入侵檢測(cè)系統(tǒng)概念

入侵檢測(cè)（Intrusion Detection），是指對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)取得計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（Intrusion Detection System，簡(jiǎn)稱IDS）。

入侵檢測(cè)技術(shù)、評(píng)價(jià)標(biāo)準(zhǔn)和發(fā)展趨勢(shì)

從技術(shù)上，入侵檢測(cè)分為兩類：一靜基于標(biāo)識(shí)（signature-based），令一種基于異常情況（anomaly-based）。對(duì)于基于標(biāo)識(shí)的檢測(cè)技術(shù)來(lái)說(shuō)，首先要定義違背安全策略的事件的特征。檢測(cè)和判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。而基于異常的檢測(cè)技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如CPU利用、內(nèi)存利用率等，然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。

目前的入侵撿測(cè)技術(shù)發(fā)展逐速，應(yīng)用的技術(shù)也很廣泛，如何來(lái)評(píng)價(jià)IDS的優(yōu)缺點(diǎn)就顯得非常重要。評(píng)價(jià)IDS的優(yōu)劣主要有這樣幾個(gè)方面：

正確性 性能 完整性 故障容錯(cuò)（fault tolerance） 自身抵抗攻擊能力 及時(shí)性（Timeliness）

除了上述幾個(gè)主要方面，還應(yīng)該考慮以下幾個(gè)方面：

DS運(yùn)行時(shí)，額外的計(jì)算機(jī)資源的開(kāi)銷； 誤警報(bào)率/漏警報(bào)率的程度； 適應(yīng)性和擴(kuò)展性； 靈活性； 管理的開(kāi)銷； 是否便于使用和配置

人們?cè)谕晟圃屑夹g(shù)的基礎(chǔ)上，又在研究新的檢測(cè)方法,其主要的發(fā)展方向可概括為：

（1） 大規(guī)模分布式入侵檢測(cè)：解決傳統(tǒng)入侵檢測(cè)技術(shù)不能適應(yīng)大規(guī)模網(wǎng)絡(luò)監(jiān)測(cè)，不同的入侵檢測(cè)系統(tǒng)之間也不能協(xié)同工作的問(wèn)題。

（2） 寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)：研究如何在高速網(wǎng)絡(luò)下進(jìn)行實(shí)時(shí)入侵檢測(cè)。

（3） 入侵檢測(cè)的數(shù)據(jù)融合技術(shù)：探索在處理大量數(shù)據(jù)的條件下如何快速對(duì)付訓(xùn)練有素的黑客攻擊。

（4） 與網(wǎng)絡(luò)安全技術(shù)相結(jié)合：結(jié)合防火墻、病毒防護(hù)以及電子商務(wù)技術(shù)，為網(wǎng)絡(luò)安全提供完整的保障。

典型入侵檢測(cè)系統(tǒng)分析

集中管理-集中分析型

DIDS（Distributed Intrusion Detection System）初衷是將基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)結(jié)合起來(lái)，用來(lái)追蹤使用者在網(wǎng)絡(luò)中的移動(dòng)和行為。

此系統(tǒng)中有兩種數(shù)據(jù)采集器，一種采集主機(jī)數(shù)據(jù)，另一種采集網(wǎng)絡(luò)數(shù)據(jù)，所有的數(shù)據(jù)被傳送到主節(jié)點(diǎn)分析器上面進(jìn)行分析和處理。這種體系結(jié)構(gòu)在大規(guī)模高速網(wǎng)絡(luò)的條件下將遇到“系統(tǒng)瓶頸”的問(wèn)題。

把所有數(shù)據(jù)不加處理地傳送到主節(jié)點(diǎn)將占用很大的網(wǎng)絡(luò)帶寬； 主節(jié)點(diǎn)分析器處理能力有限，海量數(shù)據(jù)處理將使其不堪重負(fù)； 主節(jié)點(diǎn)分析器是一個(gè)“單一失效點(diǎn)”，節(jié)點(diǎn)間通信安全也沒(méi)有相應(yīng)措施加以保障。

集中管理-分布分析-靜態(tài)協(xié)調(diào)型

IDA（Intrusion Detection Agent system）系統(tǒng)框架是層次性的，且只有兩層。Sensor檢測(cè)到MLsI后直接交給管理器，并不需要根據(jù)內(nèi)容來(lái)判斷傳送的目的地，信息收集代理搜集的信息也固定傳向管理器，所以仍屬于靜態(tài)協(xié)調(diào)。 IDA最大的特點(diǎn)就是采用移動(dòng)代理技術(shù)，能自動(dòng)追蹤入侵者的攻擊路線。由于MLsI的定義限于某類特定事件，因此它只能高效地檢測(cè)某一類分布式入侵。

集中管理-分布分析-動(dòng)態(tài)協(xié)調(diào)型

MAIDS（Mobile Agents Intrusion Detection System）采用SFT（Software Fault Tree）技術(shù)來(lái)描述分布式入侵行為。CPN圖則代表了系統(tǒng)的具體設(shè)計(jì)。該體系結(jié)構(gòu)具有非常大的靈活性，但是仍屬于集中管理型的。

分散管理-分布分析-靜態(tài)協(xié)調(diào)型

AAFID（Autonomous Agents For Intrusion Detection）采用層次結(jié)構(gòu)。它的信息主要是按照層次結(jié)構(gòu)傳遞，因此屬于靜態(tài)協(xié)調(diào)。監(jiān)視器可以有很多個(gè)，并且沒(méi)有集中的管理器進(jìn)行“任務(wù)分派”的工作，因此屬于分散管理。

分散管理-分布分析-動(dòng)態(tài)協(xié)調(diào)型

CSM（Cooperating Security Manager）設(shè)計(jì)初衷是克服原來(lái)的DIDS集中分析的缺點(diǎn)，采用一套對(duì)等（Peer to Peer）機(jī)制來(lái)組織系統(tǒng)。

CSM 體系結(jié)構(gòu)并沒(méi)有集中的管理器，屬于分散管理；各個(gè)CSM 獨(dú)立地分析本地的數(shù)據(jù)，故屬于分布分析；CSM上的協(xié)調(diào)器會(huì)根據(jù)使用者登陸系統(tǒng)的路徑而決定自己應(yīng)該和哪個(gè)CSM 主機(jī)交換信息，因此屬于動(dòng)態(tài)協(xié)調(diào)模式。 從上面的分析可以看出，“分布分析”已經(jīng)成為公認(rèn)的好方法。集中分析的體系結(jié)構(gòu)簡(jiǎn)單但可伸縮性和靈活性不夠，存在“單一失效點(diǎn)”的問(wèn)題，分布分析有效縮減了數(shù)據(jù)量，克服了“單一失效點(diǎn)”的問(wèn)題。

代理（Agent）與多代理系統(tǒng)（MAS）

Minsky在1986年出版的“思維社會(huì)”中首次提出了Agent，認(rèn)為社會(huì)中的某些個(gè)體經(jīng)過(guò)協(xié)商可求得問(wèn)題的解，這個(gè)個(gè)體即是Agent。Agent的基本思想是使軟件能模擬人類的社會(huì)行為和認(rèn)知。而智能Agent是指在動(dòng)態(tài)的多Agent領(lǐng)域采取靈活、自治活動(dòng)的計(jì)算機(jī)實(shí)體，自然也帶有Agent的普遍特性。可以將智能Agent的特性歸納如下：

自治性。能夠在沒(méi)有人或其它程序介入時(shí)操作和運(yùn)作。 通信能力。能夠用通信語(yǔ)言與其它實(shí)體交換信息和相互作用。 推理和規(guī)劃能力。能夠基于知識(shí)系統(tǒng)和外界環(huán)境的情況進(jìn)行推理和規(guī)劃，解決自身或傳遞自身領(lǐng)域內(nèi)的各類問(wèn)題。 協(xié)作、合作、協(xié)調(diào)及協(xié)商能力。能夠協(xié)調(diào)和合作解決復(fù)雜問(wèn)題，協(xié)商執(zhí)行某類行動(dòng)等。 同時(shí)擁有感知能力和反映性、能動(dòng)性、持續(xù)性、動(dòng)機(jī)性、可移動(dòng)性、可靠性、誠(chéng)實(shí)性和理智性等。

MAS（multi-agent system）是由多個(gè)Agent組成的Agent社會(huì)，是一種分布是自主系統(tǒng)。在表達(dá)實(shí)際系統(tǒng)時(shí)，MAS通過(guò)各Agent間的通訊、合作、互解、調(diào)度、管理及控制來(lái)表達(dá)系統(tǒng)的結(jié)構(gòu)、功能及行為特性。

MAS產(chǎn)生的原因可歸納為：

實(shí)際系統(tǒng)的分布性、復(fù)雜性、動(dòng)態(tài)性有望通過(guò)對(duì)單個(gè)個(gè)體能力的有效分工、協(xié)調(diào)、組織而達(dá)到系統(tǒng)整體優(yōu)化的目的。 單個(gè)Agent研究，以及與人類社會(huì)行為研究關(guān)的系統(tǒng)科學(xué)、決策科學(xué)、管理與組織理論、經(jīng)濟(jì)學(xué)、對(duì)策論等是MAS研究的理論基礎(chǔ)。

MAS研究中有以下3種典型的Agent體系結(jié)構(gòu)。

慎思型（deliberative）體系結(jié)構(gòu)

大多數(shù)通用的慎思方法，認(rèn)識(shí)構(gòu)件基本上由兩部分組成：規(guī)劃器和世界模型。這種方法中有一個(gè)基本的假設(shè)：對(duì)認(rèn)知功能進(jìn)行模塊化是可能的，即可以分開(kāi)來(lái)研究不同的認(rèn)知功能（如感知、學(xué)習(xí)、規(guī)劃和動(dòng)作），然后把它們組裝在一起構(gòu)成自治Agent。從工程角度看，功能模塊化降低了系統(tǒng)的復(fù)雜性。

反應(yīng)型（reactive）體系結(jié)構(gòu)

Agent不依賴任何符號(hào)表示，直接根據(jù)感知輸入產(chǎn)生行動(dòng)。反應(yīng)Agent只是簡(jiǎn)單地對(duì)外部***發(fā)生反應(yīng)，沒(méi)有符號(hào)表示的世界模型，并且不使用復(fù)雜的符號(hào)推理，反應(yīng)結(jié)構(gòu)的設(shè)計(jì)部分是來(lái)自下面的假設(shè)：Agent行為的復(fù)雜性可以是Agent運(yùn)作環(huán)境復(fù)雜性的反映，而不是Agent復(fù)雜內(nèi)部設(shè)計(jì)的反應(yīng)。

混合型（hybrid）體系結(jié)構(gòu)

混合型體系結(jié)構(gòu)是上述兩種體系結(jié)構(gòu)的結(jié)合，既能實(shí)現(xiàn)面向目標(biāo)的長(zhǎng)期規(guī)劃，又具有實(shí)時(shí)性的特點(diǎn)，是MAS應(yīng)用中最常用的體系結(jié)構(gòu)。 通過(guò)上述Agent及MAS系統(tǒng)特點(diǎn)可以看出， MAS系統(tǒng)的分布性、動(dòng)態(tài)性、高效性特點(diǎn)使得MAS能夠降低系統(tǒng)設(shè)計(jì)復(fù)雜性、充分利用系統(tǒng)整體資源以Agent合作的方式完成入侵檢測(cè)任務(wù)。

網(wǎng)絡(luò)流量異常檢測(cè)技術(shù)

網(wǎng)絡(luò)行為學(xué)認(rèn)為網(wǎng)絡(luò)的流量行為具有長(zhǎng)期特征和短期特征。網(wǎng)絡(luò)長(zhǎng)期特征表現(xiàn)在網(wǎng)絡(luò)行為具有一定的規(guī)律性和穩(wěn)定性。能夠?qū)钟蚓W(wǎng)的流量或者某些關(guān)鍵主機(jī)的流量情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并進(jìn)行預(yù)測(cè)與分析，有助于判定異常網(wǎng)絡(luò)流量，及早發(fā)現(xiàn)和識(shí)別潛在的入侵攻擊的發(fā)生?，F(xiàn)在已經(jīng)有了一些基于網(wǎng)絡(luò)流量的檢測(cè)技術(shù)，包括：統(tǒng)計(jì)模型方法、數(shù)據(jù)挖掘方法、自相似特征方法以及累積和方法。

統(tǒng)計(jì)模型方法

統(tǒng)計(jì)分析常用在基于異常的入侵檢測(cè)系統(tǒng)中，它使入侵檢測(cè)系統(tǒng)能夠?qū)W習(xí)主體的日常行為，將那些與正常與正?；顒?dòng)之間存在較大統(tǒng)計(jì)偏差的活動(dòng)表示成異?；顒?dòng)。在統(tǒng)計(jì)模型中常用的方法有：方差、馬爾柯夫過(guò)程模型、時(shí)間序列分析。主要利用統(tǒng)計(jì)模型結(jié)合流量的預(yù)期、方差或者其他統(tǒng)計(jì)參數(shù)，再利用假說(shuō)檢驗(yàn)的方法來(lái)檢測(cè)攻擊行為。該方法是假設(shè)歷史數(shù)據(jù)是正常的數(shù)據(jù)，其缺陷主要是假設(shè)統(tǒng)計(jì)模型的數(shù)據(jù)能正確的反映系統(tǒng)的正常數(shù)據(jù)，但實(shí)際應(yīng)用情況往往很復(fù)雜。

數(shù)據(jù)挖掘方法

數(shù)據(jù)挖掘是從大量的、模糊的、隨機(jī)數(shù)據(jù)中，提取盡可能多的安全信息、抽象出有利于進(jìn)行判別和比較的特征模型，這些特征模型可以是基于常量檢測(cè)的特征向量模型，也可以是基于異常檢測(cè)的行為描述模型，然后由計(jì)算機(jī)根據(jù)相應(yīng)算法判斷出當(dāng)前行為的性質(zhì)。目前應(yīng)用較多的數(shù)據(jù)挖掘算法有數(shù)據(jù)分類、關(guān)聯(lián)規(guī)則和序列分析。這類入侵檢測(cè)方法需要針對(duì)不同網(wǎng)絡(luò)應(yīng)用環(huán)境訓(xùn)練不通的特征模型，無(wú)法做到靈活應(yīng)用。

自相似特征方法

自相似性是指網(wǎng)路的負(fù)載隨著時(shí)間的擴(kuò)展常常表現(xiàn)出自相似的模式。對(duì)這類方法的研究經(jīng)常與小波分析相聯(lián)系。目前的應(yīng)用是根據(jù)網(wǎng)絡(luò)流量中Hurst參數(shù)的變化來(lái)發(fā)現(xiàn)攻擊，但這個(gè)方法需要一個(gè)正常的流量作為模板，如何表現(xiàn)這樣的非攻擊流量特性也是一項(xiàng)重要的挑戰(zhàn)。

神經(jīng)網(wǎng)絡(luò)方法

神經(jīng)網(wǎng)絡(luò)方法中常用的算法通常是反向傳播（BP）算法。對(duì)于BP神經(jīng)網(wǎng)絡(luò)來(lái)說(shuō)，隱藏節(jié)點(diǎn)的增多可能導(dǎo)致過(guò)度的問(wèn)題，而過(guò)度擬合會(huì)損壞網(wǎng)絡(luò)的學(xué)習(xí)能力，針對(duì)只運(yùn)用BP神經(jīng)網(wǎng)絡(luò)作網(wǎng)絡(luò)流量預(yù)測(cè)的局限性，各種改進(jìn)的應(yīng)用于網(wǎng)絡(luò)流量預(yù)測(cè)的神經(jīng)網(wǎng)絡(luò)模型不斷被引入：模糊理論與神經(jīng)網(wǎng)絡(luò)結(jié)合的模糊神經(jīng)網(wǎng)絡(luò)；信號(hào)處理中的FIR數(shù)字濾波器與神經(jīng)網(wǎng)絡(luò)結(jié)合的FIR神經(jīng)網(wǎng)絡(luò)；將時(shí)間引入神經(jīng)網(wǎng)絡(luò)的時(shí)延回歸神經(jīng)網(wǎng)絡(luò)等。

累積和方法

累積和方法（CUSUM）是統(tǒng)計(jì)過(guò)程控制中常用的算法，它可以檢測(cè)統(tǒng)計(jì)過(guò)程中均值的變化。其中Tao Peng等人使用CUSUM算法進(jìn)行基于網(wǎng)絡(luò)流量異常檢測(cè)。這種方法相比上述流量入侵檢測(cè)方法具有更高的靈活性、實(shí)用性，但是CUSUM算法本身具有異常值回歸緩慢的缺陷，而這一缺陷會(huì)為入侵檢測(cè)系統(tǒng)帶來(lái)較大的誤報(bào)風(fēng)險(xiǎn)。