《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 入侵檢測系統(tǒng)研究進(jìn)展
入侵檢測系統(tǒng)研究進(jìn)展
張振國1 ,鞏林明1,,2
摘要: 入侵檢測系統(tǒng)是信息安全領(lǐng)域研究的熱點(diǎn)問題,。在闡述入侵檢測系統(tǒng)概念和類型的基礎(chǔ)上,指出了當(dāng)前入侵檢測系統(tǒng)的優(yōu)點(diǎn)及局限性,。神經(jīng)網(wǎng)絡(luò) ,、遺傳算法、模糊邏輯,、免疫原理 ,、機(jī)器學(xué)習(xí),、專家系統(tǒng)、數(shù)據(jù)挖掘,、Agent等智能化方法是解決IDS局限性的有效方法,。介紹并著重分析了2種基于智能方法的IDS,提出了IDS在今后發(fā)展過程中需要完善的問題,。
Abstract:
Key words :

  摘 要:入侵檢測系統(tǒng)是信息安全領(lǐng)域研究的熱點(diǎn)問題,。在闡述入侵檢測系統(tǒng)概念和類型的基礎(chǔ)上,指出了當(dāng)前入侵檢測系統(tǒng)的優(yōu)點(diǎn)及局限性,。神經(jīng)網(wǎng)絡(luò) ,、遺傳算法、模糊邏輯,、免疫原理 ,、機(jī)器學(xué)習(xí)、專家系統(tǒng),、數(shù)據(jù)挖掘,、Agent等智能化方法是解決IDS局限性的有效方法。介紹并著重分析了2種基于智能方法的IDS,,提出了IDS在今后發(fā)展過程中需要完善的問題,。
關(guān)鍵詞:IDS;入侵檢測專家系統(tǒng);人工神經(jīng)網(wǎng)絡(luò);異常檢測;智能體

   在當(dāng)今信息化的時(shí)代,隨著網(wǎng)絡(luò)的高速發(fā)展,,信息安全問題引起了世界各國的高度關(guān)注,。國外在信息安全方面的研究比較早,而我國相對(duì)較晚,,雖然近幾年發(fā)展迅速,,但仍處在發(fā)展的初級(jí)階段。
傳統(tǒng)上,,用戶大都采用被動(dòng)的靜態(tài)防護(hù)技術(shù),,諸如 防火墻、 身份認(rèn)證,、 訪問控制,、 加密、安全路由,。然而,,隨著攻擊者知識(shí)體系的日趨完備,攻擊工具和攻擊技術(shù)的日趨復(fù)雜,,單純的被動(dòng)防御已經(jīng)無法滿足對(duì)信息安全高度敏感部門的需要,,因此,信息防御還應(yīng)采用主動(dòng)的動(dòng)態(tài)防御技術(shù),,即應(yīng)該重視提高系統(tǒng)的人侵檢測能力,、系統(tǒng)的事件反應(yīng)能力以及當(dāng)系統(tǒng)遭到入侵引起破壞時(shí)的快速恢復(fù)能力,。在此境況下,入侵檢測技術(shù)及入侵檢測系統(tǒng)成為了信息安全領(lǐng)域的新熱點(diǎn),。
1 入侵檢測系統(tǒng)的發(fā)展歷程
1980年4月,,JAMES P.A.為美國空軍做了一份題為“Computer Security Threat Monitoring and Surveillance”的技術(shù)報(bào)告。該報(bào)告提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法,,并將威脅分為外部滲透,、內(nèi)部滲透和不法行為3種,最重要的是它提出了利用審計(jì)數(shù)據(jù)來監(jiān)視入侵活動(dòng)的思想,,即入侵檢測系統(tǒng)的思想[1],。1984年到1986年,喬治敦大學(xué)的Dorothy Denning和SRI/CLS公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室的Peter Neumann研究出了一個(gè)名為入侵檢測專家系統(tǒng)IDES (Intrusion Detection Expert Systems)的實(shí)時(shí)入侵檢測系統(tǒng)模型[2],。該模型的六部件理論為構(gòu)建IDS提供了一個(gè)通用框架,。1988年,Teresa Lunt 等人針對(duì)當(dāng)時(shí)爆發(fā)的莫里斯蠕蟲,,基于Dorothy Denning提出的入侵檢測模型[3]開發(fā)出了用于檢測單機(jī)上入侵企圖的入侵檢測專家系統(tǒng)IDS,。1995年又推出了它的改進(jìn)版本,名為下一代入侵檢測專家系統(tǒng)NIDES(Next-generation Intrusion Detection Expert System)[4],。1989年,,加州大學(xué)戴維斯分校的Todd Heberlein 寫了一篇題為《A Network Security Monitor》的論文,文中提出了用監(jiān)控器用于捕獲TCP/IP分組報(bào)文,,第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源,因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī),,網(wǎng)絡(luò)入侵檢測從此誕生,。
時(shí)至今日,IDS的發(fā)展大致經(jīng)歷了3個(gè)階段:第一代IDS包括基于主機(jī)日志分析,、模式匹配,,這個(gè)階段的IDS基本是試驗(yàn)性的系統(tǒng)。第二代IDS出現(xiàn)在于20世紀(jì)90年代中期,,它主要采用網(wǎng)絡(luò)數(shù)據(jù)包截獲,,主機(jī)網(wǎng)絡(luò)數(shù)據(jù)分析和審計(jì)數(shù)據(jù)分析等技術(shù)。代表性的產(chǎn)品有早期的ISS Real Secure(V6.0之前),、Snort等,。國內(nèi)的絕大多數(shù)IDS廠家的產(chǎn)品都屬于這一類。第三代IDS是近幾年才出現(xiàn)的,,其特點(diǎn)是采用協(xié)議分析,、行為分析等技術(shù)。協(xié)議分析技術(shù)的采用極大減小了計(jì)算量,,減少了誤報(bào)率,;行為異常分析技術(shù)的采用賦予了第三代IDS系統(tǒng)識(shí)別未知攻擊的能力,。第三代IDS可以分為基于異常檢測的IDS和基于誤用(濫用)檢測的IDS兩大類。異常檢測IDS是根據(jù)異常行為和計(jì)算機(jī)資源的使用情況來判斷的,,其代表性產(chǎn)品有Network ICE(2001年并入ISS),、Rea1Secure(V7.0)、NFR(v2.0)等,。
2 入侵檢測系統(tǒng)的定義
  入侵檢測的目標(biāo)是在不影響網(wǎng)絡(luò)性能的情況下,,通過檢查系統(tǒng)的審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包信息來檢測,從而提供對(duì)內(nèi)部攻擊,、外部攻擊和誤操作的主動(dòng)的實(shí)時(shí)保護(hù),。
入侵檢測的前提是用戶或者程序的行為是可以被觀察的,而且正常行為和入侵行為之間存在著明顯的不同,。
入侵檢測系統(tǒng)IDS(Intrusion Detection System)是通過分析與安全相關(guān)聯(lián)的數(shù)據(jù)進(jìn)行檢測入侵活動(dòng)的系統(tǒng)[6],。IDS的作用:(1)能夠在入侵攻擊對(duì)用戶產(chǎn)生危害前,發(fā)現(xiàn)入侵,,并利用報(bào)警與防護(hù)系統(tǒng)阻止入侵行為的實(shí)現(xiàn),;(2)在入侵攻擊實(shí)施過程中減少入侵所造成的損失;(3)在遭到入侵攻擊后收集入侵攻擊的相關(guān)信息,,在分析提取后添加到作為防范系統(tǒng)的知識(shí)庫內(nèi),,進(jìn)而增強(qiáng)系統(tǒng)的防范能力。
入侵檢測系統(tǒng)主要由如下4個(gè)部分組成[7,,8],,系統(tǒng)結(jié)構(gòu)如圖1所示。

 

 

 

  (1)數(shù)據(jù)收集裝置:收集反應(yīng)狀態(tài)信息的審計(jì)數(shù)據(jù),,傳給檢測器,;
(2)檢測器:負(fù)責(zé)分析和檢測入侵,并發(fā)出警告信息,;
(3)知識(shí)庫:提供必要的數(shù)據(jù)信息支持,;
(4)控制器:根據(jù)警報(bào)信號(hào),人工或自動(dòng)做出響應(yīng)動(dòng)作,。

3 入侵檢測系統(tǒng)的分類
基于信息來源的不同,,網(wǎng)絡(luò)入侵檢測系統(tǒng)可分為網(wǎng)絡(luò)基IDS、主機(jī)基IDS和混合基IDS 3類,,其中混合基IDS是綜合了網(wǎng)絡(luò)基IDS和主機(jī)基IDS的入侵檢測系統(tǒng),,它既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的入侵信息,又可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況,。
基于檢測分析方法的不同,,網(wǎng)絡(luò)入侵檢測系統(tǒng)可分為濫用檢測IDS(基于知識(shí))與異常檢測IDS(基于行為)2類。前者通過收集入侵攻擊特征和系統(tǒng)缺陷構(gòu)成知識(shí)庫,利用已有的知識(shí)來識(shí)別攻擊行為,;后者的理論基礎(chǔ)是假設(shè)入侵者活動(dòng)異常于正常主體的活動(dòng)中,,通過對(duì)系統(tǒng)審計(jì)蹤跡數(shù)據(jù)的分析建立起系統(tǒng)主體的正常行為特征輪廓,將當(dāng)前主體的活動(dòng)狀況與已建立的特征輪廓進(jìn)行比較,,若有很大偏差,,就認(rèn)為該活動(dòng)可能是“入侵” 行為。
4 傳統(tǒng)入侵檢測系統(tǒng)的局限性及克服方法
  入侵檢測系統(tǒng)在結(jié)構(gòu)上的發(fā)展是與信息系統(tǒng)的結(jié)構(gòu)變化密切相關(guān)的,,但入侵檢測的方式?jīng)]有多少變化 ,,時(shí)至今日入侵檢測系統(tǒng)還是異常檢測、誤用檢測或是二者的結(jié)合,。傳統(tǒng)入侵檢測系統(tǒng)的可擴(kuò)展性和適應(yīng)性都受到限制,。在實(shí)際應(yīng)用中,入侵檢測模型僅能處理一種特殊的審計(jì)數(shù)據(jù)源,,更新費(fèi)用較高,,速度也較慢。
為了克服傳統(tǒng)入侵監(jiān)測系統(tǒng)的局限性,,在原來的基礎(chǔ)上引入了用于對(duì)入侵的特征進(jìn)行辨識(shí)的人工神經(jīng)網(wǎng)絡(luò) ,、遺傳算法、 模糊邏輯,、支持向量機(jī),、免疫原理 、機(jī)器學(xué)習(xí),、專家系統(tǒng),、數(shù)據(jù)挖掘、Agent等智能化方法,。入侵檢測系統(tǒng)發(fā)展趨勢為同時(shí)采用多種檢測技術(shù)的綜合型智能入侵檢測系統(tǒng),。下面就基于人工智能領(lǐng)域分支技術(shù)的IDS進(jìn)行闡述。
4.1  基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)[5,,12,13]
  人工神經(jīng)網(wǎng)絡(luò)的優(yōu)點(diǎn)是具有較強(qiáng)的容錯(cuò)性,,能夠識(shí)別帶噪聲或變形的輸入模式,,具有很強(qiáng)的自適應(yīng)能力;可以進(jìn)行并行分布式信息存儲(chǔ)與處理,,識(shí)別速度快,,能把識(shí)別處理和若干預(yù)處理融為一體進(jìn)行。而入侵檢測系統(tǒng)的異常檢測技術(shù)實(shí)質(zhì)上是一種模式識(shí)別或分類問題,,因此有很多學(xué)者將神經(jīng)網(wǎng)絡(luò)技術(shù)應(yīng)用到了入侵檢測系統(tǒng)中,,發(fā)展成為今天的基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)。
4.2  基于專家系統(tǒng)的入侵檢測系統(tǒng)
專家系統(tǒng)是最經(jīng)典的智能檢測技術(shù)之一,它克服了簡單模式匹配的一些弱點(diǎn),,被許多經(jīng)典的入侵檢測系統(tǒng)IDS所采用,,如MIDAS、IDES,、NIDES,、DIDS和CMDS 等。將專家系統(tǒng)應(yīng)用于IDS,,充分利用安全專家的知識(shí),,通過有效的推理,將所獲取的網(wǎng)絡(luò)數(shù)據(jù)與專家知識(shí)進(jìn)行匹配,,判斷是否為入侵行為,。
4.3 綜合型入侵檢測系統(tǒng):基于專家系統(tǒng)的濫用檢測系統(tǒng)IDES
入侵檢測專家系統(tǒng)IDES(Intrusion Detection Expert System)是SRI公司CSL實(shí)驗(yàn)室20世紀(jì)80年代開始研究的一個(gè)綜合入侵檢測系統(tǒng),同時(shí)采用專家系統(tǒng)(濫用檢測)和統(tǒng)計(jì)分析(異常檢測)[4]兩種檢測技術(shù),。
IDES原型系統(tǒng)采用的是一個(gè)混合結(jié)構(gòu),,包含了一個(gè)異常檢測器和一個(gè)專家系統(tǒng)。異常檢測器采用統(tǒng)計(jì)技術(shù)刻畫異常行為,;專家系統(tǒng)采用基于規(guī)則的方法檢測已知的入侵行為,。IDES系統(tǒng)結(jié)構(gòu)如圖2所示。

 

 

  IDES檢測用戶行為審計(jì)數(shù)據(jù)是否與該用戶的歷史活動(dòng)相一致,。專家系統(tǒng)組件包含描述可疑行為的規(guī)則,,規(guī)則建立在入侵行為的過去知識(shí)、已知的系統(tǒng)脆弱性漏洞及特定系統(tǒng)安全策略基礎(chǔ)上,。
5  引入智能化技術(shù)的入侵檢測系統(tǒng)面臨的主要難點(diǎn)及有待完善的問題
5.1  面臨的主要難點(diǎn)[8,,9,15]
(1) 實(shí)時(shí)檢測難,。由于智能入侵檢測技術(shù)大都采用軟計(jì)算方法,,計(jì)算量大,占用系統(tǒng)資源大,。隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展和吉比特高速網(wǎng)的出現(xiàn),,采用智能入侵檢測技術(shù)的IDS將難以實(shí)現(xiàn)實(shí)時(shí)入侵檢測。
(2) 正常使用模式的建立,。智能入侵檢測技術(shù)大部分都需要先對(duì)數(shù)據(jù)進(jìn)行訓(xùn)練,,從而建立正常使用模式,但要獲得“純凈”的數(shù)據(jù)是比較困難的,。在實(shí)際應(yīng)用中獲取的數(shù)據(jù)大都夾雜一些有攻擊行為的數(shù)據(jù),,若將帶有攻擊行為的數(shù)據(jù)當(dāng)成正常數(shù)據(jù)訓(xùn)練,則建立的模型將不會(huì)檢測出該種攻擊行為,。
(3)缺乏精確性和完備性,。由于網(wǎng)絡(luò)系統(tǒng)的日益復(fù)雜化,,以及各種攻擊方法和攻擊手段的快速更新,專家系統(tǒng)顯得缺乏足夠的完備性和準(zhǔn)確性,,導(dǎo)致根據(jù)專家系統(tǒng)建立的IDS缺乏準(zhǔn)確性,,進(jìn)而容易造成誤報(bào)和漏報(bào)。
(4)門限值的選定,。智能入侵檢測技術(shù)大都是通過對(duì)當(dāng)前系統(tǒng)/用戶行為與正常模型的偏離度來判斷是否為入侵行為,,每個(gè)度對(duì)應(yīng)于一個(gè)門限值,若門限值選擇過高,,則漏警率高; 若門限值選擇過低,,則誤警率高。
(5)自防護(hù)性不強(qiáng),。由于IDS自身存在著脆弱點(diǎn),,而應(yīng)對(duì)攻擊者對(duì)IDS本身的攻擊的防護(hù)手段與技術(shù)還不夠成熟。
5.2 有待進(jìn)一步完善的問題
  由于智能入侵檢測技術(shù)存在著或多或少的問題,,使得這些技術(shù)難以應(yīng)用于實(shí)際,,因此大部分都還停留在研究階段,但智能入侵檢測技術(shù)所具有的自學(xué)習(xí),、自適應(yīng)性的特點(diǎn),,恰是目前計(jì)算機(jī)安全軟件所缺乏而又迫切需要的。有待進(jìn)一步完善的問題主要有:(1)完善相關(guān)技術(shù),,對(duì)現(xiàn)有算法進(jìn)行改進(jìn)或提出新的更高效的算法,,例如需要進(jìn)一步研究數(shù)據(jù)挖掘的算法,以提高數(shù)據(jù)挖掘的效率,,進(jìn)而實(shí)現(xiàn)海量信息的高效處理,;(2)將基于特征分類的檢測技術(shù)與基于智能因素的檢測技術(shù)結(jié)合,進(jìn)一步提高IDS的性能,;(3)采用數(shù)據(jù)融合技術(shù),,進(jìn)一步提高IDS檢測的準(zhǔn)確性;(4)利用Agent及移動(dòng)Agent技術(shù)從檢測系統(tǒng)結(jié)構(gòu)設(shè)計(jì)方面,,實(shí)現(xiàn)對(duì)大型網(wǎng)絡(luò),、高速網(wǎng)絡(luò)、分布式異構(gòu)平臺(tái)環(huán)境的自適應(yīng)性[10,,11,,16];(5)綜合多種技術(shù)構(gòu)造更完美的混合型入侵檢測系統(tǒng),,優(yōu)化IDS系統(tǒng)各方面的性能;(6)發(fā)掘新技術(shù)與手段加強(qiáng)對(duì)IDS本身的防護(hù),。


參考文獻(xiàn)
[1] JAMES P,,ANDERSON C.Computer security threat monitoring and surveillance[R].Fort Washington, PA,1980.
[2] DENING D E,, NEUMANN P G.Requirements and model for IDES—a real-time intrusion detection system[R].Menlo Park,, C A, USA: Computer Science Laboratory,, Sri International,, 1985.
[3] DINNING D E. An intrusion detection model[J].IEEE Trans.On Software Engineering(Special Issue on Computer Security and Privacy),1987, 13(2):222-223.
[4] ANDERSON D,, FRIVOLD T,, VALDES S.Next-generation intrusion detection expert system (NIDES): A summary[R].Menlo Park, California: Computer Science Laboratory,, SRI International,, 1995.
[5] CANNADY. Artificial neural networks for misuse detection [J].National Information Systems Security Conference, 1998:368-381.
[6] 胡昌振.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京:北京理工大學(xué)出版社,2005.
[7] 唐正軍,,李建華.入侵檢測技術(shù)[M].北京:清華大學(xué)出版社,,2004.
[8] 鄭成興.網(wǎng)絡(luò)入侵防范的理論與實(shí)踐[M].北京:機(jī)械工業(yè)出版社,2006.
[9] 于志宏.基于協(xié)議分析的入侵檢測規(guī)則智能匹配[J].吉林大學(xué)學(xué)報(bào),,2008,,26(2):157-160.
[10] 張?jiān)仆?移動(dòng)Agent及其應(yīng)用[M].北京:清華大學(xué)出版社,2002.
[11] 谷雨.基于支持向量機(jī)與移動(dòng)Agent的入侵檢測模型[J].云南民族大學(xué)學(xué)報(bào),2008,,17(1):68-70.
[12] LIU Yan Heng,,TIAN Da Xin,WANG AiNuo.ANNIDS:Intrusion detection system based on artificial neural Network [R].IEEE International Conference on Machine Learning and Cybernetics,2003,,3(2):1337-1342.
[13] 汪興東.基于BP神經(jīng)網(wǎng)絡(luò)的智能入侵檢測系統(tǒng)[J].成都信息工程學(xué)院學(xué)報(bào),2005,,20(1):1-4.
[14] 劉峰,胡昌振.一種基于系統(tǒng)調(diào)用序列的異常檢測模型[J].計(jì)算機(jī)工程,2005,,31(11):139-141.
[15] DASGUPTA D. Immunity-based intrusion detection system: a general framework [R]. Proceedings of 2nd National Information Systems Security Conference (NISSC), 1999:60-147.
[16] 王海星.基于Mobile Agent的智能化分布式入侵檢測系統(tǒng)模型[J].2007(2):57-60.

 

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。