【文章內容簡介】 以及對各個探測器產生的事件信息進行相關分析以此來檢測分布式協(xié)同攻擊。當這個中央控制部件由于受到攻擊而癱瘓時，整個NIDS也就隨之失效了。數(shù)據包的重新裝配問題。不同的網絡的最大傳輸單元不同，一些大的網絡包常常被分成小的網絡包來傳遞。當大網絡包被拆分時，其中的攻擊特征有可能被分拆，NIDS在網絡層無法檢測到這些特征，而在上層這些拆分的包又會重新裝配起來，造成破壞。數(shù)據加密問題。隨著VPN,SSH和SSL的應用，數(shù)據加密越來越普遍，傳統(tǒng)的NIDS工作在網絡層，無法分析上層的加密數(shù)據，從而也無法檢測到加密后入侵網絡包。擴展性問題。NIDS通過將網卡設置成混雜模式來被動監(jiān)聽網絡通訊。這就造成了系統(tǒng)的擴展性比較差。例如:當為10M 網絡設計的NIDS應用到IOO M網絡中去時就會造成比較高的丟包率，通常需要改變整個系統(tǒng)的結構才能解決問題。交換式網絡問題。異步傳輸模式網絡以小的、固定長度的包一一信元傳送信息。53字節(jié)定長的信元與以往的包技術相比具有一些優(yōu)點:短的信元可以快速交換、硬件實現(xiàn)容易。但是，交換網絡不能被傳統(tǒng)網絡偵聽器監(jiān)視，從而無法對數(shù)據包進行分析。6. NIDS自身安全性問題。所有NIDS的攻擊檢測都是基于被動協(xié)議分析的。這種機制在根本上有一定的缺陷，易于受到如下三種攻擊：滲透攻擊、欺騙攻擊、拒絕服務攻擊。網絡入侵檢測系統(tǒng)能夠檢測來自網絡的大部分攻擊，但對于來自內部的攻擊如合法用戶濫自身權限的檢測，則主機入侵檢測系統(tǒng)更勝一籌，一個完備的入侵檢測系統(tǒng)應該兩者兼?zhèn)洹Ｒ虼爽F(xiàn)代入侵檢測系統(tǒng)多是這兩種系統(tǒng)的融合一分布式入侵檢測系統(tǒng)，它能夠同時分析來自主機系統(tǒng)審計日志和網絡數(shù)據流的入侵檢測系統(tǒng)，系統(tǒng)由多個部件組成，采用分布式結構。根據使用的分析方法不同，入侵檢測可以分為兩大類:異常檢測(anomaly detection)和誤用檢測(misuse detection)。異常檢測提取正常模式下審計數(shù)據的數(shù)學特征，檢查事件數(shù)據中是否存在與之相違背的異常模式。誤用檢測搜索審計事件數(shù)據，查看其中是否存在預先定義好的誤用模式。為了提高準確性，入侵檢測又引入了數(shù)據挖掘、人工智能、遺傳算法等技術。但是，入侵檢測技術還沒有達到盡善盡美的程度，該領域的許多問題還有待解決。異常檢測又稱為基于行為的檢測，它基于這樣的原理，即認為入侵是系統(tǒng)中的異常行為。它沒有各種入侵的相關知識，但是有被檢測系統(tǒng)、用戶乃至應用程序正常行為的知識。它為統(tǒng)和用戶建立正常的使用模式，這些模式通常使用一組系統(tǒng)的度量來定義。所謂度量，是指統(tǒng)和用戶行為在特定方面的衡量標準如CPU的占用時間，文件是否被使用。如果系統(tǒng)和用戶的行為超出了正常范圍，就認為發(fā)生了入侵。異常檢測的一個很大的優(yōu)點是不需要保存各種攻擊特征的數(shù)據庫，隨著統(tǒng)計數(shù)據的增加，檢測的準確性會越來越高，可能還會檢測到一些未知的攻擊。但由于用戶的行為有很大的不確定性，很難對其行為確定正常范圍，因此門限值的確定也比較困難，出錯的概率比較大時，它只能說明系統(tǒng)發(fā)生了異常的情況，并不能指出系統(tǒng)遭受了什么樣的攻擊，這給系統(tǒng)管理員采取應對措施帶來了一定困難。異常檢測中常用的方法有:量化分析、統(tǒng)計分析和神經網絡。量化分析量化分析是異常檢測中使用最為廣泛的方案，其特點是使用數(shù)字來定義檢測規(guī)則和系統(tǒng)屬性。量化分析通常涉及到一系列的計算過程，包括從簡單的計數(shù)到復雜的加密運算，計算的結果可以作為異常檢測統(tǒng)計模型的數(shù)據基礎。常用的量化分析方法有門限檢測、啟發(fā)式門限檢測和目標完整性檢查。門限檢測的基本思想是使用計數(shù)器來描述系統(tǒng)和用戶行為的某些屬性，并設定可以接受的數(shù)值范圍，一旦在檢測過程中發(fā)現(xiàn)系統(tǒng)的實際屬性超出了設定的門限值，就認為系統(tǒng)出現(xiàn)了異常。門限檢測最經典的例子是操作系統(tǒng)設定的允許登錄失敗的最大次數(shù)。其他可以設置門限的系統(tǒng)屬性還有:特定類型的網絡連接數(shù)、試圖訪問文件的次數(shù)、訪問文件或目錄的個數(shù)及所訪問網絡系統(tǒng)的個數(shù)等。啟發(fā)式門限檢測是對門限檢測的改進，對于包含大量用戶和目標環(huán)境的系統(tǒng)來說，可以大幅度地提高檢測的準確性。舉例來說，傳統(tǒng)的門限設檢測規(guī)則是:一個小時內，如果登錄失敗的次數(shù)大于3次，就認為出現(xiàn)異常:而啟發(fā)式門限檢測將這個規(guī)則定義為:登錄失敗的次數(shù)大于一個異常數(shù)，就會發(fā)出警報。目標完整性檢查是對系統(tǒng)中的某些關鍵對象，檢查其是否受到無意或惡意的更改。通常是使用消息摘要函數(shù)計算系統(tǒng)對象的密碼校驗值，并將計算得到的值存放在安全的區(qū)域。系統(tǒng)定時地計算校驗值，并與預先存儲值比較，如果發(fā)現(xiàn)偏差，就發(fā)出警報信息。統(tǒng)計分析統(tǒng)計分析是異常檢測最早和常用的技術，它是利用統(tǒng)計理論提取用戶或系統(tǒng)正常行為的特征輪廓。統(tǒng)計性特征輪廓通常由主體特征變量的頻度、均值、方差、被監(jiān)控行為的屬性變量的統(tǒng)計概率分布以及偏差等統(tǒng)計量來描述。典型的系統(tǒng)主體特征有:系統(tǒng)的登錄與注銷時間、資源被占用的時間以及處理機、內存和外設的使用情況等。至于統(tǒng)計的抽樣周期可以從短到幾分鐘到長達幾個月甚至更長。基于統(tǒng)計性特征輪廓的異常檢測器，通過對系統(tǒng)審計中的數(shù)據進行統(tǒng)計處理，并與描述主體行為的統(tǒng)計性特征輪廓進行比較，然后根據二者的偏差是否超過指定的門限來進一步判斷、處理。神經網絡神經網絡是人工智能里的一項技術，它是由大量并行的分布式處理單元組成。每個單元都能存儲一定的“知識”，單元之間通過帶有權值的連接進行交互。神經網絡所包含的知識體現(xiàn)在網絡結構當中，學習過程也就表現(xiàn)為權值的改變和連接的增加或刪除。利用神經網絡檢測入侵包括兩個階段。首先是學習階段，這個階段使用代表用戶行為的歷史數(shù)據進行訓練，完成神經網絡的構建和組裝。接著便進入入侵分析階段，網絡接收輸入的事件數(shù)據，與參考的歷史行為比較，判斷出兩者的相似度或偏離度。神經網絡使用以下方法來標識異常的事件:改變單元的狀態(tài)、改變連接的權值、添加或刪除連接。同時也具有對所定義的正常模式進行逐步修正的功能。神經網絡有這樣一些優(yōu)點: 大量的并行分布式結構、有自學習能力，能從周圍的環(huán)境中不斷學習新的知識并且能根據輸入產生合理的輸出。神經網絡上述優(yōu)點使其能處理復雜的問題，例如對用戶或系統(tǒng)行為的學習和分析，這些都符合入侵檢測系統(tǒng)不斷面臨新的情況和新的入侵的現(xiàn)況。但目前神經網絡技術尚不十分成熟，所以還沒完善的產品。誤用檢測又稱為基于知識的檢測或特征檢測，它的基本原理是運用己知攻擊方法，根據己定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。因為有很大一部分的入侵是利用了系統(tǒng)的脆弱性，所以通過分析入侵過程的特征、條件、排列以及事件間的關系就能具體描述入侵行為的模式。這種方法由于依據具體特征庫進行判斷，所以檢測準確度很高，并且因為檢測結果有明確的參照，也為系統(tǒng)管理員做出相應措施提供了方便。主要缺陷在于對具體系統(tǒng)的依賴性太強，不但系統(tǒng)移植性不好，維護工作量大，而且將具體入侵手段抽象成知識也很困難。另外，檢測范圍受已知知識的局限，尤其是難以檢測出內部人員的入侵行為，如合法用戶的泄漏，因為這類入侵行為并沒有利用系統(tǒng)脆弱性。誤用檢測主要有以下主要方法:模式匹配模式匹配是最為通用的誤用檢測技術，其特點是原理簡單、擴展基于移動Agent技術的IDS研究性好、檢測效率高、能做到實時的檢測，其缺點是只能適用于比較簡單的攻擊方式，且誤報率高。但由于采用誤用檢測技術的IDS在系統(tǒng)的實現(xiàn)、配置和維護方面都非常方便，因此得到了廣泛的應用，如著名的開放源碼的Snort就采用了這種檢測手段。專家系統(tǒng)專家系統(tǒng)是最早的誤用檢測方法之一，被許多經典的檢測模型所采用，如IDES, NIDES, DIDS和CMDS等。它首先使用類似于ifthen的規(guī)則格式輸入已有的知識，然后輸入檢測數(shù)據，系統(tǒng)根據知識庫中的內容對檢測數(shù)據進行評估，判斷是否存在入侵行為模式。專家系統(tǒng)的優(yōu)點在于把系統(tǒng)的推理控制過程和問題最終解答相分離，即用戶不