网络入侵检测系统研究的热点和趋势.pdfVIP

中国计算机学会第12届网络与数据通信学术会议 华中师范大学2002年12月2-4日 网络入侵检测系统研究的热点与趋势 王景新戴葵王志英 (国防科大计算机学院， 湖南长沙410073) 摘要：网络的迅猛发展使得网络安全问题愈演愈烈，作为解决网络安全问题的重要技术手段， 入侵检测系统的研究正越来越引起安全厂商和学术界的重视．本文简要回顾了入侵检测技术 的发展历史，认真分析了入侵检测技术所存在的不足，并时当前入侵检测技术的主要研究热 点和发展趱势进行了分析和预测，为进一步研究入侵检测系统提供了可行性和蓥要性的理论 储备． 关键词：入侵检测；神经网络；免疫系统；协作式入侵检测 一 蔓 1 入侵检测系统研究历史的简要回顾 互联网络的迅速发展和广泛应用在给人们带来巨大便利的同时也带来了巨大的安全隐 患，由于互联网设计初期未考虑太多的安全因素，致使网络协议设计的本身具有较多的安全 漏洞，出于经济、政治、文化渗透等各个方面的目的，也由于网络的开放性导致各种恶意攻 击资源的方便利用，致使网络安全问题愈演愈烈．早期的防火墙技术、认证技术、加密技术 都是基于TCSEC静态的安全防护技术。已经无法适应今天动态变化的网络环境，于是研究者 提出了P2DR模型，在这个模型里，入侵检测被认为是关键的一环。本文将介绍入侵检测系 统的研究历史，分析入侵检测系统所存在的不足，并对当前和今后一段时间入侵检测系统研 究的热点与趋势作了一些探讨。 最早关于入侵检测的工作是由James threat and 写的报告(Computersecuritymonitoring 系统研究的开创性工作．其主要的思想是提出了一种对计算机系统的风险和威胁的分类方 法，给出了一个威胁矩阵模型，并建议把对某些用户的行为分析作为判定系统不正常使用的 一个标志，这～建议为下一个入侵检测研究领域的里程碑式的IDES项目所采用。 用户特征轮廓，用统计学方法来描述系统主体相对于系统客体的行为，在技术实现上，该系 统采用的是混合结构，包含了一个异常检测器和一个专家系统，异常检测器采用统计技术来 刻画异常行为，专家系统采用基于规则的方法检测已知的危害计算机安全的行为，两者结合 intrusiondetection 发表的论文{An model}被认为是入侵检测的另一篇经典之作。 由这些工作作基础，入侵检测系统的研究进入了活跃期，一系列关于入侵检测的研究工 作很快开展起来，这里不一一详述，主要的项目包括Audit 部是基于主机的，信息源主要是来自于操作系统审计踪迹和键盘输入监视 时间进入90年代，网络已经发展的如火如荼，在这种情况下，入侵检测领域的又一个 年开发成功，该系统是第一个监视网络数据流量并把网络数据流作为主要数据源的入侵检测 系统，其实现的网卡设置为混杂模式÷捕获网络数据报～分析协议提取特征的总体结构至今 仍为许多基于网络的入侵检测系统所采用。 入侵检测系统研究领域另一个不得不提的是分布式入侵检测系统DIDS，该系统是最早 的将基于主机检测和基于网络检测结合起来的尝试，90年代中期由多家单位协作研究而成， 解决了网络环境下跟踪网络用户和文件以及如何从发生在系统不同层次的事件中发现相关 数据和事件的问题，其提出和实现的基于网络和基于主机结合进行入侵检测的思想对今天的 入侵检测研究仍具有重要的现实意义。 本小节简要回顾了入侵检测系统的研究历史，由于这不是本文的重点，所以没有一详 尽说明，主要是指出了这个领域的一些开创性的工作。 2入侵检测系统所存在的主要问题 经过20年的发展，入侵检测系统已经从养在深闺的实验室研究原型走进了商品市场， 作为网络安全解决方案的重要环节之一，入侵检测系统被越来越多的机构所采用，相关的产 绿盟等很多商家也都有入侵检测产品，但国内入侵检测产品所普遍存在的不足是缺少深层次 的技术积累，大都是以免费的Snort为基础，加以改进和包装而成，这是一种浮躁的表现， 当然作为商家也无可厚非。 虽然入侵检测的重要性和必要性已经为学术界和产业界所承认，然而令人尴尬的是时至 今日，入侵检测系统在实际中所起到的作用仍然是有限的，远远没有达到研究者和用户所期 望的那种及时准确的