主機(jī)入侵檢測技術(shù)研究

1、主機(jī)入侵檢測技術(shù)研究所謂入侵檢測技術(shù)就是研究入侵檢測的技術(shù)。目前應(yīng)用在入侵檢測上的技術(shù)有很多種對入侵檢測技術(shù)的分類也是各種各樣。但大體有如下幾種分類方式。 基于主機(jī)的入侵檢測系統(tǒng)( Host-based Intrusion Detection System ， HIDS)HIDS 主要是根據(jù)主機(jī)的系統(tǒng)日志與審計(jì)信息來作為檢測的數(shù)據(jù)進(jìn)行分析的。通常在受保護(hù)的主機(jī)上有專門的檢測代理來對系統(tǒng)日志與審計(jì)信息不斷的監(jiān)視與分析，進(jìn)而發(fā)現(xiàn)攻擊。 HIDS 能夠很好的監(jiān)視特定的系統(tǒng)行為，比如說用戶的登錄與登出，文件屬性的改變等。能夠快速的對已知的二次攻擊作出反應(yīng)，檢測出網(wǎng)絡(luò)流中不能檢測出的攻擊。但同樣由于它安

2、裝在需要保護(hù)的設(shè)備上，降低了系統(tǒng)的應(yīng)用效率，全面的部署代價會很大，它不監(jiān)測網(wǎng)絡(luò)上的情況，所以很對很多網(wǎng)絡(luò)攻擊無能為力。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(Network-based Intrusion Detection System, NIDS)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)是以網(wǎng)絡(luò)數(shù)據(jù)包、網(wǎng)絡(luò)流或者網(wǎng)絡(luò)連接記錄來作為分析的數(shù)據(jù)源的。它通常是把網(wǎng)絡(luò)主機(jī)的網(wǎng)卡設(shè)置成混雜模式來捕獲網(wǎng)絡(luò)數(shù)據(jù)流，然后利用各種技術(shù)對數(shù)據(jù)包或者數(shù)據(jù)流進(jìn)行分析研究。對數(shù)據(jù)包分析的方法有協(xié)議分析法、模式匹配法、協(xié)議指紋法等，對網(wǎng)絡(luò)流分析有統(tǒng)計(jì)的方法、數(shù)據(jù)挖掘的方法等。利用這些方法構(gòu)建的檢測系統(tǒng)一旦檢測到攻擊，就會立即報(bào)警作出響應(yīng)，

3、例如中斷網(wǎng)絡(luò)連接，封閉端口、通知網(wǎng)絡(luò)管理員等。 NIDS 能夠很好的檢測出網(wǎng)絡(luò)數(shù)據(jù)包的已知攻擊，具有成本低，檢測與響應(yīng)實(shí)時，不依靠操作系統(tǒng)等優(yōu)點(diǎn)。但同樣它不能檢測出未知的攻擊，且在網(wǎng)絡(luò)數(shù)據(jù)流很大的時候，會出現(xiàn)漏報(bào)現(xiàn)象，檢測不出針對于主機(jī)的攻擊等缺點(diǎn)。誤用檢測誤用檢測是對已知系統(tǒng)的漏洞與應(yīng)用軟件的弱點(diǎn)進(jìn)行建模與分析的一項(xiàng)入侵檢測技術(shù)。它的前提是入侵行為會按某種特定的形式進(jìn)行編碼。這就需要知道所有攻擊行為的特征。由于特征的多樣性，故誤用檢測也是多種多樣?；谀Ｊ狡ヅ涞恼`用入侵檢測基于模式匹配的誤用檢測是把已知的入侵特征轉(zhuǎn)換成特定的格式的數(shù)據(jù)存儲在數(shù)據(jù)庫中，檢測時，數(shù)據(jù)庫存儲的特征逐條與入侵事件進(jìn)行

4、模式匹配，若匹配成功，則確認(rèn)為攻擊，否則為正常。目前的模式匹配方法有BM(Boyer-Moore)算法、BF( Brute Force )算法、KMP算法等。模式匹配的誤用檢測能很好的檢測各種已知的攻擊，具有易實(shí)施，檢測效率高，反應(yīng)及時等特點(diǎn)。但當(dāng)數(shù)據(jù)比較大的時候，其效率就變得非常低，特別當(dāng)應(yīng)用到網(wǎng)絡(luò)數(shù)據(jù)包檢測上, 就會出現(xiàn)漏報(bào)現(xiàn)象。并且它對異常攻擊無能為力?；跔顟B(tài)轉(zhuǎn)移分析的誤用入侵檢測基于狀態(tài)轉(zhuǎn)移分析的誤用入侵檢測系統(tǒng)是利用狀態(tài)圖來表示入侵特征，不同狀態(tài)的刻畫了系統(tǒng)不同時刻的特征。狀態(tài)轉(zhuǎn)移的初始狀態(tài)表示入侵前的開始狀態(tài)，而危害狀態(tài)則表示成功入侵時刻的系統(tǒng)狀態(tài)。初始狀態(tài)到危害狀態(tài)的遷移可能只

5、經(jīng)歷一個狀態(tài)也可能會經(jīng)歷很多的中間狀態(tài)。而且這些中間狀態(tài)的遷移還可能是雙向的。攻擊者執(zhí)行一系列攻擊行為，是系統(tǒng)狀態(tài)從初始狀態(tài)經(jīng)過中間狀態(tài)遷移危害狀態(tài)。通過這種方式來檢測是否有入侵攻擊的發(fā)生?；跔顟B(tài)轉(zhuǎn)移分析的誤用入侵檢測在IDS 上應(yīng)用很多，其具有代表性的產(chǎn)品 STAT(statetransitionanalysis technique) 和 USTAT(state transition analysis tool for UNIX)基于專家系統(tǒng)的誤用入侵檢測基于專家系統(tǒng)的誤用入侵檢測是把從事網(wǎng)絡(luò)安全研究專家的知識格式化后轉(zhuǎn)換成規(guī)則知識庫，然后用推理機(jī)中的推理算法來對事件進(jìn)行檢測，發(fā)現(xiàn)入侵行為

6、。利用專家系統(tǒng)對入侵進(jìn)行檢測，主要是針對有特征的入侵行為。異常檢測它彌補(bǔ)了誤用檢測不能檢測未知攻擊的缺點(diǎn)。但同樣它也有自身的缺點(diǎn)就是會產(chǎn)生高漏報(bào)率與誤報(bào)率。異常檢測的方法很多，下面著重介紹幾種異常檢測分析技術(shù)?；诮y(tǒng)計(jì)模型的異常入侵檢測基于統(tǒng)計(jì)模型的異常入侵檢測是根據(jù)統(tǒng)計(jì)學(xué)原理來進(jìn)行系統(tǒng)建模設(shè)計(jì)的。它是通過觀察主體的活動，然后對這些活動進(jìn)行格式化產(chǎn)生主體輪廓數(shù)據(jù)庫。主體擁有一系列活動，而這些活動都記錄在在主體輪廓數(shù)據(jù)庫中。再通過判斷當(dāng)前輪廓與主體輪廓數(shù)據(jù)庫的異同來發(fā)現(xiàn)異常行為?；诮y(tǒng)計(jì)模型的異常入侵檢測有很多具體的方法可以應(yīng)用，例如基于閾值測量的檢測，基于平均值與標(biāo)準(zhǔn)偏差模型的檢測，基于馬爾可夫進(jìn)程模型的檢測，基于隱馬爾可夫鏈的協(xié)議模型的檢測 , 基于主元分析和支持向量機(jī)的異常檢測等。雖然用的方法各異，但它們有一個共同的目標(biāo)就是尋找異常，即異常的判斷標(biāo)準(zhǔn)。很多研究者是通過訓(xùn)練正常行為產(chǎn)生閾值來界定異常行為的。這樣閾值決定著誤報(bào)率與漏報(bào)率。故怎么界定閾值是當(dāng)前異常檢測的一個難點(diǎn)所在?；谏窠?jīng)網(wǎng)絡(luò)的異常入侵檢測神經(jīng)網(wǎng)絡(luò)有自組織，自適應(yīng)與自學(xué)習(xí)能力的特點(diǎn)，能處理很多非常復(fù)雜的環(huán)境，背景知識缺乏的問題，且它允許樣本可以有較大缺陷與不足。在基于統(tǒng)計(jì)方法的異常入侵檢測的缺點(diǎn)是無法實(shí)現(xiàn)高維準(zhǔn)確檢測的，而神經(jīng)網(wǎng)絡(luò)構(gòu)造的智能化的入侵異