【文章內容簡介】 硬件產品稱為入侵檢測系統(tǒng)（Intrusion Detection System），簡稱IDS。一個完整的入侵檢測系統(tǒng)必須具有：經濟性、時效性、安全性、可擴展性的特點。 入侵檢測系統(tǒng)的基本結構構成CIDF（Common Intrusion Detection Frame,公共入侵檢測框架）提出了通用模型，將入侵檢測系統(tǒng)分為四個基本組件：事件產生器、事件分析器、響應單元和事件數(shù)據(jù)庫，見下圖。輸出：事件的有關信息輸出：原始或低級事件響應單元事件分析器事件數(shù)據(jù)庫事件產生器輸出：高級中級事件輸出：反應或事件輸入：原始事件源（CIDF）的體系結構（1）事件產生器（Event generators）事件產生器是入侵檢測系統(tǒng)中負責原始數(shù)據(jù)采集的部分，它對數(shù)據(jù)流、日志文件等進行追蹤，然后將收集到的原始數(shù)據(jù)轉換為事件，并向系統(tǒng)的其他部分提供此事件。（2）事件分析器（Event analyzers）事件分析器接收事件信息，然后對它們進行分析，判斷是否是入侵行為或異?，F(xiàn)象，最后把判斷的結果轉換為警告信息。（3）事件數(shù)據(jù)庫（Response units ）事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方。（4）響應單元（Response units ）響應單元根據(jù)警告信息做出反應，如切斷連接、改變文本屬性等強烈的反應，也可能是簡單地報警。它是入侵檢測系統(tǒng)中的主動武器。 入侵檢測的分類根據(jù)原始數(shù)據(jù)的來源分類：（1）基于主機（hostbased）的入侵檢測系統(tǒng)該系統(tǒng)獲取的數(shù)據(jù)來源于運行該系統(tǒng)所在的主機。它通過監(jiān)視和分析主機的審計記錄和日志文件來檢測入侵?；谥鳈C的入侵檢測系統(tǒng)主要用于保護運行關鍵應用的服務器。由于需要在主機上安裝軟件，針對不同的系統(tǒng)、不同的版本需安裝不同的主機引擎，安裝配置較為復雜，同時對系統(tǒng)的運行和穩(wěn)定性都會造成影響。（2）基于網絡（networkbased）的入侵檢測系統(tǒng)該系統(tǒng)獲取的數(shù)據(jù)來源是網絡上傳輸?shù)臄?shù)據(jù)包。它通過監(jiān)聽網絡上的所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。基于網絡的入侵檢測系統(tǒng)主要用于實時監(jiān)控網絡上的關鍵路徑（某一共享網段）。只需把它安裝在網絡的監(jiān)聽端口上，對網絡的運行影響較小。（3）混合型入侵檢測系統(tǒng)毋庸質疑，混合型就是既基于主機又基于網絡?；谥鳈C的和基于網絡的IDS具有互補性，基于網絡的入侵檢測能夠客觀地反映網絡活動，特別是能夠監(jiān)視到系統(tǒng)審計的盲區(qū)；而基于主機的入侵檢測能夠更加準確地監(jiān)視系統(tǒng)中的各種活動。由于近些年來，混合式病毒攻擊的活動更為猖獗，單一的基于主機或者單一的基于網絡的IDS無法抵御混合式攻擊，因此，采用混合型的入侵檢測系統(tǒng)可以更好的保護系統(tǒng)。根據(jù)分析方法分類（1）誤用檢測（特征檢測 signaturebased）誤用檢測是基于已知的系統(tǒng)缺陷和入侵模式，所以又稱為特征檢測。誤用檢測是對不正常的行為建模，這些不正常的行為是被記錄下來的確認的誤用和攻擊。通過對系統(tǒng)活動的分析，發(fā)現(xiàn)與被定義好的攻擊特征相匹配的事件或事件集合。該檢測方法可以有效地檢測到已知攻擊，檢測精度高，誤報少。但需要不斷更新攻擊的特征庫，系統(tǒng)靈活性和自適應性較差，漏報較多。商用IDS多采用該種檢測方法。（2）異常檢測（anomalybased）異常檢測是指能根據(jù)異常行為和使用計算機資源的情況檢測出入侵的方法。它試圖用定量的方式描述可以接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。也就是，異常檢測是對用戶的正常行為建模，通過正常行為與用戶的行為進行比較，如果二者的偏差超過了規(guī)定閾值則認為該用戶的行為是異常的。異常檢測的誤報較多。目前，大多數(shù)的異常檢測技術還處于研究階段，基本沒有用于商業(yè)IDS中。根據(jù)體系結構分類（1）集中式入侵檢測系統(tǒng)集中式IDS有多個分布在不同主機上的審計程序，僅有一個中央入侵檢測服務器。審計程序將當?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務器進行分析處理。隨著服務器所承載的主機數(shù)量的增多，中央服務器進行分析處理的數(shù)量就會猛增，而且一旦服務器遭受攻擊，整個系統(tǒng)就會崩潰。（2）等級式（部分分布式）入侵檢測系統(tǒng)等級式IDS中定義了若干個等級的監(jiān)控區(qū)域，每個IDS負責一個區(qū)域，每一級IDS只負責所監(jiān)控區(qū)的分析，然后將當?shù)氐姆治鼋Y果傳送給上一級IDS。等級式IDS也存在一些問題：首先，當網絡拓撲結構改變時，區(qū)域分析結果的匯總機制也需要做相應的調整；其次，這種結構的IDS最后還是要將各地收集的結果傳送到最高級的檢測服務器進行全局分析，所以系統(tǒng)的安全性并沒有實質性的改進。（3）分布式（協(xié)作式）入侵檢測系統(tǒng)分布式IDS是將中央檢測服務器的任務分配給多個基于主機的IDS，這些IDS不分等級，各司其職，負責監(jiān)控當?shù)刂鳈C的某些活動。所以，其可伸縮性、安全性都等到了顯著的提高，并且與集中式IDS相比，分布式IDS對基于網絡的共享數(shù)據(jù)量的要求較低。但維護成本卻提高了很多，并且增加了所監(jiān)控主機的工作負荷，如通信機制、審計開銷、蹤跡分析等。分布式IDS是本文研究一個重點。根據(jù)時效性分類（1）脫機分析：就是在行為發(fā)生后，對產生的數(shù)據(jù)進行分析，而不是在行為發(fā)生時進行分析。如對日志的審核、對系統(tǒng)文件的完整性檢查等。（2）聯(lián)機分析：就是在數(shù)據(jù)產生或者發(fā)生改變的同時對其進行檢查，以發(fā)現(xiàn)攻擊行為，這種方式一般用于對網絡數(shù)據(jù)的實時分析，并且對系統(tǒng)資源要求比較高。不同的分類方法體現(xiàn)的是對入侵檢測系統(tǒng)不同側面的理解。入侵檢測的核心在于對事件的分析，所以分析分類方法是較重要的。 入侵檢測方法模式匹配模式匹配是傳統(tǒng)的、最簡單的入侵檢測方法。該方法需要建立一個攻擊特征庫，檢查接收到的數(shù)據(jù)中是否包含特征庫中的攻擊特征，從而判斷是否受到攻擊。它的算法簡單、準確率高，但是只能檢測到已知攻擊，對已知攻擊稍加修改就可以躲過檢測，漏報現(xiàn)象嚴重，模式庫需要不斷更新。對于高速大規(guī)模的網絡來說，由于要分析處理大量的數(shù)據(jù)包，該方法的速度就成為了問題。協(xié)議分析協(xié)議分析是對模式匹配的智能擴展，它利用網絡協(xié)議的高度規(guī)則性快速探測攻擊的存在。它的提出彌補了模式匹配技術的一些不足，如計算量大、探測準確率低等。另外，協(xié)議分析還可以探測碎片攻擊。例如：假設襲擊執(zhí)行的基礎協(xié)議是虛構的BGS協(xié)議，攻擊要求非法變量foo必須傳遞到BGS型字段中。如果BGS協(xié)議允許隔字節(jié)為空，那么模式匹配將無法發(fā)現(xiàn)fx00ox00ox00，相反，協(xié)議分析則能夠跳過空字節(jié)，如期發(fā)出警報。專家系統(tǒng)專家系統(tǒng)使用基于規(guī)則的語言為已知攻擊建模，它把審計事件表述成語義的事實，推理引擎根據(jù)這些規(guī)則和事實進行判定。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性取決于審計記錄的完備性和實時性。統(tǒng)計分析統(tǒng)計分析是通過設置極限閾值等方法，將檢測數(shù)據(jù)與已有的正常行為加以比較，如果超出極限值，則認為是入侵行為。常用的入侵檢測統(tǒng)計分析模型有：操作模型，方差，多元模型，馬爾可夫過程模型，時間序列分析。數(shù)據(jù)挖掘數(shù)據(jù)挖掘是數(shù)據(jù)庫中的一項技術，它的作用是從大型數(shù)據(jù)庫中抽取知識。對于入侵檢測系統(tǒng)來說，也需要從大量的數(shù)據(jù)中提取出入侵的特征。因此，將數(shù)據(jù)挖掘技術引入入侵檢測系統(tǒng)中，通過數(shù)據(jù)挖掘程序處理收集到的審計數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模式，這是一個自動的過程。數(shù)據(jù)挖掘的關鍵點在于算法的選取和一個正確的體系結構的建立。神經網絡神經網絡具有自適應、自組織和自學習的能力，可以處理一些環(huán)境信息復雜、背景知識不清楚的問題。將神經網絡技術應用于入侵檢測系統(tǒng)，以檢測未知攻擊。來自審計日志或正常網絡訪問行為的信息，經數(shù)據(jù)信息預處理模塊的處理后即產生輸入向量。使用神經網絡對輸入向量進行處理，從中提取用戶正常行為的模式特征，并以此創(chuàng)建用戶的行為特征輪廓。這要求系統(tǒng)事先對大量實例進行訓練，具有每一個用戶行為模式特征的知識，從而可以找出偏離這些輪廓的用戶行為。模糊系統(tǒng)模糊理論在知識和規(guī)則獲取中具有重要的作用。人類思維、語言具有模糊性，模糊思維形式和語言表達具有廣泛性、完美和高效的特征。人們的許多知識是模糊的，模糊知識在控制和決策中具有巨大的作用。由于計算機網絡中的正常行為和異常行為難以很好界定，使用模糊邏輯推理方法，入侵檢測系統(tǒng)的誤報率則會降低。免疫系統(tǒng)免疫系統(tǒng)是一個復雜的多代理系統(tǒng)。將免疫系統(tǒng)應用到入侵檢測當中，本質上是設計和實現(xiàn)一個分布式智能多代理系統(tǒng)。免疫的基本原理是分辨本體（正常）和異體（異常）。在入侵檢測領域，本體是被監(jiān)控網絡的正常行為，異體是網絡的異常行為。遺傳算法遺傳算法是基于自然選擇,生物體通過遺傳、變異來適應外界環(huán)境，一代又一代地優(yōu)勝劣汰，發(fā)展進化。遺傳則模擬了上述進化現(xiàn)象。它把搜索空間映射為遺傳空間，即把每個可能的解編碼為一個向量，稱為一個染色體，向量的每個元素稱為基因。所有染色體組成群體，并按預定的目標函數(shù)對每個染色體進行評價，根據(jù)結果給出一個適應度的值。算法開始時先隨機地產生一些染色體，計算其適應度，根據(jù)適應度對各染色體進行選擇復制、交叉、變異等遺傳操作，剔除適應度低的染色體，留下適應度高的染色體，從而得到新的群體。由于新群體的成員是上一代群體的優(yōu)秀者，繼承了上一代的優(yōu)良形態(tài)，因而明顯優(yōu)于上一代。遺傳算法就這樣反復迭代，向著更優(yōu)解的方向進化，直至滿足某種預定的優(yōu)化指標。數(shù)據(jù)融合數(shù)據(jù)融合是針對一個系統(tǒng)中使用多個和（或）多類傳感器這一特定問題展開的一種新的數(shù)據(jù)處理方法，因此數(shù)據(jù)融合又稱多傳感器信息融合或信息融合。多傳感器信息融合的基本原理就像人腦綜合處理信息的過程一樣，它充分利用多個傳感器資源，通過對各個傳感器及其觀測信息的合理支配和使用，將各種傳感器在空間和時間上的互補與冗余信息根據(jù)某種優(yōu)化準則組合起來，產生對觀測環(huán)境的一致性解釋和描述。它的最終