入侵检测系统技术综述

入侵检测系统技术综述

摘 要：自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中.本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程.文章以历史和实践的观点$透视入侵和入侵检测技术相互制约,相互促进的演进过程.

关键词：计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史

1、引 言

自从计算机问世以来，安全问题就一直存在。特别是随着Internet的迅速扩张和电子商务的兴起，人们发现保护资源和数据的安全，让他免受来自恶意入侵者的威胁是件相当困难的事。提到网络安全，很多人首先想到的是防火墙，防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外，但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下，入侵检测系统（IDS）应运而生。

2、 概述

计算机网络技术的飞速发展极大地改变了人们的学习、工作以及生活方式。随着计算机及网络系统中存储的重要信息越来越多，系统的安全问题也显得E1益突出，我们需要尽可能找到更好的措施以保护系统免受入侵者的攻击，尽管已有许多防御技术，如防火墙，但它只是一种静态的被动的防护技术。要求事先设置规则。对于实时攻击或异常行为不能实时反应。无法自动调整策略设置以阻断正在进行的攻击。因而出现了入侵检测系统，它是一种动态的网络安全策略，能够有效地发现入侵行为和合法用户滥用特权的行为，它是P2DR(动态安全模型)的核心部分。

3、 入侵检测系统产生及其发展

绝大多数入侵检测系统的处理效率低下，不能满足大规模和高带宽网络的安全防护要求。这就决定了当前的入侵检测系统在未来信息战中的作用是有限的。因为信息战中双方使用的网络进攻手段肯定是储备的、从未出现的新手段。即使检测到攻击，现有的入侵检测系统的响应能力和实时性也很有限，不能预防快速脚本攻击，对于此类恶意攻击只能发现和纪录，而不能实时阻止。国内只有少数的网络入侵检测软件，相关领域的系统研究也是刚刚起步，与外国尚有很大差距。

目前，在入侵检测的技术发展上还是存在着以下主要缺陷：(1)网络安全设备的处理速度慢。(2)入侵检测系统的漏报率和误报率高。(3)入侵检测系统的互动性能差，整个系统的

安全性能低。

4、 入侵检测系统的概论

4.1 入侵检测系统的概念

入侵检测系统(Intrusion Detection System，简称IDS)是从多种计算机系统及网络系统中收集信息，再通过这些信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门，它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击；在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。

4.2 入侵检测系统的分类

入侵检测技术主要可以分成两类：异常入侵检测(Anomaly Detection)技术和误用人侵检测(Misuse Detec—tion)技术。 4．2．1基于统计模型的异常入侵检测

1)基于阈值测量(Threshold Measures)的检测。这种方法也称为操作模型(Operational Model)，是对某个时间段内时间的发生次数设置一个阈值，若超过该值就有可能出现异常情况。定义异常的阈值设置偏高就会导致误否定错误，误否定错误的后果不仅是检测不到入侵，而且还会给安全管理人员以安全的错觉。定义异常的阈值设置偏低就会导致难以忍受的误肯定判断，误肯定过多就会降低入侵检测方法的效率而且会增添安全管理员的负担。

2)基于平均值和标准偏差模型的检测。这种模型将观察到的前n个事件用变量x1,??，xn。来表示，这些变量的平均值mean和标准偏差stdev分别为：mean=(x1????xn)／n stdev=sqrt((x21????x2n)／(n+1)一mean2)

对于一个新监测到的事件用xn?1表示，如果它落到置信区间mean±d*stdev之外就认为是异常的，d是标准偏移均值参数。这种方法的优点是能够动态地学习有关正常事件的知识，并通过置信区间的动态改变而表现出来。 3)基于马尔科夫进程模型的检测。

该模型将离散的事件看作一个状态变量，然后用状态迁移矩阵刻画不同状态之间的迁移频率，而不是个别状态或审计纪录的频率。若观察到的新事件就给定的先前状态和矩阵来说发生的频率太低就认为是异常事件。该模型的优点是可以检测到不寻常的命令或事件序列而不是单一的事件。

4．2．2基于神经网络的异常入侵检测

神经网络方法是利用一个包含很多计算单元的网络来完成复杂的映射函数的，这些单元通过使用加权的连接互相作用。一个神经网络知识根据单元和它们权值间连接编码成网格结构，实际的学习过程是通过改变权值和加入或移去连接进行的。神经网络处理分成2个阶段：首先，通过正常系统行为对该网络进行训练，调整其结构和权值；然后，通过正常系统行为对该网络进行训练，由此判别这些事件流是正常还是异常的。同时，系统也可以利用这些观测到的数据进行训练，从而使网络可以学习系统行为的一些变化。 4．2．3基于免疫系统的异常入侵检测

这种入侵检测方法是通过模仿生物有机体的免疫系统工作机制，使得受保护的系统能够将非法行为和合法行为区分开。生物免疫系统连续不断地产生称作抗体的监测器细胞，并将其分布到整个机体中。这些分布式的抗原监视所有的活性细胞，试图检测出入侵机体的外来细胞。类似的，计算机免疫系统按照系统调用序列为不同的行为，即正常行为和异常行为建立应用程序模型。比较模型与所观测到的事件就可以分出正常和异常的行为。 4．2．4基于文件检查的异常入侵检测

这种方法通过使用系统敏感数据的加密校验和来检测文件产生的变化。但是由于文件检测通常是在入侵后才进行检测，所以如果加密校验和被修改或检测进程泄漏就可能导致检测失效。

4．2．5基于污染检查的异常入侵检测

这种方法认为所有用户提供的输入都是被污染的，任何在敏感区域使用这些污染输入的企图都会失败，若要使用这些数据就必须进行去污操作。去污操作是通过正则表达式来提取所要用的内容，这样可以避免嵌入式shell命令等的使用 4．2．6基于协议认证的异常入侵检测

许多攻击技术利用协议的不正常使用来攻击系统，协议认证技术就是通过建立协议使用标准来严格地检查这些攻击。但由于协议的不同实现方法影响了标准的一致性，所以该方法可能导致肯定性的错误。

4．3误用入侵检测

误用入侵检测是对已知系统和应用软件的弱点进行入侵建模，从而对观测到的用户行为和资源使用情况进行模式匹配而达到检测的目的。误用入侵检测的主要假设是入侵活动能够被精确地按照某种方式进行编码并可以识别基于同一弱点进行攻击的入侵方法的变种。

4．3．1基于状态转移分析的误用检测

状态转移分析系统利用有限状态自动机来模拟人侵，入侵由从初始系统状态到入侵状态的一系列动作组成，初始状态代表着入侵执行前的状态，入侵状态代表着入侵完成时的状态。系统状态根据系统属性和用户权利进行描述，转换则由一个用户动作驱动。每个事件都运用于有限状态自动机的实例中，如果某个自动机到达了它的最终状态，即接受了事件，则表明该事件为攻击。这种方法的优点是能检测出合作攻击以及时间跨度很大的缓慢攻击。 4．3．2基于专家系统的误用入侵检测

将安全专家的知识表示成规则知识库，然后用推理算法检测入侵。用专家系统对入侵进行检测，经常是针对有特征的入侵行为。这种方法能把系统的控制推理从问题解决的描述中分离出去。它的不足之处是不能处理不确定性，没有提供对连续有序数据的任何处理，另外建立一个完备的知识库对于一个大型网络系统往往是不可能的，且如何根据审计记录中的事件提取状态行为与语言环境也是比较困难的。 4．3．3基于遗传算法的误用入侵检测

遗传算法就是寻找最佳匹配所观测到的事件流的已知攻击的组合，该组合表示为一个向量，向量中每一个元素表示某一种攻击的出现。向量值是按照与各个攻击有关的程度和二次罚函数而逐步演化得到的，同时在每一轮演化中，当前向量会进行变异和重新测试，这样就将误肯定和误否定性错误的概率降到零。

4.4 入侵检测技术的发展

入侵检测由传统电子数据处理、安全审计以及统计技术发展而来。1980年4月，James P．Anderson在给美国空军的报告((Computer Security Threat Monitoring and Surveillance))中第一次详细阐述了入侵检测的概念，并提出用审计追踪监视入侵产生的威胁。1984-1986年，乔治敦大学的DorothyDenning和美国斯坦福国际研究所的Peter Neumann研究出了一个实时入侵检测系统模型，取名为IDES(入侵检测专家系统)。1987年，D．E．Denning发表论文“An Intrusion DetectionModel”首次给出了一个入侵检测的抽象模型，并将入侵检测作为一个新的与传统加密认证和访问控制完全不同的计算机安全防御措施提出。1988年，莫里斯蠕虫事件发生之后，网络安全才真正引起了军方、学术界和企业的高度重视，促使人们投入更多的资金和精力去研究和开发IDS。

5、 入侵检测系统性能指标

衡量入侵检测系统的两个最基本指标为检测率和误报率，两者分别从正、反两方面表明检测系统的检测准确性。实用的入侵检测系统应尽可能地提高系统的检测率而降低误报率，但在实际的检测系统中这两个指标存在一定的抵触，应根据具体的应用环境折衷考虑。除检测率和误报率外，在实际设计和实现具体的入侵检测系统时还应考虑如下几个方面：

(1)操作方便性：训练阶段的数据量需求少(支持系统行为的自学习等)、自动化训练(支持参数的自动调整等)；在响应阶段提供多种自动化的响应措施。

(2)抗攻击能力：能够抵抗攻击者修改或关闭入侵检测系统。当攻击者知道系统中存在入侵检测时，很可能会首先对入侵检测系统进行攻击，为其攻击系统扫平障碍。 (3)系统开销小，对宿主系统的影响尽可能小。

(4)可扩展性：入侵检测系统在规模上具有可扩展性，可适用于大型网络环境。

(5)自适应、自学习能力：应能根据使用环境的变化自动调整有关阈值和参数，以提高检测的准确性；应具有自学习能力，能够自动学习新的攻击特征，并更新攻击签名库。 (6)实时性：指检测系统能及早发现和识别人侵，以尽快隔离或阻止攻击，减少其造成的破坏。

6、入侵检测系统存在的问题及发展趋势

6.1 存在的问题

经过二十多年的研究与开发，入侵检测技术得到了飞速的发展，但是E1前还存在很多的问题。主要有：

(1)大量的误报和漏报。误报不仅降低了入侵检测系统的效率，而且很大程度上降低了原系统的服务质量。漏报具有更大的危险性，它是入侵检测系统对真正的攻击或入侵没有报警。 (2)自身缺少防御功能。一旦IDS本身受到攻击，则整个检测系统都会瘫痪，以后的入侵行为都没法被记录。

(3)互动性能低。在大型网络中，网络的不同部分可能使用了多种IDS，甚至还有防火墙、漏洞扫描等其他类别的安全设备，这些IDS之间以及IDS和其他安全组件之间交换信息，共同协作来发现攻击、作出响应并阻止攻击的能力差。

(4)实时性差。IDS经常被要求来及时地评价事件，但是现有的IDS很难满足这一要求，特别当面临着大量的事件时。

6.2 发展趋势

(1)面向Ipv6的IDS下一代互联网络采用IPv6协议，IPv6协议本身提供加密和认证功能，这就增加了面向IPv6的入侵检测系统监听网络数据包内容的难度。随着IPv6应用范围的扩展，入侵检测系统支持IPv6将是一大发展趋势，是入侵检测技术未来几年该领域研究的主流。 (2)智能型协作IDS现在的分布式IDS利用分布在网络中的探测器扩大了数据源的范围因而可以更好地检测入侵。同时，实现了IDS内部信息的共享。但多数DIDS只是简单地丰富了数据来源，并未有效地对信息共享进行协作。因此需要开发智能协作IDS进行灵活分配角色的协作机制，有效抑制短时间内产生的关于同一攻击的告警数量，减少不必要的信息传输，提高检测系统的性能和本身的安全性。

(3)基于行为分析技术的IDS行为分析技术不仅简单分析单次攻击事件，还根据前后发生的事件确认是否确有攻击发生，攻击行为是否生效。这样，不仅能使管理员看到孤立的攻击事件的报警，还可以看到整个攻击过程，了解攻击确实发生与否，查看攻击者的操作过程，了解攻击造成的危害。不但发现已知攻击，同时发现未知攻击。不但发现外部攻击者的攻击，也发现内部用户的恶意行为。同时，有利于日后的取证分析。

7、 结论

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应人侵。未来的入侵检测系统将会结合其它网络管理软件，形成人侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测软件的出现极大的方便了网络的管理，其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题，但正如攻击技术不断发展一样，入侵的检测也会不断更新、成熟。我们要时刻意识到即使拥有当前最强大的人侵检测系统，如果不及时修补网络中的安全漏洞的话，安全也无从谈起。

参考文献

[1]夏丹丹.李刚.程梦梦.于亮.入侵检测系统综述 -网络安全技术与应用2007(1)

入侵检测系统是一种基于主动策略的网络安全系统.本文从入侵检测系统的定义出发,介绍了它的发展历程,并对入侵检测系统进行了分类.最后分析了入侵检测系统面临的主要问题及今后的发展趋势. [2] 马琳.戴晓飞入侵检测系统综述 2007

介绍了入侵检测系统的研究背景及现状,探讨了建立入侵检测系统的时代意义、未来发展、功能特性、技术分类,模型种类及存在的问题。

[3] 莫足琴 入侵检测技术综述 -计量与测试技术2005,32(12)

本文介绍了入侵检测的概念、方法和入侵检测系统的分类,对好的入侵检测系统的要求做了总结,并指出了现在的入侵检测系统还存在的缺点,最后对 入侵检测技术发展方向进行了展望.

[4] 卢涛.马力入侵和入侵检测技术发展综述 -现代电子技术2003,26(22)

自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中.本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程.文章以历史和实践的 观点,透视入侵和入侵检测技术相互制约,相互促进的演进过程. [5] 卢广 网络安全中入侵检测系统的设计与实现 2003

网络安全中的入侵检测是对计算机系统资源和网络资源的恶意行为进行识别和响应。网络安全中的入侵检测系统是近年来出现的新型网络安全技术，也是重要的网络安全工具，它可以对系统或网络资源进行实时检测，及时发现闯入系统或网络的入侵者，也可预防合法用户的误操作。 [6] 冯飞 网络安全与入侵检测 2003

入侵检测是最近10余年发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制.和传统的预防性安全机制比,入侵检测具有智能监控、实时探测、动态响应、易于配置和适用广泛等特点.显然,入侵检测是对传统计算机安全机制的一种补充,成为目前动态安全工具的主要研究和开发的方向. [7] 赵铭.罗军舟基于网络的入侵检测系统的实现机制 -数据通信2001(3)

介绍现有基于网络的入侵检测系统的实现机制,分析此机制的优势和存在问题,并对新一代入侵检测系统提出建议.

[8] 钱田芬.周健.洪艳.任廷基于复杂适用理论的入侵检测系统的设计 2007

本文设计了一个具有CAS特性的入侵检测系统,该系统以网络攻击特征聚集为关键点,通过对规則的聚集,形成新的知识,从而可以发现新的入侵攻击类型,降低了IDS的漏报率和误报率。并利用Swarm提供的仿真环境,实现入侵检测系统聚集模块的动态仿真,结果表明,通过对攻击特征规則的聚集,发现新的攻击种类,降低因为漏报带来的安全风险。

[9] 文张涛 一种基于局域网的入侵检测系统 2006

随着计算机网络技术的迅速发展，网络安全问题变的日益突出。数据加密、防火墙等传统的安全技术已经无法满足网络安全的需求，入侵检测技术应运而生。入侵检测系统可以对计算机和网络上的非法入侵行为进行识别并主动响应，而且不仅可以检测来自外部的入侵行为，同时也检测到内部用户的未授权活动。 [10] 肖云.王选宏. 基于网络安全知识库的入侵检测模型 -计算机应用研究2009,26(3)

在网络安全知识库系统的基础上,提出一个基于网络安全基础知识库系统的入侵检测模型,包括数据过滤、攻击企图分析和态势评估引擎.

检索总结

1、使用逻辑词辅助查找

比较大的搜索引擎都支持使用逻辑词进行更复杂的搜索界定，常用的有：AND(和)、OR(或)、NOT(否)及NEAR(两个单词的靠近程度)，恰当应用它们可以使搜索结果非常精确。另外，也可以使用括号将搜索词分别组合，如〔(新闻OR足球)AND米兰)NOT(“新闻”OR足球〕。 2、使用双引号进行精确查找

如果查找的是一个词组或多个汉字，最好的办法就是将它们用双引号括起来，这样得到的结果最少、最精确。

3、有针对性地选择搜索引擎

用不同的搜索引擎进行查询得到的结果常常有很大的差异，这是因为它们的设计目的和发展走向存在着许多不同，有的专用于USENET的搜索引擎，而有的则是针对邮递列表或IRC等的搜索引擎。使用时要根据自己的需要选择合适的搜索引擎。 4、使用加减号限定查找

很多搜索引擎都支持在搜索词前冠以加号“+”限定搜索结果中必须包含的词汇，用减号“-”限定搜索结果不能包含的词汇。 5、细化查询

许多搜索引擎都提供了对搜索结果进行细化与再查询的功能，如有的搜索引擎在结果中有“查询类似网页”的按钮，还有一些则可以对得到的结果进行新一轮的查询。 6、根据要求选择查询方法

如果需要快速找到一些相关性比较大的信息，可以使用目录式搜索引擎的查找功能。如果想得到某一方面比较系统的资源信息，可以使用目录一级一级地进行查找。如果要找的信息比较冷门，应该用比较大的全文搜索引擎查找。 7、注意细节

在Internet上进行查询时如果能注意一些细节问题，常常能增加搜索结果的准确性，如许多搜索引擎都区分字母的大小写，因此，如果您正在搜索人名或地名等关键词，应该正确使用它们的大小写字母形式。 8、利用选项界定查询

目前越来越多的搜索引擎开始提供更多的查询选项，利用这些选项人们可以轻松地构造比较复杂的搜索模式，进行更为精确的查询，并且能更好地控制查询结果的显示。 快速搜索技巧 1、搜索词组

如果只给出一个单词进行搜索，经常会出现数以千计甚至以百万计的匹配网页。然而如果再加上一个单词，那么搜索结果会更加切题。在搜索时，给出两个关键词，并将两个词用AND(与逻辑)结合起来，或者在每个词前面加上加号“+”，这种与逻辑技术大大地缩小了搜索结果的范围，从而加快了搜索。幸运的是，所有主要的搜索引擎都使用同样的语法。一个带引号的词组意味着只有完全匹配该词组(包括空格)的网页才是要搜索的网页。把这几种符号结合起来使用，能大大提高搜索效率。 2、选择词组

一般说来在网页搜索引擎中，用词组搜索来缩小范围从而找到搜索结果是最好的办法。但是，运用词组搜索涉及到如何使用一个词组来表达某一具体问题。有时简单地输入一个问题作为

词组就能奏效，然而简单明了地提问方法只对一部分搜索奏效。选择合适的词组对提高搜索效率是很重要的，实在找不出时可以试试下面的方法。

3、查找信息源

有时词组搜索太精确或者一个词组无法准确表达所需信息。那么可以直接到信息源，这种技术“简单得似乎不值一提”，但却很有效。根本不用搜索引擎，直接到提供某种信息组织的站点去。很多时候我们可以用公式“www.公司名.com”去猜测某一组织的特点。从而得到所要搜索的信息的主要词组。

在这次综述中我具体过程如下：[1]登陆辽宁工大图书馆，选择“中文电子期刊”，进入CNKI网络数据库，点击“进入总库检索”。进入“中国学术期刊网络出版总库”，在“选择学科领域”中只选择“信息科技”，在输入内容检索条件中第一项选择参考文献，第二项写入“入侵检测”搜索，共搜索到6744条文献。为缩小范围改成搜索“入侵检测系统”进行搜索，共搜索到4401条文献。再改成搜索“入侵检测系统技术”进行搜索，共搜索到58条文献。在这58条文献中选择我所需要的文献。

本文来源：https://www.bwwdw.com/article/67f6.html