淺析網絡異常入侵檢測技術

張寧丹　曾曉華

[摘要]入侵檢測技術是對計算機和網絡資源上的惡意使用行為進行識別和響應。它不僅檢測來自外部的入侵行為,同時也監督內部用戶的未授權活動。主要介紹和分析目前常用的幾種運用于異常入侵檢測的方法技術。

[關鍵詞]入侵檢測異常入侵檢測網絡安全

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0710052-01

一、引言

入侵檢測系統是一個能夠對網絡或計算機系統的活動進行實時監測的自動系統,能夠發現并報告網絡或系統中存在的可疑跡象,提供了對內部攻擊、外部攻擊和誤操作的實時保護,為網絡安全提供更可靠的保障。入侵檢測系統是并聯在網絡中的,通過旁路監聽的方式實時地監視網絡中的流量,對網絡的運行和性能沒有什么影響,同時判斷其中是否含有攻擊的企圖,通過各種手段向管理員報警。入侵檢測系統不但可以發現從外部的攻擊,也可以發現內部的惡意行為。

二、異常入侵檢測技術

本文主要介紹和分析了目前常用的幾種運用于異常入侵檢測的方法技術,這些方法在運用于入侵檢測時都有一個共同的特點,就是異常入侵檢測的工作分為兩個階段:學習階段和檢測階段。鑒于基于異常入侵檢測系統“學習正常、發現異常”的特點,它的特點主要體現在學習過程中,可以在檢測系統中大量借鑒其它領域的方法來完成用戶行為概貌的學習和異常的檢測。下面介紹幾種常用的異常檢測技術。

(一)基于統計學方法的異常檢測技術。基于統計學方法的異常檢測技術是使用統計學的方法來學習和檢測用戶的行為。首先,系統對正常數據的各個特征進行統計,根據統計結果對每一個特征設定一個正常范圍的門限。這些特征和相應的門限組成檢測的統計模型。檢測的時候含有超過這個門限的特征的數據被認為是異常。

基于統計學方法的異常檢測技術也存在一些明顯的缺陷:

1.大多數統計分析系統是以批處理的方式對審計記錄進行分析的,不能提供對入侵行為的實時檢測和自動響應功能,因此檢測系統總是滯后于審計記錄的產生;

2.許多預示著入侵行為的系統異常都依賴于事件的發生順序,但是統計分析的特性導致了它不能反映事件在時間順序上的前后相關性,因此事件發生的順序通常不作為分析引擎所考察的系統屬性;

3.如何確定合適的門限值,是統計分析所面臨的棘手問題,門限如何選擇得不當,就會導致系統出現大量的錯誤報警。

(二)基于神經網絡的異常檢測技術。神經網絡(neural networks)

使用自適應學習技術來提取異常行為的特征,需要對訓練數據集進行學習以得出正常的行為模式,訓練數據標志為正常數據和入侵數據兩類,訓練后的神經網絡可以把事件識別為正常和入侵的。

神經網絡方法對異常檢測來說具有很多優勢:由于不使用固定的系統屬性集來定義用戶行為,因此屬性的選擇是無關的;神經網絡對所選擇的系統度量也不要求滿足某種統計分布條件,因此與傳統的統計分析相比,神經網絡方法具備了非參量化統計分析的優點。神經網絡應用于異常檢測中也存在一些問題。在很多情況下,系統趨向于形成某種不穩定的網絡結構,不能從訓練數據中學習到特定的知識,另外神經網絡對判斷為異常的事件不會提供任何解釋或說明信息,這導致了用戶無法確定入侵的責任人,也無法判定究竟是系統哪方面存在的問題導致了攻擊者得以成功的入侵。

(三)基于數據挖掘技術的異常檢測技術。數據挖掘也稱為知識發現技術,其目的是要從海量數據中提取出我們感興趣的數據信息。對象行為日志信息的數據量通常都非常大,如何從大量的數據中“濃縮”出一個值或一組值來表示對象行為的概貌,并以此進行對象行為的異常分析和檢測,就可以借用數據挖掘的方法。

與其它異常檢測技術所不同的是:數據挖掘技術將入侵檢測看成是一種數據分析過程,著眼于對海量的安全審計數據應用數據挖掘算法,以一種自動和系統的手段建立一套自適應的、具備良好擴展性的入侵檢測系統。基于數據挖掘技術的異常檢測技術優點在于只需收集相關的數據集合,顯著減少系統負擔,技術已相當成熟;這種技術的缺點在于難于提取有效的可以反映系統特征的特征屬性,應用合適的算法進行數據挖掘,誤警率比較高。

(四)基于隨機過程方法的異常檢測技術。基于隨機過程方法的異常檢測技術采用了馬爾可夫過程(markov process)。檢測器把每一種不同類型的審計事件看作是一個狀態變量,使用狀態轉移矩陣表示在系統狀態轉移過程中存在的概率特征。在檢測過程中,使用正常情況下的狀態轉移矩陣,針對每一次系統的實際狀態變化計算其發生的概率,如果計算結果非常小,則認為是出現了異常。這種方法可以發現異常的用戶命令或事件序列,而不僅僅局限于單個的事件。這種技術同樣存在誤警率比較高的缺點。

(五)基于基因算法的異常檢測技術。基因算法是進化算法的一種,引入了達爾文在進化論中提出的自然選擇(優勝劣汰、適者生存)的概念對系統進行優化。基因算法利用對“染色體”的編碼和相應的變異及組合形成新的個體。算法通常針對需要進行優化的系統變量進行編碼,作為構成個體的“染色體”,因此對于處理多維系統的優化是非常有效的。

基因算法在入侵檢測系統中的應用同樣存在以下缺陷:入侵檢測系統的某些規則可能定義為:如果沒有發生特定的事件就認為是入侵或異常,這種規則對于基于基因算法的系統來說是無法產生和處理的;由于對單獨的事件流采用二進制的方法表示,系統無法檢測多種同時發生的攻擊行為。

三、異常入侵檢測的不足之處

異常入侵檢測需要建立目標系統正常活動的輪廓,然后基于這個正常活動的輪廓對系統和用戶的實際活動進行審計,以判斷用戶的行為是否對系統構成威脅。由于缺乏精確的判斷系統是正常或異常的準則,所以異常檢測會出現誤報和漏報的情況,但相比于誤用檢測,它能發現未知的攻擊和已知入侵的變種。

異常入侵檢測根據使用者的行為和資源使用狀況來判斷入侵,因此在判斷未知入侵行為方面要比誤用檢測具有“智能”和“學習”的優點,然而由于沒有固定的模式可供匹配,現在還只能采用一種較模糊的方法,誤檢率高,與誤用方法比起來,準確度要低一些。

四、結束語

從大的趨勢來講,對入侵檢測這一主題的關注仍然有增無減,入侵檢測產品的市場也沒有飽和。威脅的不斷增加是人們對入侵檢測日益關注的一個主要驅動因素,攻擊工具和技術的不斷更新和提高推動著入侵檢測產品不斷發展,與防火墻等技術高度成熟的產品相比,IDS還存在很多問題,需要人們去解決。

基金項目:湖南省教育廳科學研究資助項目(07c720)

參考文獻:

[1]李麗霞,BP神經網絡在判別分析中的應用,數理醫藥雜志[J].2004,17(3):193-195.

[2]洪家榮,示例學習及多功能學習系統AE5,計算機學報[J].1989,12(2):123-127.

[3]彭宏,基于粗集理論和SVM算法的入侵檢測方法研究,計算機工程[J].2005.4,Vol31.