网络入侵检测系统的研究和发展(5)

网络入侵检测系统的研究和发展

2.入侵检测系统的分类

对于目前已有入侵检测的分类有多种方法，比较通用的方法有两种：一种就是根据检测所基于的原则

不同，将入侵检测系统划分为异常检测IDS，误用检测IDS和分布式的IDS；另外一种是根据数据采集点的不同，将IDS分为基于主机的IDS和基于网络的IDS 。

2.1根据检测方法的不同分类

2.1.1异常检测IDS

异常检测，也称为基于行为的入侵检测，以系统、网络、用户或进程的正常行为建立轮廓模型(即正常

行为模式)，将与之偏离较大的行为解释成入侵。该方法基于如下的假设：入侵会引起用户或系统行为的异常。

异常检测方法具有检测系统中未知攻击的能力，由于新攻击方法总是不断出现，因此异常检测技术一直较受重视，产生了大量的异常检测技术。下面对其中的主要技术进行介绍和分析。

1. 统计分析

统计分析方法是异常检测的主要方法之一。该方法依据系统中特征变量的历史数据建立统计模型，并

运用该模型对特征变量未来的取值进行预测和检测偏离。系统中的特征变量有用户登录失败次数、CPU和I/O利用率、文件访问数及访问出错率、网络连接数、击键频率、事件间的时间间隔等。

(a)均值与标准偏差模型以单个特征变量为检测对象，假定特征变量满足正态分布，根据该特征变量的

历史数据统计出分布参数(均值、标准偏差)，并依此设定信任区间。在检测过程中，若特征变量的取值超出信任区间，则认为发生异常。

(b)多元模型以多个特征变量为检测对象，分析多个特征变量间的相关性，是均值与标准偏差模型的扩

展，不仅能检测到单个特征变量值的偏离，还能检测到特征变量间关系的偏离。

(c) Markov过程模型将每种类型的事件定义为系统的一个状态，用状态转换矩阵来表示状态的变化，

若对应于所发生事件的状态转移概率较小，则该事件可能为异常事件。

(d) 时间序列模型。将事件计数与资源消耗根据时间排列成序列，如果某一新事件在相应时间发生的

概率较低，则该事件可能为入侵。

以统计分析方法形成系统或用户的行为轮廓，实现简单，且在度量选择较好时(即系统或用户行为的变

化会在相应的度量上产生显著的变化)能够可靠检测出入侵。该方法的缺点为：以系统或用户一段时间内的行为特征为检测对象，检测的时效性差，在检测到入侵时入侵可能已造成损害；度量的阈值难以确定；忽略了事件间的时序关系。

2. 基于数据挖掘的检测方法

数据挖掘是一种利用分析工具在大量数据中提取隐含在其中且潜在有用的信息和知识的过程。入侵检

测过程也是利用所采集的大量数据信息，如主机系统日志、审计记录和网络数据包等，对其进行分析以发现入侵或异常的过程。因此，可利用数据挖掘技术，从大量数据中提取尽可能多的隐藏的安全信息，抽象