计算机网络入侵检测技术研究

摘要随着网络技术的发展，全球信息化的步伐越来越快，网络信息系统己成为一个单位、一个部门、一个行业，甚至成为一个关乎国家国计民生的基础设施，团此，网络安全就成为国防安全的重要组成部分，入侵检测技术是一种重要的动态防护技术，继防火墙、数据加密等传统网络安全措施之后的又一道安全闸门，网络入侵检测系统，可以从海量的网络数据中发现正常的通讯和异常的入侵行为，不仅可以减少人工分析和解码带来的繁重工作，而且可以提高入侵检测系统的适应性。基于此，本文对计算机网络入侵检测技术进行详细的论述。关键词：计算机；网络入侵；检测技术

一、引言进入二十一世纪以来，信息和网络技术持续高速发展，互联网规模的不断扩大，网络的影响渗透到社会生活的各个的角落。黑客们受政治、经济或者军事利益的驱动，对计算机和网络基础设施，特别是各种官方机构的网站，展开了越演越烈，无孔不入的入侵攻击。与此同时，后果重大且影响恶劣的网络事件。比如前两年的熊猫烧香一每年都有发生，这一切给人们的工作和生活带来诸多不便甚至是重大且无可挽回的损失。近年来电子商务与其它网络经济行为的繁荣，更加激化了入侵事件的增长.如何应对这一趋势是人们无法回避的严峻考验。通过高效的入侵检测，可以及时得识别出网络流量中的入侵行为，在此基础上，或触发自动响应步骤，或提醒系统管理员采取措施及时应对，从而有效得阻断恶意行为，避免遭受进一步损失。所以，入侵检测技术在当今社会具备非常重要的意义。二、入侵检测技术概述（一）入侵检测简介入侵检测作为一种主动地安全防护技术，提供了对内部攻击、外部攻击和用户误操作的实时保护，在网络或系统受到危害之前拦截和响应入侵。因此入侵检测被认为是防火墙之后的第二道安全闸门，能够在不影响网络性能的情况下对网络或系统进行监测。入侵检测的实现一般通过执行以下任务：监视并分析用户及系统活动；系统构造和弱点的审计：识别已知进攻的活动模式并向相关人士及时报警；异常行为模式的统计分析；评估重要系统和重要数据文件的完整性；操作系统的审计及跟踪管理。入侵检测是防火墙的合理补充，帮助操作系统应对网络攻击，增强操作系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。（二）入侵检测系统的架构一般而言，入侵检测系统的分类有两种标准。一种是按系统所处理的数据的来源来分，另外一种按照检测非法事件的方法来分。根据所处理的数据来源的不同，可以将入侵检测系统分为基于主机的((HIDS)与基于网络的((NiDS)。如图2-1所示，NIDS通过监控网络流量来检测入侵行为。一般来说它是通过抓取并分析流经网络上某些关键设备(路由器，交换机等)处于混杂模式的网卡上的包来监控网络行为。图2-1NIDS示意图而如图2-2所示，HIDS驻存于主机上，只负责保证该台主机的安全，它监控的数据包括着经过该台主机处于非混杂模式的网卡的所有数据包和本机的系统日志，系统调用等本机信息，这里要强调的是HIDS监控的网络数据包都是针对它所驻存主机的。这两种IDS各有长处。相对来说，由于获得的数据非常丰富详细，HIDS有相对很高的检测率和很低的误报率，但毕竟HIDS只监控一台计算机的行为，而完全无视网络中其他计算机的存在，因而存在对威胁反应迟钝的问题，当它在本机上发现入侵迹象时，攻击者针对目标网络的意图往往已经部分实现。此外，高水平的攻击者可以通过诸如修改本机的日志文件等手段来逃避检测。所以HIDS一般来说是作为网络纵深防御体系的最后一段防线。而NIDS则是防火墙之后的第二道安全防线。由于NIDS只监控网络数据包，可供其分析的数据远不如HIDS获得的数据丰富，所以NIDS对整个网络系统的监控在某种意义上是粗粒度的，其检测率相对较低，而误报率相对较高。但NIDS对入侵的整体状态敏感，能够在入侵发生的早期做出及时反应，一般作为防火墙之后的第二道安全防线。图2-2HIDS位置示意图（三）入侵检测分类及技术分析根据检测的方法可将入侵检测分为两大类型:误用入侵检测和异常入侵检测。误用入侵检测又称为特征检测或滥用检测，其是根据已知攻击的知识建立攻击特征库，通过用户或系统行为与特征库中各种攻击模式的比较确定是否有入侵发生。该检测系统的优点是误报少，准确率高；局限是它对未知的攻击无能为力，对具体的系统依赖性太强。异常检测是假定所有入侵检测行为都是与正常行为不同的。对“正常”行为特征轮廓的确定、更新和特征量的选取是异常检测技术的关键。异常检测技术的局限在于:并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。1.误用入侵检测基于误用的检测技术大致有专家系统、模式匹配与协议分析，基于模型、键盘监控、模型推理、状态转换分析、Petri网状态转换等方法。下面就专家系统、状态转换分析进行分析论述。(1)基于专家系统的误用检浏方法。现有多数采用基于规则的专家系统来检测系统中的入侵行为，即将入侵行为编码成专家系统的规则，每个规则具有“IF条件THEN动作”的形式，其中条件为在某一入侵发生的条件、动作表示规则被触发时入侵检测系统所采取的处理动作。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性，这种方法的缺陷是规则库的全面性问题以及专家知识的获取和规则的动态更新间题；专家系统运行时需要分析所有的审计数据，这存在效率问题；另外如何在大型系统上获得实时连续的审计数据也是个问题。(2)基于状态转换分析的误用检刻方法。状态转换分析是将攻击表示成一系列被监控的系统状态转移，攻击模式状态对于与系统状态同时有状态转移的条件判断，事件类型无需与审计记录一一对应。但攻击模式只是说明事件序列，因此不适合描述更复杂的事件，没有通用方法来剪除部分攻击匹配，所以不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵。2.异常入侵检测基于数据挖掘、神经网络、支持向量机的异常入侵检测是近几年的研究热点。(1)基于数据挖掘的异常入俊检测。通过从审计记录中提取隐含的、潜在的有用知识，主要是利用数据挖掘中的聚类分析、序列模式分析、分类分析等方法提取与入侵活动相关的系统特征属性，并根据系统特征属性生成入侵事件的分类模型，用于入侵事件的自动识别。基于数据挖掘的方法适用于处理大量数据的情况，但其实现需要大量的审计数据作为基础，系统学习过程较慢，难以做到实时入侵检测。另外数据挖掘是建立在大样本的基础上的，而对于入侵检测来说，得到足够的样本是非常困难和昂贵的(2)基于神经网络的异常入侵检测。神经网络由大量的处理单元组成，单元间通过带有权值的连接来进行交互。来自审计日志或正常网络访问行为的信息，经数据信息预处理模块的处理后作为输人向量，使用神经网络对输人向量进行处理，从中提取用户正常行为的模式特征，并以此创建用户的行为特征轮廓。这要求系统事先对大量实例进行训练，具有每一个用户行为模式特征的知识，从而可以找出偏离这些轮廓的用户行为，否则就会使系统性能变差阁。神经网络的缺点是:训练时间长，依赖于训练数据集，建模代价高，而且对判断为异常的事件不能提供解释或说明。通过训练各个功能专一、结构简单的小神经网络，联合构建功能强大的神经网络也是目前解决此问题的办法。当有新的数据加人时，只需对小型网进行调整，无需对整个神经网络进行重新学习。(3)基于支持向童机的异常入侵检测。目前为止应用于入侵检测的SVM有二分类SVM，N分类SVM，针对无标签数据分类以及大量训练样本的SVM。基于支持向量机的异常入侵检测分为两步:(1)训练:在某种SVM训练算法下利用样本数据进行分类器训练，结束时可得到SVM决策函数。(2)检测:先将待检测数据转换成SVM接受的输入向量格式，然后利用训练阶段得到的决策函数对输入的向量进行分类，得到的结果即为检测结论。SVM应用于入侵检测取得了良好的效果，但SVM的性能在很大程度上依赖于核函数的选择，目前没有很好的方法来指导核函数选择；SVM的训练速度受数据集规模的影响极大；现有SVM理论仅讨论具有固定惩罚系数的情况，而实际上正负样本的两种误判往往造成损失是不同的。三、入侵检测系统的局限性（一）入侵技术在不断发展入侵检测技术以网络攻击技术研究为依托，通过跟踪入侵技术的发展增强入侵检测能力。在因特网上有大量的黑客站点。发布大量系统漏洞资料和探讨攻击方法。更为令人担优的是有组织的活动，国外己将信息战手段同核生化武器等列在一起，作为战略威慑加以讨论。破坏者所具备的能力，对我们是很大的未知数，入侵技术的发展给入侵检测造成了很大的困难，预先了解所有可能的入侵方法是困难的，因此一个有效的入侵检测系统不仅需要识别已知的入侵摸式，还要有能力对付未知的入侵模式。（二）入侵活动可以具有很大的时间跨度和空间跨度有预谋的入侵活动往往有较周密的策划、试探性和技术性准备。一个入侵活动的各个步骤有可能在一段相对长的时间跨度和相当大的空间跨度之七分别地完成。给预警带来困难。一个检测模型总会有一个有限的时间窗口，从而忽略滑出时间窗口的某些事实。同时，检测模型对子在较大空间范围中发生的的异常现象的综合、联想能力也是有限的。（三）非线性的特征还没有有效的识别模型入侵检测技术的难度不仅仅在于入侵模式的提取，更在于入侵模式的检测策略和算法。因为入侵模式是一个静态的事物.而现实的入侵活动则是灵活多变的。从技术上说，入侵技术已经发展到一定阶段，而入侵检测技术在理论上、模型上和实践上还都没有真正发展起来。在市场上能看得到的入侵检测系统也都处在同一水平。面对复杂的网络入侵活动，网络入侵检测技术的研究不仅仅包括入侵技术的研究，更要重视建立入侵检测策略和摸型的理论研究。四、入侵检测技术的发展方向在入侵检测技术发展的同时，入侵技术也在日新月异。高速网络，尤其是交换技术的发展以及通过加密信道的数据通信，使得通过共享网段侦听的网络数据采集方法显得不足，而大量的通信量对数据分析也提出了新的要求.近年对入侵检测技术有几个主要发展方向:（一）分布式入侵检测分布式入侵检测包含两层含义:一是针对分布式网络攻击的检测方法；二是使用分布式的方法来检测入侵攻击，其关键技术为检测信息的协同处理与入侵攻击全局信息的提取，传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模网络的监测明显不足，同时不同的IDS系统之间不能协同工作能力.为解决这一问题，需要分布式入侵检测技术与通用入侵检测技术架构。（二）智能化入侵检测智能化入侵检测，即使用智能化的方法与手段来进行入侵检测。利用专家系统的思想来构建入侵检测系统也是常用的方法之一，特别是具有自学能力及自适应能力的专家系统，它实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，具有更广泛的应用前景。入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测技术领域应用研究，但是这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。（三）全面的安全防御方案全面的安全防御方案，使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理，从管理、网络结构、加密通道、防火墙、病毒防护和入侵检测等多方位对所关注的网络作全面的评估，然后提出可行的全面解决方案.（四）应用层入侵检测技术许多入侵的语义只有在应用层才能理解，而目前的IDS仅能检测如Web之类的通用协议，而不能处理如Lotus-Notes、数据库系统等其他的应用系统.许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测技术保护。（五）互操作性亟待提高目前，IDS的研究基本上还处于各自为政的山大王纷争时代.不同的IDS之间及与其他安全产品之间的互操作性很差。为了推动IDS产品及部件之间的互操作性，DARPA和IETF入侵检测工作组分别制订了CIDF和IDMEF标准，从体系结构、API、通信机制、语言格式等方面规范IDS。参考文献[1]黄慧.针对黑客攻击网络的预防措施[[J].网络安全