入侵检测系统研究综述

李建国　杨忆

【摘 要】通过对入侵检测系统的发展综述，分析了两种入侵检测方法的优缺点，在此基础上提出了一种基于数据挖掘技术的混合入侵检测模型，并对未来入侵检测系统的发展发现作了展望。

【关键词】网络安全；入侵检测系统；混合入侵检测

随着互联网技术的快速发展，社会信息化程度越来越高，人们的消费行为也发生了质的变化，大家正享受着电子商务、移动支付、电子银行等功能所提供的便利。然而，互联网技术作为一把双刃剑，其安全性也日渐引起人们的深切关注。2013年，美国多年来实施的最大的监控事件（“棱镜”事件）让人们充分感受到了网络空间的不安全。该项目是2007年由美国国家安全局和联邦调查局实施的绝密电子监听计划，通过入侵世界各国政府、企业等机构的网络服务器，从而搜集大量有价值的情报[1]。2014年1月，由于国内顶级域名服务器受到非法攻击，导致大量网页不能浏览，给广大用户带来巨大不便和损失。同年3月，携程公司的安全支付日志被查出存在安全漏洞，入侵者通过漏洞可以非法获取用户包括银行卡账号、姓名等方面的敏感信息。

为了防止网络入侵，解决入侵行为所带来的不安全问题，入侵检测系统的研发已成为广大学者们研究的热点，并随着网络技术的发展，该领域的研究也不断推陈出新。

1 入侵检测系统的产生与发展

1980年，Anderson团队在文献[2]中提出了“计算机安全威胁监控与监视”的概念，并给出了相应的入侵检测模型，该模型在某种程度上对提升计算机系统的监控能力有较大帮助。最早的入侵检测系统的是在1985年由Denning团队提出的。并在文献[3]中给出了相应的模型和算法。该系统通过采用数据挖掘技术，对主机中的日志文件进行计算分析，通过搜索异常访问行为，进而对入侵行为进行甄别。由于当时网络技术的限制，以上两种模型均是基于主机的入侵检测系统模型，通过分析本地主机的日志文件、访问记录等手段，达到入侵防御的目的。随着网络技术的快速发展，Internet技术得到了广泛应用，网络入侵手段也有了新的发展和改进，仅仅通过本地主机的防御，很难达到预期的效果。因此，一种新的基于网络的入侵检测系统应运而生。1990年，Heberlein在文献[4]中最早给出了基于网络的入侵检测系统模型。该系统通过将软件固化到硬件的方法，提高了数据处理的速度，从而使实时采集预处理网络数据包，然后采用特定的算法对数据分析，找出入侵行为成为可能。基于网络的入侵检测系统的构建较基于主机的入侵检测系统复杂，常与防火墙协同运行。随着当今快速网络技术的发展和应用，以及大数据时代的到来，对入侵检测系统的数据处理能力和入侵检测能力提出新的挑战，传统的入侵检测技术，难以适应这种高速、大数据流环境的要求。从而，学者们针对这种情况提出了分布式的入侵检测系统并进行了深入研究[5-6]。分布式入侵检测系统能够将高速网络中的数据包，以统一的格式存储处理，较好的实现了多个网络服务器的协同预警处理机制。

2 入侵检测方法的分类

当前常用的入侵检测方法一般分为误用检测和异常检测两种方法。本文通过分析了两种算法的优缺点，提出了一种新的混合入侵检测模型。

2.1 误用检测

误用检测通过将预处理的数据包与已知的入侵规则库比较，进行判断是否存在入侵行为。该方法检测率高、误检率低，但对于未知的新型攻击，其规则库里没有相关的规则信息，就没有办法检测到。文献[7]提出了基于误用检测的不同的入侵检测模型，并进行了比较分析。文献[8]提出了在误用检测系统中采用特征选择算法，并给出了通用的入侵检测模型。模型中包括策略生成器、评价规则集、结论校验以及终止条件等四个部分。目前由于误用检测无法检测出异常攻击，很多入侵检测系统很少使用这种方法。

2.2 异常检测

异常检测是通过分析当前网络行为与系统历史的正常访问是否存在差异，来判断是否存在攻击行为。系统首先建立一个正常网络行为的状态模型，该模型可以自动更新，然后将当前的网络数据流特征与该模型比较分析。当发现当前行为与模型的差异达到一定阈值的时候，就发出入侵报警。因此，异常检测对未知的入侵攻击很容易发现，但是对于某些特定情况下发生的，超出正常特征模型所定义的正常网络行为，也会发出报警，所以，异常检测误检率较高。另外，由于异常检测算法较为复杂，对时间复杂度和空间复杂度的要求较高，使得异常检测系统的实现较为复杂。目前，专家们正通过设计、改进异常检测算法来降低异常检测系统复杂程度。文献[9]给出一种模糊入侵检测系统，该系统采用了模糊逻辑检测算法，该算法在处理Dos攻击和UDP攻击和邮件炸弹等攻击方面具有较高的检测率。文献[10]提出了采用聚类分析技术的入侵检测模型，该模型通过对大量异常数据训练提取，采用一种无监督的检测算法，在新型攻击检测方面有较高检测率。

2.3 基于数据挖掘技术的混合入侵检测

综合以上研究，两种检测方法均有优缺点，现给出一种基于数据挖掘技术的入侵检测模型，如图1所示：

该模型分为客户端、服务器端、数据训练器三个部分。在客户端，系统通过数据采集模块收集网络数据包，并将收集的数据通过数据传输软件，传输到服务器端；服务器端收到采集数据包后，进行审计、预处理、提取关键字段，并调用异常检测和误用检测模块进行分析、判断，同时将数据传送到数据训练模块，通过数据训练器，对规则库进行更新。由此可见，该模型理论上可以适应当前复杂的网络环境，可以给出较高的检测率和较低的误报率。但是该模型中的算法设计较为复杂，在时间和空间方面给服务器造成较大的压力，如何更新算法，优化模型，是今后继续研究的方向。

3 未来展望

综合以上研究，本文对入侵检测系统的发展方向作如下分析：

1）基于云计算的分布式入侵检测系统的研发将是入侵检测系统的未来发展方向之一。在当今大数据、高速网络蓬勃发展的形势下，对入侵检测系统的实时处理能力提出了新的挑战。

2）基于移动终端的小型入侵检测系统将是入侵检测系统的未来发展方向之一。在当前移动互联网时代，电子商务迅速发展，移动终端快速普及，对基于移动终端入侵检测系统的依赖会大大增强。

【参考文献】

[1]Wikipedia. PRISM（surveillance program）[EB/OL]. https：//en.wikipedia.org/wiki/PRISM_ （surveillance_program）.

[2]Andersen J P. Computer security threat monitoring and surveillance. Technical Repert[R]. James P Fort Washington， Pennsylvania， 1980.

[3]Denning D E， Neumann P G. Requirements and model for ides： a real-time intrusion detection system[J]. Comput.sci.lah Sri International Menlo Park Ca Tech.rep， 1985.

[4]Heherlein L T， Dias G， Levitt K， et al. A network security mcnitor[J].IEEE Computer Society Symp. on Research in Security and Privacy， 1990： 296-304.

[5]时军艳，王淑敏.基于移动Agent的分布式入侵检测模型构建[J].电脑知识与技术，2009，5（21）：5925-5927.

[6]程建，涨明清，刘小虎，等.基于人工免疫的分布式入侵检测模型[J].计算机应用，2014，34（1）：86-89，94.

[7]K.Broderick， M. Bailey， M. Eastwood. Worldwide Enterprise Server cloud computing 2010-2014 Forecast[R]. IDC， 2010.

[8]Dash M， Liu H. Feature selection for classification[J]. Intelligent Data Analysis， Amsterdam： IOS Press，1997（3）： 131-156.

[9]Han J， Kamber M. Data mining： concepts and techniques[M]. Moigan Kaufoiann，2006.

[10]Dhanalakshmi Y， Ramesh Babu I. Intrusion detection using data mining along fuzzy logic and geneticalgorithms[J]. International Journal of Computer Science and Network Security， 2008， 8（2）：27-32.

[责任编辑：杨玉洁]