摘 要：對于任何一個(gè)國家、企業(yè)或者個(gè)人來說，隨著計(jì)算機(jī)及網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問題是一個(gè)無法回避且重要的問題呈現(xiàn)在面前，很多非法分子或者合法用戶的不當(dāng)使用都會(huì)對網(wǎng)絡(luò)系統(tǒng)造成破壞，針對這些行為要采用相應(yīng)的技術(shù)進(jìn)行制止或者預(yù)防，入侵檢測技術(shù)成為解決該問題的最好方法之一。文章主要簡綜述了入侵檢測系統(tǒng)的基本檢測方法。

關(guān)鍵詞：入侵檢測；入侵檢測系統(tǒng)；誤用檢測；異常檢測

1 入侵檢測系統(tǒng)概述

隨著計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)及數(shù)據(jù)的安全問題隨之出現(xiàn)，傳統(tǒng)的防火墻技術(shù)雖然可以進(jìn)行有效的防御，但是由于其存在很多弊端，例如：很多外部訪問不經(jīng)過防火墻；來自計(jì)算機(jī)數(shù)據(jù)庫內(nèi)部的威脅等，防火墻就無能為力了，它并不能對已經(jīng)進(jìn)入計(jì)算機(jī)系統(tǒng)或者來自計(jì)算機(jī)數(shù)據(jù)庫內(nèi)部威脅進(jìn)行檢測；訪問控制系統(tǒng)可以根據(jù)權(quán)限來防止越權(quán)行為，但是很難保證具有高級(jí)權(quán)限的用戶對系統(tǒng)所做的破壞行為，也無法阻止低權(quán)限用戶非法活動(dòng)高級(jí)權(quán)限對系統(tǒng)所進(jìn)行的破壞；漏洞掃描系統(tǒng)是采用模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查，然后根據(jù)掃描結(jié)果向用戶提供系統(tǒng)的安全性分析報(bào)告，以便用戶采取相應(yīng)措施來提高網(wǎng)絡(luò)安全。它雖然可以發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)漏洞，但無法對系統(tǒng)進(jìn)行實(shí)時(shí)掃描，入侵檢系統(tǒng)可以進(jìn)行實(shí)時(shí)掃描。

發(fā)現(xiàn)入侵行為就是入侵檢測。它通過從計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)的核心點(diǎn)收集信息并對其進(jìn)行分析，然后從其中看網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的動(dòng)作和被攻擊的跡象。入侵檢測目的是保證系統(tǒng)資源的可用性、機(jī)密性和完整性，要達(dá)到這個(gè)目的就要對系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，以便發(fā)現(xiàn)各種攻擊操作、攻擊結(jié)果或者攻擊動(dòng)態(tài)。進(jìn)行入侵檢測的硬件與軟件的組合構(gòu)成了入侵檢測系統(tǒng)，它能執(zhí)行所有的入侵檢測任務(wù)和功能，監(jiān)視或阻止入侵或者企圖控制系統(tǒng)或者網(wǎng)絡(luò)資源的行為，它可以實(shí)時(shí)檢測入侵者和入侵信息，并進(jìn)行相應(yīng)處理，最大化的保證系統(tǒng)安全。通過對系統(tǒng)各個(gè)環(huán)節(jié)來收集和分析信息，發(fā)現(xiàn)入侵活動(dòng)的特征、對檢測到的行為自動(dòng)作出響應(yīng)、記錄并報(bào)告檢測過程及結(jié)果是入侵檢測系統(tǒng)的基本原理的四個(gè)部分。

入侵檢測系統(tǒng)從系統(tǒng)結(jié)構(gòu)看，至少包括信息源、分析引擎和響應(yīng)三個(gè)功能模塊。信息源的功能是分析引擎提供原始數(shù)據(jù)今夕入侵分析，信息源的正確性和可靠性直接影響入侵檢測的效果，要使檢測網(wǎng)絡(luò)系統(tǒng)軟件具有完整性，必須使IDS軟件自己有很強(qiáng)的堅(jiān)固性；分析引擎的功能是執(zhí)行入侵或者異常行為檢測；分析引擎的結(jié)果提交給響應(yīng)模塊后，響應(yīng)模塊采取必要和適當(dāng)?shù)拇胧?，阻止入侵行為或回?fù)受損害的系統(tǒng)。分析引擎包括完整性分析、模式匹配和統(tǒng)計(jì)分析。響應(yīng)可分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。主動(dòng)響應(yīng)就是系統(tǒng)自動(dòng)或者以用戶設(shè)置的方式阻斷攻擊過程或以其他方式來阻斷攻擊過程；被動(dòng)響應(yīng)是系統(tǒng)只報(bào)告和記錄發(fā)生的事件。響應(yīng)包括簡單報(bào)警、切斷連接、封鎖用戶、改變文件屬性，最大的反應(yīng)就是回?fù)艄粽摺?/p>

入侵檢測系統(tǒng)性能主要的參數(shù)是誤報(bào)和漏報(bào)。所謂誤報(bào)就是把正常事件的識(shí)別看做是攻擊；所謂漏報(bào)是指本來是攻擊事件卻沒被IDS檢測。根據(jù)入侵檢測技術(shù)系統(tǒng)采用的技術(shù)的不同，將IDS分為異常檢測系統(tǒng)和特征檢測系統(tǒng)。異常檢測把入侵活動(dòng)異常于正常主體活動(dòng)作為假設(shè)，建立一個(gè)“活動(dòng)簡檔”作為正?；顒?dòng)文檔，對系統(tǒng)運(yùn)行進(jìn)行實(shí)時(shí)監(jiān)控，若發(fā)現(xiàn)當(dāng)前主體的活動(dòng)與其統(tǒng)計(jì)規(guī)律發(fā)生沖突時(shí)，便進(jìn)行報(bào)警。異常入侵檢測技術(shù)與系統(tǒng)相對無關(guān)，通用性較強(qiáng)，甚至有可能檢測出以前未出現(xiàn)的攻擊行為，但誤檢率高，面臨受惡意訓(xùn)練攻擊的可能。

特征檢測系統(tǒng)是把入侵者的活動(dòng)用一種模式表示出來作為假設(shè)，對系統(tǒng)運(yùn)行進(jìn)行實(shí)時(shí)觀察，比較觀察到的對象與這些模式是否一致或者相符，一旦發(fā)生了相符情況，便進(jìn)行報(bào)警。檢測準(zhǔn)確度高是其最大的優(yōu)點(diǎn)，但是受已知知識(shí)的局限，另外對目標(biāo)系統(tǒng)依賴性太強(qiáng)，不但移植性不好，維護(hù)工作量大，對于內(nèi)部人員的入侵行為無能為力。

2 常見的入侵檢測方法

2.1 在異常入侵檢測系統(tǒng)中常常采用以下幾種檢測方法：

2.1.1 基于貝葉斯推理檢測法：是通過在任何給定的時(shí)刻，測量變量值，推理判斷系統(tǒng)是否發(fā)生入侵事件。

2.1.2 基于特征選擇檢測法：指從一組度量中挑選出能檢測入侵的度量，用它來對入侵行為進(jìn)行預(yù)測或分類。

2.1.3 基于貝葉斯網(wǎng)絡(luò)檢測法：用圖形方式表示隨機(jī)變量之間的關(guān)系。通過指定的與鄰接節(jié)點(diǎn)相關(guān)一個(gè)小的概率集來計(jì)算隨機(jī)變量的聯(lián)接概率分布。按給定全部節(jié)點(diǎn)組合，所有根節(jié)點(diǎn)的先驗(yàn)概率和非根節(jié)點(diǎn)概率構(gòu)成這個(gè)集。貝葉斯網(wǎng)絡(luò)是一個(gè)有向圖，弧表示父、子結(jié)點(diǎn)之間的依賴關(guān)系。當(dāng)隨機(jī)變量的值變?yōu)橐阎獣r(shí)，就允許將它吸收為證據(jù)，為其他的剩余隨機(jī)變量條件值判斷提供計(jì)算框架。

2.1.4 基于模式預(yù)測的檢測法：事件序列不是隨機(jī)發(fā)生的而是遵循某種可辨別的模式是基于模式預(yù)測的異常檢測法的假設(shè)條件，其特點(diǎn)是事件序列及相互聯(lián)系被考慮到了，只關(guān)心少數(shù)相關(guān)安全事件是該檢測法的最大優(yōu)點(diǎn)。

2.1.5 基于統(tǒng)計(jì)的異常檢測法：是根據(jù)用戶對象的活動(dòng)為每個(gè)用戶都建立一個(gè)特征輪廓表，通過對當(dāng)前特征與以前已經(jīng)建立的特征進(jìn)行比較，來判斷當(dāng)前行為的異常性。用戶特征輪廓表要根據(jù)審計(jì)記錄情況不斷更新，其保護(hù)去多衡量指標(biāo)，這些指標(biāo)值要根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)而得到。

2.1.6 基于機(jī)器學(xué)習(xí)檢測法：是根據(jù)離散數(shù)據(jù)臨時(shí)序列學(xué)習(xí)獲得網(wǎng)絡(luò)、系統(tǒng)和個(gè)體的行為特征，并提出了一個(gè)實(shí)例學(xué)習(xí)法IBL，IBL是基于相似度，該方法通過新的序列相似度計(jì)算將原始數(shù)據(jù)（如離散事件流和無序的記錄）轉(zhuǎn)化成可度量的空間。然后，應(yīng)用IBL學(xué)習(xí)技術(shù)和一種新的基于序列的分類方法，發(fā)現(xiàn)異常類型事件，從而檢測入侵行為。其中，成員分類的概率由閾值的選取來決定。

2.1.7 數(shù)據(jù)挖掘檢測法：數(shù)據(jù)挖掘的目的是要從海量的數(shù)據(jù)中提取出有用的數(shù)據(jù)信息。網(wǎng)絡(luò)中會(huì)有大量的審計(jì)記錄存在，審計(jì)記錄大多都是以文件形式存放的。如果靠手工方法來發(fā)現(xiàn)記錄中的異?，F(xiàn)象是遠(yuǎn)遠(yuǎn)不夠的，所以將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測中，可以從審計(jì)數(shù)據(jù)中提取有用的知識(shí)，然后用這些知識(shí)區(qū)檢測異常入侵和已知的入侵。目前的方法有KDD算法，其優(yōu)點(diǎn)是善于處理大量數(shù)據(jù)的能力與數(shù)據(jù)關(guān)聯(lián)分析的能力，但是實(shí)時(shí)性較差。

2.1.8 基于應(yīng)用模式的異常檢測法：該方法是根據(jù)服務(wù)請求類型、服務(wù)請求長度、服務(wù)請求包大小分布計(jì)算網(wǎng)絡(luò)服務(wù)的異常值。通過實(shí)時(shí)計(jì)算的異常值和所訓(xùn)練的閾值比較，從而發(fā)現(xiàn)異常行為。

2.1.9 基于文本分類的異常檢測法：該方法是將系統(tǒng)產(chǎn)生的進(jìn)程調(diào)用集合轉(zhuǎn)換為“文檔”。利用K最近鄰聚類文本分類算法，計(jì)算文檔的相似性。

2.2 誤用入侵檢測系統(tǒng)中常用的檢測方法有：

2.2.1 模式匹配法：是常常被用于入侵檢測技術(shù)中。它是通過把收集到的信息與網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫中的已知信息進(jìn)行比較，從而對違背安全策略的行為進(jìn)行發(fā)現(xiàn)。模式匹配法可以顯著地減少系統(tǒng)負(fù)擔(dān)，有較高的檢測率和準(zhǔn)確率。

2.2.2 專家系統(tǒng)法：這個(gè)方法的思想是把安全專家的知識(shí)表示成規(guī)則知識(shí)庫，再用推理算法檢測入侵。主要是針對有特征的入侵行為。

2.2.3 基于狀態(tài)轉(zhuǎn)移分析的檢測法：該方法的基本思想是將攻擊看成一個(gè)連續(xù)的、分步驟的并且各個(gè)步驟之間有一定的關(guān)聯(lián)的過程。在網(wǎng)絡(luò)中發(fā)生入侵時(shí)及時(shí)阻斷入侵行為，防止可能還會(huì)進(jìn)一步發(fā)生的類似攻擊行為。在狀態(tài)轉(zhuǎn)移分析方法中，一個(gè)滲透過程可以看作是由攻擊者做出的一系列的行為而導(dǎo)致系統(tǒng)從某個(gè)初始狀態(tài)變?yōu)樽罱K某個(gè)被危害的狀態(tài)。

參考文獻(xiàn)

[1]李劍.入侵檢測技術(shù)[M].北京：高等教育出版社，2008.

[2]薛靜鋒.入侵檢測技術(shù)[M].北京：機(jī)械工業(yè)出版社，2004.

[3]吳慶濤，邵志清.入侵檢測研究綜述[J].計(jì)算機(jī)應(yīng)用研究，2005，12.