网络安全与入侵检测

    在传统的安全模型中，防火墙作为计算机网络安全的一种防护手段得到了广泛的应用，但随着攻击技术的发展，这种单一的防护手段已经不能确保网络的安全，防火墙对于防范黑客产生了明显的局限性，主要表现为:防火墙无法阻止内部人员所做的攻击 对信息流的控制缺乏灵活性在攻击发生后，利用防火墙保存的信息难以调查和取证。为了确保计算机网络安全，不断有新的安全技术被提出。人侵检测技术能够帮助网络系统快速发现入侵攻击，并作出响应，扩展了系统管理员的安全管理能力，从而得到快速发展和广泛应用。
         
一、入侵检测技术分析

    1、入侵检测及其作用
    入侵检测是指通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时作出响应。人侵检测作为一种积极主动的安全防护技术，能很好地弥补防火墙的不足!2]。它能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力 (包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它的主要作用是:(1) 监视、分析用户及系统活动;(2)审计系统构造和弱点。识别反映已知进攻的活动模式并向相关人士报警;(3) 统计分析异常行为模式;(4) 评估重要系统和数据文件的完整性。审计跟踪管理操作系统，并识别用户违反安全策略的行为。

    2、常用的入侵检测方法
    常用的入侵检测方法有:模式匹配、协议分析、专家系统、统计分析、数据挖掘、神经网络、遗传算法等。在实际应用与研究中，通常不采用单一的检测方法，而是采用多种检测方法相结合的方式来检测攻击。
    (1) 模式匹配
    模式匹配是传统的、最简单的人侵检测方法。该方法需要建立一个攻击特征库，检查接收到的数据中是否包含特征库中的攻击特征，从而判断是否受到攻击。它的算法简单、准确率高，但是只能检测到已知攻击，对已知攻击稍加修改就可以躲过检测，漏报现象严重，模式库需要不断更新。对于高速大规模的网络来说，由于要分析处理大量的数据包，该方法的速度就成为了问题。
    (2) 协议分析
    协议分析是对模式匹配的智能扩展，它利用网络协议的高度规则性快速探测攻击的存在。它的出现弥补了模式匹配技术的一些不足，如计算量大、探测准确率低等。另外，协议分析还可以探测碎片攻击。例如:假设袭击执行的基础协议是虚构的BGS协议，攻击要求非法变量foo
必须传递到BGS型字段中。如果BGS协议允许隔字节为空，那么模式匹配将无法发现fx00ox00oxoo，相反，协议分析则能够跳过空字节，如期发出警报。
    (3) 专家系统
    专家系统使用基于规则的语言为已知攻击建模，它把审计事件表述成语义的事实，推理引擎根据这些规则和事实进行判定。专家系统的建立依赖于知识库的完备性，知识库的完备性取决于审计记录的完备性和实时性。
    (4) 统计分析
    统计分析是通过设置极限闹值等方法，将检测数据与已有的正常行为加以比较，如果超出极限值，则认为是入侵行为。常用的入侵检测统计分析模型有:操作模型，方差，多元模型，马尔可夫过程模型及时间序列分析等。
    (5) 数据挖掘
    数据挖掘是数据库中的一项技术，它的作用是从大型数据库中抽取知识。对于人侵检测系统来说，也需要从大量的数据中提取出入侵的特征。因此，将数据挖掘技术引入入侵检测系统中，通过数据挖掘程序处理收集到的审计数据，为各种入侵行为和正常操作建立精确的行为模式，这是一个自动的过程。数据挖掘的关键点在于算法的选取和一个正确的体系结构的建立。
    (6) 神经网络
    神经网络具有自适应、自组织和自学习的能力，可以处理一些环境信息复杂、背景知识不清楚的问题。将神经网络技术应用于入侵检测系统，以检测未知攻击。来自审计日志或正常网络访问行为的信息，经数据信息预处理模块的处理后即产生输入向量。使用神经网络对输入向量进行处理，从中提取用户正常行为的模式特征，并以此创建用户的行为特征轮廓。这要求系统事先对大量实例进行训练，具有每一个用户行为模式特征的知识，从而可以找出偏离这些轮廓的用户行为。
    (7) 模糊系统
    模糊理论在知识和规则获取中具有重要的作用。人类思维、语言具有模糊性，模糊思维形式和语言表达具有广泛性、完美和高效的特征。人们的许多知识是模糊的，模糊知识在控制和决策中具有巨大的作用。由于计算机网络中的正常行为和异常行为难以很好地界定，使用模糊逻辑推理方法，入侵检测系统的误报率则会降低。
    (8) 免疫系统
    免疫系统是一个复杂的多代理系统。将免疫系统应用到人侵检测当中，本质上是设计和实现一个分布式智能多代理系统。免疫的基本原理是分辨本体 (正常)和异体(异常)。在入侵检测领域，本体是被监控网络的正常行为，异体是网络的异常行为。
    (9) 遗传算法
    遗传算法是基于自然选择，在计算机上模拟生物进化机制的寻优搜索法。在自然界的演化过程中，生物体通过遗传、变异来适应外界环境，一代又一代地优胜劣汰，发展进化。遗传算法模拟了上述进化现象。它把搜索空间映射为遗传空间，即把每个可能的解编码为一个向量，称为一个染色体，向量的每个元素称为基因。所有染色体组成群体，并按预定的目标函数对每个染色体进行评价，根据结果给出一个适应度的值。算法开始时先随机地产生一些染色体，计算其适应度，根据适应度对各染色体进行选择复制、交叉、变异等遗传操作，剔除适应度低的染色体，留下适应度高的染色体，从而得到新的群体。由于新群体的成员是上一代群体的优秀者，继承了上一代的优良形态，因而明显优于上一代。遗传算法就这样反复迭代，向着更优解的方向进化，直至满足某种预定的优化指标。
    (10) 数据融合
    数据融合是针对一个系统中使用多个和 (或)多类传感器这一特定问题展开的一种新的数据处理方法，因此数据融合又称多传感器信息融合或信息融合。多传感器信息融合的基本原理就像人脑综合处理信息的过程一样，它充分利用多个传感器资源，通过对各个传感器及其观测信息
的合理支配和使用，将各种传感器在空间和时间上的互补与冗余信息根据某种优化准则组合起来，产生对观测环境的一致性解释和描述。它的最终目的是利用多个传感器共同或者联合操作的优势，来提高整个系统的性能。把数据融合引入入侵检测领域，可以从不同角度、不同位置收集反映网络状态的数据信息，如网络数据包、系统日志、系统操作者发出的口令等。对这些信息进行分析和结果融合，给出检测系统的判断结果和响应措施。