1.概述
入侵检测是网络安全中的经典问题,入侵是指攻击者违反系统安全策略,试图破坏计 算资源的完整性、机密性或可用性的任何行为。由定义可见,入侵并非一种特定的入侵行 为,而是一类入侵行为的统称。常见的网络攻击方式包括拒绝服务攻击、伪装身份入侵等。
入侵检测系统(IntrusionDetectionSystem,IDS)是一种网络安全设备,可以对入侵 行为进行实时监测,并在必要时发出告警或采取防御措施,切断入侵者的网络访问。最早 IDS系统的相关介绍由 Denning于1980年发表于IEEE软件工程汇刊上。
IDS有多种不同的划分方法,可以根据信息来源、检测方法、体系结构进行分类。根 据信息来源可分为基于主机的IDS、基于网络的IDS和混合型IDS;根据检测方法可分为 异常检测和误用检测;根据体系结构的不同,可以分为集中式IDS和分布式IDS。以下 对这些主要IDS模型进行介绍。
(1)异常检测(anomaly detection):这种方法要求先建立正常行为的特征轮廓和模 式表示,然后在检测时将具体行为与正常行为进行比较,如果偏差超过一定值,则认为是入侵行为,否则为正常行为。这种检测模型不需要对每种入侵行为进行定义,能有效检测 未知的入侵,因此漏报率低,但误报率高。
(2)误用检测(misuse detection):事先构建异常操作的行为特征,建立相应的模式 特征库。当监测到的用户或系统行为与特征库中的记录相匹配时,则认为发现入侵。与 异常检测方法相反,这种方法误报率低、漏报率高。
(3)基于主机的IDS:其数据来源于计算机操作系统的事件日志、应用程序的事件日 志、系统调用、端口调用和安全审计记录。因此,这种IDS是对主机入侵行为的检测。
(4)基于网络的IDS:这种IDS用于检测整个网段的入侵信息。其数据来源于网络 通信数据包,由部署于网络的数据包采集器嗅探网络上的数据包。这种数据包涵盖了各 种类型网络的请求和响应记录,通常由IP地址、端口号、数据包长度等信息组成。
(5)混合型IDS:前述各种IDS都存在一定不足,各有其优势和缺点,因此混合型 IDS能够较好地整合各自的优势。混合的方式有基于网络和基于主机的混合或者异常检 测和误用检测的混合。
不管是哪种类型的IDS,其工作过程大体是相同的,可以分为三个主要的环节,即信 息收集、分类检测和决策,其中分类检测和决策环节是IDS的关键,都需要一定的人工智 能技术来支持。
(1)信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用 户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括 系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
(2)分类检测:收集到的有关系统、网络、数据及用户活动的状态和行为等信息被送 到检测引擎。检测引擎根据不同的检测机制进行检测,典型的方法有模式匹配、监督学习 模型、半监督学习模型和离群点检测等。当然,在执行分类之前,需要在系统后台先进行 模型训练,其可以离线完成。
(3)决策:当检测到某种入侵行为时,控制台按照告警产生预先定义的响应措施,可 以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性等,也可以是简单地发 送告警。决策最主要的问题在于,检测器的召回率和准确率并不会达到100%的效果,导 致决策时可能产生不合适的措施。
内容来自:标题 (tsinghua.edu.cn),不知道是哪本书