【正文】 通過一個 IDS 管理器 (IDS Manager)組織不同的檢測器 (ID Services)成為一個 IDS 集群 (IDS Cluster)，而底層的 IDS集群又可以成為上層 IDS 集群的檢測器。因此， AAFID 對數(shù)據(jù)的處理是層層精減的，并且只能在一個主機內(nèi)部實現(xiàn)主動的數(shù)據(jù)請求。 AAFID、 EMERALD 和 SHOMAR 是層次化系統(tǒng)第二 章 入侵檢測技術(shù)研究綜述 23 檢測的例子。攻擊者可能針對這一點，對系統(tǒng)中的數(shù)據(jù)處理組件發(fā)動攻擊 ，形成這類系統(tǒng)典型的單點失效問題。管理器根據(jù)安全專家知識、主機安全事件和網(wǎng)絡安全事件進行入侵檢測推理分析，最后得出整個網(wǎng)絡的安全狀態(tài)結(jié)論。 如圖： 第二 章 入侵檢測技術(shù)研究綜述 22 圖 1 集中式 IDS 結(jié)構(gòu)示意圖 DIDS 是典型的這類系統(tǒng)。分布式入侵檢測系統(tǒng)的體系結(jié)構(gòu)可分為 3 類 ： 集中式 、等級式 和 分布 式。 基于支持向量機的入侵檢測技術(shù)的不足之處在于，對分類正確率產(chǎn)生重要影響的核函數(shù)及其參數(shù)的選擇目前只能根據(jù)經(jīng)驗，同時支持向量機只能處理一二分類問題，如果要進行多分類檢測，區(qū)分不同的攻擊類型，需要對二分類支持向量機進行擴展。 第二 章 入侵檢測技術(shù)研究綜述 21 利用支持向量機建立入侵檢測模型己經(jīng)取得了一系列的進展。代一表性 的研究小組包括新墨西哥 (New Mexico)大學的 Forrest小組和 Memphis 大學的 Dasgupta 小組，這種檢測技術(shù)具有極大的潛力，但是仍然需要完善基于人工免疫的模型，同時要找到合適的否定選擇算法和克隆選擇算法。 基于人工免疫的檢測技術(shù) 免疫學是生命科學的一個重要組成部分，是研究機體自我識別和對抗原性異物排斥反應的一門新興學科。序列分析則是用來 發(fā)現(xiàn)數(shù)據(jù)記錄間相關(guān)性的方法，可以用來分析不同入侵特征之間的相關(guān)性。同時適應度函數(shù)的選擇也會對算法性能產(chǎn)生重要影響。采用遺傳進化操作啟發(fā)式地搜索 網(wǎng)絡特征數(shù)據(jù)空間，通過遺傳算子進行遺傳操作，產(chǎn)生出具有高適應度的個體，從而自動歸納出某種入侵的共同屬性。 基于遺傳算法的檢測技術(shù) 遺傳算法 (Geic Algorithm GA ) 是一種模擬生物進化機制的搜索優(yōu)化算法。如付小青等提出的利用自組織映射 (SelfOrganizing Map， SOM)網(wǎng)絡中相似模式激活神經(jīng)元的物理位置臨近的特點，根據(jù)輸入模式的類型對激活神經(jīng)元劃分，并將待檢測數(shù)據(jù)的基本特征與推導特征結(jié)合，對待檢測數(shù)據(jù)進行分類。 基于神經(jīng)網(wǎng)絡的檢測技術(shù) 神經(jīng)網(wǎng)絡 (Neural Network NN)是由大量的處理單元 (神經(jīng)元 )互相連接而成的網(wǎng)絡。則由條件概率公式得： 1 2 1 2 12 ()( | , , , ) ( , , , | ) ( , , , )NN NPIP I A A A P A A A I P A A A? () 在假設(shè)每個特征 A； 僅與 I 相關(guān)，而與其他特征無關(guān)的情況下，則有 12 1( , , , | ) ( | )NNiiP A A A I P A I?? ? () 12 1( , , , | ) ( | )NNiiP A A A I P A I?? ? ?? () 從而可以推得 1 2 1121( ) ( | )( | , , , )( | , , , ) ( ) ( | )NiNiNN iiP I P A IP I A A AP I A A A P I P A I???????? () 根據(jù)入侵發(fā)生的先驗概率以及入侵發(fā)生和不發(fā)生時各種特征出現(xiàn)的概率，就可以計算出入侵發(fā)生的概率。 第二 章 入侵檢測技術(shù)研究綜述 18 基于貝葉斯推理的檢測技術(shù) 利用貝葉斯推理進行入侵檢測是一種基于概率統(tǒng)計理論的檢測技術(shù)。 統(tǒng)計異常檢測方法的有利之處是 所應用的技術(shù)方法在統(tǒng)計學得到很好的研究。通過比較當前的活動特征與己存儲的活動特征來判斷異常行為，從而檢測出入侵活動。 基于統(tǒng)計方法的檢測 技術(shù) 統(tǒng)計方法是異常檢測較多采用的分析方法。 第二 章 入侵檢測技術(shù)研究綜述 17 異常檢測技術(shù) 異常檢測根據(jù)系統(tǒng)的異常行為或者對資源的異常存取來判斷是否發(fā)生入侵事件，異常檢測需要建立一個閥值 來區(qū)分正常事件與入侵事件。 這種方法的優(yōu)點在于具有堅實的數(shù)據(jù)未確定推理理論作為基礎(chǔ)。規(guī)劃者負責判斷假設(shè)的行為是如何反映在審計跟蹤數(shù)據(jù)上，以及將假設(shè)的行為變成與系統(tǒng)相關(guān)的審計跟蹤進行匹配。 Garvey 和 Lunt 首先提出這種方法。 Ilgun 等提出的 STAT 就采用狀態(tài)轉(zhuǎn)移分析方法，并在 UNIX 平臺上實現(xiàn)了一個原型系統(tǒng) USTAT。 基于條件概率誤用入侵檢測方法是在概率理論基礎(chǔ)上的一個普遍的方法，它是對貝葉斯方法的改進，其缺點就是先驗概率難以給出，而且事件的獨立性難以滿足。因此運用機器學習技術(shù)使知識庫的建造智能化是未來的發(fā)展趨勢?；谝?guī)則的入侵檢測技術(shù)多應用于早期的入侵檢測系統(tǒng)，如基于產(chǎn)生式規(guī)則的專家系統(tǒng)工具集(Productionbased Expert System Toolset， PBEST)是采用產(chǎn)生式規(guī)則的入侵檢測系統(tǒng) ，加利福尼亞 (California)大學桑塔芭芭拉 (Santa Barbara)分校研究開發(fā)的狀態(tài)轉(zhuǎn)移分析工具 (State Transition Analysis Tool， STAT)是基于狀態(tài)轉(zhuǎn)移圖的入侵檢測系統(tǒng)。 誤用檢測 技術(shù) 誤 用檢測分析系統(tǒng)活動行為，尋找與預定義入侵模式匹配的事件或者事件集，從而發(fā)現(xiàn)入侵行為。檢測時延是指入侵檢測技術(shù)從開始檢測到判定檢測樣本為攻擊或正常的時間消耗。 第二 章 入侵檢測技術(shù)研究綜述 14 漏警率是指攻擊樣本中被誤認為是正常樣本的個數(shù)與全體攻擊樣本個數(shù)的比值 ： ? 攻 擊 樣 本 中 被 認 為 是 正 常 樣 本 的 個 數(shù)漏 警 率 全 體 攻 擊 樣 本 個 數(shù) () 這個值反應了入侵檢測技術(shù)對于攻擊 的識別能力，如果檢測樣本中含有大量訓練樣本中所沒有的新攻擊，這個值也從一定程度上反應了入侵檢測技術(shù)對未知攻擊的識別能力，表明了入侵檢測技術(shù)的擴展性和自適應性，我們期望漏警率越低越好。 混合入侵檢測技術(shù)則是綜合了誤用檢測和異常檢測的優(yōu)點而提出的，同時分析異常模型和正常模型從而做出更為準確的決策，典型的方法有基于規(guī)范的檢測方法，基于生物免疫的檢測方法等。在假定正常行為和攻擊行為存在本質(zhì)差別的情況下，通過分析正常連接的統(tǒng)計特性建立檢測模型，將待檢測行為與統(tǒng)計模型進行比較，如果能夠匹配上，則判定該行為是 正常行為。典型的建立誤用檢測模型的方法包括專家系統(tǒng)，狀態(tài)轉(zhuǎn)移圖等。隨著網(wǎng)絡規(guī)模的不斷擴大和攻擊行為的協(xié)同性和分布式的趨勢，入侵檢測技術(shù)必然向著分布式檢測方向發(fā)展。 為了克服 DIDS 存在系統(tǒng)瓶頸的問題， 1996 年提出的合作式安全管理器(Cooperating Security Manager， CSM ) 通過運行于每臺主機之上的 CSM 單元合作檢測入侵行為。 1991 年提出的分布式入侵檢測系統(tǒng) (Distributed Intrusion Detection System， DIDS)是第一個分布 式的系統(tǒng)，它將主機入侵檢測和網(wǎng)絡入侵檢測結(jié)合，能適應異構(gòu)環(huán)境。 網(wǎng)絡入侵檢測技術(shù)通過分析數(shù)據(jù)包包頭信息、網(wǎng)絡流量和網(wǎng)絡連接的各個特征屬性來檢測網(wǎng)絡中存在的入侵行為，區(qū)分正常網(wǎng)絡應用和惡意 攻擊。這也是日后的誤用檢測方法的系統(tǒng)原型。在這篇文章中將入侵檢測技術(shù)與加密、認證、訪問控制等安全技術(shù)相比，肯定了入侵檢測對于保證系統(tǒng)安全的重要作用。 1980 年， James 先生在他的開山之作《 Computer Security Threat Monitoring and Surveiliance》 沖首次提出了入侵檢測的概念，由此開始了對入侵檢測技術(shù)的研究。第二 章 入侵檢測技術(shù)研究綜述 11 第二 章 入侵檢測技術(shù)研究綜述 本章綜述了入侵檢測技術(shù)的發(fā)展歷程，對現(xiàn)有的入侵檢測技術(shù)進行了分類，介紹了入侵檢測技術(shù)的評價指標，并以 典型的入侵檢測技術(shù)為例，分別介紹其技術(shù)要點，指出了它們的優(yōu)缺點。 第六章，基于啟發(fā)式規(guī)則的混合入侵檢測模型。 第四章， 基于啟發(fā)式搜索的特征選擇 。 第二章， 入侵檢測技術(shù)研究綜述 。模型 專門 設(shè)計了混合 入侵檢測引擎 ，結(jié)合誤用入侵檢測和異常入侵檢測技術(shù)，降低了入侵檢測的誤警率和漏警率。為了消除離群點并精簡訓練樣本集，考慮到分類器的劃分結(jié)果主要由位于兩類樣本點邊界處占樣本數(shù)少部分的支持向量決定，本文采用了以下方法對樣本集進行處理 ： 首先采用 KNN 算法對離群點進行消除 ； 然后構(gòu)造以樣本點為球心的超球面，通過判斷超球面內(nèi)樣本點類別的異同來判斷該作為球心的樣本點是否位于邊界，從而提取邊界樣本點。 2)基于啟發(fā)式搜索的特征選擇 ，在進行模式 分類時，只有特征向量中包含足夠的類別信息，分類器才能實現(xiàn)正確分類，而特征中是否包含足夠的類別信息卻很難確定，為了提高識別率，我們總是最大限度地提取特征信息，結(jié)果不僅使特征維數(shù)增大，而且其中可能存在較大的相關(guān)性和兀余性，這給特征的進一步處理和入侵檢測模型的實現(xiàn)都帶來很大的困難。本文所作的主要工作如下 ： 1)對入侵檢測模式匹配算法作了研究，提出了一種改進的 ACBM 多模式匹配算法。 IDWG 定義了數(shù)據(jù)格式和交換規(guī)程，用于入侵檢測與響應系統(tǒng)之間與需要交互的管理系統(tǒng)之間的信息共享，包括 三 部分 ： 入侵檢測消息交換格式(IDMEF )、入侵檢測交換協(xié)議 (IDXP)、隧道輪廓 (Tunnel Profile )。 6) IDS 標準化 第一章 緒 論 8 隨著網(wǎng)絡規(guī)模的擴大，網(wǎng)絡入侵方式、類型及特征日趨多樣化，入侵活動變得復雜而又難以捉摸，某些入侵行為單靠單一的入侵檢測系統(tǒng)無法檢測出來，需要多種安全措施協(xié)同工作才能有 效保障網(wǎng)絡系統(tǒng)的安全，這就要求各安全系統(tǒng)之間能夠交換信息，相互協(xié)作，形成一個整體有效的安全保障系統(tǒng)，這就是入侵檢測系統(tǒng)的標準化制定。 代理技術(shù)的發(fā)展為實時響應提供了支持，基于分布式智能代理技術(shù)的實時響應機制是當前研究的重點。 (2)主動響應 IDS： 系統(tǒng)檢測到入侵后，采取某種響應手段或措施阻塞攻擊的進程或者改變受攻擊的網(wǎng)絡環(huán)境配置，以盡可能減小危害或阻止入侵。響應機制根據(jù)入侵檢測的結(jié)果，采取必要和適當?shù)膭幼?，阻止進一步的入侵行為或恢復受損害的系統(tǒng)，同時對數(shù)據(jù)源和入侵檢測的分析引擎產(chǎn)生影響。因此，異常入侵檢測方法與誤用入侵檢測方法在功能上是互補的。由于異常檢 測難以克服其局限性，因而許多商用 IDS 基本上采用的都用基于誤用的入侵檢測方法。這種方 法由于依據(jù)具體特征庫進行判斷，所以對已知的攻擊類型非常有效 ；并且因為檢測結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應措施提供了方便。異常檢測假設(shè) ： 任何對系統(tǒng)的入侵和誤操作都會導致系統(tǒng)異常。PCA 技術(shù)可以將數(shù)據(jù)從高維數(shù)據(jù)空間變換到低維特征空間，能夠保留屬性中那些最重要的屬性，從而更精確的描 述入侵行為。 提取入侵行為的特征，就是對入侵行為進行形式化的描述，對其進行準確地分類。 3)入侵行為特征提取方法研究 數(shù)據(jù)源是入侵檢測系統(tǒng)的重要模塊，為入侵檢測提供原始數(shù)據(jù)，面對網(wǎng)絡系統(tǒng)中大量的數(shù)據(jù)信息，有效的提取入侵行為的特征對于入侵檢測的檢測率、可靠性及實時性都有著重要的 影響。 網(wǎng)絡攻擊模型的建模方法主要有四種，分別是攻擊樹、攻擊網(wǎng)、狀態(tài)轉(zhuǎn)移圖和攻擊圖。 這種結(jié)構(gòu)仍存在兩個問題 ： ①當網(wǎng)絡拓撲結(jié)構(gòu)改變時，區(qū)域分析結(jié)果的匯總機制也需要做相應的調(diào)整 ； ②這種結(jié) 構(gòu)的 IDS 最后還是要把各地收集到的結(jié)果傳送到最高級的檢測服務器進行全局分析，所以系統(tǒng)的安全性并沒有實質(zhì)性的改進。 這種結(jié)構(gòu)的 IDS 無法 適應大規(guī)模網(wǎng)絡環(huán)境，在可伸縮性、可配置性方面存在致命缺陷 ： ①隨著網(wǎng)絡規(guī)模的增加，導致網(wǎng)絡性能大大降低。 經(jīng)過二十來年的 研究與發(fā)展，入侵檢測已經(jīng)從最初簡單的基于審計信息的單機檢測模式，發(fā)展到以網(wǎng)絡為平臺，研究內(nèi)容豐富，涉及領(lǐng)域廣泛的一門綜合性學科。 卿斯?jié)h等人定期會撰寫介紹入侵檢測研究現(xiàn)狀的文章，發(fā)表在國內(nèi)權(quán)威期刊上，這對于國內(nèi)信息安全研究人員了解相關(guān) 領(lǐng)域的研究動態(tài)起了很好的幫助作用。 國外從事信息安全入侵檢測研究的主要機構(gòu)有 ： 喬治敦大學，普渡大學COAST 實驗室， SRI 公司計算機科學實驗室 (SRI/CLS )， Haystack 實驗室，加州大學戴維斯分校，加州大學圣塔芭芭拉分校，洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等。 IFIP/SEC 主要由 IFIP 信息安全專委會 TC11 負責，第一屆IFIP/SEC 信息安全國際會議于 1983 年 5 月在瑞典斯德哥爾摩召開，每年召開一次，到 2020 年已召開 24 屆。隨著網(wǎng)絡的興起，網(wǎng)絡的安全問題日 益嚴重，入侵檢測得到了重視，廣泛的發(fā)展起來。 網(wǎng)絡和計算機技術(shù)的進步，在給人類的生活帶來極大便利的同時，也為黑和惡意攻擊者提供了入侵的手段和條件。在沒有很好的數(shù)據(jù)保護管理機制的情況下，重要數(shù)據(jù)的損毀對企業(yè)和個人往往是災難性的，很多