本文由♀皓月♂贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 入侵检测系统技术综述 自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果 摘 要： 大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中.本文先介绍入侵行为的概念和 演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天 的发展历程.文章以历史和实践的观点$透视入侵和入侵检测技术相互制约,相互促进的演进 过程. 关键词： 关键词：计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史 1 、引 言 自从计算机问世以来， 安全问题就一直存在。 特别是随着Internet的迅速扩张和电子商 务的兴起， 人们发现保护资源和数据的安全， 让他免受来自恶意入侵者的威胁是件相当困难 的事。提到网络安全，很多人首先想到的是防火墙，防火墙作为一种静态的访问控制类安全 产品通常使用包过滤的技术来实现网络的隔离。 适当配置的防火墙虽然可以将非预期的访问 请求屏蔽在外， 但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。 在这种需求 背景下，入侵检测系统（IDS）应运而生。 2、 概述 计算机网络技术的飞速发展极大地改变了人们的学习、 工作以及生活方式。 随着计算机 及网络系统中存储的重要信息越来越多， 系统的安全问题也显得E1益突出， 我们需要尽可能 找到更好的措施以保护系统免受入侵者的攻击，尽管已有许多防御技术，如防火墙，但它只 是一种静态的被动的防护技术。 要求事先设置规则。 对于实时攻击或异常行为不能实时反应。 无法自动调整策略设置以阻断正在进行的攻击。 因而出现了入侵检测系统， 它是一种动态的 网络安全策略，能够有效地发现入侵行为和合法用户滥用特权的行为，它是P2DR(动态安全 模型)的核心部分。 3、 入侵检测系统产生及其发展 绝大多数入侵检测系统的处理效率低下，不能满足大规模和高带宽网络的安全防护要 求。 这就决定了当前的入侵检测系统在未来信息战中的作用是有限的。 因为信息战中双方使 用的网络进攻手段肯定是储备的、从未出现的新手段。即使检测到攻击，现有的入侵检测系 统的响应能力和实时性也很有限， 不能预防快速脚本攻击， 对于此类恶意攻击只能发现和纪 录，而不能实时阻止。国内只有少数的网络入侵检测软件，相关领域的系统研究也是刚刚起 步，与外国尚有很大差距。 目前，在入侵检测的技术发展上还是存在着以下主要缺陷：(1)网络安全设备的处理速 度慢。(2)入侵检测系统的漏报率和误报率高。(3)入侵检测系统的互动性能差，整个系统的 安全性能低。 4、 入侵检测系统的概论 4.1 入侵检测系统的概念 入侵检测系统(Intrusion Detection System，简称IDS)是从多种计算机系统及网络系统 中收集信息，再通过这些信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第 二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护 系统驱逐入侵攻击；在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后， 收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力， 避免系统再次受到同类型的入侵。 4.2 入侵检测系统的分类 入侵检测技术主要可以分成两类：异常入侵检测(Anomaly Detection)技术和误用人侵 检测(Misuse Detec—tion)技术。 4．2．1 基于统计模型的异常入侵检测 1)基于阈值测量(Threshold Measures)的检测。这种方法也称为操作模型(Operational Model)， 是对某个时间段内时间的发生次数设置一个阈值， 若超过该值就有可能出现异常情 况。 定义异常的阈值设置偏高就会导致误否定错误， 误否定错误的后果不仅是检测不到入侵， 而且还会给安全管理人员以安全的错觉。 定义异常的阈值设置偏低就会导致难以忍受的误肯 定判断，误肯定过多就会降低入侵检测方法的效率而且会增添安全管理员的负担。 2)基于平均值和标准偏差模型的检测。这种模型将观察到的前n个事件用变量x1,„„，xn。 来表示，这些变量的平均值mean和标准偏差stdev分别为：mean=( x1 + „„ + x n )／n stdev=sqrt(( x 21 + „„ + x 2 n )／(n+1)一mean 2 ) 对于一个新监测到的事件用 x n ?1 表示，如果它落到置信区间mean±d*stdev之外就认为是异 常的，d是标准偏移均值参数。这种方法的优点是能够动态地学习有关正常事件的知识，并 通过置信区间的动态改变而表现出来。 3)基于马尔科夫进程模型的检测。 该模型将离散的事件看作一个状态变量，然后用状态迁移矩阵刻画不同状态之间的迁移频 率， 而不是个别状态或审计纪录的频率。 若观察到的新事件就给定的先前状态和矩阵来说发 生的频率太低就认为是异常事件。 该模型的优点是可以检测到不寻常的命令或事件序列而不 是单一的事件。 4．2．2 基于神经网络的异常入侵检测 神经网络方法是利用一个包含很多计算单元的网络来完成复杂的映射函数的， 这些单元 通过使用加权的连接互相作用。 一个神经网络知识根据单元和它们权值间连接编码成网格结 构， 实际的学习过程是通过改变权值和加入或移去连接进行的。 神经网络处理分成2个阶段： 首先，通过正常系统行为对该网络进行训练，调整其结构和权值；然后，通过正常系统行为 对该网络进行训练，由此判别这些事件流是正常还是异常的。同时，系统也可以利用这些观 测到的数据进行训练，从而使网络可以学习系统行为的一些变化。 4．2．3 基于免疫系统的异常入侵检测 这种入侵检测方法是通过模仿生物有机体的免疫系统工作机制， 使得受保护的系统能够 将非法行为和合法行为区分开。 生物免疫系统连续不断地产生称作抗体的监测器细胞， 并将 其分布到整个机体中。 这些分布式的抗原监视所有的活性细胞， 试图检测出入侵机体的外来 细胞。类似的，计算机免疫系统按照系统调用序列为不同的行为，即正常行为和异常行为建 立应用程序模型。比较模型与所观测到的事件就可以分出正常和异常的行为。 4．2．4 基于文件检查的异常入侵检测 这种方法通过使用系统敏感数据的加密校验和来检测文件产生的变化。 但是由于文件检 测通常是在入侵后才进行检测， 所以如果加密校验和被修改或检测进程泄漏就可能导致检测 失效。 4．2．5 基于污染检查的异常入侵检测 这种方法认为所有用户提供的输入都是被污染的， 任何在敏感区域使用这些污染输入的 企图都会失败， 若要使用这些数据就必须进行去污操作。 去污操作是通过正则表达式来提取 所要用的内容，这样可以避免嵌入式shell命令等的使用 4．2．6 基于协议认证的异常入侵检测 许多攻击技术利用协议的不正常使用来攻击系统， 协议认证技术就是通过建立协议使用 标准来严格地检查这些攻击。 但由于协议的不同实现方法影响了标准的一致性， 所以该方法 可能导致肯定性的错误。 4．3 误用入侵检测 误用入侵检测是对已知系统和应用软件的弱点进行入侵建模， 从而对观测到的用户行为 和资源使用情况进行模式匹配而达到检测的目的。 误用入侵检测的主要假设是入侵活动能够 被精确地按照某种方式进行编码并可以识别基于同一弱点进行攻击的入侵方法的变种。 4．3．1 基于状态转移分析的误用检测 状态转移分析系统利用有限状态自动机来模拟人侵， 入侵由从初始系统状态到入侵状态 的一系列动作组成， 初始状态代表着入侵执行前的状态， 入侵状态代表着入侵完成时的状态。 系统状态根据系统属性和用户权利进行描述， 转换则由一个用户动作驱动。 每个事件都运用 于有限状态自动机的实例中，如果某个自动机到达了它的最终状态，即接受了事件，则表明 该事件为攻击。这种方法的优点是能检测出合作攻击以及时间跨度很大的缓慢攻击。 4．3．2 基于专家系统的误用入侵检测 将安全专家的知识表示成规则知识库， 然后用推理算法检测入侵。 用专家系统对入侵进 行检测， 经常是针对有特征的入侵行为。 这种方法能把系统的控制推理从问题解决的描述中 分离出去。它的不足之处是不能处理不确定性，没有提供对连续有序数据的任何处理，另外 建立一个完备的知识库对于一个大型网络系统往往是不可能的， 且如何根据审计记录中的事 件提取状态行为与语言环境也是比较困难的。 4．3．3 基于遗传算法的误用入侵检测 遗传算法就是寻找最佳匹配所观测到的事件流的已知攻击的组合， 该组合表示为一个向 量， 向量中每一个元素表示某一种攻击的出现。 向量值是按照与各个攻击有关的程度和二次 罚函数而逐步演化得到的，同时在每一轮演化中，当前向量会进行变异和重新测试，这样就 将误肯定和误否定性错误的概率降到零。 4.4 入侵检测技术的发展 入侵检测由传统电子数据处理、安全审计以及统计技术发展而来。1980年4月，James P．Anderson在给美国空军的报告((Computer Security Threat Monitoring and Surveillance))中第一次详细阐述了入侵检测的概念， 并提出用审计追踪监视入侵产生的威 胁。1984-1986年，乔治敦大学的DorothyDenning和美国斯坦福国际研究所的Peter Neumann 研究出了一个实时入侵检测系统模型，取名为IDES(入侵检测专家系统)。1987年， D．E．Denning发表论文“An Intrusion DetectionModel”首次给出了一个入侵检测的抽象 模型， 并将入侵检测作为一个新的与传统加密认证和访问控制完全不同的计算机安全防御措 施提出。1988年，莫里斯蠕虫事件发生之后，网络安全才真正引起了军方、学术界和企业的 高度重视，促使人们投入更多的资金和精力去研究和开发IDS。 5、 入侵检测系统性能指标 衡量入侵检测系统的两个最基本指标为检测率和误报率， 两者分别从正、 反两方面表明 检测系统的检测准确性。实用的入侵检测系统应尽可能地提高系统的检测率而降低误报率， 但在实际的检测系统中这两个指标存在一定的抵触， 应根据具体的应用环境折衷考虑。 除检 测率和误报率外，在实际设计和实现具体的入侵检测系统时还应考虑如下几个方面： (1)操作方便性： 训练阶段的数据量需求少(支持系统行为的自学习等)、 自动化训练(支持 参数的自动调整等)；在响应阶段提供多种自动化的响应措施。 (2)抗攻击能力：能够抵抗攻击者修改或关闭入侵检测系统。当攻击者知道系统中存在入 侵检测时，很可能会首先对入侵检测系统进行攻击，为其攻击系统扫平障碍。 (3)系统开销小，对宿主系统的影响尽可能小。 (4)可扩展性：入侵检测系统在规模上具有可扩展性，可适用于大型网络环境。 (5)自适应、自学习能力：应能根据使用环境的变化自动调整有关阈值和参数，以提高检 测的准确性；应具有自学习能力，能够自动学习新的攻击特征，并更新攻击签名库。 (6)实时性：指检测系统能及早发现和识别人侵，以尽快隔离或阻止攻击，减少其造成的 破坏。 6、入侵检测系统存在的问题及发展趋势 6.1 存在的问题 经过二十多年的研究与开发， 入侵检测技术得到了飞速的发展， 但是E1前还存在很多的问 题。主要有： (1)大量的误报和漏报。误报不仅降低了入侵检测系统的效率，而且很大程度上降低了原系 统的服务质量。漏报具有更大的危险性，它是入侵检测系统对真正的攻击或入侵没有报警。 (2)自身缺少防御功能。一旦IDS本身受到攻击，则整个检测系统都会瘫痪，以后的入侵行为 都没法被记录。 (3)互动性能低。在大型网络中，网络的不同部分可能使用了多种IDS，甚至还有防火墙、漏 洞扫描等其他类别的安全设备， 这些IDS之间以及IDS和其他安全组件之间交换信息， 共同协 作来发现攻击、作出响应并阻止攻击的能力差。 (4)实时性差。IDS经常被要求来及时地评价事件，但是现有的IDS很难满足这一要求，特别