入侵检测技术综述
入侵检测技术研究综述
入侵检测技术研究综述提要本文介绍入侵及入侵检测的概念,分析各种入侵检测技术与特点。
关键词:入侵;异常数据;入侵检测中图分类号:F49 文献标识码:A近年来,计算机网络的高速发展和应用,使网络安全的重要性也日益增加。
如何识别和发现入侵行为或意图,并及时给予通知,以采取有效的防护措施,保证系统或网络安全,这是入侵检测系统的主要任务。
一、入侵及入侵检测入侵是指任何企图危及计算机系统资源的完整性、机密性和可用性或试图越过计算机或网络安全机制的行为。
入侵不仅包括发起攻击的人取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务等对计算机系统造成危害的行为。
入侵检测顾名思义,是对入侵行为的发觉,它是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
二、入侵检测系统的分类入侵检测系统的任务是在所提取到的大量检测数据中找到入侵的痕迹。
入侵分析过程需要将提取到的事件与入侵检测规则进行比较,以判断是否发生入侵行为。
一方面IDS需要尽可能多地提取数据以获得足够的入侵证据;另一方面由于入侵行为的多变性和复杂性而导致判定入侵的规则越来越复杂。
对于入侵检测系统,可以根据所采用的审计数据源、检测策略、检测的实时性、对抗措施、体系结构等方面进行不同的分类。
(1)依据审计数据源的不同可将IDS分为基于网络的IDS与基于主机的IDS;(2)从入侵检测的策略来看,可以分为滥用检测与异常检测;(3)按IDS处理数据的实时性,可以分为实时检测与事后检测;(4)从入侵检测系统的对抗措施来看,可以分为主动系统与被动系统;(5)从入侵检测系统的体系结构来看,可以分为集中式系统与分布式系统。
三、入侵检测主要研究技术目前,在IDS研究领域的主要研究方向包括IDS的性能评价、IDS集成中通用的通讯格式、面向大规模分布式网络的IDS框架以及采用一些最新的智能技术来识别新型未知攻击。
网络安全中的入侵检测技术综述
网络安全中的入侵检测技术综述网络安全是当前社会发展的重要方向之一,而网络入侵成为了网络安全的一个重要问题。
随着互联网的普及和发展,网络入侵手段也日益复杂多样化。
为了保护网络的安全,提高网络系统的防御能力,入侵检测技术应运而生。
本文将对网络安全中的入侵检测技术进行综述。
一、入侵检测技术的发展历程网络入侵检测技术起源于20世纪80年代,那时主要是基于对网络流量的分析进行入侵检测。
随着技术的进步,入侵检测技术从最初的基于规则的检测方法逐渐发展到了基于特征、行为和机器学习等方法。
目前,入侵检测技术已经成为了网络安全体系中不可缺少的一部分。
二、入侵检测技术的分类根据入侵检测技术的不同方式和目标,可以将其分为两大类,即基于签名的入侵检测和基于行为的入侵检测。
基于签名的入侵检测主要通过事先确定的规则和模式来识别已知的入侵行为,而基于行为的入侵检测则通过监测系统的行为特征来发现异常和潜在的入侵行为。
三、基于签名的入侵检测技术基于签名的入侵检测技术是一种传统的检测方法,其核心思想是通过与已知的入侵特征进行比对,寻找与之匹配的特征。
这种方法具有检测准确率高的优点,但对于未知的入侵行为无法进行有效的检测。
常用的基于签名的入侵检测系统有Snort、Suricata等。
四、基于行为的入侵检测技术基于行为的入侵检测技术研究的是系统和用户的行为特征,通过建立正常行为模型和异常行为模型来检测入侵行为。
这种方法适用于未知入侵和变异性入侵的检测,但在实际应用中存在误报率高的问题。
常用的基于行为的入侵检测系统有Bro、Snort、Suricata等。
五、机器学习在入侵检测中的应用机器学习在入侵检测中发挥了重要作用,通过训练算法和模型,能够对网络流量数据进行分析和预测。
在现实场景中,机器学习的应用能够提高入侵检测的准确率和实时性。
常用的机器学习算法包括决策树、支持向量机和神经网络等。
六、入侵检测技术的挑战与未来发展网络环境的复杂性和入侵手段的多样化给入侵检测技术带来了许多挑战。
网络入侵检测技术综述
网络入侵检测技术综述网络入侵检测技术综述随着信息技术的迅猛发展和互联网的广泛应用,网络安全问题成为了人们关注的焦点。
其中,网络入侵是指未经授权侵入他人计算机系统的行为,给网络系统带来了极大的威胁。
为了保障网络安全,人们提出了网络入侵检测技术。
本文将综述网络入侵检测技术的发展和应用。
网络入侵检测技术是在计算机网络系统中载入入侵检测系统,并通过对网络流量、日志记录、包头、外部事件等数据进行分析、监控和实时判断的方法,来检测和识别网络中的入侵行为。
根据检测方法的不同,可以将入侵检测技术分为基于特征的检测、基于异常的检测和基于机器学习的检测。
基于特征的检测技术主要是通过对网络流量、网络数据包等进行特征提取和匹配,从而判断是否存在入侵行为。
这种方法依赖于已知的入侵特征库,通过比对特征库中的特征和实时获取的数据特征,来判定网络是否存在入侵。
该方法的优点是准确性高,能够对已知的入侵行为进行有效检测和防御。
但是,缺点也非常明显,即无法对未知的入侵行为进行检测和应对。
基于异常的检测技术是通过建立和学习网络正常行为的模型,来检测网络中的异常行为。
异常行为是指与正常行为有明显差异的网络流量、数据包等。
这种方法的优点是能够对未知的入侵行为进行检测和防御,具有较高的自适应性。
但是,缺点是在建立正常行为模型时需要耗费大量的时间和计算资源,且对于复杂的网络环境和大规模网络系统的应用效果不佳。
基于机器学习的检测技术是近年来发展起来的一种新型检测方法。
通过对大量的网络数据进行学习和训练,建立起网络行为的模型。
然后,通过模型对实时获取的网络数据进行分类和判断,从而检测和识别网络入侵行为。
优点是能够实现对未知入侵行为的检测和自动化的防御措施。
然而,缺点是对于网络数据的学习和训练时间较长,且对于大规模网络系统的应用还面临着一定的挑战。
除了上述的入侵检测技术之外,还有一些新兴的技术正在逐渐应用到网络入侵检测中。
比如说,深度学习技术、云计算、大数据分析等。
网络入侵检测技术综述
网络入侵检测技术综述[摘要]入侵检测就是对计算机网络和计算机系统的关键结点的信息进行收集分析,检测其中是否有违反安全策略的事件发生或攻击迹象,并通知系统安全管理员。
一般把用于入侵检测的软件,硬件合称为入侵检测系统(Intrusion Detection System)。
入侵检测是计算机安全领域的一个重要技术,也是当前计算机安全理论研究的一个热点。
[关键词]入侵入侵检测IDS 神经网络一、入侵检测技术简介James Aderson在1980年首先提出了入侵检测的,将入侵尝试或威胁定义为:潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。
入侵(Intrusion)指的就是试图破坏计算机保密性,完整性,可用性或可控性的一系列活动。
入侵活动包括非授权用户试图存取数据,处理数据,或者妨碍计算机的正常运行。
入侵检测(Intrusion Detection),顾名思义,是指对入侵行为的发觉。
它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。
完成入侵检测功能的软件、硬件组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
入侵检测系统包括三个功能部件:提供事件记录流的信息源;发现入侵迹象的分析引擎;基于分析引擎的结果产生反应的响应部件。
二、入侵检测的功能及原理一个入侵检测系统,至少应该能够完成以下五个功能:监控、分析用户和系统的活动;检查系统配置和漏洞;评估系统关键资源和数据文件的完整性;发现入侵企图或异常现象;记录、报警和主动响应。
因此,入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。
入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、入侵识别和响应),提高了信息安全基础结构的完整性。
它能够从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
网络安全中的入侵检测技术综述
网络安全中的入侵检测技术综述网络安全是当今社会中的一个重要议题,随着互联网的普及和信息技术的迅速发展,网络攻击和入侵事件屡见不鲜。
为了保护网络系统和用户的安全,研究人员和安全专家们积极探索各种入侵检测技术。
本文将综述几种常见的入侵检测技术,并分析它们的特点和应用。
一、入侵检测技术的概念入侵检测技术(Intrusion Detection Technology)是指通过对网络通信流量、系统日志、主机状态等进行监控和分析,及时发现和识别已发生或即将发生的入侵行为。
其目的是快速准确地发现并阻止潜在的安全威胁,保护网络系统和用户的数据安全。
二、基于签名的入侵检测技术基于签名的入侵检测技术(signature-based intrusion detection)是一种传统而有效的检测方法。
它通过预定义的规则集合,检测网络流量中是否存在已知的攻击模式。
这种技术的优点在于准确率高,适用于已知攻击的检测。
然而,缺点也显而易见,就是无法检测未知攻击和变异攻击。
三、基于异常行为的入侵检测技术基于异常行为的入侵检测技术(anomaly-based intrusion detection)通过建立正常行为模型,检测网络流量中的异常行为。
相比于基于签名的方法,这种技术更具有普遍性,能够发现未知攻击。
然而,误报率较高是其主要问题之一,因为正常行为的变化也会被误判为异常。
四、混合型入侵检测技术为了克服单一方法的局限性,许多研究者提出了混合型入侵检测技术。
这些方法综合了基于签名和基于异常行为的特点,在检测效果上有所提高。
其中,流量分析、机器学习、数据挖掘等技术的应用,使得混合型入侵检测技术更加精准和智能化。
五、网络入侵检测系统的架构网络入侵检测系统(Intrusion Detection System,简称IDS)是实现入侵检测的关键组件。
其整体架构包括数据采集、数据处理、检测分析、警报响应等模块。
数据采集模块负责收集网络流量、日志信息等数据;数据处理模块负责对采集到的数据进行预处理和分析;检测分析模块负责使用各种入侵检测技术进行实时监测和分析;警报响应模块负责生成报警信息并采取相应的应对措施。
基于机器学习的网络入侵检测技术综述
基于机器学习的网络入侵检测技术综述1. 总论网络安全已成为现代社会的一个重要问题。
随着网络技术的发展,网络入侵问题日益复杂。
作为一种被动的网络防御技术,网络入侵检测技术在网络安全中既起到保护网络资源和信息的作用,也是网络安全的重要组成部分。
而机器学习作为智能化的技术手段,提供了智能化的网络入侵检测方案。
本文将对基于机器学习的网络入侵检测技术进行综述,并进行归类分析和比较。
2. 基础知识2.1 网络入侵检测技术网络入侵检测技术是通过模拟网络攻击行为,对网络流量进行特征提取和分析,从而识别恶意流量和网络攻击行为的一种技术手段。
可分为基于特征匹配、基于自动规则生成和基于机器学习的三种类型。
基于学习的网络入侵检测系统是通过机器学习技术训练出网络入侵检测模型,然后对流量进行分类,从而更好地检测网络攻击。
2.2 机器学习机器学习是一种通过对专门设计的算法,使计算机能够自主学习的技术。
它的主要任务是从已知数据(历史数据)中学习特征,使其能够更准确地对未知数据(未知流量)进行分类预测。
主要分为有监督学习、无监督学习和半监督学习三种类型。
3. 基于机器学习的网络入侵检测技术3.1 基于分类算法3.1.1 支持向量机支持向量机(SVM)是一类二分类模型,它的基本思想是找到一个好的超平面对数据进行划分,使得分类误差最小。
与其他分类算法不同,支持向量机将数据空间转换为高维空间来发现更有效的超平面,以达到更好的分类效果。
在网络入侵检测中,SVM主要应用于对已知流量进行分类,进而识别未知流量是否是恶意流量。
同时,SVM还可以通过简化流量特征提取的复杂性,优化特征集。
3.1.2 决策树决策树是一种机器学习算法,可以进行分类和回归预测。
决策树使用树形结构来表示决策过程,树的每个节点代表一个特征或属性,每个分支代表一个该特征的取值或一个属性取值的集合。
在网络入侵检测中,决策树算法可识别不同类型的网络攻击,并为网络安全工程师提供必要的信息和分析结果,以支持决策制定。
信息安全中的网络入侵检测与防御技术综述
信息安全中的网络入侵检测与防御技术综述随着互联网的快速发展,各种网络安全威胁也不断涌现,网络入侵成为了一项严峻的挑战。
网络入侵指未经授权的访问和使用计算机系统或网络的行为,旨在获取非法收益或破坏目标系统的完整性和可用性。
为了防范网络入侵,信息安全领域涌现出许多先进的网络入侵检测与防御技术。
本文将全面综述这些技术,并探讨未来的发展趋势。
网络入侵检测系统(IDS)是一种被动的安全工具,用于检测和响应网络中的潜在攻击。
IDS可以分为基于主机的IDS(HIDS)和基于网络的IDS(NIDS)两类。
HIDS主要集中在单台主机上的入侵检测和分析,通过监听和分析主机上的行为和活动来发现入侵行为,例如异常文件修改、进程执行等。
NIDS则主要关注整个网络通信流量的监控与分析,通过对流量特征和协议的分析来检测入侵行为,例如端口扫描、恶意代码传输等。
入侵检测技术根据检测方式可以分为基于签名、基于异常和基于机器学习的方法。
基于签名的检测方法依赖于已知攻击的特征和模式,通过与预先设置的签名进行匹配来判断是否有入侵行为。
这种方法在检测已知攻击方面效果良好,但对于新型攻击缺乏有效性。
基于异常的检测方法通过建立系统的正常行为模型,当检测到系统行为与模型存在显著偏差时,识别为入侵行为。
这种方法适用于未知攻击的检测,但容易受到误报的影响。
基于机器学习的检测方法利用机器学习算法,通过对大量数据的学习和训练来构建模型,从而检测网络入侵。
这种方法综合考虑了签名和异常方法的优势,可以有效检测新型攻击,并减少误报的产生。
网络入侵防御技术主要包括网络边界防御、主机防御和应用防御。
网络边界防御的目标是在网络与互联网之间建立一道防火墙,限制来自外部的恶意流量。
主机防御是在每台主机上设置防火墙和入侵防御系统,以保护主机免受攻击。
应用防御是指在应用程序层面上进行保护,常见的应用防御技术包括访问控制、数据加密和漏洞修复等。
综合运用这些防御技术可以提高整个网络的安全性和抗攻击能力。
网络安全中的入侵检测与防范技术综述
网络安全中的入侵检测与防范技术综述一、绪论当前的网络普及使得人们在工作和生活中都离不开互联网,然而网络中却存在着各种各样的威胁,如网络黑客、病毒、恶意软件等,这些威胁可能会危及网络中的运行、数据的安全以及用户的隐私等,因此,对于网络安全的重视与加强也日益凸显。
而在各种网络安全技术中,入侵检测与防范技术被认为是目前网络安全领域的重要组成部分。
二、入侵检测技术入侵检测技术主要是指通过对网络流量数据进行实时的监控与检测,识别出可能的入侵行为并进行相应的响应和处理。
入侵检测技术主要包括基于规则的入侵检测和基于机器学习的入侵检测两种方式。
1.基于规则的入侵检测技术基于规则的入侵检测技术是指通过制定一系列的规则,根据已知的攻击特征,来对网络流量数据进行分析和判断,识别出可能的入侵行为。
该技术具有较高的效率和实时性,但由于其过分依赖人工定义的规则,导致其无法对于新颖的攻击进行准确识别,同时需要经常对规则进行升级与调整。
2.基于机器学习的入侵检测技术基于机器学习的入侵检测技术是指通过对网络流量数据进行建模和学习,从中发现攻击的特征,然后将其与已知攻击特征进行匹配,以便对网络攻击事件进行识别和分类。
该技术具有较高的准确性和可扩展性,可以处理大量的数据,发现新型攻击的能力较强,但同时也需要较大的数据训练集,可能存在误判和漏报等问题。
三、入侵防范技术除了入侵检测技术之外,入侵防范技术也是网络安全领域中不能忽视的技术之一,它主要是针对当前已知的攻击,采取一系列措施进行防范。
目前常用的入侵防范技术包括:1.网络访问控制技术该技术通过对网络中的用户和设备进行身份管理和访问权限的限制,可以有效防止非法用户对网络的攻击和入侵。
2.漏洞管理技术漏洞管理技术是指针对软件或系统中存在的安全漏洞进行管理和修补,以减少攻击者利用漏洞的机会。
3.网络安全审计技术该技术通过对网络中的操作和流量数据进行记录和分析,可以对网络中的各种问题和风险进行有效的监控和管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入侵检测技术综述胡征兵1Shirochin V.P.2乌克兰国立科技大学摘要 Internet蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。
由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。
本文介绍现今热门的网络安全技术-入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它的发展趋势及主要的IDS公司和产品。
关键词入侵检测入侵检测系统网络安全防火墙1 引言随着个人、企业和政府机构日益依赖于Internet进行通讯,协作及销售。
对安全解决方案的需求急剧增长。
这些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问。
虽然防火墙及强大的身份验证能够保护系统不受未经授权访问的侵扰,但是它们对专业黑客或恶意的经授权用户却无能为力。
企业经常在防火墙系统上投入大量的资金,在Internet入口处部署防火墙系统来保证安全,依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。
据统计,全球80%以上的入侵来自于内部。
由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。
入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。
在入侵攻击过程中,能减少入侵攻击所造成的损失。
在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性[1]。
2 入侵检测的概念、模型入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。
它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。
入侵检测的研究最早可以追溯到詹姆斯·安德森[1]在1980年为美国空军做的题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念。
他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。
他的理论成为入侵检测系统设计及开发的基础 , 他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点。
Denning[2]在1987年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。
为了达成这个目的,入侵检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。
●信息来源(Information Source):为检测可能的恶意攻击,IDS所检测的网络或系统必须能提供足够的信息给IDS,资料来源收集模组的任务就是要收集这些信息作为IDS分析引擎的资料输入。
●分析引擎(Analysis Engine):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。
●响应模组(Response Component):能够根据分析引擎的输出来采取应有的行动。
通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。
3 入侵检测系统的分类入侵检测系统依照信息来源收集方式的不同,可以分为基于主机(Host-Based IDS)的和基于网络(Network-Based IDS);另外按其分析方法可分为异常检测(Anomaly Detection,AD)和误用检测(Misuse Detection,MD),其分类架构如图1所示:图 1. 入侵检测系统分类架构图3.1.1主机型入侵检测系统(Host-based Intrusion Detection System,HIDS )基于主机的入侵检测系统是早期的入侵检测系统结构 , 其检测的目标主要是主机系统和系统本地用户 , 检测原理是根据主机的审计数据和系统日志发现可疑事件。
检测系统可以运行在被检测的主机或单独的主机上, 系统结构如图 2所示。
图 2. 基于主机的IDS 结构其优点是:确定攻击是否成功;监测特定主机系统活动;较适合有加密和网络交换器的环境;不需要另外添加设备。
其缺点:可能因操作系统平台提供的日志信息格式不同,必须针对不同的操作系统安装个别的入侵检测系统;如果入侵者经其它系统漏洞入侵系统并取得管理者的权限,那将导致主机型入侵检测系统失去效用;可能会因分布式(Denail of Service,DoS )攻击而失去作用;当监控分析时可能会曾加该台主机的系统资源负荷,影响被监测主机的效能,甚至成为入侵者利用的工具而使被监测的主机负荷过重而死机。
3.1.2 网络型入侵检测系统(Network-based Intrusion Detection System ,NIDS )网络入侵检测是通过分析主机之间网线上传输的信息来工作的。
它通常利用一个工作在“混杂模式”(Promiscuous Mode )下的网卡来实时监视并分析通过网络的数据流。
它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。
其结构如图 3 所示。
网络接口层分析结果分析引擎网络安全数据库 安全配置构造探测器探测器 探测器图 3. 基于网络的IDS 结构探测器的功能是按一定的规则从网络上获取与安全事件相关的数据包 , 然后传递给分析引擎进行安全分析判断。
分析引擎从探测器上接收到的数据包结合网络安全数据库进行分析 , 把分析的结果传递给配置构造器。
配置构造器按分析引擎器的结果构造出探测器所需要的配置规则。
一旦检测到了攻击行为,NIDS 的响应模块就做出适当的响应,比如报警、切断相关用户的网络连接等。
不同入侵检测系统在实现时采用的响应方式也可能不同,但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依据等[3]。
其优点是:成本低;可以检测到主机型检测系统检测不到的攻击行为;入侵者消除入侵证据困难;不影响操作系统的性能;架构网络型入侵检测系统简单。
其缺点是:如果网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包;对于直接对主机的入侵无法检测出。
3.1.3 混和入侵检测系统(Hybrid )主机型和网络型入侵检测系统都有各自的优缺点,混和入侵检测系统是基于主机和基于网络的入侵检测系统的结合 ,许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统,因为这两种系统在很大程度上互补,两种技术结合能大幅度提升网络和系统面对攻击和错误使用时的抵抗力,使安全实施更加有效。
3.2.1误用检测(Misuse Detection)误用检测(Misuse detection)又称特征检测(Signature-based detection),这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。
其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
图 4.误用检测系统设定一些入侵活动的特征(Signature),通过现在的活动是否与这些特征匹配来检测。
常用的检测技术为:(l)专家系统:采用一系列的检测规则分析入侵的特征行为。
所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。
专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。
入侵的特征抽取与表达,是入侵检测专家系统的关键。
在系统实现中,将有关入侵的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。
运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
(2)基于模型的入侵检测方法:入侵者在攻击一个系统时往往采用一定的行为序列,如猜测口令的行为序列。
这种行为序列构成了具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。
基于模型的入侵检测方法可以仅监测一些主要的审计事件。
当这些事件发生后,再开始记录详细的审计,从而减少审计事件处理负荷。
这种检测方法的另外一个特点是可以检测组合攻击(coordinate attack)和多层攻击(multi-stage attack)。
(3)简单模式匹配(Pattern Matching):基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。
当新的审计事件产生时,这一方法将寻找与它相匹配的已知入侵模式。
(4)软计算方法:软计算方法包含了神经网络、遗传算法与模糊技术。
3.2.2 异常检测(Anomaly Detection)异常检测假设是入侵者活动异常于正常主体的活动。
根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。
这种能力不受系统以前是否知道这种入侵与否的限制,所以能够检测新的入侵行为。
大多数的正常行为的模型使用一种矩阵的数学模型,矩阵的数量来自于系统的各种指标。
比如CPU使用率、内存使用率、登录的时间和次数、网络活动、文件的改动等。
异常检测的缺点是:若入侵者了解到检测规律,就可以小心的避免系统指标的突变,而使用逐渐改变系统指标的方法逃避检测。
另外检测效率也不高,检测时间比较长。
最重要的这是一种“事后”的检测,当检测到入侵行为时,破坏早已经发生了。
图 5: 异常检测系统统计方法是当前产品化的入侵检测系统中常用的方法,它是一种成熟的入侵检测方法,它使入侵检测系统能够学习主体的日常行为,将那些与正常活动之间存在较大统计偏差的活动标识成为异常活动。
常用的入侵检测统计模型为:(1)操作模型,该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击;(2)方差,计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常;(3)多元模型,操作模型的扩展,通过同时分析多个参数实现检测;(4)马尔柯夫过程模型,将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件;(5) 时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。