入侵检测技术现状和未来.docVIP

入侵检测技术现状和未来 　　【摘 要】入侵检测能有效弥补传统防御技术的缺陷，近年来入侵检测系统已经成为网络安全的系统中的重要组成部分。本文在对当前主流入侵检测技术及系统进行详细研究分析的基础上，指出了入侵检测系统面临的问题和挑战。最后对入侵检测系统的未来发展方向进行了讨论，展望了应用人工智能技术的入侵检测系统、基于Android平台的入侵检测系统、基于云模型和支持向量机的特征选择方法等新方向。 【关键词】网络安全；入侵检测；异常检测；智能技术 0.引言 目前，在网络安全日趋严峻的情况下，解决网络安全问题所采用的防火墙、身份认证、数据加密、虚拟子网等一般被动防御方法已经不能完全抵御入侵。此时，研究开发能够及时准确对入侵进行检测并能做出响应的网络安全防范技术，即入侵检测技术（ID，Intrusion Detection），成为一个有效的解决途径。入侵检测作为一种积极主动地安全防护技术，已经成为网络安全领域中最主要的研究方向。 1.入侵检测概述 1.1入侵检测的基本概念 入侵检测（Intrusion Detection），即是对入侵行为的检测。入侵是指潜在的、有预谋的、未被授权的用户试图“接入信息、操纵信息、致使系统不可靠或不可用”的企图或可能性。它通过从计算机网络或计算机系统的关键点收集信息，并对收集到的信息进行分析，从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。而入侵检测系统则是入侵检测的软件与硬件的组合。 1.2入侵检测系统的通用模型 1987年Dorothy E Denning[1]提出了入侵检测的模型，首次将入侵检测作为一种计算机安全防御措施提出。该模型包括6个主要的部分：主体（Subjects）、对象（Objects）、审计记录（Audit Record）、活动档案（Active Profile）、异常记录（Anomaly Record ）、活动规则（Activity Rules）。 2.入侵检测系统采用的检测技术 从技术上看，入侵可以分为两类：一种是有特征的攻击，它是对已知系统的系统弱点进行常规性的攻击；另一种是异常攻击。与此对应，入侵检测也分为两类：基于特征的（Signature-based即基于滥用的）和基于异常的（Anomaly-based，也称基于行为的）。 2.1基于特征的检测 特征检测，它是假定所有入侵者的活动都能够表达为一种特征或模式，分析已知的入侵行为并建立特征模型，这样对入侵行为的检测就转化为对特征或模式的匹配搜索， 如果和已知的入侵特征匹配，就认为是攻击。它的难点在于如何设计模式，使其既能表达入侵又不会将正常的模式包括进来。 2.2基于异常的检测 2.2.1基于概率统计模型的异常检测方法 概率统计方法是最早也是使用得最多的一种异常检测方法，这种入侵检测方法是基于对用户历史行为建模以及在早期的证据或模型的基础上，审计系统实时地检测用户对系统的使用情况。系统根据每个用户以前的历史行为，生成每个用户的历史行为记录集，当用户改变他们的行为习惯时，这种异常就会被检测出来。 2.2.2基于模型推理的入侵检测技术 基于模型推理的入侵检测的实质是在审计记录中搜索可能出现的攻击子集。攻击者在攻击一个系统时往往在系统日志中留下他们的踪迹。所以通过分析日志文件和审计信息，能够发现成功的入侵或入侵企图。入侵者所产生的种种行为组合在一起就构成了行为序列，而这个行为序列是具有一定特征的模型。所以根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。 2.2.3数据挖掘 数据挖掘强大的分析方法可以用于入侵检测的建模，使用其中有关算法对审计数据进行关联分析和序列分析，可以挖掘出关联规则和序列规则。 2.3入侵检测的新技术 2.3.1基于生物免疫的入侵检测 基于生物免疫的入侵检测方法是通过模仿生物有机体的免疫系统工作机制，使得受保护的系统能够将非自我的非法行为与自我的合法行为区分开来。 2.3.2基于伪装的检测方法 基于伪装的检测方法，是指将一些虚假的信息提供给入侵者，如果入侵者应用这些信息攻击系统，就可以推断系统正在遭受入侵；并且还可以诱惑入侵者，进一步跟踪入侵的来源。 2.3.3基于Agent的入侵检测 无控制中心的多Agent结构，每个检测部件都是独立的检测单元，尽量降低了各检测部件间的相关性，不仅实现了数据收集的分布化，而且将入侵检测和实时响应分布化，真正实现了分布式检测的思想。 3.入侵检测系统目前存在的问题 入侵检测系统近年来取得了较快的发展，但在理论研究和实际应用中仍存在许多问题： （1）大量的误报和漏报。