[摘要] IDS分析系統(tǒng)從IDS存儲系統(tǒng)中的數(shù)據(jù)進行進一步的分析，通常采用兩種類型的檢測技術(shù)，基于行為的檢測和基于知識的檢測。

[關(guān)鍵詞] 檢測 行為 知識

隨著病毒，黑客入侵事件的日益猖獗，只從防御的角度構(gòu)造安全系統(tǒng)是不夠的。入侵檢測（IDS）技術(shù)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護措施后新一代的安全保障技術(shù)。

本文提出的基于部件的分布式入侵檢測系統(tǒng)FONIX，其主要組成部分包括主要部件有：網(wǎng)絡引擎、主機代理、存儲系統(tǒng)、IDS分析系統(tǒng)、響應系統(tǒng)、控制臺。

IDS分析系統(tǒng)在整個FONIX系統(tǒng)中處于二級分析結(jié)構(gòu)中，它從存儲系統(tǒng)中的數(shù)據(jù)進行進一步的分析。由于分析系統(tǒng)和存儲系統(tǒng)是利用統(tǒng)一的網(wǎng)絡接口交換數(shù)據(jù)，所以一個IDS中可能有多個分析系統(tǒng)，每個分析系統(tǒng)采用的檢測方法也不一定相同。在同一個分析系統(tǒng)中，也可以同時使用多種檢測方法，對相同的數(shù)據(jù)使用不同的檢測方法進行分析，對各自的檢測結(jié)果進行比較，可以提高檢測準確度，也可以完善不同的檢測方法。

分析系統(tǒng)可以采用兩種類型的檢測技術(shù):基于行為的檢測和基于知識的檢測。

一、基于行為的檢測

基于行為的檢測指根據(jù)使用者的行為或資源使用狀況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測，所以也被稱為異常檢測(Anomaly Detection)?；谛袨榈臋z測與系統(tǒng)相對無關(guān)，通用性較強，能夠檢測出以前未出現(xiàn)過的攻擊方法，其主要缺陷在于誤檢率很高?；谛袨榈臋z測方法主要有以下兩種。

1.概率統(tǒng)計方法

概率統(tǒng)計方法要通過檢測器并根據(jù)用戶對象的動作為每個用戶都建立一個用戶特征表，通過比較當前特征與已存儲定型的以前特征，來判斷是否是異常行為。用戶特征表需要根據(jù)審計記錄情況不斷地加以更新。用于描述特征的變量類型有:操作密度;審計記錄分布;范疇尺度;數(shù)值尺度。

這些變量所記錄的具體操作包括：CPU 的使用，I/O 的使用，使用地點及時間，郵件使用，編輯器使用，編譯器使用，所創(chuàng)建、刪除、訪問或改變的目錄及文件，網(wǎng)絡上活動等。

這種方法的優(yōu)越性在于能應用成熟的概率統(tǒng)計理論。但也有一些不足之處，如：統(tǒng)計檢測對事件發(fā)生的次序不敏感，定義是否入侵的判斷閾值也比較困難等。

2.神經(jīng)網(wǎng)絡方法

利用神經(jīng)網(wǎng)絡檢測入侵的基本思想是用一系列信息單元(命令)訓練神經(jīng)單元，這樣在給定一組輸入后，就可能預測出輸出。與統(tǒng)計理論相比，神經(jīng)網(wǎng)絡更好地表達了變量間的非線性關(guān)系，并且能自動學習并更新。

二、基于知識的檢測

基于知識的檢測也被稱為違規(guī)檢測(Misuse Detection)。這種方法依據(jù)具體特征庫進行判斷，即運用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。

主要缺陷在于與具體系統(tǒng)依賴性太強，難以檢測出內(nèi)部人員的入侵行為?；谥R的檢測方法大致有以下3種。

1.專家系統(tǒng)

專家系統(tǒng)是將有關(guān)入侵的知識轉(zhuǎn)化成if-then結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if 部分，將發(fā)現(xiàn)入侵后采取的相應措施轉(zhuǎn)化成then部分。其中的if-then結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫。

專家系統(tǒng)主要缺陷有全面性問題，即難以科學地從各種入侵手段中抽象出全面的規(guī)則化知識；其次效率。

2.模型推理

模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關(guān)攻擊者行為的知識被描述為：攻擊者目的，攻擊者達到此目的的可能行為步驟，以及對系統(tǒng)的特殊使用等。

模型推理方法的優(yōu)越性在于：對不確定性的推理有合理的數(shù)學理論基礎(chǔ)，同時決策器使得攻擊腳本可以與審計記錄的上下文無關(guān)。另外，這種檢測方法也減少了需要處理的數(shù)據(jù)量。

3.狀態(tài)轉(zhuǎn)換分析

狀態(tài)轉(zhuǎn)換法將入侵過程看作一個行為序列，這個行為序列導致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時首先針對每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導致系統(tǒng)進入被入侵狀態(tài)必須執(zhí)行的操作(特征事件)。然后用狀態(tài)轉(zhuǎn)換圖來表示每一個狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測時不需要一個個地查找審計記錄。

狀態(tài)轉(zhuǎn)換分析法的缺點是不善于分析過分復雜的事件，而且不能檢測與系統(tǒng)狀態(tài)無關(guān)的入侵。

三、結(jié)束語

IDS分析系統(tǒng)在整個IDS系統(tǒng)中處于二級分析結(jié)構(gòu)中，它從存儲系統(tǒng)中的數(shù)據(jù)進行進一步的分析。分析系統(tǒng)通常采用兩種類型的檢測技術(shù)，基于行為的檢測和基于知識的檢測。

基于行為的檢測技術(shù)包括概率統(tǒng)計方法，神經(jīng)網(wǎng)絡方法?；谥R的檢測技術(shù)分為專家系統(tǒng)；模型推理與狀態(tài)轉(zhuǎn)換分析。

參考文獻:

[1]R.Agrawal and R.Srikant.Mining sequential patterns.In Proceedings of the 11th International Conference on Data Engineering ，Taipei，Taiwan，1995

[2]R.Agrawal，T.Imielinski，and A.Swami.Mining association rules between sets of items in arge databases.In Proceedings of the ACM SIGMOD Conference on Management of Data ，pages 207 216，1993

[3]Atkins，P.Buis，C.Hare，R.Kelley，C.Nachenberg，A.B.Nelson，P.Phillips，T.Ritchey，and W.Steen.Internet Security Professional Reference .New Riders Publishing，1996