張寧丹　曾曉華

[摘要]入侵檢測技術(shù)是對計算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識別和響應(yīng)。它不僅檢測來自外部的入侵行為,同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動。主要介紹和分析目前常用的幾種運(yùn)用于異常入侵檢測的方法技術(shù)。

[關(guān)鍵詞]入侵檢測異常入侵檢測網(wǎng)絡(luò)安全

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)0710052-01

一、引言

入侵檢測系統(tǒng)是一個能夠?qū)W(wǎng)絡(luò)或計算機(jī)系統(tǒng)的活動進(jìn)行實時監(jiān)測的自動系統(tǒng),能夠發(fā)現(xiàn)并報告網(wǎng)絡(luò)或系統(tǒng)中存在的可疑跡象,提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù),為網(wǎng)絡(luò)安全提供更可靠的保障。入侵檢測系統(tǒng)是并聯(lián)在網(wǎng)絡(luò)中的,通過旁路監(jiān)聽的方式實時地監(jiān)視網(wǎng)絡(luò)中的流量,對網(wǎng)絡(luò)的運(yùn)行和性能沒有什么影響,同時判斷其中是否含有攻擊的企圖,通過各種手段向管理員報警。入侵檢測系統(tǒng)不但可以發(fā)現(xiàn)從外部的攻擊,也可以發(fā)現(xiàn)內(nèi)部的惡意行為。

二、異常入侵檢測技術(shù)

本文主要介紹和分析了目前常用的幾種運(yùn)用于異常入侵檢測的方法技術(shù),這些方法在運(yùn)用于入侵檢測時都有一個共同的特點,就是異常入侵檢測的工作分為兩個階段:學(xué)習(xí)階段和檢測階段。鑒于基于異常入侵檢測系統(tǒng)“學(xué)習(xí)正常、發(fā)現(xiàn)異?！钡奶攸c,它的特點主要體現(xiàn)在學(xué)習(xí)過程中,可以在檢測系統(tǒng)中大量借鑒其它領(lǐng)域的方法來完成用戶行為概貌的學(xué)習(xí)和異常的檢測。下面介紹幾種常用的異常檢測技術(shù)。

(一)基于統(tǒng)計學(xué)方法的異常檢測技術(shù)?；诮y(tǒng)計學(xué)方法的異常檢測技術(shù)是使用統(tǒng)計學(xué)的方法來學(xué)習(xí)和檢測用戶的行為。首先,系統(tǒng)對正常數(shù)據(jù)的各個特征進(jìn)行統(tǒng)計,根據(jù)統(tǒng)計結(jié)果對每一個特征設(shè)定一個正常范圍的門限。這些特征和相應(yīng)的門限組成檢測的統(tǒng)計模型。檢測的時候含有超過這個門限的特征的數(shù)據(jù)被認(rèn)為是異常。

基于統(tǒng)計學(xué)方法的異常檢測技術(shù)也存在一些明顯的缺陷:

1.大多數(shù)統(tǒng)計分析系統(tǒng)是以批處理的方式對審計記錄進(jìn)行分析的,不能提供對入侵行為的實時檢測和自動響應(yīng)功能,因此檢測系統(tǒng)總是滯后于審計記錄的產(chǎn)生;

2.許多預(yù)示著入侵行為的系統(tǒng)異常都依賴于事件的發(fā)生順序,但是統(tǒng)計分析的特性導(dǎo)致了它不能反映事件在時間順序上的前后相關(guān)性,因此事件發(fā)生的順序通常不作為分析引擎所考察的系統(tǒng)屬性;

3.如何確定合適的門限值,是統(tǒng)計分析所面臨的棘手問題,門限如何選擇得不當(dāng),就會導(dǎo)致系統(tǒng)出現(xiàn)大量的錯誤報警。

(二)基于神經(jīng)網(wǎng)絡(luò)的異常檢測技術(shù)。神經(jīng)網(wǎng)絡(luò)(neural networks)

使用自適應(yīng)學(xué)習(xí)技術(shù)來提取異常行為的特征,需要對訓(xùn)練數(shù)據(jù)集進(jìn)行學(xué)習(xí)以得出正常的行為模式,訓(xùn)練數(shù)據(jù)標(biāo)志為正常數(shù)據(jù)和入侵?jǐn)?shù)據(jù)兩類,訓(xùn)練后的神經(jīng)網(wǎng)絡(luò)可以把事件識別為正常和入侵的。

神經(jīng)網(wǎng)絡(luò)方法對異常檢測來說具有很多優(yōu)勢:由于不使用固定的系統(tǒng)屬性集來定義用戶行為,因此屬性的選擇是無關(guān)的;神經(jīng)網(wǎng)絡(luò)對所選擇的系統(tǒng)度量也不要求滿足某種統(tǒng)計分布條件,因此與傳統(tǒng)的統(tǒng)計分析相比,神經(jīng)網(wǎng)絡(luò)方法具備了非參量化統(tǒng)計分析的優(yōu)點。神經(jīng)網(wǎng)絡(luò)應(yīng)用于異常檢測中也存在一些問題。在很多情況下,系統(tǒng)趨向于形成某種不穩(wěn)定的網(wǎng)絡(luò)結(jié)構(gòu),不能從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)到特定的知識,另外神經(jīng)網(wǎng)絡(luò)對判斷為異常的事件不會提供任何解釋或說明信息,這導(dǎo)致了用戶無法確定入侵的責(zé)任人,也無法判定究竟是系統(tǒng)哪方面存在的問題導(dǎo)致了攻擊者得以成功的入侵。

(三)基于數(shù)據(jù)挖掘技術(shù)的異常檢測技術(shù)。數(shù)據(jù)挖掘也稱為知識發(fā)現(xiàn)技術(shù),其目的是要從海量數(shù)據(jù)中提取出我們感興趣的數(shù)據(jù)信息。對象行為日志信息的數(shù)據(jù)量通常都非常大,如何從大量的數(shù)據(jù)中“濃縮”出一個值或一組值來表示對象行為的概貌,并以此進(jìn)行對象行為的異常分析和檢測,就可以借用數(shù)據(jù)挖掘的方法。

與其它異常檢測技術(shù)所不同的是:數(shù)據(jù)挖掘技術(shù)將入侵檢測看成是一種數(shù)據(jù)分析過程,著眼于對海量的安全審計數(shù)據(jù)應(yīng)用數(shù)據(jù)挖掘算法,以一種自動和系統(tǒng)的手段建立一套自適應(yīng)的、具備良好擴(kuò)展性的入侵檢測系統(tǒng)?；跀?shù)據(jù)挖掘技術(shù)的異常檢測技術(shù)優(yōu)點在于只需收集相關(guān)的數(shù)據(jù)集合,顯著減少系統(tǒng)負(fù)擔(dān),技術(shù)已相當(dāng)成熟;這種技術(shù)的缺點在于難于提取有效的可以反映系統(tǒng)特征的特征屬性,應(yīng)用合適的算法進(jìn)行數(shù)據(jù)挖掘,誤警率比較高。

(四)基于隨機(jī)過程方法的異常檢測技術(shù)?；陔S機(jī)過程方法的異常檢測技術(shù)采用了馬爾可夫過程(markov process)。檢測器把每一種不同類型的審計事件看作是一個狀態(tài)變量,使用狀態(tài)轉(zhuǎn)移矩陣表示在系統(tǒng)狀態(tài)轉(zhuǎn)移過程中存在的概率特征。在檢測過程中,使用正常情況下的狀態(tài)轉(zhuǎn)移矩陣,針對每一次系統(tǒng)的實際狀態(tài)變化計算其發(fā)生的概率,如果計算結(jié)果非常小,則認(rèn)為是出現(xiàn)了異常。這種方法可以發(fā)現(xiàn)異常的用戶命令或事件序列,而不僅僅局限于單個的事件。這種技術(shù)同樣存在誤警率比較高的缺點。

(五)基于基因算法的異常檢測技術(shù)?；蛩惴ㄊ沁M(jìn)化算法的一種,引入了達(dá)爾文在進(jìn)化論中提出的自然選擇(優(yōu)勝劣汰、適者生存)的概念對系統(tǒng)進(jìn)行優(yōu)化?；蛩惴ɡ脤Α叭旧w”的編碼和相應(yīng)的變異及組合形成新的個體。算法通常針對需要進(jìn)行優(yōu)化的系統(tǒng)變量進(jìn)行編碼,作為構(gòu)成個體的“染色體”,因此對于處理多維系統(tǒng)的優(yōu)化是非常有效的。

基因算法在入侵檢測系統(tǒng)中的應(yīng)用同樣存在以下缺陷:入侵檢測系統(tǒng)的某些規(guī)則可能定義為:如果沒有發(fā)生特定的事件就認(rèn)為是入侵或異常,這種規(guī)則對于基于基因算法的系統(tǒng)來說是無法產(chǎn)生和處理的;由于對單獨的事件流采用二進(jìn)制的方法表示,系統(tǒng)無法檢測多種同時發(fā)生的攻擊行為。

三、異常入侵檢測的不足之處

異常入侵檢測需要建立目標(biāo)系統(tǒng)正?；顒拥妮喞?然后基于這個正?；顒拥妮喞獙ο到y(tǒng)和用戶的實際活動進(jìn)行審計,以判斷用戶的行為是否對系統(tǒng)構(gòu)成威脅。由于缺乏精確的判斷系統(tǒng)是正?；虍惓５臏?zhǔn)則,所以異常檢測會出現(xiàn)誤報和漏報的情況,但相比于誤用檢測,它能發(fā)現(xiàn)未知的攻擊和已知入侵的變種。

異常入侵檢測根據(jù)使用者的行為和資源使用狀況來判斷入侵,因此在判斷未知入侵行為方面要比誤用檢測具有“智能”和“學(xué)習(xí)”的優(yōu)點,然而由于沒有固定的模式可供匹配,現(xiàn)在還只能采用一種較模糊的方法,誤檢率高,與誤用方法比起來,準(zhǔn)確度要低一些。

四、結(jié)束語

從大的趨勢來講,對入侵檢測這一主題的關(guān)注仍然有增無減,入侵檢測產(chǎn)品的市場也沒有飽和。威脅的不斷增加是人們對入侵檢測日益關(guān)注的一個主要驅(qū)動因素,攻擊工具和技術(shù)的不斷更新和提高推動著入侵檢測產(chǎn)品不斷發(fā)展,與防火墻等技術(shù)高度成熟的產(chǎn)品相比,IDS還存在很多問題,需要人們?nèi)ソ鉀Q。

基金項目:湖南省教育廳科學(xué)研究資助項目(07c720)

參考文獻(xiàn):

[1]李麗霞,BP神經(jīng)網(wǎng)絡(luò)在判別分析中的應(yīng)用,數(shù)理醫(yī)藥雜志[J].2004,17(3):193-195.

[2]洪家榮,示例學(xué)習(xí)及多功能學(xué)習(xí)系統(tǒng)AE5,計算機(jī)學(xué)報[J].1989,12(2):123-127.

[3]彭宏,基于粗集理論和SVM算法的入侵檢測方法研究,計算機(jī)工程[J].2005.4,Vol31.