刘孟勇　辛燕

【摘 要】入侵检测能有效弥补传统防御技术的缺陷，近年来入侵检测系统已经成为网络安全的系统中的重要组成部分。本文在对当前主流入侵检测技术及系统进行详细研究分析的基础上，指出了入侵检测系统面临的问题和挑战。最后对入侵检测系统的未来发展方向进行了讨论，展望了应用人工智能技术的入侵检测系统、基于Android平台的入侵检测系统、基于云模型和支持向量机的特征选择方法等新方向。

【关键词】网络安全；入侵检测；异常检测；智能技术

0.引言

目前，在网络安全日趋严峻的情况下，解决网络安全问题所采用的防火墙、身份认证、数据加密、虚拟子网等一般被动防御方法已经不能完全抵御入侵。此时，研究开发能够及时准确对入侵进行检测并能做出响应的网络安全防范技术，即入侵检测技术（ID，Intrusion Detection），成为一个有效的解决途径。入侵检测作为一种积极主动地安全防护技术，已经成为网络安全领域中最主要的研究方向。

1.入侵检测概述

1.1入侵检测的基本概念

入侵检测（Intrusion Detection），即是对入侵行为的检测。入侵是指潜在的、有预谋的、未被授权的用户试图“接入信息、操纵信息、致使系统不可靠或不可用”的企图或可能性。它通过从计算机网络或计算机系统的关键点收集信息，并对收集到的信息进行分析，从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。而入侵检测系统则是入侵检测的软件与硬件的组合。

1.2入侵检测系统的通用模型

1987年Dorothy E Denning[1]提出了入侵检测的模型，首次将入侵检测作为一种计算机安全防御措施提出。该模型包括6个主要的部分：主体（Subjects）、对象（Objects）、审计记录（Audit Record）、活动档案（Active Profile）、异常记录（Anomaly Record ）、活动规则（Activity Rules）。

2.入侵检测系统采用的检测技术

从技术上看，入侵可以分为两类：一种是有特征的攻击，它是对已知系统的系统弱点进行常规性的攻击；另一种是异常攻击。与此对应，入侵检测也分为两类：基于特征的（Signature-based即基于滥用的）和基于异常的（Anomaly-based，也称基于行为的）。

2.1基于特征的检测

特征检测，它是假定所有入侵者的活动都能够表达为一种特征或模式，分析已知的入侵行为并建立特征模型，这样对入侵行为的检测就转化为对特征或模式的匹配搜索， 如果和已知的入侵特征匹配，就认为是攻击。它的难点在于如何设计模式，使其既能表达入侵又不会将正常的模式包括进来。

2.2基于异常的检测

2.2.1基于概率统计模型的异常检测方法

概率统计方法是最早也是使用得最多的一种异常检测方法，这种入侵检测方法是基于对用户历史行为建模以及在早期的证据或模型的基础上，审计系统实时地检测用户对系统的使用情况。系统根据每个用户以前的历史行为，生成每个用户的历史行为记录集，当用户改变他们的行为习惯时，这种异常就会被检测出来。

2.2.2基于模型推理的入侵检测技术

基于模型推理的入侵检测的实质是在审计记录中搜索可能出现的攻击子集。攻击者在攻击一个系统时往往在系统日志中留下他们的踪迹。所以通过分析日志文件和审计信息，能够发现成功的入侵或入侵企图。入侵者所产生的种种行为组合在一起就构成了行为序列，而这个行为序列是具有一定特征的模型。所以根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。

2.2.3数据挖掘

数据挖掘强大的分析方法可以用于入侵检测的建模，使用其中有关算法对审计数据进行关联分析和序列分析，可以挖掘出关联规则和序列规则。

2.3入侵检测的新技术

2.3.1基于生物免疫的入侵检测

基于生物免疫的入侵检测方法是通过模仿生物有机体的免疫系统工作机制，使得受保护的系统能够将非自我的非法行为与自我的合法行为区分开来。

2.3.2基于伪装的检测方法

基于伪装的检测方法，是指将一些虚假的信息提供给入侵者，如果入侵者应用这些信息攻击系统，就可以推断系统正在遭受入侵；并且还可以诱惑入侵者，进一步跟踪入侵的来源。

2.3.3基于Agent的入侵检测

无控制中心的多Agent结构，每个检测部件都是独立的检测单元，尽量降低了各检测部件间的相关性，不仅实现了数据收集的分布化，而且将入侵检测和实时响应分布化，真正实现了分布式检测的思想。

3.入侵检测系统目前存在的问题

入侵检测系统近年来取得了较快的发展，但在理论研究和实际应用中仍存在许多问题：

（1）大量的误报和漏报。由于现在的特征库组织简单，造成漏报率和误报率较高。

（2）系统的自适应能力差，自我更新能力不强，系统缺乏灵活性。

（3）入侵检测系统是失效开放（Fail_open）的机制，也就是一旦系统停止作用，它所在的整个网络是开放的。因此，当IDS遭受拒绝服务攻击时，这种失效开放的特性使得黑客可以实施攻击而不被发现[2]。

（4）高速网络下，入侵检测系统的实时检测效率低和误警率较高。在高速网络下，网络吞吐量大，传统的入侵检测系统捕获全部的数据包并进行详细分析幾乎是不可能做到的。

4.入侵检测技术未来发展趋势

对于入侵检测技术的未来，我们除了完善传统的技术，更应该开发出新的入侵检测技术来维护网络的安全。今后的入侵检测技术的发展方向集中在以下几个方面：

（1）面向IPv6的入侵检测。下一代互联网采用IPv6协议，目前世界正处于从IPv4向IPv6过渡时期。随着IPv6应用范围的扩展，入侵检测系统支持IPv6将是一大发展趋势，是入侵检测技术未来几年该领域研究的主流[3]。

（2）近年来，网络攻击的发展趋势是逐渐转向高层应用。根据Gartner[4]的分析，目前对网络的攻击70%以上是集中在应用层，并且这一数字呈上升趋势。所以入侵检测系统对应用层的保护将成为未来研究的方向。

（3）入侵检测系统的自身保护和易用性的提高。目前的入侵检测产品大多采用硬件结构，黑箱式接入，免除自身的安全问题[5]。同时，大多数的使用者对易用性的要求也日益增强，这些都是优秀的入侵检测产品以后继续发展细化的趋势。

（4）使用智能化的方法与手段来进行入侵检测。即现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法。

（5）分布式、协作式入侵检测和通用式入侵检测体系结构的研究。随着网络系统的复杂化以及入侵方式的多样化，检测系统的体系结构也在发展。

（6）基于云模型和支持向量机的入侵检测特征选择方法。解决了目前算法的缺陷。

5.结束语

入侵检测系统是网络安全防御系统的重要组成部分，它弥补了防火墙的两个致命缺点：无法检测内部网络存在的入侵行为；无法检测出不通过防火墙但违反安全策略的行为。

目前我国检测系统的应用还远远没有普及，由于（下转第198页）（上接第119页）计算机网络系统的安全涉及我们国家的国防军事安全和政治社会经济稳定，我们必须在学习和借鉴其他国家先进理论和技术的基础上，研究具有国际先进甚至领先水平的网络安全技术，研制具有自主知识产权的国产网络安全产品。 [科]

【参考文献】

[1]AmoroEG.IntrusionDetection.AnIntroductiontoInternetSurveillance，Correlation，Traps，Traceback，andResponse.http：//www.intrusion.net，1999.

[2]姚兰，王新梅.入侵检测系统的现状与发展趋势[J].电信科学，2002（12）：32-33.

[3]林果园，曹天杰.入侵检测系统研究综述[J].计算机应用与软件，2009，26（3）：16.

[4]http：//www.csoonline.com /analyst/report400.html，2006-12-2.

[5]付永鋼.计算机信息安全技术[M].北京：清华大学出版社，2012.