入侵检测技术探讨.pdfVIP

户都建立一个用户特征表，通过比较当前特征与已存储定型 状态之间的状态转移，用状态转移图或专家系统规则来描述 的以前特征判断是否是异常行为。用户特征表需要根据审计 状态间的转移信息。状态转移分析考虑攻击行为对每步系统 记录情况不断加以更新。缺点是概率统计检测对事件发生的 状态转移的影响，可检测协同攻击和利用用户会话的攻击行 次序不敏感，可能漏检那些彼此关联事件的入侵行为。 为。但状态转移分析技术只适用于对攻击步骤之间存在全序 (2)神经网络方法 关系行为的检测。 神经网络方法的基本思想是用一系列信息单元训练神经 4入侵检测面临的问题 单元，这样在给定一组输入后，就可以预测输出。神经网络 (1)误警率高。IDS的虚警率和漏警率之和即为误警率， 更好地表达了变量间的非线性关系，并且能自动学习和更新。 误警问题已成为制约其发展的关键技术问题。 缺点是网络拓扑结构以及各元素的权重很难确定。 (2)缺少统一的构建方法学。IDS系统内缺少结构化的方 (3)基 免疫学方法 法学，同时入侵检测系统的内部缺乏有效的信息共享和协同 人的免疫系统具有识别“自我，非自我”的特点，基于免 机制，限制了对攻击的检测能力。 疫学的IDS，其思想是：对于一个特定的进程(程序)，系统调 (3)自学习能力差。添加IDS检测规则常依赖于手工方 用序列是相对稳定的，使用系统调用序列表征主机的 “自 式且更新缓慢，限制了IDS的可用性。 我”，任何有别于这种 “自我”的系统调用都被认为是 “非自 (4)自身易受攻击。IDS本身是存在漏洞的软件程序，它 我”的，即异常的。 容易成为黑客攻击的目标，一旦黑客攻击成功，那它所管理 3．2误用检测(MD) 的网络安全就不能得到保证。 误用检测运用已知的攻击方法得到入侵模式或特征，通 5入侵检测系统的发展趋势 过判断这些入侵模式是否出现来进行检测。它假定所有入侵 (1)分布式入侵检测：异构和大型网络中，系统的复杂 行为和手段(及其变种)都能够表达成一种模式或特征，并对已 度大大增加，模型建立十分困难，需要分布式入侵检测架构。 知的入侵行为提取检测特征，构建攻击模式或攻击签名，通 其关键技术是检测信息的协同处理与入侵攻击的全局信息的 过系统当前状态与攻击模式或攻击签名的匹配来判断入侵行 获取。 为，属于基于知识的检测。其主要缺陷在于系统移植性不好， (2)应用层入侵检测：许多入侵活动的含义只有在应用 检测范围受已知知识的局限，尤其难以检测出内部人员的入 层才能理解。但传统方法很少涉及到应用层，使得一些应用 侵行为。误用检测常用的方法有以下几种： 系统内的入侵活动难以检测，所以需要开发应用层的入侵检 (1)专家系统 测技术。 专家系统将有关入侵的知识转化成if-then结构的规则。 (3)智能入侵检测：智能化的入侵检测技术，使系统能 即将构成入侵所要求的条件转化为if部分，将发现入侵后采 够自动学习新的入侵活动，完善系统模型，提高检测的效率 取的相应措施转化成then部分。当其中某个或某部分条件满 和准确性。 足时，系统就判断为人侵行为的发生。 (4)综合性监测系统：与其他的网络安全技术相结合，形 (2)模式匹配 成综合的检测系统，解决传统方法检测对象单一、检测攻击形 模式匹配与专家系统一样，也需要知道攻击行为的具体 式简单的问题。 知识。但它是将已知的入侵特征编码成与审计记录相符合的 6结束语 模式，因而能够从审计记录中直接寻找相匹配的已知入侵模 入侵检测作为一种积极主动的安全防护技术，目前还处 式，提高检测效率。 于研究与发展阶段，在技术上仍有许多未克服的问题，但