张宁丹　曾晓华

[摘要]入侵检测技术是对计算机和网络资源上的恶意使用行为进行识别和响应。它不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。主要介绍和分析目前常用的几种运用于异常入侵检测的方法技术。

[关键词]入侵检测异常入侵检测网络安全

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0710052-01

一、引言

入侵检测系统是一个能够对网络或计算机系统的活动进行实时监测的自动系统,能够发现并报告网络或系统中存在的可疑迹象,提供了对内部攻击、外部攻击和误操作的实时保护,为网络安全提供更可靠的保障。入侵检测系统是并联在网络中的,通过旁路监听的方式实时地监视网络中的流量,对网络的运行和性能没有什么影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。入侵检测系统不但可以发现从外部的攻击,也可以发现内部的恶意行为。

二、异常入侵检测技术

本文主要介绍和分析了目前常用的几种运用于异常入侵检测的方法技术,这些方法在运用于入侵检测时都有一个共同的特点,就是异常入侵检测的工作分为两个阶段:学习阶段和检测阶段。鉴于基于异常入侵检测系统“学习正常、发现异常”的特点,它的特点主要体现在学习过程中,可以在检测系统中大量借鉴其它领域的方法来完成用户行为概貌的学习和异常的检测。下面介绍几种常用的异常检测技术。

(一)基于统计学方法的异常检测技术。基于统计学方法的异常检测技术是使用统计学的方法来学习和检测用户的行为。首先,系统对正常数据的各个特征进行统计,根据统计结果对每一个特征设定一个正常范围的门限。这些特征和相应的门限组成检测的统计模型。检测的时候含有超过这个门限的特征的数据被认为是异常。

基于统计学方法的异常检测技术也存在一些明显的缺陷:

1.大多数统计分析系统是以批处理的方式对审计记录进行分析的,不能提供对入侵行为的实时检测和自动响应功能,因此检测系统总是滞后于审计记录的产生;

2.许多预示着入侵行为的系统异常都依赖于事件的发生顺序,但是统计分析的特性导致了它不能反映事件在时间顺序上的前后相关性,因此事件发生的顺序通常不作为分析引擎所考察的系统属性;

3.如何确定合适的门限值,是统计分析所面临的棘手问题,门限如何选择得不当,就会导致系统出现大量的错误报警。

(二)基于神经网络的异常检测技术。神经网络(neural networks)

使用自适应学习技术来提取异常行为的特征,需要对训练数据集进行学习以得出正常的行为模式,训练数据标志为正常数据和入侵数据两类,训练后的神经网络可以把事件识别为正常和入侵的。

神经网络方法对异常检测来说具有很多优势:由于不使用固定的系统属性集来定义用户行为,因此属性的选择是无关的;神经网络对所选择的系统度量也不要求满足某种统计分布条件,因此与传统的统计分析相比,神经网络方法具备了非参量化统计分析的优点。神经网络应用于异常检测中也存在一些问题。在很多情况下,系统趋向于形成某种不稳定的网络结构,不能从训练数据中学习到特定的知识,另外神经网络对判断为异常的事件不会提供任何解释或说明信息,这导致了用户无法确定入侵的责任人,也无法判定究竟是系统哪方面存在的问题导致了攻击者得以成功的入侵。

(三)基于数据挖掘技术的异常检测技术。数据挖掘也称为知识发现技术,其目的是要从海量数据中提取出我们感兴趣的数据信息。对象行为日志信息的数据量通常都非常大,如何从大量的数据中“浓缩”出一个值或一组值来表示对象行为的概貌,并以此进行对象行为的异常分析和检测,就可以借用数据挖掘的方法。

与其它异常检测技术所不同的是:数据挖掘技术将入侵检测看成是一种数据分析过程,着眼于对海量的安全审计数据应用数据挖掘算法,以一种自动和系统的手段建立一套自适应的、具备良好扩展性的入侵检测系统。基于数据挖掘技术的异常检测技术优点在于只需收集相关的数据集合,显著减少系统负担,技术已相当成熟;这种技术的缺点在于难于提取有效的可以反映系统特征的特征属性,应用合适的算法进行数据挖掘,误警率比较高。

(四)基于随机过程方法的异常检测技术。基于随机过程方法的异常检测技术采用了马尔可夫过程(markov process)。检测器把每一种不同类型的审计事件看作是一个状态变量,使用状态转移矩阵表示在系统状态转移过程中存在的概率特征。在检测过程中,使用正常情况下的状态转移矩阵,针对每一次系统的实际状态变化计算其发生的概率,如果计算结果非常小,则认为是出现了异常。这种方法可以发现异常的用户命令或事件序列,而不仅仅局限于单个的事件。这种技术同样存在误警率比较高的缺点。

(五)基于基因算法的异常检测技术。基因算法是进化算法的一种,引入了达尔文在进化论中提出的自然选择(优胜劣汰、适者生存)的概念对系统进行优化。基因算法利用对“染色体”的编码和相应的变异及组合形成新的个体。算法通常针对需要进行优化的系统变量进行编码,作为构成个体的“染色体”,因此对于处理多维系统的优化是非常有效的。

基因算法在入侵检测系统中的应用同样存在以下缺陷:入侵检测系统的某些规则可能定义为:如果没有发生特定的事件就认为是入侵或异常,这种规则对于基于基因算法的系统来说是无法产生和处理的;由于对单独的事件流采用二进制的方法表示,系统无法检测多种同时发生的攻击行为。

三、异常入侵检测的不足之处

异常入侵检测需要建立目标系统正常活动的轮廓,然后基于这个正常活动的轮廓对系统和用户的实际活动进行审计,以判断用户的行为是否对系统构成威胁。由于缺乏精确的判断系统是正常或异常的准则,所以异常检测会出现误报和漏报的情况,但相比于误用检测,它能发现未知的攻击和已知入侵的变种。

异常入侵检测根据使用者的行为和资源使用状况来判断入侵,因此在判断未知入侵行为方面要比误用检测具有“智能”和“学习”的优点,然而由于没有固定的模式可供匹配,现在还只能采用一种较模糊的方法,误检率高,与误用方法比起来,准确度要低一些。

四、结束语

从大的趋势来讲,对入侵检测这一主题的关注仍然有增无减,入侵检测产品的市场也没有饱和。威胁的不断增加是人们对入侵检测日益关注的一个主要驱动因素,攻击工具和技术的不断更新和提高推动着入侵检测产品不断发展,与防火墙等技术高度成熟的产品相比,IDS还存在很多问题,需要人们去解决。

基金项目:湖南省教育厅科学研究资助项目(07c720)

参考文献:

[1]李丽霞,BP神经网络在判别分析中的应用,数理医药杂志[J].2004,17(3):193-195.

[2]洪家荣,示例学习及多功能学习系统AE5,计算机学报[J].1989,12(2):123-127.

[3]彭宏,基于粗集理论和SVM算法的入侵检测方法研究,计算机工程[J].2005.4,Vol31.