【正文】 SHOMAR 支持任意兩個(gè)實(shí)體的通信，而無需考慮他們?cè)诜謱又械奈恢?，因而它結(jié)合了對(duì)等和分層的有點(diǎn)，具有很強(qiáng)的靈活性。 SHOMAR 是一種更為靈活的分層結(jié)構(gòu)。 EMERALD 將所監(jiān)測的網(wǎng)絡(luò)分成三個(gè)層級(jí) ： 服務(wù) (service analysis)、域(domainwide analysis)和企業(yè) (enterprisewide analysis)，每層有相應(yīng)的服務(wù)監(jiān)控器 (servicemonitors)執(zhí)行分析功能。收發(fā)器接收和處理代理發(fā)送來的報(bào)告，監(jiān)控器接收和處理它所控制的收發(fā)器發(fā)來的簡化過的信息。如圖： 圖 2 等級(jí)式 IDS 結(jié)構(gòu)示意圖 AAFID 結(jié)構(gòu)中有三個(gè)部件 ： 代理 (agents)、收發(fā)器 (transceivers)和監(jiān)控器 (monitors)，代理是獨(dú)立運(yùn)行的檢測主機(jī)的實(shí)體，收發(fā)器布置在每個(gè)被監(jiān)控的主機(jī)上，監(jiān)控器是高層的控制和處理實(shí)體。數(shù)據(jù)處理組件劃分為多個(gè)級(jí)別，低沉組件從數(shù)據(jù)收集組件獲得原始數(shù)據(jù)，經(jīng)過提煉、精減后提交給更高層的數(shù)據(jù)處理組件。 (2)數(shù)據(jù)處理組件需要處理眾多數(shù)據(jù)收集組件發(fā)送來的數(shù)據(jù)，因此要求有高性能的處理能力和很高的網(wǎng)絡(luò)吞吐能力。 集中式協(xié)同檢測系統(tǒng)具有明顯的缺陷 ： (1)數(shù)據(jù)處理組件是集中式協(xié)同檢測系統(tǒng)中最為重要的組件，一旦失效，那么整個(gè)入侵檢測系統(tǒng)也隨之癱瘓。主機(jī)代理并不是安裝在 LAN 中所有的主機(jī)上，而是按照特定的安全需求做出決定。同樣， LAN 代理 檢測局域網(wǎng)的安全，依據(jù)搜集到的網(wǎng)絡(luò)數(shù)據(jù)包信息產(chǎn)生局域網(wǎng)安全事件，也把這些局域網(wǎng)安全事件傳給管理器。 DIDS 由主機(jī)代理 (Host Agent)， LAN 代理 (LAN Agent)和管理器 (DIDS Director)三大部分組成。在分布式入侵檢測系統(tǒng)中，不僅數(shù)據(jù)收集組件是分布的，數(shù)據(jù)處理組件數(shù)量 也應(yīng)與網(wǎng)絡(luò)中被檢測主機(jī)的數(shù)量成正比。 集中式 IDS 集中式協(xié)同檢測僅僅將其數(shù)據(jù)收集組件分布到網(wǎng)絡(luò)中，而數(shù)據(jù)處理任務(wù)仍然由一個(gè)或固定的幾個(gè)組件承擔(dān)。 分布式入侵檢測系統(tǒng)因此應(yīng)運(yùn)而生。 入侵檢測系統(tǒng)結(jié)構(gòu) 分析 隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和規(guī)模的日益增大，入侵檢測面臨著許多新的問題 ： (1)系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中各個(gè)主機(jī)上，這些弱點(diǎn)有可能被入侵者一起用來攻擊網(wǎng)絡(luò)，而依靠唯一的主機(jī)或網(wǎng)絡(luò) IDS 不能發(fā)現(xiàn)入侵行為 ； (2)入侵行為不再是單一的行為，而是表 現(xiàn)出相互協(xié)作入侵特點(diǎn)。 . Sun 等利用支持向量機(jī)和神經(jīng)網(wǎng)絡(luò)做了入侵檢測特征屬性對(duì)分類準(zhǔn)確率影 響的排序和精選工作。如繞鮮等提出了基于支持向量機(jī)的入侵檢測模型，并以系統(tǒng)調(diào)用執(zhí)行跡為例，討論了建立檢測模型的過程。支持向量機(jī)的基本思想是首先通過某種非線性映射將輸入空間變換到一個(gè)高維空間，然后在這個(gè)高維空間中構(gòu)造最優(yōu)分類面。 基于支持向量機(jī)的檢測技術(shù) 支持向量機(jī) (Support Vector Machine， SVM)是一種建立在統(tǒng)計(jì)學(xué)習(xí)理論( Statistical Learning Theory， SLT)基礎(chǔ)上的學(xué)習(xí)方法。 基于人工免疫的檢測技術(shù)通過結(jié)合生物免疫系統(tǒng)的思想，模擬生物免疫學(xué)中的基因庫更新、否定選擇和克隆選擇等抗體生成過程建立入侵檢測分類模型，將正常和異常的網(wǎng)絡(luò)行為區(qū)分為自我和非我，從而達(dá)到判別入侵的目的。生物免疫學(xué)與計(jì)算機(jī)科學(xué)的交叉滲透非常有益，通過研究和借鑒生物免疫系統(tǒng)的運(yùn)行機(jī)制有助于設(shè)計(jì)更安全的計(jì)算機(jī)系統(tǒng)。同時(shí)，對(duì)末知攻擊的檢測也不夠理想。分類分析則是提取數(shù)據(jù)庫中數(shù)據(jù)項(xiàng)的特征屬性并生成分類模型的方法，可以用來提取入侵特征，在此基礎(chǔ)上建立檢測模型實(shí)現(xiàn)入侵檢測。關(guān)聯(lián)分析所提取的關(guān)聯(lián)規(guī)則是形如 XY? 的一種數(shù)據(jù)隱含規(guī)則，一般可以用置信度、支持度、期望置信度和作用度四個(gè)參數(shù)來描述個(gè)關(guān)聯(lián)規(guī)則的屬性。算法最終能否收斂到最優(yōu) 解也是值得考慮的問題。 基于遺傳算法的入侵檢測技術(shù)的問題在于 ： 交叉、變異和選擇算子的設(shè)計(jì)目前主要依靠經(jīng)驗(yàn)和實(shí)驗(yàn)的方法選取，若選擇不合理，則會(huì)產(chǎn)生過早收斂的問題。將系統(tǒng)各屬性表示為特征向量，從而將系統(tǒng)正常狀態(tài)分布在 n 維空間中，并使用遺傳算法檢測規(guī)則集覆蓋的異?？臻g，從而建立異常檢測模型。 將遺傳算法應(yīng)用于入侵檢測，主要是將遺傳算法用于攻擊規(guī)則的生成和入侵特征的提取。根據(jù)大自然適者生存的原理，它模擬自然界中生命個(gè)體的繁殖、交配和突變現(xiàn)象。然而也存在一些問題，比如通常神經(jīng)網(wǎng)絡(luò)的訓(xùn)練時(shí)間長，容易陷入局部極小點(diǎn)，同時(shí)神經(jīng)網(wǎng)絡(luò)不能為建立的 檢測模型提供合理的解釋或說明信息。 等人利用多層感知機(jī)和多層后向傳播神經(jīng)網(wǎng)絡(luò)建立入侵檢測模型，也取得了不錯(cuò)的實(shí)驗(yàn)效果。 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)的研究主 要集中在入侵特征的選擇以及檢測模型的建立上。神經(jīng)網(wǎng)絡(luò)的信息通過神經(jīng)元的相互作用來實(shí)現(xiàn)，知識(shí)與信息的存儲(chǔ)表第二 章 入侵檢測技術(shù)研究綜述 19 現(xiàn)為網(wǎng)絡(luò)元件 互連 分布式的物理聯(lián)系。同時(shí)在實(shí)際環(huán)境中，各個(gè)特征之間是相互影響的，因此為了檢測的準(zhǔn)確性，必須要考慮到特征之間的相關(guān)性。 基于貝葉斯推理的入侵檢測技術(shù)能夠巧妙地將問題轉(zhuǎn)換為相對(duì)容易獲得的概率間的計(jì)算 。 I 表示系統(tǒng)受到攻擊， I? 表示系統(tǒng)未受到攻擊。該方法通過計(jì)算在任意給定的時(shí)刻，系統(tǒng)或網(wǎng)絡(luò)中的各種與判斷攻擊行為相關(guān)的特征的值來推斷系統(tǒng)是否遭到入侵。如果入侵者知道自己的入侵行為被這樣的異常檢測器監(jiān)視，那么他就可以誘導(dǎo)這個(gè)系統(tǒng)，使得那些大部分依靠行為統(tǒng)計(jì)測量的入侵檢測系統(tǒng)方法對(duì)監(jiān)視的特定的事件模式失效； 3)難以確定異常閥值，閥值設(shè)置偏低或高均會(huì)導(dǎo)致誤警事件 。例如位于標(biāo)準(zhǔn)方差兩側(cè)的數(shù)據(jù)可認(rèn)為是異常的。另 外， 也可 以使用 各指 標(biāo)閥 值的 帶權(quán)平 方和2 2 21 1 2 2 nna S a S a S? ? ?( 0ia? ，其中 ia 為 iS 的權(quán)值 )作為比較標(biāo)準(zhǔn)。 令 12, , , NS S S 表示指標(biāo) 12, , , NM M M 的閥值，從某段時(shí)間的審計(jì)記錄中提取當(dāng)前特征表 12( , , , )NT T T 。每一個(gè)活動(dòng)特征保存記錄主體當(dāng)前行為，并定時(shí)地將當(dāng)前的活動(dòng)特征與存儲(chǔ)的活動(dòng)特征合并。正常的操作存在內(nèi)在的統(tǒng)計(jì)規(guī)律， IDS 檢測主體 (如用戶 )的活動(dòng)并 生成相應(yīng)的活動(dòng)特征 (Profile)。目前應(yīng)用于基于異常的入侵檢測方式主要有 ： 統(tǒng)計(jì)方法、貝葉斯推理、神經(jīng)網(wǎng)絡(luò) 、遺傳算法 、 數(shù)據(jù)挖掘、 免疫學(xué)、支持向量機(jī)等。通?；诋惓５?IDS 的檢測是針對(duì)某個(gè)特定的對(duì)象，這個(gè)對(duì)象可以是某個(gè)人也可以是某個(gè)程序。然而，增加了創(chuàng)建每一種入侵檢測模型的開銷是這種方法的缺點(diǎn)。對(duì)于專家系統(tǒng)方法不容易處理未確定的中間結(jié)論，可以用模型證據(jù)推理解決。同時(shí)系統(tǒng)中嵌入證據(jù)推理分析功能，這樣就允許更新活動(dòng)模型列表中的攻擊場景出現(xiàn)的概率，根據(jù)攻擊場景概率的大小進(jìn)行推斷檢測入侵。由于行為到活動(dòng)的映射必須很容易地在審計(jì)跟蹤中識(shí)別出，故 ( | )( | )P A c tiv ity B e h a v io rP A c tiv ity B e h a v io r?的值必須比較大。入侵檢測系統(tǒng)根據(jù)當(dāng)前的活動(dòng)模型，預(yù)警器產(chǎn)生下一步行為，用來在審計(jì)跟蹤時(shí)作驗(yàn)證使用。其方法要點(diǎn)是建立入侵場景數(shù)據(jù)庫、預(yù)警器和規(guī)劃者。 基于模型 推理 誤用的檢測技術(shù) 基于模型 推理 誤用入侵檢測方法是通過建立誤用證據(jù)模型，根據(jù)證據(jù)推理來作出誤用發(fā) 生判斷結(jié)論。 攻擊模式只能說明事件序列，因此不能說明更復(fù)雜的事件。如果到達(dá)危險(xiǎn)狀態(tài)，表示當(dāng)前可能正在發(fā)生入侵事件。 第二 章 入侵檢測技術(shù)研究綜述 16 基于狀態(tài)轉(zhuǎn)移分析的檢測技術(shù) 狀態(tài)轉(zhuǎn)移分析方法把入侵表示為一系列被監(jiān)控的系統(tǒng)狀態(tài)轉(zhuǎn)移，每一個(gè) 狀態(tài)對(duì)應(yīng)一個(gè)系統(tǒng)行為，每個(gè)狀態(tài)都必須滿足特定的布爾表達(dá)式。 令 ES (Event Sequence)表示事件序列，事件出現(xiàn)的概率為 P(ES)，先驗(yàn)概率為 P(I) ，后驗(yàn)概率為 P(ES | I)，則有 ()( | ) ( | ) ()PIP I E S P E S I P E S? () 通常網(wǎng)絡(luò)安全專家可以給出先驗(yàn)概率 P(I)，對(duì)入侵報(bào)告數(shù)據(jù)進(jìn)行統(tǒng)計(jì)處理得出 ( | )PES I 和 ( | )P ES I? ， 于是可以計(jì)算出 ： ( ) ( ( ( | ) ( | ) ) ( ) ( | )P ES P ES I P ES I P I P ES I? ? ? ? ? ? () 故可以通過事件序列的觀測，從而推算出 ( | )PI ES 。 基于條件概率的檢測技術(shù) 條件概率誤用入侵檢測方法將入侵方式對(duì)應(yīng)于一個(gè)事件序列，然后通過觀測到事件發(fā)生情況來推測入侵出現(xiàn)。同時(shí)規(guī)則庫的建立與維護(hù)代價(jià)高，且容易出現(xiàn)冗余、矛盾、蘊(yùn)含等問題。 基于規(guī)則匹配的檢測技術(shù)具有誤報(bào)少 、準(zhǔn)確率高的優(yōu)點(diǎn)。專家的經(jīng)驗(yàn)知識(shí)從邏輯上可以表示為產(chǎn)生式規(guī)則、層次樹和狀態(tài)轉(zhuǎn)移圖等形式。預(yù)定義的入侵模式一般稱為入侵特征，因此誤用檢測又稱作基于特征的檢測。 學(xué)習(xí)能力是指入侵檢測技術(shù)能夠從實(shí)際應(yīng)用中學(xué)習(xí)到新模式的能力，從而能夠自適應(yīng)地對(duì)檢測模型進(jìn)行更新和調(diào)整，適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。檢測時(shí)延在一定程度上反應(yīng)了檢測技術(shù)的實(shí)時(shí)性。 前 面三個(gè)指標(biāo)都是從檢測的正確性方面衡量入侵檢測技術(shù)的優(yōu)劣，而檢測時(shí)延則是從入侵檢測技術(shù)的檢測效率方面衡量檢測技術(shù)的優(yōu)劣。 誤警率是指正常樣本中被認(rèn)為是攻擊樣本的個(gè)數(shù)與全體正常樣本個(gè)數(shù)的比值 ： ? 正 常 樣 本 中 被 認(rèn) 為 是 攻 擊 樣 本 的 個(gè) 數(shù)誤 警 率 全 體 正 常 樣 本 個(gè) 數(shù) () 這個(gè)值反應(yīng)了入侵檢測技術(shù)對(duì)于正常樣本的識(shí)別能力。 分類正確率是指被正確分類的測試樣本個(gè)數(shù)與全體測試樣本個(gè)數(shù)的比值 ： ? 被 正 確 分 類 的 測 試 樣 本 個(gè) 數(shù)分 類 正 確 率 全 體 測 試 樣 本 個(gè) 數(shù) () 這是一個(gè)評(píng)價(jià)入侵檢測技術(shù)對(duì)于正常樣本和攻擊樣本區(qū)分能力的總體評(píng)價(jià)指標(biāo)，從一定程度上反應(yīng)了入侵檢測技術(shù)的總體檢測能力，我們期望分類正確率越高越好。 檢測技術(shù)的評(píng)價(jià)指標(biāo) 為了評(píng)估檢測技術(shù)的優(yōu)劣，需要一系列的定量評(píng)價(jià)指標(biāo)。但是這種技術(shù)普遍存在誤報(bào)率高的缺點(diǎn)。典型的建立異常檢測模型的方法包括閉值分析法、統(tǒng)計(jì)分析法、神經(jīng)網(wǎng)絡(luò)等。 異常檢測 (Anomaly Detection)的概念在 James Anderson 早期的文章中就有體現(xiàn) ， 他提出可以根據(jù)用戶行為的一些統(tǒng)計(jì)信息來判定系統(tǒng)的不正常使用模式，從而發(fā)現(xiàn)“偽裝者”，這正是異常檢測的基本思想。從誤用檢測技術(shù)的思想來看，這種技術(shù)能夠很好地發(fā)現(xiàn)跟己知攻擊行為具有相同特征的攻擊，檢測已知攻 擊的正確率很高，然而存在的問題是不能發(fā)現(xiàn)新的攻擊，甚至不能發(fā)現(xiàn)同一種攻擊的變種，因此存在漏報(bào)的可能。誤用檢測判斷入侵的典型過程是根據(jù)已知的攻擊建立檢測模型，將待檢測數(shù)據(jù)與模型進(jìn)行比較，如果能夠匹配上檢測模型，待檢測數(shù)據(jù)將被認(rèn)為是攻擊。 檢測技術(shù)的分類 根據(jù)采用檢測方法的不同，現(xiàn)有的入侵檢測 技術(shù)從總體上可以分為三類 ：第二 章 入侵檢測技術(shù)研究綜述 13 誤用檢測，異常檢測和混合檢測。同年提出的基于圖的入侵檢測系統(tǒng) (Graph base Intrusion Detection System， GrIDS) 則是考慮到入侵檢測系統(tǒng)擴(kuò)展性不強(qiáng)的問題，針對(duì)大規(guī)模網(wǎng)絡(luò)的協(xié)同攻擊，提出了使用圖對(duì)網(wǎng)絡(luò)行為進(jìn)行建模的方法。每個(gè) CSM 單元都由 本地入侵檢測單元、安全管理器、圖形用戶界面、入侵處理單元、命令監(jiān)視器和通信處理器組成。雖然 DIDS 存在很多不足之處，但它畢竟是對(duì)分布式入侵檢測技術(shù)研究的有益嘗試。該系統(tǒng)由三個(gè)部分組成 ： 主機(jī)管理單元、網(wǎng)絡(luò)管理單元和中央管理單元。而且隨著分布式網(wǎng)絡(luò)攻擊的出現(xiàn)，分布式入侵檢測技術(shù)也應(yīng)運(yùn)而生。這種方法擴(kuò)展了入侵檢測技術(shù)的應(yīng)用范圍，同時(shí)由于采用的是監(jiān)聽的方式獲取待檢測數(shù)據(jù)，沒有增加網(wǎng)絡(luò)負(fù)擔(dān)，也不會(huì)占用網(wǎng)絡(luò)上其他主機(jī)的資源。 1990 年，由 開發(fā)了第一個(gè)網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視器( Network Security Monitor， NSM )，通過在共享網(wǎng)段上對(duì)通信數(shù)據(jù)的監(jiān)聽和采集，檢測所有數(shù)據(jù)包的包頭信息，分析可能出現(xiàn)的攻擊現(xiàn)象，從而達(dá)到對(duì)整個(gè)網(wǎng)段的入侵檢測和保護(hù)。后來入侵檢測的原型系統(tǒng)被陸續(xù)開發(fā)，如下一代入侵檢測系統(tǒng) ( NextGeneration Intrusion Detection System， NIDES )、Haystack 系統(tǒng)等。該系統(tǒng)可以用于檢測主機(jī)系統(tǒng)上發(fā)生的入侵行為，是一個(gè)與系統(tǒng)平臺(tái)無關(guān)的專家檢測系統(tǒng)。這篇文獻(xiàn)可以看成是在入侵檢測技術(shù)的發(fā)展歷史中具有里程碑意義的重要論著。 1987 年， Dorothy Denning 博士提出了 IDS 的抽象模型，模型主要 由主體( Subjects )、對(duì)象 (Objects )、審計(jì)記錄 (Audit Records )、行為輪廓 (Profiles )、異常記錄 (Anomaly Records)及活動(dòng)規(guī)則 (Activity Rules)組成，這是一個(gè)入侵檢測系統(tǒng)的通用框架。在這篇文章中，他提到了審計(jì)數(shù)據(jù)對(duì)于入侵檢測的重要性 ，通過監(jiān)視和存儲(chǔ)相關(guān)的審計(jì)數(shù)據(jù)信息，建立用戶審計(jì)信息模型，再根據(jù)這些統(tǒng)計(jì)模型發(fā)現(xiàn)系統(tǒng)當(dāng)中存在的異常行為。根據(jù)所檢測數(shù)據(jù)的來源不同，入侵檢測技術(shù)經(jīng)歷了基于主機(jī)的入侵檢測技術(shù)、基于網(wǎng)絡(luò)的入侵檢測技術(shù)和分布式入侵檢測技術(shù)三個(gè)發(fā)展時(shí)期。最后介紹了入侵檢測系統(tǒng)的體系結(jié)構(gòu)、規(guī)則描述語言和實(shí)驗(yàn)數(shù)據(jù)等。對(duì)本文的工作