论文部分内容阅读
摘要:网络安全问题日益突出,入侵检测系统的研究日渐兴盛,在传统的入侵检测方法基础上,不断地改进,并探索与遗传算法、免疫算法等智能算法结合,向着更智能更多元化发展。该文从误用检测和异常检测两方面入手,探讨了现有的用于入侵检测的方法,并对其进行优势与劣势的对比。最后就入侵检测技术研究趋势进行了分析。
关键词:入侵;检测;误用;异常
中图分类号:TP301.6 文献标识码:A 文章编号:1009-3044(2013)33-7402-03
随着网络的广泛普及,网络渗透到政府机构与企事业单位日常工作的方方面面,随之而来的黑客入侵使机构面临由于信息外泄、网络瘫痪等带来的巨大损失。现今企业单位主要依靠入侵检测系统进行网络安全的防护。
1 入侵检测
入侵检测通过收集并建立网络或系统的关键信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象[1]。从大量的审计数据属性中生成能有效检测入侵的正常行为轮廓,或从中有效的提取出入侵模式,是入侵检测模型的研究重点,并按此将入侵检测分为误用入侵检测和异常入侵检测。
2 入侵检测方法
目前误用检测方法包括专家系统、入侵模型分析、模式匹配、基于状态转换分析、基于条件概率、基于键盘监控、基于Petri网等方法。异常检测包括统计分析、神经网络、遗传算法、数据挖掘、基于模糊技术、基于免疫原理及基于代理等方法[2-4]。
1) 专家系统方法
根据专家经验,在分析入侵行为的基础上建立一套推理规则,从而形成相应的专家系统。推理规则一般是根据已知的安全漏洞进行制定,并依据专家经验的积累不断地对规则进行扩充和修正。
2) 基于模型推理方法
根据入侵的行为程序建立特定行为特征的模型,根据这些模型建立攻击脚本库。检测时通过翻译假定的攻击行为,并与审计记录进行匹配,检测恶意的具有特定行为特征的异常行为。
3) 模式匹配方法
将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。
4) 状态转换方法
状态转换分析使用高级状态转换图表来体现和检测已知的入侵攻击方式,状态转换分析系统利用有限状态机图表模拟入侵。入侵包括初始状态和入侵状态,这两个状态之间的转换由一系列行为序列组成。建立模型时需要分析每一种入侵方法导致系统由初始状态转换为入侵状态的转换条件,将其与两种状态使用状态转换图来表示出来集成于模型中。
5) 基于条件概率
该方法将入侵方式对应于一个事件序列,然后通过观测到的事件发生情况来推测入侵出现。这种方法依据是外部事件序列,根据贝叶斯定理进行推理检测入侵。它可以通过事件序列的观测,从而推算出事件出现的概率。
6) 基于键盘监控
该方法假设入侵对应特定的击键序列模式,然后监测用户击键模式,并将这一模式与入侵模式匹配,即能检测入侵。这种方法在没有操作系统支持的情况下,缺少捕获用户击键的可靠方法,而且同一种攻击存在无数击键方式表示。
7) 有色Petri网
基于Petri 网的入侵检测使用Petri 网来表示初始状态与入侵状态及造成两种状态转换的特征事件, 这些事件被集成于模型中, 匹配时根据设定的状态驱动条件阈值来判断是否为入侵。
8) 统计分析方法
统计分析方法利用统计理论提取系统对象的正常行为并采用频度、概率、均值、方差及偏差等统计量为其创建统计描述。统计处理后的数据与系统待检测的数据进行比较,根据其偏差是否超过所设定的阈值来进行判断,当超出阈值时系统做出入侵处理。
9) 神经网络算法
神经网络算法主要利用入侵样本进行训练,构造基于多层感知器的神经网络分类器,使系统具备对某些入侵行为进行分类的能力。入侵样本主要从系统程序的执行轨迹中提取关键程序的正常系统调用子序列,或从其遭受入侵攻击的执行轨迹中提取关键程序的标识已知入侵的系统调用子序列。这些数据经过学习,改变神经元之间的连接权值进而将有关入侵行为的特征信息储存到神经网络中。完成学习后,利用构建的神经网络分类器监控系统关键程序的执行情况,从而确定系统是否受到恶意入侵。
10) 遗传算法
遗传算法分析包括两步,第一步是用一个位串对问题的解决办法进行编码,第二步是与一些进化标准比较,找一个最适合的函数测试群体中的每个个体。基于遗传算法的入侵检测先使其通过一个学习样本库进行训练。通过对样本库中各个样本的选取、交叉、变异操作,生成新一代个体,然后选取检测能力最强的那些个体进入新一轮的交叉、变异和选择,通过若干代的循环过程,直到检测能力不再提高为止。对未知入侵还可以自我学习,不断完善特征库。
11) 数据挖掘方法
基于数据挖掘的入侵检测方法从大量的审计数据或数据流中提取感兴趣的知识,这些知识是隐含的、事先未知的潜在有用信息,提取的知识表示为概念、规则、规律、模式等形式,并用这些知识去检测异常入侵和己知的入侵。
12) 基于模糊技术
模糊入侵检测系统是基于知识的入侵检测系统,它不针对每个入侵的模式进行匹配,而是从多个角度对入侵的模糊特征用模糊集合描述,并以模糊规则的形式存放在模糊专家系统中,模糊入侵检测系统分析原始数据产生模糊证据,提交给模糊专家系统分析,从而产生响应。
13) 免疫系统方法
免疫方法通过模拟生物有机体的免疫系统工作机制,使受保护的系统能区分非我与自我。生物免疫系统通常对先前己发现的外界感染类型做出比较强烈的反应。但是它同样可以处理新的未知感染类型,针对未知的感染病原体进化出新的检测器来处理此种病原体类型。 14) 基于代理检测
基于代理的检测方法就是一个在主机上执行某种安全监控功能的软件实体,不需要其他进程控制,只需要操作系统就可完成。基于代理的入侵检测系统能够在其能力允许范围内提供异常检测和误用检测的混合检测能力,可以适应本地环境变化,并能在长时间内监控非常不去定的模式。
3 现有入侵检测方法的对比
综合分析来看(表1),误用入侵检测的各类方法实现起来较容易,并且检测的速度比较快,检测率和准确率也比较高,但普遍存在的缺点是不能检测未知攻击,面对出现的新入侵无能为力;异常入侵检测技术可以较好的检测未知入侵,然而会产生误报,额外增加系统的处理操作负担,并且对“正常”行为特征轮廓的确定、更新和特征量的选取工作难度较大,检测速率较低。基于两类入侵检测方法国内外已开发了很多入侵检测系统,但是,在核心算法方面、在有效性、自适应性等方面以及在检测率方面仍存在较多的问题,这也是国内外专家仍然不懈地致力于开拓新思路的主要原因。
4 入侵检测方法研究趋势
现今,网络环境日益复杂,入侵检测研究面临更大的挑战。一方面,现今的网络传输速率已经达到Gbit/s,入侵检测的基础是获得完整的网络数据流,否则无法完成正常的检测。并且网络内部流量包括了各种业务,如各种服务FTP、HTTP、SMTP等,因此入侵检测系统面临着海量数据处理的压力。另一方面,随着网络日益广泛的普及,各种黑客工具蔓延,导致网络入侵越来越复杂,不断出现新的入侵,并且新的入侵具有分布式特点,不断朝着网络化、隐蔽化的方向发展,因此对入侵检测的准确性与实时性要求也越来要高,并且需要系统具有发现未知入侵的能力,来应对新的攻击。目前,入侵检测方法的主要研究方向有:
1) 智能检测方法从理论到实际应用进行过渡,积极探求新的方案解决智能检测方法中计算量大的问题,以发挥智能检测中检测未知入侵的能力,应对复杂的攻击;
2) 入侵检测与其他安全技术相结合,提供完整的网络安全保障。其他安全技术如防火墙、PKI/SET等;
3) 单一的入侵检测方法存在难以避免的缺陷,因此,加强入侵检测方法之间的协作机制,以自身的长处弥补协作方的不足,从而提供纵深的、多方位的综合网络安全防护体系,成为入侵检测的一个发展趋势。
参考文献:
[1] 修玮.关于局域网络对外来网络设备排斥的研究[D].大连:大连交通大学,2009:1-2.
[2] 卿斯汉,蒋建春,马恒太,等.入侵检测技术研究综述[J].通信学报.2004,25(7):19-29.
[3] 唐正军.入侵检测技术导论[M].北京:机械工业出版社,2004:246-167.
[4] Hofmeyr S. A.An Immunological Model of Distributed Detection and its Application to Computer Security[D]. Albuquenque, University of New Mexico, 1999.
关键词:入侵;检测;误用;异常
中图分类号:TP301.6 文献标识码:A 文章编号:1009-3044(2013)33-7402-03
随着网络的广泛普及,网络渗透到政府机构与企事业单位日常工作的方方面面,随之而来的黑客入侵使机构面临由于信息外泄、网络瘫痪等带来的巨大损失。现今企业单位主要依靠入侵检测系统进行网络安全的防护。
1 入侵检测
入侵检测通过收集并建立网络或系统的关键信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象[1]。从大量的审计数据属性中生成能有效检测入侵的正常行为轮廓,或从中有效的提取出入侵模式,是入侵检测模型的研究重点,并按此将入侵检测分为误用入侵检测和异常入侵检测。
2 入侵检测方法
目前误用检测方法包括专家系统、入侵模型分析、模式匹配、基于状态转换分析、基于条件概率、基于键盘监控、基于Petri网等方法。异常检测包括统计分析、神经网络、遗传算法、数据挖掘、基于模糊技术、基于免疫原理及基于代理等方法[2-4]。
1) 专家系统方法
根据专家经验,在分析入侵行为的基础上建立一套推理规则,从而形成相应的专家系统。推理规则一般是根据已知的安全漏洞进行制定,并依据专家经验的积累不断地对规则进行扩充和修正。
2) 基于模型推理方法
根据入侵的行为程序建立特定行为特征的模型,根据这些模型建立攻击脚本库。检测时通过翻译假定的攻击行为,并与审计记录进行匹配,检测恶意的具有特定行为特征的异常行为。
3) 模式匹配方法
将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。
4) 状态转换方法
状态转换分析使用高级状态转换图表来体现和检测已知的入侵攻击方式,状态转换分析系统利用有限状态机图表模拟入侵。入侵包括初始状态和入侵状态,这两个状态之间的转换由一系列行为序列组成。建立模型时需要分析每一种入侵方法导致系统由初始状态转换为入侵状态的转换条件,将其与两种状态使用状态转换图来表示出来集成于模型中。
5) 基于条件概率
该方法将入侵方式对应于一个事件序列,然后通过观测到的事件发生情况来推测入侵出现。这种方法依据是外部事件序列,根据贝叶斯定理进行推理检测入侵。它可以通过事件序列的观测,从而推算出事件出现的概率。
6) 基于键盘监控
该方法假设入侵对应特定的击键序列模式,然后监测用户击键模式,并将这一模式与入侵模式匹配,即能检测入侵。这种方法在没有操作系统支持的情况下,缺少捕获用户击键的可靠方法,而且同一种攻击存在无数击键方式表示。
7) 有色Petri网
基于Petri 网的入侵检测使用Petri 网来表示初始状态与入侵状态及造成两种状态转换的特征事件, 这些事件被集成于模型中, 匹配时根据设定的状态驱动条件阈值来判断是否为入侵。
8) 统计分析方法
统计分析方法利用统计理论提取系统对象的正常行为并采用频度、概率、均值、方差及偏差等统计量为其创建统计描述。统计处理后的数据与系统待检测的数据进行比较,根据其偏差是否超过所设定的阈值来进行判断,当超出阈值时系统做出入侵处理。
9) 神经网络算法
神经网络算法主要利用入侵样本进行训练,构造基于多层感知器的神经网络分类器,使系统具备对某些入侵行为进行分类的能力。入侵样本主要从系统程序的执行轨迹中提取关键程序的正常系统调用子序列,或从其遭受入侵攻击的执行轨迹中提取关键程序的标识已知入侵的系统调用子序列。这些数据经过学习,改变神经元之间的连接权值进而将有关入侵行为的特征信息储存到神经网络中。完成学习后,利用构建的神经网络分类器监控系统关键程序的执行情况,从而确定系统是否受到恶意入侵。
10) 遗传算法
遗传算法分析包括两步,第一步是用一个位串对问题的解决办法进行编码,第二步是与一些进化标准比较,找一个最适合的函数测试群体中的每个个体。基于遗传算法的入侵检测先使其通过一个学习样本库进行训练。通过对样本库中各个样本的选取、交叉、变异操作,生成新一代个体,然后选取检测能力最强的那些个体进入新一轮的交叉、变异和选择,通过若干代的循环过程,直到检测能力不再提高为止。对未知入侵还可以自我学习,不断完善特征库。
11) 数据挖掘方法
基于数据挖掘的入侵检测方法从大量的审计数据或数据流中提取感兴趣的知识,这些知识是隐含的、事先未知的潜在有用信息,提取的知识表示为概念、规则、规律、模式等形式,并用这些知识去检测异常入侵和己知的入侵。
12) 基于模糊技术
模糊入侵检测系统是基于知识的入侵检测系统,它不针对每个入侵的模式进行匹配,而是从多个角度对入侵的模糊特征用模糊集合描述,并以模糊规则的形式存放在模糊专家系统中,模糊入侵检测系统分析原始数据产生模糊证据,提交给模糊专家系统分析,从而产生响应。
13) 免疫系统方法
免疫方法通过模拟生物有机体的免疫系统工作机制,使受保护的系统能区分非我与自我。生物免疫系统通常对先前己发现的外界感染类型做出比较强烈的反应。但是它同样可以处理新的未知感染类型,针对未知的感染病原体进化出新的检测器来处理此种病原体类型。 14) 基于代理检测
基于代理的检测方法就是一个在主机上执行某种安全监控功能的软件实体,不需要其他进程控制,只需要操作系统就可完成。基于代理的入侵检测系统能够在其能力允许范围内提供异常检测和误用检测的混合检测能力,可以适应本地环境变化,并能在长时间内监控非常不去定的模式。
3 现有入侵检测方法的对比
综合分析来看(表1),误用入侵检测的各类方法实现起来较容易,并且检测的速度比较快,检测率和准确率也比较高,但普遍存在的缺点是不能检测未知攻击,面对出现的新入侵无能为力;异常入侵检测技术可以较好的检测未知入侵,然而会产生误报,额外增加系统的处理操作负担,并且对“正常”行为特征轮廓的确定、更新和特征量的选取工作难度较大,检测速率较低。基于两类入侵检测方法国内外已开发了很多入侵检测系统,但是,在核心算法方面、在有效性、自适应性等方面以及在检测率方面仍存在较多的问题,这也是国内外专家仍然不懈地致力于开拓新思路的主要原因。
4 入侵检测方法研究趋势
现今,网络环境日益复杂,入侵检测研究面临更大的挑战。一方面,现今的网络传输速率已经达到Gbit/s,入侵检测的基础是获得完整的网络数据流,否则无法完成正常的检测。并且网络内部流量包括了各种业务,如各种服务FTP、HTTP、SMTP等,因此入侵检测系统面临着海量数据处理的压力。另一方面,随着网络日益广泛的普及,各种黑客工具蔓延,导致网络入侵越来越复杂,不断出现新的入侵,并且新的入侵具有分布式特点,不断朝着网络化、隐蔽化的方向发展,因此对入侵检测的准确性与实时性要求也越来要高,并且需要系统具有发现未知入侵的能力,来应对新的攻击。目前,入侵检测方法的主要研究方向有:
1) 智能检测方法从理论到实际应用进行过渡,积极探求新的方案解决智能检测方法中计算量大的问题,以发挥智能检测中检测未知入侵的能力,应对复杂的攻击;
2) 入侵检测与其他安全技术相结合,提供完整的网络安全保障。其他安全技术如防火墙、PKI/SET等;
3) 单一的入侵检测方法存在难以避免的缺陷,因此,加强入侵检测方法之间的协作机制,以自身的长处弥补协作方的不足,从而提供纵深的、多方位的综合网络安全防护体系,成为入侵检测的一个发展趋势。
参考文献:
[1] 修玮.关于局域网络对外来网络设备排斥的研究[D].大连:大连交通大学,2009:1-2.
[2] 卿斯汉,蒋建春,马恒太,等.入侵检测技术研究综述[J].通信学报.2004,25(7):19-29.
[3] 唐正军.入侵检测技术导论[M].北京:机械工业出版社,2004:246-167.
[4] Hofmeyr S. A.An Immunological Model of Distributed Detection and its Application to Computer Security[D]. Albuquenque, University of New Mexico, 1999.