【文章內(nèi)容簡介】 計(jì)方法分析數(shù)據(jù) ， 判斷當(dāng)前活動(dòng)是否符合主體的歷史行為特征； （ 4） 隨著時(shí)間推移 ， 學(xué)習(xí)主體的行為特征 ， 更新歷史記錄 。 返回本章首頁 第五章 入侵檢測技術(shù) 4． 非參數(shù)統(tǒng)計(jì)度量 非參數(shù)統(tǒng)計(jì)方法通過使用非數(shù)據(jù)區(qū)分技術(shù) ，尤其是群集分析技術(shù)來分析參數(shù)方法無法考慮的系統(tǒng)度量 。 群集分析的基本思想 是 ， 根據(jù)評估標(biāo)準(zhǔn) （ 也稱為特性 ） 將收集到的大量歷史數(shù)據(jù) （ 一個(gè)樣本集 ） 組織成群 ， 通過預(yù)處理過程 ， 將與具體事件流 （ 經(jīng)常映射為一個(gè)具體用戶 ） 相關(guān)的特性轉(zhuǎn)化為向量表示 ， 再采用群集算法將彼此比較相近的向量成員組織成一個(gè)行為類 ， 這樣使用該分析技術(shù)的實(shí)驗(yàn)結(jié)果將會(huì)表明用何種方式構(gòu)成的群可以可靠地對用戶的行為進(jìn)行分組并識(shí)別 。 返回本章首頁 第五章 入侵檢測技術(shù) 5． 基于規(guī)則的方法 上面討論的異常檢測主要 基于統(tǒng)計(jì) 方法 ， 異常檢測的另一個(gè)變種就是 基于規(guī)則 的方法 。 與統(tǒng)計(jì)方法不同的是基于規(guī)則的檢測使用規(guī)則集來表示和存儲(chǔ)使用模式 。 （ 1） Wisdomamp。Sense方法 （ 2） 基于時(shí)間的引導(dǎo)機(jī) （ TIM） 返回本章首頁 第五章 入侵檢測技術(shù) 其它檢測技術(shù) 這些技術(shù)不能簡單地歸類為誤用檢測或是異常檢測 ， 而是提供了一種有別于傳統(tǒng)入侵檢測視角的技術(shù)層次 ， 例如 免疫系統(tǒng) 、 基因算法 、 數(shù)據(jù)挖掘 、 基于代理 （ Agent） 的檢測 等 ， 它們或者提供了更具普遍意義的分析技術(shù) ， 或者提出了新的檢測系統(tǒng)架構(gòu) ， 因此無論對于誤用檢測還是異常檢測來說 ， 都可以得到很好的應(yīng)用 。 返回本章首頁 第五章 入侵檢測技術(shù) 1． 神經(jīng)網(wǎng)絡(luò) （ Neural Network） 作為 人工智能 （ AI） 的一個(gè)重要分支 ， 神經(jīng)網(wǎng)絡(luò) （ Neural Network） 在入侵檢測領(lǐng)域得到了很好的應(yīng)用 ， 它使用自適應(yīng)學(xué)習(xí)技術(shù)來提取異常行為的特征 ， 需要對訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得出正常的行為模式 。 這種方法要求保證用于學(xué)習(xí)正常模式的訓(xùn)練數(shù)據(jù)的純潔性 ， 即不包含任何入侵或異常的用戶行為 。 返回本章首頁 第五章 入侵檢測技術(shù) 2． 免疫學(xué)方法 New Mexico大學(xué)的 Stephanie Forrest提出了將 生物免疫機(jī)制 引入計(jì)算機(jī)系統(tǒng)的安全保護(hù)框架中 。 免疫系統(tǒng)中最基本也是最重要的能力是識(shí)別 “ 自我 /非自我 ” （ self/nonself） ， 換句話講 ，它能夠識(shí)別哪些組織是屬于正常機(jī)體的 ， 不屬于正常的就認(rèn)為是異常 ， 這個(gè)概念和入侵檢測中異常檢測的概念非常相似 。 返回本章首頁 第五章 入侵檢測技術(shù) 3． 數(shù)據(jù)挖掘方法 Columbia大學(xué)的 Wenke Lee在其博士論文中 ，提出了將 數(shù)據(jù)挖掘 （ Data Mining, DM） 技術(shù)應(yīng)用到入侵檢測中 ， 通過對網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)的分析挖掘 ， 發(fā)現(xiàn)誤用檢測規(guī)則或異常檢測模型 。 具體的工作包括利用數(shù)據(jù)挖掘中的關(guān)聯(lián)算法和序列挖掘算法提取用戶的行為模式 ， 利用分類算法對用戶行為和特權(quán)程序的系統(tǒng)調(diào)用進(jìn)行分類預(yù)測 。 實(shí)驗(yàn)結(jié)果表明 ， 這種方法在入侵檢測領(lǐng)域有很好的應(yīng)用前景 。 返回本章首頁 第五章 入侵檢測技術(shù) 4． 基因算法 基 因 算 法 是 進(jìn) 化 算 法 （ evolutionary algorithms） 的一種 ， 引入了達(dá)爾文在進(jìn)化論中提出的自然選擇的概念 （ 優(yōu)勝劣汰 、 適者生存 ）對系統(tǒng)進(jìn)行優(yōu)化 。 該算法對于處理多維系統(tǒng)的優(yōu)化是非常有效的 。 在基因算法的研究人員看來 ，入侵檢測的過程可以抽象為：為審計(jì)事件記錄定義一種向量表示形式 ， 這種向量或者對應(yīng)于攻擊行為 ， 或者代表正常行為 。 返回本章首頁 第五章 入侵檢測技術(shù) 5． 基于代理的檢測 近 年 來 ， 一 種 基 于 Agent 的 檢 測 技 術(shù)（ AgentBased Detection） 逐漸引起研究者的重視 。 所謂 Agent， 實(shí)際上可以看作是在執(zhí)行某項(xiàng)特定監(jiān)視任務(wù)的軟件實(shí)體 。 基于 Agent的入侵檢測系統(tǒng) 的靈活性保證它可以為保障系統(tǒng)的安全提供混合式的架構(gòu) ， 綜合運(yùn)用誤用檢測和異常檢測 ，從而彌補(bǔ)兩者各自的缺陷 。 返回本章首頁 第五章 入侵檢測技術(shù) 分布式入侵檢測 分布式入侵檢測 （ Distributed Intrusion Detection） 是目前入侵檢測乃至整個(gè)網(wǎng)絡(luò)安全領(lǐng)域的 熱點(diǎn) 之一 。 到目前為止 ， 還沒有嚴(yán)格意義上的分布式入侵檢測的商業(yè)化產(chǎn)品 ， 但研究人員已經(jīng)提出并完成了多個(gè)原型系統(tǒng) 。 通常采用的方法中 ， 一種是對現(xiàn)有的 IDS進(jìn)行規(guī)模上的擴(kuò)展 ，另一種則通過 IDS之間的信息共享來實(shí)現(xiàn) 。 具體的處理方法上也分為兩種：分布式信息收集 、 集中式處理；分布式信息收集 、 分布式處理 。 返回本章首頁 第五章 入侵檢測技術(shù) 分布式入侵檢測的優(yōu)勢 分布式入侵檢測由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式 ， 相對于傳統(tǒng)的單機(jī) IDS具有一些明顯的 優(yōu)勢 ： （ 1） 檢測大范圍的攻擊行為 （ 2） 提高檢測的準(zhǔn)確度 （ 3） 提高檢測效率 （ 4） 協(xié)調(diào)響應(yīng)措施 返回本章首頁 第五章 入侵檢測技術(shù) 分布式入侵檢測的技術(shù)難點(diǎn) 與傳統(tǒng)的單機(jī) IDS相比較 ， 分布式入侵檢測系統(tǒng)具有明顯的優(yōu)勢 。 然而 ， 在實(shí)現(xiàn)分布檢測組件的信息共享和協(xié)作上 ， 卻存在著一些技術(shù)難點(diǎn) 。 Stanford Research Institute（ SRI） 在對EMERALD系統(tǒng)的研究中 ， 列舉了分布式入侵檢測必須關(guān)注的 關(guān)鍵問題 ： 事件產(chǎn)生及存儲(chǔ) 、 狀態(tài)空間管理及規(guī)則復(fù)雜度 、 知識(shí)庫管理 、 推理技術(shù) 。 返回本章首頁 第五章 入侵檢測技術(shù) 分布式入侵檢測現(xiàn)狀 盡管分布式入侵檢測存在技術(shù)和其它層面的難點(diǎn) ， 但由于其相對于傳統(tǒng)的單機(jī) IDS所具有的優(yōu)勢 ， 目前已經(jīng)成為這一領(lǐng)域的研究熱點(diǎn) 。 1． Snort 它通過對傳統(tǒng)的單機(jī) IDS進(jìn)行規(guī)模上的擴(kuò)展 ，使系統(tǒng)具備分布式檢測的能力 ， 是基于模式匹配的分布式入侵檢測系統(tǒng)的一個(gè)具體實(shí)現(xiàn) 。 主要包括 三個(gè)組件 ：網(wǎng)絡(luò)感應(yīng)器 、 代理守護(hù)程序和監(jiān)視控制臺(tái) 。 返回本章首頁 第五章 入侵檢測技術(shù) 2． AgentBased 基于 Agent的 IDS由于其良好的靈活性和擴(kuò)展性 ， 是分布式入侵檢測的一個(gè)重要研究方向 。國外一些研究機(jī)構(gòu)在這方面已經(jīng)做了大量工作 ，其中 Purdue大學(xué)的入侵檢測自治代理 （ AAFID）和 SRI的