入侵检测技术综述
入侵检测技术研究综述
入侵检测技术研究综述提要本文介绍入侵及入侵检测的概念,分析各种入侵检测技术与特点。
关键词:入侵;异常数据;入侵检测中图分类号:F49 文献标识码:A近年来,计算机网络的高速发展和应用,使网络安全的重要性也日益增加。
如何识别和发现入侵行为或意图,并及时给予通知,以采取有效的防护措施,保证系统或网络安全,这是入侵检测系统的主要任务。
一、入侵及入侵检测入侵是指任何企图危及计算机系统资源的完整性、机密性和可用性或试图越过计算机或网络安全机制的行为。
入侵不仅包括发起攻击的人取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务等对计算机系统造成危害的行为。
入侵检测顾名思义,是对入侵行为的发觉,它是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
二、入侵检测系统的分类入侵检测系统的任务是在所提取到的大量检测数据中找到入侵的痕迹。
入侵分析过程需要将提取到的事件与入侵检测规则进行比较,以判断是否发生入侵行为。
一方面IDS需要尽可能多地提取数据以获得足够的入侵证据;另一方面由于入侵行为的多变性和复杂性而导致判定入侵的规则越来越复杂。
对于入侵检测系统,可以根据所采用的审计数据源、检测策略、检测的实时性、对抗措施、体系结构等方面进行不同的分类。
(1)依据审计数据源的不同可将IDS分为基于网络的IDS与基于主机的IDS;(2)从入侵检测的策略来看,可以分为滥用检测与异常检测;(3)按IDS处理数据的实时性,可以分为实时检测与事后检测;(4)从入侵检测系统的对抗措施来看,可以分为主动系统与被动系统;(5)从入侵检测系统的体系结构来看,可以分为集中式系统与分布式系统。
三、入侵检测主要研究技术目前,在IDS研究领域的主要研究方向包括IDS的性能评价、IDS集成中通用的通讯格式、面向大规模分布式网络的IDS框架以及采用一些最新的智能技术来识别新型未知攻击。
网络安全中的入侵检测技术综述
网络安全中的入侵检测技术综述网络安全是当前社会发展的重要方向之一,而网络入侵成为了网络安全的一个重要问题。
随着互联网的普及和发展,网络入侵手段也日益复杂多样化。
为了保护网络的安全,提高网络系统的防御能力,入侵检测技术应运而生。
本文将对网络安全中的入侵检测技术进行综述。
一、入侵检测技术的发展历程网络入侵检测技术起源于20世纪80年代,那时主要是基于对网络流量的分析进行入侵检测。
随着技术的进步,入侵检测技术从最初的基于规则的检测方法逐渐发展到了基于特征、行为和机器学习等方法。
目前,入侵检测技术已经成为了网络安全体系中不可缺少的一部分。
二、入侵检测技术的分类根据入侵检测技术的不同方式和目标,可以将其分为两大类,即基于签名的入侵检测和基于行为的入侵检测。
基于签名的入侵检测主要通过事先确定的规则和模式来识别已知的入侵行为,而基于行为的入侵检测则通过监测系统的行为特征来发现异常和潜在的入侵行为。
三、基于签名的入侵检测技术基于签名的入侵检测技术是一种传统的检测方法,其核心思想是通过与已知的入侵特征进行比对,寻找与之匹配的特征。
这种方法具有检测准确率高的优点,但对于未知的入侵行为无法进行有效的检测。
常用的基于签名的入侵检测系统有Snort、Suricata等。
四、基于行为的入侵检测技术基于行为的入侵检测技术研究的是系统和用户的行为特征,通过建立正常行为模型和异常行为模型来检测入侵行为。
这种方法适用于未知入侵和变异性入侵的检测,但在实际应用中存在误报率高的问题。
常用的基于行为的入侵检测系统有Bro、Snort、Suricata等。
五、机器学习在入侵检测中的应用机器学习在入侵检测中发挥了重要作用,通过训练算法和模型,能够对网络流量数据进行分析和预测。
在现实场景中,机器学习的应用能够提高入侵检测的准确率和实时性。
常用的机器学习算法包括决策树、支持向量机和神经网络等。
六、入侵检测技术的挑战与未来发展网络环境的复杂性和入侵手段的多样化给入侵检测技术带来了许多挑战。
网络入侵检测技术综述
网络入侵检测技术综述网络入侵检测技术综述随着信息技术的迅猛发展和互联网的广泛应用,网络安全问题成为了人们关注的焦点。
其中,网络入侵是指未经授权侵入他人计算机系统的行为,给网络系统带来了极大的威胁。
为了保障网络安全,人们提出了网络入侵检测技术。
本文将综述网络入侵检测技术的发展和应用。
网络入侵检测技术是在计算机网络系统中载入入侵检测系统,并通过对网络流量、日志记录、包头、外部事件等数据进行分析、监控和实时判断的方法,来检测和识别网络中的入侵行为。
根据检测方法的不同,可以将入侵检测技术分为基于特征的检测、基于异常的检测和基于机器学习的检测。
基于特征的检测技术主要是通过对网络流量、网络数据包等进行特征提取和匹配,从而判断是否存在入侵行为。
这种方法依赖于已知的入侵特征库,通过比对特征库中的特征和实时获取的数据特征,来判定网络是否存在入侵。
该方法的优点是准确性高,能够对已知的入侵行为进行有效检测和防御。
但是,缺点也非常明显,即无法对未知的入侵行为进行检测和应对。
基于异常的检测技术是通过建立和学习网络正常行为的模型,来检测网络中的异常行为。
异常行为是指与正常行为有明显差异的网络流量、数据包等。
这种方法的优点是能够对未知的入侵行为进行检测和防御,具有较高的自适应性。
但是,缺点是在建立正常行为模型时需要耗费大量的时间和计算资源,且对于复杂的网络环境和大规模网络系统的应用效果不佳。
基于机器学习的检测技术是近年来发展起来的一种新型检测方法。
通过对大量的网络数据进行学习和训练,建立起网络行为的模型。
然后,通过模型对实时获取的网络数据进行分类和判断,从而检测和识别网络入侵行为。
优点是能够实现对未知入侵行为的检测和自动化的防御措施。
然而,缺点是对于网络数据的学习和训练时间较长,且对于大规模网络系统的应用还面临着一定的挑战。
除了上述的入侵检测技术之外,还有一些新兴的技术正在逐渐应用到网络入侵检测中。
比如说,深度学习技术、云计算、大数据分析等。
网络入侵检测技术综述
网络入侵检测技术综述[摘要]入侵检测就是对计算机网络和计算机系统的关键结点的信息进行收集分析,检测其中是否有违反安全策略的事件发生或攻击迹象,并通知系统安全管理员。
一般把用于入侵检测的软件,硬件合称为入侵检测系统(Intrusion Detection System)。
入侵检测是计算机安全领域的一个重要技术,也是当前计算机安全理论研究的一个热点。
[关键词]入侵入侵检测IDS 神经网络一、入侵检测技术简介James Aderson在1980年首先提出了入侵检测的,将入侵尝试或威胁定义为:潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。
入侵(Intrusion)指的就是试图破坏计算机保密性,完整性,可用性或可控性的一系列活动。
入侵活动包括非授权用户试图存取数据,处理数据,或者妨碍计算机的正常运行。
入侵检测(Intrusion Detection),顾名思义,是指对入侵行为的发觉。
它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。
完成入侵检测功能的软件、硬件组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
入侵检测系统包括三个功能部件:提供事件记录流的信息源;发现入侵迹象的分析引擎;基于分析引擎的结果产生反应的响应部件。
二、入侵检测的功能及原理一个入侵检测系统,至少应该能够完成以下五个功能:监控、分析用户和系统的活动;检查系统配置和漏洞;评估系统关键资源和数据文件的完整性;发现入侵企图或异常现象;记录、报警和主动响应。
因此,入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。
入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、入侵识别和响应),提高了信息安全基础结构的完整性。
它能够从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
网络安全中的入侵检测技术综述
网络安全中的入侵检测技术综述网络安全是当今社会中的一个重要议题,随着互联网的普及和信息技术的迅速发展,网络攻击和入侵事件屡见不鲜。
为了保护网络系统和用户的安全,研究人员和安全专家们积极探索各种入侵检测技术。
本文将综述几种常见的入侵检测技术,并分析它们的特点和应用。
一、入侵检测技术的概念入侵检测技术(Intrusion Detection Technology)是指通过对网络通信流量、系统日志、主机状态等进行监控和分析,及时发现和识别已发生或即将发生的入侵行为。
其目的是快速准确地发现并阻止潜在的安全威胁,保护网络系统和用户的数据安全。
二、基于签名的入侵检测技术基于签名的入侵检测技术(signature-based intrusion detection)是一种传统而有效的检测方法。
它通过预定义的规则集合,检测网络流量中是否存在已知的攻击模式。
这种技术的优点在于准确率高,适用于已知攻击的检测。
然而,缺点也显而易见,就是无法检测未知攻击和变异攻击。
三、基于异常行为的入侵检测技术基于异常行为的入侵检测技术(anomaly-based intrusion detection)通过建立正常行为模型,检测网络流量中的异常行为。
相比于基于签名的方法,这种技术更具有普遍性,能够发现未知攻击。
然而,误报率较高是其主要问题之一,因为正常行为的变化也会被误判为异常。
四、混合型入侵检测技术为了克服单一方法的局限性,许多研究者提出了混合型入侵检测技术。
这些方法综合了基于签名和基于异常行为的特点,在检测效果上有所提高。
其中,流量分析、机器学习、数据挖掘等技术的应用,使得混合型入侵检测技术更加精准和智能化。
五、网络入侵检测系统的架构网络入侵检测系统(Intrusion Detection System,简称IDS)是实现入侵检测的关键组件。
其整体架构包括数据采集、数据处理、检测分析、警报响应等模块。
数据采集模块负责收集网络流量、日志信息等数据;数据处理模块负责对采集到的数据进行预处理和分析;检测分析模块负责使用各种入侵检测技术进行实时监测和分析;警报响应模块负责生成报警信息并采取相应的应对措施。
基于机器学习的网络入侵检测技术综述
基于机器学习的网络入侵检测技术综述1. 总论网络安全已成为现代社会的一个重要问题。
随着网络技术的发展,网络入侵问题日益复杂。
作为一种被动的网络防御技术,网络入侵检测技术在网络安全中既起到保护网络资源和信息的作用,也是网络安全的重要组成部分。
而机器学习作为智能化的技术手段,提供了智能化的网络入侵检测方案。
本文将对基于机器学习的网络入侵检测技术进行综述,并进行归类分析和比较。
2. 基础知识2.1 网络入侵检测技术网络入侵检测技术是通过模拟网络攻击行为,对网络流量进行特征提取和分析,从而识别恶意流量和网络攻击行为的一种技术手段。
可分为基于特征匹配、基于自动规则生成和基于机器学习的三种类型。
基于学习的网络入侵检测系统是通过机器学习技术训练出网络入侵检测模型,然后对流量进行分类,从而更好地检测网络攻击。
2.2 机器学习机器学习是一种通过对专门设计的算法,使计算机能够自主学习的技术。
它的主要任务是从已知数据(历史数据)中学习特征,使其能够更准确地对未知数据(未知流量)进行分类预测。
主要分为有监督学习、无监督学习和半监督学习三种类型。
3. 基于机器学习的网络入侵检测技术3.1 基于分类算法3.1.1 支持向量机支持向量机(SVM)是一类二分类模型,它的基本思想是找到一个好的超平面对数据进行划分,使得分类误差最小。
与其他分类算法不同,支持向量机将数据空间转换为高维空间来发现更有效的超平面,以达到更好的分类效果。
在网络入侵检测中,SVM主要应用于对已知流量进行分类,进而识别未知流量是否是恶意流量。
同时,SVM还可以通过简化流量特征提取的复杂性,优化特征集。
3.1.2 决策树决策树是一种机器学习算法,可以进行分类和回归预测。
决策树使用树形结构来表示决策过程,树的每个节点代表一个特征或属性,每个分支代表一个该特征的取值或一个属性取值的集合。
在网络入侵检测中,决策树算法可识别不同类型的网络攻击,并为网络安全工程师提供必要的信息和分析结果,以支持决策制定。
信息安全中的网络入侵检测与防御技术综述
信息安全中的网络入侵检测与防御技术综述随着互联网的快速发展,各种网络安全威胁也不断涌现,网络入侵成为了一项严峻的挑战。
网络入侵指未经授权的访问和使用计算机系统或网络的行为,旨在获取非法收益或破坏目标系统的完整性和可用性。
为了防范网络入侵,信息安全领域涌现出许多先进的网络入侵检测与防御技术。
本文将全面综述这些技术,并探讨未来的发展趋势。
网络入侵检测系统(IDS)是一种被动的安全工具,用于检测和响应网络中的潜在攻击。
IDS可以分为基于主机的IDS(HIDS)和基于网络的IDS(NIDS)两类。
HIDS主要集中在单台主机上的入侵检测和分析,通过监听和分析主机上的行为和活动来发现入侵行为,例如异常文件修改、进程执行等。
NIDS则主要关注整个网络通信流量的监控与分析,通过对流量特征和协议的分析来检测入侵行为,例如端口扫描、恶意代码传输等。
入侵检测技术根据检测方式可以分为基于签名、基于异常和基于机器学习的方法。
基于签名的检测方法依赖于已知攻击的特征和模式,通过与预先设置的签名进行匹配来判断是否有入侵行为。
这种方法在检测已知攻击方面效果良好,但对于新型攻击缺乏有效性。
基于异常的检测方法通过建立系统的正常行为模型,当检测到系统行为与模型存在显著偏差时,识别为入侵行为。
这种方法适用于未知攻击的检测,但容易受到误报的影响。
基于机器学习的检测方法利用机器学习算法,通过对大量数据的学习和训练来构建模型,从而检测网络入侵。
这种方法综合考虑了签名和异常方法的优势,可以有效检测新型攻击,并减少误报的产生。
网络入侵防御技术主要包括网络边界防御、主机防御和应用防御。
网络边界防御的目标是在网络与互联网之间建立一道防火墙,限制来自外部的恶意流量。
主机防御是在每台主机上设置防火墙和入侵防御系统,以保护主机免受攻击。
应用防御是指在应用程序层面上进行保护,常见的应用防御技术包括访问控制、数据加密和漏洞修复等。
综合运用这些防御技术可以提高整个网络的安全性和抗攻击能力。
网络安全中的入侵检测与防范技术综述
网络安全中的入侵检测与防范技术综述一、绪论当前的网络普及使得人们在工作和生活中都离不开互联网,然而网络中却存在着各种各样的威胁,如网络黑客、病毒、恶意软件等,这些威胁可能会危及网络中的运行、数据的安全以及用户的隐私等,因此,对于网络安全的重视与加强也日益凸显。
而在各种网络安全技术中,入侵检测与防范技术被认为是目前网络安全领域的重要组成部分。
二、入侵检测技术入侵检测技术主要是指通过对网络流量数据进行实时的监控与检测,识别出可能的入侵行为并进行相应的响应和处理。
入侵检测技术主要包括基于规则的入侵检测和基于机器学习的入侵检测两种方式。
1.基于规则的入侵检测技术基于规则的入侵检测技术是指通过制定一系列的规则,根据已知的攻击特征,来对网络流量数据进行分析和判断,识别出可能的入侵行为。
该技术具有较高的效率和实时性,但由于其过分依赖人工定义的规则,导致其无法对于新颖的攻击进行准确识别,同时需要经常对规则进行升级与调整。
2.基于机器学习的入侵检测技术基于机器学习的入侵检测技术是指通过对网络流量数据进行建模和学习,从中发现攻击的特征,然后将其与已知攻击特征进行匹配,以便对网络攻击事件进行识别和分类。
该技术具有较高的准确性和可扩展性,可以处理大量的数据,发现新型攻击的能力较强,但同时也需要较大的数据训练集,可能存在误判和漏报等问题。
三、入侵防范技术除了入侵检测技术之外,入侵防范技术也是网络安全领域中不能忽视的技术之一,它主要是针对当前已知的攻击,采取一系列措施进行防范。
目前常用的入侵防范技术包括:1.网络访问控制技术该技术通过对网络中的用户和设备进行身份管理和访问权限的限制,可以有效防止非法用户对网络的攻击和入侵。
2.漏洞管理技术漏洞管理技术是指针对软件或系统中存在的安全漏洞进行管理和修补,以减少攻击者利用漏洞的机会。
3.网络安全审计技术该技术通过对网络中的操作和流量数据进行记录和分析,可以对网络中的各种问题和风险进行有效的监控和管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
河南理工大学课程论文(2014-2015第二学年)论文题目:入侵检测技术综述学院:专业班级:学号:姓名:指导老师:日期:2015.7.31引言 12入侵行为的概念、分类和演化 13入侵检测技术的发展 33.1以Denning模型为代表的IDS早期技术 3 3.2中期:统计学理论和专家系统相结合 4 3.3基于网络的NIDS是目前的主流技术 4 4结语 5参考文献 6摘要:自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。
本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程。
文章以历史和实践的观点,透视入侵和入侵检测技术相互制约,相互促进的演进过程。
关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史1引言自从计算机问世以来,安全问题就一直存在。
特别是随着Internet的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。
提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。
适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。
在这种需求背景下,入侵检测系统(IDS)应运而生。
入侵检测系统(IDS)是将电子数据处理、安全审计、模式匹配及统计技术等有机地融合在一起,通过分析被检测系统的审计数据或直接从网络捕获数据,发现违背安全策略或危及系统安全的行为和活动。
本文主要讨论入侵和入侵检测技术从20世纪70年代初到今天的发展历程。
这个概念出自James P.Anderson在1972年的一项报告,随后的30多年中,概念本身几乎没有改变。
2入侵行为的概念、分类和演化从最早期的计算机安全开始,人们就密切关注恶意使用者破坏保护机制的可能性。
早期系统多为多用户批处理系统。
这个时期,主要的威胁来自系统的合法使用者,他们企图得到未经授权的材料。
到了20世纪70年代,分时系统和其他的多用户系统已成气候,Willis H Ware 主持的计算机安全防御科学特别工作小组提供了一项报告,为处理多级数据的计算机系统的发展奠定了基础。
但这篇报告并没有受到应有的重视,直到70年代中期,人们才开始进行构建多级安全体系的系统研究。
1980年4月,詹姆斯·安德森(James P.Anderson)为美国空军做的题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念,并首先为入侵和入侵检测提出了一个统一的架构,这是该领域的开山之作。
他在论文中给出了入侵和入侵检测技术方面的概念:威胁(Threat)可能存在有预谋的、未经认可的尝试:①存取数据;②操控数据;③使系统不可靠或无法使用。
危险(Risk)意外的和不可预知的数据暴露,或者,由于硬件故障、软件设计的不完整和不正确所造成的违反操作完整性的问题。
脆弱性(Vulnerability)已知的或可疑的硬件或软件设计中的缺陷;使系统暴露的操作;意外暴露自己信息的操作。
攻击(Attack)实施威胁的明确的表达或行为。
渗透/入侵(Penetration)一个成功的攻击;(未经认可的)获得对文件和程序的使用,或对计算机系统的控制。
威胁概念中的③包括DOS(Denial Of Service)“拒绝服务攻击”。
盗用计算资源也属于这个类别之内。
一般来说,外部入侵者的首要工作是进入系统。
所外人,也可能是合法用户,但违规使用了未经授权的资源。
另一方面,除了拒绝服务攻击外,多数攻击都需要入侵者取得用户身份。
20世纪80年代中后期,网络计算已经相当普遍,渗透和入侵也更广泛。
但许多厂商和系统管理员却疏忽了这个危险。
一些厂商在售出的系统中预先定义管理账户(曾有厂商使用User name:system,Password:manager),而很多系统操作员却大意地忘记了改变这个缺省设置。
1988年11月2日,第一个大范围的Internet上的攻击和渗透事件发生了。
肇事者是“莫理斯蠕虫”,他采用多种传输技术在系统间复制,利用的是发送邮件程序的漏洞,这个漏洞允许邮寄的指令能在异地系统上执行。
除此之外,蠕虫也利用在finger守护进程溢出串变量来扩散。
蠕虫代码中还包含了一个高效的口令破解程序,他尝试破解被他传染的系统上的使用者的密码。
在“莫理斯蠕虫”之后,DARPA建立了“计算机紧急情况反应小组”,也就是现在SEI(软件工程学会)的CERT(Computer Emergency Response Team)。
1996年,在线杂志Phrack发表了一篇缓冲溢出攻击的文章,随后这种攻击事件就多了起来。
CERT的一项研究显示,从1997年开始,缓冲溢出攻击变成逐渐严重。
近年来报告给CERT/CC的攻击事件中涉及缓冲溢出的百分比上升,这种漏洞攻击流行的原因包括:系统的脆弱性;管理者(administrator)或超级用户(superuser)在目标系统中的特权,攻击行为一般都要利用这些特权;这些攻击的脚本或程序在Internet上的适用性很好,使用者只需很少的技巧。
和其他攻击方式一样,缓冲溢出已经越来越复杂和更具综合性。
早期的攻击主要是通过目标程序读数据。
后来发现,包含环境参数的变量也可能被当作攻击向量使用。
最近,基于格式串(format strings)的缓冲溢出也开始使用。
1992年,第一次大范围的“rootkits”开始出现。
入侵者会像一个平常的使用者一样进入系统,接着靠猜测、社会工程学或其他方式得到一个使用者的口令,然后他们尝试利用系统的弱点成为root。
一旦获得root权限,版本不同的系统公用程序,像是Su,就会被安装和远程执行,这使侵入者能方便地再次进入(后门技术),而且,入侵者会修改系统信息,清理入侵痕迹,让管理者和安全审计者难以察觉。
现在的攻击行为向着大规模、自动和协同方向发展。
攻击已经变得越来越复杂、越来越自动化。
图1中,实线代表攻击行为,虚线代表入侵者需要掌握的技术,他显示了从90年代起,攻击行为的发展和对入侵者技术要求降低的情况。
CERT/CC曾预言:攻击行为的自动化可能在因特网上引发大规模的入侵活动,这在今天得到了验证。
3入侵检测技术的发展审计是最早引入计算机安全领域的概念,像存取文件、变更他们的内容或分类等的活动都记录在审计数据中,安全管理员、系统操作员和维护人员和普通用户一样都要经过行为审核。
安德森提出要建立一个安全监督系统,保护那些系统敏感信息。
他还提出应该检查什么、如何分析他、以及如何保护监督系统免受攻击,这成了今天IDS研究的核心内容。
70年代后期,美国zhengfu,包括DoD(国防部)和NIST(国家标准和技术协会)支持的计算机安全研究2开始了,安全审计也被考虑在这些研究中。
1980年,安德森提出了另外一项报告,这次是针对一个空军客户,后者使用大型计算机处理大量的机密数据。
报告中,安德森提出了减少分析数据量的方法,以及比较统计数据和总的观察——也就是统计行为,以发现反常的行为。
当一个安全违例发生或(统计上)反常的事件出现时,就会提醒安全官员。
安全官员还能利用详细的观测资料做后续的评估。
安德森的报告为SRI(Stanford Research Institute)和TRW(美国着名的数据安全公司)的早期工作提供了蓝图。
在1980年代中期,入侵检测方面的许多工作都被他的思路深深影响。
3.1以Denning模型为代表的IDS早期技术1984~1985年,Sytex为SPAWAR(美国海军)开展了一个审计分析项目。
他基于Unix系统的shell级的审计数据,论证这些数据能够识别“正常”和“反常”使用的区别。
特里萨·兰特(Teresa Lunt)在Sytex为这个项目工作,后来又去了SRI,在那里她参与并领导了IDES(入侵检测专家系统)项目。
IDES项目是1984年由乔治敦大学的桃乐茜·顿宁(DorothyDenning)和彼得·诺埃曼(PeterNeumann)开始的,是IDS早期研究中最重要的成就之一。
IDES模型基于这样的假设:有可能建立一个框架来描述发生在主体(通常是用户)和客体(通常是文件、程序或设备)之间的正常的交互作用。
这个框架由一个使用规则库(规则库描述了已知的违例行为)的专家系统支持。
这能防止使用者逐渐训练(误导)系统把非法的行为当成正常的来接受,也就是说让系统“见怪不怪”。
1988年,特里萨·兰特等人改进了顿宁的入侵检测模型,并开发出了一个IDES。
该系统包括一个异常检测器和一个专家系统,分别用于异常模型的建立和基于规则的特征分析检测。
顿宁的模型假设:入侵行为明显的区别于正常的活动,入侵者使用系统的模式不同于正常用户的使用模式,通过监控系统的跟踪记录,可以识别入侵者异常使用系统的模式,从而检测出入侵者违反系统安全性的情况。
论文中的一些提法看起来很吸引人,但却并没有多少有力的证据,有些想当然。
顿宁的模型中有6个主要构件:主体、对象、审计数据、轮廓特征(或可称为“范型”profiles)、异常记录和行为规则。
范型(profiles)表示主体的行为特色,也是模型检测方面的关键。
行为规则描述系统验证一定条件后抽取的行为,他们能“……更新范型,检测异常行为,能把异常和可能的入侵关联起来并提出报告”。
审计纪录由一个行为触发,而且记录主体尝试的行为、行为本身、行动对准的目标、任何可能导致例外的情况以及行为消耗的资源和独特的时间戳标记。
审计记录会和范型进行比较(使用适当的规则),那些符合异常条件的事件将被识别出来。
这个模型独立于特定的系统平台、应用环境、系统弱点以及入侵的类型,也不需要额外的关于安全机制、系统脆弱性或漏洞攻击方面的知识,他为构建入侵监测系统提供了一个通用的框架。
桃乐茜·顿宁的“入侵检测模型”论文很有影响,但现在读起来有点令人失望,主要是因为其中许多当时没回答的问题到今天仍旧没有满意的答案。
3.2中期:统计学理论和专家系统相结合80年代末,一些其他值得注意的系统开发出来,大部分走的是将统计学理论和专家系统结合在一起的路子。
有几个系统,特别是在Haystack和NADIR中,分析引擎把几个商业数据库管理系统(比如Oracle,Sybase)聚合在一起,发挥他们各自的优势。
MIDAS由美国国家安全局下属的计算机安全中心开发,用来监控他的Multics系统——Dock master。