入侵检测技术简单汇总

入侵检测技术

注意：本文只是对入侵检测技术的粗略的汇总，可供平时了解与学习，不能作为科研使用！

入侵检测分析系统可以采用两种类型的检测技术:异常检测(Anomaly Detection)和误用

检测(Misuse Detection).

异常检测

异常检测也被称为基于行为的检测，基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为的检测与系统相对无关，通用性较强。它甚至有可能检测出以前未出现过的攻击方法，不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高。尤其在用户数目众多，或工作目的经常改变的环境中。其次由于统计简表要不断更新，入侵者如果知道某系统在检测器的监视之下，他们能慢慢地训练检测系统，以至于最初认为是异常的行为，经一段时间训练后也认为是正常的了。

异常检测主要方法：

（1）统计分析

概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先，检测器根据用户对象的动作为每个用户都建立一个用户特征表，通过比较当前特征与已存储定型的以前特征，从而判断是否是异常行为。

用户特征表需要根据审计记录情况不断地加以更新。用于描述特征的变量类型有: 操作密度:度量操作执行的速率，常用于检测通过长时间平均觉察不到的异常行为；

审计记录分布:度量在最新纪录中所有操作类型的分布；

范畴尺度:度量在一定动作范畴内特定操作的分布情况；

数值尺度:度量那些产生数值结果的操作，如CPU 使用量，I/O 使用量等。

统计分析通过在一段时间内收集与合法用户行为相关的数据来定义正常的域值（Threshold ），如果当前的行为偏离了正常行为的域值，那么就是有入侵的产生。对于用户所生成的每一个审计记录，系统经计算生成一个单独的检测统计值T2，用来综合表明最近用户行为的异常程度较大的T2值将指示有异常行为的发生，而接近于零的T2值则指示正常的行为。统计值T2本身是一个对多个测量值异常度的综合评价指标。假设有n个测量值表示为Si ，（1<=i<=n ），则T2 =a1S12+a2S22+…+a n S n2，其中a i（1<=i<=n ）表示第i个测量值的权重。

其优点是能应用成熟的概率统计理论，检测率较高，因为它可以使用不同类型的审计数据，但也有一些不足之处，如:统计检测对事件发生的次序不敏感，也就是说，完全依靠统计理论可能漏检那些利用彼此关联事件的入侵行为。其次，定义是否入侵的判断阙值也比

较困难。阙值太低则漏检率提高，阙值太高则误检率提高。并且可检测到的入侵类型也受到限制。

（2）基于人工免疫的异常检测

将被检测网络中正常活动视为自我，异常活动视为异己，其目的就是区分正常或异常的网络活动。

人工免疫模型的工作流程分为三个阶段，即生成规则基因库、筛选检测规则集和复制高效检测规则集。该入侵模型可以分成两个检测层次，一个是系统级检测层次；一个是网络级检测层次。在系统级检测层中主要监控主机的各种操作行为。用户的删除、修改、格式化等操作都要接受该层的分析和识别；而网络级检测层主要负责对网络上传输的数据的监控，包括了网络数据包的识别和检测，地址的过滤等等。

人工免疫系统归根结底是进行“自我”和“非我”的识别。而在该入侵检测模型中，把与所需检测的机器相连的网络间正常的TCP/IP连接集合和该机器系统内合法的操作行为定义为“自我”，采用可以描述TCP/IP连接的特征信息来表示，例如：源IP地址，目的IP 地址，服务端VI ，协议类型，包的数量、字节数、特定错误和在短时间内网络的特定服务，以及描述系统合法操作的集合等。而把反常的TCP/IP连接集合和非法的系统操作集合定义为“非”我。而这些特征信息在具体表现形式上，都可以通过某种规则映射为唯一表征该信息长度为1的二进制字符串。

该方法成功地将人工免疫理论应用到入侵检测中，但目前还只处于研究阶段.

（3）机器学习

该方法通过对新序列（如离散数据流和无序的记录）的相似度的计算，将原始数据转化为可度量的空间，然后应用IBL （Instance Based Learning）学习技术和一种新的基于序列的分类方法，发现异常事件，从而检测入侵行为这种方法检测速率高，且误报率较低. 然而，这种方法对于用户动态行为变化以及单独异常检测还有待改善.

（4）基于隐马尔可夫模型（HMM）的入侵检测方法

一个系统调用，既可以是完全正常的，也可以是危险的。比如：被缓冲区溢出攻击的程序，它所产生的系统调用事件和在正常情况下产生的有着明显的不同。因此，可以通过构建正常情况下系统调用事件模型，然后观察是否与此模型有明显的偏离，以此来有效地检测入侵的产生。隐马尔可夫模型是对观察到的符号序列构造模型的一种非常好的工具，它在构造系统调用事件模型上有着比其它方法更好的性能，但它在构造正常行为模型时需要较长的时间解决办法是提高计算机系统的性能，或者减少观察的数据

误用检测

误用检测也被称为基于知识的检测，它指运用己知攻击方法，根据己定义好的入侵模式，通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。这种方法

由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。主要缺陷在于与具体系统依赖性太强，不但系统移植性不好，维护工作量大，而且将具体入侵手段抽象成知识也很困难。并且检测范围受已知知识的局限，尤其是难以检测出内部人员的入侵行为，如合法用户的泄漏，因为这些入侵行为并没有利用系统脆弱性。

误用检测方法有以下几种：

（1）模式匹配

模式匹配就是将收集到的信息与己知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单，如通过字符串匹配发现一个简单的条目或指令，也可以很复杂，如利用形式化的数学表达式来表示安全状态的变化。模式匹配方法的一大优点是只需收集与入侵相关的数据集合，可以显著减少系统负担，检测的准确率和效率比较高。

模式匹配主要是用一定的模式描述来提取攻击的主要特征.其基本任务就是把存放在入侵检测规则集中的已知入侵模式与系统正在检测的网络包或者重构的TCP流中的文本进行匹配，如果匹配成功，则可以断定发生了入侵。这个过程是不断循环进行的。它具有较高的检测率和较低的误警率，其检测规则必须不断地更新。

模式匹配将入侵行为表示成一个事件序列或者转换成某种可以直接在网络数据包审计记录中找到的数据样板，而不进行规则转换，这样可以直接在审计记录中寻找相匹配的已知入侵模式。

缺点：

✓必须及时更新知识库

✓兼容性较差

✓建立和维护知识库的工作量都相当大

（2）专家系统

专家系统是基于知识的检测中运用最多的一种方法。将有关入侵的知识转化成if-then 结构的规则，即将构成入侵所要求的条件转化为if 部分，将发现入侵后采取的相应措施转化成then 部分。当其中某个或某部分条件满足时，系统就判断为入侵行为发生。其中的if-then 结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工作。

在具体实现中，专家系统主要面临以下问题:

全面性问题，即难以科学地从各种入侵手段中抽象出全面的规则化知识；

效率问题，即所需处理的数据量过大，而且在大型系统上，如何获得实时连续的审计数据也是个问题。

用专家系统对入侵进行检测经常是针对有特征的入侵行为.它将有关入侵的知识转化为