11第十一章 入侵检测的发展趋势

入侵检测的发展趋势1入侵检测的发展趋势

入侵检测的发展趋势2第11章入侵检测的发展趋势入侵检测的发展趋势

入侵检测技术现状分析基于神经网络的入侵检测技术基于数据挖掘的入侵检测技术基于数据融合的入侵检测技术基于计算机免疫学的入侵检测技术分布式入侵检测技术IPS技术入侵检测的前景入侵检测的发展趋势3入侵检测技术现状分析入侵检测技术已经成为了网络安全技术的核心技术之一，目前的入侵检测产品大多存在如下一些问题。（1）误报和漏报的矛盾。（2）隐私和安全的矛盾。（3）被动分析与主动发现的矛盾。（4）海量信息与分析代价的矛盾。（5）功能性和可管理性的矛盾。（6）单一的产品与复杂的网络应用的矛盾。入侵检测的发展趋势4入侵检测技术现状分析除了异常入侵检测方法、误用入侵检测方法这些传统意义上的方法之外，20世纪90年代以来，不少研究人员提出了不少新的检测算法，这些检测算法在不同的方面试图解决入侵检测面临的问题，例如，误报、缺乏对未知攻击的检测能力、缺乏对变形攻击的检测能力、自适应性差等。这些新的检测技术统称为“入侵检测的先进技术”。这些入侵检测的先进技术与传统的入侵检测技术相比，既有联系又有区别。入侵检测的发展趋势5基于神经网络的入侵检测技术神经网络在概念和处理方法上都很适合入侵检测系统的要求，主要表现在（1）神经网络可以通过利用大量实例进行训练的方法学会知识，获得预测能力。（2）可以向神经网络展示新发现的入侵攻击实例，通过再训练使神经网络能够对新的攻击模式产生反应，从而使入侵检测系统具有自适应的能力。（3）当神经网络学会了系统正常工作模式后，能够对偏离系统正常工作的事件做出反应，进而可以发现一些新的攻击模式。（4）经过训练后的神经网络将对模式的匹配和判断转换为数值的计算，从而提高了系统的处理速度，适合于实时处理。

入侵检测的发展趋势6基于神经网络的入侵检测技术基于神经网络的入侵检测方法（1）基于BP神经网络的入侵检测方法（2）基于粗糙集的入侵检测方法（3）基于优化自组织聚类的入侵检测方法（4）基于遗传算法的入侵检测模型（5）基于进化的入侵检测方法入侵检测的发展趋势7基于数据挖掘的入侵检测技术在入侵检测系统中，数据挖掘通常是指从大量的数据中自动提取出模型的过程。数据挖掘技术在从大量数据中提取特征与规则方面具有很大的优势，将数据挖掘技术应用于入侵检测中，利用数据挖掘技术的归纳能力，利用机器学习和数据挖掘算法，对审计数据进行分析，可以自动地从大量数据中发现新的模式，消除入侵检测系统开发过程中的手工编码入侵模式和正常行为轮廓，建立合理的检测模型，从而克服目前系统存在的缺陷，建立一个准确性高的（低误报率和低漏报率）、易于扩展的、适应性好、伸缩性好、智能的入侵检测系统。入侵检测的发展趋势8基于数据挖掘的入侵检测技术数据挖掘在入侵检测过程中的作用：分析网络数据和审计数据，从中提取可以区分正常活动和入侵活动的特征。找出能揭示真正攻击的反常的行为。从已知攻击和正常活动中归纳出检测模型，以便可以检测出新的、或未知的攻击。识别出长时间的、正在进行的攻击活动。及时更新规则库，以反映用户正常行为的变化和新出现的攻击类型。将正常的活动从报警数据中移出，寻找掩盖了真正攻击的异常活动，以便分析人员集中处理真正的攻击。入侵检测的发展趋势9基于数据挖掘的入侵检测技术数据挖掘在入侵检测过程中的优点检测效率高检测的准确性高适应性强扩展性好智能性好，自动化程度高入侵检测的发展趋势10基于数据融合的入侵检测技术在以数据为中心的基础上，我们把IDS看成是一个数据、信息的分析过程，并引入数据融合和数据挖掘技术，使其可以自动处理来自多数据源的数据信息，并根据预定的数据挖掘和融合模型来自动生成入侵检测规则和模型。数据融合主要是解决入侵检测系统前端多数据源数据的融合问题，提高IDS的入侵识别效能和准确性。数据融合技术综合了人工智能、统计学和数字信号处理等多方面的技术，其主要功能是对多数据源采集到的事件、行为、状态进行推演，整合并精细化数据源的数据，用于与预先定义的规则进行匹配分析。入侵检测的发展趋势11基于计算机免疫学的入侵检测技术从信息处理的角度来看，免疫系统是一个自适应、自学习、自组织、并行处理和分布协调的复杂系统。借鉴免疫系统中蕴涵丰富且有效的信息处理机制，针对计算机系统和网络抵抗入侵的安全问题，可以建立相应的人工免疫模型和算法，具有十分广阔的应用前景。

入侵检测的发展趋势12基于计算机免疫学的入侵检测技术入侵检测系统与免疫系统具有本质的相似性：免疫系统负责识别生物体“自身”和“非自身”的细胞，清除异常细胞，入侵检测系统则辨别正常和异常行为模式；生物免疫系统对抗原的初次应答类似于入侵检测系统异常检测，可检测出未知的抗原；生物免疫系统第二次应答即利用对抗原的“记忆”引发的再次应答与误用检测相类似。入侵检测的发展趋势13分布式入侵检测技术一个分布式网络入侵检测系统通常由多个模块组成，这些模块一般分布在网络的不同位置，分别完成数据收集、入侵判断、报警产生、人机交互等功能。典型的分布式入侵检测系统可以根据是否配有控制中心模块分成如下两种框架。（1）具有控制中心的分布式入侵检测系统模型。（2）无控制中心的入侵检测系统模型。入侵检测的发展趋势14IPS技术有学者建议用户使用一种全新的防御系统——IPS（IntrusionPreventionSystem，即入侵防御系统）来代替IDS，这是因为IDS存在如下问题：（1）由于IDS不能解析加密数据流，也就不能检测加密流量小的攻击。（2）随着网络交换频率的增大，IDS只能监视到少量的数据流量。（3）受硬件和软件的限制，IDS只能检测恶意攻击但是却不能有效阻止它们。（4）误报与漏报现象严重。入侵检测的发展趋势15IPS技术虽然IPS相对于IDS来讲，有许多明显的优势。但是，对于IPS的定义，还是有许多不同的看法。一种观点认为在线的IDS就是IPS；另一种认为IPS应该是防火墙加IDS；还有一种就是IPS应该是一种全新的入侵防护模式，能够完全取代IDS。IPS是一种主动的、智能的入侵检测、防范、阻止系统，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵检测的发展趋势16IPS技术IPS系统根据部署方式可分为3类。基于主机的入侵防护系统（HostIPS，HIPS）。基于网络的入侵防护系统（NetworkIPS，NIPS）。应用入侵防护系统（ApplicationIntrusionPrevention，AIP）入侵检测的发展趋势17IPS技术IPS的特征嵌入式运行模式完善的安全策略高质量的入侵特征库高效处理数据包的能力强大的响应功能入侵检测的发展趋势18IPS技术关键技术主动防御技术防火墙和IDS互动技术集成多种检测方法硬件加速系统强大的响应功能入侵检测的发展趋势19入侵