入侵檢測(cè)技術(shù)y

版權(quán)所有，盜版必糾第9章入侵檢測(cè)技術(shù)版權(quán)所有，盜版必糾概述入侵檢測(cè)作為一種積極主動(dòng)的平安技術(shù)，已成為維護(hù)網(wǎng)絡(luò)平安的重要手段之一，并在網(wǎng)絡(luò)平安中發(fā)揮著越來(lái)越重要的作用。本章主要介紹入侵檢測(cè)的根本概念、組成、體系結(jié)構(gòu)、檢測(cè)技術(shù)、標(biāo)準(zhǔn)化問(wèn)題和開(kāi)展方向等。版權(quán)所有，盜版必糾目錄第9章入侵檢測(cè)技術(shù)9.1入侵檢測(cè)概述9.2入侵檢測(cè)技術(shù)9.3IDS的標(biāo)準(zhǔn)化9.4入侵檢測(cè)的開(kāi)展版權(quán)所有，盜版必糾隨著黑客攻擊技術(shù)的日漸高明，暴露出來(lái)的系統(tǒng)漏洞也越來(lái)越多，傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)的平安防御技術(shù)，對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反響，越來(lái)越不能滿足現(xiàn)有系統(tǒng)對(duì)平安性的要求。網(wǎng)絡(luò)平安需要縱深的、多層次的平安措施。9.1入侵檢測(cè)概述版權(quán)所有，盜版必糾現(xiàn)今流行的防火墻技術(shù)的局限性主要表現(xiàn)在：第一，入侵者可尋找防火墻背后可能敞開(kāi)的后門；第二，不能阻止內(nèi)部攻擊；第三，通常不能提供實(shí)時(shí)的入侵檢測(cè)能力；第四，不能主動(dòng)跟蹤入侵者；第五，不能對(duì)病毒進(jìn)行有效防護(hù)。入侵檢測(cè)技術(shù)作為近20多年來(lái)出現(xiàn)的一種積極主動(dòng)的網(wǎng)絡(luò)平安技術(shù)，是P2DR2模型的一個(gè)重要組成局部。與傳統(tǒng)的加密和訪問(wèn)控制的常用平安方法相比，入侵檢測(cè)系統(tǒng)〔IDS〕是全新的計(jì)算機(jī)平安措施。它不僅可以檢測(cè)來(lái)自網(wǎng)絡(luò)外部的入侵行為，同時(shí)也可以檢測(cè)來(lái)自網(wǎng)絡(luò)內(nèi)部用戶的未授權(quán)活動(dòng)和誤操作，有效地彌補(bǔ)了防火墻的缺乏，被稱為防火墻之后的第二道平安閘門。此外，它在必要的時(shí)候還可以采取措施阻止入侵行為的進(jìn)一步發(fā)生和破壞。9.1.1為什么需要入侵檢測(cè)系統(tǒng)版權(quán)所有，盜版必糾假設(shè)說(shuō)防火墻是一幢大樓的門鎖，那么入侵檢測(cè)系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。門鎖可以防止小偷進(jìn)入大樓，但不能防止大樓內(nèi)部個(gè)別人員的不良企圖，并且一旦小偷繞過(guò)門鎖進(jìn)入大樓，門鎖就沒(méi)有任何作用了。網(wǎng)絡(luò)系統(tǒng)中的入侵檢測(cè)系統(tǒng)恰恰類似于大樓內(nèi)的實(shí)時(shí)監(jiān)視和報(bào)警裝置，在平安監(jiān)測(cè)中是十分必要的，它被視為防火墻之后的第二道平安閘門。Anderson在早期的研究中曾用“威脅〞表示入侵，并把它定義為：一種成心的、未授權(quán)的企圖的潛在可能性，這些企圖包括：訪問(wèn)信息、操縱信息、或使系統(tǒng)不可靠或不能用。事實(shí)上，“入侵〞就是對(duì)系統(tǒng)平安策略的侵犯，它不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕效勞訪問(wèn)〔DenialofService，DoS〕等對(duì)計(jì)算機(jī)造成危害的行為。9.1.2入侵檢測(cè)的概念版權(quán)所有，盜版必糾入侵檢測(cè)是從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的假設(shè)干關(guān)鍵點(diǎn)搜集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反平安策略的行為和遭到襲擊的跡象的一種機(jī)制。入侵檢測(cè)系統(tǒng)的英文縮寫(xiě)是IDS〔IntrusionDetectionSystem〕，它通過(guò)對(duì)網(wǎng)絡(luò)及其上的系統(tǒng)進(jìn)行監(jiān)視，可以識(shí)別惡意的使用行為，并根據(jù)監(jiān)視結(jié)果進(jìn)行不同的平安動(dòng)作，最大限度地降低可能的入侵危害。因?yàn)槿肭中袨椴粌H可以來(lái)自外部，同時(shí)也可來(lái)自內(nèi)部用戶的未授權(quán)活動(dòng)。所以一個(gè)有效的入侵檢測(cè)系統(tǒng)應(yīng)當(dāng)能夠檢測(cè)兩種類型的入侵：來(lái)自外部世界的闖入和內(nèi)部攻擊者。9.1.2入侵檢測(cè)的概念版權(quán)所有，盜版必糾入侵檢測(cè)系統(tǒng)根本上不具有訪問(wèn)控制的能力，它就像一個(gè)有著多年經(jīng)驗(yàn)、熟悉各種入侵方式的網(wǎng)絡(luò)偵察員，通過(guò)對(duì)數(shù)據(jù)包流的分析，可以從數(shù)據(jù)流中過(guò)濾出可疑數(shù)據(jù)包，通過(guò)與的入侵方式或正常使用方式進(jìn)行比較，來(lái)確定入侵是否發(fā)生和入侵的類型并進(jìn)行報(bào)警。網(wǎng)絡(luò)管理員根據(jù)這些報(bào)警就可以確切地知道所受到的攻擊并采取相應(yīng)的措施。因此，可以說(shuō)入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)管理員經(jīng)驗(yàn)積累的一種表達(dá)，它極大地減輕了網(wǎng)絡(luò)管理員的負(fù)擔(dān)，降低了對(duì)網(wǎng)絡(luò)管理員的技術(shù)要求，提高了網(wǎng)絡(luò)平安管理的效率和準(zhǔn)確性。9.1.2入侵檢測(cè)的概念版權(quán)所有，盜版必糾對(duì)入侵檢測(cè)的研究最早可以追溯到20世紀(jì)80年代。1980年，JamesAnderson在其著名的技術(shù)報(bào)告《ComputerSecurityThreatMonitoringandSurveillance》〔計(jì)算機(jī)平安威脅監(jiān)控與監(jiān)視〕中首先提出了入侵檢測(cè)的概念，他將入侵檢測(cè)劃分為外部闖入、內(nèi)部授權(quán)用戶的越權(quán)使用和濫用三種類型，并提出用審計(jì)追蹤來(lái)監(jiān)視入侵威脅。然而，這一設(shè)想在當(dāng)時(shí)并沒(méi)有引起人們的注意，入侵檢測(cè)真正受到重視和快速開(kāi)展還是在Internet興起之后。9.1.3入侵檢測(cè)的歷史版權(quán)所有，盜版必糾1986年，Denning提出了一個(gè)經(jīng)典的入侵檢測(cè)模型，如圖9.1。他首次將入侵檢測(cè)的概念作為一種計(jì)算機(jī)系統(tǒng)的平安防御措施提出。該模型由六個(gè)局部組成：主體、對(duì)象、審計(jì)記錄、輪廓特征、異常記錄、活動(dòng)規(guī)那么，它獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境、系統(tǒng)弱點(diǎn)以及入侵類型，為構(gòu)建入侵檢測(cè)系統(tǒng)提供了一個(gè)通用的框架。9.1.3入侵檢測(cè)的歷史版權(quán)所有，盜版必糾9.1.3入侵檢測(cè)的歷史版權(quán)所有，盜版必糾1990年加州大學(xué)戴維斯分校的L.T.Heberlein等人開(kāi)發(fā)出了NSM〔NetworkSecurityMonitor〕，從此，入侵檢測(cè)系統(tǒng)被分為兩個(gè)根本類型：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。自從1988年的莫里斯蠕蟲(chóng)事件發(fā)生之后，美國(guó)一些研究機(jī)構(gòu)開(kāi)始對(duì)分布式入侵檢測(cè)系統(tǒng)〔DIDS〕進(jìn)行研究，將基于主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)方法集成在一起，使得DIDS成了分布式入侵檢測(cè)系統(tǒng)歷史上的一個(gè)里程碑式的產(chǎn)品。從20世紀(jì)90年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)展。1994年，MarkCrosbie和EugeneSpafford首次建議使用自治代理〔Autonomousagents〕來(lái)提高IDS的可伸縮、可維護(hù)性、效率和容錯(cuò)性。9.1.3入侵檢測(cè)的歷史版權(quán)所有，盜版必糾1996年出現(xiàn)了GRIDS(Graph-basedIntrusionDetectionSystem)，它的設(shè)計(jì)和實(shí)現(xiàn)使得對(duì)大規(guī)模自動(dòng)或協(xié)同攻擊的檢測(cè)更為便利。同年，F(xiàn)orrest等人首次將免疫原理運(yùn)用到分布式的入侵檢測(cè)領(lǐng)域。此后，在IDS中還出現(xiàn)了遺傳算法、遺傳編程的運(yùn)用。1997年，RossAnderson和AbidaKhattak將信息檢索技術(shù)引進(jìn)到了入侵檢測(cè)領(lǐng)域。1998年，W.Lee首次提出了運(yùn)用數(shù)據(jù)挖掘技術(shù)對(duì)審計(jì)數(shù)據(jù)進(jìn)行處理。1999年，StevenCheung等人又提出了入侵容忍〔Intrusiontolerance〕的概念，在IDS中引入了容錯(cuò)技術(shù)。2000年，TimmBass提出了數(shù)據(jù)融合〔DataFusion〕的概念，將分布式入侵檢測(cè)理解為在層次化模型下對(duì)多感應(yīng)器的數(shù)據(jù)綜合問(wèn)題。9.1.3入侵檢測(cè)的歷史版權(quán)所有，盜版必糾這幾年，入侵檢測(cè)系統(tǒng)開(kāi)展很快，如ISS，Cisco，Axent，NSW，NFR等都發(fā)布了它們的產(chǎn)品，這些產(chǎn)品各有自己的優(yōu)勢(shì)。然而，由于通用標(biāo)準(zhǔn)的缺乏，不同的入侵檢測(cè)系統(tǒng)之間還不能有效地進(jìn)行互操作。9.1.3入侵檢測(cè)的歷史版權(quán)所有，盜版必糾入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎、基于分析引擎的結(jié)果產(chǎn)生反響的響應(yīng)部件。因此，IDS可以看作這樣的管理工具：它從計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)關(guān)鍵點(diǎn)收集各種系統(tǒng)和網(wǎng)絡(luò)資源的信息，然后分析有入侵〔來(lái)自組織外部的攻擊〕和誤用〔源于內(nèi)部組織的攻擊〕跡象的信息，并識(shí)別這些行為和活動(dòng)，在某些情況下，它可以自動(dòng)地對(duì)檢測(cè)到的活動(dòng)進(jìn)行響應(yīng)，報(bào)告檢測(cè)過(guò)程的結(jié)果，從而幫助計(jì)算機(jī)系統(tǒng)對(duì)付攻擊。IDS也可以包括一個(gè)所謂的“蜜罐〞〔Honeypot〕，人為留下一些明顯的平安漏洞，以引誘攻擊者對(duì)這些漏洞進(jìn)行入侵，從而為研究入侵行為提供信息。9.1.4入侵檢測(cè)系統(tǒng)的作用版權(quán)所有，盜版必糾入侵檢測(cè)系統(tǒng)的主要功能是：監(jiān)視用戶和系統(tǒng)的活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作。審計(jì)系統(tǒng)配置的正確性和平安漏洞，并提示管理員修補(bǔ)漏洞。對(duì)用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律。檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。能夠?qū)崟r(shí)地對(duì)檢測(cè)到的入侵行為進(jìn)行反響。操作系統(tǒng)的審計(jì)跟蹤管理。9.1.4入侵檢測(cè)系統(tǒng)的作用版權(quán)所有，盜版必糾對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)而言，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)〔包括程序、文件和硬件設(shè)備等〕的任何變更，還能為網(wǎng)絡(luò)平安策略的制定提供指南。更為重要的一點(diǎn)是，它應(yīng)該管理、配置簡(jiǎn)單，從而使非專業(yè)人員也能非常容易地利用它對(duì)網(wǎng)絡(luò)實(shí)施平安保護(hù)。入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和平安需求的改變而改變；在發(fā)現(xiàn)入侵后，應(yīng)能及時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。9.1.4入侵檢測(cè)系統(tǒng)的作用版權(quán)所有，盜版必糾入侵檢測(cè)系統(tǒng)可以從不同的角度進(jìn)行分類，目前主要有以下幾種分類方法。1．按照數(shù)據(jù)的來(lái)源按照采集器的數(shù)據(jù)來(lái)源，可分為三種，即基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS和基于路由器的IDS。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾基于主機(jī)的IDS〔Host-basedIntrusionDetectionSystem，HIDS〕：通過(guò)監(jiān)視和分析所在主機(jī)的審計(jì)記錄檢測(cè)入侵。優(yōu)點(diǎn)是可精確判斷入侵事件，并及時(shí)進(jìn)行反響，不受網(wǎng)絡(luò)加密的影響。缺點(diǎn)是會(huì)占用珍貴的主機(jī)資源。另外，能否及時(shí)采集到審計(jì)也是這種系統(tǒng)的弱點(diǎn)之一，因?yàn)槿肭终邥?huì)將主機(jī)審計(jì)子系統(tǒng)作為攻擊目標(biāo)以避開(kāi)IDS。典型的系統(tǒng)主要有：ComputerWatch，Discovery，Haystack，IDES，ISOA，MIDAS以及LosAlamos國(guó)家實(shí)驗(yàn)室開(kāi)發(fā)的異常檢測(cè)系統(tǒng)W&S。9.1.5入侵檢測(cè)的分類基于網(wǎng)絡(luò)的IDS〔Network-basedIntrusionDetectionSystem，NIDS〕：通過(guò)在共享網(wǎng)段上對(duì)主機(jī)之間的通信數(shù)據(jù)進(jìn)行偵聽(tīng)，分析可疑現(xiàn)象。這類系統(tǒng)不需要主機(jī)通過(guò)嚴(yán)格的審計(jì)，主機(jī)資源消耗少，可提供對(duì)網(wǎng)絡(luò)通用的保護(hù)而無(wú)需顧及異構(gòu)主機(jī)的不同架構(gòu)。但它只能監(jiān)視經(jīng)過(guò)本網(wǎng)段的活動(dòng)，且精確度較差，在交換網(wǎng)絡(luò)環(huán)境下難于配置，防欺騙能力也較差。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾基于路由器的入侵檢測(cè)系統(tǒng)〔Router-basedIntrusionDetectionSystem，RIDS〕：通過(guò)對(duì)網(wǎng)關(guān)中相關(guān)信息的提取，提供對(duì)整個(gè)信息根底設(shè)施的保護(hù)，確保大型網(wǎng)絡(luò)計(jì)算機(jī)之間平安、可靠的連接。一般安裝在路由器上，但負(fù)載變化對(duì)網(wǎng)絡(luò)性能的影響很大。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾當(dāng)然，以上三種入侵檢測(cè)系統(tǒng)都具有自己的優(yōu)點(diǎn)和缺乏，可互相作為補(bǔ)充。一般地，一個(gè)完備的入侵檢測(cè)系統(tǒng)一定是基于主機(jī)和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng)。事實(shí)上，現(xiàn)在的商用產(chǎn)品也很少是基于一種入侵檢測(cè)模型、使用一種技術(shù)實(shí)現(xiàn)的，一般都是理論模型與技術(shù)條件間的折衷方案。不同的體系結(jié)構(gòu)、不同的技術(shù)途徑實(shí)現(xiàn)的入侵檢測(cè)系統(tǒng)都有不同的優(yōu)缺點(diǎn)，都只能最適用于某種特定的環(huán)境。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾2．按照分析的方式按照分析器所采用的數(shù)據(jù)分析方式，可分為異常檢測(cè)系統(tǒng)、誤用檢測(cè)系統(tǒng)和混合檢測(cè)系統(tǒng)。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾異常檢測(cè)〔Anomalydetection〕系統(tǒng)： 檢測(cè)與可接受行為之間的偏差。假定所有的入侵行為都與正常行為不同，建立正?；顒?dòng)的簡(jiǎn)檔，當(dāng)主體活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，那么將其視為可疑行為。該技術(shù)的關(guān)鍵是異常閾值和正常特征的選擇。其優(yōu)點(diǎn)是可以發(fā)現(xiàn)新型的入侵行為，缺點(diǎn)是容易產(chǎn)生誤報(bào)。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾誤用檢測(cè)〔Misusedetection〕系統(tǒng)： 檢測(cè)與的不可接受行為之間的匹配程度。假定所有入侵行為和手段〔及其變種〕都能夠表達(dá)為一種模式或特征，系統(tǒng)的目標(biāo)就是檢測(cè)主體活動(dòng)是否符合這些模式，如果符合那么視為可疑行為。該技術(shù)的關(guān)鍵是如何表達(dá)入侵的模式，把真正的入侵行為與正常行為區(qū)分開(kāi)來(lái)，因此入侵模式表達(dá)的好壞直接影響入侵檢測(cè)的能力。其優(yōu)點(diǎn)是誤報(bào)少，缺點(diǎn)是只能發(fā)現(xiàn)攻擊庫(kù)中的攻擊，且其復(fù)雜性將隨著攻擊數(shù)量的增加而增加。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾混合檢測(cè)〔Hybriddetection〕系統(tǒng)：同時(shí)使用以上兩種方法，從而獲得二者的優(yōu)點(diǎn)而防止其缺點(diǎn)。目前，國(guó)際頂尖的入侵檢測(cè)系統(tǒng)還主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾3．按照分析的位置按照分析器進(jìn)行數(shù)據(jù)分析的位置，IDS可分為集中式和分布式。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾集中式的IDS：數(shù)據(jù)的分析在一個(gè)固定的位置上，獨(dú)立于受監(jiān)視主機(jī)。這里不考慮數(shù)據(jù)收集的位置，只考慮數(shù)據(jù)分析的位置。如：IDES〔ArealtimeIntrusionDetectionExpertSystem，一個(gè)實(shí)時(shí)的入侵檢測(cè)專家系統(tǒng)〕，IDIOT〔Anapplicationofpetri-netstointrusiondetection，運(yùn)用了Petri網(wǎng)，由PurdueCOAST開(kāi)發(fā)〕，NADIR〔Anautomatedsystemfordetectingnetworkintrusionandmisuse，檢測(cè)網(wǎng)絡(luò)入侵和誤用的自動(dòng)系統(tǒng)〕，NSM〔NetworkSecurityMonitor，第一個(gè)用網(wǎng)絡(luò)通信作為審計(jì)數(shù)據(jù)來(lái)源的系統(tǒng)〕。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾分布式的IDS：數(shù)據(jù)分析在很多位置進(jìn)行，和被監(jiān)視主機(jī)的數(shù)量成比例。這里只考慮數(shù)據(jù)分析部件的位置和數(shù)量，而不考慮數(shù)據(jù)收集部件。如：DIDS〔DistributedIntrusionDetectionSystem〕，GrIDS〔Graph-basedIntrusionDetectionSystem〕，EMERALD〔EventMonitoringEnablingResponsetoAnomalousLiveDisturbances〕，AAFID〔AutonomousAgentsforIntrusionDetection〕。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾4．其它分類方法根據(jù)響應(yīng)方式，入侵檢測(cè)系統(tǒng)可分為主動(dòng)和被動(dòng)響應(yīng)系統(tǒng)。主動(dòng)響應(yīng)對(duì)發(fā)現(xiàn)的入侵行為主動(dòng)進(jìn)行處理以阻止攻擊，被動(dòng)響應(yīng)僅僅對(duì)發(fā)現(xiàn)的入侵行為進(jìn)行告警和寫(xiě)入日志。根據(jù)系統(tǒng)的工作方式，可分為離線檢測(cè)和在線檢測(cè)。離線檢測(cè)在事后分析審計(jì)事件，從中檢查入侵活動(dòng)，是一種非實(shí)時(shí)工作的系統(tǒng)；在線檢測(cè)包含：對(duì)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包分析、對(duì)實(shí)時(shí)主機(jī)審計(jì)分析，是一種實(shí)時(shí)聯(lián)機(jī)的檢測(cè)系統(tǒng)。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾當(dāng)然，系統(tǒng)攻擊和入侵檢測(cè)是矛與盾的關(guān)系，各種不同機(jī)制的入侵檢測(cè)系統(tǒng)之間并沒(méi)有絕對(duì)的優(yōu)劣之分。在當(dāng)前，由于對(duì)計(jì)算機(jī)系統(tǒng)各局部存在漏洞的情況、人類的攻擊行為、漏洞與攻擊行為之間的關(guān)系都沒(méi)有〔也不可能〕用數(shù)學(xué)語(yǔ)言明確的描述，無(wú)法建立可靠的數(shù)學(xué)描述模型，因而無(wú)法通過(guò)數(shù)學(xué)和其他邏輯方法從理論上證明某一個(gè)入侵檢測(cè)模型的有效性，而只能對(duì)于一個(gè)已經(jīng)建立起來(lái)的原型系統(tǒng)，進(jìn)行攻防比較測(cè)試，通過(guò)實(shí)驗(yàn)的方法在實(shí)踐中檢驗(yàn)系統(tǒng)的有效性。9.1.5入侵檢測(cè)的分類版權(quán)所有，盜版必糾一般說(shuō)來(lái)，入侵檢測(cè)系統(tǒng)主要有集中式、分布式和分層式三種體系結(jié)構(gòu)。9.1.6入侵檢測(cè)的體系結(jié)構(gòu)版權(quán)所有，盜版必糾1．集中式結(jié)構(gòu)入侵檢測(cè)系統(tǒng)開(kāi)展的初期，IDS大都采用單一的體系結(jié)構(gòu)，即所有的工作包括數(shù)據(jù)的采集、分析都是由單一主機(jī)上的單一程序來(lái)完成，如圖9.2〔a〕。目前，一些所謂的分布式入侵檢測(cè)系統(tǒng)只是在數(shù)據(jù)采集上實(shí)現(xiàn)了分布式，數(shù)據(jù)的分析、入侵的發(fā)現(xiàn)和識(shí)別還是由單一程序來(lái)完成，如圖9.2〔b〕。因此，這種入侵檢測(cè)系統(tǒng)實(shí)際上還是集中式的。9.1.6入侵檢測(cè)的體系結(jié)構(gòu)版權(quán)所有，盜版必糾這種結(jié)構(gòu)的優(yōu)點(diǎn)是：數(shù)據(jù)的集中處理可以更加準(zhǔn)確地分析可能的入侵行為。缺點(diǎn)是：〔1〕可擴(kuò)展性差。在單一主機(jī)上處理所有的信息限制了受監(jiān)視網(wǎng)絡(luò)的規(guī)模；分布式的數(shù)據(jù)收集常會(huì)引起網(wǎng)絡(luò)數(shù)據(jù)過(guò)載問(wèn)題。〔2〕難于重新配置和添加新功能。要使新的設(shè)置和功能生效，IDS通常要重新啟動(dòng)?！?〕中央分析器是個(gè)單一失效點(diǎn)。如果中央分析器受到入侵者的破壞，那么整個(gè)網(wǎng)絡(luò)將失去保護(hù)。9.1.6入侵檢測(cè)的體系結(jié)構(gòu)版權(quán)所有，盜版必糾2．分布式結(jié)構(gòu)隨著入侵檢測(cè)產(chǎn)品日益在規(guī)模龐大的企業(yè)中應(yīng)用，分布式技術(shù)也開(kāi)始融入到入侵檢測(cè)產(chǎn)品中來(lái)。這種分布式結(jié)構(gòu)采用多個(gè)代理在網(wǎng)絡(luò)各局部分別進(jìn)行入侵檢測(cè)，并協(xié)同處理可能的入侵行為，其優(yōu)點(diǎn)是：能夠較好地實(shí)現(xiàn)數(shù)據(jù)的監(jiān)聽(tīng)，可以檢測(cè)內(nèi)部和外部的的入侵行為。但是這種技術(shù)不能完全解決集中式入侵檢測(cè)的缺點(diǎn)。因?yàn)楫?dāng)前的網(wǎng)絡(luò)普遍是分層的結(jié)構(gòu)，而純分布式的入侵檢測(cè)要求代理分布在同一個(gè)層次，假設(shè)代理所處的層次太低，那么無(wú)法檢測(cè)針對(duì)網(wǎng)絡(luò)上層的入侵，假設(shè)代理所處的層次太高，那么無(wú)法檢測(cè)針對(duì)網(wǎng)絡(luò)下層的入侵。同時(shí)由于每個(gè)代理都沒(méi)有對(duì)網(wǎng)絡(luò)數(shù)據(jù)的整體認(rèn)識(shí)，所以無(wú)法準(zhǔn)確地判斷跨一定時(shí)間和空間的攻擊，容易受到IP分段等針對(duì)IDS的攻擊。9.1.6入侵檢測(cè)的體系結(jié)構(gòu)版權(quán)所有，盜版必糾3．分層結(jié)構(gòu)由于單個(gè)主機(jī)資源的限制和攻擊信息的分布，在針對(duì)高層次攻擊〔如協(xié)同攻擊〕上，需要多個(gè)檢測(cè)單元進(jìn)行協(xié)同處理，而檢測(cè)單元通常是智能代理。因此，考慮采用分層的結(jié)構(gòu)來(lái)檢測(cè)越來(lái)越復(fù)雜的入侵是比較好的選擇，如圖9.3。9.1.6入侵檢測(cè)的體系結(jié)構(gòu)版權(quán)所有，盜版必糾在樹(shù)形分層體系中，最底層的代理負(fù)責(zé)收集所有的根本信息，然后對(duì)這些信息進(jìn)行簡(jiǎn)單的處理，并完成簡(jiǎn)單的判斷和處理。其特點(diǎn)是所處理的數(shù)據(jù)量大、速度快、效率高，但它只能檢測(cè)某些簡(jiǎn)單的攻擊。中間層代理起承上啟下的作用，一方面可以接受并處理下層節(jié)點(diǎn)處理后的數(shù)據(jù)，另一方面可以進(jìn)行較高層次的關(guān)聯(lián)分析、判斷和結(jié)果輸出，并向高層節(jié)點(diǎn)進(jìn)行報(bào)告。中間節(jié)點(diǎn)的參加減輕了中央控制臺(tái)的負(fù)擔(dān)，增強(qiáng)了系統(tǒng)的伸縮性。9.1.6入侵檢測(cè)的體系結(jié)構(gòu)版權(quán)所有，盜版必糾最高層節(jié)點(diǎn)主要負(fù)責(zé)在整體上對(duì)各級(jí)節(jié)點(diǎn)進(jìn)行管理和協(xié)調(diào)，此外，它還可根據(jù)環(huán)境的要求動(dòng)態(tài)調(diào)整節(jié)點(diǎn)層次關(guān)系圖，實(shí)現(xiàn)系統(tǒng)的動(dòng)態(tài)配置。網(wǎng)絡(luò)中攻擊與防護(hù)的對(duì)抗是一個(gè)長(zhǎng)期復(fù)雜的過(guò)程。從長(zhǎng)遠(yuǎn)的平安角度考慮，一個(gè)好的體系結(jié)構(gòu)將提高整個(gè)平安系統(tǒng)的自適應(yīng)性和進(jìn)化能力。然而，目前由于通用標(biāo)準(zhǔn)的缺乏，入侵檢測(cè)系統(tǒng)內(nèi)部各部件缺乏有效的信息共享和協(xié)同機(jī)制，限制了攻擊的檢測(cè)能力，并且入侵檢測(cè)系統(tǒng)之間也難以交換信息和協(xié)同工作，降低了檢測(cè)效率。9.1.6入侵檢測(cè)的體系結(jié)構(gòu)版權(quán)所有，盜版必糾入侵檢測(cè)方法有多種，按照他們對(duì)數(shù)據(jù)進(jìn)行分析的角度，可將它們分為兩大類，即異常檢測(cè)技術(shù)和誤用檢測(cè)技術(shù)。9.2入侵檢測(cè)技術(shù)版權(quán)所有，盜版必糾異常檢測(cè)〔AnomalyDetection〕，也稱基于行為的檢測(cè)，是指根據(jù)使用者的行為或資源使用情況來(lái)判斷是否發(fā)生了入侵，而不依賴于具體行為是否出現(xiàn)來(lái)檢測(cè)。假設(shè)入侵行為偏離了正常的行為軌跡，就可以被檢測(cè)出來(lái)。例如，系統(tǒng)把用戶早六點(diǎn)到晚八點(diǎn)登錄公司效勞器定義為正常行為，假設(shè)發(fā)現(xiàn)有用戶在晚八點(diǎn)到早六點(diǎn)之間〔如凌晨一點(diǎn)〕登錄公司效勞器，那么把該行為標(biāo)識(shí)為異常行為。異常檢測(cè)試圖用定量方式描述常規(guī)的或可接受的行為，從而區(qū)別非常規(guī)的、潛在的攻擊行為。異常檢測(cè)技術(shù)的原理如圖9.4所示。9.2.1異常檢測(cè)技術(shù)版權(quán)所有，盜版必糾9.2.1異常檢測(cè)技術(shù)版權(quán)所有，盜版必糾該技術(shù)的前提條件是入侵活動(dòng)是異?；顒?dòng)的一個(gè)子集，理想的情況是：異?；顒?dòng)集與入侵活動(dòng)集相等。但事實(shí)上，二者并不總是相等的，有4種可能性：〔1〕是入侵但非異常；〔2〕非入侵但表現(xiàn)異常；〔3〕非入侵且非異常；〔4〕是入侵且異常。9.2.1異常檢測(cè)技術(shù)版權(quán)所有，盜版必糾該技術(shù)主要包括以下幾種方法：1．用戶行為概率統(tǒng)計(jì)模型這種方法是產(chǎn)品化的入侵檢測(cè)系統(tǒng)中常用的方法，它是基于對(duì)用戶歷史行為建模以及在早期的證據(jù)或模型的根底上，審計(jì)系統(tǒng)的被檢測(cè)用戶對(duì)系統(tǒng)的使用情況，然后根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計(jì)模型進(jìn)行檢測(cè)，并將那些與正?；顒?dòng)之間存在較大統(tǒng)計(jì)偏差的活動(dòng)標(biāo)識(shí)為異?；顒?dòng)。它能夠?qū)W習(xí)主體的日常行為，根據(jù)每個(gè)用戶以前的歷史行為，生成每個(gè)用戶的歷史行為記錄庫(kù)，當(dāng)用戶行為與歷史行為習(xí)慣不一致時(shí)，就會(huì)被視為異常。9.2.1異常檢測(cè)技術(shù)版權(quán)所有，盜版必糾在統(tǒng)計(jì)方法中，需要解決以下四個(gè)問(wèn)題：選取有效的統(tǒng)計(jì)數(shù)據(jù)測(cè)量點(diǎn)，生成能夠反映主體特征的會(huì)話向量；根據(jù)主體活動(dòng)產(chǎn)生的審計(jì)記錄，不斷更新當(dāng)前主體活動(dòng)的會(huì)話向量；采用統(tǒng)計(jì)方法分析數(shù)據(jù)，判斷當(dāng)前活動(dòng)是否符合主體的歷史行為特征；隨著時(shí)間變化，學(xué)習(xí)主體的行為特征，更新歷史記錄。9.2.1異常檢測(cè)技術(shù)版權(quán)所有，盜版必糾2．預(yù)測(cè)模式生成它基于如下假設(shè)：審計(jì)事件的序列不是隨機(jī)的，而是符合可識(shí)別的模式的。與純粹的統(tǒng)計(jì)方法相比，它增加了對(duì)事件順序與相互關(guān)系的分析，從而能檢測(cè)出統(tǒng)計(jì)方法所不能檢測(cè)的異常事件。這一方法首先根據(jù)已有的事件集合按時(shí)間順序歸納出一系列規(guī)那么，在歸納過(guò)程中，隨著新事件的參加，它可以不斷改變規(guī)那么集合，最終得到的規(guī)那么能夠準(zhǔn)確地預(yù)測(cè)下一步要發(fā)生的事件。9.2.1異常檢測(cè)技術(shù)版權(quán)所有，盜版必糾3．人工神經(jīng)網(wǎng)絡(luò)通過(guò)訓(xùn)練神經(jīng)網(wǎng)絡(luò)，使之能夠在給定前n個(gè)動(dòng)作或命令的前提下預(yù)測(cè)出用戶下一動(dòng)作或命令。網(wǎng)絡(luò)經(jīng)過(guò)用戶常用的命令集的訓(xùn)練，經(jīng)過(guò)一段時(shí)間后，便可根據(jù)網(wǎng)絡(luò)中已存在的用戶特征文件，來(lái)匹配真實(shí)的命令。任何不匹配的預(yù)測(cè)事件或命令，都將被視為異常行為而被檢測(cè)出來(lái)。該方法的好處是：能夠很好的處理噪音數(shù)據(jù)，并不依賴于對(duì)所處理的數(shù)據(jù)的統(tǒng)計(jì)假設(shè)，不用考慮如何選擇特征向量的問(wèn)題，容易適應(yīng)新的用戶群。缺點(diǎn)是：命令窗口的選擇不當(dāng)容易造成誤報(bào)和漏報(bào)；網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)不易確定；入侵者能夠訓(xùn)練該網(wǎng)絡(luò)來(lái)適應(yīng)入侵。9.2.1異常檢測(cè)技術(shù)版權(quán)所有，盜版必糾誤用檢測(cè)(MisuseDetection)，也稱基于知識(shí)的檢測(cè)，它是指運(yùn)用攻擊方法，根據(jù)已定義好的入侵模式，通過(guò)判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)。它通過(guò)分析入侵過(guò)程的特征、條件、排列以及事件間的關(guān)系來(lái)描述入侵行為的跡象。誤用檢測(cè)技術(shù)首先要定義違背平安策略事件的特征，判別所搜集到的數(shù)據(jù)特征是否在所搜集到的入侵模式庫(kù)中出現(xiàn)。這種方法與大局部殺毒軟件采用的特征碼匹配原理類似。其原理如圖9.5所示。9.2.2誤用檢測(cè)技術(shù)版權(quán)所有，盜版必糾9.2.2誤用檢測(cè)技術(shù)版權(quán)所有，盜版必糾該技術(shù)的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，如果把以往發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來(lái)并建立一個(gè)入侵信息庫(kù)，那么將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫(kù)中的特征信息相比較，如果匹配，那么當(dāng)前行為就被認(rèn)定為入侵行為。9.2.2誤用檢測(cè)技術(shù)版權(quán)所有，盜版必糾該技術(shù)主要包括以下方法：1．專家系統(tǒng)用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征的入侵行為。該技術(shù)根據(jù)平安專家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)那么，然后在此根底上建立相應(yīng)的專家系統(tǒng)，由此專家系統(tǒng)自動(dòng)對(duì)所涉及入侵行為進(jìn)行分析。所謂的規(guī)那么，即是知識(shí)，專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。因此，該方法應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)那么的擴(kuò)充和修正。9.2.2誤用檢測(cè)技術(shù)版權(quán)所有，盜版必糾2．模型推理入侵者在攻擊一個(gè)系統(tǒng)時(shí)往往采用一定的行為序列，如猜測(cè)口令的行為序列，這種行為序列構(gòu)成了具有一定行為特征的模型。該技術(shù)根據(jù)入侵者在進(jìn)行入侵時(shí)所執(zhí)行的某些行為程序的特征，建立一種入侵行為模型，并根據(jù)這種模型所代表的入侵意圖的行為特征，來(lái)判斷用戶執(zhí)行的操作是否屬于入侵行為。該方法也是建立在對(duì)當(dāng)前的入侵行為程序的根底之上的，對(duì)未知的入侵方法所執(zhí)行的行為程序的模型識(shí)別需要進(jìn)一步的學(xué)習(xí)和擴(kuò)展。與專家系統(tǒng)通常放棄處理那些不確定的中間結(jié)論的缺點(diǎn)相比，這一方法的優(yōu)點(diǎn)在于它基于完善的不確定性推理的數(shù)學(xué)理論。9.2.2誤用檢測(cè)技術(shù)版權(quán)所有，盜版必糾3．狀態(tài)轉(zhuǎn)換分析狀態(tài)轉(zhuǎn)換法將入侵過(guò)程看作一個(gè)行為序列，這個(gè)行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。該方法首先針對(duì)每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致?tīng)顟B(tài)轉(zhuǎn)換的條件，即導(dǎo)致系統(tǒng)進(jìn)入被入侵狀態(tài)必須執(zhí)行的操作〔特征事件〕。然后用狀態(tài)轉(zhuǎn)換圖來(lái)表示每一個(gè)狀態(tài)和特征事件。當(dāng)分析審計(jì)事件時(shí)，假設(shè)根據(jù)對(duì)應(yīng)的條件布爾表達(dá)式系統(tǒng)從平安狀態(tài)轉(zhuǎn)移到不平安的狀態(tài)，那么把該事件標(biāo)記為入侵事件。系統(tǒng)通過(guò)對(duì)事件序列進(jìn)行分析來(lái)判斷入侵是否發(fā)生。9.2.2誤用檢測(cè)技術(shù)版權(quán)所有，盜版必糾4．模式匹配該方法將的入侵特征編碼成與審計(jì)記錄相符合的模式，并通過(guò)將新的審計(jì)事件與入侵模式相比較來(lái)判斷是否發(fā)生了入侵。當(dāng)新的審計(jì)事件產(chǎn)生時(shí)，該方法將尋找與它相匹配的入侵模式。如果找到，那么意味著發(fā)生了入侵。9.2.2誤用檢測(cè)技術(shù)版權(quán)所有，盜版必糾近年來(lái)，隨著網(wǎng)絡(luò)及其平安技術(shù)的飛速開(kāi)展，一些新的入侵檢測(cè)技術(shù)相繼出現(xiàn)，其中很多入侵檢測(cè)方法既不是誤用檢測(cè)也不屬于異常檢測(cè)的范圍，而是可以應(yīng)用于以上兩類檢測(cè)，主要包括：9.2.3其它入侵檢測(cè)技術(shù)版權(quán)所有，盜版必糾1．軟計(jì)算方法軟計(jì)算方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。運(yùn)用神經(jīng)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)有助于解決具有非線性特征的攻擊活動(dòng)，而用于入侵檢測(cè)的神經(jīng)網(wǎng)絡(luò)運(yùn)用模糊技術(shù)確定神經(jīng)網(wǎng)絡(luò)的權(quán)重，可加快神經(jīng)網(wǎng)絡(luò)的訓(xùn)練時(shí)間，提高神經(jīng)網(wǎng)絡(luò)的容錯(cuò)和外拓能力。神經(jīng)網(wǎng)絡(luò)方法的運(yùn)用是提高檢測(cè)系統(tǒng)的準(zhǔn)確性和效率的重要手段。近年來(lái)，還有人運(yùn)用遺傳算法、遺傳編程及免疫原理進(jìn)行入侵檢測(cè)。然而，這些方法還不成熟，目前還沒(méi)有出現(xiàn)較為完善的產(chǎn)品。9.2.3其它入侵檢測(cè)技術(shù)版權(quán)所有，盜版必糾2．計(jì)算機(jī)免疫學(xué)這是一個(gè)較新的領(lǐng)域，最初由Forrest等人提出。該項(xiàng)技術(shù)建立網(wǎng)絡(luò)效勞正常操作的行為模型，它首先收集一些參考審計(jì)記錄構(gòu)成一個(gè)參考表，說(shuō)明正確的行為模式，并實(shí)時(shí)檢測(cè)進(jìn)程系統(tǒng)的調(diào)用序列是否符合正常模式。如果參考表足夠詳盡，那么誤報(bào)率將很低。但缺乏的是它不能對(duì)付利用配置錯(cuò)誤進(jìn)行的攻擊，以及攻擊者以合法操作進(jìn)行的非授權(quán)訪問(wèn)等。9.2.3其它入侵檢測(cè)技術(shù)版權(quán)所有，盜版必糾3．?dāng)?shù)據(jù)挖掘首先由Wenke.lee用于入侵檢測(cè)。該技術(shù)可以自動(dòng)地通過(guò)數(shù)據(jù)挖掘程序處理收集到的審計(jì)數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模式，而不需要人工分析和編碼入侵行為，且系統(tǒng)適應(yīng)性好，即相同的算法可用于多種證據(jù)數(shù)據(jù)。其關(guān)鍵在于算法的選取和建立一個(gè)正確的體系結(jié)構(gòu)。據(jù)DARPA評(píng)估，運(yùn)用了這種技術(shù)的IDS在性能上優(yōu)于基于“知識(shí)〞的IDS。9.2.3其它入侵檢測(cè)技術(shù)數(shù)據(jù)挖掘分析方法分類〔Classification〕首先從數(shù)據(jù)中選出已經(jīng)分好類的訓(xùn)練集，在該訓(xùn)練集上運(yùn)用數(shù)據(jù)挖掘分類的技術(shù)，建立分類模型，對(duì)于沒(méi)有分類的數(shù)據(jù)進(jìn)行分類。a.信用卡申請(qǐng)者，分類為低、中、高風(fēng)險(xiǎn)b.故障診斷：中國(guó)寶鋼集團(tuán)與上海天律信息技術(shù)合作，采用數(shù)據(jù)挖掘技術(shù)對(duì)鋼材生產(chǎn)的全流程進(jìn)行質(zhì)量監(jiān)控和分析，構(gòu)建故障地圖，實(shí)時(shí)分析產(chǎn)品出現(xiàn)瑕疵的原因，有效提高了產(chǎn)品的優(yōu)良率。注意：類的個(gè)數(shù)是確定的，預(yù)先定義好的版權(quán)所有，盜版必糾數(shù)據(jù)挖掘分析方法

估計(jì)〔Estimation〕估計(jì)與分類類似，不同之處在于，分類描述的是離散型變量的輸出，而估值處理連續(xù)值的輸出；分類數(shù)據(jù)挖掘的類別是確定數(shù)目的，估值的量是不確定的。a.根據(jù)購(gòu)置模式，估計(jì)一個(gè)家庭的孩子個(gè)數(shù)b.根據(jù)購(gòu)置模式，估計(jì)一個(gè)家庭的收入c.估計(jì)realestate的價(jià)值一般來(lái)說(shuō)，估值可以作為分類的前一步工作。給定一些輸入數(shù)據(jù)，通過(guò)估值，得到未知的連續(xù)變量的值，然后，根據(jù)預(yù)先設(shè)定的閾值，進(jìn)行分類。例如：銀行對(duì)家庭貸款業(yè)務(wù)，運(yùn)用估值，給各個(gè)客戶記分〔Score0~1〕。然后，根據(jù)閾值，將貸款級(jí)別分類。版權(quán)所有，盜版必糾數(shù)據(jù)挖掘分析方法預(yù)測(cè)〔Prediction〕通常，預(yù)測(cè)是通過(guò)分類或估值起作用的，也就是說(shuō)，通過(guò)分類或估值得出模型，該模型用于對(duì)未知變量的預(yù)言。從這種意義上說(shuō)，預(yù)言其實(shí)沒(méi)有必要分為一個(gè)單獨(dú)的類。預(yù)言其目的是對(duì)未來(lái)未知變量的預(yù)測(cè)，這種預(yù)測(cè)是需要時(shí)間來(lái)驗(yàn)證的，即必須經(jīng)過(guò)一定時(shí)間后，才知道預(yù)言準(zhǔn)確性是多少。版權(quán)所有，盜版必糾數(shù)據(jù)挖掘分析方法

相關(guān)性分組或關(guān)聯(lián)規(guī)那么〔Affinitygroupingorassociationrules〕決定哪些事情將一起發(fā)生。例子：a.超市中客戶在購(gòu)置A的同時(shí)，經(jīng)常會(huì)購(gòu)置B，即A=>B(關(guān)聯(lián)規(guī)那么)b.客戶在購(gòu)置A后，隔一段時(shí)間，會(huì)購(gòu)置B〔序列分析〕版權(quán)所有，盜版必糾數(shù)據(jù)挖掘分析方法聚類〔Clustering〕聚類是對(duì)記錄分組，把相似的記錄在一個(gè)聚集里。聚類和分類的區(qū)別是聚集不依賴于預(yù)先定義好的類，不需要訓(xùn)練集。a.一些特定病癥的聚集可能預(yù)示了一個(gè)特定的疾病b.租VCD類型不相似的客戶聚集，可能暗示成員屬于不同的亞文化群版權(quán)所有，盜版必糾數(shù)據(jù)挖掘分析方法描述和可視化〔DescriptionandVisualization〕是對(duì)數(shù)據(jù)挖掘結(jié)果的表示方式。一般只是指數(shù)據(jù)可視化工具，包含報(bào)表工具和商業(yè)智能分析產(chǎn)品〔BI〕的統(tǒng)稱。進(jìn)行數(shù)據(jù)的展現(xiàn)，分析，鉆取，將數(shù)據(jù)挖掘的分析結(jié)果更形象，深刻的展現(xiàn)出來(lái)。版權(quán)所有，盜版必糾版權(quán)所有，盜版必糾4．智能代理代理的特性，如智能性、平臺(tái)無(wú)關(guān)性，分布的靈活性、低網(wǎng)絡(luò)數(shù)據(jù)流量和多代理合作等特性，特別適合作大規(guī)模信息收集和動(dòng)態(tài)處理。在IDS的信息采集和處理中采用代理，既能充分發(fā)揮代理的特長(zhǎng)，又能大大提高入侵檢測(cè)系統(tǒng)的性能和整體功能。近年來(lái)已有這方面的研究，如Purdue大學(xué)的AAFID〔AutonomousAgentsforIntrusionDetection〕，SRIInternational公司的EMERALD，日本IPA〔信息技術(shù)促進(jìn)機(jī)構(gòu)〕的IDA。9.2.3其它入侵檢測(cè)技術(shù)版權(quán)所有，盜版必糾當(dāng)然，以上入侵檢測(cè)技術(shù)單獨(dú)使用并不一定能保證準(zhǔn)確地檢測(cè)出變化多端的入侵行為。在網(wǎng)絡(luò)平安防護(hù)中應(yīng)該充分權(quán)衡各種方法的利弊，綜合運(yùn)用這些方法，這樣才能更為有效地檢測(cè)出入侵者的非法行為。9.2.3其它入侵檢測(cè)技術(shù)版權(quán)所有，盜版必糾標(biāo)準(zhǔn)化的工作對(duì)于一項(xiàng)技術(shù)的開(kāi)展至關(guān)重要。在某一個(gè)技術(shù)領(lǐng)域，如果沒(méi)有相應(yīng)的標(biāo)準(zhǔn)，那么該領(lǐng)域的開(kāi)展將會(huì)是無(wú)序的。令人遺憾的是，盡管IDS經(jīng)歷了20多年的開(kāi)展，近幾年又成為網(wǎng)絡(luò)與信息平安領(lǐng)域的一個(gè)研究熱點(diǎn)，但到目前為止，尚沒(méi)有一個(gè)相關(guān)的國(guó)際標(biāo)準(zhǔn)出現(xiàn)，國(guó)內(nèi)也沒(méi)有IDS方面的標(biāo)準(zhǔn)。因此，IDS的標(biāo)準(zhǔn)化工作應(yīng)引起業(yè)界的廣泛重視。9.3IDS的標(biāo)準(zhǔn)化版權(quán)所有，盜版必糾這幾年，入侵檢測(cè)系統(tǒng)的市場(chǎng)開(kāi)展很快，但是由于缺乏相應(yīng)的通用標(biāo)準(zhǔn)，不同系統(tǒng)之間缺乏互操作性和互用性，大大阻礙了入侵檢測(cè)系統(tǒng)的開(kāi)展。為了解決不同IDS之間的互操作和共存問(wèn)題，1997年3月，美國(guó)國(guó)防部高級(jí)研究方案局〔DARPA〕開(kāi)始著手CIDF〔CommonIntrusionDetectionFramework，公共入侵檢測(cè)框架〕標(biāo)準(zhǔn)的制定，試圖提供一個(gè)允許入侵檢測(cè)、分析和響應(yīng)系統(tǒng)和部件共享分布式協(xié)作攻擊信息的根底結(jié)構(gòu)。該框架的目的主要是：一，IDS構(gòu)件共享，即一個(gè)IDS的構(gòu)件可以被另一個(gè)IDS構(gòu)件所使用；二，數(shù)據(jù)共享，即，通過(guò)提供標(biāo)準(zhǔn)的數(shù)據(jù)格式，使得IDS中的各類數(shù)據(jù)可以在不同系統(tǒng)之間傳遞并共享；三，完善互用性標(biāo)準(zhǔn)并建立一套開(kāi)發(fā)接口和支持工具，以提供獨(dú)立開(kāi)發(fā)局部構(gòu)件的能力。9.3.1IDS標(biāo)準(zhǔn)化進(jìn)展現(xiàn)狀版權(quán)所有，盜版必糾為了有效地開(kāi)發(fā)入侵檢測(cè)系統(tǒng)，IETF的Internet草案工作組〔IntrusionDetectionWorkingGroup，IDWG〕專門負(fù)責(zé)定義入侵檢測(cè)系統(tǒng)組件之間，及不同廠商的入侵檢測(cè)系統(tǒng)之間的通信格式。但目前只有相關(guān)的草案〔draft〕，還未形成正式的RFC文檔。IDWG文檔有：入侵警報(bào)協(xié)議〔IAP〕，該協(xié)議是用于交換入侵警報(bào)信息、運(yùn)行于TCP之上的應(yīng)用層協(xié)議；入侵檢測(cè)交換協(xié)議〔IDXP〕，這個(gè)應(yīng)用層協(xié)議是在入侵檢測(cè)實(shí)體間交換數(shù)據(jù)，提供入侵檢測(cè)報(bào)文交換格式〔IDMEF〕報(bào)文、無(wú)結(jié)構(gòu)的文本，二進(jìn)制數(shù)據(jù)的交換；IDMEF是數(shù)據(jù)存放格式隧道〔TUNNEL〕文件，允許塊可擴(kuò)展交換協(xié)議〔BEEP〕對(duì)等體能作為一個(gè)應(yīng)用層代理，用戶通過(guò)防火墻得到效勞。IAP是最早設(shè)計(jì)的通信協(xié)議，它將被IDXP替換，IDXP建立在BEEP根底之上，TUNNEL文件配合IDXP使用。9.3.2入侵檢測(cè)工作組 版權(quán)所有，盜版必糾為了解決不同入侵檢測(cè)系統(tǒng)之間的互操作性和共存性，DARPA和加洲大學(xué)Davis分校的平安實(shí)驗(yàn)室在1998年提出了CIDF〔CommonIntrusionDetectionFramework〕標(biāo)準(zhǔn)。其目的是為入侵檢測(cè)系統(tǒng)定義一個(gè)通用的根底框架，使得不同部件〔包括數(shù)據(jù)收集、分析和響應(yīng)〕能夠共享信息。此外，還定義了CISL〔CommonIntrusionSpecificationLanguage〕，用于標(biāo)準(zhǔn)入侵的描述。9.3.3公共入侵檢測(cè)框架 版權(quán)所有，盜版必糾CIDF〔公共入侵檢測(cè)框架〕闡述的是一個(gè)入侵檢測(cè)系統(tǒng)〔IDS〕的通用模型。按功能，它把一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件，如圖9.6所示。事件產(chǎn)生器〔Eventgenerators〕：從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他局部提供此事件。事件分析器〔Eventanalyzers〕：分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元〔Responseunits〕：對(duì)分析結(jié)果做出反響的功能單元，它可以做出切斷連接、改變文件屬性等強(qiáng)烈反響，也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)〔Eventdatabases〕：是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。9.3.3公共入侵檢測(cè)框架 版權(quán)所有，盜版必糾9.3.3公共入侵檢測(cè)框架 版權(quán)所有，盜版必糾CIDF將IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件，事件可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。在這個(gè)模型中，前三者以程序的形式出現(xiàn)，而最后一個(gè)那么往往是文件或數(shù)據(jù)流的形式。以上四類組件以GIDOs(GeneralizedIntrusionDetectionObjects，通用入侵檢測(cè)對(duì)象)的形式交換數(shù)據(jù)，而GIODs通過(guò)一種用CISL〔CommonIntrusionSpecificationLanguage，通用入侵標(biāo)準(zhǔn)語(yǔ)言〕定義的標(biāo)準(zhǔn)通用格式來(lái)表示。9.3.3公共入侵檢測(cè)框架 版權(quán)所有，盜版必糾入侵檢測(cè)技術(shù)開(kāi)展至今還不夠成熟和完善，還有很大的研究、開(kāi)展空間，而現(xiàn)存的問(wèn)題就是今后入侵檢測(cè)技術(shù)的主要研究方向。9.4入侵檢測(cè)的開(kāi)展版權(quán)所有，盜版必糾誤警率高入侵檢測(cè)系統(tǒng)可能出現(xiàn)的錯(cuò)誤類型有3種：誤警〔falsepositive〕、漏報(bào)〔falsenegative〕、和顛覆〔subversion〕。誤警是指入侵檢測(cè)系統(tǒng)將一個(gè)合法的行為判斷為一個(gè)異?；蛉肭中袨?；漏報(bào)是指當(dāng)一個(gè)真正的入侵活動(dòng)出現(xiàn)時(shí)，IDS把它當(dāng)成一個(gè)合法的活動(dòng)允許它通過(guò)；顛覆是指入侵者修改入侵檢測(cè)器的操作致使出現(xiàn)漏報(bào)的情況。誤警太多會(huì)降低入侵檢測(cè)的效率，而且會(huì)增加平安管理員的負(fù)擔(dān)，因?yàn)槠桨补芾韱T必須調(diào)查每一個(gè)被報(bào)警的事件。消除誤警可能會(huì)產(chǎn)生漏報(bào)，因?yàn)橥獗砩峡雌饋?lái)是誤警的幾個(gè)異常行為，綜合起來(lái)可能就是一個(gè)真正的入侵行為。漏報(bào)會(huì)給人造成平安的錯(cuò)覺(jué)。9.4.1入侵檢測(cè)系統(tǒng)存在的問(wèn)題版權(quán)所有，盜版必糾檢測(cè)速度慢 目前大多數(shù)IDS產(chǎn)品的檢測(cè)速度比較慢，不能檢測(cè)高于10Mb/s以太網(wǎng)的速度。因此，為了適應(yīng)不斷快速增長(zhǎng)的網(wǎng)絡(luò)速度，應(yīng)用于網(wǎng)絡(luò)入侵實(shí)時(shí)檢測(cè)上的算法必須足夠快，至少應(yīng)能匹配目前一般的網(wǎng)絡(luò)速度，從而提高檢測(cè)率、降低漏報(bào)率。9.4.1入侵檢測(cè)系統(tǒng)存在的問(wèn)題版權(quán)所有，盜版必糾擴(kuò)充性

從實(shí)用的角度看，檢測(cè)算法應(yīng)當(dāng)易于擴(kuò)充，使得新的攻擊方法出現(xiàn)時(shí)，能夠方便迅速地更新檢測(cè)手段，從而檢測(cè)到新的或未知形式的攻擊。目前，入侵檢測(cè)系統(tǒng)在檢測(cè)算法的擴(kuò)充性上還有待研究。9.4.1入侵檢測(cè)系統(tǒng)存在的問(wèn)題版權(quán)所有，盜版必糾隨著網(wǎng)絡(luò)技術(shù)的飛速開(kāi)展，入侵技術(shù)也在日新月異地開(kāi)展。交換技術(shù)的開(kāi)展以及通過(guò)加密信道的數(shù)據(jù)通信使通過(guò)共享網(wǎng)段偵聽(tīng)的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得缺乏，而巨大的通信量對(duì)數(shù)據(jù)分析也提出了新的要求?？偟膩?lái)看，入侵檢測(cè)技術(shù)的開(kāi)展方向主要有以下幾個(gè)：〔1〕分布式通用入侵檢測(cè)架構(gòu)：傳統(tǒng)的IDS局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)檢測(cè)明顯缺乏，并且不同的IDS系統(tǒng)之間不能協(xié)同工作。因此，有必要開(kāi)展分布式通用入侵檢測(cè)架構(gòu)?！?〕應(yīng)用層入侵檢測(cè)：許多入侵檢測(cè)的語(yǔ)義只有在應(yīng)用層才能理解，而目前的IDS僅能檢