入侵檢測系統概念

入侵檢測（Intrusion Detection），是指對入侵行為的發覺。它通過取得計算機網絡或計算機系統中若干關鍵點收集信息並對其進行分析，從而發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統（Intrusion Detection System，簡稱IDS）。

入侵檢測技術、評價標準和發展趨勢

從技術上，入侵檢測分為兩類：一靜基於標識（signature-based），令一種基於異常情況（anomaly-based）。對於基於標識的檢測技術來說，首先要定義違背安全策略的事件的特徵。檢測和判別這類特徵是否在所收集到的數據中出現。而基於異常的檢測技術則是先定義一組系統“正常”情況的數值，如CPU利用、內存利用率等，然後將系統運行時的數值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。

目前的入侵撿測技術發展逐速，應用的技術也很廣泛，如何來評價IDS的優缺點就顯得非常重要。評價IDS的優劣主要有這樣幾個方面：

• 正確性
• 性能
• 完整性
• 故障容錯（fault tolerance）
• 自身抵抗攻擊能力
• 及時性（Timeliness）

除了上述幾個主要方面，還應該考慮以下幾個方面：

• DS運行時，額外的計算機資源的開銷；
• 誤警報率/漏警報率的程度；
• 適應性和擴展性；
• 靈活性；
• 管理的開銷；
• 是否便於使用和配置

人們在完善原有技術的基礎上，又在研究新的檢測方法,其主要的發展方向可概括為：

（1） 大規模分布式入侵檢測：解決傳統入侵檢測技術不能適應大規模網絡監測，不同的入侵檢測系統之間也不能協同工作的問題。

（2） 寬帶高速網絡的實時入侵檢測技術：研究如何在高速網絡下進行實時入侵檢測。

（3） 入侵檢測的數據融合技術：探索在處理大量數據的條件下如何快速對付訓練有素的黑客攻擊。

（4） 與網絡安全技術相結合：結合防火牆、病毒防護以及電子商務技術，為網絡安全提供完整的保障。

典型入侵檢測系統分析

集中管理-集中分析型

DIDS（Distributed Intrusion Detection System）初衷是將基於主機和基於網絡的入侵檢測系統結合起來，用來追蹤使用者在網絡中的移動和行為。

此系統中有兩種數據採集器，一種採集主機數據，另一種採集網絡數據，所有的數據被傳送到主節點分析器上面進行分析和處理。這種體系結構在大規模高速網絡的條件下將遇到“系統瓶頸”的問題。

• 把所有數據不加處理地傳送到主節點將佔用很大的網絡帶寬；
• 主節點分析器處理能力有限，海量數據處理將使其不堪重負；
• 主節點分析器是一個“單一失效點”，節點間通信安全也沒有相應措施加以保障。

集中管理-分布分析-靜態協調型

IDA（Intrusion Detection Agent system）系統框架是層次性的，且只有兩層。Sensor檢測到MLsI後直接交給管理器，並不需要根據內容來判斷傳送的目的地，信息收集代理搜集的信息也固定傳向管理器，所以仍屬於靜態協調。 IDA最大的特點就是採用移動代理技術，能自動追蹤入侵者的攻擊路線。由於MLsI的定義限於某類特定事件，因此它只能高效地檢測某一類分布式入侵。

集中管理-分布分析-動態協調型

MAIDS（Mobile Agents Intrusion Detection System）採用SFT（Software Fault Tree）技術來描述分布式入侵行為。CPN圖則代表了系統的具體設計。該體系結構具有非常大的靈活性，但是仍屬於集中管理型的。

分散管理-分布分析-靜態協調型

AAFID（Autonomous Agents For Intrusion Detection）採用層次結構。它的信息主要是按照層次結構傳遞，因此屬於靜態協調。監視器可以有很多個，並且沒有集中的管理器進行“任務分派”的工作，因此屬於分散管理。

分散管理-分布分析-動態協調型

CSM（Cooperating Security Manager）設計初衷是克服原來的DIDS集中分析的缺點，採用一套對等（Peer to Peer）機制來組織系統。

CSM 體系結構並沒有集中的管理器，屬於分散管理；各個CSM 獨立地分析本地的數據，故屬於分布分析；CSM上的協調器會根據使用者登陸系統的路徑而決定自己應該和哪個CSM 主機交換信息，因此屬於動態協調模式。 從上面的分析可以看出，“分布分析”已經成為公認的好方法。集中分析的體系結構簡單但可伸縮性和靈活性不夠，存在“單一失效點”的問題，分布分析有效縮減了數據量，克服了“單一失效點”的問題。

代理（Agent）與多代理系統（MAS）

Minsky在1986年出版的“思維社會”中首次提出了Agent，認為社會中的某些個體經過協商可求得問題的解，這個個體即是Agent。Agent的基本思想是使軟件能模擬人類的社會行為和認知。而智能Agent是指在動態的多Agent領域採取靈活、自治活動的計算機實體，自然也帶有Agent的普遍特性。可以將智能Agent的特性歸納如下：

• 自治性。能夠在沒有人或其它程序介入時操作和運作。
• 通信能力。能夠用通信語言與其它實體交換信息和相互作用。
• 推理和規劃能力。能夠基於知識系統和外界環境的情況進行推理和規劃，解決自身或傳遞自身領域內的各類問題。
• 協作、合作、協調及協商能力。能夠協調和合作解決複雜問題，協商執行某類行動等。
• 同時擁有感知能力和反映性、能動性、持續性、動機性、可移動性、可靠性、誠實性和理智性等。

MAS（multi-agent system）是由多個Agent組成的Agent社會，是一種分布是自主系統。在表達實際系統時，MAS通過各Agent間的通訊、合作、互解、調度、管理及控制來表達系統的結構、功能及行為特性。

MAS產生的原因可歸納為：

• 實際系統的分布性、複雜性、動態性有望通過對單個個體能力的有效分工、協調、組織而達到系統整體優化的目的。
• 單個Agent研究，以及與人類社會行為研究關的系統科學、決策科學、管理與組織理論、經濟學、對策論等是MAS研究的理論基礎。

MAS研究中有以下3種典型的Agent體系結構[16]。

• 慎思型（deliberative）體系結構

大多數通用的慎思方法，認識構件基本上由兩部分組成：規劃器和世界模型。這種方法中有一個基本的假設：對認知功能進行模塊化是可能的，即可以分開來研究不同的認知功能（如感知、學習、規劃和動作），然後把它們組裝在一起構成自治Agent。從工程角度看，功能模塊化降低了系統的複雜性。

• 反應型（reactive）體系結構

Agent不依賴任何符號表示，直接根據感知輸入產生行動。反應Agent只是簡單地對外部刺激發生反應，沒有符號表示的世界模型，並且不使用複雜的符號推理，反應結構的設計部分是來自下面的假設：Agent行為的複雜性可以是Agent運作環境複雜性的反映，而不是Agent複雜內部設計的反應。

• 混合型（hybrid）體系結構

混合型體系結構是上述兩種體系結構的結合，既能實現面向目標的長期規劃，又具有實時性的特點，是MAS應用中最常用的體系結構。 通過上述Agent及MAS系統特點可以看出， MAS系統的分布性、動態性、高效性特點使得MAS能夠降低系統設計複雜性、充分利用系統整體資源以Agent合作的方式完成入侵檢測任務。

網絡流量異常檢測技術

網絡行為學認為網絡的流量行為具有長期特徵和短期特徵。網絡長期特徵表現在網絡行為具有一定的規律性和穩定性。能夠對局域網的流量或者某些關鍵主機的流量情況進行實時監測，並進行預測與分析，有助於判定異常網絡流量，及早發現和識別潛在的入侵攻擊的發生。現在已經有了一些基於網絡流量的檢測技術，包括：統計模型方法、數據挖掘方法、自相似特徵方法以及累積和方法。

統計模型方法

統計分析常用在基於異常的入侵檢測系統中，它使入侵檢測系統能夠學習主體的日常行為，將那些與正常與正常活動之間存在較大統計偏差的活動表示成異常活動。在統計模型中常用的方法有：方差、馬爾柯夫過程模型、時間序列分析。主要利用統計模型結合流量的預期、方差或者其他統計參數，再利用假說檢驗的方法來檢測攻擊行為。該方法是假設歷史數據是正常的數據，其缺陷主要是假設統計模型的數據能正確的反映系統的正常數據，但實際應用情況往往很複雜。

數據挖掘方法

數據挖掘是從大量的、模糊的、隨機數據中，提取儘可能多的安全信息、抽象出有利於進行判別和比較的特徵模型，這些特徵模型可以是基於常量檢測的特徵向量模型，也可以是基於異常檢測的行為描述模型，然後由計算機根據相應算法判斷出當前行為的性質。目前應用較多的數據挖掘算法有數據分類、關聯規則和序列分析。這類入侵檢測方法需要針對不同網絡應用環境訓練不通的特徵模型，無法做到靈活應用。

自相似特徵方法

自相似性是指網路的負載隨着時間的擴展常常表現出自相似的模式。對這類方法的研究經常與小波分析相聯繫。目前的應用是根據網絡流量中Hurst參數的變化來發現攻擊，但這個方法需要一個正常的流量作為模板，如何表現這樣的非攻擊流量特性也是一項重要的挑戰。

神經網絡方法

神經網絡方法中常用的算法通常是反向傳播（BP）算法。對於BP神經網絡來說，隱藏節點的增多可能導致過度的問題，而過度擬合會損壞網絡的學習能力，針對只運用BP神經網絡作網絡流量預測的局限性，各種改進的應用於網絡流量預測的神經網絡模型不斷被引入：模糊理論與神經網絡結合的模糊神經網絡；信號處理中的FIR數字濾波器與神經網絡結合的FIR神經網絡；將時間引入神經網絡的時延回歸神經網絡等。

累積和方法

累積和方法（CUSUM）是統計過程控制中常用的算法，它可以檢測統計過程中均值的變化。其中Tao Peng等人使用CUSUM算法進行基於網絡流量異常檢測。這種方法相比上述流量入侵檢測方法具有更高的靈活性、實用性，但是CUSUM算法本身具有異常值回歸緩慢的缺陷，而這一缺陷會為入侵檢測系統帶來較大的誤報風險。