第5章入侵检测技术第5章入侵检测技术5.1入侵检测概述1988年TeresaLunt等人进一步改进了Denning提出的入侵检测模型，并创建了IDES（IntrusionDetectionExpertSystem），该系统用于检测单一主机的入侵尝试，提出了与系统平台无关的实时检测思想，1995年开发的NIDES（Next-GenerationIntrusionDetectionExpertSystem）作为IDES完善后的版本可以检测出多个主机上的入侵。1990年，Heberlein等人提出了一个具有里程碑意义的新型概念：基于网络的入侵检测——网络安全监视器NSM（NetworkSecurityMonitor）。1991年,NADIR（NetworkAnomalyDetectionandIntrusionReporter）与DIDS（DistributeIntrusionDetectionSystem）提出了通过收集和合并处理来自多个主机的审计信息可以检测出一系列针对主机的协同攻击。1994年，MarkCrosbie和GeneSpafford建议使用自治代理（autonomousagents）以提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合计算机科学其他领域（如软件代理，softwareagent）正在进行的相关研究。另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方法于1996年提出，这就是GrIDS（Graph-basedIntrusionDetectionSystem）的设计和实现，该系统可以方便地检测大规模自动或协同方式的网络攻击。近年来，入侵检测技术研究的主要创新有：Forrest等将免疫学原理运用于分布式入侵检测领域；1998年RossAnderson和AbidaKhattak将信息检索技术引进入侵检测；以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。5.1.1入侵检测原理所谓入侵检测系统就是执行入侵检测任务的硬件或软件产品。
入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法。其应用前提是入侵行为和合法行为是可区分的，也即可以通过提取行为的模式特征来判断该行为的性质。一般地，入侵检测系统需要解决两个问题：
如何充分并可靠地提取描述行为特征的数据；
如何根据特征数据，高效并准确地判定行为的性质。5.1.2系统结构入侵检测的思想源于传统的系统审计，但拓宽了传统审计的概念，它以近乎不间断的方式进行安全检测，从而可形成一个连续的检测过程。这通常是通过执行下列任务来实现的：监视、分析用户及系统活动；系统构造和弱点的审计；识别分析知名攻击的行为特征并告警；异常行为特征的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。5.1.3系统分类2．基于检测理论的分类
从具体的检测理论上来说，入侵检测又可分为异常检测和误用检测。
异常检测（AnomalyDetection）指根据使用者的行为或资源使用状况的正常程度来判断是否入侵，而不依赖于具体行为是否出现来检测。
误用检测（MisuseDetection）指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。3．基于检测时效的分类
IDS在处理数据的时候可以采用实时在线检测方式，也可以采用批处理方式，定时对处理原始数据进行离线检测，这两种方法各有特点（如图5-5所示）。
离线检测方式将一段时间内的数据存储起来，然后定时发给数据处理单元进行分析，如果在这段时间内有攻击发生就报警。在线检测方式的实时处理是大多数IDS所采用的办法，由于计算机硬件速度的提高，使得对攻击的实时检测和响应成为可能。5.2入侵检测的技术实现5.2.1入侵检测分析模型5.2.2误用检测（MisuseDetection）2．产生式/专家系统
用专家系统对入侵进行检测，主要是检测基于特征的入侵行为。所谓规则，即是知识，专家系统的建立依赖于知识库的完备性，而知识库的完备性又取决于审计记录的完备性与实时性。
产生式/专家系统是误用检测早期的方案之
一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了这种方法。3．状态转换方法
状态转换方法使用系统状态和状态转换表达式来描述和检测入侵，采用最优模式匹配技巧来结构化误用检测，增强了检测的速度和灵活性。目前，主要有三种实现方法：状态转换分析、有色Petri-Net和语言/应用编程接口（API）。4．用于批模式分析的信息检索技术
当前大多数入侵检测都是通过对事件数据的实时收集和分析来发现入侵的，然而在攻击被证实之后，要从大量的审计数据中寻找证据信息，就必须借助于信息检索（IR，InformationRetrieval）技术，IR技术当前广泛应用于WWW的搜