【正文】 的異常行為。這是首次對入侵的檢測提出原創(chuàng)性的解決方法，也是日后異常檢測方法的原型。 1987 年， Dorothy Denning 博士提出了 IDS 的抽象模型，模型主要 由主體( Subjects )、對象 (Objects )、審計記錄 (Audit Records )、行為輪廓 (Profiles )、異常記錄 (Anomaly Records)及活動規(guī)則 (Activity Rules)組成，這是一個入侵檢測系統(tǒng)的通用框架。在這篇文章中將入侵檢測技術(shù)與加密、認(rèn)證、訪問控制等安全技術(shù)相比，肯定了入侵檢測對于保證系統(tǒng)安全的重要作用。這篇文獻(xiàn)可以看成是在入侵檢測技術(shù)的發(fā)展歷史中具有里程碑意義的重要論著。 1988 年， Denning 博士提出的模型由 SRI International 公司 實現(xiàn)，稱之為入侵檢測專家系統(tǒng) (Intrusion Detection Expert System， IDES。該系統(tǒng)可以用于檢測主機(jī)系統(tǒng)上發(fā)生的入侵行為，是一個與系統(tǒng)平臺無關(guān)的專家檢測系統(tǒng)。這也是日后的誤用檢測方法的系統(tǒng)原型。后來入侵檢測的原型系統(tǒng)被陸續(xù)開發(fā)，如下一代入侵檢測系統(tǒng) ( NextGeneration Intrusion Detection System， NIDES )、Haystack 系統(tǒng)等。從 上面的描述可知，在入侵檢測技術(shù)發(fā)展的初期，所檢測的數(shù)據(jù)都是主機(jī)系統(tǒng)的待審計數(shù)據(jù)，然而隨著網(wǎng)絡(luò)技術(shù)的 發(fā)展和網(wǎng)絡(luò)應(yīng)用的普及，第二 章 入侵檢測技術(shù)研究綜述 12 針對網(wǎng)絡(luò)的攻擊事件不斷發(fā)生，對入侵檢測技術(shù)的研究也隨之進(jìn)入了第二階段，即網(wǎng)絡(luò)入侵檢測技術(shù)。 1990 年，由 開發(fā)了第一個網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視器( Network Security Monitor， NSM )，通過在共享網(wǎng)段上對通信數(shù)據(jù)的監(jiān)聽和采集，檢測所有數(shù)據(jù)包的包頭信息，分析可能出現(xiàn)的攻擊現(xiàn)象，從而達(dá)到對整個網(wǎng)段的入侵檢測和保護(hù)。 網(wǎng)絡(luò)入侵檢測技術(shù)通過分析數(shù)據(jù)包包頭信息、網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接的各個特征屬性來檢測網(wǎng)絡(luò)中存在的入侵行為，區(qū)分正常網(wǎng)絡(luò)應(yīng)用和惡意 攻擊。這種方法擴(kuò)展了入侵檢測技術(shù)的應(yīng)用范圍，同時由于采用的是監(jiān)聽的方式獲取待檢測數(shù)據(jù)，沒有增加網(wǎng)絡(luò)負(fù)擔(dān)，也不會占用網(wǎng)絡(luò)上其他主機(jī)的資源。然而不論是基于主機(jī)的入侵檢測系統(tǒng)還是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，早期的結(jié)構(gòu)都是集中式的，數(shù)據(jù)采集模塊和數(shù)據(jù)分析模塊都位于同一臺機(jī)器上，這和網(wǎng)絡(luò)逐漸走向分布式、異構(gòu)性的趨勢并不符合。而且隨著分布式網(wǎng)絡(luò)攻擊的出現(xiàn)，分布式入侵檢測技術(shù)也應(yīng)運(yùn)而生。 1991 年提出的分布式入侵檢測系統(tǒng) (Distributed Intrusion Detection System， DIDS)是第一個分布 式的系統(tǒng)，它將主機(jī)入侵檢測和網(wǎng)絡(luò)入侵檢測結(jié)合，能適應(yīng)異構(gòu)環(huán)境。該系統(tǒng)由三個部分組成 ： 主機(jī)管理單元、網(wǎng)絡(luò)管理單元和中央管理單元。該系統(tǒng)利用位于不同地點的數(shù)據(jù)采集單元收集待檢測數(shù)據(jù)，進(jìn)行統(tǒng)一分析后，判斷被保護(hù)系統(tǒng)是否受到攻擊。雖然 DIDS 存在很多不足之處，但它畢竟是對分布式入侵檢測技術(shù)研究的有益嘗試。 為了克服 DIDS 存在系統(tǒng)瓶頸的問題， 1996 年提出的合作式安全管理器(Cooperating Security Manager， CSM ) 通過運(yùn)行于每臺主機(jī)之上的 CSM 單元合作檢測入侵行為。每個 CSM 單元都由 本地入侵檢測單元、安全管理器、圖形用戶界面、入侵處理單元、命令監(jiān)視器和通信處理器組成。 CSM 實現(xiàn)了分布采集，分布決策的思想。同年提出的基于圖的入侵檢測系統(tǒng) (Graph base Intrusion Detection System， GrIDS) 則是考慮到入侵檢測系統(tǒng)擴(kuò)展性不強(qiáng)的問題，針對大規(guī)模網(wǎng)絡(luò)的協(xié)同攻擊，提出了使用圖對網(wǎng)絡(luò)行為進(jìn)行建模的方法。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和攻擊行為的協(xié)同性和分布式的趨勢，入侵檢測技術(shù)必然向著分布式檢測方向發(fā)展。 檢測技術(shù)的分類 根據(jù)采用檢測方法的不同，現(xiàn)有的入侵檢測 技術(shù)從總體上可以分為三類 ：第二 章 入侵檢測技術(shù)研究綜述 13 誤用檢測，異常檢測和混合檢測。 誤用檢測 (Misuse Detection)的思想最早由 Dorothy Denning 博士提出，通過建立專家系統(tǒng)和既定規(guī)則，查找活動中的已知攻擊，這就是誤用檢測方法的原型。誤用檢測判斷入侵的典型過程是根據(jù)已知的攻擊建立檢測模型，將待檢測數(shù)據(jù)與模型進(jìn)行比較，如果能夠匹配上檢測模型，待檢測數(shù)據(jù)將被認(rèn)為是攻擊。典型的建立誤用檢測模型的方法包括專家系統(tǒng)，狀態(tài)轉(zhuǎn)移圖等。從誤用檢測技術(shù)的思想來看，這種技術(shù)能夠很好地發(fā)現(xiàn)跟己知攻擊行為具有相同特征的攻擊，檢測已知攻 擊的正確率很高，然而存在的問題是不能發(fā)現(xiàn)新的攻擊，甚至不能發(fā)現(xiàn)同一種攻擊的變種，因此存在漏報的可能。同時維護(hù)規(guī)則的代價比較高，靈活性和自適應(yīng)性較差。 異常檢測 (Anomaly Detection)的概念在 James Anderson 早期的文章中就有體現(xiàn) ， 他提出可以根據(jù)用戶行為的一些統(tǒng)計信息來判定系統(tǒng)的不正常使用模式，從而發(fā)現(xiàn)“偽裝者”，這正是異常檢測的基本思想。在假定正常行為和攻擊行為存在本質(zhì)差別的情況下，通過分析正常連接的統(tǒng)計特性建立檢測模型，將待檢測行為與統(tǒng)計模型進(jìn)行比較，如果能夠匹配上，則判定該行為是 正常行為。典型的建立異常檢測模型的方法包括閉值分析法、統(tǒng)計分析法、神經(jīng)網(wǎng)絡(luò)等。根據(jù)異常檢測的實現(xiàn)思路，可見這種技術(shù)有能力發(fā)現(xiàn)未知攻擊，不需要實時維護(hù)規(guī)則，擴(kuò)展性和自適應(yīng)性好。但是這種技術(shù)普遍存在誤報率高的缺點。 混合入侵檢測技術(shù)則是綜合了誤用檢測和異常檢測的優(yōu)點而提出的，同時分析異常模型和正常模型從而做出更為準(zhǔn)確的決策，典型的方法有基于規(guī)范的檢測方法，基于生物免疫的檢測方法等。 檢測技術(shù)的評價指標(biāo) 為了評估檢測技術(shù)的優(yōu)劣，需要一系列的定量評價指標(biāo)。主要的評價指標(biāo)包括分類正確率、漏警率、誤警率、檢測 時延和學(xué)習(xí)能力等。 分類正確率是指被正確分類的測試樣本個數(shù)與全體測試樣本個數(shù)的比值 ： ? 被 正 確 分 類 的 測 試 樣 本 個 數(shù)分 類 正 確 率 全 體 測 試 樣 本 個 數(shù) () 這是一個評價入侵檢測技術(shù)對于正常樣本和攻擊樣本區(qū)分能力的總體評價指標(biāo)，從一定程度上反應(yīng)了入侵檢測技術(shù)的總體檢測能力，我們期望分類正確率越高越好。 第二 章 入侵檢測技術(shù)研究綜述 14 漏警率是指攻擊樣本中被誤認(rèn)為是正常樣本的個數(shù)與全體攻擊樣本個數(shù)的比值 ： ? 攻 擊 樣 本 中 被 認(rèn) 為 是 正 常 樣 本 的 個 數(shù)漏 警 率 全 體 攻 擊 樣 本 個 數(shù) () 這個值反應(yīng)了入侵檢測技術(shù)對于攻擊 的識別能力，如果檢測樣本中含有大量訓(xùn)練樣本中所沒有的新攻擊，這個值也從一定程度上反應(yīng)了入侵檢測技術(shù)對未知攻擊的識別能力，表明了入侵檢測技術(shù)的擴(kuò)展性和自適應(yīng)性，我們期望漏警率越低越好。 誤警率是指正常樣本中被認(rèn)為是攻擊樣本的個數(shù)與全體正常樣本個數(shù)的比值 ： ? 正 常 樣 本 中 被 認(rèn) 為 是 攻 擊 樣 本 的 個 數(shù)誤 警 率 全 體 正 常 樣 本 個 數(shù) () 這個值反應(yīng)了入侵檢測技術(shù)對于正常樣本的識別能力。我們期望誤警率越低越好，如果誤警率很高，那么真正有危險的告警可能會被淹沒在無用的誤警當(dāng)中，從而導(dǎo)致真正的攻擊得以成功實施。 前 面三個指標(biāo)都是從檢測的正確性方面衡量入侵檢測技術(shù)的優(yōu)劣，而檢測時延則是從入侵檢測技術(shù)的檢測效率方面衡量檢測技術(shù)的優(yōu)劣。檢測時延是指入侵檢測技術(shù)從開始檢測到判定檢測樣本為攻擊或正常的時間消耗。檢測時延在一定程度上反應(yīng)了檢測技術(shù)的實時性。我們期望檢測時延越小越好，這意味著單位時間內(nèi)可以處理更多的待檢測數(shù)據(jù)，可以更及時地發(fā)現(xiàn)攻擊，從而為制訂安全策略贏得寶貴的時間。 學(xué)習(xí)能力是指入侵檢測技術(shù)能夠從實際應(yīng)用中學(xué)習(xí)到新模式的能力，從而能夠自適應(yīng)地對檢測模型進(jìn)行更新和調(diào)整，適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。 誤用檢測 技術(shù) 誤 用檢測分析系統(tǒng)活動行為，尋找與預(yù)定義入侵模式匹配的事件或者事件集，從而發(fā)現(xiàn)入侵行為。預(yù)定義的入侵模式一般稱為入侵特征，因此誤用檢測又稱作基于特征的檢測。 第二 章 入侵檢測技術(shù)研究綜述 15 基于規(guī)則匹配的檢測技術(shù) 基于規(guī)則匹配的檢測技術(shù)最為典型的是專家系統(tǒng)。專家的經(jīng)驗知識從邏輯上可以表示為產(chǎn)生式規(guī)則、層次樹和狀態(tài)轉(zhuǎn)移圖等形式。基于規(guī)則的入侵檢測技術(shù)多應(yīng)用于早期的入侵檢測系統(tǒng)，如基于產(chǎn)生式規(guī)則的專家系統(tǒng)工具集(Productionbased Expert System Toolset， PBEST)是采用產(chǎn)生式規(guī)則的入侵檢測系統(tǒng) ，加利福尼亞 (California)大學(xué)桑塔芭芭拉 (Santa Barbara)分校研究開發(fā)的狀態(tài)轉(zhuǎn)移分析工具 (State Transition Analysis Tool， STAT)是基于狀態(tài)轉(zhuǎn)移圖的入侵檢測系統(tǒng)。 基于規(guī)則匹配的檢測技術(shù)具有誤報少 、準(zhǔn)確率高的優(yōu)點。但是它只能發(fā)現(xiàn)已知攻擊，難以準(zhǔn)確識別同一種攻擊的變種，對未知攻擊不具備檢測的能力。同時規(guī)則庫的建立與維護(hù)代價高，且容易出現(xiàn)冗余、矛盾、蘊(yùn)含等問題。因此運(yùn)用機(jī)器學(xué)習(xí)技術(shù)使知識庫的建造智能化是未來的發(fā)展趨勢。 基于條件概率的檢測技術(shù) 條件概率誤用入侵檢測方法將入侵方式對應(yīng)于一個事件序列，然后通過觀測到事件發(fā)生情況來推測入侵出現(xiàn)。這種方法的依據(jù)是外部事件序列，根據(jù)貝葉斯定理進(jìn)行推理檢測入侵。 令 ES (Event Sequence)表示事件序列，事件出現(xiàn)的概率為 P(ES)，先驗概率為 P(I) ，后驗概率為 P(ES | I)，則有 ()( | ) ( | ) ()PIP I E S P E S I P E S? () 通常網(wǎng)絡(luò)安全專家可以給出先驗概率 P(I)，對入侵報告數(shù)據(jù)進(jìn)行統(tǒng)計處理得出 ( | )PES I 和 ( | )P ES I? ， 于是可以計算出 ： ( ) ( ( ( | ) ( | ) ) ( ) ( | )P ES P ES I P ES I P I P ES I? ? ? ? ? ? () 故可以通過事件序列的觀測，從而推算出 ( | )PI ES 。 基于條件概率誤用入侵檢測方法是在概率理論基礎(chǔ)上的一個普遍的方法，它是對貝葉斯方法的改進(jìn)，其缺點就是先驗概率難以給出，而且事件的獨(dú)立性難以滿足。 第二 章 入侵檢測技術(shù)研究綜述 16 基于狀態(tài)轉(zhuǎn)移分析的檢測技術(shù) 狀態(tài)轉(zhuǎn)移分析方法把入侵表示為一系列被監(jiān)控的系統(tǒng)狀態(tài)轉(zhuǎn)移，每一個 狀態(tài)對應(yīng)一個系統(tǒng)行為，每個狀態(tài)都必須滿足特定的布爾表達(dá)式。狀態(tài)間用有向弧連接，當(dāng)弧上的特征行為發(fā)生時，狀態(tài)發(fā)生轉(zhuǎn)移。如果到達(dá)危險狀態(tài)，表示當(dāng)前可能正在發(fā)生入侵事件。 Ilgun 等提出的 STAT 就采用狀態(tài)轉(zhuǎn)移分析方法，并在 UNIX 平臺上實現(xiàn)了一個原型系統(tǒng) USTAT。 攻擊模式只能說明事件序列，因此不能說明更復(fù)雜的事件。而且，除了通過植入模型的原始的謂詞，沒有通用的方法來排除攻擊模式部分匹配。 基于模型 推理 誤用的檢測技術(shù) 基于模型 推理 誤用入侵檢測方法是通過建立誤用證據(jù)模型，根據(jù)證據(jù)推理來作出誤用發(fā) 生判斷結(jié)論。 Garvey 和 Lunt 首先提出這種方法。其方法要點是建立入侵場景數(shù)據(jù)庫、預(yù)警器和規(guī)劃者。每個入侵場景表示成一個入侵行為序列，在任意的給定時刻，入侵場景的子集都被用來推斷系統(tǒng)是否遭受入侵。入侵檢測系統(tǒng)根據(jù)當(dāng)前的活動模型，預(yù)警器產(chǎn)生下一步行為，用來在審計跟蹤時作驗證使用。規(guī)劃者負(fù)責(zé)判斷假設(shè)的行為是如何反映在審計跟蹤數(shù)據(jù)上，以及將假設(shè)的行為變成與系統(tǒng)相關(guān)的審計跟蹤進(jìn)行匹配。由于行為到活動的映射必須很容易地在審計跟蹤中識別出，故 ( | )( | )P A c tiv ity B e h a v io rP A c tiv ity B e h a v io r?的值必須比較大。因為某 些入侵場景的證據(jù)累積，故其它的證據(jù)就 下降，活動模型組成被更新。同時系統(tǒng)中嵌入證據(jù)推理分析功能，這樣就允許更新活動模型列表中的攻擊場景出現(xiàn)的概率，根據(jù)攻擊場景概率的大小進(jìn)行推斷檢測入侵。 這種方法的優(yōu)點在于具有堅實的數(shù)據(jù)未確定推理理論作為基礎(chǔ)。對于專家系統(tǒng)方法不容易處理未確定的中間結(jié)論，可以用模型證據(jù)推理解決。而且可以減少審計數(shù)據(jù)量。然而，增加了創(chuàng)建每一種入侵檢測模型的開銷是這種方法的缺點。 第二 章 入侵檢測技術(shù)研究綜述 17 異常檢測技術(shù) 異常檢測根據(jù)系統(tǒng)的異常行為或者對資源的異常存取來判斷是否發(fā)生入侵事件，異常檢測需要建立一個閥值 來區(qū)分正常事件與入侵事件。通?；诋惓５?IDS 的檢測是針對某個特定的對象，這個對象可以是某個人也可以是某個程序。首先監(jiān)視這個對象的行為特征，以便產(chǎn)生這個對象的行為概貌，并通過其后的監(jiān)視對比學(xué)習(xí)到的行為概貌檢測出這個對象的異常行為，產(chǎn)生告警并做出相應(yīng)的反應(yīng)。目前應(yīng)用于基于異常的入侵檢測方式主要有 ： 統(tǒng)計方法、貝葉斯推理、神經(jīng)網(wǎng)絡(luò) 、遺傳算法 、 數(shù)據(jù)挖掘、 免疫學(xué)、支持向量機(jī)等。 基于統(tǒng)計方法的檢測 技術(shù) 統(tǒng)計方法是異常檢測較多采用的分析方法。正常的操作存在內(nèi)在的統(tǒng)計規(guī)律， IDS 檢測主體 (如用戶 )的活動并 生成相應(yīng)的活動特征 (Profile)?；顒犹卣骱腥舾芍笜?biāo) (Measure)值，每個指標(biāo)值代表系統(tǒng)安全性某個方面的閥值，這些指標(biāo)值根據(jù)經(jīng)驗或