第8章入侵檢測(cè)技術(shù)

1、入侵檢測(cè)技術(shù) 1 1 入侵檢測(cè)概述入侵檢測(cè)概述 2 2 入侵檢測(cè)原理入侵檢測(cè)原理 3 3 入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù) 4 4 基于數(shù)據(jù)挖掘的智能化入侵檢測(cè)系基于數(shù)據(jù)挖掘的智能化入侵檢測(cè)系統(tǒng)設(shè)計(jì)統(tǒng)設(shè)計(jì) 1 1 入侵檢測(cè)概述入侵檢測(cè)概述入侵檢測(cè)的內(nèi)容：試圖闖入、成功闖入、冒充入侵檢測(cè)的內(nèi)容：試圖闖入、成功闖入、冒充其他用戶(hù)、違反安全策略、合法用戶(hù)的泄漏、獨(dú)其他用戶(hù)、違反安全策略、合法用戶(hù)的泄漏、獨(dú)占資源以及惡意使用。占資源以及惡意使用。入侵檢測(cè)（入侵檢測(cè)（Intrusion Detection）：通過(guò)從計(jì)算）：通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)

2、的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)（入侵檢測(cè)系統(tǒng)（IDS）：入侵檢測(cè)的軟件與硬）：入侵檢測(cè)的軟件與硬件的組合，是防火墻的合理補(bǔ)充，是防火墻之后件的組合，是防火墻的合理補(bǔ)充，是防火墻之后的第二道安全閘門(mén)。的第二道安全閘門(mén)。1 1、入侵檢測(cè)的概念：模型、入侵檢測(cè)的概念：模型1 1、入侵檢測(cè)的概念：任務(wù)、入侵檢測(cè)的概念：任務(wù) 監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng)，查找非法用戶(hù)和合監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng)，查找非法用戶(hù)和合法用戶(hù)的越權(quán)操作；法用戶(hù)的越權(quán)操作； 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)，并提

3、示管理員修補(bǔ)漏洞；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)，并提示管理員修補(bǔ)漏洞； 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并報(bào)警，能夠?qū)崟r(shí)識(shí)別反映已知進(jìn)攻的活動(dòng)模式并報(bào)警，能夠?qū)崟r(shí)對(duì)對(duì) 檢測(cè)到的入侵行為進(jìn)行反應(yīng)；檢測(cè)到的入侵行為進(jìn)行反應(yīng)； 異常行為模式的統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律；異常行為模式的統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律； 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶(hù)違反安全操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶(hù)違反安全策略的行為。策略的行為。 1 1.2 2 研究入侵檢測(cè)的必要性研究入侵檢測(cè)的必要性因?yàn)樵L問(wèn)控制和保護(hù)模型本身存著在以下問(wèn)題。因?yàn)樵L問(wèn)控制和保護(hù)模型本身存

4、著在以下問(wèn)題。（1）弱口令問(wèn)題。）弱口令問(wèn)題。（2）靜態(tài)安全措施不足以保護(hù)安全對(duì)象屬性。）靜態(tài)安全措施不足以保護(hù)安全對(duì)象屬性。 （3）軟件的）軟件的Bug-Free近期無(wú)法解決。近期無(wú)法解決。 （4）軟件生命周期縮短和軟件測(cè)試不充分。）軟件生命周期縮短和軟件測(cè)試不充分。（5）系統(tǒng)軟件缺陷的修補(bǔ)工作復(fù)雜，而且源代碼大）系統(tǒng)軟件缺陷的修補(bǔ)工作復(fù)雜，而且源代碼大多數(shù)不公開(kāi)，也缺乏修補(bǔ)多數(shù)不公開(kāi)，也缺乏修補(bǔ)Bug的專(zhuān)門(mén)技術(shù)，導(dǎo)致修補(bǔ)的專(zhuān)門(mén)技術(shù)，導(dǎo)致修補(bǔ)進(jìn)度太慢，因而計(jì)算機(jī)系統(tǒng)的不安全系統(tǒng)將持續(xù)一段進(jìn)度太慢，因而計(jì)算機(jī)系統(tǒng)的不安全系統(tǒng)將持續(xù)一段時(shí)間。時(shí)間。 入侵檢測(cè)的主要目的有：識(shí)別入侵者；識(shí)別入侵檢測(cè)

5、的主要目的有：識(shí)別入侵者；識(shí)別入侵行為；檢測(cè)和監(jiān)視已成功的安全突破；為對(duì)入侵行為；檢測(cè)和監(jiān)視已成功的安全突破；為對(duì)抗措施即時(shí)提供重要信息。因而，入侵檢測(cè)是非抗措施即時(shí)提供重要信息。因而，入侵檢測(cè)是非常必要的，可以彌補(bǔ)傳統(tǒng)安全保護(hù)措施的不足。常必要的，可以彌補(bǔ)傳統(tǒng)安全保護(hù)措施的不足。 入侵檢測(cè)系統(tǒng)的主要功能是檢測(cè)，當(dāng)然還有入侵檢測(cè)系統(tǒng)的主要功能是檢測(cè)，當(dāng)然還有其他的功能選項(xiàng)，因而增加了計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)其他的功能選項(xiàng)，因而增加了計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的安全性。的安全性。 使用入侵檢測(cè)系統(tǒng)有如下優(yōu)點(diǎn)：使用入侵檢測(cè)系統(tǒng)有如下優(yōu)點(diǎn)： 檢測(cè)防護(hù)部分阻止不了的入侵；檢測(cè)防護(hù)部分阻止不了的入侵； 檢測(cè)入侵的前兆；檢

6、測(cè)入侵的前兆； 對(duì)入侵事件進(jìn)行歸檔；對(duì)入侵事件進(jìn)行歸檔； 對(duì)網(wǎng)絡(luò)遭受的威脅程度進(jìn)行評(píng)估；對(duì)網(wǎng)絡(luò)遭受的威脅程度進(jìn)行評(píng)估； 對(duì)入侵事件進(jìn)行恢復(fù)。對(duì)入侵事件進(jìn)行恢復(fù)。 入侵檢測(cè)系統(tǒng)利用優(yōu)化匹配模式和統(tǒng)計(jì)學(xué)技術(shù)入侵檢測(cè)系統(tǒng)利用優(yōu)化匹配模式和統(tǒng)計(jì)學(xué)技術(shù)把傳統(tǒng)的電子數(shù)據(jù)處理和安全審查結(jié)合起來(lái)，已經(jīng)把傳統(tǒng)的電子數(shù)據(jù)處理和安全審查結(jié)合起來(lái)，已經(jīng)發(fā)展成為構(gòu)筑完整的現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的一個(gè)必不發(fā)展成為構(gòu)筑完整的現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的一個(gè)必不可少的部分?？缮俚牟糠帧? 2、入侵檢測(cè)的分類(lèi)、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)根據(jù)所采用的技術(shù)可以分為：1）異常檢測(cè)：異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)，建立正?；顒?dòng)的

7、“活動(dòng)簡(jiǎn)檔”，當(dāng)前主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是“入侵”行為。2）特征檢測(cè)：特征檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。2 2、入侵檢測(cè)的分類(lèi)、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)根據(jù)所監(jiān)測(cè)的對(duì)象來(lái)分：1）基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）：通過(guò)監(jiān)視與分析主機(jī)的審計(jì)記錄檢測(cè)入侵。能否及時(shí)采集到審計(jì)是這些系統(tǒng)的弱點(diǎn)之一，入侵者會(huì)將主機(jī)審計(jì)子系統(tǒng)作為攻擊目標(biāo)以避開(kāi)入侵檢測(cè)系統(tǒng)。2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）：通過(guò)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)的偵聽(tīng)采集數(shù)據(jù)，分析可疑現(xiàn)象。這類(lèi)系統(tǒng)不需要主機(jī)提供嚴(yán)格的審計(jì)，對(duì)主機(jī)資源消耗少，并可以提供對(duì)網(wǎng)絡(luò)通用的保護(hù)而無(wú)

8、需顧及異構(gòu)主機(jī)的不同架構(gòu)。2 2、入侵檢測(cè)的分類(lèi)、入侵檢測(cè)的分類(lèi)一、什么是入侵檢測(cè)根據(jù)系統(tǒng)的工作方式分為：1）離線檢測(cè)系統(tǒng)：離線檢測(cè)系統(tǒng)是非實(shí)時(shí)工作的系統(tǒng)，它在事后分析審計(jì)事件，從中檢查入侵活動(dòng)。2）在線檢測(cè)系統(tǒng)：在線檢測(cè)系統(tǒng)是實(shí)時(shí)聯(lián)機(jī)的檢測(cè)系統(tǒng)，它包含對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包分析，實(shí)時(shí)主機(jī)審計(jì)分析。其工作過(guò)程是實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過(guò)程中進(jìn)行，系統(tǒng)根據(jù)用戶(hù)的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專(zhuān)家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型對(duì)用戶(hù)當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開(kāi)入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。 2 2 入侵檢測(cè)原理入侵檢測(cè)原理 入侵檢測(cè)和其他檢測(cè)技術(shù)基于同樣的原理入侵檢測(cè)和其他檢測(cè)技術(shù)基

9、于同樣的原理，即從一組數(shù)據(jù)中，檢測(cè)出符合某一特點(diǎn)的數(shù)，即從一組數(shù)據(jù)中，檢測(cè)出符合某一特點(diǎn)的數(shù)據(jù)。據(jù)。 22.1 1 異常入侵檢測(cè)原理異常入侵檢測(cè)原理 構(gòu)筑異常檢測(cè)原理的入侵檢測(cè)系統(tǒng)，首先構(gòu)筑異常檢測(cè)原理的入侵檢測(cè)系統(tǒng)，首先要建立系統(tǒng)或用戶(hù)的正常行為模式庫(kù)，不屬于要建立系統(tǒng)或用戶(hù)的正常行為模式庫(kù)，不屬于該庫(kù)的行為被視為異常行為。該庫(kù)的行為被視為異常行為。 但是，入侵性活動(dòng)并不總是與異?；顒?dòng)相但是，入侵性活動(dòng)并不總是與異?；顒?dòng)相符合，而是存在下列符合，而是存在下列4 4種可能性。種可能性。（1 1）入侵性而非異常。）入侵性而非異常。（2 2）非入侵性且異常。）非入侵性且異常。（3 3）非入侵性非異

10、常。）非入侵性非異常。（4 4）入侵性且異常。）入侵性且異常。 另外，設(shè)置異常的門(mén)檻值不當(dāng)，往往會(huì)導(dǎo)另外，設(shè)置異常的門(mén)檻值不當(dāng)，往往會(huì)導(dǎo)致致IDSIDS許多誤報(bào)警或者漏檢的現(xiàn)象，漏檢對(duì)于重許多誤報(bào)警或者漏檢的現(xiàn)象，漏檢對(duì)于重要的安全系統(tǒng)來(lái)說(shuō)是相當(dāng)危險(xiǎn)的，因?yàn)橐陌踩到y(tǒng)來(lái)說(shuō)是相當(dāng)危險(xiǎn)的，因?yàn)镮DSIDS給安給安全管理員造成了系統(tǒng)安全假象。全管理員造成了系統(tǒng)安全假象。 2 2.2 2 誤用入侵檢測(cè)原理誤用入侵檢測(cè)原理 誤用入侵檢測(cè)依賴(lài)于模式庫(kù)，誤用入侵檢測(cè)能誤用入侵檢測(cè)依賴(lài)于模式庫(kù)，誤用入侵檢測(cè)能直接檢測(cè)出模式庫(kù)中已涵蓋的入侵行為或不可接受直接檢測(cè)出模式庫(kù)中已涵蓋的入侵行為或不可接受的行為，而異

11、常入侵檢測(cè)是發(fā)現(xiàn)同正常行為相違背的行為，而異常入侵檢測(cè)是發(fā)現(xiàn)同正常行為相違背的行為。誤用入侵檢測(cè)的主要假設(shè)是具有能夠被精的行為。誤用入侵檢測(cè)的主要假設(shè)是具有能夠被精確地按某種方式編碼的攻擊。通過(guò)捕獲攻擊及重新確地按某種方式編碼的攻擊。通過(guò)捕獲攻擊及重新整理，可確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的整理，可確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。誤用入侵檢測(cè)主要的局限性是僅入侵方法的變種。誤用入侵檢測(cè)主要的局限性是僅僅可檢測(cè)已知的弱點(diǎn)，對(duì)檢測(cè)未知的入侵可能用處僅可檢測(cè)已知的弱點(diǎn)，對(duì)檢測(cè)未知的入侵可能用處不大。不大。 2 2.3 3 入侵檢測(cè)模型入侵檢測(cè)模型入侵有以下入侵有以下6種方式：

12、種方式： 嘗試性攻擊；嘗試性攻擊； 偽裝攻擊；偽裝攻擊； 安全控制系統(tǒng)滲透；安全控制系統(tǒng)滲透； 泄漏；泄漏； 拒絕服務(wù)；拒絕服務(wù)； 惡意使用。惡意使用。IDESIDES模型模型圖 6 IDES模型 3 3 入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù) 3 3.1 1 多用于異常入侵檢測(cè)的技術(shù)多用于異常入侵檢測(cè)的技術(shù)1統(tǒng)計(jì)異常檢測(cè)方法統(tǒng)計(jì)異常檢測(cè)方法 統(tǒng)計(jì)異常檢測(cè)方法根據(jù)異常檢測(cè)器觀察統(tǒng)計(jì)異常檢測(cè)方法根據(jù)異常檢測(cè)器觀察主體的活動(dòng)，由此產(chǎn)生一個(gè)能夠描述這些活主體的活動(dòng)，由此產(chǎn)生一個(gè)能夠描述這些活動(dòng)的輪廓。每一個(gè)輪廓都保存記錄主體的當(dāng)動(dòng)的輪廓。每一個(gè)輪廓都保存記錄主體的當(dāng)前行為，并定時(shí)地將當(dāng)前的輪廓

13、合并到已存前行為，并定時(shí)地將當(dāng)前的輪廓合并到已存儲(chǔ)的輪廓中。通過(guò)比較當(dāng)前的輪廓與已存儲(chǔ)儲(chǔ)的輪廓中。通過(guò)比較當(dāng)前的輪廓與已存儲(chǔ)的輪廓來(lái)判斷主體的行為是否異常，從而來(lái)的輪廓來(lái)判斷主體的行為是否異常，從而來(lái)檢測(cè)網(wǎng)絡(luò)是否被入侵。檢測(cè)網(wǎng)絡(luò)是否被入侵。2基于特征選擇異常檢測(cè)方法 基于特征選擇異常檢測(cè)方法是通過(guò)從一組度量基于特征選擇異常檢測(cè)方法是通過(guò)從一組度量中挑選能檢測(cè)出入侵的度量構(gòu)成子集來(lái)準(zhǔn)確地預(yù)測(cè)中挑選能檢測(cè)出入侵的度量構(gòu)成子集來(lái)準(zhǔn)確地預(yù)測(cè)或分類(lèi)已檢測(cè)到的入侵。或分類(lèi)已檢測(cè)到的入侵。 3基于貝葉斯推理異常檢測(cè)方法 基于貝葉斯推理異常檢測(cè)方法是通過(guò)在任意給基于貝葉斯推理異常檢測(cè)方法是通過(guò)在任意給定的時(shí)刻

14、，測(cè)量定的時(shí)刻，測(cè)量A1，A，A變量值推理判斷系變量值推理判斷系統(tǒng)是否有入侵事件發(fā)生。統(tǒng)是否有入侵事件發(fā)生。 4基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法 基于貝葉斯網(wǎng)絡(luò)的異常檢測(cè)方法是通過(guò)建立異基于貝葉斯網(wǎng)絡(luò)的異常檢測(cè)方法是通過(guò)建立異常入侵檢測(cè)貝葉斯網(wǎng)絡(luò)，然后用其分析測(cè)量結(jié)果。常入侵檢測(cè)貝葉斯網(wǎng)絡(luò)，然后用其分析測(cè)量結(jié)果。 關(guān)于一組變量關(guān)于一組變量x= x1，x，xn，的貝葉斯網(wǎng)，的貝葉斯網(wǎng)絡(luò)由以下兩部分組成：絡(luò)由以下兩部分組成： 一個(gè)表示一個(gè)表示X中變量的條件獨(dú)立斷言的網(wǎng)絡(luò)結(jié)構(gòu)中變量的條件獨(dú)立斷言的網(wǎng)絡(luò)結(jié)構(gòu)S； 與每一個(gè)變量相聯(lián)系的局部概率分布集合與每一個(gè)變量相聯(lián)系的局部概率分布集

15、合P。貝葉斯網(wǎng)絡(luò)的建立共有以下貝葉斯網(wǎng)絡(luò)的建立共有以下3個(gè)主要步驟。個(gè)主要步驟。第一步，確定建立模型有關(guān)的變量及其解釋。第一步，確定建立模型有關(guān)的變量及其解釋。 第二步，構(gòu)建一個(gè)表示條件獨(dú)立斷言的有向無(wú)環(huán)第二步，構(gòu)建一個(gè)表示條件獨(dú)立斷言的有向無(wú)環(huán)圖圖 。第三步，指派局部概率分布第三步，指派局部概率分布p(xi| |Pai)。5基于模式預(yù)測(cè)異常檢測(cè)方法基于模式預(yù)測(cè)異常檢測(cè)方法 基于模式預(yù)測(cè)異常檢測(cè)方法的假設(shè)條件是基于模式預(yù)測(cè)異常檢測(cè)方法的假設(shè)條件是事件序列不是隨機(jī)的而是遵循可辨別的模式事件序列不是隨機(jī)的而是遵循可辨別的模式 圖 9 基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)示意圖 6基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法基于神經(jīng)

16、網(wǎng)絡(luò)異常檢測(cè)方法7基于貝葉斯聚類(lèi)異常檢測(cè)方法基于貝葉斯聚類(lèi)異常檢測(cè)方法8基于機(jī)器學(xué)習(xí)異常檢測(cè)方法基于機(jī)器學(xué)習(xí)異常檢測(cè)方法9基于數(shù)據(jù)采掘異常檢測(cè)方法基于數(shù)據(jù)采掘異常檢測(cè)方法 3 3.2 2 多用于誤用入侵檢測(cè)的技術(shù)多用于誤用入侵檢測(cè)的技術(shù) 誤用入侵檢測(cè)的主要假設(shè)是具有能夠被精確地誤用入侵檢測(cè)的主要假設(shè)是具有能夠被精確地按某種方式編碼的攻擊，并可以通過(guò)捕獲攻擊及重按某種方式編碼的攻擊，并可以通過(guò)捕獲攻擊及重新整理，確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的新整理，確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。入侵方法的變種。 1基于條件概率誤用入侵檢測(cè)方法基于條件概率誤用入侵檢測(cè)方法2基于專(zhuān)家系統(tǒng)

17、誤用入侵檢測(cè)方法基于專(zhuān)家系統(tǒng)誤用入侵檢測(cè)方法3基于狀態(tài)遷移分析誤用入侵檢測(cè)方法基于狀態(tài)遷移分析誤用入侵檢測(cè)方法4基于鍵盤(pán)監(jiān)控誤用入侵檢測(cè)方法基于鍵盤(pán)監(jiān)控誤用入侵檢測(cè)方法5基于模型誤用入侵檢測(cè)方法基于模型誤用入侵檢測(cè)方法 3 3.3 3 基于基于Agent t的入侵檢測(cè)的入侵檢測(cè) 無(wú)控制中心的多無(wú)控制中心的多Agent結(jié)構(gòu)，每個(gè)結(jié)構(gòu)，每個(gè)檢測(cè)部件都是獨(dú)立的檢測(cè)單元，盡量降檢測(cè)部件都是獨(dú)立的檢測(cè)單元，盡量降低了各檢測(cè)部件間的相關(guān)性，不僅實(shí)現(xiàn)低了各檢測(cè)部件間的相關(guān)性，不僅實(shí)現(xiàn)了數(shù)據(jù)收集的分布化，而且將入侵檢測(cè)了數(shù)據(jù)收集的分布化，而且將入侵檢測(cè)和實(shí)時(shí)響應(yīng)分布化，真正實(shí)現(xiàn)了分布式和實(shí)時(shí)響應(yīng)分布化，真正實(shí)

18、現(xiàn)了分布式檢測(cè)的思想。檢測(cè)的思想。 該模型的檢測(cè)單元該模型的檢測(cè)單元IDAIDA是分布在網(wǎng)絡(luò)系統(tǒng)的各個(gè)位是分布在網(wǎng)絡(luò)系統(tǒng)的各個(gè)位置，每個(gè)置，每個(gè)IDAIDA獨(dú)立地檢測(cè)系統(tǒng)或網(wǎng)絡(luò)安全的一個(gè)方面，有獨(dú)立地檢測(cè)系統(tǒng)或網(wǎng)絡(luò)安全的一個(gè)方面，有獨(dú)立的數(shù)據(jù)獲取方式、運(yùn)行模式或可選規(guī)則庫(kù)，各獨(dú)立的數(shù)據(jù)獲取方式、運(yùn)行模式或可選規(guī)則庫(kù)，各IDAIDA之之間進(jìn)行相互協(xié)作，對(duì)系統(tǒng)和網(wǎng)絡(luò)用戶(hù)的異常或可疑行為間進(jìn)行相互協(xié)作，對(duì)系統(tǒng)和網(wǎng)絡(luò)用戶(hù)的異常或可疑行為進(jìn)行檢測(cè)。進(jìn)行檢測(cè)。 圖 10 基于Agent的入侵檢測(cè)系統(tǒng)模型 3 3.4 4 入侵檢測(cè)的新技術(shù)入侵檢測(cè)的新技術(shù)1基于生物免疫的入侵檢測(cè)基于生物免疫的入侵檢測(cè) 基于生

19、物免疫的入侵檢測(cè)方法是通過(guò)模仿生物基于生物免疫的入侵檢測(cè)方法是通過(guò)模仿生物有機(jī)體的免疫系統(tǒng)工作機(jī)制，使得受保護(hù)有機(jī)體的免疫系統(tǒng)工作機(jī)制，使得受保護(hù) 的系統(tǒng)能夠?qū)⒎亲晕遥ǖ南到y(tǒng)能夠?qū)⒎亲晕遥╪on selfnon self）的非法行為）的非法行為與自我（與自我（selfself）的合法行為區(qū)分開(kāi)來(lái)。）的合法行為區(qū)分開(kāi)來(lái)。 基于生物免疫的入侵檢測(cè)系統(tǒng)要遵循以下原則?；谏锩庖叩娜肭謾z測(cè)系統(tǒng)要遵循以下原則。（1 1）分布式保護(hù)（）分布式保護(hù)（Distributed ProtectionDistributed Protection） （2 2）多樣性（）多樣性（DiversityDiversity）

20、 （3 3）健壯性（）健壯性（RobustnessRobustness） （4 4）適應(yīng)性（）適應(yīng)性（AdaptabilityAdaptability） （5 5）記憶性（）記憶性（MemoryMemory）。）。（6 6）隱含的策略描述（）隱含的策略描述（Implicit Policy Implicit Policy SpecificationSpecification）。）。（7 7）靈活性（）靈活性（FlexibilityFlexibility） （8 8）可擴(kuò)充性（）可擴(kuò)充性（ScalabilityScalability） （9 9）異常檢測(cè)）異常檢測(cè) 2 2基因算法基因算法 3數(shù)據(jù)挖

21、掘數(shù)據(jù)挖掘 數(shù)據(jù)挖掘指從大量實(shí)體數(shù)據(jù)中抽出模型數(shù)據(jù)挖掘指從大量實(shí)體數(shù)據(jù)中抽出模型的處理。挖掘?qū)徲?jì)數(shù)據(jù)最有用的的處理。挖掘?qū)徲?jì)數(shù)據(jù)最有用的3種方法是分種方法是分類(lèi)、連接分析和順序分析。類(lèi)、連接分析和順序分析。4基于偽裝的入侵檢測(cè)基于偽裝的入侵檢測(cè)5密罐技術(shù)密罐技術(shù) 密罐技術(shù)就是建立一個(gè)虛假的網(wǎng)絡(luò)，誘惑黑密罐技術(shù)就是建立一個(gè)虛假的網(wǎng)絡(luò)，誘惑黑客攻擊這個(gè)虛假的網(wǎng)絡(luò)，從而達(dá)到保護(hù)真正網(wǎng)絡(luò)客攻擊這個(gè)虛假的網(wǎng)絡(luò)，從而達(dá)到保護(hù)真正網(wǎng)絡(luò)的目的。的目的。 3.5 入侵檢測(cè)系統(tǒng)面臨的挑戰(zhàn)和發(fā)展前景入侵檢測(cè)系統(tǒng)的發(fā)展方向有以下幾個(gè)方面。入侵檢測(cè)系統(tǒng)的發(fā)展方向有以下幾個(gè)方面。1提高入侵檢測(cè)的速度提高入侵檢測(cè)的速度2硬

22、件化硬件化3專(zhuān)業(yè)化專(zhuān)業(yè)化4互聯(lián)化互聯(lián)化5標(biāo)準(zhǔn)化標(biāo)準(zhǔn)化 4 4 基于數(shù)據(jù)挖掘的智能化入侵檢測(cè)系統(tǒng)基于數(shù)據(jù)挖掘的智能化入侵檢測(cè)系統(tǒng)設(shè)計(jì)設(shè)計(jì) 入侵檢測(cè)的實(shí)質(zhì)就是對(duì)審計(jì)數(shù)據(jù)進(jìn)行分析入侵檢測(cè)的實(shí)質(zhì)就是對(duì)審計(jì)數(shù)據(jù)進(jìn)行分析和定性，數(shù)據(jù)挖掘強(qiáng)大的分析方法可以用于入和定性，數(shù)據(jù)挖掘強(qiáng)大的分析方法可以用于入侵檢測(cè)的建模。使用數(shù)據(jù)挖掘中有關(guān)算法對(duì)審侵檢測(cè)的建模。使用數(shù)據(jù)挖掘中有關(guān)算法對(duì)審計(jì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和序列分析，可以挖掘出計(jì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和序列分析，可以挖掘出關(guān)聯(lián)規(guī)則和序列規(guī)則。通過(guò)這種方法，管理員關(guān)聯(lián)規(guī)則和序列規(guī)則。通過(guò)這種方法，管理員不再需要手動(dòng)分析并編寫(xiě)入侵模式，也無(wú)需在不再需要手動(dòng)分析并編寫(xiě)入侵模式，也無(wú)需在建立正常使用模式時(shí)，憑經(jīng)驗(yàn)去猜測(cè)其特征項(xiàng)，建立正常使用模式時(shí)，憑經(jīng)驗(yàn)去猜測(cè)其特征項(xiàng)，具有很好的可擴(kuò)展性和適應(yīng)性。具有很好的可擴(kuò)展性和適應(yīng)性。 4 4.1 1 入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)以及模型入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)以及模型圖 11 系統(tǒng)體系結(jié)構(gòu)模型圖 4 4.2 2 數(shù)據(jù)預(yù)處理數(shù)據(jù)預(yù)處理主要提取的特征值有以下幾個(gè)。主要提取的特征值有以下幾個(gè)。（11）網(wǎng)絡(luò)連接特征）網(wǎng)絡(luò)連接特征（22）連接的統(tǒng)計(jì)特征）連接的統(tǒng)計(jì)特征 對(duì)于入侵檢測(cè)系統(tǒng)，尤其是在需要進(jìn)行實(shí)時(shí)檢對(duì)于入侵檢測(cè)系統(tǒng)，尤其是在需要進(jìn)行實(shí)時(shí)檢測(cè)的情況下，適當(dāng)?shù)臄?shù)據(jù)約簡(jiǎn)是必要的。測(cè)的情況下，適當(dāng)?shù)臄?shù)