一、入侵检测技术分析

　　1、入侵检测及其作用

　　入侵检测是指通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时作出响应。人侵检测作为一种积极主动的安全防护技术，能很好地弥补防火墙的不足!2]。它能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力 (包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它的主要作用是:(1) 监视、分析用户及系统活动;(2)审计系统构造和弱点。识别反映已知进攻的活动模式并向相关人士报警;(3) 统计分析异常行为模式;(4) 评估重要系统和数据文件的完整性。审计跟踪管理操作系统，并识别用户违反安全策略的行为。

　　2、常用的入侵检测方法

　　常用的入侵检测方法有:模式匹配、协议分析、专家系统、统计分析、数据挖掘、神经网络、遗传算法等。在实际应用与研究中，通常不采用单一的检测方法，而是采用多种检测方法相结合的方式来检测攻击。

　　(1) 模式匹配

　　模式匹配是传统的、最简单的人侵检测方法。该方法需要建立一个攻击特征库，检查接收到的数据中是否包含特征库中的攻击特征，从而判断是否受到攻击。它的算法简单、准确率高，但是只能检测到已知攻击，对已知攻击稍加修改就可以躲过检测，漏报现象严重，模式库需要不断更新。对于高速大规模的网络来说，由于要分析处理大量的数据包，该方法的速度就成为了问题。

　　(2) 协议分析

　　协议分析是对模式匹配的智能扩展，它利用网络协议的高度规则性快速探测攻击的存在。它的出现弥补了模式匹配技术的一些不足，如计算量大、探测准确率低等。另外，协议分析还可以探测碎片攻击。例如:假设袭击执行的基础协议是虚构的BGS协议，攻击要求非法变量foo

　　必须传递到BGS型字段中。如果BGS协议允许隔字节为空，那么模式匹配将无法发现fx00ox00oxoo，相反，协议分析则能够跳过空字节，如期发出警报。

　　(3) 专家系统

　　专家系统使用基于规则的语言为已知攻击建模，它把审计事件表述成语义的事实，推理引擎根据这些规则和事实进行判定。专家系统的建立依赖于知识库的完备性，知识库的完备性取决于审计记录的完备性和实时性。

　　(4) 统计分析

　　统计分析是通过设置极限闹值等方法，将检测数据与已有的正常行为加以比较，如果超出极限值，则认为是入侵行为。常用的入侵检测统计分析模型有:操作模型，方差，多元模型，马尔可夫过程模型及时间序列分析等。

　　(5) 数据挖掘

　　数据挖掘是数据库中的一项技术，它的作用是从大型数据库中抽取知识。对于人侵检测系统来说，也需要从大量的数据中提取出入侵的特征。因此，将数据挖掘技术引入入侵检测系统中，通过数据挖掘程序处理收集到的审计数据，为各种入侵行为和正常操作建立精确的行为模式，这是一个自动的过程。数据挖掘的关键点在于算法的选取和一个正确的体系结构的建立。

　　(6) 神经网络

　　神经网络具有自适应、自组织和自学习的能力，可以处理一些环境信息复杂、背景知识不清楚的问题。将神经网络技术应用于入侵检测系统，以检测未知攻击。来自审计日志或正常网络访问行为的信息，经数据信息预处理模块的处理后即产生输入向量。使用神经网络对输入向量进行处理，从中提取用户正常行为的模式特征，并以此创建用户的行为特征轮廓。这要求系统事先对大量实例进行训练，具有每一个用户行为模式特征的知识，从而可以找出偏离这些轮廓的用户行为。

　　(7) 模糊系统

　　模糊理论在知识和规则获取中具有重要的作用。人类思维、语言具有模糊性，模糊思维形式和语言表达具有广泛性、完美和高效的特征。人们的许多知识是模糊的，模糊知识在控制和决策中具有巨大的作用。由于计算机网络中的正常行为和异常行为难以很好地界定，使用模糊逻辑推理方法，入侵检测系统的误报率则会降低。

　　(8) 免疫系统

　　免疫系统是一个复杂的多代理系统。将免疫系统应用到人侵检测当中，本质上是设计和实现一个分布式智能多代理系统。免疫的基本原理是分辨本体 (正常)和异体(异常)。在入侵检测领域，本体是被监控网络的正常行为，异体是网络的异常行为。

　　(9) 遗传算法

　　遗传算法是基于自然选择，在计算机上模拟生物进化机制的寻优搜索法。在自然界的演化过程中，生物体通过遗传、变异来适应外界环境，一代又一代地优胜劣汰，发展进化。遗传算法模拟了上述进化现象。它把搜索空间映射为遗传空间，即把每个可能的解编码为一个向量，称为一个染色体，向量的每个元素称为基因。所有染色体组成群体，并按预定的目标函数对每个染色体进行评价，根据结果给出一个适应度的值。算法开始时先随机地产生一些染色体，计算其适应度，根据适应度对各染色体进行选择复制、交叉、变异等遗传操作，剔除适应度低的染色体，留下适应度高的染色体，从而得到新的群体。由于新群体的成员是上一代群体的优秀者，继承了上一代的优良形态，因而明显优于上一代。遗传算法就这样反复迭代，向着更优解的方向进化，直至满足某种预定的优化指标。

　　(10) 数据融合

　　数据融合是针对一个系统中使用多个和 (或)多类传感器这一特定问题展开的一种新的数据处理方法，因此数据融合又称多传感器信息融合或信息融合。多传感器信息融合的基本原理就像人脑综合处理信息的过程一样，它充分利用多个传感器资源，通过对各个传感器及其观测信息

　　的合理支配和使用，将各种传感器在空间和时间上的互补与冗余信息根据某种优化准则组合起来，产生对观测环境的一致性解释和描述。它的最终目的是利用多个传感器共同或者联合操作的优势，来提高整个系统的性能。把数据融合引入入侵检测领域，可以从不同角度、不同位置收集反映网络状态的数据信息，如网络数据包、系统日志、系统操作者发出的口令等。对这些信息进行分析和结果融合，给出检测系统的判断结果和响应措施。

　　3、入侵检测过程

　　(1) 入侵检测的第一步是信息收集

　　信息收集内容主要包括系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点 (不同网段和不同主机)收集信息。这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的

　　不一致性却是可疑行为或入侵的最好标识。当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、库和其他工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如，Unix系统的PS指令可以被替换为一个不显示侵人过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件 (黑客隐藏了初始文件并用另一版本代替)。入侵检测利用的信息一般来自以下四个方面:

　　系统和网络日志文件;目录和文件中的不期望的改变;程序执行中的不期望行为;物理形式的入侵信息。

　　(2) 入侵检测的第二步是信号分析

　　信号分析是指对收集到的有关系统、网络、数据及用户活动的状态和行为等信息通过技术手段进行分析的过程。信号分析的技术手段有三种:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

　　1) 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单 (如通过字符串匹配以寻找一个简单的条目或指令)，也可以很复杂 (如利用正规的数学表达式来表示安全状态的变化)。一般来讲，

　　一种进攻模式可以用一个过程 (如执行一条指令)或一个输出 (如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断地升级以

　　对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

　　2) 统计分析 统计分析方法首先给系统对象 (如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的账户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的人侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

　　3) 完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数 (例如MDS)，它能识别哪怕是微小的变化。其优点是不管模

　　式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其他对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

　　(3) 入侵检测的第三步是结果处理

　　结果处理是指当检测到入侵时，就产生预先定义的响应，并采取相应的措施。可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的警告。

　　二、入侵检测技术的发展趋势

　　1、入侵技术的发展变化

　　入侵是指任何企图破坏资源的完整性、保密性和有效性的行为。也指违背系统安全策略的任何事件。从入侵策略的角度来看，入侵可以分为:企图入侵、冒充其他合法用户、成功闯入、合法用户的泄漏、拒绝服务及恶意使用等几个方面。另外，各种系统自身的缺陷、系统的不当配

　　置、网络协议在实现上的漏洞、应用软件的缺陷等都会为入侵提供有利的可乘之机。近些年来无论从规模与方法上人侵技术近年来都发生了变化。人侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面:

　　(1) 入侵或攻击的综合化与复杂化

　　由于网络防范技术的多重化，攻击难度的增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

　　(2) 入侵主体对象的间接化

　　即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。

　　(3) 入侵或攻击的规模扩大

　　对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击不可相提并论。信息战的成败及国家主干通信网络的安全是与任何主权国家领土安全同样重要的国家安全。

　　(4) 入侵或攻击技术的分布化

　　以往常用的人侵与攻击行为往往由单机执行，由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务 (DD0s) 在很短时间内可造成被攻击主机的瘫痪，且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期

　　最常用的攻击手段。

　　(5) 攻击对象的转移

　　入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性地改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点，然后加以攻击。

　　2、入侵检测技术的发展方向

　　随着人侵技术的不断发展，入侵行为表现出不确定性、复杂性及多样性等特点，人侵或攻击向综合化、规模化、分布化等方面发展，入侵检测技术也必须不断地更新和发展。目前，许多学者在研究新的检测方法，如采用自动代理的主动防御方法和将免疫学原理应用到人侵检测的方法等等。未来，入侵检测技术会向以下四个方面发展:一是分布式人侵检测，二是智能化入侵检测，三是全面的安全防御方案，四是建立入侵检测系统评价体系。

　　(1) 分布式入侵检测

　　分布式入侵检侧的第一层含义，即针对分布式网络攻击的检测方法;它的第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。传统的IDS一般局限于单一的基于主机或基于网络的架构，对异构系统及大规模的网络监测明显不足，同时，不同的IDS系统之间不能协同工作，分布式人侵检测技术能够解决这一问题。分布式入侵检测能够数据收集、人侵分析和自动响应方面最大限度地发挥系统资源的优势，其设计模型具有很大的灵活性。

　　(2) 智能化入侵检测

　　智能化人侵检测即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。目前，较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。

　　(3) 全面的安全防御方案

　　使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

　　(4) 建立入侵检测系统评价体系

　　设计通用的入侵检测测试、评估方法和平台，实现对多种入侵检测系统的检测，已成为当前人侵检测的另一重要研究与发展领域。评价入侵检测系统可以从检测范围、系统资源占用、自身的可靠性等方面进行。评价指标有:能否保证自身的安全、运行与维护系统的开销、报警准确

　　率、负载能力以及可支持的网络类型、支持的人侵特征数、是否支持IP碎片重组、是否支持TCP流通重组等。

　　入侵检测技术是继 “防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。入侵检测技术是为计算机网络系统安全的重要组成部分，但它不是一个完全的计算机网络系统安全解决方案，它不能替代其他安全技术，如访问控制、身份识别与认证、加密、防火墙、病毒检测与清除等的功能。但可以将它与其他安全技术，如防火墙技术、安全网管技术等增强协作，以增加其自身的动态灵活反应及免疫能力，为我们提供更加安全的网络环境。