□文/曲 萍
入侵检测技术研究综述
□文/曲 萍
本文介绍入侵及入侵检测的概念,分析各种入侵检测技术与特点。
入侵;异常数据;入侵检测
近年来,计算机网络的高速发展和应用,使网络安全的重要性也日益增加。如何识别和发现入侵行为或意图,并及时给予通知,以采取有效的防护措施,保证系统或网络安全,这是入侵检测系统的主要任务。
入侵是指任何企图危及计算机系统资源的完整性、机密性和可用性或试图越过计算机或网络安全机制的行为。入侵不仅包括发起攻击的人取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务等对计算机系统造成危害的行为。入侵检测顾名思义,是对入侵行为的发觉,它是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测系统的任务是在所提取到的大量检测数据中找到入侵的痕迹。入侵分析过程需要将提取到的事件与入侵检测规则进行比较,以判断是否发生入侵行为。一方面IDS需要尽可能多地提取数据以获得足够的入侵证据;另一方面由于入侵行为的多变性和复杂性而导致判定入侵的规则越来越复杂。
对于入侵检测系统,可以根据所采用的审计数据源、检测策略、检测的实时性、对抗措施、体系结构等方面进行不同的分类。(1)依据审计数据源的不同可将IDS分为基于网络的IDS与基于主机的IDS;(2)从入侵检测的策略来看,可以分为滥用检测与异常检测;(3)按IDS处理数据的实时性,可以分为实时检测与事后检测;(4)从入侵检测系统的对抗措施来看,可以分为主动系统与被动系统;(5)从入侵检测系统的体系结构来看,可以分为集中式系统与分布式系统。
目前,在IDS研究领域的主要研究方向包括IDS的性能评价、IDS集成中通用的通讯格式、面向大规模分布式网络的IDS框架以及采用一些最新的智能技术来识别新型未知攻击。IDS检测技术主要包括:专家系统技术、统计分析、状态转换分析、神经网络、生物免疫学、智能代理检测技术、模糊技术、数据挖掘、模式匹配技术等。
1、专家系统技术。它是最早的滥用检测方法之一,主要针对滥用检测,也有用于异常入侵检测的。基于专家系统技术的入侵检测系统,其优点是将系统的推理过程和知识库分离,用户只需要解决对问题的描述,不需理解系统的求解过程而达到求解的目的;但也存在着缺点,如系统自适应能力差、对未知攻击无能为力、执行效率低等。
2、统计分析。它是在异常检测中使用最早和最普遍的技术。它的优点是可以“学习”用户或系统的使用习惯,具有较高的检测率和可用性,它不需维护攻击模式库,只需挑选特定的统计量建立模型。缺点是检测的实时性不好,不能反映事件在时间顺序上的前后相关性,统计量和阈值选择上也存在一定困难。
3、状态转换方法。状态转换方法是使用系统状态和状态转换表达式来描述和检测已知入侵。实现状态转换有很多方法,其中最主要的是状态转换分析和着色Petri网。
4、生物免疫法。基于生物免疫的方法,与其他入侵检测方法比,可以满足完善的基于网络的IDS必须具备的三个系统特性,即分布性、自组织性和低消耗性。在不需要攻击先验知识情况下,使用“自我”特征来检测系统的异常,检测效率高,能够检测未知类型的攻击,但对于不涉及到系统特权进程使用的攻击行为往往无能为力。
5、神经网络技术。神经网络作为人工智能的分支,在入侵检测领域得到了较好的应用。神经网络应用于入侵检测主要是利用神经网络对正常的系统或用户行为进行训练,利用其自适应学习特性提取系统或用户行为特征,以此创建系统或用户的行为特征轮廓,并作为异常的判定标准。神经网络具有非参量统计分析的优点,较好的抗干扰能力,具有较高的学习和自适应能力,能识别出新的入侵行为特征和已知入侵行为的变种。但是,神经网络的训练时间过长,收敛速度慢,缺乏对判定结果的直观解释等。
6、数据挖掘技术。数据挖掘技术在入侵检测系统中的应用,主要是通过挖掘审计数据以获得行为模式,分别并分离出入侵行为,有效地实现入侵检测规则。审计数据是由经过预处理的、带有时间戳的审计记录组成,每条审计记录都包含一些属性(也称为特征)。例如,一个典型的审计日志文件包括源IP地址、目的IP地址、服务类型、连接状态等属性。挖掘审计数据是一项十分重要的任务,它直接影响到入侵检测的精确性和可用性。目前,用于入侵检测的数据挖掘技术包括:关联分析、序列分析、分类、聚类分析、孤立点分析以及基于粗糙集的挖掘等。
7、进化计算技术。进化计算技术本质上属于一种模仿某些自然规划的全局优化算法,引入达尔文在进化论中提出的自然选择概念对系统进行优化。进化的主要算法包括:遗传算法、进化规划、进化策略、分类器系统和遗传规划。理论上讲,以上几种算法都可以应用在入侵检测中,目前主要是对遗传算法和遗传规划的应用进行了研究。进化算法的优点是对于多为系统的优化非常有效,同时可以提高对不同攻击类型的分辨力,降低系统的误报率。进化计算在入侵检测中的应用还不成熟,还存在着不少缺陷。
随着网络技术和网络规模的不断发展,入侵检测系统在计算机网络安全体系中发挥着日趋重要的作用。然而,面对层出不穷、变化多端的攻击,仍然需要我们不断完善现有的技术和进行新技术的研究和探讨。
F49
A
唐山学院)