基于系统行为的入侵检测的系统的研究

摘 要：本文主要介绍了基于系统行为的入侵检测系统，首先对基于网络的入侵检测系统和基于主机的入侵检测系统进行了简要介绍及优缺点分析，然后对系统行为进行了剖析，其中重点对静态行为分析技术和动态行为分析技术的原理，研究现状，应用成效等进行了阐明和对比，最后总结了HIDS的目前研究进展和未来要关注的问题。

关键词：网络安全 入侵检测 静态行为分析 动态行为分析

中图分类号：TP39 文献标识码：A 文章编号：1003-9082（2018）06-000-01

引言

目前网络环境日趋复杂和多变，来自网络的攻击会对个人及社会造成极大的破环型，传统的单一防火墙和杀毒软件已无法防范复杂多变的攻击，网络安全已成为遏制网络健康发展的重要因素，入侵检测技术是网络安全的一项重要组成部分，可以对来自系统外部与内部的行为进行监控与报警，当发现不良行为时可以马上响应及报警拦截。在众多的入侵检测技术中，基于系统行为的入侵检测系统是应用较普遍，检测性能较好，费用较低，性价比较高的一种。

一、NIDS与HIDS的优劣分析

入侵检测作为网络安全领域的关键、核心技术之一，自从20世纪80年代Anderson的报告开始，一直是该领域的研究热点。近些年国内和国外关于这方面的研究不断开展，尝试采用各种有效方法解决入侵检测中的问题，取得了一定的功效。

入侵检测（Intrusion Detection ）就是对系统外部与内部的非法入侵行为的检测。它通过搜集和剖析计算机网络或计算机系统中许多关键点的文件和程序等信息，检查网络或系统中有无存在非法的入侵行为和被袭击的踪迹。入侵检测作为一种积极主动的安全防护技术，对系统的内部和外部提供了实时的保护，在被保护的对象受到侵害之前对入侵行为进行报警和拦截，入侵检测技术虽然也能够对网络攻击进行识别并作出反应，但其侧重点还是在于发现，而不能代替防火墙系统执行整个网络的访问控制策略。

根据入侵检测系统的设计原理来分类的话可以分为两类：基于网络的入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）。

NIDS是基于网络的入侵检测系统，由分布在网络中的众多的传感器（Sensor）组成，传感器通常是独立的检测引擎，能获得网络分组、对整个网段中的网络流量进行监听，对数据包中的内容进行检查，并对系统中的文件和记录进行统计和追踪，找寻误用模式，然后监测到异常报告后向中央控制台告警。目前，很多比较新的技术已经开始在NIDS中应用，像是数据挖掘技术和深度学习，通过这些新兴技术的加持，在对搜集的信息和数据进行相关处理时，可以大大提高检测效果，降低误报率。

HIDS是基于主机的入侵检测系统，他主要担任保护网络中某台特定的主机，并在这台主机上进行运行，基于主机的入侵检测是入侵检测的最初期形式，这种入侵检测系统通常运行在被检测的主机或者服务器上，实时检测检测系统的运行，通常从主机的审计记录和日志文件中获得所需的主要數据源，并辅之以主机上的其他信息，在此基础上完成检测攻击行为的任务。特别的，从主机入侵检测技术中还可以单独分离出基于应用的入侵检测模型，这是特别针对于某个特定任务的应用程序而设计的入侵检测技术，采用的输入数据源是应用程序的日志信息。

在实际的应用中，NIDS虽然可以在多种设备上移植，也很容易配置和实现但在实际检测时，NIDS在处理加密的数据时，像是对数据进行简单替换还有采用SSH、HTTPS、和带密码的压缩文件这种技术手段，NIDS就比较难对其进行识别，在重放攻击，中间人攻击，网络监听， DDos以及异常检测方面，NIDS也有较大的局限性。而HIDS虽然依赖主机，较难跨平台，但其成本低，检测袭击种类多，在应用范围上要比NIDS广泛得多。

二、系统行为分析

在分析系统行为时，我们主要是对（1）系统信息，几乎所有的操作系统都提供一组命令，获得本机当前激活的进程的状态信息，他们直接检查内核程序的内存信息。（2）计算机资源的使用情况的记账，例如CPU占用时间，内存，硬盘，网络使用情况。（3）系统日志，可分为操作系统日志和应用程序日志两部分。操作系统日志从不同方面记录了系统中发生的事情，对于入侵检测而言，具备重要的价值，当一个进程终止时，系统内核为每个进程在进程日志文件中写入一条记录。（4）C2安全审计，记录所有可能与安全性有关的发生在系统上的事情。由此，我们一般将系统行为分为，静态系统行为和动态系统行为。

两种行为分析方法都是通过对正常的系统行为进行的阐明和搜集，总结出正常行为普遍模式，对正常行为进行模型建立，当出现与系统中不匹配的行为时，系统会认为这是异常行为，就会对此行为进行报警和拦截。但两种行为分析方法也有不同点，静态行为分析方法是在系统不运行的情况下对系统行为进行搜集分析和建模，而动态行为分析方法是在系统运行的情况下对系统行为进行搜集分析和建模。但这两种检测系统都会有如下缺陷：一是如果是正常行为，但在行为库中并未收集，这时系统在检测这种行为时会误认为是异常行为而进行拦截，二是对正常行为的记录及建模是需要大量时间来训练的，而且在监听时需要与行为库中的正常行为进行比对，这些都会对主机的性能造成影响。由此我们可以看出，在系统异常行为检测技术中其核心其实就是是对系统非法行为的识别。在未来的发展中，系统异常行为检测技术不仅要提高甄别能力并且要尽量避免上文所述的缺陷。

三、系统行为分析技术的分析

系统行为分析技术主要就是静态系统行为分析方法和动态系统行为分析方法。

对于静态系统行为分析方法，主要是对是程序源代码和二进制文件进行分析，在系统静止的情况下对系统中需要保护的程序文件用数据流、约束条件、基于抽象解释、基于类型和结果、符号执行建模等技术手段来进行分析和处理等，对系统中需要保护的系统文件用注注册表、关键系统文件、系统设置等系统属性来进行分析和处理，通过上述技术手段对系统中需要保护的程序文件以及系统文件进行分析处理后，进行模型建立，当系统开始运行时，当监测到模型库中没有的行为时，就会将这种行为标记为异常行为，系统就会对此行为进行拦截。

像现在比较主流的静态分析方法主要有（1）基于数据流的分析（2）基于约束条件的分析（3）基于抽象解释的分析，以及（4）符号执行分析。

这些静态分析方法既可以分析系统中的程序文件.也可对系统设置进行，将正常系统建模，监听系统中的关键行为，当发现一些关键点的状态改变或是一些设置被更改，这表示有有異常行为破环系统。

静态行为分析方法态在技术上已经比较成熟了，其优点与缺点都是比较突出的，虽然静态行为分析方法在训练数据库方面的成本比较低，分析方法和分析层次也比较多样；也不需进行后期学习练习；误报率还比较低。但是.静态行为分析方法的缺点也是非常显著的，比如：分析对象不易获得；编译时和链接时的数据分析容易受到较多约束等等。

而动态行为分析则可以很好地弥补静态行为分析方法的缺点，动态行为分析是在系统运行的情况下对系统的行为进行记录，将系统中出现的实际情况进行收集和记录，不需要得倒程序的源代码或二进制文件就可以获得很多静态行为分析时较难得倒的信息（比如频率、堆栈信息等）。由此可得出在异常入侵检测方法中，动态行为分析方法较之于静态行为分析方法会有更大的优势。不过动态行为分析方法也存在缺陷：一是在总结和记录系统的正常行为时可能会不够全面，而导致将一些系统的正常行为标记为异常行为，而产生误报，二是动态行为分析方法是在系统运行时来对系统行为进行记录和建模，这就会导致训练数据库所需的成本较高。

四、结语

在目前复杂的网络环境下，入侵检测已是计算机安全领域必不可少的一项关键部分，在众多的入侵检测技术中，基于系统行为的入侵检测技术已是非常成熟，应用也是非常广泛。不过，综合分析，不管是静态行为分析方法还是动态行为分析方法，都有各自的专长和缺陷，如果单一使用，总是不能对系统进行全方面的监听，最好的就是可以将二者结合来使用，扬长避短，利用动态分析技术模拟静态分析的效果，将二者各自优点发挥最大，以求达到最佳监测效果，才是未来基于系统行为入侵检测研究的方向。

参考文献

[1]周彬彬.于程序行为静态分析的入侵检测系统研究与设计[D].北京邮电大学，2010.

[2]葛贤银，韦素媛，杨百龙，蒲玄及.于行为分析技术的混合入侵检测系统的研究[A].国电子学会信息论分会.中国电子学会第十六届信息论学术年会论文集[C].中国电子学会信息论分会：中国电子学会信息论分会，2009：4.

[3]余晓永.于网络行为分析的入侵检测系统研究[D].合肥工业大学，2009.

[4]黄卢记.于网络行为分析的入侵检测系统研究[D].郑州大学，2007.

作者简介：段悦，（1986-），女，初级/计算机，研究方向：网络安全。