入侵检测系统概念

入侵检测是指对入侵的检测。它从计算机网络或计算机系统中的几个关键点收集信息并进行分析，从而发现网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统是用于入侵检测的软件和硬件的结合。

入侵检测技术、评估标准及发展趋势

从技术上来说，入侵检测可以分为两类:一类是基于特征的，另一类是基于异常情况的。对于基于身份的检测技术，我们必须首先定义违反安全策略的事件的特征。并检测和判断这些特征是否出现在采集的数据中。基于异常的检测技术是首先定义一组系统“正常”情况的值，如CPU利用率、内存利用率等。，然后将系统运行时的值与定义的“正常”情况进行比较，找出是否有被攻击的迹象。

目前，IDS的入侵检测技术发展迅速，应用广泛，因此评估IDS的优缺点非常重要。评估IDS的优劣主要包括以下几个方面:

正确性性能完整性故障容错（fault tolerance）自身抵抗攻击能力及时性（Timeliness）

除上述主要方面外，还应考虑以下方面:

DS运行时，额外的计算机资源的开销；误警报率/漏警报率的程度；适应性和扩展性；灵活性；管理的开销；是否便于使用和配置

在完善原有技术的基础上，人们正在研究新的检测方法，其主要发展方向可以概括为:

(1)大规模分布式入侵检测:解决传统入侵检测技术无法适应大规模网络监控，不同入侵检测系统无法协同工作的问题。

(2)宽带高速网络实时入侵检测技术:研究如何在高速网络中进行实时入侵检测。

(3)入侵检测的数据融合技术:探索如何在处理大量数据的情况下，快速应对训练有素的黑客。

(4)与网络安全技术相结合:将防火墙、病毒防护和电子商务技术相结合，为网络安全提供完整的保障。

典型入侵检测系统分析

集中管理-集中分析

DID(分布式入侵检测系统)的初衷是将基于主机的入侵检测系统和基于网络的入侵检测系统结合起来，跟踪用户在网络中的运动和行为。

本系统的数据采集器有两种，一种是采集主机数据，另一种是采集网络数据，所有数据都送到主节点分析仪进行分析处理。这种架构在大规模高速网络条件下会遇到“系统瓶颈”的问题。

把所有数据不加处理地传送到主节点将占用很大的网络带宽；主节点分析器处理能力有限，海量数据处理将使其不堪重负；主节点分析器是一个“单一失效点”，节点间通信安全也没有相应措施加以保障。

集中管理-分布式分析-静态协调型

IDA(入侵检测代理系统)系统框架是分层的，只有两层。传感器检测到MLsI后，会直接将其传送给***nager。它不需要根据内容判断传输目的地。信息收集代理收集的信息也是传递给管理者的，所以还是属于静态协调。IDA最大的特点是采用了移动代理技术，可以自动跟踪入侵者的攻击路线。由于MLsI的定义仅限于某一类事件，所以它只能高效地检测某一类分布式入侵。

集中管理-分布式分析-动态协调

Maids(移动代理入侵检测系统)使用SFT(软件故障树)技术来描述分布式入侵行为。CPN图表示系统的具体设计。架构有很大的灵活性，但还是属于集中式管理。

分散管理-分布式分析-静态协调型

AAF id(入侵检测自治代理)采用分层结构。它的信息主要是按照层级结构传递的，所以属于静态协调。监控者可以有很多，没有集中的管理者进行“任务分配”，所以属于分散管理。

分散管理-分布式分析-动态协调

CSM(Cooperating Security Manager)的设计初衷是为了克服DIDS原有的集中式分析的缺点，采用一套点对点的机制来组织系统。

CSM架构没有集中管理器，属于分散管理；每个CSM独立分析本地数据，所以属于分布式分析；CSM上的协调器会根据用户的登录路径来决定应该和哪个CSM主机交换信息，所以属于动态协调模式。从上面的分析可以看出，“分布分析法”已经成为公认的好方法。集中式分析架构简单，但扩展性和灵活性不够，存在“单点故障”的问题。分布式分析有效减少了数据量，克服了“单点失效”的问题。

代理和多代理系统(MAS)

明斯基在1986年出版的《思考社会》中首次提出了Agent，认为社会中的某些个体可以通过协商得到问题的解，这个个体就是Agent。Agent的基本思想是使软件能够模拟人类的社会行为和认知。智能主体是指在动态多主体领域中采取灵活自主活动的计算机实体，天然具有主体的一般特征。智能代理的特征可以概括如下:

自治性。能够在没有人或其它程序介入时操作和运作。通信能力。能够用通信语言与其它实体交换信息和相互作用。推理和规划能力。能够基于知识系统和外界环境的情况进行推理和规划，解决自身或传递自身领域内的各类问题。协作、合作、协调及协商能力。能够协调和合作解决复杂问题，协商执行某类行动等。同时拥有感知能力和反映性、能动性、持续性、动机性、可移动性、可靠性、诚实性和理智性等。

MAS(multi-agent system)是由多个Agent组成的Agent社会，是一个分布式的自治系统。在表达实际系统时，MAS通过Agent之间的通信、协作、相互求解、调度、管理和控制来表达系统的结构、功能和行为特征。

MAS的原因可总结如下:

实际系统的分布性、复杂性、动态性有望通过对单个个体能力的有效分工、协调、组织而达到系统整体优化的目的。单个Agent研究，以及与人类社会行为研究关的系统科学、决策科学、管理与组织理论、经济学、对策论等是MAS研究的理论基础。

MAS研究中有三种典型的Agent架构[16]。

慎思型（deliberative）体系结构

大多数一般的冥想方法，认知成分基本由两部分组成:计划者和世界模型。这种方法有一个基本假设:可以将认知功能模块化，即不同的认知功能(如感知、学习、规划和行动)可以分别进行学习，然后将它们组装在一起，形成一个自主智能体。从工程的角度来看，功能模块化降低了系统的复杂性。

反应型（reactive）体系结构

Agent不依赖于任何符号表示，根据感知到的输入直接产生动作。Agent只是简单地对外界***做出反应，没有符号世界模型，也没有使用复杂的符号推理。反应结构的部分设计来自于以下假设:主体行为的复杂性可以是主体运行环境复杂性的反映，而不是主体内部复杂设计的反应。

混合型（hybrid）体系结构

混合架构是上述两种架构的结合，可以实现长期目标导向的规划，具有实时性的特点。它是MAS应用中最常用的架构。从代理和MAS系统的上述特点可以看出，MAS系统的分布性、动态性和高效性的特点，使MAS降低系统设计的复杂性，充分利用系统的整体资源，以代理协作的方式完成入侵检测任务成为可能。

网络流量异常检测技术

网络行为认为网络流量行为具有长期和短期特征。网络的长期性特点是网络行为具有一定的规律性和稳定性。对局域网或一些关键主机的流量进行实时监控、预测和分析，有助于确定异常的网络流量，尽早发现和识别潜在入侵攻击的发生。现在有一些基于网络流量的检测技术，包括统计模型法、数据挖掘法、自相似特征法和累积和法。

统计模型方法

统计分析常用于基于异常的入侵检测系统。它使入侵检测系统能够学习代理的日常行为，并将那些与正常和正常活动有较大统计偏差的活动表示为异常活动。统计模型中常用的方法有方差、马尔可夫过程模型和时间序列分析。将主统计模型与流量期望、方差或其他统计参数相结合，然后采用假设检验方法检测攻击行为。这种方法假设历史数据为正态数据，但其缺陷是统计模型的数据能正确反映系统的正态数据，但实际应用情况往往非常复杂。

数据挖掘方法

数据挖掘就是从大量模糊、随机的数据中提取尽可能多的安全信息，抽象出有利于辨别和比较的特征模型。这些特征模型可以是基于常数检测的特征向量模型，也可以是基于异常检测的行为描述模型，然后计算机根据相应的算法判断当前行为的性质。目前，广泛使用的数据挖掘算法包括数据分类、关联规则和序列分析。这种入侵检测方法需要针对不同的网络应用环境训练不合理的特征模型，不能灵活应用。

自相似特征方法

自相似性是指网络负载往往随着时间的扩展呈现出一种自相似的模式。这类方法的研究往往与小波分析联系在一起。目前的应用是根据网络流量中Hurst参数的变化来检测攻击，但是这种方法需要一个正常的流量作为模板，如何表现这样的非攻击流量特征也是一个重要的挑战。

神经网络方法

反向传播(BP)算法是神经网络中常用的方法。对于BP神经网络来说，隐节点的增加可能会导致问题过多，而过拟合会损害网络的学习能力。针对仅用BP神经网络进行网络流量预测的局限性，不断推出各种应用于网络流量预测的改进神经网络模型:将模糊理论与神经网络相结合的模糊神经网络；信号处理中FIR数字滤波器和神经网络相结合的FIR神经网络:引入到神经网络中的时间延迟被返回到神经网络，等等。

累积和方法

累积和方法(CUSUM)是统计过程控制中常用的算法，可以检测统计过程中均值的变化。彭涛等人使用累积和算法来检测基于网络流量异常。与上述流量入侵检测方法相比，该方法更加灵活实用，但CUSUM算法本身存在离群点回归速度慢的缺陷，这一缺陷会给入侵检测系统带来更大的虚警风险。