入侵检测系统发展现状及未来展望荣二虎（中山大学 信息科学与技术学院 广东 广州 510006）The Introduction and Futurity of Intrusion Detection SystemsRONG Er-huSchool of Information Science and Technology, Sun Yat-sen University, Guangzhou Guangdong 510006, ChinaAbstract: With the rapid developing of networking technology, the network security aroused widespread concern. This paper analyzed the Intrusion Detection System and the related technology from the perspective of its basic concept and principle. And furthermore, predicted the futurity of the Intrusion Detection System.Key words: network security; Intrusion Detection System; Artificial Intelligence; real-time detection;0 引言随着信息技术的飞速发展，人类得益于计算机、 互联网带来的巨大效益的同时，也面临着网络安全 问题的严峻考验。由于遭受病毒感染、黑客攻击等 造成的网络系统瘫痪的事件时有发生。近年来，入 侵检测系统作为系统继防火墙后的“第二道防线” ， 成为了很多研究的热点。但是访问未被授权的资源（数据、程序等） ，或者授权者误用其权限。通常来自系统内部。(3) 隐秘用户（Clandestine user） ： 通过某种 方法获得系统的管理权限，并通过该权限躲避访问 控制、审计机制的个体。通常既可能来自系统内部， 也可能来自系统外部。1.3 入侵检测系统入侵检测即是发现入侵行为的过程。入侵检测 系统则是应用入侵检测技术，检测到入侵行为，提 供早期的入侵警报，以便系统管理员能够及时采取 措施防止或减少损害。入侵检测系统不是事先采取预防措施防止入侵 行为，而是希望能够提供有效的检测机制，当入侵 行为发生时，足够快地检测到入侵行为。这样，系 统可以在入侵者危害系统安全或者数据安全之前将 其鉴别并将其驱逐，即使未能检测到入侵者的相关信息，也能及时地将系统的受损程度降低。1 入侵检测的基本概念1.1 入侵入侵的目标在于获得系统的访问权限或者提升 对系统的访问权限级别。大多数入侵都利用系统或 应用软件的漏洞、弱点，获得本应受到保护的信息， 如账户、密码等。1.2 入侵者Anderson 在其研究中 1 将入侵者分成三类 :(1) 假冒用户（masquerade r） ： 未被授权使用 计算机的个体，或攻击系统的访问控制机制获取合 法用户的账户。通常来自系统外部。(2) 违法用户（Misfeaso r） ： 系统的合法用户，2 入侵检测技术入侵检测技术基于的假设是入侵者的行为和授2 0 1 2 . 0 5 摘 要 : 随着网络技术的飞速发展，网络安全引起了人们广泛的关注。从入侵检测的概念、原理入手，对入侵检测系统及相关 技术进行了分析，并在此基础上对入侵检测的发展方向作出了展望。关键词 ： 网络安全 ； 入侵检测 ； 人工智能 ； 实时检测 ；computer s e c u r i t y 学 术 . 技 术 权用户的行为存在可量化的差异，并且有“足够的信心可以假定人们能够区分入侵者和用户”1。 图 1 刻画了入侵者与授权用户的行为曲线。避免地对新的入侵行为存在漏报，并且随着已知入侵方式的增多，规则库会越来越大，匹配任务会越 来越重，对系统性能无疑是一种负担。目前，误用检测主要用到的方法有条件概率检 测法、状态迁移检测法等。2.2 统计异常检测异常检测的前提是入侵者的行为与合法用户存 在差异。通过观察合法用户行为的历史记录，建立 合法用户的行为模式。如果检测到的行为严重违背 建立的行为模式，则该行为被视为入侵行为。主要手段 ：(1) 阈值检测 ： 根据系统独立于用户地记录各种 事件的频率来定义阈值。(2) 基于概要（profile）的检测 ： 建立每个用户 的概要，监测各个账号的行为变化。由于合法用户的行为是被严格定义的，所以大 部分的入侵行为都能够被检测到。这种方法不仅能 够检测到已知的入侵行为，还能检测到未知的入 侵行为。现实中，合法用户的行为与入侵者的行为 存在交叉部分，因此存在相当的误报率。另一方面， 该方法需要对合法用户的行为进行严格的刻画，如 果不能枚举正常使用的所有特征，那么将会产生大 量的误报。从以上分析可以看到，异常检测存在很多技术上的难点和问题。图 1 入侵者与授权用户的行为曲线尽管入侵者的典型行为与授权用户的典型行为不同，但这些行为中存在部分重叠。因此，把入侵 行为解释得过于宽泛，虽然会捕捉到更多的入侵行 为，但也会导致将授权用户行为误报为入侵行为。 另一方面，把入侵行为定义得过于严格，来限制对 入侵行为的肯定判断，将会导致大量的漏报，检测 的效果将变差。这正是入侵检测技术的关键所在。 在实际情况中，往往需要权衡和技巧。入侵检测技术主要分为两大类 ： 基于规则的检 测和统计异常检测 2。2.1 基于规则的检测基于规则的检测也称为特征检测，即定义一系 列的规则形成规则库，这些规则是对已知的入侵行 为的描述。如果检测到的行为匹配到其中的任意一 条规则，则该行为被视为入侵行为。主要手段 ：(1) 异常检测 ： 建立规则来检测与以前的使用模 式的差异。(2) 渗透识别 ： 使用专家系统的方法搜寻可疑行 为。这种基于规则库的检测方法较为简单，只进行 简单的匹配操作，开销小，易于实现。但是特征库 中的特征如何设定成为检测效率是关键。更大的缺点在于仅仅能够检测到目前已知的入侵方式，不可3 入侵检测存在的问题及发展趋势3.1 问题分析(1) 入侵检测仍然存在大量的漏报和误报。 (2) 入侵检测速率明显慢于行为到达速率。 (3) 入侵检测系统自身的安全性。3.2 发展方向入侵检测系统的未来发展应包括以下方面 ：3.2.1 智能化入侵检测2 0 1 2 . 0 5 72computer 学 术 . 技 术 s e c u r i t y 即将人工智能领域的研究成果进行入侵检测。现阶段已经出现了使用遗传算法、神经网络、模糊 匹配等智能技术 4 应用于入侵特征识别，使得入侵 检测系统更为高效。随着人工智能研究的不断深入， 该应用将具有广泛的应用前景。3.2.2 实时化入侵检测实时化入侵检测意味着更快地识别入侵行为。 网络传输速度将越来越快，必须加快入侵检测的速 度以适应这一变化。更为重要的是，越早地识别入 侵行为对系统带来的损失越小，而这一点正是入侵 检测系统所追求的。3.2.3 协同化防御入侵检测系统与入侵防护系统（防火墙等）及 其他种类的网络安全产品的协同工作不仅能够尽早 地发现针对系统的攻击行为，而且各种安全产品的 协同工作会优势互补，使得针对其中的安全产品的 攻击变得无效。战，许多技术尚不成熟，需要进一步地研究。在未来的网络世界里，入侵检测技术必将得到长足的发 展，也必将在网络安全安全领域发挥不可替代的重 要作用。参考文献1 Anderson. Computer Security Threat Monitoring and SurveillanceM. Fort Washington, PA: James Anderson Co., April 1980.2 Porras. A State Transition Analysis Tool for IntrusionDetection D. University of California at Santa Barbara, July1992.3 William Stallings. Operating System: Internals and Principles M. Fifth Edition. Publishing House of Electronics Industry, 2009.4 Gulshan Kumar, Krishan Kumar, Monika Sachdeva. The use of artificial intelligence based techniques for intrusion detection: a review. J. Kluwer Academic Publishers, 2010, 34: 369-387.5 胡波 . I D S 检测方法及其工具研究 . D. 西安电子科 技大学 . 2011.6 关彦君 . I D S 中模糊模式识别方法的研究 . D. 燕山 大学 .2009.7 陶砚蕴，徐萃华，林家骏 . 遗传算法的发展及在入侵 检测中的应用现状 .J. 传感器世界，2007，04:11-17.4 结束语作为一种主动的安全防护技术，入侵检测系统 对于整个系统安全举足轻重。就目前形势来讲，入 侵检测仍然是一个年轻的领域，还面临着诸多的挑作者简介 : 荣二虎 (1990 ) , 男，河南安阳人 , 本科生 ,主要研究领域为信息安全、人工智能等。收稿日期 ： 2012-04-19，2 0 1 2 . 0 5 73飞客公司举办数据恢复技术沙龙随着信息时代的发展，企业数业电脑与服务器的数据安全与维护恢复工作会对数据造成二次破坏 据量逐年增多，数据丢失情况屡见知识得到了解与认知，体验到飞客对后期恢复工作将造成极大的阻 不鲜，如何正确预防数据丢失问题， 公司数据恢复技术的实力与优势。碍。发现故障所在，对症下药才 已成为企业 I T 部门共同探讨的话针对沙龙现场用户集中的问能有效确保数据恢复的成功率。 题。北京飞客瑞康科技发展有限公题，飞客数据恢复专家给出建议，据了解，飞客公司仍会不定期 司（简称“飞客” ）举办的数据恢出现数据丢失问 题，首先应仔组织此类沙龙活动，增进业内人 复技术沙龙，旨在让企业用户对企细检测故障类型，盲目开展数据士对数据恢复技术的了解与认知。