入侵檢測(cè)技術(shù)簡(jiǎn)單匯總

1、入侵檢測(cè)技術(shù)注意：本文只是對(duì)入侵檢測(cè)技術(shù)的粗略的匯總，可供平時(shí)了解與學(xué)習(xí)，不能作為科研 使用！入侵檢測(cè)分析系統(tǒng)可以采用兩種類型的檢測(cè)技術(shù)：異常檢測(cè)(Anomaly Detection)和誤 用檢測(cè)(Misuse Detection).異常檢測(cè)異常檢測(cè)也被稱為基于行為的檢測(cè)，基于行為的檢測(cè)指根據(jù)使用者的行為或資源使用狀 況來(lái)判斷是否入侵。基于行為的檢測(cè)與系統(tǒng)相對(duì)無(wú)關(guān)，通用性較強(qiáng)。它甚至有可能檢測(cè)出以 前未出現(xiàn)過(guò)的攻擊方法，不像基于知識(shí)的檢測(cè)那樣受已知脆弱性的限制。但因?yàn)椴豢赡軐?duì)整 個(gè)系統(tǒng)內(nèi)的所有用戶行為進(jìn)行全面的描述，況且每個(gè)用戶的行為是經(jīng)常改變的，所以它的主 要缺陷在于誤檢率很高。尤其在用戶數(shù)

2、目眾多，或工作目的經(jīng)常改變的環(huán)境中。其次由于統(tǒng) 計(jì)簡(jiǎn)表要不斷更新，入侵者如果知道某系統(tǒng)在檢測(cè)器的監(jiān)視之下，他們能慢慢地訓(xùn)練檢測(cè)系 統(tǒng)，以至于最初認(rèn)為是異常的行為，經(jīng)一段時(shí)間訓(xùn)練后也認(rèn)為是正常的了。異常檢測(cè)主要方法：(1)統(tǒng)計(jì)分析概率統(tǒng)計(jì)方法是基于行為的入侵檢測(cè)中應(yīng)用最早也是最多的一種方法。首先，檢測(cè)器根 據(jù)用戶對(duì)象的動(dòng)作為每個(gè)用戶都建立一個(gè)用戶特征表，通過(guò)比較當(dāng)前特征與已存儲(chǔ)定型的以 前特征，從而判斷是否是異常行為。用戶特征表需要根據(jù)審計(jì)記錄情況不斷地加以更新。用于描述特征的變量類型有： 操作密度：度量操作執(zhí)行的速率，常用于檢測(cè)通過(guò)長(zhǎng)時(shí)間平均覺察不到的異常行為；審計(jì)記錄分布：度量在最新紀(jì)錄中所

3、有操作類型的分布； 范疇尺度：度量在一定動(dòng)作范疇內(nèi)特定操作的分布情況； 數(shù)值尺度：度量那些產(chǎn)生數(shù)值結(jié)果的操作，如CPU使用量，I/O使用量等。統(tǒng)計(jì)分析通過(guò)在一段時(shí)間內(nèi)收集與合法用戶行為相關(guān)的數(shù)據(jù)來(lái)定義正常的域值 (Threshold ),如果當(dāng)前的行為偏離了正常行為的域值，那么就是有入侵的產(chǎn)生。對(duì)于用 戶所生成的每一個(gè)審計(jì)記錄，系統(tǒng)經(jīng)計(jì)算生成一個(gè)單獨(dú)的檢測(cè)統(tǒng)計(jì)值管，用來(lái)綜合表明最 近用戶行為的異常程度較大的T?值將指示有異常行為的發(fā)生，而接近于零的T?值則指示 正常的行為。統(tǒng)計(jì)值T?本身是一個(gè)對(duì)多個(gè)測(cè)量值異常度的綜合評(píng)價(jià)指標(biāo)。假設(shè)有n個(gè)測(cè)量 值表示為 Si , ( K=i<=n ),則

4、T2 =aiS+a2s2,+anS;，其中 at (l<=i<=n )表示第 i 個(gè) 測(cè)量值的權(quán)重。其優(yōu)點(diǎn)是能應(yīng)用成熟的概率統(tǒng)計(jì)理論，檢測(cè)率較高，因?yàn)樗梢允褂貌煌愋偷膶徲?jì)數(shù) 據(jù)，但也有一些不足之處，如：統(tǒng)計(jì)檢測(cè)對(duì)事件發(fā)生的次序不敏感，也就是說(shuō)，完全依靠統(tǒng) 計(jì)理論可能漏檢那些利用彼此關(guān)聯(lián)事件的入侵行為。其次，定義是否入侵的判斷闕值也比 較困難。闕值太低則漏檢率提高，闕值太高則誤檢率提高。并且可檢測(cè)到的入侵類型也受到 限制。(2)基于人工免疫的異常檢測(cè)將被檢測(cè)網(wǎng)絡(luò)中正?；顒?dòng)視為自我，異?；顒?dòng)視為異己，其目的就是區(qū)分正?；虍惓５?網(wǎng)絡(luò)活動(dòng)。人工免疫模型的工作流程分為三個(gè)階段，即生成規(guī)

5、則基因庫(kù)、篩選檢測(cè)規(guī)則集和復(fù)制高 效檢測(cè)規(guī)則集。該入侵模型可以分成兩個(gè)檢測(cè)層次，一個(gè)是系統(tǒng)級(jí)檢測(cè)層次；一個(gè)是網(wǎng)絡(luò)級(jí) 檢測(cè)層次。在系統(tǒng)級(jí)檢測(cè)層中主要監(jiān)控主機(jī)的各種操作行為。用戶的刪除、修改、格式化等 操作都要接受該層的分析和識(shí)別；而網(wǎng)絡(luò)級(jí)檢測(cè)層主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的監(jiān)控，包 括了網(wǎng)絡(luò)數(shù)據(jù)包的識(shí)別和檢測(cè)，地址的過(guò)謔等等。人工免疫系統(tǒng)歸根結(jié)底是進(jìn)行“自我”和“非我”的識(shí)別。而在該入侵檢測(cè)模型中， 把與所需檢測(cè)的機(jī)器相連的網(wǎng)絡(luò)間正常的TCP/IP連接集合和該機(jī)器系統(tǒng)內(nèi)合法的操作行 為定義為“自我”，采用可以描述TCP/IP連接的特征信息來(lái)表示，例如：源IP地址，目 的IP地址，服務(wù)端VI ,協(xié)議

6、類型，包的數(shù)量、字節(jié)數(shù)、特定錯(cuò)誤和在短時(shí)間內(nèi)網(wǎng)絡(luò)的 特定服務(wù)，以及描述系統(tǒng)合法操作的集合等。而把反常的TCP/IP連接集合和非法的系統(tǒng)操 作集合定義為“非”我。而這些特征信息在具體表現(xiàn)形式上，都可以通過(guò)某種規(guī)則映射為 唯一表征該信息長(zhǎng)度為1的二進(jìn)制字符串。該方法成功地將人工免疫理論應(yīng)用到入侵檢測(cè)中，但目前還只處于研究階段.(3)機(jī)器學(xué)習(xí)該方法通過(guò)對(duì)新序列(如離散數(shù)據(jù)流和無(wú)序的記錄)的相似度的計(jì)算，將原始數(shù)據(jù)轉(zhuǎn) 化為可度量的空間，然后應(yīng)用IBL (Instance Based Learning)學(xué)習(xí)技術(shù)和一種新的基 于序列的分類方法，發(fā)現(xiàn)異常事件，從而檢測(cè)入侵行為這種方法檢測(cè)速率高，且誤報(bào)率較低

7、. 然而，這種方法對(duì)于用戶動(dòng)態(tài)行為變化以及單獨(dú)異常檢測(cè)還有待改善.(5)基于隱馬爾可夫模型(HMM)的入侵檢測(cè)方法一個(gè)系統(tǒng)調(diào)用，既可以是完全正常的，也可以是危險(xiǎn)的。比如：被緩沖區(qū)溢出攻擊的程 序，它所產(chǎn)生的系統(tǒng)調(diào)用事件和在正常情況下產(chǎn)生的有著明顯的不同。因此，可以通過(guò)構(gòu)建 正常情況下系統(tǒng)調(diào)用事件模型，然后觀察是否與此模型有明顯的偏離，以此來(lái)有效地檢測(cè)入 侵的產(chǎn)生。隱馬爾可夫模型是對(duì)觀察到的符號(hào)序列構(gòu)造模型的一種非常好的工具，它在構(gòu)造 系統(tǒng)調(diào)用事件模型上有著比其它方法更好的性能，但它在構(gòu)造正常行為模型時(shí)需要較長(zhǎng)的時(shí) 間解決辦法是提高計(jì)算機(jī)系統(tǒng)的性能，或者減少觀察的數(shù)據(jù)誤用檢測(cè)誤用檢測(cè)也被稱為基于

8、知識(shí)的檢測(cè)，它指運(yùn)用己知攻擊方法，根據(jù)己定義好的入侵模式, 通過(guò)判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)。因?yàn)楹艽笠徊糠值娜肭质抢昧讼到y(tǒng)的脆弱性，通 過(guò)分析入侵過(guò)程的特征、條件、排列以及事件間關(guān)系能具體描述入侵行為的跡象。這種方法 由于依據(jù)具體特征庫(kù)進(jìn)行判斷，所以檢測(cè)準(zhǔn)確度很高，并且因?yàn)闄z測(cè)結(jié)果有明確的參照，也 為系統(tǒng)管理員做出相應(yīng)措施提供了方便。主要缺陷在于與具體系統(tǒng)依賴性太強(qiáng)，不但系統(tǒng)移 植性不好，維護(hù)工作量大，而且將具體入侵手段抽象成知識(shí)也很困難。并且檢測(cè)范圍受已知 知識(shí)的局限，尤其是難以檢測(cè)出內(nèi)部人員的入侵行為，如合法用戶的泄漏，因?yàn)檫@些入侵行 為并沒有利用系統(tǒng)脆弱性。誤用檢測(cè)方法有以下幾種：

9、（1） 模式匹配模式匹配就是將收集到的信息與己知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而 發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單，如通過(guò)字符串匹配發(fā)現(xiàn)一個(gè)簡(jiǎn)單的條目或指 令，也可以很復(fù)雜，如利用形式化的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化。模式匹配方法的一 大優(yōu)點(diǎn)是只需收集與入侵相關(guān)的數(shù)據(jù)集合，可以顯著減少系統(tǒng)負(fù)擔(dān)，檢測(cè)的準(zhǔn)確率和效率比 較高。模式匹配主要是用一定的模式描述來(lái)提取攻擊的主要特征.其基本任務(wù)就是把存放在入 侵檢測(cè)規(guī)則集中的已知入侵模式與系統(tǒng)正在檢測(cè)的網(wǎng)絡(luò)包或者重構(gòu)的TCP流中的文本進(jìn)行 匹配，如果匹配成功，則可以斷定發(fā)生了入侵。這個(gè)過(guò)程是不斷循環(huán)進(jìn)行的。它具有較高的 檢測(cè)率和較低

10、的誤警率，其檢測(cè)規(guī)則必須不斷地更新。模式匹配將入侵行為表示成一個(gè)事件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計(jì) 記錄中找到的數(shù)據(jù)樣板，而不進(jìn)行規(guī)則轉(zhuǎn)換，這樣可以直接在審計(jì)記錄中尋找相匹配的已知 入侵模式。缺點(diǎn)：必須及時(shí)更新知識(shí)庫(kù)兼容性較差建立和維護(hù)知識(shí)庫(kù)的工作量都相當(dāng)大（2） 專家系統(tǒng)專家系統(tǒng)是基于知識(shí)的檢測(cè)中運(yùn)用最多的一種方法。將有關(guān)入侵的知識(shí)轉(zhuǎn)化成 if-then結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if部分，將發(fā)現(xiàn)入侵后采取的相 應(yīng)措施轉(zhuǎn)化成then部分。當(dāng)其中某個(gè)或某部分條件滿足時(shí)，系統(tǒng)就判斷為入侵行為發(fā)生。 其中的if-then結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫(kù)，狀態(tài)行為及其語(yǔ)義環(huán)境

11、可根據(jù)審計(jì)事 件得到，推理機(jī)根據(jù)規(guī)則和行為完成判斷工作。在具體實(shí)現(xiàn)中，專家系統(tǒng)主要面臨以下問題:全面性問題，即難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知識(shí)；效率問題，即所需處理的數(shù)據(jù)量過(guò)大，而且在大型系統(tǒng)上，如何獲得實(shí)時(shí)連續(xù)的審 計(jì)數(shù)據(jù)也是個(gè)問題。用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)經(jīng)常是針對(duì)有特征的入侵行為.它將有關(guān)入侵的知識(shí)轉(zhuǎn)化為 結(jié)構(gòu)，部分為入侵特征，部分為系統(tǒng)防范措施所謂的規(guī)則，即是知識(shí)。專家系統(tǒng)的建立依賴 于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性專家系統(tǒng)的難點(diǎn) 就在于實(shí)現(xiàn)專家系統(tǒng)知識(shí)庫(kù)的完備性（3） 模型推理模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關(guān)攻擊

12、者行為的知識(shí)被 描述為：攻擊者目的，攻擊者達(dá)到此目的的可能行為步驟，以及對(duì)系統(tǒng)的特殊使用等。根據(jù) 這些知識(shí)建立攻擊腳本庫(kù)，每一腳本都由一系列攻擊行為組成。檢測(cè)時(shí)先將這些攻擊腳本的 子集看作系統(tǒng)正面臨的攻擊。然后通過(guò)一個(gè)稱為預(yù)測(cè)器的程序模塊根據(jù)當(dāng)前行為模式，產(chǎn)生 下一個(gè)需要驗(yàn)證的攻擊腳本子集，并將它傳給決策器。決策器收到信息后，根據(jù)這些假設(shè)的 攻擊行為在市計(jì)記錄中的可能出現(xiàn)方式，將它們翻譯成與特定系統(tǒng)匹配的審計(jì)記錄格式。然 后在審計(jì)記錄中尋找相應(yīng)信息來(lái)確認(rèn)或否認(rèn)這些攻擊。初始攻擊腳本子集的假設(shè)應(yīng)滿足：易 于在審計(jì)記錄中識(shí)別，并且出現(xiàn)頻率很高。隨著一些腳本被確認(rèn)的次數(shù)增多，另一些腳本被 確認(rèn)的次數(shù)

13、減少，攻擊腳本不斷地得到更新。（4） 基于規(guī)則庫(kù)的方法基于規(guī)則庫(kù)的安全審計(jì)方法就是將已知的攻擊行為進(jìn)行特征提取，把這些特征用腳本語(yǔ) 言等方法進(jìn)行描述后放入規(guī)則庫(kù)中，當(dāng)進(jìn)行安全審記時(shí)，將收集到的網(wǎng)絡(luò)數(shù)據(jù)與這些規(guī)則進(jìn) 行某種比較和匹配操作（關(guān)鍵字、正則表達(dá)式、模糊近似度等），從而發(fā)現(xiàn)可能的網(wǎng)絡(luò)攻擊行 為。這種方法和某些防火墻和防病毒軟件的技術(shù)思路類似，檢測(cè)的準(zhǔn)確率都相當(dāng)高，可以通 過(guò)最簡(jiǎn)單的匹配方法過(guò)濾掉大量的網(wǎng)絡(luò)數(shù)據(jù)信息，對(duì)于使用特定黑客工具進(jìn)行的網(wǎng)絡(luò)攻擊特 別有效。比如發(fā)現(xiàn)目的端口為139以及含有00B標(biāo)志的數(shù)據(jù)包，一般肯定是粒nnuke攻擊數(shù) 據(jù)包。而且規(guī)則庫(kù)可以從互連網(wǎng)上下載和升級(jí)（如CE

14、RT）等站點(diǎn)都可以提供了各種最新攻擊 數(shù)據(jù)庫(kù)），使得系統(tǒng)的可擴(kuò)充性非常好。（5）狀態(tài)轉(zhuǎn)換分析狀態(tài)轉(zhuǎn)換分析就是將狀態(tài)轉(zhuǎn)換圖應(yīng)用于入侵行為的分析。狀態(tài)轉(zhuǎn)換法將入侵過(guò)程看作一 個(gè)行為序列，這個(gè)行為序列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)入被入侵狀態(tài)。分析時(shí)首先針對(duì)每一種入 侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn) 入被入侵狀杰必須執(zhí)行的操作（特征事件）。然后用狀態(tài)轉(zhuǎn)換圖來(lái)表示每一個(gè)狀態(tài)和特征事 件，這些事件被集成于模型中，所以檢測(cè)時(shí)不需要一個(gè)個(gè)地查找審計(jì)記錄。但是，狀態(tài)轉(zhuǎn)換 是針對(duì)事件序列分析，所以不善于分析過(guò)分復(fù)雜的事件，而且不能檢測(cè)與系統(tǒng)狀態(tài)無(wú)關(guān)的人 侵。狀態(tài)轉(zhuǎn)換分析：它將

15、入侵檢測(cè)表示成一系列被監(jiān)控的系統(tǒng)狀態(tài)遷移，攻擊模式的狀態(tài)對(duì) 應(yīng)于系統(tǒng)狀態(tài)，并具有遷移到另外狀態(tài)的條件判斷。通過(guò)弧將連續(xù)的狀態(tài)連接起來(lái)以表示狀 態(tài)改變所需的事件，允許事件類型被植入到模型并且無(wú)需同審計(jì)記錄一一對(duì)應(yīng)。(6) 按鍵監(jiān)視(鍵盤監(jiān)控)假設(shè)每種網(wǎng)絡(luò)入侵行為都具有特定的擊鍵序列模式，入侵檢測(cè)系統(tǒng)監(jiān)視各個(gè)用戶的擊鍵 模式，并將該模式與已有的入侵擊鍵模式相匹配，如果匹配成功就認(rèn)為是網(wǎng)絡(luò)入侵行為。缺點(diǎn)：不能對(duì)擊鍵進(jìn)行語(yǔ)義分析，容易遭受欺騙；缺少可靠的方法來(lái)捕獲用戶的擊鍵行為；無(wú)法檢測(cè)利用程序進(jìn)行自動(dòng)攻擊的行為?；旌蠙z測(cè)方法：(說(shuō)明：雖然此標(biāo)題是混合檢測(cè)方法，但其下列舉的方法不一定是混合，因?yàn)橘Y料不

16、足 無(wú)法分類所以全放在此類下)I使用單一的方法進(jìn)行入侵檢測(cè)受到一定的局限，要么不能檢測(cè)未知入侵，要么檢測(cè)率不 高，達(dá)不到有效檢測(cè)的目標(biāo)因此，使用多種檢測(cè)方法來(lái)檢測(cè)入侵受到研究人員的關(guān)注，目 前已提出多種混合檢測(cè)方法(1)神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)是一種算法，通過(guò)學(xué)習(xí)已有的輸入/輸出信息對(duì)，抽象出其內(nèi)在的關(guān)系，然后 通過(guò)歸納得到新的輸入/輸出對(duì)。在IDS中，系統(tǒng)把用戶當(dāng)前輸入的命令和用戶已經(jīng)執(zhí)行的W個(gè)命令傳遞給神經(jīng)網(wǎng)絡(luò)，如 果神經(jīng)網(wǎng)絡(luò)通過(guò)預(yù)測(cè)得到的命令與該用戶隨后輸入的命令不一致，則在某種程度上表明用戶 的行為與其輪廓框架產(chǎn)生了偏離，即說(shuō)明用戶行為異常。神經(jīng)網(wǎng)絡(luò)的引入對(duì)入侵檢測(cè)系統(tǒng)的研究開辟了新的途徑，由

17、于它有很多優(yōu)點(diǎn)，如自適應(yīng) 性，自學(xué)習(xí)的能力，因此，在基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)中，只要提供系統(tǒng)的審計(jì)數(shù)據(jù)， 它就可以通過(guò)自學(xué)習(xí)從中提取正常的用戶或系統(tǒng)活動(dòng)的特征模式，而不必對(duì)大量的數(shù)據(jù)進(jìn)行 存取，精簡(jiǎn)了系統(tǒng)的設(shè)計(jì)?；谏窠?jīng)網(wǎng)絡(luò)的檢測(cè)方法具有普遍性，可以對(duì)多個(gè)用戶采用相同 的檢測(cè)措施。神經(jīng)網(wǎng)絡(luò)適用于不精確模型，統(tǒng)計(jì)方法主要依賴用戶行為的主觀設(shè)計(jì)，所以此 時(shí)描述的精確度很重要，不然會(huì)引起大量的誤報(bào)。入侵檢測(cè)系統(tǒng)可以利用神經(jīng)網(wǎng)絡(luò)的分類 和識(shí)別能力，適用于用戶行為的動(dòng)態(tài)變化特征。但基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)計(jì)算量大, 將影響其實(shí)時(shí)性，可以采用和其他的技術(shù)相結(jié)合，來(lái)構(gòu)造入侵檢測(cè)系統(tǒng)。神經(jīng)網(wǎng)絡(luò)模仿生物神經(jīng)

18、系統(tǒng)，通過(guò)接收外部輸入的刺激，不斷獲得并積累知識(shí)，進(jìn)而具 有一定的判斷預(yù)測(cè)能力。這種方法通過(guò)對(duì)一個(gè)特定用戶先前命令序列的分析推測(cè)出下面要執(zhí) 行的命令。它包括三個(gè)階段：一是在一定的時(shí)期從每一個(gè)用戶的審計(jì)日志中來(lái)收集訓(xùn)練數(shù)據(jù)， 這樣，就會(huì)形成一個(gè)向量，以表明每個(gè)用戶多長(zhǎng)時(shí)間執(zhí)行一條命令；二是在命令分布向量的 基礎(chǔ)上訓(xùn)練神經(jīng)網(wǎng)絡(luò)以標(biāo)識(shí)用戶；三是在運(yùn)行過(guò)程中，使用神經(jīng)網(wǎng)絡(luò)識(shí)別新一天的向量，如 果網(wǎng)絡(luò)表示和實(shí)際用戶有很大的不同或沒有一個(gè)明確的建議，就表示有異常行為發(fā)生。基于神經(jīng)網(wǎng)絡(luò)的異常入侵檢測(cè)系統(tǒng)具有學(xué)習(xí)的能力，它可以緊密地模仿用戶的行為并且 根據(jù)最近的變化進(jìn)行調(diào)整它的另外一個(gè)特性就是允許模糊數(shù)據(jù)或噪

19、音數(shù)據(jù)此外，與統(tǒng)計(jì)理 論相比，神經(jīng)網(wǎng)絡(luò)更好地表達(dá)了變量之間的非線性關(guān)系其缺點(diǎn)是需要的計(jì)算負(fù)載較重，并 且很難解釋輸入和輸出之間的關(guān)系(2)數(shù)據(jù)挖掘用數(shù)據(jù)挖掘程序處理搜集到的審計(jì)數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模 式，這是一個(gè)自動(dòng)的過(guò)程，不需要人工分析和編碼入侵模式。(將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)中,利用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析、序列模式分析等算法 提取與安全相關(guān)的系統(tǒng)特征屬性，對(duì)數(shù)據(jù)進(jìn)行分析,可以自動(dòng)地從大量數(shù)據(jù)中發(fā)現(xiàn)新的模式, 消除入侵檢測(cè)系統(tǒng)開發(fā)過(guò)程中的手工編碼入侵模式和正常行為輪廓，提高入侵檢測(cè)系統(tǒng)開發(fā) 過(guò)程中的有效性、適應(yīng)性、擴(kuò)展性和伸縮性。數(shù)據(jù)挖掘是針對(duì)特定應(yīng)用的數(shù)據(jù)分析處理

20、過(guò)程。根據(jù)挖掘目標(biāo)的不同，數(shù)據(jù)挖掘分為五 種類型，分別是關(guān)聯(lián)分析、數(shù)據(jù)總結(jié)、數(shù)據(jù)分類、聚類分析和序列模式分析。數(shù)據(jù)挖掘 技術(shù)的優(yōu)點(diǎn)是可適應(yīng)處理大量數(shù)據(jù)的情況，因?yàn)榫W(wǎng)絡(luò)或用戶行為模式的形成和入侵檢測(cè)規(guī) 則集的建立都是通過(guò)對(duì)審計(jì)數(shù)據(jù)和數(shù)據(jù)流的分析和學(xué)習(xí)完成的，因而減少了入侵檢測(cè)建模的 手工和經(jīng)驗(yàn)成分。但是，該方法的技術(shù)難點(diǎn)在于如何根據(jù)具體應(yīng)用的要求，從關(guān)于安全的先 驗(yàn)知識(shí)出發(fā)，提取出可以有效地反映系統(tǒng)特性的特征屬性，應(yīng)用合適的算法進(jìn)行數(shù)據(jù)挖掘； 同時(shí)如何將挖掘結(jié)果自動(dòng)地應(yīng)用到實(shí)際的入侵檢測(cè)系統(tǒng)中還存在問題。數(shù)據(jù)挖掘與入侵檢測(cè)相關(guān)的算法類別主要包括下列3種類型：分類算法將特定的數(shù)據(jù)項(xiàng)歸入預(yù)先定義好的

21、某個(gè)類別。常用的分類算法:RIPPER、Nearest Neighbor 等。關(guān)聯(lián)分析算法用于確定數(shù)據(jù)記錄中各個(gè)字段之間的聯(lián)系。常用的算法：Apriori算法、AprioriTid 算法等。序列分析算法發(fā)掘數(shù)據(jù)集中存在的序列模式，即不同數(shù)據(jù)記錄間的相關(guān)性。常用的算法： ArpioriAll 算法、DynamicSome 算法和 Apr iori Some 算法等。(3)數(shù)據(jù)融合目前，數(shù)據(jù)融合是針對(duì)一個(gè)系統(tǒng)中使用多個(gè)或多類傳感器這一特定問題展開的一種新的 數(shù)據(jù)處理方法，因此數(shù)據(jù)融合又稱多傳感器信息融合或信息融合。多傳感器系統(tǒng)是數(shù)據(jù)融合 的硬件基礎(chǔ)，多源信息是數(shù)據(jù)融合的加工對(duì)象，協(xié)調(diào)優(yōu)化和綜合處理

22、是數(shù)據(jù)融合的核心。數(shù)據(jù) 融合系統(tǒng)主要有局部式和全局式兩種形式。局部式也稱自備式，這種數(shù)據(jù)融合系統(tǒng)收集來(lái)自 單個(gè)平臺(tái)的多個(gè)傳感器的數(shù)據(jù)，也可用于檢測(cè)對(duì)象相對(duì)單一的智能檢測(cè)系統(tǒng)中；全局式也稱 區(qū)域式，這種數(shù)據(jù)融合系統(tǒng)組合和相關(guān)來(lái)自空間和時(shí)間上各不相同的多平臺(tái)、多傳感器的數(shù) 據(jù)，多傳感器數(shù)據(jù)融合在解決探測(cè)、跟蹤和識(shí)別等問題方面，具有以下特點(diǎn)：生存能力強(qiáng),擴(kuò)展了空間、時(shí)間覆蓋范圍，提高了可信度，降低了信息的模糊度，改進(jìn)了 探測(cè)性能，提高了空間分辨力，改善了系統(tǒng)可靠性?；跀?shù)據(jù)融合的入侵檢測(cè)系統(tǒng)提供的信息是有關(guān)當(dāng)前態(tài)勢(shì)的，由于使用的數(shù)據(jù)是來(lái)自多 個(gè)傳感器，并采用了智能攻擊分析，從而減少了誤報(bào)的數(shù)量,因此

23、基于數(shù)據(jù)融合的入侵檢測(cè) 系統(tǒng)提供的信息質(zhì)量非常高。要建立基于數(shù)據(jù)融合的IDS,需采用支持多層抽象的框架。 Bass列出了 IDS數(shù)據(jù)融合模型的5層功能。第0層：過(guò)濾原始數(shù)據(jù)；第1層：對(duì)數(shù)據(jù)進(jìn)行 聯(lián)合和關(guān)聯(lián)，把對(duì)象的上下文放在對(duì)象庫(kù)中；第2層：根據(jù)對(duì)象的協(xié)同行為、依賴性、同樣 的起源、兩樣的目標(biāo)、相關(guān)攻擊率等高層屬性,針對(duì)對(duì)象聚合集進(jìn)行檢測(cè)；第3層：對(duì)當(dāng) 前態(tài)勢(shì)進(jìn)行評(píng)估，對(duì)將來(lái)的威脅進(jìn)行預(yù)測(cè)；第4層：為了簡(jiǎn)化檢測(cè)，對(duì)整個(gè)過(guò)程進(jìn)行精簡(jiǎn)。(5)生物免疫生物免疫系統(tǒng)是為了保護(hù)個(gè)體(自己)不受故意生物(異己)的侵害，而入侵檢 測(cè)則為保護(hù)一臺(tái)或一組計(jì)算機(jī)不受入侵，故生物免疫系統(tǒng)原理。算法和體系結(jié)構(gòu)可用于入侵 檢測(cè)?；诿庖邔W(xué)的入侵檢測(cè)系