能〕用数学语言明确的描述，无法建立可靠的数学描述模型，因而无法通过数学和其他逻辑方法从理论上证明某一个入侵检测模型的有效性，而只能对于一个已经建立起来的原型系统，进行攻防比较测试，通过实验的方法在实践中检验系统的有效性。9.1.5入侵检测的分类版权所有，盗版必纠一般说来，入侵检测系统主要有集中式、分布式和分层式三种体系结构。9.1.6入侵检测的体系结构版权所有，盗版必纠1．集中式结构入侵检测系统开展的初期，IDS大都采用单一的体系结构，即所有的工作包括数据的采集、分析都是由单一主机上的单一程序来完成，如图9.2〔a〕。目前，一些所谓的分布式入侵检测系统只是在数据采集上实现了分布式，数据的分析、入侵的发现和识别还是由单一程序来完成，如图9.2〔b〕。因此，这种入侵检测系统实际上还是集中式的。9.1.6入侵检测的体系结构版权所有，盗版必纠这种结构的优点是：数据的集中处理可以更加准确地分析可能的入侵行为。缺点是：〔1〕可扩展性差。在单一主机上处理所有的信息限制了受监视网络的规模；分布式的数据收集常会引起网络数据过载问题。〔2〕难于重新配置和添加新功能。要使新的设置和功能生效，IDS通常要重新启动。〔3〕中央分析器是个单一失效点。如果中央分析器受到入侵者的破坏，那么整个网络将失去保护。9.1.6入侵检测的体系结构版权所有，盗版必纠2．分布式结构随着入侵检测产品日益在规模庞大的企业中应用，分布式技术也开始融入到入侵检测产品中来。这种分布式结构采用多个代理在网络各局部分别进行入侵检测，并协同处理可能的入侵行为，其优点是：能够较好地实现数据的监听，可以检测内部和外部的的入侵行为。但是这种技术不能完全解决集中式入侵检测的缺点。因为当前的网络普遍是分层的结构，而纯分布式的入侵检测要求代理分布在同一个层次，假设代理所处的层次太低，那么无法检测针对网络上层的入侵，假设代理所处的层次太高，那么无法检测针对网络下层的入侵。同时由于每个代理都没有对网络数据的整体认识，所以无法准确地判断跨一定时间和空间的攻击，容易受到IP分段等针对IDS的攻击。9.1.6入侵检测的体系结构版权所有，盗版必纠3．分层结构由于单个主机资源的限制和攻击信息的分布，在针对高层次攻击〔如协同攻击〕上，需要多个检测单元进行协同处理，而检测单元通常是智能代理。因此，考虑采用分层的结构来检测越来越复杂的入侵是比较好的选择，如图9.3。9.1.6入侵检测的体系结构版权所有，盗版必纠在树形分层体系中，最底层的代理负责收集所有的根本信息，然后对这些信息进行简单的处理，并完成简单的判断和处理。其特点是所处理的数据量大、速度快、效率高，但它只能检测某些简单的攻击。中间层代理起承上启下的作用，一方面可以接受并处理下层节点处理后的数据，另一方面可以进行较高层次的关联分析、判断和结果输出，并向高层节点进行报告。中间节点的参加减轻了中央控制台的负担，增强了系统的伸缩性。9.1.6入侵检测的体系结构版权所有，盗版必纠最高层节点主要负责在整体上对各级节点进行管理和协调，此外，它还可根据环境的要求动态调整节点层次关系图，实现系统的动态配置。网络中攻击与防护的对抗是一个长期复杂的过程。从长远的平安角度考虑，一个好的体系结构将提高整个平安系统的自适应性和进化能力。然而，目前由于通用标准的缺乏，入侵检测系统内部各部件缺乏有效的信息共享和协同机制，限制了攻击的检测能力，并且入侵检测系统之间也难以交换信息和协同工作，降低了检测效率。9.1.6入侵检测的体系结构版权所有，盗版必纠入侵检测方法有多种，按照他们对数据进行分析的角度，可将它们分为两大类，即异常检测技术和误用检测技术。9.2入侵检测技术版权所有，盗版必纠异常检测〔AnomalyDetection〕，也称基于行为的检测，是指根据使用者的行为或资源使用情况来判断是否发生了入侵，而不依赖于具体行为是否出现来检测。假设入侵行为偏离了正常的行为轨迹，就可以被检测出来。例如，系统把用户早六点到晚八点登录公司效劳器定义为正常行为，假设发现有用户在晚八点到早六点之间〔如凌晨一点〕登录公司效劳器，那么把该行为标识为异常行为。异常检测试图用定量方式描述常规的或可接受的行为，从而区别非常规的、潜在的攻击行为。异常检测技术的原理如图9.4所示。9.2.1异常检测技术版权所有，盗版必纠9.2.1异常检测技术版权所有，盗版必纠该技术的前提条件是入侵活动是异常活动的一个子集，理想的情况是：异常活动集与入侵活动集相等。但事实上，二者并不总是相等的，有4种可能性：〔1〕是入侵但非异常；〔2〕非入侵但表现异常；〔3〕非入侵且非异常；〔4〕是入侵且异常。9.2.1异常检测技术版权所有，盗版必纠该技术主要包括以下几种方法：1．用户行为概率统计模型这种方法是产品化的入侵检测系统中常用的方法，它是基于对用户历史行为建模以及在早期的证据或模型的根底上，审计系统的被检测用户对系统的使用情况，然后根据系统内部保存的用户行为概率统计模型进行检测，并将那些与正常活动之间存在较大统计偏差的活动标识为异常活动。它能够学习主体的日常行为，根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当用户行为与历史行为习惯不一致时，就会被视为异常。9.2.1异常检测技术版权所有，盗版必纠在统计方法中，需要解决以下四个问题：选取有效的统计数据测量点，生成能够反映主体特征的会话向量；根据主体活动产生的审计记录，不断更新当前主体活动的会话向量；采用统计方法分析数据，判断当前活动是否符合主体的历史行为特征；随着时间变化，学习主体的行为特征，更新历史记录。9.2.1异常检测技术版权所有，盗版必纠2．预测模式生成它基于如下假设：审计事件的序列不是随机的，而是符合可识别的模式的。与纯粹的统计方法相比，它增加了对事件顺序与相互关系的分析，从而能检测出统计方法所不能检测的异常事件。这一方法首先根据已有的事件集合按时间顺序归纳出一系列规那么，在归纳过程中，随着新事件的参加，它可以不断改变规那么集合，最终得到的规那么能够准确地预测下一步要发生的事件。9.2.1异常检测技术版权所有，盗版必纠3．人工神经网络通过训练神经网络，使之能够在给定前n个动作或命令的前提下预测出用户下一动作或命令。网络经过用户常用的命令集的训练，经过一段时间后，便可根据网络中已存在的用户特征文件，来匹配真实的命令。任何不匹配的预测事件或命令，都将被视为异常行为而被检测出来。该方法的好处是：能够很好的处理噪音数据，并不依赖于对所处理的数据的统计假设，不用考虑如何选择特征向量的问题，容易适应新的用户群。缺点是：命令窗口的选择不当容易造成误报和漏报；网络的拓扑结构不易确定；入侵者能够训练该网络来适应入侵。9.2.1异常检测技术版权所有，盗版必纠误用检测(MisuseDetection)，也称基于知识的检测，它是指运用攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。它通过分析入侵过程的特征、条件、排列以及事件间的关系来描述入侵行为的迹象。误用检测技术首先要定义违背平安策略事件的特征，判别所搜集到的数据特征是否在所搜集到的入侵模式库中出现。这种方法与大局部杀毒软件采用的特征码匹配原理类似。其原理如图9.5所示。9.2.2误用检测技术版权所有，盗版必纠9.2.2误用检测技术版权所有，盗版必纠该技术的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，那么当前行为就被认定为入侵行为。9.2.2误用检测技术版权所有，盗版必纠该技术主要包括以下方法：1．专家系统用专家系统对入侵进行检测，经常是针对有特征的入侵行为。该技术根据平安专家对可疑行为的分析经验来形成一套推理规那么，然后在此根底上建立相应的专家系统，由此专家系统自动对所涉及入侵行为进行分析。所谓的规那么，即是知识，专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。因此，该方法应当能够随着经验的积累而利用其自学习能力进行规那么的扩充和修正。9.2.2误用检测技术版权所有，盗版必纠2．模型推理入侵者在攻击一个系统时往往采用一定的行为序列，如猜测口令的行为序列，这种行为序列构成了具有一定行为特征的模型。该技术根据入侵者在进行入侵时所执行的某些行为程序的特征，建立一种入侵行为模型，并根据这种模型所代表的入侵意图的行为特征，来判断用户执行的操作是否属于入侵行为。该方法也是建立在对当前的入侵行为程序的根底之上的，对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。与专家系统通常放弃处理那些不确定的中间结论的缺点相比，这一方法的优点在于它基于完善的不确定性推理的数学理论。9.2.2误用检测技术版权所有，盗版必纠3．状态转换分析状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。该方法首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的条件，即导致系统进入被入侵状态必须执行的操作〔特征事件〕。然后用状态转换图来表示每一个状态和特征事件。当分析审计事件时，假设根据对应的条件布尔表达式系统从平安状态转移到不平安的状态，那么把该事件标记为入侵事件。系统通过对事件序列进行分析来判断入侵是否发生。9.2.2误用检测技术版权所有，盗版必纠4．模式匹配该方法将的入侵特征编码成与审计记录相符合的模式，并通过将新的审计事件与入侵模式相比较来判断是否发生了入侵。当新的审计事件产生时，该方法将寻找与它相匹配的入侵模式。如果找到，那么意味着发生了入侵。9.2.2误用检测技术版权所有，盗版必纠近年来，随着网络及其平安技术的飞速开展，一些新的入侵检测技术相继出现，其中很多入侵检测方法既不是误用检测也不属于异常检测的范围，而是可以应用于以上两类检测，主要包括：9.2.3其它入侵检测技术版权所有，盗版必纠1．软计算方法软计算方法包含了神经网络、遗传算法与模糊技术。运用神经网络进行入侵检测有助于解决具有非线性特征的攻击活动，而用于入侵检测的神经网络运用模糊技术确定神经网络的权重，可加快神经网络的训练时间，提高神经网络的容错和外拓能力。神经网络方法的运用是提高检测系统的准确性和效率的重要手段。近年来，还有人运用遗传算法、遗传编程及免疫原理进行入侵检测。然而，这些方法还不成熟，目前还没有出现较为完善的产品。9.2.3其它入侵检测技术版权所有，盗版必纠2．计算机免疫学这是一个较新的领域，最初由Forrest等人提出。该项技术建立网络效劳正常操作的行为模型，它首先收集一些参考审计记录构成一个参考表，说明正确的行为模式，并实时检测进程系统的调用序列是否符合正常模式。如果参考表足够详尽，那么误报率将很低。但缺乏的是它不能对付利用配置错误进行的攻击，以及攻击者以合法操作进行的非授权访问等。9.2.3其它入侵检测技术版权所有，盗版必纠3．数据挖掘首先由Wenke.lee用于入侵检测。该技术可以自动地通过数据挖掘程序处理收集到的审计数据，为各种入侵行为和正常操作建立精确的行为模式，而不需要人工分析和编码入侵行为，且系统适应性好，即相同的算法可用于多种证据数据。其关键在于算法的选取和建立一个正确的体系结构。据DARPA评估，运用了这种技术的IDS在性能上优于基于“知识〞的IDS。9.2.3其它入侵检测技术数据挖掘分析方法分类〔Classification〕首先从数据中选出已经分好类的训练集，在该训练集上运用数据挖掘分类的技术，建立分类模型，对于没有分类的数据进行分类。a.信用卡申请者，分类为低、中、高风险b.故障诊断：中国宝钢集团与上海天律信息技术合作，采用数据挖掘技术对钢材生产的全流程进行质量监控和分析，构建故障地图，实时分析产品出现瑕疵的原因，有效提高了产品的优良率。注意：类的个数是确定的，预先定义好的版权所有，盗版必纠数据挖掘分析方法

估计〔Estimation〕估计与分类类似，不同之处在于，分类描述的是离散型变量的输出，而估值处理连续值的输出；分类数据挖掘的类别是确定数目的，估值的量是不确定的。a.根据购置模式，估计一个家庭的孩子个数b.根据购置模式，估计一个家庭的收入c.估计realestate的价值一般来说，估值可以作为分类的前一步工作。给定一些输入数据，通过估值，得到未知的连续变量的值，然后，根据预先设定的阈值，进行分类。例如：银行对家庭贷款业务，运用估值，给各个客户记分〔Score0~1〕。然后，根据阈值，将贷款级别分类。版权所有，盗版必纠数据挖掘分析方法预测〔Prediction〕通常，预测是通过分类或估值起作用的，也就是说，通过分类或估值得出模型，该模型用于对未知变量的预言。从这种意义上说，预言其实没有必要分为一个单独的类。预言其目的是对未来未知变量的预测，这种预测是需要时间来验证的，即必须经过一定时间后，才知道预言准确性是多少。版权所有，盗版必纠数据挖掘分析方法

相关性分组或关联规那么〔Affinitygroupingorassociationrules〕决定哪些事情将一起发生。例子：a.超市中客户在购置A的同时，经常会购置B，即A=>B(关联规那么)b.客户在购置A后，隔一段时间，会购置B〔序列分析〕版权所有，盗版必纠数据挖掘分析方法聚类〔Clustering〕聚类是对记录分组，把相似的记录在一个聚集里。聚类和分类的区别是聚集不依赖于预先定义好的类，不需要训练集。a.一些特定病症的聚集可能预示了一个特定的疾病b.租VCD类型不相似的客户聚集，可能暗示成员属于不同的亚文化群版权所有，盗版必纠数据挖掘分析方法描述和可视化〔DescriptionandVisualization〕是对数据挖掘结果的表示方式。一般只是指数据可视化工具，包含报表工具和商业智能分析产品〔BI〕的统称。进行数据的展现，分析，钻取，将数据挖掘的分析结果更形象，深刻的展现出来。版权所有，盗版必纠版权所有，盗版必纠4．智能代理代理的特性，如智能性、平台无关性，分布的灵活性、低网络数据流量和多代理合作等特性，特别适合作大规模信息收集和动态处理。在IDS的信息采集和处理中采用代理，既能充分发挥代理的特长，又能大大提高入侵检测系统的性能和整体功能。近年来已有这方面的研究，如Purdue大学的AAFID〔AutonomousAgentsforIntrusionDetection〕，SRIInternational公司的EMERALD，日本IPA〔信息技术促进机构〕的IDA。9.2.3其它入侵检测技术版权所有，盗版必纠当然，以上入侵检测技术单独使用并不一定能保证准确地检测出变化多端的入侵行为。在网络平安防护中应该充分权衡各种方法的利弊，综合运用这些方法，这样才能更为有效地检测出入侵者的非法行为。9.2.3其它入侵检测技术版权所有，盗版必纠标准化的工作对于一项技术的开展至关重要。在某一个技术领域，如果没有相应的标准，那么该领域的开展将会是无序的。令人遗憾的是，尽管IDS经历了20多年的开展，近几年又成为网络与信息平安领域的一个研究热点，但到目前为止，尚没有一个相关的国际标准出现，国内也没有IDS方面的标准。因此，IDS的标准化工作应引起业界的广泛重视。9.3IDS的标准化版权所有，盗版必纠这几年，入侵检测系统的市场开展很快，但是由于缺乏相应的通用标准，不同系统之间缺乏互操作性和互用性，大大阻碍了入侵检测系统的开展。为了解决不同IDS之间的互操作和共存问题，1997年3月，美国国防部高级研究方案局〔DARPA〕开始着手CIDF〔CommonIntrusionDetectionFramework，公共入侵检测框架〕标准的制定，试图提供一个允许入侵检测、分析和响应系统和部件共享分布式协作攻击信息的根底结构。该框架的目的主要是：一，IDS构件共享，即一个IDS的构件可以被另一个IDS构件所使用；二，数据共享，即，通过提供标准的数据格式，使得IDS中的各类数据可以在不同系统之间传递并共享；三，完善互用性标准并建立一套开发接口和支持工具，以提供独立开发局部构件的能力。9.3.1IDS标准化进展现状版权所有，盗版必纠为了有效地开发入侵检测系统，IETF的Internet草案工作组〔IntrusionDetectionWorkingGroup，IDWG〕专门负责定义入侵检测系统组件之间，及不同厂商的入侵检测系统之间的通信格式。但目前只有相关的草案〔draft〕，还未形成正式的RFC文档。IDWG文档有：入侵警报协议〔IAP〕，该协议是用于交换入侵警报信息、运行于TCP之上的应用层协议；入侵检测交换协议〔IDXP〕，这个应用层协议是在入侵检测实体间交换数据，提供入侵检测报文交换格式〔IDMEF〕报文、无结构的文本，二进制数据的交换；IDMEF是数据存放格式隧道〔TUNNEL〕文件，允许块可扩展交换协议〔BEEP〕对等体能作为一个应用层代理，用户通过防火墙得到效劳。IAP是最早设计的通信协议，它将被IDXP替换，IDXP建立在BEEP根底之上，TUNNEL文件配合IDXP使用。9.3.2入侵检测工作组 版权所有，盗版必纠为了解决不同入侵检测系统之间的互操作性和共存性，DARPA和加洲大学Davis分校的平安实验室在1998年提出了CIDF〔CommonIntrusionDetectionFramework〕标准。其目的是为入侵检测系统定义一个通用的根底框架，使得不同部件〔包括数据收集、分析和响应〕能够共享信息。此外，还定义了CISL〔CommonIntrusionSpecificationLanguage〕，用于标准入侵的描述。9.3.3公共入侵检测框架 版权所有，盗版必纠CIDF〔公共入侵检测框架〕阐述的是一个入侵检测系统〔IDS〕的通用模型。按功能，它把一个入侵检测系统分为四个组件，如图9.6所示。事件产生器〔Eventgenerators〕：从整个计算环境中获得事件，并向系统的其他局部提供此事件。事件分析器〔Eventanalyzers〕：分析得到的数据，并产生分析结果。响应单元〔Responseunits〕：对分析结果做出反响的功能单元，它可以做出切断连接、改变文件属性等强烈反响，也可以只是简单的报警。事件数据库〔Eventdatabases〕：是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。9.3.3公共入侵检测框架 版权所有，盗版必纠9.3.3公共入侵检测框架 版权所有，盗版必纠CIDF将IDS需要分析的数据统称为事件，事件可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。在这个模型中，前三者以程序的形式出现，而最后一个那么往往是文件或数据流的形式。以上四类组件以GIDOs(GeneralizedIntrusionDetectionObjects，通用入侵检测对象)的形式交换数据，而GIODs通过一种用CISL〔CommonIntrusionSpecificationLanguage，通用入侵标准语言〕定义的标准通用格式来表示。9.3.3公共入侵检测框架 版权所有，盗版必纠入侵检测技术开展至今还不够成熟和完善，还有很大的研究、开展空间，而现存的问题就是今后入侵检测技术的主要研究方向。9.4入侵检测的开展版权所有，盗版必纠误警率高入侵检测系统可能出现的错误类型有3种：误警〔falsepositive〕、漏报〔falsenegative〕、和颠覆〔subversion〕。误警是指入侵检测系统将一个合法的行为判断为一个异常或入侵行为；漏报是指当一个真正的入侵活动出现时，IDS把它当成一个合法的活动允许它通过；颠覆是指入侵者修改入侵检测器的操作致使出现漏报的情况。误警太多会降低入侵检测的效率，而且会增加平安管理员的负担，因为平安管理员必须调查每一个被报警的事件。消除误警可能会产生漏报，因为外表上看起来是误警的几个异常行为，综合起来可能就是一个真正的入侵行为。漏报会给人造成平安的错觉。9.4.1入侵检测系统存在的问题版权所有，盗版必纠检测速度慢 目前大多数IDS产品的检测速度比较慢，不能检测高于10Mb/s以太网的速度。因此，为了适应不断快速增长的网络速度，应用于网络入侵实时检测上的算法必须足够快，至少应能匹配目前一般的网络速度，从而提高检测率、降低漏报率。9.4.1入侵检测系统存在的问题版权所有，盗版必纠扩充性

从实用的角度看，检测算法应当易于扩充，使得新的攻击方法出现时，能够方便迅速地更新检测手段，从而检测到新的或未知形式的攻击。目前，入侵检测系统在检测算法的扩充性上还有待研究。9.4.1入侵检测系统存在的问题版权所有，盗版必纠随着网络技术的飞速开展，入侵技术也在日新月异地开展。交换技术的开展以及通过加密信道的数据通信使通过共享网段侦听的网络数据采集方法显得缺乏，而巨大的通信量对数据分析也提出了新的要求。总的来看，入侵检测技术的开展方向主要有以下几个：〔1〕分布式通用入侵检测架构：传统的IDS局限于单一的主机或网络架构，对异构系统及大规模的网络检测明显缺乏，并且不同的IDS系统之间不能协同工作。因此，有必要开展分布式通用入侵检测架构。〔2〕应用层入侵检测：许多入侵检测的语义只有在应用层才能理解，而目前的IDS仅能检