入侵检测技术综述(比较全)

一、概述

        在对入侵检测系统进行了一段时间的研究之后，将笔者对于入侵检测系统的认识整理归纳如下。

入侵检测系统的概念是指未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。入侵检测系统分为异常入侵检测系统和误用入侵检测系统。异常入侵检测系统是指记录某种状态下的系统运行行为，将其定义为正常行为。对系统运行进行实时监测，一旦发现与正常行为在超过某个阈值的不匹配的特征，便进行报警。误用入侵检测系统是指定义恶意行为。对系统进行实时监测，一旦发现与定义的恶意行为匹配的行为，便进行报警。

已有的异常入侵检测方法有基于特征选择的异常检测方法、基于贝叶斯推理的异常检测、基于贝叶斯网络的异常检测、基于统计的异常检测方法、基于模式预测的异常检测方法、基于机器学习的异常检测方法、基于数据挖掘的异常检测方法、基于应用模式的异常检测方法、基于文本分类的异常检测方法。已有的误用入侵检测方法有基于条件概率的误用入侵检测、基于状态迁移分析的误用入侵检测、基于键盘监控的误用入侵检测、基于规则的误用入侵检测方法。

二、异常入侵检测方法

2.1基于特征选择的异常检测
基于特征选择的异常检测方法，系指从一组度量中选择能够检测出入侵的度量，构成子集，从而预测或分类入侵行为。

2.2基于贝叶斯推理的异常检测

基于贝叶斯推理的异常检测是根据异常行为判断系统被入侵的概率，但是，要考虑异常变量之间的相关性。

2.3基于贝叶斯网络的异常检测

基于贝叶斯网络的异常检测可以将随机变量之间的关系用图形方式画出。通过指定的一个小的与邻接节点相关的概率集计算随机变量的联接概率分布。按给定全部节点组合，所有根节点的先验概率和非根节点概率构成这个集。贝叶斯网络是一个有向图，弧表示父结点和子结点之间的依赖关系。这样，当随机变量的值变为已知时，就允许将它吸收为证据，为其他的剩余随机变量条件值判断提供计算框架。需要解决的问题是，判断根结点的先验概率值与确定每个有向弧的连接矩阵。

2.4基于统计的异常检测方法

基于统计的异常检测将数据根据不同数据类分成各个集合。优点：根据给定的数据，自动判断并确定类型数目，不要求相似测量、停顿规则、聚类准则，可以混合连续属性和离散属性。自动分类技术主要是监督式的分类，贝叶斯分类方法并没有实际使用，贝叶斯分类允许理想化的分类数，具有相似轮廓的用户群组以及遵从符合用户特征集的自然分类。自动分类技术现在存在的问题：如何处理固有的次序性数据，在分类中如何考虑统计分布特性等问题，异常阈值的选择和防止攻击者干扰类型分布。

2.5基于模式预测的异常检测方法

基于模式预测的异常检测方法考虑基于时间域的事件序列，产生规则集，优点是可以只关注某几个相关安全事件。

2.6基于机器学习的异常检测方法

基于机器学习的异常检测方法有这样一些方法：死记硬背、监督学习、归纳学习、类比学习。根据离散数据临时序列特征学习获得个体、系统和网络的行为特征；并提出了一个基于相似度的实例学习方法IBL（instance based learning），该方法通过新的序列相似度计算，将原始数据（如离散事件流和无序的记录）转化成可度量的空间。然后，应用IBL学习技术和一种新的基于序列的分类方法，发现异常类型事件，从而检测入侵行为。其中，阈值的选取由成员分类的概率决定 。实验结果表明这种方法检测迅速，而且误报率低。

然而，这种方法对于用户动态行为变化以及单独异常检测还有待改善。总之，机器学习中许多模式识别技术对于入侵检测都有参考价值，特别是用于发现新的攻击行为。

2.7基于数据挖掘的异常检测方法

基于数据挖掘的异常检测方法适用于大量数据的网络，但是实时性较差。目前的方法有KDD，优点是，善于处理大量数据的能力与数据关联分析的能力

2.8基于应用模式的异常检测方法

基于应用模式的异常检测方法根据服务请求类型、服务请求长度、服务请求包大小分布计算网络服务的异常值。通过实时计算的异常值和所训练的阈值比较。

2.9基于文本分类的异常检测方法

基于文本分类的异常检测方法将系统产生的进程调用集合转换为“文档”。利用K最近邻聚类文本分类算法，计算文档的相似性。

三、误用入侵检测方法

3.1基于条件概率的误用入侵检测
基于条件概率的误用检测方法，指将入侵方式对应一个事件序列，然后观测事件发生

序列，应用贝叶斯定理进行推理，推测入侵行为。基于条件概率的误用检测方法，是基于概率论的一种通用方法。它是对贝叶斯方法的改进，其缺点是先验概率难以给出，而且基于概率论的一种通用方法。它是对贝叶斯方法的改进，其缺点是先验概率难以给出，而且事件的独立性难以满足。

3.2基于状态迁移分析的误用入侵检测

状态迁移分析方法以状态图表示攻击特征，不同状态刻画了系统某一时刻的特征。初始状态对应于入侵开始前的系统状态，危害状态对应于已成功入侵时刻的系统状态。初始状态与危害状态之间的迁移可能有一个或多个中间状态。攻击者执行一系列操作，使状态发生迁移，可能使系统从初始状态迁移到危害状态。因此，通过检查系统的状态就能够发现系统中的入侵行为。采用该方法的IDS 有STAT（state transition analysis technique）和USTAT（statetransition analysis tool for UNIX）。

3.3基于键盘监控

基于键盘监控的误用检测方法，假设入侵行为对应特定的击键序列模式，然后监测用户击键模式，并将这一模式与入侵模式匹配发现入侵行为。这种方法的缺点是，在没有操作系统支持的情况下，缺少捕获用户击键的可靠方法。此外，也可能存在多种击键方式表示同一种攻击。而且，如果没有击键语义分析，用户提供别名（例如Korn shell）很容易欺骗这种检测技术。最后,该方法不能够检测恶意程序的自动攻击。

3.4基于规则的误用检测方法
基于规则的误用检测方法，指将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。Snort 入侵检测系统就采用了基于规则的误用检测方法。基于规则的误用检测按规则组成方式分为以下两类：

(1) 向前推理规则。根据收集到的数据，规则按预定结果进行推理，直到推出结果时为止。这种方法的优点是，能够比较准确地检测入侵行为，误报率低；其缺点是，无法检测未知的入侵行为。目前，大部分IDS 采用这种方法。

(2) 向后推理规则。由结果推测可能发生的原因，然后再根据收集到的信息判断真正发生的原因。因此，这种方法的优点是，可以检测未知的入侵行为，但缺点是，误报率高。

四、总结
       异常入侵检测容易出现误报，而误用入侵检测容易出现漏报。这取决于所使用的特征数据库。将两者结合使用也不失为一种折衷的办法。