基于入侵检测技术的研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于入侵检测技术的研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:入侵检测是一种重要的主动安全防御技术。神经网络、遗传算法、免疫原理、机器学习、专家系统、数据挖掘、Boosting模糊分类等智能化方法是解决IDS局限性的有效方法。本文介绍并着重分析了2种基于智能方法的IDS,阐述了对入侵检测系统的测试评估方面的最新发展情况;最后,展望了入侵检测系统发展的方向。
关键词:入侵检测系统 Boosting算法智能算法
中图分类号: TN915 文献标识码:A
随着互联网技术的飞速发展,网络的结构变得越来越复杂,网络安全也变得日益重要和复杂,一个健全的网络信息系统安全方案应该包括安全效用检验、安全审计、安全技术、安全机构与程序和安全规则等内容。目前经常使用的安全技术主要有防火墙、防病毒软件、用户认证、加密、入侵检测技术等。多年来,人们在维护信息系统安全时常用的安全技术往往是防火墙。然而,随着各种网络安全事件的发生,使得人们清楚地认识到仅仅依靠防火墙来维护系统安全是远远不够。
入侵检测是一种主动的网络安全防御措施,它不仅可以通过监测网络实现对内部攻击、外部攻击和误操作的实时保护,有效地弥补防火墙的不足,而且还能结合其它网络安全产品,对网络安全进行全方位的保护,具有主动性和实时性的特点,是防火墙重要的和有益的补充。
1入侵检测的基本概念与模型
早在20世纪80年代初期,Anderson将入侵定义为:未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。Heady认为入侵是指试图破坏资源的完整性、机密性及可用性的行为集合J。我们认为,入侵的定义应与受害目标相关联,判断与目标相关的操作是对目标的操作超出了目标的安全策略范围。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能系统称为入侵检测系统,简称IDS。
最早的入侵检测模型是由Denning给出的,该模型主要根据主机系统审计记录数据,生成有关系统的若干轮廓,并监测轮廓的变化差异发现系统的入侵行为,如图1所示。为此,Chen等提出一种通用的入侵检测框架模型,简称CIDFJ。该模型认为入侵检测系统由事件产生器(eventgenerators)、事件分析器(eventanalyzers)、响应单元(responseunits)和事件数据库(eventdatabases)组成,如图2所示。
CIDF将入侵检测系统需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志等其它途径得到的信息。事件产生器是从整个计算环境中获得事件,并向系统的其它部分提供事件。事件数据库存放各种中间和最终数据,数据存放的形式既可以是复杂的数据库,也可以是简单的文本文件。CIDF模型具有很强的扩展性,目前已经得到广泛认同。
2入侵检测系统的分类
基于信息来源的不同,网络入侵检测系统可分为网络基IDS、主机基IDS和混合基IDS 3类,其中混合基IDS是综合了网络基IDS和主机基IDS的入侵检测系统,它既可以发现网络中的入侵信息,又可以从系统日志中发现异常情况。
基于检测分析方法的不同,网络入侵检测可分为滥用检测IDS(基于知识)与异常检测IDS(基于行为)2类。后者的理论基础是假设入侵者活动异常于正常主体的活动中,通过对审计踪迹数据的分析建立起系统主体的正常行为特征轮廓,将当前主体的活动状况与已建立的特征轮廓进行比较。
3入侵检测的方法和技术
入侵检测系统在结构上的发展是与信息系统的结构变化密切相关,但入侵检测的方式没有多少变化,时至今日入侵检测还是异常检测、误用检测或是二者的结合。入侵检测系统发展趋势为同时采用多种检测技术的综合型智能入侵检测系统。
3.1基于神经网络的入侵检测系统
人工神经网络的优点是具有较强的容错性,能够识别带噪声或变形的输入模式,具有很强的自适应能力;而入侵检测系统的异常检测技术实质上是一种模式识别或分类问题,因此有很多学者将神经网络技术应用到了入侵检测系统中,发展成为今天的基于神经网络的入侵检测系统。
3.2基于贝叶斯推理的入侵检测方法
基于贝叶斯推理的入侵检测方法,系指在任意给定的时刻,测量Al,A2,…An变量值,推理判断系统是否发生入侵行为。其中,每个变量A表示系统某一方面的特征,例如磁盘I/0的活动数量、系统中页面出错的数目等。每个异常变量Ai的异常可靠性和敏感性分别用P(Ai=1|I,)和P(Ai=1|I)表示。于是,在给定每个Ai值的条件下,由贝叶斯定理得出I的可信度为:
P(I|Al,A2,…An)= P(Al,A2,…An|I) (1)
其中,要求给出I和I的联合概率分布。假定每个测量Ai仅
与I相关,与其它的测量条件Aj(i≠j)无关,则有:
P(Al,A2,…An|I)= ∏i=1P(Ai|I)
P(Al,A2,…An|I)= ∏i=1p(Ai|I)
从而得到:
P(I|A1,A2,…An)P(I) ∏i=1P(Ai|I)
P(I |Al,A2,…An) P(I) ∏i=1p(Ai|I)
因此,根据各种异常测量的值、入侵的先验概率、入侵发生时每种测量得到的异常概率,能够判断系统入侵的概率。但是为了保证检测的准确性,还需要考查各测量Ai之间的独立性。一种方法是通过相关性分析,确定各异常变晕与入侵的关系。
3.3 遗传算法
遗传算法是进化算法的一个实例,来自达尔文自然选择这一概念。遗传算法有能力处理多维优化问题,其中,染色体由将要优化的变量的代码值组成。若适宜函数设计得很好,则检测率可能会较高,而误警率会很低。GA的不利是它不能在审计轨迹中定位攻击,也不能检测一个新的攻击。基于GA的入侵检测不能检测协同攻击,且该检测方法遭遇计算复杂度的考验。
3.4 分类和聚类
分类将一个数据项分配到其中的一个类别中,这些类是用一组带有正常和攻击事件的数据训练而成,通过iJJJ练可获得几个类,这些类分别被标上正常或攻击,测试数据将按这些类被划分聚类也称为非参数的统计方法,这种方法中,大量的历史数据被分析并根据评价标准将它们聚成几个类。由于训练类别同时需要正常数据和攻击数据,因此,该方法的缺陷也是明显的,即它们不能检测任何新的攻击;另一个缺点是,类中没有包含任何事迹序列信息;而且该方法的计算效率也是个问题,它们不能频繁地更新它们的知识库。
3.5计算机免疫
该方法的基础是入侵检测问题与生物免疫系统的相似性,检测过程也称“自我/非我”的识别过程。Unix系统调用的短序列被用于检测系统的分析,它是以系统为中心而不是以用户为中心的,基于计算机系统中的特权进程系统调用既可用于异常检测又可用于误用检测。该方法对检测Unix中的几种异常行为是很有前景的,但若攻击不包括特权进程,则方法容易失效。
4下一代入侵检测系统的发展方向
(1)面向Ipv6的IDS下一代互联网络采用IPv6协议,IPv6协议本身提供加密和认证功能,这就增加了面向IPv6的入侵检测系统监听网络数据包内容的难度。随着IPv6应用范围的扩展,入侵检测系统支持IPv6将是一大发展趋势,是入侵检测技术未来几年该领域研究的主流。
(2)智能型协作IDS现在的分布式IDS利用分布在网络中的探测器扩大了数据源的范围因而可以更好地检测入侵。但多数DIDS只是简单地丰富了数据来源,并未有效地对信息共享进行协作。因此需要开发智能协作IDS进行灵活分配角色的协作机制,有效抑制短时间内产生的关于同一攻击的告警数量,减少不必要的信息传输,提高检测系统的性能和本身的安全性。
(3)基于行为分析技术的IDS行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生,攻击行为是否生效。这样,不仅能使管理员看到孤立的攻击事件的报警,还可以看到整个攻击过程,有利于日后的取证分析。
(4)根据Gartner的分析,目前对网络的攻击有70%以上是集中在应用层,并且这一数字呈上升趋势。在对应用层的攻击中,大部分是通过H,兀’P协议(80端口)进行的。虽然这些站点通过部署防火墙在网络层以下进行了很好的防范,但其应用层的漏洞仍可被利用进而受到入侵和攻击。因此,对具体应用的有效保护就显得越发重要。
5结论
随着网络安全问题的日益突出,入侵检测也愈来愈多地受到人们的关注,并已经开始在各种不同环境中发挥关键作用.可以预见,入侵检测技术的发展将对网络应用具有重要意义并产生深远影响,而IDS的未来发展方向将是智能的分布式入侵检测系统,研究和开发自主知识产权的IDS系统将成为我国信息安全领域的重要课题。
参考文献
[1]JAMESP,ANDERSONC.Computer security threat monitoring and surveillance[R].Fort Washington,PA,1980.
[2]唐正军,李建华.入侵检测技术[M].北京:清华大学出版社,2004.
[3]郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2006.
[4]于志宏.基于协议分析的入侵检测规则智能匹配[J].吉林大学学报,2008,26(2):157-160.
[5]汪兴东.基于BP神经网络的智能入侵检测系统[J].成都信息工程学院学报,2005,20(1):1-4.
注:文章内所有公式及图表请以PDF形式查看。