【正文】 ecting work performance, how to make information work systems against viruses and hacker intrusions, has bee the healthy development of informatization of government agencies to consider one important thing. 1. 引 言 隨著 計算機(jī) 技術(shù)的發(fā)展在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出，很多組織正在致力于提出更多的更強(qiáng)大的主動策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性，然而另一個更為有效的解決途徑就是入侵檢測。因此，它們對入侵行為的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來及時地調(diào)整系統(tǒng)的安全策略。 網(wǎng)絡(luò)入侵的直接危害就是破壞了系統(tǒng)的機(jī)密性、完整性和可用性。本來無權(quán)訪問的文件或數(shù)據(jù)，現(xiàn)在可以訪問，就破壞了 系統(tǒng)的機(jī)密性；入侵者如果還改變了系統(tǒng)原有的配置，改變了文件的內(nèi)容，修改了數(shù)據(jù)，就破壞了系統(tǒng)的完整性；攻擊者使用拒絕服務(wù)攻擊，使得目標(biāo)主機(jī)的資源被耗盡，網(wǎng)絡(luò)帶寬被完全占用，就破壞了系統(tǒng)的可用性。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 一個入侵檢測系統(tǒng)的功能結(jié)構(gòu)至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分功能。 入侵響應(yīng)功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)。 3. 入侵檢測系統(tǒng)分類 入侵檢測系統(tǒng)根據(jù)其檢測數(shù)據(jù)來源分為兩類：基于主機(jī)的入侵檢測系統(tǒng)和基于 網(wǎng)絡(luò) 的入侵檢測系統(tǒng)。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過網(wǎng)絡(luò)監(jiān)視來實(shí)現(xiàn)數(shù)據(jù)提取。該協(xié)議定義主機(jī)進(jìn)行數(shù)據(jù)傳輸時采用子網(wǎng)廣播的方式，任何一臺主機(jī)發(fā)送的數(shù)據(jù)包，都會在所經(jīng)過的子網(wǎng)中進(jìn)行廣播，也就是說，任何一臺主機(jī)接收和發(fā)送的數(shù)據(jù)都可以被同一子網(wǎng)內(nèi)的其他主機(jī)接收。網(wǎng)卡的 這種接收模式被稱為混雜模式，目前絕大部分網(wǎng)卡都提供這種設(shè)置，因此，在需要的時候，對網(wǎng)卡進(jìn)行合理的設(shè)置就能獲得經(jīng)過本網(wǎng)段的所有通信信息，從而實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)視的功能。 基于 主機(jī) 的入侵檢測系統(tǒng) 基于主機(jī)的入侵檢測系統(tǒng)將檢測模塊駐留在被保護(hù)系統(tǒng)上，通過提取被保護(hù)系統(tǒng)的運(yùn)行數(shù)據(jù)并進(jìn)行入侵分析來實(shí)現(xiàn)入侵檢測的功能。 基于主機(jī)日志的安全審計，通過分析主機(jī)日志來發(fā)現(xiàn)入侵行為。目前很多是基于主機(jī)日志分析的入侵檢測系統(tǒng)。在數(shù)據(jù)提取的實(shí)時性、充分性、可靠性方面基于主機(jī)日志的入侵檢測系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。該方法基于如下的假設(shè)：入侵會引起用戶或系統(tǒng)行為的異常。下面對其中的主要技術(shù)進(jìn)行介紹和分析。該方法依據(jù)系統(tǒng)中特征變量的歷史數(shù)據(jù)建立統(tǒng)計模型，并運(yùn)用該模型對特征變量未來的取值進(jìn)行預(yù)測和檢測偏離。 (a)均值與標(biāo)準(zhǔn)偏差模型以單個特征變量為檢測對象，假定特征變量滿足正態(tài)分布，根據(jù)該特征變量的歷史數(shù)據(jù)統(tǒng)計出分布參數(shù) (均值、標(biāo)準(zhǔn)偏差 )，并依此設(shè)定信任區(qū)間。 (b)多元模型以多個特征變量為檢測對象，分析多個特征變量間的相關(guān)性，是均值與標(biāo)準(zhǔn)偏差模型的擴(kuò)展，不僅能檢測到單個特征變量值的偏離，還能檢測到特征變量間關(guān)系的偏離。 (d) 時間序列模型。 以統(tǒng)計分析方法形成系統(tǒng)或用戶的行為輪廓，實(shí)現(xiàn)簡單，且在度量選擇較好時 (即 系統(tǒng)或用戶行為的變化會在相應(yīng)的度量上產(chǎn)生顯著的變化 )能夠可靠檢測出入侵。 (2)基于數(shù)據(jù)挖掘的檢測方法 數(shù)據(jù)挖掘是一種利用分析工具在大量數(shù)據(jù)中提取隱含在其中且潛在有用的信息和知識的過程。因此，可利用數(shù)據(jù)挖掘技術(shù)，從大量數(shù)據(jù)中提取盡可能多的隱藏的安全信息，抽象出有利于比較和判斷的特征模型 (如基于異常檢測的正常行為輪廓 )。在建立上述的關(guān)聯(lián)規(guī)則、序列模式和相似類后，即可依此檢測入侵或異常。 (3)其他檢測方法 其他的異常檢測方法有基于規(guī)則的方法、人工免疫法、 基于機(jī)器學(xué)習(xí)的檢測方法和基于神經(jīng)網(wǎng)絡(luò)的檢測方法等。但異常檢測具有如下的缺點(diǎn)：一般根據(jù)經(jīng)驗(yàn)知識選取或不斷調(diào)整閾值以滿足系統(tǒng)要求，閾值難以設(shè)定；異常不一定由攻擊引起，系統(tǒng)易將用戶或系統(tǒng)的特殊行為 (如出錯處理等 )判定為入侵，同時系統(tǒng)的檢測準(zhǔn)確性受閾值的影響，在閾值選取不當(dāng)時，會產(chǎn)生較多的檢測錯誤，造成檢測錯誤率高；攻擊者可逐漸修改用戶或系統(tǒng)行為的輪廓模型，因而檢測系統(tǒng)易被攻擊者訓(xùn)練；無法識別攻擊的類型，因 而難以采取適當(dāng)?shù)拇胧┳柚构舻睦^續(xù)。誤用檢測 IDS 根據(jù)已知攻擊的知識建立攻擊特征庫，通過用戶或系統(tǒng)行為與特征庫中各種攻擊模式的比較確定是否發(fā)生入侵。專家系統(tǒng)的優(yōu)點(diǎn)為把系統(tǒng)的推理控制過程和問題的最終解答相分離，即用戶不需 要理解或干預(yù)專家系統(tǒng)內(nèi)部的推理過程，只需把專家系統(tǒng)看作一個黑盒子。 (2)基于狀態(tài)轉(zhuǎn)移分析的檢測方法 狀態(tài)轉(zhuǎn)移分析方法運(yùn)用狀態(tài)轉(zhuǎn)換圖來表示和檢測已知的攻擊模式，即運(yùn)用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)移表達(dá)式來描述已知的攻擊模式，以有限狀態(tài)機(jī)模型來表示入侵過程。 用于誤用檢測的狀態(tài)轉(zhuǎn)移分析引擎包括一組狀態(tài)轉(zhuǎn)移圖，各自代表一種入侵或滲透模式。如果新行為否定了當(dāng)前狀態(tài)的斷言，分析引擎將狀態(tài)轉(zhuǎn)移圖回溯到斷言仍然成立的狀態(tài)；如果新行為使系統(tǒng)狀態(tài)轉(zhuǎn)移到了入侵狀態(tài)，狀態(tài)轉(zhuǎn)移信息就被發(fā)送到?jīng)Q策引擎，由決策引擎根據(jù)預(yù)定義的策略采取相應(yīng)措施。狀態(tài)轉(zhuǎn)移分析方法能檢測到協(xié)同攻擊和慢攻擊；能在攻擊行為尚未到達(dá)入侵狀態(tài)時檢測到該攻擊行為，從而及時采取相應(yīng)措施阻止攻擊行為。狀態(tài)轉(zhuǎn)移分析方法中狀態(tài)對應(yīng)的斷言和特征行為需要手工編碼，在用于復(fù)雜的入侵場景時會存在問題。 誤用檢測的優(yōu)點(diǎn)為：攻擊檢測的準(zhǔn)確率高；能夠識別攻 擊的類型。 誤用檢測和異常檢測各有優(yōu)缺點(diǎn)，具有一定的互補(bǔ)性。 隨著網(wǎng)絡(luò)連接的迅速擴(kuò)展，特別是 Inter 大范圍的開放以及金融領(lǐng)域網(wǎng)絡(luò)的接入，越來越多的系統(tǒng)遭到 入侵攻擊的威脅，這些威脅大多是通過挖掘操作系統(tǒng)和應(yīng)用服務(wù)程序的弱點(diǎn)或者缺陷來實(shí)現(xiàn)的。但這一點(diǎn)卻很難做到。 第二，加密技術(shù)方法本身存在一定的問題，如密鑰的生成、傳輸、分配和保存，加密算法的安全性。 第四，靜態(tài)的安全控制措施不足以保護(hù)安全對象屬性。