论文：网络入侵检测技术的研究与分析

论文：网络入侵检测技术的研究与分析内容摘要：

年 1月，哥伦比亚大学的 Wenke Lee 和 Salvatore CIDF 上实现多级 IDS，并将数据挖掘技术应用到入侵检测中，利用数据挖掘中的关联规则等算法提取程序和用户的行为特征，并根据这些特征生成安全事件的分类模型。 1998 年 2 月， Cisco 通过收购 Wheel Group 公司成功挺进入侵检测市场。 NetRanger 的入侵检测技术被集成到 Cisco的系列路由器中， NetRanger（后被更名为 Secure IDS）成为 Cisco公司的招牌产品。 1998年 12月， Marty Roesch推出了 Snort第一版， 基于网络的 IDS，采用误用检测技术。 目前已成为应用最广泛的 IDS之一。 2020年 2月， CA（ Computer Associates International）公司发布了抵御黑客攻击的新工具 SessionWall3（后更名为 eTrust Intrusion Detection）。 eTrust可以自动识别网络使用模式和网络使用具体细节，做到全面地监控网络数据，可以对 Web和公司内部网络访问策略实施监视和强制实施。 eTrust是新一代网络保护产品的代表。 2020年 7月， Cisco公司和 ClickNet（ ClickNet Security Technologies）公司宣 布联合开发用于电子商务的入侵检测系统。 ClickNet公司的基于主机的入侵检测产品 Entercept技术先进，同 Cisco公司的安全入侵检测系统（ Secure IDS）软件结合以后成为一套全方位的安全系列产品。 2020年 1月， ClickNet公司改名为 Entercept Security Technology公司。 该公司的 IDS产品 Entercept的新版本检测水平进一步提高，并首先提出入侵防御（ IP，Intrusion Prevention）概念。 由于已有的入侵检测系统是被动的进行系统安全防护，当发现攻击而不能及时做出防护反应时，攻击的成功率会随着时间的增加而提高。 入侵防御系统 IPS（ Intrusion Prevention System）在系统请求被执行之前，即在网络系统受到攻击之前，将请求与防御数据库中的预定义内容进行比较，然后根据相应的安全级别采取不同的行动，如执行请求、忽略请求、终止请求或记入日志等。 2020年 5月， Dipankar Dasgupta 和 Fabio Gonzalez研究了入侵检测的智能决 策支撑系统。 2020年 3月， ISS公司发布集成了 Network ICE公司 BlackICE技术的网络安全产品： RealSecure Network Sensor ，具备更详细的协议分析功能和更出色的碎片重组能力。 如果配合 ISS公司同时发布的 RealSecure Guard 来实现与防火墙的联动，则可以利用协议分析技术来实时分析是否存在对网络的非法入侵。 当检测到非法入侵时做到彻底切断这种网络攻击。 2020 年 6 月， Entercept 公司开始提供更先进的入侵防御软件，能够在黑客的攻击造成伤 害之前采取行动来阻止其发生，增加了名为 Vault Mode 的先进封锁功能，能够锁住重要的操作系统文件和设置，防止主机被攻击。 2020年以来，全球众多安全研究机构都在开展入侵检测的研究，许多新的入侵检测技术被应用到 IDS产品中。 如对入侵防御系统 IPS的讨论 [25]；对于入侵检测中的误报问题， Cheung、 Steven等人提出入侵容忍（ Intrusion tolerance）的概念，在 IDS中引入了容错技术； 2020年， Morton Swimmer 针对现代数据网络的分布式防御提出一个危险模 型的免 疫系统等 [6]。 第一阶段（ 20世纪 80年代）：主要是主机日志分析和模式匹配技术研究，推出的 IDES（ Intrusion Detection Expert System，入侵检测专家系统）、 DIDS（ Distributed Intrusion Detection System，分布式入侵检测系统）、 NSM（ Network Security Monitor，网络安全监控系统）等基本上都是实验室系统。 第二阶段（ 20世纪 90年代）：主要研究网 络数据包截获、主机系统的审计数据分析，以及基于网络的 IDS（ NIDS）和基于主机的 IDS（ HIDS）的明确分工和合作技术。 代表性产品有早期的 ISS RealSecure（ ）、 Cisco（ 1998年收购 Wheel Group获得）、 Snort（ 2020年开发代码并免费）等。 目前国内绝大多数厂家沿用的是 Snort核心。 第三阶段（ 20世纪 90年代后期）：主要涉及协议分析、行为异常分析技术。 协议分析技术的误报率是传统模式匹配的 1/4左右。 行为异常分析技术的出现则赋予了第三代 IDS系统识别未知攻 击的能力。 代表性产品有 NetworkICE（ 2020年并入 ISS）、安氏 LinkTrustNetworkDefender（ ）、 NFR（第二版）等。 入侵检测技术从出现到现在已有 20 多年， IDS 系统已从有线 IDS 发展到无线IDS，并出现了 IPS（ Intrusion Prevention System，入侵防御系统）。 Denning模型为基础 1987 年 Denning提出了一种抽象的通用入侵检测的模型 ,如图 1 所示 .该模型主要由主体、对象、审计记录、活动简 档、异常记录、活动规则 6 部分组成。 继Denning 提出上述通用入侵检测 模型后， IDES 和它的后续版本 NIDES 都完全基于 Denning模型。 以统计学理论与专家系统相结合的中期技术 统计方法：是一种比较成熟的入侵检测方法，使得入侵检测系统能够学习主体机构的日常行为，那些正常的活动之间的偏差大的活动的统计显着异常活动。 在统计方法，先选择有效的数据点，能反映学科特点，生成会话向量，并采用统计方法来分析数据，判断当前活动的历史行为特征；继续操作系统，其他主题的行为特征，更新历史记录，能够自适 应学习用户的行为。 专家系统 :专家系统的入侵行为，被编码成专家系统的规则，这些规则确定的单一审计事件或一系列事件。 专家系统可以解释系统确实是审计记录及鉴别它们能否满足描述规则。 缺点：使用专家系统说的一系列规则不直观，只有专家才能更新规则。 此两者相结合，统计方法来统计和记录所有的入侵行为，并把这种行为存储起来，而专家系统则把相应的入侵行为编码成系统所认知的内部规则。 如果在遇到入侵行为后，在统计方法和专家系统的共同作用下，就能够有效的防止和识别入侵行为。 NIDS NIDS是 Network Intrusion Detection System的缩写，即网络入侵检测系统，它以网络包作为分析数据源称为 NIDS。 NIDS 常常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流，其分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。 如果检测到了攻击行为， IDS的响应模块会发出适当的响应，比如报警、切断相关用户的网络连接等。 与 SCANER 收集网络中的漏洞不同， NIDS 收集的是网络中的动态流量信息。 正因如此， NIDS 识别入侵行为的能力是根据攻击特征库数目多少 以及数据处理能力来决定的。 NIDS的处理能力绝大多数是 100兆级的，有部甚至达到了 1000兆级。 NIDS在防火墙后设置了一个流动岗哨，利用它能够适时发觉在网络中的攻击行为，来采取相应的措施。 1994 年， Mark Crosbie 和 Gene Spafford 提出使用自治代理（ Autonomous Agents ）来提高 IDS 的可维护性、效率以及容错性，这个构想已经达到了计算机科学中其他领域的研究的先锋的位置，比如说软件代理。 另一个解决当时多数入侵检测技术系统伸缩性不足的研究成果是 1996年提出的 GRIDS（ Graphbased Intrusion Detection System）系统，该系统对大规模自动或协同攻击的检测技术很有效，这种跨越多个管理区域的自动协同，显然是今后入侵行为发展的方向。 1997年， CISCO提出 WheelGroup公司将入侵检测技术与他的路由器结合。 同年， ISS成功开发了 RealSecure,他是在 Windows NT 下运行的分布式网络入侵检测技术系统，被人们广泛使用。