入侵检测研究综述.docVIP

入侵检测研究综述 　　摘要：随着社会信息化程度的不断加深，网络空间安全的重要性日益突出。作为保障网络空间安全的重要组成部分，入侵检测技术处于不断的发展与创新之中。该文对入侵检测系统和相关技术的发展进行了综述，对比分析了各种入侵检测系统的特点，介绍了两种经典的入侵检测模型。在此基础上，提出了一种混合型入侵检测模型，并对入侵检测技术与系统的发展进行了展望。 　　关键词：网络空间安全；入侵检测；模型；分类；综述 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）18-0029-02 　　1.概述 　　随着“互联网+”概念的提出，社会信息化程度逐步加深，越来越多的传统行业开始与互联网应用相结合，推出了许多更便捷、经济、全面的优质服务。同时，消费者的消费行为也发生着质的改变，由实体货币支付开始向虚拟货币、移动支付等电子货币支付的方向转移。电子商务，电子银行和电子支付的兴起在提升消费者购物体验的同时，其安全性也受到了严峻的挑战和深度的关切。 　　近年来有关网络空间安全的事件屡见不鲜。2013年的“棱镜”事件开始让众多互联网用户感受到了来自网络空间的安全威胁。自2007年起，美国国家安全局（National Security Agencv，NSA）和联邦调查局（Federal Bureau 0fInvestigation，FBI）启动了一项代号“棱镜”（PRISM）的电子监控项目，在长达6年的时间内，悄无声息地对全球大量的企业、学校、政府等机构的网络服务器进行人侵，包括可以直接进入美国互联网中心服务器进行数据的窃取与收集，入侵其他国家的网络服务器，甚至是终端设备，以进行情报的搜集。2014年1月，国内顶级域名服务器遭到入侵，服务出现异常，导致大面积的DNS解析故障。由此而引发的网页无法打开或是浏览网页异常卡顿现象持续了数小时，对广大互联网用户造成了巨大的不便与损失。2014年3月，携程公司被爆出存在安全支付日志漏洞事件。安全人员发现入侵者可以通过下载携程公司的支付日志，从而获取用户的敏感信息，包括用户姓名、银行卡账号等。2014年4月，Heartbleed漏洞被曝光。目前，大多数网银，移动支付等在线支付活动都是采用SSL（Secure Sockets Layer安全套接层）技术进行加密，以保证数据安全。而这一技术则是依靠OpenSSL开发套件得以实现的。因此，OpenSSL上存在的Heartbleed漏洞能够使得网络人侵者窃取用户内存中的敏感数据，包括用户账号、密码等。 　　为了解决网络入侵行为所导致的数据泄密、服务终止等问题，入侵检测技术与配套系统开始应用在互联网之中。随着网络攻防技术向复杂化、持续化、高威胁化等方向的转变，人侵检测技术也处于不断的发展与创新之中。 　　2.起源及分类 　　1980年，Anderson等人首先提出了“计算机安全威胁监控与监视”的概念。作为“人侵检测”概念的前身，Anderson将“安全威胁”定位为“未经授权的用户蓄意地访问、操纵信息，使得系统不可靠或不可用”；将用户分为：合法用户、假冒用户和秘密用户。在其提出的入侵检测框架中，检测对象包括：用户、审计记录、会话记录、应用程序和文件。其目的是提升用户计算机系统的安全审计与监控能力。1985年，Denninff～等人提出了首个人侵检测专家系统（Intrusion Detection Expert System，IDES）的模型和算法，采用基于朴素贝叶斯和决策树的方法对主机上的日志文件和访问信息进行审计和分析，发现其中的异常行，从而进行人侵者识别与防御。文献提出的概念及其模型都是基于主机的入侵检测系统，即人侵检测系统部署在主机上，通常是针对系统的运行日志、文件系统和访问者进行审计和监控。随着互联网技术的发展，针对网络流量分析的入侵检测系统的研究开始受到关注。1990年，HeberleintSl首次提出了一个基于网络的入侵检测系统。基于网络的入侵检测系统可以利用硬件或软件对网络数据包进行采集、监听、分析和监控，发现潜在入侵者。这类系统大多部署在服务器上或是与防火墙一起协同工作。在入侵检测效果方面，基于主机和网络的入侵检测系统拥有各自的技术优、缺点，如表1所示。 　　为了充分利用这上述两种类型的入侵检测系统的优势，分布式入侵检测系统随后也被许多研究者提出。采用分布式结构的人侵检测系统可以同时收集来自本地主机和网络中的日志记录、访问记录等数据，并将这些数据进行统一的存储、分析和处理。该结构具有平台独立性、可扩展性和灵活性等特点，对于被保护的系统能够提供更全面的保护。因此，这种类型的人侵检测系统得到了广泛的应用。 　　3.入侵检测模型 　　文献提出了一个基于主机的通用型入侵检测系统模型。该系统由用户、资源、