入侵檢測系統(tǒng)研究綜述

李建國　楊憶

【摘 要】通過對入侵檢測系統(tǒng)的發(fā)展綜述，分析了兩種入侵檢測方法的優(yōu)缺點，在此基礎(chǔ)上提出了一種基于數(shù)據(jù)挖掘技術(shù)的混合入侵檢測模型，并對未來入侵檢測系統(tǒng)的發(fā)展發(fā)現(xiàn)作了展望。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；入侵檢測系統(tǒng)；混合入侵檢測

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，社會信息化程度越來越高，人們的消費(fèi)行為也發(fā)生了質(zhì)的變化，大家正享受著電子商務(wù)、移動支付、電子銀行等功能所提供的便利。然而，互聯(lián)網(wǎng)技術(shù)作為一把雙刃劍，其安全性也日漸引起人們的深切關(guān)注。2013年，美國多年來實施的最大的監(jiān)控事件（“棱鏡”事件）讓人們充分感受到了網(wǎng)絡(luò)空間的不安全。該項目是2007年由美國國家安全局和聯(lián)邦調(diào)查局實施的絕密電子監(jiān)聽計劃，通過入侵世界各國政府、企業(yè)等機(jī)構(gòu)的網(wǎng)絡(luò)服務(wù)器，從而搜集大量有價值的情報[1]。2014年1月，由于國內(nèi)頂級域名服務(wù)器受到非法攻擊，導(dǎo)致大量網(wǎng)頁不能瀏覽，給廣大用戶帶來巨大不便和損失。同年3月，攜程公司的安全支付日志被查出存在安全漏洞，入侵者通過漏洞可以非法獲取用戶包括銀行卡賬號、姓名等方面的敏感信息。

為了防止網(wǎng)絡(luò)入侵，解決入侵行為所帶來的不安全問題，入侵檢測系統(tǒng)的研發(fā)已成為廣大學(xué)者們研究的熱點，并隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，該領(lǐng)域的研究也不斷推陳出新。

1 入侵檢測系統(tǒng)的產(chǎn)生與發(fā)展

1980年，Anderson團(tuán)隊在文獻(xiàn)[2]中提出了“計算機(jī)安全威脅監(jiān)控與監(jiān)視”的概念，并給出了相應(yīng)的入侵檢測模型，該模型在某種程度上對提升計算機(jī)系統(tǒng)的監(jiān)控能力有較大幫助。最早的入侵檢測系統(tǒng)的是在1985年由Denning團(tuán)隊提出的。并在文獻(xiàn)[3]中給出了相應(yīng)的模型和算法。該系統(tǒng)通過采用數(shù)據(jù)挖掘技術(shù)，對主機(jī)中的日志文件進(jìn)行計算分析，通過搜索異常訪問行為，進(jìn)而對入侵行為進(jìn)行甄別。由于當(dāng)時網(wǎng)絡(luò)技術(shù)的限制，以上兩種模型均是基于主機(jī)的入侵檢測系統(tǒng)模型，通過分析本地主機(jī)的日志文件、訪問記錄等手段，達(dá)到入侵防御的目的。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，Internet技術(shù)得到了廣泛應(yīng)用，網(wǎng)絡(luò)入侵手段也有了新的發(fā)展和改進(jìn)，僅僅通過本地主機(jī)的防御，很難達(dá)到預(yù)期的效果。因此，一種新的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)應(yīng)運(yùn)而生。1990年，Heberlein在文獻(xiàn)[4]中最早給出了基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型。該系統(tǒng)通過將軟件固化到硬件的方法，提高了數(shù)據(jù)處理的速度，從而使實時采集預(yù)處理網(wǎng)絡(luò)數(shù)據(jù)包，然后采用特定的算法對數(shù)據(jù)分析，找出入侵行為成為可能?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)的構(gòu)建較基于主機(jī)的入侵檢測系統(tǒng)復(fù)雜，常與防火墻協(xié)同運(yùn)行。隨著當(dāng)今快速網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用，以及大數(shù)據(jù)時代的到來，對入侵檢測系統(tǒng)的數(shù)據(jù)處理能力和入侵檢測能力提出新的挑戰(zhàn)，傳統(tǒng)的入侵檢測技術(shù)，難以適應(yīng)這種高速、大數(shù)據(jù)流環(huán)境的要求。從而，學(xué)者們針對這種情況提出了分布式的入侵檢測系統(tǒng)并進(jìn)行了深入研究[5-6]。分布式入侵檢測系統(tǒng)能夠?qū)⒏咚倬W(wǎng)絡(luò)中的數(shù)據(jù)包，以統(tǒng)一的格式存儲處理，較好的實現(xiàn)了多個網(wǎng)絡(luò)服務(wù)器的協(xié)同預(yù)警處理機(jī)制。

2 入侵檢測方法的分類

當(dāng)前常用的入侵檢測方法一般分為誤用檢測和異常檢測兩種方法。本文通過分析了兩種算法的優(yōu)缺點，提出了一種新的混合入侵檢測模型。

2.1 誤用檢測

誤用檢測通過將預(yù)處理的數(shù)據(jù)包與已知的入侵規(guī)則庫比較，進(jìn)行判斷是否存在入侵行為。該方法檢測率高、誤檢率低，但對于未知的新型攻擊，其規(guī)則庫里沒有相關(guān)的規(guī)則信息，就沒有辦法檢測到。文獻(xiàn)[7]提出了基于誤用檢測的不同的入侵檢測模型，并進(jìn)行了比較分析。文獻(xiàn)[8]提出了在誤用檢測系統(tǒng)中采用特征選擇算法，并給出了通用的入侵檢測模型。模型中包括策略生成器、評價規(guī)則集、結(jié)論校驗以及終止條件等四個部分。目前由于誤用檢測無法檢測出異常攻擊，很多入侵檢測系統(tǒng)很少使用這種方法。

2.2 異常檢測

異常檢測是通過分析當(dāng)前網(wǎng)絡(luò)行為與系統(tǒng)歷史的正常訪問是否存在差異，來判斷是否存在攻擊行為。系統(tǒng)首先建立一個正常網(wǎng)絡(luò)行為的狀態(tài)模型，該模型可以自動更新，然后將當(dāng)前的網(wǎng)絡(luò)數(shù)據(jù)流特征與該模型比較分析。當(dāng)發(fā)現(xiàn)當(dāng)前行為與模型的差異達(dá)到一定閾值的時候，就發(fā)出入侵報警。因此，異常檢測對未知的入侵攻擊很容易發(fā)現(xiàn)，但是對于某些特定情況下發(fā)生的，超出正常特征模型所定義的正常網(wǎng)絡(luò)行為，也會發(fā)出報警，所以，異常檢測誤檢率較高。另外，由于異常檢測算法較為復(fù)雜，對時間復(fù)雜度和空間復(fù)雜度的要求較高，使得異常檢測系統(tǒng)的實現(xiàn)較為復(fù)雜。目前，專家們正通過設(shè)計、改進(jìn)異常檢測算法來降低異常檢測系統(tǒng)復(fù)雜程度。文獻(xiàn)[9]給出一種模糊入侵檢測系統(tǒng)，該系統(tǒng)采用了模糊邏輯檢測算法，該算法在處理Dos攻擊和UDP攻擊和郵件炸彈等攻擊方面具有較高的檢測率。文獻(xiàn)[10]提出了采用聚類分析技術(shù)的入侵檢測模型，該模型通過對大量異常數(shù)據(jù)訓(xùn)練提取，采用一種無監(jiān)督的檢測算法，在新型攻擊檢測方面有較高檢測率。

2.3 基于數(shù)據(jù)挖掘技術(shù)的混合入侵檢測

綜合以上研究，兩種檢測方法均有優(yōu)缺點，現(xiàn)給出一種基于數(shù)據(jù)挖掘技術(shù)的入侵檢測模型，如圖1所示：

該模型分為客戶端、服務(wù)器端、數(shù)據(jù)訓(xùn)練器三個部分。在客戶端，系統(tǒng)通過數(shù)據(jù)采集模塊收集網(wǎng)絡(luò)數(shù)據(jù)包，并將收集的數(shù)據(jù)通過數(shù)據(jù)傳輸軟件，傳輸?shù)椒?wù)器端；服務(wù)器端收到采集數(shù)據(jù)包后，進(jìn)行審計、預(yù)處理、提取關(guān)鍵字段，并調(diào)用異常檢測和誤用檢測模塊進(jìn)行分析、判斷，同時將數(shù)據(jù)傳送到數(shù)據(jù)訓(xùn)練模塊，通過數(shù)據(jù)訓(xùn)練器，對規(guī)則庫進(jìn)行更新。由此可見，該模型理論上可以適應(yīng)當(dāng)前復(fù)雜的網(wǎng)絡(luò)環(huán)境，可以給出較高的檢測率和較低的誤報率。但是該模型中的算法設(shè)計較為復(fù)雜，在時間和空間方面給服務(wù)器造成較大的壓力，如何更新算法，優(yōu)化模型，是今后繼續(xù)研究的方向。

3 未來展望

綜合以上研究，本文對入侵檢測系統(tǒng)的發(fā)展方向作如下分析：

1）基于云計算的分布式入侵檢測系統(tǒng)的研發(fā)將是入侵檢測系統(tǒng)的未來發(fā)展方向之一。在當(dāng)今大數(shù)據(jù)、高速網(wǎng)絡(luò)蓬勃發(fā)展的形勢下，對入侵檢測系統(tǒng)的實時處理能力提出了新的挑戰(zhàn)。

2）基于移動終端的小型入侵檢測系統(tǒng)將是入侵檢測系統(tǒng)的未來發(fā)展方向之一。在當(dāng)前移動互聯(lián)網(wǎng)時代，電子商務(wù)迅速發(fā)展，移動終端快速普及，對基于移動終端入侵檢測系統(tǒng)的依賴會大大增強(qiáng)。

【參考文獻(xiàn)】

[1]Wikipedia. PRISM（surveillance program）[EB/OL]. https：//en.wikipedia.org/wiki/PRISM_ （surveillance_program）.

[2]Andersen J P. Computer security threat monitoring and surveillance. Technical Repert[R]. James P Fort Washington， Pennsylvania， 1980.

[3]Denning D E， Neumann P G. Requirements and model for ides： a real-time intrusion detection system[J]. Comput.sci.lah Sri International Menlo Park Ca Tech.rep， 1985.

[4]Heherlein L T， Dias G， Levitt K， et al. A network security mcnitor[J].IEEE Computer Society Symp. on Research in Security and Privacy， 1990： 296-304.

[5]時軍艷，王淑敏.基于移動Agent的分布式入侵檢測模型構(gòu)建[J].電腦知識與技術(shù)，2009，5（21）：5925-5927.

[6]程建，漲明清，劉小虎，等.基于人工免疫的分布式入侵檢測模型[J].計算機(jī)應(yīng)用，2014，34（1）：86-89，94.

[7]K.Broderick， M. Bailey， M. Eastwood. Worldwide Enterprise Server cloud computing 2010-2014 Forecast[R]. IDC， 2010.

[8]Dash M， Liu H. Feature selection for classification[J]. Intelligent Data Analysis， Amsterdam： IOS Press，1997（3）： 131-156.

[9]Han J， Kamber M. Data mining： concepts and techniques[M]. Moigan Kaufoiann，2006.

[10]Dhanalakshmi Y， Ramesh Babu I. Intrusion detection using data mining along fuzzy logic and geneticalgorithms[J]. International Journal of Computer Science and Network Security， 2008， 8（2）：27-32.

[責(zé)任編輯：楊玉潔]