入侵检测系统中的入侵分析技术研究

摘要

入侵检测系统(IDS)是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。近年来，随着商业化IDS产品的不断开发，入侵检测系统也逐渐发展普及。但是，复杂的网络环境和层出不穷的入侵攻击手段，使得当前入侵检测系统普遍存在着较高的误报率和漏报率，实时检测速度和实际要求也有很大的差距。同时，入侵防御系统(IPS)以及入侵管理系统(IMS)等概念的提出也成为IDS技术新的发展趋势，其功能也进一步加强和泛化。作为网络安全防护的重要手段，入侵检测在很多方面，特别是入侵分析技术上有待进一步深入研究。 本文介绍分析了传统入侵分析技术的特点和不足，重点对目前实用的商业化IDS产品中广泛使用的特征分析技术进行了研究，针对处理速度上的瓶颈，比较分析了面向特征分析技术的模式匹配算法，提出了一种新的基于模式树构造的多模式并行匹配算法，算法实现了匹配的并行化且高效简洁，能进一步加快模式匹配的速度，分析表明，新算法有较大的移动步长，有效减少了实际匹配的规模，使时间和资源消耗得到合理调配，提高了特征匹配的速度，从而提高整个入侵检测系统的实时检测性能。此外，智能化方法也被引入入侵分析技术之中，成为下一代IDS发展的关键，本文根据入侵攻击行为的模糊不确定性的特点，结合中医学疾病诊断的原理，提出了一种基于模糊诊断推理的入侵分析模型，该模型旨在提高对各种变形攻击、协同攻击等的识别能力以及减少虚警率。模型以系统的运行状态作为入侵分析的主要依据，并借助ECA规则的主动机制来监测系统运行状态的变化，结合模糊诊断推理方法对系统异常状态(即症状)的进行分析，得出相应的诊断结果。整个入侵分析模型不仅能够有效地发现潜在的入侵攻击行为，而且能够识别出可能的入侵攻击类型，有利于提高IDS对入侵攻击的主动响应及防御能力。