入侵检测技术的研究现状及其发展

软件导刊

2010年11月SoftwareGuide

Vol.9No.11Nov.2010

入侵检测技术的研究现状及其发展

毕战科1，许胜礼2

（洛阳一拖职业教育学院理论教学部，河南洛阳471039；2．河南经贸职业学院电子工程系，河南郑州

450001）

摘

要：在对当前主流入侵检测技术及系统进行详细研究分析的基础上，提出了面临亟待解决的问题，并对其现状和未来发展趋势进行阐述。同时对目前市场上一些较有影响的入侵检测产品也给与了一定的介绍，以供用户参考。关键词：网络安全；入侵检测技术；入侵检测系统（IDS）中图分类号：TP393.08

文献标识码：A

文章编号：1672-7800（2010）11－0152－03

1入侵检测技术与其发展历程

入侵检测研究起源于20世纪70年代末，詹姆斯·安德森

和完善，基于网络的入侵检测技术已经成为主流。目前，入侵检测一般采用误用检测技术和异常检测技术。

2．1误用检测技术（MisuseDetection）

误用检测又称特征检测（Signature－baseddetection），它是

（JamesP．Anderson）首先提出了这个概念。1980年，他的一篇题为“ComputerSecurityThreatMonitoringandSurveillance”论文首次详细阐述了入侵及入侵检测的概念，提出了利用审计跟踪数据监视入侵活动的思想，该论文被认为是该领域最早的出版物。1984到1986年，乔治敦大学的桃乐茜·顿宁（Dorothy

假定所有入侵者的活动都能够表达为一种特征或模式，分析已知的入侵行为并建立特征模型，这样对入侵行为的检测就转化为对特征或模式的匹配搜索，如果和已知的入侵特征匹配，就认为是攻击。误用入侵检测技术对已知的攻击有较高的检测准确度，但不能很好检测到新型的攻击或已知攻击的变体。需要不断的升级模型才能保证系统检测能力的完备性。目前大部分的商业化入侵检测系统都采用误用检测技术构建。误用检测技术又可分为3种：基于模式匹配的误用检测、基于专家系统的误用检测和基于状态转换分析的误用检测。

（1）基于模式匹配的误用检测。这是一种最传统、最简单的入侵检测技术。它建立一个攻击特征库，然后将事件记录同存放在特征库中的记录逐一比较，判断是否存在攻击。这种检测技术原理简单、扩展性好、效率高；缺点是计算负荷大，误报率也较高。由于系统的实现、配置、维护都很方便，模式匹配技术得到了广泛的应用，Snort和大部分商用IDS都采用了这种技术。

（2）基于专家系统的误用检测。早期的IDS多采用这种技术。它将有关入侵的知识转化为IF－THEN结构的规则，即将构成入侵所要求的条件转化为IF部分，将发现入侵后采取的相应措施转化成THEN部分。当其中某个或部分条件满足时，系统就判断为入侵行为发生。其中的IF－THEN结构构成了描

Denning）和彼得·诺埃曼（PeterNeumann）合作研究并开发出一

个实时入侵检测系统模型，称作入侵检测专家系统（IDES），桃乐茜·顿宁并于1987年出版了论文“AnIntrusionDetection

Model”，该文为其他研究者提供了通用的方法框架，从而导致

众多的研究者参与到该领域中来。1990年，加州大学戴维斯分校L．T．Heberlein等人提出并开发了基于网络的入侵检测系统———网络系统监控器NSM（NetworkSecurityMonitor）。该系统第一次直接监控以太网段上的网络数据流，并把它作为分析审计的主要数据源。自此，入侵检测系统发展史翻开了新的一页。

从20世纪90年代到现在，对入侵检测系统的研发工作己呈现出百家争鸣的繁荣局面。目前，加州大学戴维斯分校、哥伦比亚大学、新墨西哥大学、普渡大学、斯坦福国际研究所（SRI）等机构在该领域研究的代表了当前的最高水平。

2主流入侵检测技术及方法

入侵检测技术在信息安全强烈需求下得到了不断的发展

作者简介：毕战科（1969－），女，河南洛阳人，洛阳一拖职业教育学院助教，研究方向为数控技术；许胜礼（1969－），男，河南洛阳人，硕士，河南经贸

职业学院工程师，研究方向为信息安全。

第11期毕战科，许胜礼：入侵检测技术的研究现状及其发展

·153·

述具体攻击的规则库。专家系统的优点是系统智能化程度高；缺点是规则库构造及升级困难，系统的处理速度低，难以商用化。

（3）基于状态转换分析的误用检测。状态转换分析技术最早由R．Kemmerer提出，即将状态转换图应用于入侵行为的分析，利用有限状态自动机来模拟入侵。如果某个自动机到达了它的最终状态，则表明该事件为攻击。这种方法的优点是能检测出合作攻击以及时间跨度很大的缓慢攻击。但是，因为状态和转换动作是手工编码，很难精确表达。

2．2异常检测技术（Anomalydetection）

异常检测技术假设所有入侵者活动都异常于正常用户的

活动，对正常用户的活动特征进行分析并构建模型，统计所有不同于正常模型的用户活动状态的数量，当其违反统计规律时，认为该活动可能是入侵行为。这种技术的优点是可检测到未知的入侵和更为复杂的入侵。但是，在许多环境中，建立正常用户活动模式的特征轮廓以及对活动的异常性进行报警的阈值的确定都是比较困难的，此外并非所有的入侵活动在统计规律上都表现为异常。异常检测技术是今后研究的重点，处于研究阶段的技术包括基于数据挖掘、神经网络、遗传算法和免疫机理等的异常检测技术。目前，异常检测技术多采用统计分析或者基于规则描述的方法建立系统正常用户的行为特征轮廓：

①统计性特征轮廓由主体特征变量的频度、均值以及偏差等统

计量来描述，如SRI公司的下一代实时入侵检测专家系统，这种方法对特洛伊木马以及欺骗性的应用程序的检测非常有效；

②基于规则描述的特征轮廓由一组用于描述主体每个特征的

合法取值范围与其他特征的取值之间关系的规则组成（如

TIM）。该方案还可以采用从大型数据库中提取规则的数据挖

掘技术。

3

入侵检测技术的未来发展趋势

3．1

当前入侵检测所面临解决的问题

入侵检测技术及方法的研究虽有20多年的历史，但总体

来说目前仍然处在比较低级的阶段，一些新型的检测理论和技术大多处于研究阶段。因此，当前入侵检测技术存在以下主要问题：①误报及漏报率较高。误报是指被测出并判为入侵但其实是正常合法使用受保护网络或计算机的活动。误报不仅降低了入侵检测系统的效率，而且很大程度上降低了系统的服务质量。异常检测技术中正常用户活动模式的特征轮廓文件建立不当以及对活动的异常性进行报警的阈值的设立出现误差，常常会产生误报情况；漏报则是未能测出入侵者的入侵行为，面对层出不穷的新的攻击手段，误用检测技术只能检测已知类型的攻击行为而对新的攻击类型识别率低，从而导致漏报发生；②检测效率较低。异常检测技术的计算代价非常大，因为其维护的正常用户活动记录要随着每个事件的更新而变得愈来愈庞

大；误用检测技术普遍采取专家系统来编码和匹配攻击特征，这些需要解释规则集，因而运行时刻费用很高。当今高速网络技术特别是100M、Gigabit网的大面积应用，交换技术以及加密信道技术的发展，使得通过共享网段侦听的网络数据采集方法显得不足，巨大的通信流量对数据分析也提出了更高的效率要求；③自身防护性能较差。技术缺少自身防御功能。一旦IDS本身受到攻击，则整个入侵检测系统都有可能陷入瘫痪，此后的入侵行为都无法记录；④可扩展性不够好。主要表现为可升级性与可维护性差。很难使用新出现的技术对先前的入侵检测系统进行升级。例如，要将Bayesian分类方法集成到一个采用其他技术的入侵检测系统中就非常困难，因为系统的剩余部分不知道如何与更新的模块交互。同时，维护一个入侵检测系统所需要的技能远远超过专门的安全知识。更新规则集需要了解专家系统规则语言，并理解系统如何处理这些规则。

3．2未来入侵检测技术的发展趋势

近年来，入侵的手段与技术也日趋综合化与复杂化。为保

证入侵的成功，入侵者在实施入侵或攻击时往往采取多种入侵的手段；同时入侵或攻击的规模也在扩大，甚至上升到事关国家安全的电子战与信息战，对于信息战，其规模与技术都不是一般意义上的入侵攻击可以相提并论的；入侵或攻击技术的分布化也对入侵检测技术构成了极大的挑战，所谓的分布式拒绝服务攻击（DoS）在很短时间内可造成被攻击主机的瘫痪，且此类分布式攻击的单机信息模式与正常通信无异，所以在攻击发动的初期不易被确认。因此入侵检测技术要获得更广泛的发展和应用，除了完善常规的、传统的技术外还必须从理论和技术上提出新的设想、手段和方法来解决目前存在的问题，下面所述的是几个主要发展方向和研究的热点：

（1）分布式入侵检测技术。分布式入侵检测技术有两层含义：第一，针对分布式网络入侵攻击行为的检测技术；第二，使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。传统的入侵检测技术一般局限于单一的主机或网络架构，由中央控制台进行信息处理和分析，这样的集中处理存在如中央控制台负荷太大、网络传输时延严重、网络性能降低等诸多问题，对异构系统及大规模网络的检测能力明显不足，同时传统技术构建的不同的入侵检测系统之间不能协同工作。因此，分布式入侵检测技术的研究与应用将成为解决此类问题的关键。

（2）高级智能入侵检测技术。根据不同的入侵检测机理或方式，该技术又可分基于免疫机理、基于数据挖掘、基于智能体和基于遗传算法的4种入侵检测方法：①基于免疫机理的入侵检测技术。生物免疫系统保护自身免受各种侵害的机理为入侵检测技术的研究提供了思路。基于免疫机理的入侵检测技术从免疫系统中抽象出与计算机安全相关的原理、结构和算法，并将其基因选择、阴性选择、抗体检测及克隆选择等机制应用于

·154·

软件导刊2010年

入侵检测技术。新墨西哥大学的StephanieForrest研究组基于免疫机理，针对主机系统调用的审计数据分析处理，进行了系统调用短序列方法的研究。认为特权进程的系统调用的短序列相对稳定，可以代表“自己”。因而可以利用系统进程正常执行轨迹中的系统调用短序列集，来构建系统进程正常执行活动的特征轮廓模型。在检测时，比较特权进程的系统调用序列与已建立的模型的相似程度，如果相似程度较低，则判为异常。如果能够获得程序运行的所有情况的执行轨迹，那么所得到的程序轮廓特征将会很好地刻画程序的特征，而基于它的检测技术将会具有很低的误检率和较高适应性；②基于数据挖掘的入侵检测技术。数据挖掘是一种知识发现技术，可以从海量数据中提取对用户有用的信息。Lee和Stolfo等人将数据挖掘技术引入入侵检测领域，利用关联分析、序列模式分析等算法从审计记录或数据流中提取相关的用户行为特征，为正常用户活动和各种入侵行为建立精确的行为模式，以此来检测异常入侵或已知入侵。这种技术自动化程度高，不需要人工分析和编码入侵模式。优点是适于处理海量数据和进行数据关联分析，自适应能力好，能够在入侵预警方面发挥优势。但对于实时入侵检测，还要开发出更有效的数据挖掘算法和正确的体系结构；③基于智能体入侵检测技术。智能体是一种具有自主性、交互性、反应性的高度自治的软件实体，每个智能体可以独立完成各自的工作，并通过相互之间的通信与协调完成系统整体的目标，是在复杂网络环境中实现分布式应用的理想工具。基于智能体入侵检测技术是未来发展方向之一，以此构建的入侵检测系统能自动适应复杂多变的网络环境，能通过自我学习、自我进化提高自身的入侵检测能力，而且能充分利用网络资源协同完成入侵检测任务。目前，普渡大学研究组提出并实现的入侵检测自治代理AAFID（AutonomousAgentsForIntrusionDetection）是该领

域的代表之作；④基于遗传算法的入侵检测技术。遗传算法（GeneticAlgorithm）是进化算法的一个实例，来自达尔文自然选择这一概念。将遗传算法应用于入侵检测，通过将收集的数据看成是一个“染色体”的群体，在经过各种遗传演变，产生出新的群体，经过新群体的特征观察，通过是否出现异常来判断入侵的发生。该技术可检测多种入侵，但存在计算复杂度方面的考验。

4结束语

入侵检测作为一种积极主动的安全防护技术，提供着对

内、外攻击和误操作的实时保护。随着对网络安全问题的日益重视和入侵技术的不断复杂化趋势，人们也对入侵检测技术寄予更大的期望，要求在实时性、扩展性、安全性、适用性及有效性等方面有所提高，而入侵检测技术本身也正充分结合遗传算法、模糊技术、免疫原理、数据挖掘、机器学习等方法，向智能化的方向发展，相信今后的互联网络将会随着入侵检测技术的逐渐成熟而越来越安全。

参考文献：［1］

ANDERSONJP.Computersecuritythreatmonitoringandsurveil-lance［R］.TechnicalReport，JamesPAndersonCo．，FortWashing-ton，Pennsylvania，April1980.

［2］DorothyDenningE，Anintrusiondetectionmodel［J］．IEEEtransac-tionsonSoftwareEngineering，13（2）：222－232，February，1987.

唐正军，李建华．入侵检测技术［M］.北京：清华大学出版社，2010.刘玉．基于数据挖掘的混合型网络入侵检测研究［D］.合肥：合肥工业大学，2006.

［3］［4］

［5］苗勇．基于克隆智能体自学习的入侵检测方法研究［D］.西安：西安电子科技大学，2005.

（责任编辑：王

钊）

ActualityandDevelopmentTrendofIntrusionDetectionTechnology

Abstract：Onthebasisofdetailedstudyandanalysisoftheintrusiondetectiontechnologyanditssystemoftoday,thepaperpointouttheproblemsthatmustbesolved,indicatesitsactualityofstudyanddevelopmenttrentinfuture,andpresentsseveralinfluentialleadingproductsofintrusiondetectionsystemtofinaluser.

KeyWords：NetworkSecurity;IntrusionDetectionTechnology;IntrusionDetectionSystem(Ids)