入侵检测系统技术综述
基于深度学习的网络入侵检测技术
基于深度学习的网络入侵检测技术 摘要:随着互联网的普及和网络攻击手段的不断升级,网络安全问题日益严重。传统的入侵检测方法往往无法有效应对新型的网络攻击,因此迫切需要一种更加智能和高效的检测技术。基于深度学习的网络入侵检测技术应运而生,其借助深度学习算法在大量数据中发现规律和特征,能够更加准确地识别和阻止各类网络入侵行为。本文将深入探讨这一技术的原理、方法和实验结果,旨在为网络安全领域的研究和实践提供新的思路和方法。
关键词:深度学习;网络安全;入侵检测 一、问题与挑战 1.1网络入侵检测的重要性 网络入侵检测在当今数字化时代中显得尤为重要。随着互联网的普及和信息化进程的加速,网络安全问题日益突出,各类网络入侵行为如恶意软件攻击、数据泄露、身份伪造等层出不穷,给个人、企业甚至国家的信息资产安全带来严重威胁。因此,实现对网络入侵的及时发现和准确识别成为网络安全领域的首要任务之一。传统的网络入侵检测方法主要依赖于规则匹配、特征模式识别等技术,然而这些方法往往只能应对已知的入侵行为,对于新型的、隐蔽性强的入侵攻击则显得力不从心。
传统方法在处理大规模网络数据时效率低下,往往会产生大量的误报和漏报,给安全管理带来不小的困扰。与传统方法相比,基于深度学习的网络入侵检测技术具有明显的优势。深度学习算法能够自动学习和提取数据中的高级特征,通过对大规模数据的训练和优化,构建起复杂的非线性模型,能够更加准确地捕获入侵行为的特征模式,有效提高检测的准确率和可靠性。此外,深度学习技术在处理大规模数据时具有较高的计算效率,能够更快速地响应潜在的安全威胁。
1.2传统方法存在的局限性 传统网络入侵检测方法在面对日益复杂和多变的网络威胁时存在着一系列的局限性。传统方法主要依赖于规则匹配和特征模式识别,这种静态的检测方式对于未知的入侵行为缺乏有效的应对手段。由于网络攻击手段日益隐蔽和变异,传统方法往往无法及时更新和适应新型的入侵特征,导致漏报和误报现象频发,降低了检测的准确性和可靠性。传统方法在处理大规模网络数据时效率较低。
电子政务信息系统入侵检测技术分析与研究综述
电子政务信息系统入侵检测技术分析与研究综述【摘要】电子政务系统的广泛应用,给政府管理带来极大方便的同时,也带来了许多安全方面的问题。
入侵检测作为一种主动防御的新技术,应用在电子政务信息系统中,能够有效提高系统的防御能力。
本文针对目前电子政务系统中对入侵检测技术的应用方式做了分析和研究,并对未来的研究方向和亟待解决的关键问题做了探讨。
【关键词】电子政务;入侵检测;信息安全;数据挖掘Research Survey on Intrusion Detection Based on the E-government Information SystemsSHANG Lei(Shandong University of Political Science and Law,Jinan Shangdong,250013,China)【Abstract】With the development of computer technology and network technology, E-government was widely used. It also caused many security problems. As a proactive defense of the new technology, Intrusion Detection System (IDS)can be helpful for E-government information safely. This paper presented a summary of the current state of IDS based on E-government, and some directions for future research are addressed.【Key words】E-government;Intrusion-detection;Information security;Data mining0引言随着以互联网为主要表现形式的信息通信技术的快速发展和广泛应用,信息化为行政改革推波助澜,发展电子政务成为21世纪全球范围内的一个不可扭转的趋势。
入 侵 检 测
异常检测技术是通过建立正常或者有效行为的模型的方 法,把当前行为和正常模型相比较,所有不符合于正 常模型的行为都被认为是入侵。
计算机网络安全技术
6
入侵检测
1.3 入侵检测系统
1.入侵检测系统分类
根据检测数据来源的不同,入侵检测系统常被分为基于 主机(HIDS)、基于网络(NIDS)和基于分布式系 统(DIDS)的入侵检测系统。
数据中,检测出符合某一特征的数据。攻击者进行攻
击的时候会留下痕迹,这些痕迹和系统正常运行的时
候产生的信息混在一起。入侵检测的任务就是从这个
混合信息中找出是否有入侵的痕迹,如果有就报警。
从这个原理来看,入侵检测系统有两个重要部分:数
据取得和检测技术。 计算机网络安全技术
3
入侵检测
(2)入侵检测系统的工作流程
计算机网络安全技术
入侵检测
1.1 入侵检测概述
入侵检测系统(Intrusion Detection System,IDS)是一个能检测 出入侵行为发生的系统软件(或者硬件)。它使安全管理员能 够及时地处理入侵警报,尽可能减少入侵对系统造成的损害。 入侵被检测出来的过程包括监控在计算机系统或者网络中发生 的事件,再分析处理这些事件,检测出入侵事件。
基于主机的入侵检测系统的数据源来自主机,如日志文
件、审计记录等。基于主机的入侵检测系统不但可以 检测出系统的远程入侵,还可以检测出本地入侵。
基于网络的入侵检测系统的数据源是网络流量,其检测
范围是整个网段,它只能检测出远程入侵,对于本地
入侵它是看不到的。 计算机网络安全技术
7
入侵检测
2.典型入侵检测系统 (1)JUMP入侵检测系统 主要技术特点有: • 采取基于状态协议分析的智能匹配算法; • 采用状态转换分析技术来降低系统的误报率,
入侵检测
3.2 误用检测技术——基于知识的检测
1. 误用检测技术入侵检测系统的基本原理 误用检测技术(Misuse Detection)也称为基于知 识的检测技术或者模式匹配检测技术。它的前提是 假设所有的网络攻击行为和方法都具有一定的模式 或特征,如果把以往发现的所有网络攻击的特征总 结出来并建立一个入侵信息库,那么入侵检测系统 可以将当前捕获到的网络行为特征与入侵信息库中 的特征信息相比较,如果匹配,则当前行为就被认 定为入侵行为。
3.3 异常检测技术和误用检测技术的比较
无论哪种入侵检测技术都需要搜集总结有关网络入 侵行为的各种知识,或者系统及其用户的各种行为 的知识。基于异常检测技术的入侵检测系统如果想 检测到所有的网络入侵行为,必须掌握被保护系统 已知行为和预期行为的所有信息,这一点实际上无 法做到,因此入侵检测系统必须不断地学习并更新 已有的行为轮廓。
5.1 基于网络入侵检测系统的部署
基于网络的入侵检测系统可以在网络的多个位置进 行部署。这里的部署主要指对网络入侵检测器的部 署。根据检测器部署位置的不同,入侵检测系统具 有不同的工作特点。用户需要根据自己的网络环境 以及安全需求进行网络部署,以达到预定的网络安 全需求。总体来说,入侵检测的部署点可以划分为 4个位置: ①DMZ区、②外网入口、③内网主干、 ④关键子网,如图3入侵检测概述 入侵检测系统分类 入侵检测系统的分析方式 入侵检测系统的设置 入侵检测系统的部署 入侵检测系统的有点与局限性
1 入侵检测系统概述
1.1 入侵检测的概念
入侵检测是从计算机网络或计算机系统中的若干关 键点搜集信息并对其进行分析,从中发现网络或系 统中是否有违反安全策略的行为和遭到袭击的迹象 的一种机制。入侵检测系统的英文缩写是IDS (Intrusion Detection System),它使用入侵检测 技术对网络与其上的系统进行监视,并根据监视结 果进行不同的安全动作,最大限度地降低可能的入 侵危害。
《2024年加密恶意流量检测及对抗综述》范文
《加密恶意流量检测及对抗综述》篇一一、引言随着互联网技术的快速发展,网络安全问题日益凸显。
其中,加密恶意流量的检测与对抗成为网络安全领域的重要研究课题。
加密恶意流量是指通过网络传输的加密数据流中,包含恶意软件、病毒、木马等威胁的流量。
由于加密技术的应用,传统的流量检测方法往往难以有效识别和拦截这些恶意流量,因此,加强加密恶意流量的检测与对抗研究显得尤为重要。
本文旨在综述加密恶意流量的检测技术和对抗方法,分析其优缺点,为网络安全研究提供参考。
二、加密恶意流量检测技术1. 基于深度学习的检测技术深度学习在加密恶意流量检测方面具有显著优势。
通过训练大量的网络流量数据,深度学习模型可以自动提取流量特征,实现高精度的恶意流量检测。
目前,卷积神经网络(CNN)、循环神经网络(RNN)等在恶意流量检测中得到了广泛应用。
然而,深度学习也存在数据依赖性强、模型泛化能力弱等问题,需结合其他技术进行优化。
2. 基于行为分析的检测技术行为分析通过对网络流量的行为模式进行分析,识别出潜在的恶意流量。
该方法不受加密技术的影响,能够检测出未知的恶意流量。
常见的行为分析技术包括流量统计分析、协议解析等。
然而,行为分析需要大量的计算资源和时间,且容易受到误报和漏报的影响。
3. 分布式蜜罐系统分布式蜜罐系统通过在网络中部署大量蜜罐节点,收集并分析恶意流量的行为特征,从而实现恶意流量的检测和防御。
该系统可以有效地发现和防御新型未知的恶意攻击。
然而,分布式蜜罐系统需要较高的维护成本和计算资源,且可能对网络性能产生一定影响。
三、加密恶意流量对抗方法1. 入侵检测与防御系统入侵检测与防御系统是防范恶意流量的主要手段之一。
通过实时监测网络流量,系统可以识别并拦截恶意流量。
常见的入侵检测与防御技术包括基于签名的检测、基于行为的检测等。
然而,由于加密技术的应用,传统的基于签名的检测方法在面对新型未知威胁时往往难以发挥作用。
2. 防火墙与网络隔离技术防火墙是网络安全的重要保障措施之一,能够根据预设的安全策略对进出网络的流量进行过滤和监控。
网络入侵追踪研究综述
指导关注入侵行为频繁发生 的网段 , 采取必要的预防措施 , 及时发 现 成 为 入侵 者 “ 跳板 ” 的主 机 或 路 由器 。对 于 网 络黑 客 而 言 , 熟 有 成 效的追踪技术对他们也有威慑作 用, 使他们为 了防止被迫踪到而 迫 减 少甚 至停 止 攻 击 行 为 。 入侵追踪系统 可以分为 2类 : i P报文追踪系统和面向连接的追 踪 系统。P报文追踪系统可 以追溯到发送带有假冒源地址报文的攻 I 击者真实位 置, 特点是需要利 用路 由器作为中间媒介。如果攻击者 使用“ 跳板系统” 作为攻击手段 , 那么面向连接的追踪系统可 以追溯 这类绕道而行的攻击者, 发现隐藏在跳板 系统后的真实攻击源。 随着网络攻击事件的 B益增 多 , 开发面 向当前 网络环境 , 能够 准确 、 实时追踪入侵者 的系统是十分迫切 的任务 , 有着广阔的应用 前景。本文仅对具有一定代表性的网络入侵追踪技术 一P报文追踪 I 技 术 进 行较 为详 细 的 介 绍和 探讨 , 指 出其 利 弊所 在 。 并
在宽带网络高速发展的今 天, 网络的开放性和共享性在 方便人 们使 用 的 同时 , 使得 网络更容 易受到攻击 。攻 击扰乱了正常的 网络秩 也
序, 造成了许多难以挽 回的重大损失。因此, 网络和信息安全技术也越来
越受到人 们的重视 ,而网络安全技术对 于 整 个计 算 机网络 的重 要1是 不 生 言而喻的, 加强对网络 的 ^ 侵追踪方面的研究具 有十 分 重 要 的意 义 。 1 入 侵 攻 击 的种 类
目前的网络攻击模式呈现多方位多手段化, 让人防不胜防。概括来 说分四大类: 拒绝眼务 攻击、 利用型攻击、 信息收集型攻击、 假消息攻击。 11拒绝服务攻击 服务拒绝攻击企 图通 过使你 的服务计算机 . 崩溃或把它压 跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻 击行为 , 主要包括 : 绝 服 务 攻 击 ( e i fS ri ,o 是 一种 最 拒 D n l evc D S) ao e 悠 久也 是 最 常 见 的攻 击 形 式 。 严格 来 说 , 绝 服 务 攻 击 并 不 是 某 一 拒 3 基于 一 般 网络 的追 踪 技 术 种 具 体 的攻 击 方 式 , 是 攻 击 所 表 现 出来 的 结 果 , 终 使 得 目标 系 而 最 该 技术 借 鉴 了基 于 主 机 的 追 踪技 术 的 “ 接 链 ” 念 , 过 分 析 连 概 通 统 因遭 受 某种 程 度 的破 坏 而 不 能 继续 提 供 正 常 的 服 务 , 至 导 致 物 甚 跳 板 主 机 之 间 T P连 接 的 属性和特征 采用信息摘录技术 , C 把攻击报文 理 上 的瘫 痪 或 崩溃 。 流 同其 它报文流 区别开来 , 而发现攻击报文在网络 中的穿行路线。 用 从 采 通常拒绝服务攻击可 分为两 种类型 :第一种是使一个 系统 或 这类技术的追踪系统必须安装在能够监听到所有网络报文的地点上。 网 络瘫 痪 。 如 果攻 击者 发 送 一 些 非 法 的数 据 或 数 据 包 , 可 以使 得 就 该 技 术 通 常 用 于 追 踪 采 取 远 程 登 录 办 法 (entr gn) 行 攻 t l ,o i 进 e l
入侵检测技术
管理控制台
响应单元
事件分析器
事件数据库
事件产生器 用于 事后分析
• 作用是从整个计算环境中收集信息; • 信息收集包括收集:系统、网络、 数据及用户活动的状态和行为; • 并在不同关键点(不同网段和不同 主机)收集;
入侵检测系统的功能
入侵检测系统被认为是防火墙系统之后的第二道安全闸门,是一种动 态的安全检测技术。 一个合格的入侵检测系统应具备以下功能: 1. 监视用户和系统的运行状况,查找非法和合法用户的越权操作; 2. 检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;
基于主机的入侵检测系统的优点
– –
检测准确率高(精确地判断攻击行为是否成功) 适用于加密及交换环境
–
–
近于实时的检测和响应
不要求额外的硬件设备
–
–
能够检查到基于网络的系统检查不出的攻击
监视特定的系统活动(主机上特定用户)
基于主机的入侵检测系统的缺 点
–
HIDS依赖性强(系统必须是特定的,没有遭到破 坏的操作系统中才能正常工作)
它从计算机网络系统中的若干关键点收集信息,并分析这些信息;
根据信息来源不同,IDS可分为:
基于主机的入侵检测系统(HIDS) 基于网络的入侵检测系统(NIDS)
基于主机的入侵检测系统
入侵检测系统安装在被检测的主机上 HIDS检测目标是主机系统和系统本地用户 智能分析主机提供的审计信息,发现不安全的行为后采取相 应的措施
入侵检测系统的作用和目的
… …
• • • •
交换机
智能发现攻击 记录并发出报警信息 启动响应动作 审计跟踪
Internet
内部网
HIDS主机入侵检测
HIDS主机入侵检测随着信息技术的日益发展,网络安全问题已经成为一个全球关注的焦点。
特别是在当今数字化时代,公司和个人在互联网上的活动越来越频繁,安全风险也随之增加。
因此,保障主机的安全性变得至关重要。
HIDS主机入侵检测系统作为一种重要的安全技术手段,有效地应对主机入侵带来的威胁。
一、HIDS主机入侵检测系统的概述HIDS(Host-based Intrusion Detection System)主机入侵检测系统是一种基于主机的安全技术,通过收集、分析和监控主机上的安全事件,识别异常行为和潜在威胁。
与网络入侵检测系统(NIDS)不同,HIDS主要关注主机系统本身的安全问题。
它能够监测和识别包括病毒、木马、僵尸网络、网络扫描等在内的各种主机入侵行为。
二、HIDS主机入侵检测系统的工作原理HIDS主机入侵检测系统通过以下几个步骤来实现对主机的安全监测和入侵检测:1. 数据收集:HIDS系统通过监测主机上的系统日志、网络流量、文件系统和注册表等数据源,收集有关主机安全的信息。
2. 数据分析:收集到的安全数据经过分析和处理,使用特定的算法和规则进行异常检测和入侵检测。
系统会将正常行为和异常行为进行比较,并生成相应的警报。
3. 警报通知:一旦系统检测到异常行为或潜在的入侵威胁,它将发送警报通知给管理员或安全团队。
警报通知可以通过邮件、短信等方式进行。
4. 响应措施:当主机入侵检测系统发出警报时,管理员需要采取相应的响应措施。
这可能包括隔离受感染的主机、修复系统漏洞、更新安全策略等。
三、HIDS主机入侵检测系统的优势HIDS主机入侵检测系统相比其他安全措施具有以下几个优势:1. 及时性:HIDS系统对主机的监测和检测是实时进行的,能够及时发现和响应入侵行为,减少对主机系统的损害。
2. 独立性:HIDS系统是部署在主机上的,可以独立于网络结构运行,不依赖于网络设备或防火墙。
3. 全面性:HIDS系统可以监测和检测主机上的各种安全事件,包括已知入侵行为和未知的新型威胁。
入侵检测系统(IDS)简介
第一章入侵检测系统概念当越来越多的公司将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题呈现在人们面前。
传统上,公司一般采用防火墙作为安全的第一道防线。
而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。
与此同时,当今的网络环境也变得越来越复杂,各式各样的复杂的设备,需要不断升级、补漏的系统使得网络管理员的工作不断加重,不经意的疏忽便有可能造成安全的重大隐患。
在这种环境下,入侵检测系统成为了安全市场上新的热点,不仅愈来愈多的受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作用。
本文中的“入侵”(Intrusion)是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。
入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。
它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。
一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。
具体说来,入侵检测系统的主要功能有([2]):a.监测并分析用户和系统的活动;b.核查系统配置和漏洞;c.评估系统关键资源和数据文件的完整性;d.识别已知的攻击行为;e.统计分析异常行为;f.操作系统日志管理,并识别违反安全策略的用户活动。
由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。
入侵检测技术[论文]
浅析入侵检测技术摘要入侵检测系统是一个能够对网络或计算机系统的活动进行实时监测的系统,它能够发现并报告网络或系统中存在的可疑迹象,为网络安全管理提供有价值的信息。
关键词入侵检测信号分析模型匹配分布式中图分类号:tp393 文献标识码:a随着计算机技术尤其是网络技术的发展,计算机系统已经从独立的主机发展到复杂的、互连的开放式系统。
这给人们在信息利用和资源共享上带来了无与伦比的便利,但又面临着由于入侵而引发的安全问题。
传统的安全防御策略(如访问控制机制、防火墙技术等)均属于静态的安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。
由于静态的安全技术自身存在着不可克服的缺点,促发了人们在研究过程中新的探索,从而引出入侵检测这一安全领域的新课题的诞生。
入侵检测是动态安全技术的最核心技术之一,是防火墙的合理补充,是安全防御体系的一个重要组成部分。
1 入侵检测系统( ids)执行的主要任务所谓ids就是一个能够对网络或计算机系统的活动进行实时监测的系统,它能够发现并报告网络或系统中存在的可疑迹象,为网络安全管理提供有价值的信息。
ids 执行的主要任务是:监视、分析用户及系统活动;对系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
2 入侵检测的步骤2.1 信息收集入侵检测的第一步是信息收集。
内容包括系统、网络、数据及用户活动的状态和行为。
入侵检测利用的信息一般来自以下4方面:系统和网络日志文件:目录和文件中的不期望的改变;程序执行中的不期望行为;物理形式的入侵信息。
这包括两个方面的内容:一是未授权的对网络硬件的连接;二是对物理资源的未授权访问。
2.2 信号分析对上述4 类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过3 种技术手段进行分析:模式匹配、统计分析和完整分析。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本文由♀皓月♂贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 入侵检测系统技术综述 自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果 摘 要: 大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中.本文先介绍入侵行为的概念和 演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天 的发展历程.文章以历史和实践的观点$透视入侵和入侵检测技术相互制约,相互促进的演进 过程. 关键词: 关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史 1 、引 言 自从计算机问世以来, 安全问题就一直存在。 特别是随着Internet的迅速扩张和电子商 务的兴起, 人们发现保护资源和数据的安全, 让他免受来自恶意入侵者的威胁是件相当困难 的事。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全 产品通常使用包过滤的技术来实现网络的隔离。 适当配置的防火墙虽然可以将非预期的访问 请求屏蔽在外, 但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。 在这种需求 背景下,入侵检测系统(IDS)应运而生。 2、 概述 计算机网络技术的飞速发展极大地改变了人们的学习、 工作以及生活方式。 随着计算机 及网络系统中存储的重要信息越来越多, 系统的安全问题也显得E1益突出, 我们需要尽可能 找到更好的措施以保护系统免受入侵者的攻击,尽管已有许多防御技术,如防火墙,但它只 是一种静态的被动的防护技术。 要求事先设置规则。 对于实时攻击或异常行为不能实时反应。 无法自动调整策略设置以阻断正在进行的攻击。 因而出现了入侵检测系统, 它是一种动态的 网络安全策略,能够有效地发现入侵行为和合法用户滥用特权的行为,它是P2DR(动态安全 模型)的核心部分。 3、 入侵检测系统产生及其发展 绝大多数入侵检测系统的处理效率低下,不能满足大规模和高带宽网络的安全防护要 求。 这就决定了当前的入侵检测系统在未来信息战中的作用是有限的。 因为信息战中双方使 用的网络进攻手段肯定是储备的、从未出现的新手段。即使检测到攻击,现有的入侵检测系 统的响应能力和实时性也很有限, 不能预防快速脚本攻击, 对于此类恶意攻击只能发现和纪 录,而不能实时阻止。国内只有少数的网络入侵检测软件,相关领域的系统研究也是刚刚起 步,与外国尚有很大差距。 目前,在入侵检测的技术发展上还是存在着以下主要缺陷:(1)网络安全设备的处理速 度慢。(2)入侵检测系统的漏报率和误报率高。(3)入侵检测系统的互动性能差,整个系统的 安全性能低。 4、 入侵检测系统的概论 4.1 入侵检测系统的概念 入侵检测系统(Intrusion Detection System,简称IDS)是从多种计算机系统及网络系统 中收集信息,再通过这些信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第 二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护 系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后, 收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力, 避免系统再次受到同类型的入侵。 4.2 入侵检测系统的分类 入侵检测技术主要可以分成两类:异常入侵检测(Anomaly Detection)技术和误用人侵 检测(Misuse Detec—tion)技术。 4.2.1 基于统计模型的异常入侵检测 1)基于阈值测量(Threshold Measures)的检测。这种方法也称为操作模型(Operational Model), 是对某个时间段内时间的发生次数设置一个阈值, 若超过该值就有可能出现异常情 况。 定义异常的阈值设置偏高就会导致误否定错误, 误否定错误的后果不仅是检测不到入侵, 而且还会给安全管理人员以安全的错觉。 定义异常的阈值设置偏低就会导致难以忍受的误肯 定判断,误肯定过多就会降低入侵检测方法的效率而且会增添安全管理员的负担。 2)基于平均值和标准偏差模型的检测。这种模型将观察到的前n个事件用变量x1,„„,xn。 来表示,这些变量的平均值mean和标准偏差stdev分别为:mean=( x1 + „„ + x n )/n stdev=sqrt(( x 21 + „„ + x 2 n )/(n+1)一mean 2 ) 对于一个新监测到的事件用 x n ?1 表示,如果它落到置信区间mean±d*stdev之外就认为是异 常的,d是标准偏移均值参数。这种方法的优点是能够动态地学习有关正常事件的知识,并 通过置信区间的动态改变而表现出来。 3)基于马尔科夫进程模型的检测。 该模型将离散的事件看作一个状态变量,然后用状态迁移矩阵刻画不同状态之间的迁移频 率, 而不是个别状态或审计纪录的频率。 若观察到的新事件就给定的先前状态和矩阵来说发 生的频率太低就认为是异常事件。 该模型的优点是可以检测到不寻常的命令或事件序列而不 是单一的事件。 4.2.2 基于神经网络的异常入侵检测 神经网络方法是利用一个包含很多计算单元的网络来完成复杂的映射函数的, 这些单元 通过使用加权的连接互相作用。 一个神经网络知识根据单元和它们权值间连接编码成网格结 构, 实际的学习过程是通过改变权值和加入或移去连接进行的。 神经网络处理分成2个阶段: 首先,通过正常系统行为对该网络进行训练,调整其结构和权值;然后,通过正常系统行为 对该网络进行训练,由此判别这些事件流是正常还是异常的。同时,系统也可以利用这些观 测到的数据进行训练,从而使网络可以学习系统行为的一些变化。 4.2.3 基于免疫系统的异常入侵检测 这种入侵检测方法是通过模仿生物有机体的免疫系统工作机制, 使得受保护的系统能够 将非法行为和合法行为区分开。 生物免疫系统连续不断地产生称作抗体的监测器细胞, 并将 其分布到整个机体中。 这些分布式的抗原监视所有的活性细胞, 试图检测出入侵机体的外来 细胞。类似的,计算机免疫系统按照系统调用序列为不同的行为,即正常行为和异常行为建 立应用程序模型。比较模型与所观测到的事件就可以分出正常和异常的行为。 4.2.4 基于文件检查的异常入侵检测 这种方法通过使用系统敏感数据的加密校验和来检测文件产生的变化。 但是由于文件检 测通常是在入侵后才进行检测, 所以如果加密校验和被修改或检测进程泄漏就可能导致检测 失效。 4.2.5 基于污染检查的异常入侵检测 这种方法认为所有用户提供的输入都是被污染的, 任何在敏感区域使用这些污染输入的 企图都会失败, 若要使用这些数据就必须进行去污操作。 去污操作是通过正则表达式来提取 所要用的内容,这样可以避免嵌入式shell命令等的使用 4.2.6 基于协议认证的异常入侵检测 许多攻击技术利用协议的不正常使用来攻击系统, 协议认证技术就是通过建立协议使用 标准来严格地检查这些攻击。 但由于协议的不同实现方法影响了标准的一致性, 所以该方法 可能导致肯定性的错误。 4.3 误用入侵检测 误用入侵检测是对已知系统和应用软件的弱点进行入侵建模, 从而对观测到的用户行为 和资源使用情况进行模式匹配而达到检测的目的。 误用入侵检测的主要假设是入侵活动能够 被精确地按照某种方式进行编码并可以识别基于同一弱点进行攻击的入侵方法的变种。 4.3.1 基于状态转移分析的误用检测 状态转移分析系统利用有限状态自动机来模拟人侵, 入侵由从初始系统状态到入侵状态 的一系列动作组成, 初始状态代表着入侵执行前的状态, 入侵状态代表着入侵完成时的状态。 系统状态根据系统属性和用户权利进行描述, 转换则由一个用户动作驱动。 每个事件都运用 于有限状态自动机的实例中,如果某个自动机到达了它的最终状态,即接受了事件,则表明 该事件为攻击。这种方法的优点是能检测出合作攻击以及时间跨度很大的缓慢攻击。 4.3.2 基于专家系统的误用入侵检测 将安全专家的知识表示成规则知识库, 然后用推理算法检测入侵。 用专家系统对入侵进 行检测, 经常是针对有特征的入侵行为。 这种方法能把系统的控制推理从问题解决的描述中 分离出去。它的不足之处是不能处理不确定性,没有提供对连续有序数据的任何处理,另外 建立一个完备的知识库对于一个大型网络系统往往是不可能的, 且如何根据审计记录中的事 件提取状态行为与语言环境也是比较困难的。 4.3.3 基于遗传算法的误用入侵检测 遗传算法就是寻找最佳匹配所观测到的事件流的已知攻击的组合, 该组合表示为一个向 量, 向量中每一个元素表示某一种攻击的出现。 向量值是按照与各个攻击有关的程度和二次 罚函数而逐步演化得到的,同时在每一轮演化中,当前向量会进行变异和重新测试,这样就 将误肯定和误否定性错误的概率降到零。 4.4 入侵检测技术的发展 入侵检测由传统电子数据处理、安全审计以及统计技术发展而来。1980年4月,James P.Anderson在给美国空军的报告((Computer Security Threat Monitoring and Surveillance))中第一次详细阐述了入侵检测的概念, 并提出用审计追踪监视入侵产生的威 胁。1984-1986年,乔治敦大学的DorothyDenning和美国斯坦福国际研究所的Peter Neumann 研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。1987年, D.E.Denning发表论文“An Intrusion DetectionModel”首次给出了一个入侵检测的抽象 模型, 并将入侵检测作为一个新的与传统加密认证和访问控制完全不同的计算机安全防御措 施提出。1988年,莫里斯蠕虫事件发生之后,网络安全才真正引起了军方、学术界和企业的 高度重视,促使人们投入更多的资金和精力去研究和开发IDS。 5、 入侵检测系统性能指标 衡量入侵检测系统的两个最基本指标为检测率和误报率, 两者分别从正、 反两方面表明 检测系统的检测准确性。实用的入侵检测系统应尽可能地提高系统的检测率而降低误报率, 但在实际的检测系统中这两个指标存在一定的抵触, 应根据具体的应用环境折衷考虑。 除检 测率和误报率外,在实际设计和实现具体的入侵检测系统时还应考虑如下几个方面: (1)操作方便性: 训练阶段的数据量需求少(支持系统行为的自学习等)、 自动化训练(支持 参数的自动调整等);在响应阶段提供多种自动化的响应措施。 (2)抗攻击能力:能够抵抗攻击者修改或关闭入侵检测系统。当攻击者知道系统中存在入 侵检测时,很可能会首先对入侵检测系统进行攻击,为其攻击系统扫平障碍。 (3)系统开销小,对宿主系统的影响尽可能小。 (4)可扩展性:入侵检测系统在规模上具有可扩展性,可适用于大型网络环境。 (5)自适应、自学习能力:应能根据使用环境的变化自动调整有关阈值和参数,以提高检 测的准确性;应具有自学习能力,能够自动学习新的攻击特征,并更新攻击签名库。 (6)实时性:指检测系统能及早发现和识别人侵,以尽快隔离或阻止攻击,减少其造成的 破坏。 6、入侵检测系统存在的问题及发展趋势 6.1 存在的问题 经过二十多年的研究与开发, 入侵检测技术得到了飞速的发展, 但是E1前还存在很多的问 题。主要有: (1)大量的误报和漏报。误报不仅降低了入侵检测系统的效率,而且很大程度上降低了原系 统的服务质量。漏报具有更大的危险性,它是入侵检测系统对真正的攻击或入侵没有报警。 (2)自身缺少防御功能。一旦IDS本身受到攻击,则整个检测系统都会瘫痪,以后的入侵行为 都没法被记录。 (3)互动性能低。在大型网络中,网络的不同部分可能使用了多种IDS,甚至还有防火墙、漏 洞扫描等其他类别的安全设备, 这些IDS之间以及IDS和其他安全组件之间交换信息, 共同协 作来发现攻击、作出响应并阻止攻击的能力差。 (4)实时性差。IDS经常被要求来及时地评价事件,但是现有的IDS很难满足这一要求,特别