第三章 基于行为检测的信任度评估技术

 

    2)神经网络(neural network)

 

   利用神经网络检测人侵的基本思想是用一系列信息单元(命令)训练神经单元，这样在给定一组输人后，就可能测出输出。具体来说，它首先搜集一些命令集对神经网络进行训练，然后输人当前命令和前W个命令(W为已执行命令窗日的大小)，输出是预测的下一个命令。

 

    与统计方法相比，神经网络更好地表达了变量间的非线性关系.并且能自动学习并更新。它能更好地处理原始数据的随机特性，即不需要对这些数据作任何统计假设，并且有较好的抗干扰能力。这种方法的最大缺点是不能检测神经网络输人集以外的人侵事件，因为它不满足神经网络的输人事件。命令窗口W的大小也难以选取，窗口太小，则网络输出不好;窗口太大，则网络会因为大量无关数据而降低效率。

 

    2.基于特征的入侵检测

 

    基于特征的人侵检测又称误用检测(misuse detection).它事先把人侵者活动用特征模式表示，在检测时将已有的攻击特征与用户的活动进行比较，并以此判断是否发生了攻击行为。例如,著名的Internet蠕虫事件就是利用了fingerd和、endmail的漏洞进行攻击，对这种攻击就可以使用这种检测方法。

 

    基于特征的人侵检测由于依据具体的特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做出相应的措施提供了方便。使用基于特征的人侵检测的一个不足之处是这种方法需要对攻击进行编码，问题是并不是所有的攻击都可以用编码的方式来很好地表达，而且这种方式不能检测末知的攻击方式，尤其难以检测出内部人员滥用权力和泄露机密的行为。基于特征的人侵检测方法大致有以下3种。

 

    1)特征字符串匹配

 

    这是一种最简单的人侵检测方式，也是很有效的检测方式。对于很多种人侵手段，如FTP攻击、远程缓冲区溢出攻击、CGI攻击等，都会包含一些特征字符串。例如，FTPwuftp260   Siteexec攻击包含特征字符串“SITE  EXEC   % p, IMAP-x86-linux-buffer-overflow攻击包含特征字符串”|E8C0 FFFF FF|/bin/sh",WEB-CGI-PHP CGI攻击包含特征字符串“php.cgi?/”,等等。通过特征字符串匹配,K可以立即发现正在进行的人侵。特征字符串匹配实现简单、快速，检测结果明确，便于做出响应。

 

    这种方法的缺点是，人侵者可以通过一系列的方法来躲过这种人侵检测。例如，通过网络上数据打包的不同方式，利用不同操作系统对网络数据包的不同处理，采用不同的指令，等等，来隐藏特征字符串，从而躲过检测。

 

    2)专家系统

 

      专家系统在已有知识的基础上做出人侵判决。知识基于已知的人侵行为、已知的系统漏洞、安全策略的配置失误以及期望的系统行为。但是，对于知识库中末知的人侵行为，这种方式无法进行人侵检测。

 

      专家系统是基于特征的检测中运用得最多的一种方法。采用专家系统对人侵进行检测，经常是将人侵的特征知识转化为IF-THEN结构的规则。IF部分为人侵特征，THEN部分为系统防范措施。当IF部分的条件全部满足时，触发、THEN部分的防范措施。其中，IF-THEN结构构成了具体

攻击的规则库，状态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工作。

 

    在具体实现中，专家系统面临的主要问题是难以保证知识库的完备性，并且处理效率比较低。因为这些缺陷，专家系统技术目前只是在各种研究原型中得到应用，而商业化的产品采用了其他效率更高的技术，其中目前应用最广泛的就是特征分析技术。与专家系统一样，特征分析也需要知道攻击行为的具体知识。但是，攻击方法的语义描述不是被转化为检测规则，而是在审计记录中能直接找到的信息形式。这样，就无须像专家系统一样需要处理大量数据，从而大大提高了效率。

 

    3)状态转换分析

 

    状态转换分析技术是UC Santa Barbara大学研发的人侵检测技术。人侵攻击被表示为被监测系统上的一系列状态转换。被监测系统可能处于不同的状态下，状态和状态之间的转换需要由一些关键的行动来触发。当一系列事件被识别为一个关键行动后，系统就从一个状态转换成下一个状态。系统最初的状态是安全、正常的状态，最后的状态是发现人侵的状态。不同的人侵手段需要用不同的状态转换规则去描述。

 

    状态转换分析技术识别的是系统的状态和关键的行动，攻击者很难利用掺杂一些别的命令来对实施攻击的命令序列进行隐藏。只要攻击会使系统产生那些必经的状态，状态转换分析技术就不需要对具体的人侵步骤和方法有明确的了解，因此在一定程度上状态转换分析技术可以检测末知的人侵。