摘 要:入侵檢測系統(tǒng)是信息安全領域研究的熱點問題。在闡述入侵檢測系統(tǒng)概念和類型的基礎上,,指出了當前入侵檢測系統(tǒng)的優(yōu)點及局限性,。神經網絡 、遺傳算法,、模糊邏輯,、免疫原理 、機器學習,、專家系統(tǒng),、數(shù)據(jù)挖掘、Agent等智能化方法是解決IDS局限性的有效方法,。介紹并著重分析了2種基于智能方法的IDS,,提出了IDS在今后發(fā)展過程中需要完善的問題。
關鍵詞:IDS;入侵檢測專家系統(tǒng);人工神經網絡;異常檢測;智能體
在當今信息化的時代,,隨著網絡的高速發(fā)展,,信息安全問題引起了世界各國的高度關注。國外在信息安全方面的研究比較早,,而我國相對較晚,,雖然近幾年發(fā)展迅速,但仍處在發(fā)展的初級階段,。
傳統(tǒng)上,,用戶大都采用被動的靜態(tài)防護技術,諸如 防火墻、 身份認證,、 訪問控制、 加密,、安全路由,。然而,隨著攻擊者知識體系的日趨完備,,攻擊工具和攻擊技術的日趨復雜,,單純的被動防御已經無法滿足對信息安全高度敏感部門的需要,因此,,信息防御還應采用主動的動態(tài)防御技術,,即應該重視提高系統(tǒng)的人侵檢測能力、系統(tǒng)的事件反應能力以及當系統(tǒng)遭到入侵引起破壞時的快速恢復能力,。在此境況下,,入侵檢測技術及入侵檢測系統(tǒng)成為了信息安全領域的新熱點。
1 入侵檢測系統(tǒng)的發(fā)展歷程
1980年4月,,JAMES P.A.為美國空軍做了一份題為“Computer Security Threat Monitoring and Surveillance”的技術報告,。該報告提出了一種對計算機系統(tǒng)風險和威脅的分類方法,并將威脅分為外部滲透,、內部滲透和不法行為3種,,最重要的是它提出了利用審計數(shù)據(jù)來監(jiān)視入侵活動的思想,即入侵檢測系統(tǒng)的思想[1],。1984年到1986年,,喬治敦大學的Dorothy Denning和SRI/CLS公司計算機科學實驗室的Peter Neumann研究出了一個名為入侵檢測專家系統(tǒng)IDES (Intrusion Detection Expert Systems)的實時入侵檢測系統(tǒng)模型[2]。該模型的六部件理論為構建IDS提供了一個通用框架,。1988年,,Teresa Lunt 等人針對當時爆發(fā)的莫里斯蠕蟲,基于Dorothy Denning提出的入侵檢測模型[3]開發(fā)出了用于檢測單機上入侵企圖的入侵檢測專家系統(tǒng)IDS,。1995年又推出了它的改進版本,,名為下一代入侵檢測專家系統(tǒng)NIDES(Next-generation Intrusion Detection Expert System)[4]。1989年,,加州大學戴維斯分校的Todd Heberlein 寫了一篇題為《A Network Security Monitor》的論文,,文中提出了用監(jiān)控器用于捕獲TCP/IP分組報文,第一次直接將網絡流作為審計數(shù)據(jù)來源,,因而可以在不將審計數(shù)據(jù)轉換成統(tǒng)一格式的情況下監(jiān)控異種主機,,網絡入侵檢測從此誕生。
時至今日,,IDS的發(fā)展大致經歷了3個階段:第一代IDS包括基于主機日志分析,、模式匹配,這個階段的IDS基本是試驗性的系統(tǒng)。第二代IDS出現(xiàn)在于20世紀90年代中期,,它主要采用網絡數(shù)據(jù)包截獲,,主機網絡數(shù)據(jù)分析和審計數(shù)據(jù)分析等技術。代表性的產品有早期的ISS Real Secure(V6.0之前),、Snort等,。國內的絕大多數(shù)IDS廠家的產品都屬于這一類。第三代IDS是近幾年才出現(xiàn)的,,其特點是采用協(xié)議分析,、行為分析等技術。協(xié)議分析技術的采用極大減小了計算量,,減少了誤報率,;行為異常分析技術的采用賦予了第三代IDS系統(tǒng)識別未知攻擊的能力。第三代IDS可以分為基于異常檢測的IDS和基于誤用(濫用)檢測的IDS兩大類,。異常檢測IDS是根據(jù)異常行為和計算機資源的使用情況來判斷的,,其代表性產品有Network ICE(2001年并入ISS)、Rea1Secure(V7.0),、NFR(v2.0)等,。
2 入侵檢測系統(tǒng)的定義
入侵檢測的目標是在不影響網絡性能的情況下,通過檢查系統(tǒng)的審計數(shù)據(jù)或網絡數(shù)據(jù)包信息來檢測,,從而提供對內部攻擊,、外部攻擊和誤操作的主動的實時保護。
入侵檢測的前提是用戶或者程序的行為是可以被觀察的,,而且正常行為和入侵行為之間存在著明顯的不同,。
入侵檢測系統(tǒng)IDS(Intrusion Detection System)是通過分析與安全相關聯(lián)的數(shù)據(jù)進行檢測入侵活動的系統(tǒng)[6]。IDS的作用:(1)能夠在入侵攻擊對用戶產生危害前,,發(fā)現(xiàn)入侵,,并利用報警與防護系統(tǒng)阻止入侵行為的實現(xiàn);(2)在入侵攻擊實施過程中減少入侵所造成的損失,;(3)在遭到入侵攻擊后收集入侵攻擊的相關信息,,在分析提取后添加到作為防范系統(tǒng)的知識庫內,進而增強系統(tǒng)的防范能力,。
入侵檢測系統(tǒng)主要由如下4個部分組成[7,,8],系統(tǒng)結構如圖1所示,。
(1)數(shù)據(jù)收集裝置:收集反應狀態(tài)信息的審計數(shù)據(jù),,傳給檢測器;
(2)檢測器:負責分析和檢測入侵,,并發(fā)出警告信息,;
(3)知識庫:提供必要的數(shù)據(jù)信息支持,;
(4)控制器:根據(jù)警報信號,人工或自動做出響應動作,。
3 入侵檢測系統(tǒng)的分類
基于信息來源的不同,,網絡入侵檢測系統(tǒng)可分為網絡基IDS、主機基IDS和混合基IDS 3類,,其中混合基IDS是綜合了網絡基IDS和主機基IDS的入侵檢測系統(tǒng),,它既可以發(fā)現(xiàn)網絡中的入侵信息,又可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況,。
基于檢測分析方法的不同,網絡入侵檢測系統(tǒng)可分為濫用檢測IDS(基于知識)與異常檢測IDS(基于行為)2類,。前者通過收集入侵攻擊特征和系統(tǒng)缺陷構成知識庫,,利用已有的知識來識別攻擊行為;后者的理論基礎是假設入侵者活動異常于正常主體的活動中,,通過對系統(tǒng)審計蹤跡數(shù)據(jù)的分析建立起系統(tǒng)主體的正常行為特征輪廓,,將當前主體的活動狀況與已建立的特征輪廓進行比較,若有很大偏差,,就認為該活動可能是“入侵” 行為,。
4 傳統(tǒng)入侵檢測系統(tǒng)的局限性及克服方法
入侵檢測系統(tǒng)在結構上的發(fā)展是與信息系統(tǒng)的結構變化密切相關的,但入侵檢測的方式沒有多少變化 ,,時至今日入侵檢測系統(tǒng)還是異常檢測,、誤用檢測或是二者的結合。傳統(tǒng)入侵檢測系統(tǒng)的可擴展性和適應性都受到限制,。在實際應用中,,入侵檢測模型僅能處理一種特殊的審計數(shù)據(jù)源,更新費用較高,,速度也較慢,。
為了克服傳統(tǒng)入侵監(jiān)測系統(tǒng)的局限性,在原來的基礎上引入了用于對入侵的特征進行辨識的人工神經網絡 ,、遺傳算法,、 模糊邏輯、支持向量機,、免疫原理 ,、機器學習、專家系統(tǒng),、數(shù)據(jù)挖掘,、Agent等智能化方法。入侵檢測系統(tǒng)發(fā)展趨勢為同時采用多種檢測技術的綜合型智能入侵檢測系統(tǒng),。下面就基于人工智能領域分支技術的IDS進行闡述,。
4.1 基于神經網絡的入侵檢測系統(tǒng)[5,,12,13]
人工神經網絡的優(yōu)點是具有較強的容錯性,,能夠識別帶噪聲或變形的輸入模式,,具有很強的自適應能力;可以進行并行分布式信息存儲與處理,,識別速度快,,能把識別處理和若干預處理融為一體進行。而入侵檢測系統(tǒng)的異常檢測技術實質上是一種模式識別或分類問題,,因此有很多學者將神經網絡技術應用到了入侵檢測系統(tǒng)中,,發(fā)展成為今天的基于神經網絡的入侵檢測系統(tǒng)。
4.2 基于專家系統(tǒng)的入侵檢測系統(tǒng)
專家系統(tǒng)是最經典的智能檢測技術之一,,它克服了簡單模式匹配的一些弱點,,被許多經典的入侵檢測系統(tǒng)IDS所采用,如MIDAS,、IDES,、NIDES、DIDS和CMDS 等,。將專家系統(tǒng)應用于IDS,,充分利用安全專家的知識,通過有效的推理,,將所獲取的網絡數(shù)據(jù)與專家知識進行匹配,,判斷是否為入侵行為。
4.3 綜合型入侵檢測系統(tǒng):基于專家系統(tǒng)的濫用檢測系統(tǒng)IDES
入侵檢測專家系統(tǒng)IDES(Intrusion Detection Expert System)是SRI公司CSL實驗室20世紀80年代開始研究的一個綜合入侵檢測系統(tǒng),,同時采用專家系統(tǒng)(濫用檢測)和統(tǒng)計分析(異常檢測)[4]兩種檢測技術,。
IDES原型系統(tǒng)采用的是一個混合結構,包含了一個異常檢測器和一個專家系統(tǒng),。異常檢測器采用統(tǒng)計技術刻畫異常行為,;專家系統(tǒng)采用基于規(guī)則的方法檢測已知的入侵行為。IDES系統(tǒng)結構如圖2所示,。
IDES檢測用戶行為審計數(shù)據(jù)是否與該用戶的歷史活動相一致,。專家系統(tǒng)組件包含描述可疑行為的規(guī)則,規(guī)則建立在入侵行為的過去知識,、已知的系統(tǒng)脆弱性漏洞及特定系統(tǒng)安全策略基礎上,。
5 引入智能化技術的入侵檢測系統(tǒng)面臨的主要難點及有待完善的問題
5.1 面臨的主要難點[8,9,,15]
(1) 實時檢測難,。由于智能入侵檢測技術大都采用軟計算方法,計算量大,,占用系統(tǒng)資源大,。隨著網絡技術的高速發(fā)展和吉比特高速網的出現(xiàn),,采用智能入侵檢測技術的IDS將難以實現(xiàn)實時入侵檢測。
(2) 正常使用模式的建立,。智能入侵檢測技術大部分都需要先對數(shù)據(jù)進行訓練,,從而建立正常使用模式,但要獲得“純凈”的數(shù)據(jù)是比較困難的,。在實際應用中獲取的數(shù)據(jù)大都夾雜一些有攻擊行為的數(shù)據(jù),,若將帶有攻擊行為的數(shù)據(jù)當成正常數(shù)據(jù)訓練,則建立的模型將不會檢測出該種攻擊行為,。
(3)缺乏精確性和完備性,。由于網絡系統(tǒng)的日益復雜化,以及各種攻擊方法和攻擊手段的快速更新,,專家系統(tǒng)顯得缺乏足夠的完備性和準確性,,導致根據(jù)專家系統(tǒng)建立的IDS缺乏準確性,進而容易造成誤報和漏報,。
(4)門限值的選定。智能入侵檢測技術大都是通過對當前系統(tǒng)/用戶行為與正常模型的偏離度來判斷是否為入侵行為,,每個度對應于一個門限值,,若門限值選擇過高,則漏警率高; 若門限值選擇過低,,則誤警率高,。
(5)自防護性不強。由于IDS自身存在著脆弱點,,而應對攻擊者對IDS本身的攻擊的防護手段與技術還不夠成熟,。
5.2 有待進一步完善的問題
由于智能入侵檢測技術存在著或多或少的問題,使得這些技術難以應用于實際,,因此大部分都還停留在研究階段,,但智能入侵檢測技術所具有的自學習、自適應性的特點,,恰是目前計算機安全軟件所缺乏而又迫切需要的,。有待進一步完善的問題主要有:(1)完善相關技術,對現(xiàn)有算法進行改進或提出新的更高效的算法,,例如需要進一步研究數(shù)據(jù)挖掘的算法,,以提高數(shù)據(jù)挖掘的效率,進而實現(xiàn)海量信息的高效處理,;(2)將基于特征分類的檢測技術與基于智能因素的檢測技術結合,,進一步提高IDS的性能;(3)采用數(shù)據(jù)融合技術,,進一步提高IDS檢測的準確性,;(4)利用Agent及移動Agent技術從檢測系統(tǒng)結構設計方面,,實現(xiàn)對大型網絡、高速網絡,、分布式異構平臺環(huán)境的自適應性[10,,11,16],;(5)綜合多種技術構造更完美的混合型入侵檢測系統(tǒng),,優(yōu)化IDS系統(tǒng)各方面的性能;(6)發(fā)掘新技術與手段加強對IDS本身的防護,。
參考文獻
[1] JAMES P,,ANDERSON C.Computer security threat monitoring and surveillance[R].Fort Washington, PA,,1980.
[2] DENING D E,, NEUMANN P G.Requirements and model for IDES—a real-time intrusion detection system[R].Menlo Park, C A,, USA: Computer Science Laboratory,, Sri International, 1985.
[3] DINNING D E. An intrusion detection model[J].IEEE Trans.On Software Engineering(Special Issue on Computer Security and Privacy),1987,, 13(2):222-223.
[4] ANDERSON D,, FRIVOLD T, VALDES S.Next-generation intrusion detection expert system (NIDES): A summary[R].Menlo Park,, California: Computer Science Laboratory,, SRI International, 1995.
[5] CANNADY. Artificial neural networks for misuse detection [J].National Information Systems Security Conference, 1998:368-381.
[6] 胡昌振.網絡入侵檢測原理與技術[M].北京:北京理工大學出版社,,2005.
[7] 唐正軍,,李建華.入侵檢測技術[M].北京:清華大學出版社,2004.
[8] 鄭成興.網絡入侵防范的理論與實踐[M].北京:機械工業(yè)出版社,,2006.
[9] 于志宏.基于協(xié)議分析的入侵檢測規(guī)則智能匹配[J].吉林大學學報,,2008,26(2):157-160.
[10] 張云通.移動Agent及其應用[M].北京:清華大學出版社,,2002.
[11] 谷雨.基于支持向量機與移動Agent的入侵檢測模型[J].云南民族大學學報,2008,,17(1):68-70.
[12] LIU Yan Heng,TIAN Da Xin,,WANG AiNuo.ANNIDS:Intrusion detection system based on artificial neural Network [R].IEEE International Conference on Machine Learning and Cybernetics,2003,,3(2):1337-1342.
[13] 汪興東.基于BP神經網絡的智能入侵檢測系統(tǒng)[J].成都信息工程學院學報,2005,20(1):1-4.
[14] 劉峰,,胡昌振.一種基于系統(tǒng)調用序列的異常檢測模型[J].計算機工程,2005,,31(11):139-141.
[15] DASGUPTA D. Immunity-based intrusion detection system: a general framework [R]. Proceedings of 2nd National Information Systems Security Conference (NISSC), 1999:60-147.
[16] 王海星.基于Mobile Agent的智能化分布式入侵檢測系統(tǒng)模型[J].2007(2):57-60.