网络入侵检测原理与技术

网络入侵检测原理与技术

摘要：计算机网络技术的发展和应用对人类生活方式的影响越来越大，通过Internet人们的交流越来越方便快捷，以此同时安全问题也一直存在着，而人们却一直未给予足够的重视，结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中，基于计算机、网络的信息安全问题已经成为非常严重的问题。

关键词：入侵检测；入侵检测系统；入侵检测系统的原理、方法、技术

一、 网络入侵及其原因

简单来说，网络安全问题可以分为两个方面：

1) 网络本身的安全；

2) 所传输的信息的安全。

那么，我们之所以要进行网络入侵检测，原因主要有以下几个：

1） 黑客攻击日益猖獗

2） 传统安全产品存在相当多的问题

二、 入侵检测原理、方法及技术

1、入侵检测概念

入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略，它从计算机网络系统中的若干关键点收集信息，并进行相应的分析，以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门，在不影响网路性能的前提下对网络进行监测，从而提供对内外部攻击和误操作的实时保护。

2、入侵检测模型

3、入侵检测原理

根据入侵检测模型，入侵检测系统的原理可以分为以下两种：

1）异常检测原理

该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。

异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录，然后建立代表用户、主机或网络连接的正常行为轮廓，再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。

基于异常检测原理的入侵检测方法和技术主要有以下几种方法：

a) 统计异常检测方法；

b) 特征选择异常检测方法；

c) 基于贝叶斯推理异常的检测方法；

d) 基于贝叶斯网络异常检测方法；

e) 基于模式预测异常检测方法。

其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法，对这两种方法目前已有由此而开发成的软件产品面市，而其他方法都还停留在理论研究阶段。

异常检测原理的优点：无需获取攻击特征，能检测未知攻击或已知攻击的变种，且能适应用户或系统等行为的变化。

异常检测原理的缺点：一般根据经验知识选取或不断调整阈值以满足系统要求，阈值难以设定；异常不一定由攻击引起，系统易将用户或系统的特殊行为(如出错处理等)判定为入侵，同时系统的检测准确性受阈值的影响，在阈值选取不当时，会产生较多的检测错误，造成检测错误率高；攻击者可逐渐修改用户或系统行为的轮廓模型，因而检测系统易被攻击者训练；无法识别攻击的类型，因而难以采取适当的措施阻止攻击的继续。

2） 误用检测原理

误用检测，也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库，通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有：

a)基于专家系统的检测方法；

b)基于状态转移分析的检测方法；

c)基于条件的概率误用检测方法；

d)基于键盘监控误用检测方法；

e)基于模型误用检测方法。

误用检测技术的关键问题是：攻击签名的正确表示。误用检测是根据攻击签 名来判断入侵的，如何用特定的模式语言来表示这种攻击行为，是该方法的关键 所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种，同时又 不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程 序的缺陷进行攻击的，那么通过分析攻击过程的特征、条件、排列以及事件间的 关系，就可具体描述入侵行为的迹象。

4、入侵检测方法

1）基于概率统计的检测

该方法是在异常入侵检测中最常用的技术，对用户行为建立模型并根据该模型，当发现出现可疑行为时进行跟踪，监视和记录该用户的行为。优越性在于理论成熟，缺点是匹配用

户行为困难，易造成误报、错报或漏报；定义入侵阀值较难。

2）基于神经网络的检测

该技术的基本思想是用一系列信息单元训练神经单元，在给定一定的输入后，即可预测输出。它是对基于概率统计的检测的改进，主要克服了传统的统计分析技术的一些问题。

3）基于专家系统

所谓的专家系统是基于一套由专家经验事先定义的规则的推理系统。在具体实现中，其主要面临的问题是：全面性问题，即很难从各种入侵手段中抽象出全面的规则化知识；效率问题，即需要处理的数据量过大，且在大型系统上很难获得实时连续的审计数据。

4）基于模型推理的攻击检测技术

5）基于免疫的检测

基于免疫的检测技术是运用自然的免疫系统的某些特性到网络安全系统中去，使整个系统具有适应性、自我调节性、可扩展性。

三、 入侵检测系统

一个入侵检测系统至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。其功能结构如下图：

图1-2 入侵检测系统功能构成

目前入侵检测系统从数据来源来看，主要有三类结构，即：

1）基于网络的入侵检测系统（NIDS）

该系统的数据来源与网络上的数据流，能够截获网络中的数据包，提取其特征并与库中已知的攻击签名相比较，已达到检测目的。其优点在于侦测速度快、隐蔽性好，不易受到攻击，资源消耗少；缺点是误报率较高。

2）基于主机的入侵检测系统（HIDS）

该系统的数据来源于主机系统，通常是系统日志和审计记录。HIDS通过对系统日志和审计记录的不断监控和分析来发现攻击后的误操作。优点在于针对不同的操作系统捕获应用层入侵、误报少；缺点是依赖于主机及其审计子系统，时尚型差。

3）分布式入侵检测系统（DIDS）

该系统采用上述两种数据来源，能够同时分析来自于主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个部件组成，克服了上述两种系统的不足。

结束语:

未来的入侵检测系统将会结合其它网络管理软件，形成入侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测软件的出现极大的方便了网络的管理，其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题，但正如攻击技术不断发展一样，入侵的检测也会不断更新、成熟。同时要及时修补网络中的安全漏洞，否则安全也无从谈起。

网络入侵检测原理与技术

摘要：计算机网络技术的发展和应用对人类生活方式的影响越来越大，通过Internet人们的交流越来越方便快捷，以此同时安全问题也一直存在着，而人们却一直未给予足够的重视，结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中，基于计算机、网络的信息安全问题已经成为非常严重的问题。

关键词：入侵检测；入侵检测系统；入侵检测系统的原理、方法、技术

一、 网络入侵及其原因

简单来说，网络安全问题可以分为两个方面：

1) 网络本身的安全；

2) 所传输的信息的安全。

那么，我们之所以要进行网络入侵检测，原因主要有以下几个：

1） 黑客攻击日益猖獗

2） 传统安全产品存在相当多的问题

二、 入侵检测原理、方法及技术

1、入侵检测概念

入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略，它从计算机网络系统中的若干关键点收集信息，并进行相应的分析，以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门，在不影响网路性能的前提下对网络进行监测，从而提供对内外部攻击和误操作的实时保护。

2、入侵检测模型

3、入侵检测原理

根据入侵检测模型，入侵检测系统的原理可以分为以下两种：

1）异常检测原理

该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。

异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录，然后建立代表用户、主机或网络连接的正常行为轮廓，再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。

基于异常检测原理的入侵检测方法和技术主要有以下几种方法：

a) 统计异常检测方法；

b) 特征选择异常检测方法；

c) 基于贝叶斯推理异常的检测方法；

d) 基于贝叶斯网络异常检测方法；

e) 基于模式预测异常检测方法。

其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法，对这两种方法目前已有由此而开发成的软件产品面市，而其他方法都还停留在理论研究阶段。

异常检测原理的优点：无需获取攻击特征，能检测未知攻击或已知攻击的变种，且能适应用户或系统等行为的变化。

异常检测原理的缺点：一般根据经验知识选取或不断调整阈值以满足系统要求，阈值难以设定；异常不一定由攻击引起，系统易将用户或系统的特殊行为(如出错处理等)判定为入侵，同时系统的检测准确性受阈值的影响，在阈值选取不当时，会产生较多的检测错误，造成检测错误率高；攻击者可逐渐修改用户或系统行为的轮廓模型，因而检测系统易被攻击者训练；无法识别攻击的类型，因而难以采取适当的措施阻止攻击的继续。

2） 误用检测原理

误用检测，也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库，通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有：

a)基于专家系统的检测方法；

b)基于状态转移分析的检测方法；

c)基于条件的概率误用检测方法；

d)基于键盘监控误用检测方法；

e)基于模型误用检测方法。

误用检测技术的关键问题是：攻击签名的正确表示。误用检测是根据攻击签 名来判断入侵的，如何用特定的模式语言来表示这种攻击行为，是该方法的关键 所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种，同时又 不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程 序的缺陷进行攻击的，那么通过分析攻击过程的特征、条件、排列以及事件间的 关系，就可具体描述入侵行为的迹象。

4、入侵检测方法

1）基于概率统计的检测

该方法是在异常入侵检测中最常用的技术，对用户行为建立模型并根据该模型，当发现出现可疑行为时进行跟踪，监视和记录该用户的行为。优越性在于理论成熟，缺点是匹配用

户行为困难，易造成误报、错报或漏报；定义入侵阀值较难。

2）基于神经网络的检测

该技术的基本思想是用一系列信息单元训练神经单元，在给定一定的输入后，即可预测输出。它是对基于概率统计的检测的改进，主要克服了传统的统计分析技术的一些问题。

3）基于专家系统

所谓的专家系统是基于一套由专家经验事先定义的规则的推理系统。在具体实现中，其主要面临的问题是：全面性问题，即很难从各种入侵手段中抽象出全面的规则化知识；效率问题，即需要处理的数据量过大，且在大型系统上很难获得实时连续的审计数据。

4）基于模型推理的攻击检测技术

5）基于免疫的检测

基于免疫的检测技术是运用自然的免疫系统的某些特性到网络安全系统中去，使整个系统具有适应性、自我调节性、可扩展性。

三、 入侵检测系统

一个入侵检测系统至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。其功能结构如下图：

图1-2 入侵检测系统功能构成

目前入侵检测系统从数据来源来看，主要有三类结构，即：

1）基于网络的入侵检测系统（NIDS）

该系统的数据来源与网络上的数据流，能够截获网络中的数据包，提取其特征并与库中已知的攻击签名相比较，已达到检测目的。其优点在于侦测速度快、隐蔽性好，不易受到攻击，资源消耗少；缺点是误报率较高。

2）基于主机的入侵检测系统（HIDS）

该系统的数据来源于主机系统，通常是系统日志和审计记录。HIDS通过对系统日志和审计记录的不断监控和分析来发现攻击后的误操作。优点在于针对不同的操作系统捕获应用层入侵、误报少；缺点是依赖于主机及其审计子系统，时尚型差。

3）分布式入侵检测系统（DIDS）

该系统采用上述两种数据来源，能够同时分析来自于主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个部件组成，克服了上述两种系统的不足。

结束语:

未来的入侵检测系统将会结合其它网络管理软件，形成入侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测软件的出现极大的方便了网络的管理，其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题，但正如攻击技术不断发展一样，入侵的检测也会不断更新、成熟。同时要及时修补网络中的安全漏洞，否则安全也无从谈起。