11第十一章 入侵檢測的發(fā)展趨勢

入侵檢測的發(fā)展趨勢1入侵檢測的發(fā)展趨勢

入侵檢測的發(fā)展趨勢2第11章入侵檢測的發(fā)展趨勢入侵檢測的發(fā)展趨勢

入侵檢測技術(shù)現(xiàn)狀分析基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)基于數(shù)據(jù)挖掘的入侵檢測技術(shù)基于數(shù)據(jù)融合的入侵檢測技術(shù)基于計算機(jī)免疫學(xué)的入侵檢測技術(shù)分布式入侵檢測技術(shù)IPS技術(shù)入侵檢測的前景入侵檢測的發(fā)展趨勢3入侵檢測技術(shù)現(xiàn)狀分析入侵檢測技術(shù)已經(jīng)成為了網(wǎng)絡(luò)安全技術(shù)的核心技術(shù)之一，目前的入侵檢測產(chǎn)品大多存在如下一些問題。（1）誤報和漏報的矛盾。（2）隱私和安全的矛盾。（3）被動分析與主動發(fā)現(xiàn)的矛盾。（4）海量信息與分析代價的矛盾。（5）功能性和可管理性的矛盾。（6）單一的產(chǎn)品與復(fù)雜的網(wǎng)絡(luò)應(yīng)用的矛盾。入侵檢測的發(fā)展趨勢4入侵檢測技術(shù)現(xiàn)狀分析除了異常入侵檢測方法、誤用入侵檢測方法這些傳統(tǒng)意義上的方法之外，20世紀(jì)90年代以來，不少研究人員提出了不少新的檢測算法，這些檢測算法在不同的方面試圖解決入侵檢測面臨的問題，例如，誤報、缺乏對未知攻擊的檢測能力、缺乏對變形攻擊的檢測能力、自適應(yīng)性差等。這些新的檢測技術(shù)統(tǒng)稱為“入侵檢測的先進(jìn)技術(shù)”。這些入侵檢測的先進(jìn)技術(shù)與傳統(tǒng)的入侵檢測技術(shù)相比，既有聯(lián)系又有區(qū)別。入侵檢測的發(fā)展趨勢5基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)神經(jīng)網(wǎng)絡(luò)在概念和處理方法上都很適合入侵檢測系統(tǒng)的要求，主要表現(xiàn)在（1）神經(jīng)網(wǎng)絡(luò)可以通過利用大量實例進(jìn)行訓(xùn)練的方法學(xué)會知識，獲得預(yù)測能力。（2）可以向神經(jīng)網(wǎng)絡(luò)展示新發(fā)現(xiàn)的入侵攻擊實例，通過再訓(xùn)練使神經(jīng)網(wǎng)絡(luò)能夠?qū)π碌墓裟Ｊ疆a(chǎn)生反應(yīng)，從而使入侵檢測系統(tǒng)具有自適應(yīng)的能力。（3）當(dāng)神經(jīng)網(wǎng)絡(luò)學(xué)會了系統(tǒng)正常工作模式后，能夠?qū)ζx系統(tǒng)正常工作的事件做出反應(yīng)，進(jìn)而可以發(fā)現(xiàn)一些新的攻擊模式。（4）經(jīng)過訓(xùn)練后的神經(jīng)網(wǎng)絡(luò)將對模式的匹配和判斷轉(zhuǎn)換為數(shù)值的計算，從而提高了系統(tǒng)的處理速度，適合于實時處理。

入侵檢測的發(fā)展趨勢6基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法（1）基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測方法（2）基于粗糙集的入侵檢測方法（3）基于優(yōu)化自組織聚類的入侵檢測方法（4）基于遺傳算法的入侵檢測模型（5）基于進(jìn)化的入侵檢測方法入侵檢測的發(fā)展趨勢7基于數(shù)據(jù)挖掘的入侵檢測技術(shù)在入侵檢測系統(tǒng)中，數(shù)據(jù)挖掘通常是指從大量的數(shù)據(jù)中自動提取出模型的過程。數(shù)據(jù)挖掘技術(shù)在從大量數(shù)據(jù)中提取特征與規(guī)則方面具有很大的優(yōu)勢，將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測中，利用數(shù)據(jù)挖掘技術(shù)的歸納能力，利用機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘算法，對審計數(shù)據(jù)進(jìn)行分析，可以自動地從大量數(shù)據(jù)中發(fā)現(xiàn)新的模式，消除入侵檢測系統(tǒng)開發(fā)過程中的手工編碼入侵模式和正常行為輪廓，建立合理的檢測模型，從而克服目前系統(tǒng)存在的缺陷，建立一個準(zhǔn)確性高的（低誤報率和低漏報率）、易于擴(kuò)展的、適應(yīng)性好、伸縮性好、智能的入侵檢測系統(tǒng)。入侵檢測的發(fā)展趨勢8基于數(shù)據(jù)挖掘的入侵檢測技術(shù)數(shù)據(jù)挖掘在入侵檢測過程中的作用：分析網(wǎng)絡(luò)數(shù)據(jù)和審計數(shù)據(jù)，從中提取可以區(qū)分正?；顒雍腿肭只顒拥奶卣鳌Ｕ页瞿芙沂菊嬲舻姆闯５男袨?。從已知攻擊和正常活動中歸納出檢測模型，以便可以檢測出新的、或未知的攻擊。識別出長時間的、正在進(jìn)行的攻擊活動。及時更新規(guī)則庫，以反映用戶正常行為的變化和新出現(xiàn)的攻擊類型。將正常的活動從報警數(shù)據(jù)中移出，尋找掩蓋了真正攻擊的異?；顒?，以便分析人員集中處理真正的攻擊。入侵檢測的發(fā)展趨勢9基于數(shù)據(jù)挖掘的入侵檢測技術(shù)數(shù)據(jù)挖掘在入侵檢測過程中的優(yōu)點檢測效率高檢測的準(zhǔn)確性高適應(yīng)性強(qiáng)擴(kuò)展性好智能性好，自動化程度高入侵檢測的發(fā)展趨勢10基于數(shù)據(jù)融合的入侵檢測技術(shù)在以數(shù)據(jù)為中心的基礎(chǔ)上，我們把IDS看成是一個數(shù)據(jù)、信息的分析過程，并引入數(shù)據(jù)融合和數(shù)據(jù)挖掘技術(shù)，使其可以自動處理來自多數(shù)據(jù)源的數(shù)據(jù)信息，并根據(jù)預(yù)定的數(shù)據(jù)挖掘和融合模型來自動生成入侵檢測規(guī)則和模型。數(shù)據(jù)融合主要是解決入侵檢測系統(tǒng)前端多數(shù)據(jù)源數(shù)據(jù)的融合問題，提高IDS的入侵識別效能和準(zhǔn)確性。數(shù)據(jù)融合技術(shù)綜合了人工智能、統(tǒng)計學(xué)和數(shù)字信號處理等多方面的技術(shù)，其主要功能是對多數(shù)據(jù)源采集到的事件、行為、狀態(tài)進(jìn)行推演，整合并精細(xì)化數(shù)據(jù)源的數(shù)據(jù)，用于與預(yù)先定義的規(guī)則進(jìn)行匹配分析。入侵檢測的發(fā)展趨勢11基于計算機(jī)免疫學(xué)的入侵檢測技術(shù)從信息處理的角度來看，免疫系統(tǒng)是一個自適應(yīng)、自學(xué)習(xí)、自組織、并行處理和分布協(xié)調(diào)的復(fù)雜系統(tǒng)。借鑒免疫系統(tǒng)中蘊(yùn)涵豐富且有效的信息處理機(jī)制，針對計算機(jī)系統(tǒng)和網(wǎng)絡(luò)抵抗入侵的安全問題，可以建立相應(yīng)的人工免疫模型和算法，具有十分廣闊的應(yīng)用前景。

入侵檢測的發(fā)展趨勢12基于計算機(jī)免疫學(xué)的入侵檢測技術(shù)入侵檢測系統(tǒng)與免疫系統(tǒng)具有本質(zhì)的相似性：免疫系統(tǒng)負(fù)責(zé)識別生物體“自身”和“非自身”的細(xì)胞，清除異常細(xì)胞，入侵檢測系統(tǒng)則辨別正常和異常行為模式；生物免疫系統(tǒng)對抗原的初次應(yīng)答類似于入侵檢測系統(tǒng)異常檢測，可檢測出未知的抗原；生物免疫系統(tǒng)第二次應(yīng)答即利用對抗原的“記憶”引發(fā)的再次應(yīng)答與誤用檢測相類似。入侵檢測的發(fā)展趨勢13分布式入侵檢測技術(shù)一個分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)通常由多個模塊組成，這些模塊一般分布在網(wǎng)絡(luò)的不同位置，分別完成數(shù)據(jù)收集、入侵判斷、報警產(chǎn)生、人機(jī)交互等功能。典型的分布式入侵檢測系統(tǒng)可以根據(jù)是否配有控制中心模塊分成如下兩種框架。（1）具有控制中心的分布式入侵檢測系統(tǒng)模型。（2）無控制中心的入侵檢測系統(tǒng)模型。入侵檢測的發(fā)展趨勢14IPS技術(shù)有學(xué)者建議用戶使用一種全新的防御系統(tǒng)——IPS（IntrusionPreventionSystem，即入侵防御系統(tǒng)）來代替IDS，這是因為IDS存在如下問題：（1）由于IDS不能解析加密數(shù)據(jù)流，也就不能檢測加密流量小的攻擊。（2）隨著網(wǎng)絡(luò)交換頻率的增大，IDS只能監(jiān)視到少量的數(shù)據(jù)流量。（3）受硬件和軟件的限制，IDS只能檢測惡意攻擊但是卻不能有效阻止它們。（4）誤報與漏報現(xiàn)象嚴(yán)重。入侵檢測的發(fā)展趨勢15IPS技術(shù)雖然IPS相對于IDS來講，有許多明顯的優(yōu)勢。但是，對于IPS的定義，還是有許多不同的看法。一種觀點認(rèn)為在線的IDS就是IPS；另一種認(rèn)為IPS應(yīng)該是防火墻加IDS；還有一種就是IPS應(yīng)該是一種全新的入侵防護(hù)模式，能夠完全取代IDS。IPS是一種主動的、智能的入侵檢測、防范、阻止系統(tǒng)，其設(shè)計旨在預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。入侵檢測的發(fā)展趨勢16IPS技術(shù)IPS系統(tǒng)根據(jù)部署方式可分為3類?；谥鳈C(jī)的入侵防護(hù)系統(tǒng)（HostIPS，HIPS）?；诰W(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)（NetworkIPS，NIPS）。應(yīng)用入侵防護(hù)系統(tǒng)（ApplicationIntrusionPrevention，AIP）入侵檢測的發(fā)展趨勢17IPS技術(shù)IPS的特征嵌入式運(yùn)行模式完善的安全策略高質(zhì)量的入侵特征庫高效處理數(shù)據(jù)包的能力強(qiáng)大的響應(yīng)功能入侵檢測的發(fā)展趨勢18IPS技術(shù)關(guān)鍵技術(shù)主動防御技術(shù)防火墻和IDS互動技術(shù)集成多種檢測方法硬件加速系統(tǒng)強(qiáng)大的響應(yīng)功能入侵檢測的發(fā)展趨勢19入侵