11第十一章 入侵檢測(cè)的發(fā)展趨勢(shì)

入侵檢測(cè)的發(fā)展趨勢(shì)1入侵檢測(cè)的發(fā)展趨勢(shì)

入侵檢測(cè)的發(fā)展趨勢(shì)2第11章入侵檢測(cè)的發(fā)展趨勢(shì)入侵檢測(cè)的發(fā)展趨勢(shì)

入侵檢測(cè)技術(shù)現(xiàn)狀分析基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)基于數(shù)據(jù)融合的入侵檢測(cè)技術(shù)基于計(jì)算機(jī)免疫學(xué)的入侵檢測(cè)技術(shù)分布式入侵檢測(cè)技術(shù)IPS技術(shù)入侵檢測(cè)的前景入侵檢測(cè)的發(fā)展趨勢(shì)3入侵檢測(cè)技術(shù)現(xiàn)狀分析入侵檢測(cè)技術(shù)已經(jīng)成為了網(wǎng)絡(luò)安全技術(shù)的核心技術(shù)之一，目前的入侵檢測(cè)產(chǎn)品大多存在如下一些問(wèn)題。（1）誤報(bào)和漏報(bào)的矛盾。（2）隱私和安全的矛盾。（3）被動(dòng)分析與主動(dòng)發(fā)現(xiàn)的矛盾。（4）海量信息與分析代價(jià)的矛盾。（5）功能性和可管理性的矛盾。（6）單一的產(chǎn)品與復(fù)雜的網(wǎng)絡(luò)應(yīng)用的矛盾。入侵檢測(cè)的發(fā)展趨勢(shì)4入侵檢測(cè)技術(shù)現(xiàn)狀分析除了異常入侵檢測(cè)方法、誤用入侵檢測(cè)方法這些傳統(tǒng)意義上的方法之外，20世紀(jì)90年代以來(lái)，不少研究人員提出了不少新的檢測(cè)算法，這些檢測(cè)算法在不同的方面試圖解決入侵檢測(cè)面臨的問(wèn)題，例如，誤報(bào)、缺乏對(duì)未知攻擊的檢測(cè)能力、缺乏對(duì)變形攻擊的檢測(cè)能力、自適應(yīng)性差等。這些新的檢測(cè)技術(shù)統(tǒng)稱為“入侵檢測(cè)的先進(jìn)技術(shù)”。這些入侵檢測(cè)的先進(jìn)技術(shù)與傳統(tǒng)的入侵檢測(cè)技術(shù)相比，既有聯(lián)系又有區(qū)別。入侵檢測(cè)的發(fā)展趨勢(shì)5基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)神經(jīng)網(wǎng)絡(luò)在概念和處理方法上都很適合入侵檢測(cè)系統(tǒng)的要求，主要表現(xiàn)在（1）神經(jīng)網(wǎng)絡(luò)可以通過(guò)利用大量實(shí)例進(jìn)行訓(xùn)練的方法學(xué)會(huì)知識(shí)，獲得預(yù)測(cè)能力。（2）可以向神經(jīng)網(wǎng)絡(luò)展示新發(fā)現(xiàn)的入侵攻擊實(shí)例，通過(guò)再訓(xùn)練使神經(jīng)網(wǎng)絡(luò)能夠?qū)π碌墓裟Ｊ疆a(chǎn)生反應(yīng)，從而使入侵檢測(cè)系統(tǒng)具有自適應(yīng)的能力。（3）當(dāng)神經(jīng)網(wǎng)絡(luò)學(xué)會(huì)了系統(tǒng)正常工作模式后，能夠?qū)ζx系統(tǒng)正常工作的事件做出反應(yīng)，進(jìn)而可以發(fā)現(xiàn)一些新的攻擊模式。（4）經(jīng)過(guò)訓(xùn)練后的神經(jīng)網(wǎng)絡(luò)將對(duì)模式的匹配和判斷轉(zhuǎn)換為數(shù)值的計(jì)算，從而提高了系統(tǒng)的處理速度，適合于實(shí)時(shí)處理。

入侵檢測(cè)的發(fā)展趨勢(shì)6基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法（1）基于BP神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法（2）基于粗糙集的入侵檢測(cè)方法（3）基于優(yōu)化自組織聚類的入侵檢測(cè)方法（4）基于遺傳算法的入侵檢測(cè)模型（5）基于進(jìn)化的入侵檢測(cè)方法入侵檢測(cè)的發(fā)展趨勢(shì)7基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)在入侵檢測(cè)系統(tǒng)中，數(shù)據(jù)挖掘通常是指從大量的數(shù)據(jù)中自動(dòng)提取出模型的過(guò)程。數(shù)據(jù)挖掘技術(shù)在從大量數(shù)據(jù)中提取特征與規(guī)則方面具有很大的優(yōu)勢(shì)，將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)中，利用數(shù)據(jù)挖掘技術(shù)的歸納能力，利用機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘算法，對(duì)審計(jì)數(shù)據(jù)進(jìn)行分析，可以自動(dòng)地從大量數(shù)據(jù)中發(fā)現(xiàn)新的模式，消除入侵檢測(cè)系統(tǒng)開發(fā)過(guò)程中的手工編碼入侵模式和正常行為輪廓，建立合理的檢測(cè)模型，從而克服目前系統(tǒng)存在的缺陷，建立一個(gè)準(zhǔn)確性高的（低誤報(bào)率和低漏報(bào)率）、易于擴(kuò)展的、適應(yīng)性好、伸縮性好、智能的入侵檢測(cè)系統(tǒng)。入侵檢測(cè)的發(fā)展趨勢(shì)8基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)數(shù)據(jù)挖掘在入侵檢測(cè)過(guò)程中的作用：分析網(wǎng)絡(luò)數(shù)據(jù)和審計(jì)數(shù)據(jù)，從中提取可以區(qū)分正?；顒?dòng)和入侵活動(dòng)的特征。找出能揭示真正攻擊的反常的行為。從已知攻擊和正?；顒?dòng)中歸納出檢測(cè)模型，以便可以檢測(cè)出新的、或未知的攻擊。識(shí)別出長(zhǎng)時(shí)間的、正在進(jìn)行的攻擊活動(dòng)。及時(shí)更新規(guī)則庫(kù)，以反映用戶正常行為的變化和新出現(xiàn)的攻擊類型。將正常的活動(dòng)從報(bào)警數(shù)據(jù)中移出，尋找掩蓋了真正攻擊的異?；顒?dòng)，以便分析人員集中處理真正的攻擊。入侵檢測(cè)的發(fā)展趨勢(shì)9基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)數(shù)據(jù)挖掘在入侵檢測(cè)過(guò)程中的優(yōu)點(diǎn)檢測(cè)效率高檢測(cè)的準(zhǔn)確性高適應(yīng)性強(qiáng)擴(kuò)展性好智能性好，自動(dòng)化程度高入侵檢測(cè)的發(fā)展趨勢(shì)10基于數(shù)據(jù)融合的入侵檢測(cè)技術(shù)在以數(shù)據(jù)為中心的基礎(chǔ)上，我們把IDS看成是一個(gè)數(shù)據(jù)、信息的分析過(guò)程，并引入數(shù)據(jù)融合和數(shù)據(jù)挖掘技術(shù)，使其可以自動(dòng)處理來(lái)自多數(shù)據(jù)源的數(shù)據(jù)信息，并根據(jù)預(yù)定的數(shù)據(jù)挖掘和融合模型來(lái)自動(dòng)生成入侵檢測(cè)規(guī)則和模型。數(shù)據(jù)融合主要是解決入侵檢測(cè)系統(tǒng)前端多數(shù)據(jù)源數(shù)據(jù)的融合問(wèn)題，提高IDS的入侵識(shí)別效能和準(zhǔn)確性。數(shù)據(jù)融合技術(shù)綜合了人工智能、統(tǒng)計(jì)學(xué)和數(shù)字信號(hào)處理等多方面的技術(shù)，其主要功能是對(duì)多數(shù)據(jù)源采集到的事件、行為、狀態(tài)進(jìn)行推演，整合并精細(xì)化數(shù)據(jù)源的數(shù)據(jù)，用于與預(yù)先定義的規(guī)則進(jìn)行匹配分析。入侵檢測(cè)的發(fā)展趨勢(shì)11基于計(jì)算機(jī)免疫學(xué)的入侵檢測(cè)技術(shù)從信息處理的角度來(lái)看，免疫系統(tǒng)是一個(gè)自適應(yīng)、自學(xué)習(xí)、自組織、并行處理和分布協(xié)調(diào)的復(fù)雜系統(tǒng)。借鑒免疫系統(tǒng)中蘊(yùn)涵豐富且有效的信息處理機(jī)制，針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)抵抗入侵的安全問(wèn)題，可以建立相應(yīng)的人工免疫模型和算法，具有十分廣闊的應(yīng)用前景。

入侵檢測(cè)的發(fā)展趨勢(shì)12基于計(jì)算機(jī)免疫學(xué)的入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)與免疫系統(tǒng)具有本質(zhì)的相似性：免疫系統(tǒng)負(fù)責(zé)識(shí)別生物體“自身”和“非自身”的細(xì)胞，清除異常細(xì)胞，入侵檢測(cè)系統(tǒng)則辨別正常和異常行為模式；生物免疫系統(tǒng)對(duì)抗原的初次應(yīng)答類似于入侵檢測(cè)系統(tǒng)異常檢測(cè)，可檢測(cè)出未知的抗原；生物免疫系統(tǒng)第二次應(yīng)答即利用對(duì)抗原的“記憶”引發(fā)的再次應(yīng)答與誤用檢測(cè)相類似。入侵檢測(cè)的發(fā)展趨勢(shì)13分布式入侵檢測(cè)技術(shù)一個(gè)分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通常由多個(gè)模塊組成，這些模塊一般分布在網(wǎng)絡(luò)的不同位置，分別完成數(shù)據(jù)收集、入侵判斷、報(bào)警產(chǎn)生、人機(jī)交互等功能。典型的分布式入侵檢測(cè)系統(tǒng)可以根據(jù)是否配有控制中心模塊分成如下兩種框架。（1）具有控制中心的分布式入侵檢測(cè)系統(tǒng)模型。（2）無(wú)控制中心的入侵檢測(cè)系統(tǒng)模型。入侵檢測(cè)的發(fā)展趨勢(shì)14IPS技術(shù)有學(xué)者建議用戶使用一種全新的防御系統(tǒng)——IPS（IntrusionPreventionSystem，即入侵防御系統(tǒng)）來(lái)代替IDS，這是因?yàn)镮DS存在如下問(wèn)題：（1）由于IDS不能解析加密數(shù)據(jù)流，也就不能檢測(cè)加密流量小的攻擊。（2）隨著網(wǎng)絡(luò)交換頻率的增大，IDS只能監(jiān)視到少量的數(shù)據(jù)流量。（3）受硬件和軟件的限制，IDS只能檢測(cè)惡意攻擊但是卻不能有效阻止它們。（4）誤報(bào)與漏報(bào)現(xiàn)象嚴(yán)重。入侵檢測(cè)的發(fā)展趨勢(shì)15IPS技術(shù)雖然IPS相對(duì)于IDS來(lái)講，有許多明顯的優(yōu)勢(shì)。但是，對(duì)于IPS的定義，還是有許多不同的看法。一種觀點(diǎn)認(rèn)為在線的IDS就是IPS；另一種認(rèn)為IPS應(yīng)該是防火墻加IDS；還有一種就是IPS應(yīng)該是一種全新的入侵防護(hù)模式，能夠完全取代IDS。IPS是一種主動(dòng)的、智能的入侵檢測(cè)、防范、阻止系統(tǒng)，其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。入侵檢測(cè)的發(fā)展趨勢(shì)16IPS技術(shù)IPS系統(tǒng)根據(jù)部署方式可分為3類?；谥鳈C(jī)的入侵防護(hù)系統(tǒng)（HostIPS，HIPS）。基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)（NetworkIPS，NIPS）。應(yīng)用入侵防護(hù)系統(tǒng)（ApplicationIntrusionPrevention，AIP）入侵檢測(cè)的發(fā)展趨勢(shì)17IPS技術(shù)IPS的特征嵌入式運(yùn)行模式完善的安全策略高質(zhì)量的入侵特征庫(kù)高效處理數(shù)據(jù)包的能力強(qiáng)大的響應(yīng)功能入侵檢測(cè)的發(fā)展趨勢(shì)18IPS技術(shù)關(guān)鍵技術(shù)主動(dòng)防御技術(shù)防火墻和IDS互動(dòng)技術(shù)集成多種檢測(cè)方法硬件加速系統(tǒng)強(qiáng)大的響應(yīng)功能入侵檢測(cè)的發(fā)展趨勢(shì)19入侵