基于混合检测模式的入侵检测模型研究

摘要：本文分析了目前常用的入侵检测技术，并对其性能参数进行了详细的分析，提出了基于混合检测模式的入侵检测模型，该检测模型综合使用异常检测模式和误用检测模式，两种模式的综合使用，弥补各检测模式所存在的不足，基于混合检测模式的使用能够极大的提高入侵检测系统的网络攻击检测率，同时大大的降低了网络攻击检测的误报率，具有较强的实用性。

关键词：入侵检测系统；异常检测模式；误用检测模式；混合检测模式

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2011) 04-0000-02

Intrusion Detection Model Research Based on Mixed Detection Mode

Zhong Rui

(Modern Education Technology Center,Gannan Normal University,Ganzhou341000,China)

Abstract:This paper analyses the frequently-used intrusion detection technology function in details.The author has proposed intrusion detection model based on mixed mode,which combines the abnormal detection mode with misuse detection mode.The integrated use of these two modes makes up for disadvantages of both modes.The intrusion detection model based on mixed mode could extremely improve network attack detection rate of intrusion detection system,in the meanwhile it reduces the network attack false positive rate and has strong practicability.

Keywords:Intrusion Detection System;Abnormal detection mode;Misuse detection mode;Mixed detection mode

一、引言

随着互联网技术的飞速发展，各种互联网的应用层出不穷，给人们的生活带来了极大的便利，由于互联网的开放性和互联性，在给人们带来便利的同时也留下了诸多不安全的隐患，各种病毒和木马在互联网上肆意传播，网络安全问题成为互联网上最为棘手的技术难题。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台（CNVD）的数据，境内被木马控制的主机IP地址数目约为51万个；境内被僵尸网络控制的主机IP地址数目约为1.3万个，环比增长9%；境内被篡改政府网站数量为73个，环比增长7%；新增信息安全漏洞94个，环比增长236%，其中高危漏洞12个。由此可见目前网络安全态势不容乐观，因此入侵检测技术已成为当前解决网络安全问题的重要技术手段，具有重要的研究意义。

二、入侵检测技术分类

目前入侵检测技术的方法有按照检测模式分类，能够分为两类：基于误用的入侵检测系统与基于异常的入侵检测系统，这两种类别的入侵检测系统在攻击检测率、实时性、误报率等方面都具有不同的优势。

（一）基于误用的入侵检测技术

使用数学建模方法对目前现有网络攻击所具有的特征进行抽象，建立网络攻击的特征模型，在进行入侵检测时将当前网络数据包特征与网络攻击特征库中的各种网络攻击进行对比，若与网络攻击特征库中的某一网络攻击特征匹配，则进行报警过滤处理。基于误用的入侵检测技术是对异常网络行为特征进行建模，具有误报率低的特点。由于网络攻击的多样性导致网络攻击特征库不完全，无法检测出未知网络攻击。为了提高基于误用的入侵检测系统的检测率需要不断对其特征库进行更新，以应对网络中不断出现的各种网络攻击。

（二）基于异常的入侵检测技术

当网络处于正常时分析网络数据包所具有的特征，构建正常网络行为特征的数学模型，进行入侵检测时将当前网络数据包特征与正常特征库进行对比检测，若与正常行为特征库的偏离度超出所设定阈值时，则认定当前网络状态存在异常。基于异常的入侵检测技术是对正常的网络行为特征进行建模，因此特征库的体积很小且不用进行更新。基于异常的入侵检测技术具有很高的检测率，同时其误报率也很高。

三、基于混合检测模式的入侵检测模型分析

通过对目前现有入侵检测技术的分析得知，误用检测技术具有高检测率、高漏报率的特点，异常检测技术具有高检测率、高误报率的特点，因此在构建入侵检测系统时，若只使用其中一种检测技术来构建入侵检测系统，都无法实现入侵检测系统的高效性和实时性。为了改善这两种检测模式的不足，通过结合使用两种检测模式，将能弥补两者所存在的不足，在这里本文提出了基于混合模式的入侵检测模型。

基于混合模式的入侵检测模型的系统结构图，如图1所示：

该检测模型的具体工作流程为：

第一步：在进行网络攻击检测前，需要建立正常网络特征库与网络攻击特征库，以上两个特征库将被基于异常的入侵检测技术模块与基于误用入侵检测技术模块调用；

第二步：实施网络攻击检测时，从互联网中将网络数据包采集下来，送入基于异常的入侵检测技术模块，检测当前网络数据包中是否存在异常情况，若当前网络数据包的特征与正常网络特征库的偏离度超出所设定的阈值时，该模块报告异常同时将存在异常的网络数据包送入基于误用的入侵检测技术模块中，以进一步确定导致网络异常的原因；若基于异常的网络入侵检测技术模块报告未发现异常，则放行数据包；

第三步：对出现异常的网络数据包进行误用检测，基于误用的入侵检测技术模块将对出现异常的网络数据包实施拆包检测，将存在异常的网络数据包特征与网络攻击特征库中的特征进行比对，若存在匹配的网络攻击则报告当前网络攻击同时对该网络攻击数据包进行过滤。

第四步：若异常网络数据包的特征与网络攻击特征库中的特征没有匹配项，则需要通过手工分析的方式对当前出现异常的网络数据包进行拆包分析，以确定导致当前网络异常是否由网络攻击导致。如果是网络攻击，需要在网络攻击特征库添加该类型的网络攻击，如果不是网络攻击，放行该类型的网络数据包；

（一）基于误用的入侵检测技术模块实现方法

目前常用于构建基于误用入侵检测系统技术模块的方法有模式匹配、状态转换分析等方法。

模式匹配是最为常用的检测技术，该技术是通过获取网络攻击相关的特征信息，并建立相应的网络攻击特征规则库，其检测策略与防火墙相同，都是将当前网络数据信息与攻击特征规则库中的规则进行对比，若匹配则判定为网络攻击行为，因此这种检测方法的检测准确率很高。使用模式匹配技术进行网络攻击检测时最关键的工作是要不断的更新网络攻击特征规则库，以应付网络中不断出现的新的攻击手段。

状态转移分析方法是将网络攻击行为看成由一系列的状态转移构成，由攻击刚开始时的准备阶段一直到网络攻击完成的介绍阶段，使用数学模型对整个攻击阶段状态的变化进行描述，建立网络攻击的状态转换模型，在进行网络攻击检测时使用该模型对网络攻击行为判定，由于该模型是对状态转移进行建模的，因此基于状态转换分析的入侵检测方法能够在网络攻击刚开始时就能将网络攻击检测出来，具有较好的实时性。

（二）基于异常的入侵检测技术模块实现方法

建立基于异常网络检测模型时常用的方法有模式预测、数据挖掘等方法。模式预测方法是通过对事件发生的顺序以及事件之间的相互关系进行描述，并依据这些描述建立起相应的特征库，在进行网络攻击检测时，能够检测出在进行网络攻击前一些特有网络攻击先兆，目前大部分网络攻击在实施攻击前都需要对目标主机进行踩点和探测，基于模式预测的网络攻击检测方法能够将攻击前踩点和探测检测出，识别出网络攻击的企图，因此该技术具有较好的预测性，实时性好。

数据挖掘技术是通过使用数据挖掘算法对大量系统日志信息、审计日志以及网络数据包等进行分析和信息提出，发掘出其中有用的网络安全的数据信息，建立正常网络行为特征模型，在进行攻击检测时将当前网络数据包特征信息与正常网络行为特征进行对比，若偏离度大于设定的阈值则存在网络攻击行为。

四、总结

本文所构建的基于混合检测模式的入侵检测模型，综合使用了基于异常的入侵检测技术与基于误用的入侵检测技术，两种检测技术的混合使用弥补了各检测技术中所存在的不足，混合检测模式的使用能够极大的提高入侵检测系统的检测率，降低网络攻击检测系统的误报率，对提升入侵检测系统的性能起到了极大的促进作用。

参考文献：

[1]ZHUGE JW,HAN XH,ZHOU YL.Research and development of botnets[J].Journal of Software,2008,19,3

[2]国家互联网应急中心.网络安全信息与动态周报[EB/OL].[2010-9-7]..cn/UserFiles/File/201033weekly.pdf

[3]李剑,曹元大.入侵检测技术[M].北京:高等教育出版社.2008,6

[4]崔锦法,李更生,王伟平.入侵检测系统综述[J].云南大学学报（自然科学版）,2006