入侵检测技术的研究现状及其发展Word文档下载推荐.doc

1、在对当前主流入侵检测技术及系统进行详细研究分析的基础上 ，提出了面临亟待解决的问题，并对其现状 和未来发展趋势进行阐述。 同时对目前市场上一些较有影响的入侵检测产品也给与了一定的介绍 ，以供用户参考。 关键词：网络安全；入侵检测技术；入侵检测系统（IDS ） 中图分类号：TP393.08 文献标识码：A 文章编号：1672-7800 （2010 ）11015203 1 入侵检测技术与其发展历程 入侵检测研究起源于 20 世纪 70 年代末， 詹姆斯安德森 和完善，基于网络的入侵检测技术已经成为主流。 目前，入侵检 测一般采用误用检测技术和异常检测技术。 误用检测技术（Misuse Detect

2、ion ） 误 用 检 测 又 称 特 征 检 测 （Signaturebased detection ），它 是 假定所有入侵者的活动都能够表达为一种特征或模式 ，分析已 知的入侵行为并建立特征模型，这样对入侵行为的检测就转化 为对特征或模式的匹配搜索， 如果和已知的入侵特征匹配，就 认为是攻击。 误用入侵检测技术对已知的攻击有较高的检测准 确度，但不能很好检测到新型的攻击或已知攻击的变体 。 需要 不断的升级模型才能保证系统检测能力的完备性。 目前大部分 的商业化入侵检测系统都采用误用检测技术构建。 误用检测技 术又可分为 3 种：基于模式匹配的误用检测 、基 于 专 家 系统 的 误用检

3、测和基于状态转换分析的误用检测。 （1 ）基于模式匹配的误用检测。 这是一种最传统、最简单的 入侵检测技术。 它建立一个攻击特征库，然后将事件记录同存 放在特征库中的记录逐一比较，判断是否存在攻击。 这种检测 技术原理简单 、扩展性好 、效率高 ；缺点是计算负 荷 大 ，误 报率 也较高。 由于系统的实现、配置、维护都很方便，模式匹配技术 得 到 了 广泛 的 应 用 ，Snort 和 大 部 分 商 用 IDS 都 采 用 了 这 种 技 术。 （2 ）基于专家系统的误用检测。 早期的 IDS 多采用这种技 术。 它 将 有 关 入 侵 的知 识 转 化 为 IFTHEN 结 构的 规 则

4、，即 将 构成入侵所 要 求 的 条 件转 化 为 IF 部 分 ，将 发现 入 侵 后 采 取 的 相应措施转化成 THEN 部分。 当其中某个或部分条件满足时， 系统就判断为入侵行为发生。 其中的 IFTHEN 结构构成了描 21 （James PAnderson ）首先提出了这个概念。 1980 年，他的一篇题 为 “Computer Security Threat Monitoring and Surveillance ” 论 文 首次详细阐述了入侵及入侵检测的概念，提出了利用审计跟踪 数据监视入侵活动的思想，该论文被认为是该领域最早的出版 物 。 1984 到 1986 年 ， 乔

5、治 敦 大 学 的 桃 乐 茜顿 宁 （Dorothy Denning ）和彼得诺埃曼（Peter Neumann ）合作研究并开发出一 个实时入侵检测系统模型 ，称作入侵检测专家系统 （IDES ），桃 乐 茜顿 宁 并 于 1987 年 出 版 了 论 文 “An Intrusion Detection Model ”，该文为其他研究者 提 供了 通 用 的 方 法 框架 ，从 而 导 致 众多的研究者参与到该领域中来。 1990 年，加州大学戴维斯分 校 LT Heberlein 等 人 提 出 并 开 发 了 基 于 网 络 的 入 侵 检 测 系 统 网络系统监控 器 NSM （Ne

6、twork Security Monitor ）。 该系 统第一次直接监控以太网段上的网络数据流，并把它作为分析 审计的主要数据源。 自此，入侵检测系统发展史翻开了新的一 页。 从 20 世纪 90 年代到现在，对入侵检测系统的研发工作己 呈现出百家争鸣的繁荣局面。目前，加州大学戴维斯分校、哥伦 比亚大学 、新墨西哥大学 、普渡大学 、斯坦 福 国 际 研 究 所 （SRI ） 等机构在该领域研究的代表了当前的最高水平。 2 主流入侵检测技术及方法 入侵检测技术在信息安全强烈需求下得到了不 断 的发 展 作者简介 ：毕战科（1969 ），女，河南洛阳人，洛阳一拖职业教育学院助教 ，研究方向为数

7、控技术 ；许胜礼（1969 ），男，河南 洛阳 人 ，硕 士 ，河南 经贸 职业学院工程师，研究方向为信息安全。 第 11 期 毕战科，许胜礼：入侵检测技术的研究现状及其发展 153 述具体攻击的规则库。 专家系统的优点是系统智能化程度高 ； 缺点是规则库构造及升级困难 ，系统的处理速度低 ，难以商 用 化。 （3 ）基于状态转换分析的误用检测。 状态转换分析技术最 早由 RKemmerer 提出， 即将状态转换图应用于入侵行为的分 析，利用有限状态自动机来模拟入侵。 如果某个自动机到达了 它的最终状态，则表明该事件为攻击。 这种方法的优点是能检 测出合作攻击以及时间跨度很大的缓慢攻击。 但是

8、，因为状态 和转换动作是手工编码，很难精确表达。 异常检测技术（Anomaly detection ） 异常检测技术假设所有入侵者活动都异常于 正 常 用户 的 活动，对正常用户的活动特征进行分析并构建模型 ，统计所有 不同于正常模型的用户活动状态的数量 ， 当其违反统 计 规律 时，认为该活动可能是入侵行为。 这种技术的优点是可检测到 未知的入侵和更为复杂的入侵。但是，在许多环境中，建立正常 用户活动模式的特征轮廓以及对活动的异常性进行报警的 阈 值的确定都是比较困难的，此外并非所有的入侵活动在统计规 律上都表现为异常。 异常检测技术是今后研究的重点，处于研 究阶段的技术包括基于数据挖掘 、

9、神经网络、遗传算法和免 疫 机理等的异常检测技术。 目前，异常检测技术多采用统计分析 或者基于规则描述的方法建立系统正常用户的行为特征轮廓 ： 大； 误用检测技术普遍采取专家系统来编码和匹配攻击特征 ， 这些需要解释规则集，因而运行时刻费用很高。 当今高速网络 技术特别是 100M 、Gigabit 网的大面积应用 ， 交 换 技 术以 及 加 密信道技术的发展，使得通过共享网段侦听的网络数据采集方 法显得不足，巨大的通信流量对数据分析也提出了更高的效率 要求； 自身防护性能较差。 技术缺少自身防御功能。 一旦 IDS 本身受到攻击 ，则整个入侵检测系统都有可能陷入瘫痪 ，此 后 的入侵行为都

10、无法记录； 可扩展性不够好。 主要表现为可升 级性与可维护性差。很难使用新出现的技术对先前的入侵检测 系统进行升级。 例如，要将 Bayesian 分类方法集成到一个采用 其他技术的入侵检测系统中就非常困难，因为系统的剩余部分 不知道如何与更新的模块交互。 同时，维护一个入侵检测系统 所需要的技能远远超过专门的安全知识。更新规则集需要了解 专家系统规则语言，并理解系统如何处理这些规则。 未来入侵检测技术的发展趋势 近年来，入侵的手段与技术也日趋综合化与复杂化 。 为保 证入侵的成功，入侵者在实施入侵或攻击时往往采取多种入侵 的手段 ；同时入侵或攻击的规模也在扩大 ，甚至上升到事关 国 家安全的

11、电子战与信息战 ，对于信息战 ，其规模与技术都不是 一般意义上的入侵攻击可以相提并论的；入侵或攻击技术的分 布化也对入侵检测技术构成了极大的挑战，所谓的分布式拒绝 服务攻击 （DoS ）在很短时间内可造成被攻击主机的瘫痪 ，且此 类分布式攻击的单机信息模式与正常通信无异，所以在攻击发 动的初期不易被确认。因此入侵检测技术要获得更广泛的发展 和应用 ，除了完善常规的 、传统的技术外还必须从理论和技 术 上提出新的设想 、手段和方法来解决目前存在的问题 ，下面所 述的是几个主要发展方向和研究的热点： （1 ）分布式入侵检测技术。 分布式入侵检测技术有两层含 义：第一，针对分布式网络入侵攻击行为的检

12、测技术 ；第二，使 用分布式的方法来检测分布式的攻击，其中的关键技术为检测 信息的协同处理与入侵攻击的全局信息的提取。传统的入侵检 测技术一般局限于单一的主机或网络架构，由中央控制台进行 信息处理和分析 ， 这样的集中处理存在如中央控制台 负 荷 太 大、网络传输时延严重、网络性能降低等诸多问题，对异构系统 及大规模网络的检测能力明显不足，同时传统技术构建的不同 的入侵检测系统之间不能协同工作。 因此，分布式入侵检测技 术的研究与应用将成为解决此类问题的关键。 （2 ）高级智能入侵检测技术。 根据不同的入侵检测机理或 方式，该技术又可分基于免疫机理、基于数据挖掘、基于智能体 和基于遗传算法的

13、4 种入侵检测方法： 基于免疫机理的入侵 检测技术。生物免疫系统保护自身免受各种侵害的机理为入侵 检测技术的研究提供了思路。基于免疫机理的入侵检测技术从 免疫系统中抽象出与计算机安全相关的原理、 结构和算法，并 将其基因选择 、阴性选择 、抗体检测及克隆选择等机制应用于 22 32 统计性特征轮廓由主体特征变量的频度、均值以及偏差等统 计量来描述， 如 SRI 公司的下一代实时入侵检测专家系统，这 种方法对特洛伊木马以及欺骗性的应用程序的检测非常有效 ； 基于规则描述的特征轮廓由一组用于描述主体每个特征 的 合法取值范围与其他特征的取值之间关系的 规 则 组 成 （如 TIM ）。 该方案还可

14、以采用从大型数据库中提取规则的数据挖 掘技术。 3 31 入侵检测技术的未来发展趋势 当前入侵检测所面临解决的问题 入侵检测技术及方法的研究虽有 20 多年的历史， 但总体 来说目前仍然处在比较低级的阶段，一些新型的检测理论和技 术大多处于研究阶段。 因此，当前入侵检测技术存在以下主要 问题： 误报及漏报率较高。 误报是指被测出并判为入侵但其 实是正常合法使用受保护网络或计算机的活动。误报不仅降低 了入侵检测系统的效率，而且很大程度上降低了系统的服务质 量。异常检测技术中正常用户活动模式的特征轮廓文件建立不 当以及对活动的异常性进行报警的阈值的设立出现误差 ，常常 会产生误报情况 ；漏报则是未能测出入侵者的入侵行为 ，面 对 层出不穷的新的攻击手段，误用检测技术只能检测已知类型的 攻击行为而对新的攻击类型识别率低， 从而导致漏报发生； 检测效率较低。 异常检测技术的计算代价非常大，因为其维护 的正常用户活动记录要随着每个事件的更新而变得愈来愈 庞154 2010 年 入侵检测技术。 新墨西哥大学的 Stephanie Forrest 研究组基于 免疫机理，针对主机系统调用的审计数据分析处理 ，进行了系 统调用短序列方法的研究。认为特权进程的系统调用的短序列 相对稳定，可以代表“自己”。 因而可以利用系统进程正常执行 轨迹中的系统调用短序列集，来构建系统进程正常执