導(dǎo)語：入侵檢測(cè)智能靈活化論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

編者按：本文主要從入侵檢測(cè)系統(tǒng)概述；入侵檢測(cè)系統(tǒng)的功能；神經(jīng)系統(tǒng)網(wǎng)絡(luò)在入侵檢測(cè)系統(tǒng)中的應(yīng)用進(jìn)行論述。其中，主要包括：入侵檢測(cè)作為一種主動(dòng)防御技術(shù),彌補(bǔ)了傳統(tǒng)安全技術(shù)的不足、入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,簡(jiǎn)稱IDS)、入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后,會(huì)及時(shí)做出響應(yīng)、檢測(cè)入侵、檢測(cè)入侵行為是入侵檢測(cè)系統(tǒng)的核心功能,主要包括兩個(gè)方面、入侵檢測(cè)系統(tǒng)要識(shí)別入侵者,入侵者就會(huì)想方設(shè)法逃避檢測(cè)、記錄、報(bào)警和響應(yīng)、傳統(tǒng)入侵檢測(cè)中存在的問題、神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)中的應(yīng)用、系統(tǒng)或模式匹配系統(tǒng)合并在一起、網(wǎng)絡(luò)作為一個(gè)獨(dú)立的特征檢測(cè)系統(tǒng)等，具體請(qǐng)?jiān)斠姟?/p>

入侵檢測(cè)作為一種主動(dòng)防御技術(shù),彌補(bǔ)了傳統(tǒng)安全技術(shù)的不足。其主要通過監(jiān)控網(wǎng)絡(luò)與系統(tǒng)的狀態(tài)、用戶行為以及系統(tǒng)的使用情況,來檢測(cè)系統(tǒng)用戶的越權(quán)使用以及入侵者利用安全缺陷對(duì)系統(tǒng)進(jìn)行入侵的企圖,并對(duì)入侵采取相應(yīng)的措施。

一、入侵檢測(cè)系統(tǒng)概述

入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,簡(jiǎn)稱IDS)可以認(rèn)為是進(jìn)行入侵檢測(cè)過程時(shí)所需要配置的各種軟件和硬件的組合。對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來講,它不但可使系統(tǒng)管理員時(shí)刻了解計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更,還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是,對(duì)它的管理和配置應(yīng)該更簡(jiǎn)單,從而使非專業(yè)人員能非常容易地進(jìn)行操作。而且,入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后,會(huì)及時(shí)做出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。

二、入侵檢測(cè)系統(tǒng)的功能

1.檢測(cè)入侵。檢測(cè)入侵行為是入侵檢測(cè)系統(tǒng)的核心功能,主要包括兩個(gè)方面:一方面是對(duì)進(jìn)出主機(jī)或者網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控,檢查是否存在對(duì)系統(tǒng)的異常行為;另一方面是檢查系統(tǒng)關(guān)鍵數(shù)據(jù)和文件的完整性,看系統(tǒng)是否己經(jīng)遭到入侵行為。前者的作用是在入侵行為發(fā)生時(shí)及時(shí)發(fā)現(xiàn),使系統(tǒng)免受攻擊;后者一般是在系統(tǒng)遭到入侵時(shí)沒能及時(shí)發(fā)現(xiàn)和阻止,攻擊的行為已經(jīng)發(fā)生,但可以通過攻擊行為留下的痕跡了解攻擊行為的一些情況,從而避免再次遭受攻擊。對(duì)系統(tǒng)資源完整性的檢查也有利于我們對(duì)攻擊者進(jìn)行追蹤,對(duì)攻擊行為進(jìn)行取證。

2.抗欺騙。入侵檢測(cè)系統(tǒng)要識(shí)別入侵者,入侵者就會(huì)想方設(shè)法逃避檢測(cè)。逃避檢測(cè)的方法很多,總結(jié)起來可分為誤報(bào)和漏報(bào)兩大類。一種使入侵檢測(cè)系統(tǒng)誤報(bào)的實(shí)現(xiàn)形式,是快速告普信息的產(chǎn)生讓系統(tǒng)無法反應(yīng)以致死機(jī),這其實(shí)是通用的網(wǎng)絡(luò)攻擊方式一拒絕服務(wù)攻擊在入侵檢測(cè)系統(tǒng)上的體現(xiàn)。與誤報(bào)相比,漏報(bào)更具危險(xiǎn)性,即躲過系統(tǒng)的檢測(cè),使系統(tǒng)對(duì)某些攻擊方式失效。入侵檢測(cè)系統(tǒng)無法統(tǒng)一漏報(bào)和誤報(bào)的矛盾,目前的入侵檢測(cè)產(chǎn)品一般會(huì)在兩者間進(jìn)行折衷,并且進(jìn)行調(diào)整以適應(yīng)不同的應(yīng)用環(huán)境。

3.記錄、報(bào)警和響應(yīng)。入侵檢測(cè)系統(tǒng)在檢測(cè)到攻擊后,應(yīng)該采取相應(yīng)的措施來阻止攻擊或者響應(yīng)攻擊。作為一種主動(dòng)防御策略,它必然應(yīng)該具備此功能。入侵檢測(cè)系統(tǒng)首先應(yīng)該記錄攻擊的基本情況,其次應(yīng)該能夠及時(shí)發(fā)出報(bào)警。好的入侵檢測(cè)系統(tǒng),不僅應(yīng)該把相關(guān)數(shù)據(jù)記錄在文件或數(shù)據(jù)庫中,還應(yīng)該提供好的報(bào)表打印功能。必要時(shí),系統(tǒng)還應(yīng)該采取必要的響應(yīng)行為,如拒絕接受所有來自某臺(tái)計(jì)算機(jī)的數(shù)據(jù)、追蹤入侵行為等。

三、神經(jīng)系統(tǒng)網(wǎng)絡(luò)在入侵檢測(cè)系統(tǒng)中的應(yīng)用

目前計(jì)算機(jī)入侵的現(xiàn)狀是入侵的數(shù)量日益增長、入侵個(gè)體的入侵手段和目標(biāo)系統(tǒng)多種多樣,因此要確切的描述入侵特征非常困難,入侵規(guī)則庫和模式庫的更新要求難以得到滿足,這就要求入侵檢測(cè)應(yīng)該具有相當(dāng)大的智能性和靈活性,這是多項(xiàng)人工智能技術(shù)被相繼應(yīng)用到入侵檢測(cè)中的原因。

1.傳統(tǒng)入侵檢測(cè)中存在的問題。我們先來分析一下傳統(tǒng)IDS存在的問題。傳統(tǒng)IDS產(chǎn)品大多都是基于規(guī)則的,而這一傳統(tǒng)的檢測(cè)技術(shù)有一些難以逾越的障礙:

(1)在基于規(guī)則的入侵檢測(cè)系統(tǒng)中,所有的規(guī)則可理解為“IF一THEN”形式,也就是說,這一規(guī)則表述的是一種嚴(yán)格的線性關(guān)系,缺乏靈活性和適應(yīng)性,當(dāng)網(wǎng)絡(luò)數(shù)據(jù)出現(xiàn)信息不完整、變形失真或攻擊方法變化時(shí),這種檢測(cè)方法將失效,因此引起較高的誤警率和漏報(bào)率。

(2)隨著攻擊類型的多樣化,必然導(dǎo)致規(guī)則庫中的規(guī)則不斷增多,當(dāng)這些規(guī)則增加到一定程度,會(huì)引起系統(tǒng)檢測(cè)效率的顯著降低,在流量較高時(shí),可造成丟包等現(xiàn)象。此外,攻擊方法的不斷發(fā)展,使得傳統(tǒng)的入侵檢測(cè)系統(tǒng)無法有效地預(yù)測(cè)和識(shí)別新的攻擊方法,使系統(tǒng)的適應(yīng)性受到限制。

(3)傳統(tǒng)的用來描述用戶行為特征的度量一般是憑感覺和經(jīng)驗(yàn)的,這些度量是否能有效地描述用戶行為很難估計(jì)。有些度量當(dāng)考慮所有用戶可能是無效的,但當(dāng)考慮某些特別的用戶時(shí),可能又非常有用。

2.神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)中的應(yīng)用

作為人工智能(AD)的一個(gè)重要分支,神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)領(lǐng)域得到了很好的應(yīng)用。神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測(cè)系統(tǒng)中用來構(gòu)造分類器,主要用于資料特征的分析,以發(fā)現(xiàn)是否為一種入侵行為。如果是一種入侵行為,系統(tǒng)將與已知入侵行為的特征進(jìn)行比較,判斷是否為一種新的攻擊行為,從而決定是進(jìn)行丟棄還是進(jìn)行存盤、報(bào)警、發(fā)送資料特征等工作。神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)中的具體實(shí)現(xiàn)方法一般有兩種:

(1)系統(tǒng)或模式匹配系統(tǒng)合并在一起

這種方法不是像以前一樣在異常檢測(cè)中用神經(jīng)網(wǎng)絡(luò)代替現(xiàn)有的統(tǒng)計(jì)分析部分,而是用神經(jīng)網(wǎng)絡(luò)來過濾出數(shù)據(jù)當(dāng)中的可疑事件,并把這些事件轉(zhuǎn)交給專家系統(tǒng)處理。這種結(jié)構(gòu)可以通過減少專家系統(tǒng)的誤報(bào)來提高檢測(cè)系統(tǒng)的效用。因?yàn)樯窠?jīng)網(wǎng)絡(luò)將確定某一特別事件具有攻擊跡象的概率,我們就可以確定一個(gè)閩值來決定事件是否轉(zhuǎn)交給專家系統(tǒng)作進(jìn)一步分析,這樣一來,由于專家系統(tǒng)只接收可疑事件的數(shù)據(jù),它的靈敏度就會(huì)大大增加(通常,專家系統(tǒng)以犧牲靈敏度來減少誤報(bào)率)。這種結(jié)構(gòu)對(duì)那些投資專家系統(tǒng)技術(shù)的機(jī)構(gòu)大有好處,因?yàn)樗岣吡讼到y(tǒng)的效用,同時(shí)還保護(hù)了在現(xiàn)有IDS上的投資。

(2)網(wǎng)絡(luò)作為一個(gè)獨(dú)立的特征檢測(cè)系統(tǒng)

在這個(gè)結(jié)構(gòu)中,神經(jīng)網(wǎng)絡(luò)從網(wǎng)絡(luò)流中接受數(shù)據(jù),并對(duì)數(shù)據(jù)進(jìn)行分析。任何被識(shí)別為帶有攻擊跡象的事件都將被轉(zhuǎn)交給安全管理員或自動(dòng)入侵應(yīng)答系統(tǒng)來處理。這種方法在速度方面超過了以前的方法,因?yàn)樗挥幸粋€(gè)單獨(dú)的分析層。另外,隨著神經(jīng)網(wǎng)絡(luò)對(duì)攻擊特征的學(xué)習(xí),這種結(jié)構(gòu)的效用也會(huì)不斷提高,它不同于第一種方法,不會(huì)受專家系統(tǒng)分析能力的限制,而最終將超越專家系統(tǒng)基于規(guī)則的種種限制。

參考文獻(xiàn):

[1]韓東海、王超、李群,入侵檢測(cè)系統(tǒng)及實(shí)例剖析.北京:清華大學(xué)出版社,2008.

[2]韓力群,人工神經(jīng)網(wǎng)絡(luò)理論、設(shè)計(jì)及應(yīng)用—人工神經(jīng)細(xì)胞、人工神經(jīng)網(wǎng)絡(luò)和人工神經(jīng)系統(tǒng).北京:化學(xué)工業(yè)出版社,2007.