计算机网络与信息安全：入侵检测技术的发展

2023-10-18 理论教育版权反馈

【摘要】：这是入侵检测历史上的又一力作，入侵检测领域的研究工作由此开始广泛地展开，关于入侵检测的首次专题研讨会也于同年由SRI公司召开。改进后的IDES模型采用了异常入侵检测技术，至此，入侵检测技术两大阵营都登上了历史的舞台，分别是：误用入侵检测技术和异常入侵检测技术。1996年，美国新墨西哥大学的Forrest小组提出了基于计算机免疫学的入侵检测技术。

早在20世纪70年代，James Anderson负责主持了一个由美国军方设立的关于计算机审计机制的研究项目。1980年James Anderson完成了题目为《计算机安全威胁的监控》（Computer Security Threat Monitoring and Surveillance）的技术报告，该报告首次提出了入侵检测的概念，被认为是入侵检测技术领域的开山之作。

1983年出版的《可信计算机评估准则》（即黄皮书），为计算机安全控制提供了一系列有效的评估准则。

1984—1986年，乔治敦大学的Denning和Neumann研究出了一个实时入侵检测系统模型——IDES，如图8-1所示。IDES系统具有如下特点：根据用户的历史行为档案来判断审计记录中的用户行为是否正常；根据设定的周期持续地更新用户行为档案；当异常发生时发出警报。这个模型提供了访问控制所不能发现的入侵检测和安全事件的告警功能。IDES中的专家系统通过基于规则和统计的模型来识别入侵。

pagenumber_ebook=164,pagenumber_book=158

图8-1　IDES模型

1987年，Dorothy Denning以此为基础发表了论文《入侵检测模型》（An Intrusion Detection Model）。这是入侵检测历史上的又一力作，入侵检测领域的研究工作由此开始广泛地展开，关于入侵检测的首次专题研讨会也于同年由SRI公司召开。

1988年，SRI/CSL的Teresa Lunt等人对IDES进行了改进，改进的IDES增加了异常检测功能和专家系统，被用来构造异常行为的模型并且检测基于规则的属性，如图8-2所示。改进后的IDES模型采用了异常入侵检测技术，至此，入侵检测技术两大阵营都登上了历史的舞台，分别是：误用入侵检测技术和异常入侵检测技术。同年，著名的Morris蠕虫事件使人们认识到网络安全的重要性，对网络的入侵检测成为研究的重点。

pagenumber_ebook=164,pagenumber_book=158

图8-2　改进的IDES模型

1989年美国安全系统研究所的Lunt等人重新定义了Denning提出的入侵检测术语并设计和构造了IDES原型系统^[1]。该系统可以检测出在行为上逐步变化的入侵企图，并使误警率最小化。(www.chuimin.cn)

1990年是入侵检测系统发展史上的一个分水岭，加州大学戴维斯分校的Heberlein等人开发了NSM，第一次将网络数据流作为审计数据。NSM能够对异构主机进行监视，而不用将来自不同主机的审计数据转换成统一的格式。NSM标志着基于网络的入侵检测系统（NIDS）的出现。从此，入侵检测系统分为了基于主机的入侵检测系统（HIDS）和基于网络的入侵检测系统两类（NIDS）。

为了综合利用基于主机的入侵检测技术和基于网络的入侵检测技术的优点，在美国军方等多个部门的支持下，1991年，Stephen Smaha在NSM系统和Haystack系统的基础之上，主持设计并开发了分布式入侵检测系统（Distributed Intrusion Detection System，DIDS）。这是将基于主机的入侵检测与基于网络的入侵检测进行融合的第一次努力。

1992年，Ilgun等人提出了状态转移分析的入侵检测技术^[2]，并实现了原型系统USTAT（State Transition Analysis Tool for UNIX）。该系统将攻击表示成一系列被监控的系统状态转移。攻击模式的状态对应于系统状态，并具有迁移到另外状态的触发条件，允许把事件类型植入到模型中。

1996年，基于图形的入侵检测系统（GrIDS）的设计与实现解决了入侵检测系统可量测性的问题。这使得检测大规模的自动和协同攻击更加便利。

在体系架构上，入侵检测系统经历了四个阶段：基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统和自动多代理的入侵检测系统。随着网络的发展，入侵检测系统的规模也变得越来越庞大。

在整个20世纪90年代乃至21世纪初，入侵检测技术的研究从未停止过，人们将各种理论结合进入侵检测系统中，开发出了各具特色的多种入侵检测系统，期望能够获得更高的检测性能。1992年，美国加州大学圣巴巴拉分校的Porras和Ilgun提出了状态转移分析的入侵检测技术并实现了原型系统USTAT。在同一时期，Los Alamos国家实验室的Kathleen Jackson设计开发了基于统计分析的NADIR入侵检测系统，使用专家系统检测异常行为。1994年，SRI公司的Porras开发了IDES的后继版本NIDES。以此为基础，SRI公司开发了用于分布式环境的EMERALD系统。1995年，美国普度大学COAST实验室的Sandeep Kumar以STAT为基础，提出了基于有色Petri网的模式匹配计算模型，并实现了IDIOT原型系统。1996年，美国新墨西哥大学的Forrest小组提出了基于计算机免疫学的入侵检测技术。1997年，Cisco公司将入侵检测系统设计成标准模块，可以安装到路由器中；同年，ISS公司设计并开发了基于Windows平台的RealSecure入侵检测系统，这两个系统的成功研发标志着商用入侵检测系统的成熟。1999年，Los Alamos美国国家实验室的Vern Paxson开发了Bro系统，实现了高速网络环境下的入侵检测。同年，美国哥伦比亚大学的Wenke Lee研究小组在ComputerNetwork上发表了论文《Bro：一种实时的网络入侵者检测系统（Bro：a System for DetectingNetwork Intruders in Real-Time）》，首次提出了基于数据挖掘技术的入侵检测框架。在20世纪90年代的中后期，加州大学的戴维斯分校发布了GRIDS系统，将入侵检测技术的应用扩展到了大规模网络环境中去。2000年，美国普度大学的Diego Zamboni与Eugene Spafford提出了入侵检测的自治代理的概念并实现了原型系统AAFID系统，它是入侵检测技术向着主动式、自适应、分布式的方向发展的重要一步，并立刻被许多人所采纳。

2004年悉尼科技大学的Li等提出了基于移动代理技术的分布入侵检测体系结构MAIDS^[3]，MA-IDS利用移动代理MA（Mobile Agents）技术对来自每个监视主机的信息进行协同处理，然后完成入侵行为的全局信息抽取任务，并设计了原型系统。该系统的主要优点是：①即使一些代理失效系统仍可正常运行；②通过数据收集和协同检测来发现分布式入侵攻击。

2007年Bolzoni等人提出了用于网络入侵检测系统报警确认的体系结构ATLANTIDEs^[4]，目的是降低误警率。该系统采用了基于异常的自动分析技术来分析系统的输出，为相关服务提供了可用的上下文信息。通过把进入网络的流量与输出的异常信息相结合来降低误警率。实验结果表明，误警率可以降低50%～100%。同年德国柏林工业大学的Luther等人提出了用于入侵检测的协同人工免疫系统AIS（Artificial Immune System）架构^[5]，使用生物免疫系统规则和P2P通信技术来设计分布式异常入侵检测系统。应用人工免疫AIS代理可以获得较低的误警率，而使用P2P技术可以有效避免单点失效问题并提高系统的健壮性。

从21世纪初到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。目前，SRI/CSI、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。

计算机网络与信息安全：入侵检测技术的发展

相关推荐