【文章內(nèi)容簡(jiǎn)介】 硬件產(chǎn)品稱為入侵檢測(cè)系統(tǒng)（Intrusion Detection System），簡(jiǎn)稱IDS。一個(gè)完整的入侵檢測(cè)系統(tǒng)必須具有：經(jīng)濟(jì)性、時(shí)效性、安全性、可擴(kuò)展性的特點(diǎn)。 入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)構(gòu)成CIDF（Common Intrusion Detection Frame,公共入侵檢測(cè)框架）提出了通用模型，將入侵檢測(cè)系統(tǒng)分為四個(gè)基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫(kù)，見下圖。輸出：事件的有關(guān)信息輸出：原始或低級(jí)事件響應(yīng)單元事件分析器事件數(shù)據(jù)庫(kù)事件產(chǎn)生器輸出：高級(jí)中級(jí)事件輸出：反應(yīng)或事件輸入：原始事件源（CIDF）的體系結(jié)構(gòu)（1）事件產(chǎn)生器（Event generators）事件產(chǎn)生器是入侵檢測(cè)系統(tǒng)中負(fù)責(zé)原始數(shù)據(jù)采集的部分，它對(duì)數(shù)據(jù)流、日志文件等進(jìn)行追蹤，然后將收集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，并向系統(tǒng)的其他部分提供此事件。（2）事件分析器（Event analyzers）事件分析器接收事件信息，然后對(duì)它們進(jìn)行分析，判斷是否是入侵行為或異常現(xiàn)象，最后把判斷的結(jié)果轉(zhuǎn)換為警告信息。（3）事件數(shù)據(jù)庫(kù)（Response units ）事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方。（4）響應(yīng)單元（Response units ）響應(yīng)單元根據(jù)警告信息做出反應(yīng)，如切斷連接、改變文本屬性等強(qiáng)烈的反應(yīng)，也可能是簡(jiǎn)單地報(bào)警。它是入侵檢測(cè)系統(tǒng)中的主動(dòng)武器。 入侵檢測(cè)的分類根據(jù)原始數(shù)據(jù)的來源分類：（1）基于主機(jī)（hostbased）的入侵檢測(cè)系統(tǒng)該系統(tǒng)獲取的數(shù)據(jù)來源于運(yùn)行該系統(tǒng)所在的主機(jī)。它通過監(jiān)視和分析主機(jī)的審計(jì)記錄和日志文件來檢測(cè)入侵?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。由于需要在主機(jī)上安裝軟件，針對(duì)不同的系統(tǒng)、不同的版本需安裝不同的主機(jī)引擎，安裝配置較為復(fù)雜，同時(shí)對(duì)系統(tǒng)的運(yùn)行和穩(wěn)定性都會(huì)造成影響。（2）基于網(wǎng)絡(luò)（networkbased）的入侵檢測(cè)系統(tǒng)該系統(tǒng)獲取的數(shù)據(jù)來源是網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包。它通過監(jiān)聽網(wǎng)絡(luò)上的所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上的關(guān)鍵路徑（某一共享網(wǎng)段）。只需把它安裝在網(wǎng)絡(luò)的監(jiān)聽端口上，對(duì)網(wǎng)絡(luò)的運(yùn)行影響較小。（3）混合型入侵檢測(cè)系統(tǒng)毋庸質(zhì)疑，混合型就是既基于主機(jī)又基于網(wǎng)絡(luò)?；谥鳈C(jī)的和基于網(wǎng)絡(luò)的IDS具有互補(bǔ)性，基于網(wǎng)絡(luò)的入侵檢測(cè)能夠客觀地反映網(wǎng)絡(luò)活動(dòng)，特別是能夠監(jiān)視到系統(tǒng)審計(jì)的盲區(qū)；而基于主機(jī)的入侵檢測(cè)能夠更加準(zhǔn)確地監(jiān)視系統(tǒng)中的各種活動(dòng)。由于近些年來，混合式病毒攻擊的活動(dòng)更為猖獗，單一的基于主機(jī)或者單一的基于網(wǎng)絡(luò)的IDS無法抵御混合式攻擊，因此，采用混合型的入侵檢測(cè)系統(tǒng)可以更好的保護(hù)系統(tǒng)。根據(jù)分析方法分類（1）誤用檢測(cè)（特征檢測(cè) signaturebased）誤用檢測(cè)是基于已知的系統(tǒng)缺陷和入侵模式，所以又稱為特征檢測(cè)。誤用檢測(cè)是對(duì)不正常的行為建模，這些不正常的行為是被記錄下來的確認(rèn)的誤用和攻擊。通過對(duì)系統(tǒng)活動(dòng)的分析，發(fā)現(xiàn)與被定義好的攻擊特征相匹配的事件或事件集合。該檢測(cè)方法可以有效地檢測(cè)到已知攻擊，檢測(cè)精度高，誤報(bào)少。但需要不斷更新攻擊的特征庫(kù)，系統(tǒng)靈活性和自適應(yīng)性較差，漏報(bào)較多。商用IDS多采用該種檢測(cè)方法。（2）異常檢測(cè)（anomalybased）異常檢測(cè)是指能根據(jù)異常行為和使用計(jì)算機(jī)資源的情況檢測(cè)出入侵的方法。它試圖用定量的方式描述可以接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。也就是，異常檢測(cè)是對(duì)用戶的正常行為建模，通過正常行為與用戶的行為進(jìn)行比較，如果二者的偏差超過了規(guī)定閾值則認(rèn)為該用戶的行為是異常的。異常檢測(cè)的誤報(bào)較多。目前，大多數(shù)的異常檢測(cè)技術(shù)還處于研究階段，基本沒有用于商業(yè)IDS中。根據(jù)體系結(jié)構(gòu)分類（1）集中式入侵檢測(cè)系統(tǒng)集中式IDS有多個(gè)分布在不同主機(jī)上的審計(jì)程序，僅有一個(gè)中央入侵檢測(cè)服務(wù)器。審計(jì)程序?qū)?dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。隨著服務(wù)器所承載的主機(jī)數(shù)量的增多，中央服務(wù)器進(jìn)行分析處理的數(shù)量就會(huì)猛增，而且一旦服務(wù)器遭受攻擊，整個(gè)系統(tǒng)就會(huì)崩潰。（2）等級(jí)式（部分分布式）入侵檢測(cè)系統(tǒng)等級(jí)式IDS中定義了若干個(gè)等級(jí)的監(jiān)控區(qū)域，每個(gè)IDS負(fù)責(zé)一個(gè)區(qū)域，每一級(jí)IDS只負(fù)責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級(jí)IDS。等級(jí)式IDS也存在一些問題：首先，當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時(shí)，區(qū)域分析結(jié)果的匯總機(jī)制也需要做相應(yīng)的調(diào)整；其次，這種結(jié)構(gòu)的IDS最后還是要將各地收集的結(jié)果傳送到最高級(jí)的檢測(cè)服務(wù)器進(jìn)行全局分析，所以系統(tǒng)的安全性并沒有實(shí)質(zhì)性的改進(jìn)。（3）分布式（協(xié)作式）入侵檢測(cè)系統(tǒng)分布式IDS是將中央檢測(cè)服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)的IDS，這些IDS不分等級(jí)，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動(dòng)。所以，其可伸縮性、安全性都等到了顯著的提高，并且與集中式IDS相比，分布式IDS對(duì)基于網(wǎng)絡(luò)的共享數(shù)據(jù)量的要求較低。但維護(hù)成本卻提高了很多，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷，如通信機(jī)制、審計(jì)開銷、蹤跡分析等。分布式IDS是本文研究一個(gè)重點(diǎn)。根據(jù)時(shí)效性分類（1）脫機(jī)分析：就是在行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析，而不是在行為發(fā)生時(shí)進(jìn)行分析。如對(duì)日志的審核、對(duì)系統(tǒng)文件的完整性檢查等。（2）聯(lián)機(jī)分析：就是在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同時(shí)對(duì)其進(jìn)行檢查，以發(fā)現(xiàn)攻擊行為，這種方式一般用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)分析，并且對(duì)系統(tǒng)資源要求比較高。不同的分類方法體現(xiàn)的是對(duì)入侵檢測(cè)系統(tǒng)不同側(cè)面的理解。入侵檢測(cè)的核心在于對(duì)事件的分析，所以分析分類方法是較重要的。 入侵檢測(cè)方法模式匹配模式匹配是傳統(tǒng)的、最簡(jiǎn)單的入侵檢測(cè)方法。該方法需要建立一個(gè)攻擊特征庫(kù)，檢查接收到的數(shù)據(jù)中是否包含特征庫(kù)中的攻擊特征，從而判斷是否受到攻擊。它的算法簡(jiǎn)單、準(zhǔn)確率高，但是只能檢測(cè)到已知攻擊，對(duì)已知攻擊稍加修改就可以躲過檢測(cè)，漏報(bào)現(xiàn)象嚴(yán)重，模式庫(kù)需要不斷更新。對(duì)于高速大規(guī)模的網(wǎng)絡(luò)來說，由于要分析處理大量的數(shù)據(jù)包，該方法的速度就成為了問題。協(xié)議分析協(xié)議分析是對(duì)模式匹配的智能擴(kuò)展，它利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在。它的提出彌補(bǔ)了模式匹配技術(shù)的一些不足，如計(jì)算量大、探測(cè)準(zhǔn)確率低等。另外，協(xié)議分析還可以探測(cè)碎片攻擊。例如：假設(shè)襲擊執(zhí)行的基礎(chǔ)協(xié)議是虛構(gòu)的BGS協(xié)議，攻擊要求非法變量foo必須傳遞到BGS型字段中。如果BGS協(xié)議允許隔字節(jié)為空，那么模式匹配將無法發(fā)現(xiàn)fx00ox00ox00，相反，協(xié)議分析則能夠跳過空字節(jié)，如期發(fā)出警報(bào)。專家系統(tǒng)專家系統(tǒng)使用基于規(guī)則的語(yǔ)言為已知攻擊建模，它把審計(jì)事件表述成語(yǔ)義的事實(shí)，推理引擎根據(jù)這些規(guī)則和事實(shí)進(jìn)行判定。專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性取決于審計(jì)記錄的完備性和實(shí)時(shí)性。統(tǒng)計(jì)分析統(tǒng)計(jì)分析是通過設(shè)置極限閾值等方法，將檢測(cè)數(shù)據(jù)與已有的正常行為加以比較，如果超出極限值，則認(rèn)為是入侵行為。常用的入侵檢測(cè)統(tǒng)計(jì)分析模型有：操作模型，方差，多元模型，馬爾可夫過程模型，時(shí)間序列分析。數(shù)據(jù)挖掘數(shù)據(jù)挖掘是數(shù)據(jù)庫(kù)中的一項(xiàng)技術(shù)，它的作用是從大型數(shù)據(jù)庫(kù)中抽取知識(shí)。對(duì)于入侵檢測(cè)系統(tǒng)來說，也需要從大量的數(shù)據(jù)中提取出入侵的特征。因此，將數(shù)據(jù)挖掘技術(shù)引入入侵檢測(cè)系統(tǒng)中，通過數(shù)據(jù)挖掘程序處理收集到的審計(jì)數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模式，這是一個(gè)自動(dòng)的過程。數(shù)據(jù)挖掘的關(guān)鍵點(diǎn)在于算法的選取和一個(gè)正確的體系結(jié)構(gòu)的建立。神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)具有自適應(yīng)、自組織和自學(xué)習(xí)的能力，可以處理一些環(huán)境信息復(fù)雜、背景知識(shí)不清楚的問題。將神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用于入侵檢測(cè)系統(tǒng)，以檢測(cè)未知攻擊。來自審計(jì)日志或正常網(wǎng)絡(luò)訪問行為的信息，經(jīng)數(shù)據(jù)信息預(yù)處理模塊的處理后即產(chǎn)生輸入向量。使用神經(jīng)網(wǎng)絡(luò)對(duì)輸入向量進(jìn)行處理，從中提取用戶正常行為的模式特征，并以此創(chuàng)建用戶的行為特征輪廓。這要求系統(tǒng)事先對(duì)大量實(shí)例進(jìn)行訓(xùn)練，具有每一個(gè)用戶行為模式特征的知識(shí)，從而可以找出偏離這些輪廓的用戶行為。模糊系統(tǒng)模糊理論在知識(shí)和規(guī)則獲取中具有重要的作用。人類思維、語(yǔ)言具有模糊性，模糊思維形式和語(yǔ)言表達(dá)具有廣泛性、完美和高效的特征。人們的許多知識(shí)是模糊的，模糊知識(shí)在控制和決策中具有巨大的作用。由于計(jì)算機(jī)網(wǎng)絡(luò)中的正常行為和異常行為難以很好界定，使用模糊邏輯推理方法，入侵檢測(cè)系統(tǒng)的誤報(bào)率則會(huì)降低。免疫系統(tǒng)免疫系統(tǒng)是一個(gè)復(fù)雜的多代理系統(tǒng)。將免疫系統(tǒng)應(yīng)用到入侵檢測(cè)當(dāng)中，本質(zhì)上是設(shè)計(jì)和實(shí)現(xiàn)一個(gè)分布式智能多代理系統(tǒng)。免疫的基本原理是分辨本體（正常）和異體（異常）。在入侵檢測(cè)領(lǐng)域，本體是被監(jiān)控網(wǎng)絡(luò)的正常行為，異體是網(wǎng)絡(luò)的異常行為。遺傳算法遺傳算法是基于自然選擇,生物體通過遺傳、變異來適應(yīng)外界環(huán)境，一代又一代地優(yōu)勝劣汰，發(fā)展進(jìn)化。遺傳則模擬了上述進(jìn)化現(xiàn)象。它把搜索空間映射為遺傳空間，即把每個(gè)可能的解編碼為一個(gè)向量，稱為一個(gè)染色體，向量的每個(gè)元素稱為基因。所有染色體組成群體，并按預(yù)定的目標(biāo)函數(shù)對(duì)每個(gè)染色體進(jìn)行評(píng)價(jià)，根據(jù)結(jié)果給出一個(gè)適應(yīng)度的值。算法開始時(shí)先隨機(jī)地產(chǎn)生一些染色體，計(jì)算其適應(yīng)度，根據(jù)適應(yīng)度對(duì)各染色體進(jìn)行選擇復(fù)制、交叉、變異等遺傳操作，剔除適應(yīng)度低的染色體，留下適應(yīng)度高的染色體，從而得到新的群體。由于新群體的成員是上一代群體的優(yōu)秀者，繼承了上一代的優(yōu)良形態(tài)，因而明顯優(yōu)于上一代。遺傳算法就這樣反復(fù)迭代，向著更優(yōu)解的方向進(jìn)化，直至滿足某種預(yù)定的優(yōu)化指標(biāo)。數(shù)據(jù)融合數(shù)據(jù)融合是針對(duì)一個(gè)系統(tǒng)中使用多個(gè)和（或）多類傳感器這一特定問題展開的一種新的數(shù)據(jù)處理方法，因此數(shù)據(jù)融合又稱多傳感器信息融合或信息融合。多傳感器信息融合的基本原理就像人腦綜合處理信息的過程一樣，它充分利用多個(gè)傳感器資源，通過對(duì)各個(gè)傳感器及其觀測(cè)信息的合理支配和使用，將各種傳感器在空間和時(shí)間上的互補(bǔ)與冗余信息根據(jù)某種優(yōu)化準(zhǔn)則組合起來，產(chǎn)生對(duì)觀測(cè)環(huán)境的一致性解釋和描述。它的最終