淺談入侵檢測技術

【摘要】 入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，本文對入侵檢測技術的未來技術走向進行探討，從而通過了解入侵檢測技術可以對校園中的網絡改進。

【關鍵詞】 入侵檢測技術；網絡安全

【中圖分類號】 TP301【文獻標識碼】 B【文章編號】 1005-1074(2008)04-0116-01

隨著計算機技術和通訊技術的迅速發展，網絡正逐步改變著人們的工作方式和生活方式，網絡的開放性、互連性、共享性程度的擴大，特別是Internet的出現，使網絡的重要性和對社會的影響也越來越大，網絡安全問題也變得越來越重要。公司一般通過安裝防火培來保護網絡安全，利用防火墻技術，經過仔細、正確地配置，通常能夠在公司內、外部網之間提供安全的網絡保護，降低網絡安全風險。但是入侵者可繞過防火墻．尋找可能敞開的后門；入侵者可能就在防火墻內。

1 入侵檢測技術的概念和模型

1.1 入侵檢測 是通過收集操作系統、系統程序、應用程序、網絡包等信息，發現系統中違背安全策略或危及系統安全的行為。具有入侵檢測功能的系統稱為入侵檢測系統)，包括入侵檢測的軟件系統和硬件系統。入侵檢測的內容可分為：試圖闖入、成功闖入、冒充其它用戶、違反安全策略、合法用戶的泄露、獨占資源和惡意使用等。

1.2 入侵檢測系統的模型：入侵檢測系統模型包括6個主要的部分 ①主體：在目標系統上活動的實體，通常指用戶；②對象：指資源，由系統文件、設備、命令等占有；③審計記錄：由構成的六元組．活動(Action)是主體對對象(Object)的操作；④活動檔案：即系統正常行為模型，保存系統正?；顒拥南嚓P信息；⑤異常記錄：由組成．表示異常事件的發生情況：⑥活動規則：一組根據產生的異常記錄來判斷入侵是否發生的規則集合。

2 入侵檢測過程分析和布置

2.1 入侵檢測過程分類 入侵檢測的過程分為兩步：①信息收集；②信號分析。信息收集內容主要包括網絡、系統、數據及用戶活動的狀態和行為。

2.2 入侵檢測過程的信息收集 入侵檢測利用的信息一般來自以下四個方面：①網絡和系統日志文件；②目錄和文件中的不期望的改變；③程序執行中的不期望行為；④物理形式的入侵信息。

2.3 入侵檢測過程的信號分析

我們對收集到的有關網絡、系統、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析：其中前兩種方法用于實時的入侵檢測，而后一種方法則用于事后分析。實時的入侵檢測是在網絡連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復，這個檢測過程是不斷循環進行的；而事后入侵檢測由網絡管理人員進行(具有網絡安全的專業知識)，他們根據計算機系統對用戶操作所做的歷史審計記錄判斷用戶是否具有人侵行為，如果有就斷開連接，并記錄入侵證據和進行數據恢復。事后入侵檢測是管理員定期或不定期進行的。不具有實時勝，因此防御入侵的能力不如實時入侵檢測系統。①模式匹配；②統計分析；③完整性分析。

3 入侵檢測技術種類及常用的入侵檢測方法

根據檢測方法，入侵檢測技術主要可以分為兩種：誤用檢測和異常檢測。大部分現有入侵檢測工具都使用誤用檢測方法。另外，還有一種完整性分析的檢測方法，主要對系統中的文件或對象的完整性進行檢查，從而判斷是否有入侵。

3.1 誤用入侵檢測(VIisuse Detection) 主要是通過某種預先定義入侵行為，然后監視系統的運行，并從中找出符合預先定義規則的入侵行為，進而發現相同的攻擊。

3.2 異常入侵檢測(Abnornml Detection) 首先通過多種方法建立正常或有效行為的模型，在檢測時把當前行為與正常模型進行比較，如果比較結果有一定的偏離，則報警異常。

3.3 常用的入侵檢測方法

3.3.1 基于專家系統 該系統最顯著的特征是采用一定的規則表示攻擊的行為，把根據規則進行的推理過程從解決問題的過程中分離出來。

3.3.2 基于誤用預測系統 它推測的依據是一系列的外部事件，最后得到發生攻擊的概率。

3.3.3 基于狀態轉換分析方法 主要是把攻擊行為描述成系統一系列狀態的轉化，通過監視系統狀態來找出攻擊。

3.3.4 基于模式匹配方法 用一定的模式描述來提取攻擊的主要特征，通過匹配機制從審計事件中發現攻擊。

3.3.5 基于統計學方法的異常檢測方法 這種系統使用統計學的方法來學習和檢測用戶的行為。

3.3.6 基于神經網絡的異常檢測方法 這種系統學習算法利用神經網絡緊密地模仿用戶行為，并且根據最近的變化進行調整。

3.3.7 基于免疫的檢測 運用自然免疫系統的特性到網絡安全系統中，使整個系統具有適應性、自我調節性、可擴展性。

3.4 入侵檢測的新技術 數據挖掘技術被Wenke．Lee用在了入侵檢測中。用數據挖掘程序處理搜集到的審計數據，為各種入侵行為和正常操作建立精確的行為模式，這個過程是一個自動的過程，不需要人工分析和編碼入侵模式。

3.5 入侵檢測方法

3.5.1 基于用戶行為概率統計模型的入侵檢測方法 這種入侵檢測方法是基于對用戶歷史行為建模，以及在早期的證據或模型的基礎上，審計系統實時的檢測用戶對系統的使用情況。

3.5.2 基于神經網絡的入侵檢測方法 這種方法是利用神經網絡技術來進行入侵檢測。因此，這種力法對用戶行為具有學習和自適功能，能夠根據實際檢測到的信息有效地加以處理并做出入侵可能性的判斷。

3.5.3 基于專家系統的入侵檢測技術 該技術根據安全專家對可疑行為進行分析的經驗來形成一套推理規則。然后在此基礎上建立相應的專家系統，由此專家系統自動對所涉及的入侵行為進行分析。該系統應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。

3.5.4 基于模型推理的入侵檢測技術 該技術根據入侵者在進行人侵時所執行程序的某些行為特征，建立一種入侵行為型。根據這種行為模型所代表的入侵意圖的行為特征。來判斷用戶執行的操作是否是屬于入侵行為。上述每一種方法都不能保證能準確地檢測出變化無窮的入侵行為，因此在網絡安全防護中要充分衡量各種方法的利弊，綜臺運用這些方法才能有效地檢測出人侵者的非法行為。

4 總結

人侵檢測被認為是防火墻之后的第二道安全閘門，它采用的是一種主動的技術，能有效地發現入侵行為和合法用戶濫用特權的行為，已經成為網絡安全體系中一個重要組成分．目前入侵檢測技術還處于研究和發展階段，同樣存在很多不足之處。隨著網絡通信技術安全性的要求越來越高，人們需要重點研究一些智能化的檢測技術，同時還要研究如何將入侵檢測技術和其他網絡安全技術相結合來構建一個網絡安全體系等等。

5 參考文獻

1 唐正軍，李建華.入侵檢測技術[M].清華大學出版社，2004

2 唐正軍.網絡入侵檢測系統的設計與實現[M].北京：電子工業出版社，2002