入侵检测技术及模型分析.pdfVIP

维普资讯 第 7卷第 5期 西安联合大学学报 Vo1．7 No．5 2004年 10月 JournalofXi’anUnitedUniversity Oct．2004 文章编号：1008—777X(2004)05—0079—06 入侵检测技术及模型分析 汪成龙，贺亚茹，董笑予，赵幼利 (西安工程科技学院机 电学院，陕西 西安 710048) 摘 要：从入侵与检测问的冲突矛盾人手 ，归纳出影响系统安全防护的关键因素．基于入侵检测技 术 的发展 ，纵观各类系统侵入模式的演化 ，综合资源配置、运行指令、活动序列及特征参数建立通用有效 的逻辑检测模型．以特征扫描为基础 ，通过引入先进的动态识别算法，逐层分散攻击强度 ，并在入侵的征 兆萌芽期及时启动抗冲击策略．结合规范的管理、严格的制度 ，使入侵活动难以组织实施 ，即使发生也能 立即制定应对措施，遏制其发展蔓延 ． 关键词 ：参数提取；活动序列 ；分布检测 ；诱骗陷阱 中图分类号 ：TP393．08 文献标识码 ：A 自从JohnAnderson首次提出基于审计机制的信息安全概念至今，入侵检测技术一直在迅速更新发 展．虽然已开发出许多著名的商业产品，但均难 以提供完备的网络防护功能．随着社会信息化程度的提 高 ，信息及网络已成为社会发展赖 以生存的基础．而入侵则意味着经济、政治或军事机密的泄漏、丢失甚 至破坏．例如红色代码蠕虫病毒在 14h内感染了约 36万台主机．IDa能通过检测安全漏洞、识别入侵 行为并启动对抗措施为网络资源及服务提供防护屏障．在入侵与检测的对抗中诞生了大量全新的技术、 工具和方法，使网络活动逐渐透明可视．目前无需复杂的程序设计和协议分析，借助集成工具既能实施 系统防御又可进行网络入侵．如同人类无法彻底消灭疾病，网络入侵也难 以完全杜绝 ，但有必要对其工 作机理作深入研究． 入侵检测模型的建立 ． 入侵的核心是非法使用网络资源．一般 由脚本代码或程序控制资源访 问，用户间的差别必然影响所 需资源的控制能力及访 问范围，身份识别成为分配映射资源的关键．若映射关系及验证系统设计严密 ， 缺乏身份支持时网络资源封闭隐藏 (流程见图 1)．围绕合法身份的取得 ，入侵技术被逐渐发展完善．又 因入侵实施过程存在一定异常表现，提取并识别异常成为检测入侵的基础．已研究内容包括特征命令序 列、系统状态迁移、进程调用序列、文件完整性校验、基于审计 日志的活动序列及综合特征匹配 (分析如 图2)． 关系映射 1．映射访 问 目录及极限 2．启动链接控制脚本 3．设置程序可用功能 4．维护权 限的一致性 图1 网络资源访问处理模型 收稿 日期 ：2003—11—05 作者简介：汪成龙 (1964一 )，男，四川巴中人，西安工程科技学院机电学院副教授 维普资讯 西安联合大学学报 第7卷 一 般系统处于并发状态且用户访问具有随机性，必然需用概率统计描述部分异常．为提高识别精 度，异常参数由单特征值发展为时间活动序列或瞬时状态向量 ，甚至使用融合时间和状态空间的特征矩 阵．其核心是筛选提取特征参数并构建高效、完备的识别库 (典型算法如表 1)． 文件完整性检测 应用 进程 调用检测 防止入侵驻留和系统修改 ：=服务 ——1／，调用 -^1／ 1．建立系统正常调用模式库 漏洞扫描 程序 序列 2