关于入侵检测模型的分析与分析.docxVIP

PAGE 1 PAGE 1 关于入侵检测模型的分析与分析  入侵检测系统作为网络入侵防备的基础，是信息安全系统中的蘑要防护措施，IDS的建立与拓展都需要有入侵检测模型作为支撑。本文介绍入侵检测模型的发展，分析了主要的入侵检测模型的框架结构与特点，最终对入侵检测模型目前所面临的问题进行了阐述。  0引言  如今网络安全的问题变得越来越莺要，现有的安全机制通过访问掌握(例如口令和防火墙技术等)，来保护计算机和网络不受非法和未经授权的使用。据统计，全球约每20s就有一次计算机入侵事件发生，互联网上约有1／4的防火墙被突破，约70％以上的网络信息主管人员报告凶机密信息泄露而受到损失。随着人们安全意识的提高，安全领域的探索和研究日益深入。网络安全的问题也是越来越受到各方面的重视。入侵检测技术是用来检测针对计算机系统和网络系统的非法攻击的安全措施，与传统的加密和访问掌握的常用方法相比，入侵检测系统(1nausionDetectionSystem，IDS)是更加先进的网络安全措施。入侵检测模型为构建IDS供应了基础的框架，各种入侵检测模型的研究也成为网络安全领域研究的重点之一。  1入侵检测模型的发展  首个入侵检测模型足1987年，由DorothyE．Denning提出的，在以后的发展中，IDS研究者在设计检测模型时，常引用Denning模型，它是基于主机的主体Profile、系统对象、审计日志、异常记录和活动规则。一般的入侵检测结构是指基于规则的模式匹配系统，涉及跟踪应对于主体Profile以检测基于登录、程序执行和文件存取的计算机误用行为。  以平常用的很多基于主机的IDS通常采用的是主体异常模型，例如入侵榆测专家系统(IDES)、下一代网络入侵检测专家系统(NIDES)、WisdomSense(WS)、Haystack以及网络异常检测和入侵报告(NADIR)等。另外随着其他技术的引入．出现了基于数据挖掘模型的IDS，以及基于神经网络模型的IDS。在这砦系统中，使用的基本检测算法包括：使用带有权重的函数来检测背离正常模式的差异l基于对正常使用状况的剖面分析的协方差矩阵；基于规则的专家系统检测安全事件等等。  IDS模型发展至今，又出现了基于分布式的检测模型，然后再拓展为带有网络安全监视(NetworkSecurityMonitor)框架的基于以太网的流量分析。这又被进一步发展为结合了基于主机的IDS和网络流量监视的分布式入侵检测系统(DIDS)。当今的商用IDS，如RealSeoae和计算机误用检测系统(CMDS)，都具有分布式的结构，使用的是基于规则的检测或者统计异常的检测，或兼而有之。SRI公司设计的EMERALD发展了入侵检测的分布式结构，在主机上配置服务监视部件。我国中科院所提出的基于Agent的分布式入侵检测系统模型采取无掌握中心的多Agent结构。清华大学网络中心的DIDAPPER使用流量标本和IP陷阱的方法来检测大规模的网络行为，并使用具有自学能力的BP网络应用于流量分析。虽然有众多的模型出现，但目前为止，入侵检测系统还缺乏相应的标准，各种入侵检测的框架都没有一种统一的衡量标准。  2入侵检测模型  入侵检测从策略上来讲主要分为异常检测和误用检测，从分析方法来讲，又可以分为基于统计的、神经网络和数据挖掘三类技术。我们从IDS的整体框架来对入侵检测模型进行划分，则主要是三种：通用模型、层次化模型和智能化模型。  2．1通用入侵检测模  图1Denning通用入侵检测模型  通用入侵检测模型的雏形是由DorothyE．Denning所提出的(见图1)，该模型后来又经过很多研究者的改进和拓展，逐步加入了异常检测器以及专家系统等，其中异常检测器用于统计异常模型的建立，专家系统用来实现基于规则的榆测。模型的3个主要部分是事件发生器(EventGenerator)、活动记录器(ActivityProfile)和规则集(RuleSet)。其中事件发生器供应网络活动信息；活动记录器保存监视中的系统和网络状态；规则集用于事件或状态的核查以及推断，主要通过模型、规则、模式和统计数据来对入侵行为进行判定。  2．2层次化入侵检测模  层次化模型是如今最常见的，也是最为成熟的一种，其思想来源于入侵检测的两种常用技术，即误用检测和异常检测。这两种技术分别有利于已知和未知的两种入侵行为判定，而其差异性就带来的检测的层次性。一般来说。误用检测比较简洁，效率也较高，误报率较低；而异常检测主要针对一些疑难的、未知的状况。两者所用于比较的信息分别是非安全行为与安全行为，而一些介于两种行为之间状况，则需要两者结合，既可以通过攻击行为的