【導讀】全隱患傳播到整個網絡。正是由于網絡的普及率越來越高，一旦發(fā)生有目的、大規(guī)模的網絡入侵行為，其造成的影響就越惡劣。做為保護網絡安全手段之一。的入侵檢測技術，一直被廣大國內外學者所關注。由于網絡規(guī)模的不斷擴大，本文以提高入侵檢測技術的檢測正確率，降低誤警率和漏警率以及提高。入侵檢測技術分為異常檢測和誤用檢測兩大類。規(guī)模多模式匹配。再次，論文針對異常檢測技術存在計算量大、訓練時間長、該檢測方法解決了異常檢測中大量訓練樣本集獲取困難的問題。擬合，通過分析向用戶發(fā)布告警入侵行為。該模型具有數(shù)據處理效率高，誤報。率低，協(xié)作性好，自學習能力強，安全性高等特點。論文最后對所作的研究工作進行了總結，并指出了今后的研究方向。

　　

【正文】 者一段時間內的統(tǒng)計得到。每一個活動特征保存記錄主體當前行為，并定時地將當前的活動特征與存儲的活動特征合并。通過比較當前的活動特征與己存儲的活動特征來判斷異常行為，從而檢測出入侵活動。 令 12, , , NS S S 表示指標 12, , , NM M M 的閥值，從某段時間的審計記錄中提取當前特征表 12( , , , )NT T T 。如果 iT 比 iS 大，則表示 i 指標的取值偏離較大，系統(tǒng)行 為可 能異 常。另 外， 也可 以使用 各指 標閥 值的 帶權平 方和2 2 21 1 2 2 nna S a S a S? ? ?( 0ia? ，其中 ia 為 iS 的權值 )作為比較標準。 統(tǒng)計異常檢測方法的有利之處是 所應用的技術方法在統(tǒng)計學得到很好的研究。例如位于標準方差兩側的數(shù)據可認為是異常的。統(tǒng)計入侵檢測系統(tǒng)有以下幾點不利 ： 1)統(tǒng)計測量對事件的發(fā)生的次序不敏感，單純的統(tǒng)計入侵檢測系統(tǒng)可能不會發(fā)覺事件當中相互依次相連的入侵行為； 2)單純的統(tǒng)計入侵檢測系統(tǒng)將逐漸地訓練成單一點，要么行為是異常的，要么是正常的。如果入侵者知道自己的入侵行為被這樣的異常檢測器監(jiān)視，那么他就可以誘導這個系統(tǒng)，使得那些大部分依靠行為統(tǒng)計測量的入侵檢測系統(tǒng)方法對監(jiān)視的特定的事件模式失效； 3)難以確定異常閥值，閥值設置偏低或高均會導致誤警事件 。 第二 章 入侵檢測技術研究綜述 18 基于貝葉斯推理的檢測技術 利用貝葉斯推理進行入侵檢測是一種基于概率統(tǒng)計理論的檢測技術。該方法通過計算在任意給定的時刻，系統(tǒng)或網絡中的各種與判斷攻擊行為相關的特征的值來推斷系統(tǒng)是否遭到入侵。設第 i 個特征為 iA 值表示正常， 1 值表示異常。 I 表示系統(tǒng)受到攻擊， I? 表示系統(tǒng)未受到攻擊。則由條件概率公式得： 1 2 1 2 12 ()( | , , , ) ( , , , | ) ( , , , )NN NPIP I A A A P A A A I P A A A? () 在假設每個特征 A； 僅與 I 相關，而與其他特征無關的情況下，則有 12 1( , , , | ) ( | )NNiiP A A A I P A I?? ? () 12 1( , , , | ) ( | )NNiiP A A A I P A I?? ? ?? () 從而可以推得 1 2 1121( ) ( | )( | , , , )( | , , , ) ( ) ( | )NiNiNN iiP I P A IP I A A AP I A A A P I P A I???????? () 根據入侵發(fā)生的先驗概率以及入侵發(fā)生和不發(fā)生時各種特征出現(xiàn)的概率，就可以計算出入侵發(fā)生的概率。 基于貝葉斯推理的入侵檢測技術能夠巧妙地將問題轉換為相對容易獲得的概率間的計算 。該方法的缺點是先驗知識的準確性對檢測性能影響很大，表達入侵的特征選取對性能影響也非常明顯。同時在實際環(huán)境中，各個特征之間是相互影響的，因此為了檢測的準確性，必須要考慮到特征之間的相關性。 基于神經網絡的檢測技術 神經網絡 (Neural Network NN)是由大量的處理單元 (神經元 )互相連接而成的網絡。神經網絡的信息通過神經元的相互作用來實現(xiàn)，知識與信息的存儲表第二 章 入侵檢測技術研究綜述 19 現(xiàn)為網絡元件 互連 分布式的物理聯(lián)系。神經網絡的學習和識別取決于各神經元連接權系數(shù)的動態(tài)演化過程。 基于神經網絡的入侵檢測技術的研究主 要集中在入侵特征的選擇以及檢測模型的建立上。如付小青等提出的利用自組織映射 (SelfOrganizing Map， SOM)網絡中相似模式激活神經元的物理位置臨近的特點，根據輸入模式的類型對激活神經元劃分，并將待檢測數(shù)據的基本特征與推導特征結合，對待檢測數(shù)據進行分類。 等人利用多層感知機和多層后向傳播神經網絡建立入侵檢測模型，也取得了不錯的實驗效果。 基于神經網絡的入侵檢測技術實現(xiàn)簡單，能夠處理噪聲數(shù)據。然而也存在一些問題，比如通常神經網絡的訓練時間長，容易陷入局部極小點，同時神經網絡不能為建立的 檢測模型提供合理的解釋或說明信息。 基于遺傳算法的檢測技術 遺傳算法 (Geic Algorithm GA ) 是一種模擬生物進化機制的搜索優(yōu)化算法。根據大自然適者生存的原理，它模擬自然界中生命個體的繁殖、交配和突變現(xiàn)象。從初始種群出發(fā)，通過隨機選擇、交叉和變異操作，產生新的更適應環(huán)境的個體，從而使群體進化到搜索空間中越來越好的區(qū)域，最后收斂到群最適應環(huán)境的個體卜，求得問題的最優(yōu)解。 將遺傳算法應用于入侵檢測，主要是將遺傳算法用于攻擊規(guī)則的生成和入侵特征的提取。采用遺傳進化操作啟發(fā)式地搜索 網絡特征數(shù)據空間，通過遺傳算子進行遺傳操作，產生出具有高適應度的個體，從而自動歸納出某種入侵的共同屬性。將系統(tǒng)各屬性表示為特征向量，從而將系統(tǒng)正常狀態(tài)分布在 n 維空間中，并使用遺傳算法檢測規(guī)則集覆蓋的異?？臻g，從而建立異常檢測模型。法國理工大學 Ludovie Me 開發(fā)的 GASSATA (Geic Algoritlun for Security Audit Trails Analysis)也是使用遺傳算法對安全審計跡進行分析的入侵檢測系統(tǒng)。 基于遺傳算法的入侵檢測技術的問題在于 ： 交叉、變異和選擇算子的設計目前主要依靠經驗和實驗的方法選取，若選擇不合理，則會產生過早收斂的問題。同時適應度函數(shù)的選擇也會對算法性能產生重要影響。算法最終能否收斂到最優(yōu) 解也是值得考慮的問題。 第二 章 入侵檢測技術研究綜述 20 基于數(shù)據挖掘的檢測技術 基于數(shù)據挖掘的檢測技術利用數(shù)據挖掘的關聯(lián)分析、序列模式分析、分類分析等算法提取入侵特征，從而達到識別入侵的目的。關聯(lián)分析所提取的關聯(lián)規(guī)則是形如 XY? 的一種數(shù)據隱含規(guī)則，一般可以用置信度、支持度、期望置信度和作用度四個參數(shù)來描述個關聯(lián)規(guī)則的屬性。序列分析則是用來 發(fā)現(xiàn)數(shù)據記錄間相關性的方法，可以用來分析不同入侵特征之間的相關性。分類分析則是提取數(shù)據庫中數(shù)據項的特征屬性并生成分類模型的方法，可以用來提取入侵特征，在此基礎上建立檢測模型實現(xiàn)入侵檢測。 典型的基于數(shù)據挖掘的入侵檢測系統(tǒng)是哥倫比亞 (Columbia)大學的 Lee 研究小組提出的 MADAMID ( Mining Audit Data for Automated Models for Intrusion Detection )框架但是這種技術需要大量的審計數(shù)據，學習過程較慢。同時，對末知攻擊的檢測也不夠理想。 基于人工免疫的檢測技術 免疫學是生命科學的一個重要組成部分，是研究機體自我識別和對抗原性異物排斥反應的一門新興學科。生物免疫學與計算機科學的交叉滲透非常有益，通過研究和借鑒生物免疫系統(tǒng)的運行機制有助于設計更安全的計算機系統(tǒng)。因此將人工免疫的原理引入入侵檢測系統(tǒng)的設計是一個值得關注的發(fā)展方間。 基于人工免疫的檢測技術通過結合生物免疫系統(tǒng)的思想，模擬生物免疫學中的基因庫更新、否定選擇和克隆選擇等抗體生成過程建立入侵檢測分類模型，將正常和異常的網絡行為區(qū)分為自我和非我，從而達到判別入侵的目的。代一表性 的研究小組包括新墨西哥 (New Mexico)大學的 Forrest小組和 Memphis 大學的 Dasgupta 小組，這種檢測技術具有極大的潛力，但是仍然需要完善基于人工免疫的模型，同時要找到合適的否定選擇算法和克隆選擇算法。 基于支持向量機的檢測技術 支持向量機 (Support Vector Machine， SVM)是一種建立在統(tǒng)計學習理論( Statistical Learning Theory， SLT)基礎上的學習方法。它基于 Vapnik 結構風險最小化原則，克服了傳統(tǒng)的基于經驗風險最小化學習 方法的缺陷，能夠提高學習機的泛化能力。支持向量機的基本思想是首先通過某種非線性映射將輸入空間變換到一個高維空間，然后在這個高維空間中構造最優(yōu)分類面。 第二 章 入侵檢測技術研究綜述 21 利用支持向量機建立入侵檢測模型己經取得了一系列的進展。如繞鮮等提出了基于支持向量機的入侵檢測模型，并以系統(tǒng)調用執(zhí)行跡為例，討論了建立檢測模型的過程。 等提出了基于無監(jiān)督機器學習法的檢測技術，采用一類支持向量機 (OneClass SVM)利用未標記訓練數(shù)據建立入侵檢測模型。 . Sun 等利用支持向量機和神經網絡做了入侵檢測特征屬性對分類準確率影 響的排序和精選工作。 基于支持向量機的入侵檢測技術的不足之處在于，對分類正確率產生重要影響的核函數(shù)及其參數(shù)的選擇目前只能根據經驗，同時支持向量機只能處理一二分類問題，如果要進行多分類檢測，區(qū)分不同的攻擊類型，需要對二分類支持向量機進行擴展。 入侵檢測系統(tǒng)結構 分析 隨著網絡系統(tǒng)結構復雜化和規(guī)模的日益增大，入侵檢測面臨著許多新的問題 ： (1)系統(tǒng)的弱點或漏洞分散在網絡中各個主機上，這些弱點有可能被入侵者一起用來攻擊網絡，而依靠唯一的主機或網絡 IDS 不能發(fā)現(xiàn)入侵行為 ； (2)入侵行為不再是單一的行為，而是表 現(xiàn)出相互協(xié)作入侵特點。如分布式拒絕服務攻擊 (DDOS) 和 Mitnick 入侵檢測所依靠的數(shù)據來源分散化，收集原始的檢測數(shù)據變得困難，如交換型網絡使得監(jiān)聽網絡數(shù)據包受到限制 ； (4)網絡規(guī)模越來越大，網絡速度傳輸加快，網絡的流量大，集中處理原始的數(shù)據方式往往造成檢測瓶頸，從而導致漏警。 分布式入侵檢測系統(tǒng)因此應運而生。分布式入侵檢測系統(tǒng)的體系結構可分為 3 類 ： 集中式 、等級式 和 分布 式。 集中式 IDS 集中式協(xié)同檢測僅僅將其數(shù)據收集組件分布到網絡中，而數(shù)據處理任務仍然由一個或固定的幾個組件承擔。這樣的系 統(tǒng)實質上不能稱之為真正的分布式入侵檢測系統(tǒng)。在分布式入侵檢測系統(tǒng)中，不僅數(shù)據收集組件是分布的，數(shù)據處理組件數(shù)量 也應與網絡中被檢測主機的數(shù)量成正比。 如圖： 第二 章 入侵檢測技術研究綜述 22 圖 1 集中式 IDS 結構示意圖 DIDS 是典型的這類系統(tǒng)。 DIDS 由主機代理 (Host Agent)， LAN 代理 (LAN Agent)和管理器 (DIDS Director)三大部分組成。主機代理負責檢測某臺主機的安全，依據搜集到這臺主機活動的信息產生主機安全事件，并將這些安全事件傳送到管理器。同樣， LAN 代理 檢測局域網的安全，依據搜集到的網絡數(shù)據包信息產生局域網安全事件，也把這些局域網安全事件傳給管理器。管理器根據安全專家知識、主機安全事件和網絡安全事件進行入侵檢測推理分析，最后得出整個網絡的安全狀態(tài)結論。主機代理并不是安裝在 LAN 中所有的主機上，而是按照特定的安全需求做出決定。管理器還提供了 DIDS 與安全管理人員的用戶接口。 集中式協(xié)同檢測系統(tǒng)具有明顯的缺陷 ： (1)數(shù)據處理組件是集中式協(xié)同檢測系統(tǒng)中最為重要的組件，一旦失效，那么整個入侵檢測系統(tǒng)也隨之癱瘓。攻擊者可能針對這一點，對系統(tǒng)中的數(shù)據處理組件發(fā)動攻擊 ，形成這類系統(tǒng)典型的單點失效問題。 (2)數(shù)據處理組件需要處理眾多數(shù)據收集組件發(fā)送來的數(shù)據，因此要求有高性能的處理能力和很高的網絡吞吐能力。 等級式 IDS 顧名思義，等級式就是以層次化結構部署數(shù)據處理組件。數(shù)據處理組件劃分為多個級別，低沉組件從數(shù)據收集組件獲得原始數(shù)據，經過提煉、精減后提交給更高層的數(shù)據處理組件。 AAFID、 EMERALD 和 SHOMAR 是層次化系統(tǒng)第二 章 入侵檢測技術研究綜述 23 檢測的例子。如圖： 圖 2 等級式 IDS 結構示意圖 AAFID 結構中有三個部件 ： 代理 (agents)、收發(fā)器 (transceivers)和監(jiān)控器 (monitors)，代理是獨立運行的檢測主機的實體，收發(fā)器布置在每個被監(jiān)控的主機上，監(jiān)控器是高層的控制和處理實體。代理是數(shù)據收集部件，收發(fā)器和監(jiān)視器都兼具控制和數(shù)據處理功能。收發(fā)器接收和處理代理發(fā)送來的報告，監(jiān)控器接收和處理它所控制的收發(fā)器發(fā)來的簡化過的信息。因此， AAFID 對數(shù)據的處理是層層精減的，并且只能在一個主機內部實現(xiàn)主動的數(shù)據請求。 EMERALD 將所監(jiān)測的網絡分成三個層級 ： 服務 (service analysis)、域(domainwide analysis)和企業(yè) (enterprisewide analysis)，每層有相應的服務監(jiān)控器 (servicemonitors)執(zhí)行分析功能。每層的監(jiān)控器之 間 可以通過基于訂閱(subscriptionbased)的通信機制互助協(xié)作，但層與層之間不能通過這種機制傳遞數(shù)據，上層監(jiān)控器通過接收下層監(jiān)控器發(fā)送的報告建立對監(jiān)控域狀態(tài)的視圖。 SHOMAR 是一種更為靈活的分層結構。通過一個 IDS 管理器 (IDS Manager)組織不同的檢測器 (ID Services)成為一個 IDS 集群 (IDS Cluster)，而底層的 IDS集群又可以成為上層 IDS 集群的檢測器。 SHOMAR 支持任意兩個實體的通信，而無需考慮他們在分層中的位置，因而它結合了對等和分層的有點，具有很強的靈活性。 層次化協(xié)同檢測結構存在以下幾個缺點 ：