入侵检测系统论文
1.引言
随着互联网技术的高速发展，计算机网络的结构变的越来越复
杂，计算机的工作模式由传统的以单机为主的模式向基于网络的分布
式模式转化，而由此引发的网络入侵的风险性也随之大大增加，网络
安全与信息安全问题成为人们高度重视的问题。每年全球因计算机网
络的安全问题而造成的经济损失高达数百亿美元，且这个数字正在不
断增加。传统的加密和防火墙技术等被动防范技术已经不能完全满足
现今的安全需要，想要保证网络信息和网络秩序的安全，就必须要更
强有力和更完善的安全保护技术。近年来，入侵检测技术以其强有力
的安全保护功能进入了人们的视野，也在研究领域形成了热点。
入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防
和抵御系统入侵行为为一体的新型安全机制。作为传统安全机制的补
充，入侵检测技术不再是被动的对入侵行为进行识别和防护，而是能
够提出预警并实行相应反应动作。
入侵检测系统（IDS,Intrusion Detection System）可以识别针对计
算机系统和网络系统，或更广泛意义上的信息系统的非法攻击，包括
检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使
用权限的非法行动。通常来说入侵检测是对计算机和网络资源上的恶
意使用行为进行识别和相应处理的过程，具有智能监控、实时探测、
动态响应、易于配置等特点。
2.入侵检测技术
2.1 异常检测
异常检测分为静态异常检测和动态异常检测两种，静态异常检测
在检测前保留一份系统静态部分的特征表示或者备份，在检测中，若
发现系统的静态部分与以前保存的特征或备份之间出现了偏差，则表
明系统受到了攻击或出现了故障。动态异常检测所针对的是行为，在
检测前需要建立活动简档文件描述系统和用户的正常行为，在检测
中，若发现当前行为和活动简档文件中的正常行为之间出现了超出预
定标准的差别，则表明系统受到了入侵。
目前使用的异常检测方法有很多种，其中有代表性的主要由以下
2种。
(1).基于特征选择的异常检测方法
基于特征选择的异常检测方法，是从一组特征值中选择能够检测
出入侵行为的特征值，构成相应的入侵特征库，用以预测入侵行为。
其关键是能否针对具体的入侵类型选择到合适的特征值，因此理想的
入侵检测特征库，需要能够进行动态的判断。
(2).基于机器学习的异常检测方法
基于机器学习的异常检测方法，是通过机器学习实现入侵检
测，主要方法有监督学习、归纳学习、类比学习等。
2.2误用检测
误用检测主要用来检测己知的攻击类型,判别用户行为特征是否
与攻击特征库中的攻击特征匹配。系统建立在各种已知网络入侵方法
和系统缺陷知识的基础之上。这种方法由于依据具体特征库进行判断,
所以检测准确度很高。主要缺陷在于只能检测已知的攻击模式,当出
现针对新漏洞的攻击手段或针对旧漏洞的新攻击方式时,需要由人工
或者其它机器学习系统得出新攻击的特征模式,添加到攻击特征库中,
才能使系统具备检测新的攻击手段的能力。
误用检测常用的方法主要有:
(1)专家系统
专家系统是基于知识的检测中应用最多的一种方法,它包含一系
列描述攻击行为的规则(Rules),当审计数据事件被转换为可能被专
家系统理解的包含特定警告程度信息的事实(Facts)后,专家系统应
用一个推理机(InferenceEngine)在事实和规则的基础上推理出最后
结论。
(2)状态转移
状态转移方法采用优化的模式匹配来处理误用检测问题。这种方
法采用系统状态和状态转移的表达式来描述已知的攻击模式。由于处
理速度的优势和系统的灵活性,状态转移法已成为当今最具竞争力的
入侵检测模型之一。状态转移分析是针对事件序
列的分析,所以不善于分析过分复杂的事件,而且不能检测与系统状
态无关的入侵。
(3)模型推理
模型推理是指结合攻击脚本推理出是否出现了入侵行为,其中有
关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可
能行为步骤,以及对系统的特殊使用等。根据这些知识建立攻击脚本
库。检测时先将这些攻击脚本的子集看作系统正面临的攻击。然后通
过一个称为预测器的程序模块根据当前行为模式,产生下一个需要验
证的攻击脚本子集,并将它传给决策器,决策器根据这些假设的攻击
行为在审计记录中的可能出现方式,将它们翻译成与特定系统匹配的
审计记录格式,然后在审计记录中寻找相应信息来确认或否认这些攻
击。
3.入侵检测系统的发展方向

在入侵检测技术发展的同时，入侵技术也在更新，攻击者将试图
绕过入侵检测系统（IDS）或攻击IDS系统。交换技术的发展以及通
过加密信道的数据通信使通过共享网段侦听的网络数据采集方法显
得不足，而大通信量对数据分析也提出了新的要求。入侵技术的发展
与演化主要反映在下列几个方面：

（1）入侵的综合化与复杂化。入侵的手段有多种，入侵者往往
采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，
使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保
证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目
的。

（2）入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽
化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用
了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。
（3）入侵的规模扩大。对于网络的入侵与攻击，在其初期往往
是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好
者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技
术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子
战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算
机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信
网络的安全是与任何主权国家领土安全一样的国家安全。

（4）入侵技术的分布化。以往常用的入侵与攻击行为往往由单
机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式
拒绝服务（DDoS）在很短时间内可造成被攻击主机的瘫痪。且此类分
布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的
初期不易被确认。分布式攻击是近期最常用的攻击手段。

（5）攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但
近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络
的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报
道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出
IDS的弱点，然后加以攻击。

今后的入侵检测技术大致可朝下述几个方向发展。
（1）分布式入侵检测：传统的IDS局限于单一的主机或网络架
构，对异构系统及大规模的网络检测明显不足，不同的IDS系统之间
不能协同工作。为解决这一问题，需要发展分布式入侵检测技术与通
用入侵检测架构。第一层含义，即针对分布式网络攻击的检测方法；
第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技
术为检测信息的协同处理与入侵攻击的全局信息的提取。

（2）智能化入侵检测：即使用智能化的方法与手段来进行入侵
检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模
糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。
利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别
是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使
设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前
景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致
的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功
能的检测软件或模块的结合使用。目前尽管已经有智能体、神经网络
与遗传算法在入侵检测领域应用研究，但这只是一些尝试性的研究工
作，仍需对智能化的IDS加以进一步的研究以解决其自学习与自适应
能力。

（3）应用层入侵检测：许多入侵的语义只有在应用层才能理解，
而目前的IDS仅能检测如Web之类的通用协议，而不能处理如Lotus
Notes、数据库系统等其他的应用系统。

（4）高速网络的入侵检测：在IDS中，截获网络的每一个数据
包，并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间
和系统资源，因此大部分现有的IDS只有几十兆的检测速度，随着百
兆、甚至千兆网络的大量应用，需要研究高速网络的入侵检测。

（5）入侵检测系统的标准化：在大型网络中，网络的不同部分
可能使用了多种入侵检测系统，甚至还有防火墙、漏洞扫描等其他类
别的安全设备，这些入侵检测系统之间以及IDS和其他安全组件之间
如何交换信息，共同协作来发现攻击、作出响应并阻止攻击是关系整
个系统安全性的重要因素。例如，漏洞扫描程序例行的试探攻击就不
应该触发IDS的报警；而利用伪造的源地址进行攻击，就可能联动防
火墙关闭服务从而导致拒绝服务，这也是互动系统需要考虑的问题。
可以建立新的检测模型，使不同的IDS产品可以协同工作。

4.总结
本文对入侵检测系统的主要发展过程进行了综述和研究，对其使
用的技术以及面临的主要问题和今后的发展趋势进行了探讨。随着计
算机网络的快速发展，入侵进侧系统也面临着许多新的问题，例如高
效识别算法、协同入侵检测体系、入侵实时响应、数据关联分析等，
这也是入侵检测系统未来的发展方向。