入侵檢測系統(tǒng)中兩種異常檢測方法分析論文

1、. . . . 網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究摘要：隨著互聯(lián)網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)信息量迅速增長，網(wǎng)絡(luò)安全問題日趨突出。入侵檢測作為網(wǎng)絡(luò)安全的重要組成部分，已成為目前研究的熱點(diǎn)，本文介紹了入侵檢測系統(tǒng)的概念、功能、模式與分類，指出了當(dāng)前入侵檢測系統(tǒng)存在的問題并提出了改進(jìn)措施，特別是針對異常入侵檢測方法的研究，著重分析了基于神經(jīng)網(wǎng)絡(luò)的和層次聚類的異常檢測方法，并從理論和試驗(yàn)層次隊(duì)兩種檢測技術(shù)進(jìn)行分析比較，客觀分析了兩種算法的優(yōu)缺點(diǎn)。同時預(yù)測了入侵檢測系統(tǒng)的發(fā)展趨勢。關(guān)鍵詞：入侵檢測；入侵檢測系統(tǒng)；BP神經(jīng)網(wǎng)絡(luò)；層次聚類；網(wǎng)絡(luò)安全。在基于網(wǎng)絡(luò)的計算機(jī)應(yīng)用給人們生活帶來方便的同時，網(wǎng)上黑客的攻擊活動正以每年1

2、0倍的速度增長，因此，保證計算機(jī)系統(tǒng)、網(wǎng)絡(luò)以與整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。防火墻作為一種邊界安全的手段，在網(wǎng)絡(luò)安全保護(hù)中起著重要作用，其主要功能石控制對網(wǎng)絡(luò)的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對屏蔽外部危險站點(diǎn)，以防外對的非法訪問。然而，由于性能的限制，防火墻通常不能提供實(shí)時的入侵檢測能力，為了彌補(bǔ)防火墻存在缺陷，引入了入侵檢測IDS( Intrusion Detection System )技術(shù)。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補(bǔ)充，在不影響網(wǎng)絡(luò)性能的情況下，通過對網(wǎng)絡(luò)的檢測，幫助系統(tǒng)對付網(wǎng)絡(luò)攻

3、擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)），提供對部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。一、 入侵檢測系統(tǒng)的概念入侵檢測定義為識別為被授權(quán)使用的計算機(jī)系統(tǒng)和有合法權(quán)利使用系統(tǒng)但卻濫用特權(quán)的過程。即通過對計算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從而發(fā)現(xiàn)是否有違反安全策略的行為和被入侵的跡象。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IDS）。一個入侵檢測產(chǎn)品通常由兩部分組成，即傳感器與控制臺。傳感器負(fù)責(zé)采集數(shù)據(jù)、分析數(shù)據(jù)并生成安全時間；控制臺主要起到中央管理作用。商品化的產(chǎn)品通常提供圖形界面的控制臺，這些控制臺基本上都支持Windows NT平臺。入

4、侵檢測系統(tǒng)的主要功能有：1、監(jiān)視、分析用戶與系統(tǒng)活動；2、核查系統(tǒng)配置和漏洞；3、識別已知進(jìn)攻并向相關(guān)人員報警；4、統(tǒng)計分析異常行為；5、評估重要系統(tǒng)和數(shù)據(jù)的完整性；6、操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。二、 入侵檢測系統(tǒng)模型美國斯坦福國際研究所（SRI）的D.E.Denning于1986年首次提出一種入侵檢測模型。該模型的檢測方法就是建立用戶正常行為的描述模型，并以此同當(dāng)前用戶活動的審計記錄進(jìn)行比較。如果有較大偏差，則表示有異?；顒影l(fā)生：這是一種基于統(tǒng)計的檢測方法。隨著技術(shù)的發(fā)展，后來人們又提出了基于規(guī)則的檢測方法。通用入侵檢測架構(gòu)（CIDF）組織，試圖將現(xiàn)有的入侵檢測系統(tǒng)標(biāo)準(zhǔn)

5、化，闡述了一個入侵檢測系統(tǒng)分為以下4個組件：事件產(chǎn)生器、事件分析器、相應(yīng)單元和事件數(shù)據(jù)庫，同時將需要分析的數(shù)據(jù)統(tǒng)稱為事件。事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包，也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個計算機(jī)環(huán)境中獲得事件，并向系統(tǒng)其他部分提供此事件；事件分析器分析得到的事件并產(chǎn)生分析結(jié)果；響應(yīng)單元則是隊(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)；事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)地方的通稱，它可以是復(fù)雜的數(shù)據(jù)庫也可以是簡單的文本文件。三、 入侵檢測系統(tǒng)的分類對入侵檢測系統(tǒng)主要從數(shù)據(jù)源、檢測方法、分布形式、響應(yīng)方式等方面分類，其中前兩種為主要的分類方式。（一

6、） 按照數(shù)據(jù)來源分類1、網(wǎng)絡(luò)型網(wǎng)絡(luò)型入侵檢測系統(tǒng)部署在網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)上，優(yōu)點(diǎn)是能夠檢測基于協(xié)議的攻擊，攻擊者不易轉(zhuǎn)移證據(jù)；檢測實(shí)時性強(qiáng)，無需改動網(wǎng)絡(luò)拓?fù)?，對外透明，能降低本身守攻擊的可能性；可在幾個關(guān)鍵點(diǎn)上配置并觀察多個系統(tǒng)。主要缺點(diǎn)是對于加密信道和某些基于加密信道的應(yīng)用層協(xié)議無法實(shí)現(xiàn)數(shù)據(jù)解密，不能起到監(jiān)視作用；無法得到主機(jī)系統(tǒng)的實(shí)時狀態(tài)信息，檢測復(fù)雜攻擊的準(zhǔn)確率低；在實(shí)時檢測中，需對每個數(shù)據(jù)包都進(jìn)行協(xié)議解析和模式匹配，系統(tǒng)開銷大。2、主機(jī)型主機(jī)型入侵檢測系統(tǒng)部署在主機(jī)上，監(jiān)視分析主機(jī)審計記錄以檢測入侵，效率高，能準(zhǔn)確定位入侵并進(jìn)一步分析。有點(diǎn)是不需要額外的硬件，可用于加密以與交換環(huán)境，對網(wǎng)絡(luò)流

7、量不敏感，檢測粒度細(xì)，目標(biāo)明確集中，可監(jiān)測敏感文件、程序或端口。缺點(diǎn)是占用主機(jī)資源，依賴于系統(tǒng)可靠性，可移植性差，只能檢測針對本機(jī)的攻擊，不適合檢測基于網(wǎng)絡(luò)協(xié)議的攻擊，數(shù)據(jù)源主要包括系統(tǒng)審計信息、系統(tǒng)日志信息、核信息、應(yīng)用審計信息、系統(tǒng)目標(biāo)信息。3、混合型混合型入侵檢測結(jié)合了網(wǎng)絡(luò)入侵檢測和主機(jī)入侵檢測二者的優(yōu)點(diǎn)，在關(guān)鍵主機(jī)上采用主機(jī)入侵檢測，在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)上采用網(wǎng)絡(luò)入侵檢測。（二） 按照檢測方法分類1、 異常檢測（Anomaly Detection）異常檢測志根據(jù)用戶行為或者資源狀況正常程度，將當(dāng)前情況和輪廓（Profile）比較以發(fā)現(xiàn)入侵，不依賴具體行為，可發(fā)現(xiàn)未知攻擊。異常檢測認(rèn)為入侵是異

8、常的子集，有統(tǒng)計分析、非參量統(tǒng)計分析、專家系統(tǒng)、量化分析和基于規(guī)則的檢測，但關(guān)鍵在正常模式（Normal Profile）的建立與利用該模式與當(dāng)前狀況比較。異常檢測的主要優(yōu)點(diǎn)：與系統(tǒng)相對無關(guān)，通用性較強(qiáng)；不需要過多系統(tǒng)缺陷的知識，適應(yīng)性強(qiáng)，能檢測位置入侵；不同的描述模式可使用不同的概率統(tǒng)計模型。異常檢測的主要缺點(diǎn)：由于不可能對系統(tǒng)所有用戶行為全面描述，且用戶的行為常改變，所以誤報率高；入侵者通過惡意訓(xùn)練，使檢測系統(tǒng)習(xí)慣攻擊而無法識別。2、 濫用檢測（Misuse Detection）濫用檢測方法定義入侵模式，通過模式是否出現(xiàn)來判斷，也稱基于知識的檢測（Knowledge Based Detec

9、tion）。它依據(jù)具體攻擊特征細(xì)微變化就會使之無能為力，漏報率較高，對系統(tǒng)依賴性高，一致性較差，檢測圍守已知知識局限，難以檢測部入侵，而且將具體入侵手段抽象成知識也很困難，該方法主要有簡單模式匹配、專家系統(tǒng)、狀態(tài)轉(zhuǎn)移法、條件概率、擊鍵監(jiān)控、信息反饋批處理分析等。3、 特征檢測（Specification-Based Detection）特征檢測定義系統(tǒng)輪廓，將系統(tǒng)行為與輪廓比較，不屬于正常行為的事件定義為入侵，該方法常采用某種特征語言定義系統(tǒng)的安全策略，當(dāng)系統(tǒng)特征不能準(zhǔn)確囊括所有的狀態(tài)時就會漏報或誤報。上述檢測方法各有優(yōu)缺點(diǎn)，因此實(shí)際入侵檢測系統(tǒng)可采用多種檢測方法的結(jié)合。入侵檢測系統(tǒng)的結(jié)果方式

10、有單一式、完全分布式、部分分布式。單一結(jié)構(gòu)的數(shù)據(jù)分析處理在單機(jī)上完成，早期多采用這種結(jié)構(gòu)（如IDES等），它等于管理和協(xié)調(diào)，當(dāng)單點(diǎn)失效后果嚴(yán)重。完全分布式結(jié)構(gòu)無中心，分布性和容錯性好，但管理和信息綜合較困難。四、目前，異常檢測已經(jīng)成為當(dāng)前入侵檢測系統(tǒng)研究的熱點(diǎn)之一，本文將著重介紹聚類分析與神經(jīng)網(wǎng)絡(luò)兩種異常檢測技術(shù)，并進(jìn)行分析比較。（一）、兩種異常入侵檢測技術(shù)1、BP神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)BP神經(jīng)網(wǎng)絡(luò)是一種多層前饋網(wǎng)絡(luò)，也是目前應(yīng)用最廣泛的一種網(wǎng)絡(luò)，采用梯度最速下降搜索技術(shù)，按代數(shù)函數(shù)（網(wǎng)絡(luò)實(shí)際輸出的均方誤差）最小的準(zhǔn)則遞歸求解網(wǎng)絡(luò)的權(quán)值和各節(jié)點(diǎn)的閥值。它包含輸入層、隱含層、和輸出層，同層單元之

11、間不相連。由于具有學(xué)習(xí)能力，因此IDS可用其來學(xué)習(xí)用戶的行為，并根據(jù)最新變化進(jìn)行調(diào)整。將BP神經(jīng)網(wǎng)絡(luò)用于如陪你檢測的具體過程包括兩個階段：第一階段是采用代表用戶行為的歷史數(shù)據(jù)進(jìn)行訓(xùn)練；構(gòu)造入侵檢測分析模型，由于已標(biāo)識個數(shù)據(jù)的類型，因此可通過此模型區(qū)分個行為的類型。第二階段是入侵分析的實(shí)際執(zhí)行階段；給定某一閥值對網(wǎng)絡(luò)中采集的數(shù)據(jù)進(jìn)行分析，以判斷屬于正常或異常類型。2、聚類分析的入侵檢測技術(shù)聚類分析又稱群分析，是研究（樣品或指標(biāo)）分類問題的一種多元統(tǒng)計方法，所謂類是指相似元素的集合。而聚類就是按照一定的要求和規(guī)律進(jìn)行區(qū)分和分類的過程，在這一過程中沒有任何關(guān)于類分的先驗(yàn)知識，沒有教師指導(dǎo)，僅靠事物間

12、的相似性作為類屬劃分的準(zhǔn)則，即同一聚類之間最小化，而不同聚類之間數(shù)據(jù)最大化。本文著重介紹一種聚類算法，即層次聚類算法。該算法隊(duì)給定的數(shù)據(jù)集進(jìn)行層次分解，指導(dǎo)某種條件滿足為止。將層次聚類算法用于異常入侵檢測的過程主要有三部分：一是數(shù)據(jù)預(yù)處理部分。主要包括數(shù)據(jù)離散化、歸一化處理，當(dāng)涉與到求解各種數(shù)據(jù)記錄間距離時，由于連接記錄中存在不同的數(shù)據(jù)類型，必須采用合適的異構(gòu)數(shù)據(jù)間的距離度量方法來完成。二是進(jìn)行無監(jiān)督的聚類分析過程。即利用聚類模型對新的檢測樣本進(jìn)行分類。（二）、理論分析1、BP神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測（1）、優(yōu)點(diǎn)第一，BP神經(jīng)網(wǎng)絡(luò)具有非線性處理和概括抽象的能力。對于處理網(wǎng)路環(huán)境中常常出現(xiàn)信息丟失

13、不完整或者變形失真的情況，具有一定的容錯處理能力。第二，BP神經(jīng)網(wǎng)絡(luò)具備高度的學(xué)習(xí)和自適應(yīng)能力。通過對輸入正常樣本和異常樣本的不斷訓(xùn)練，神經(jīng)網(wǎng)絡(luò)不僅能夠以很高的準(zhǔn)確率識別出新的入侵行為特征，而且能夠以一定的概率識別出新的入侵行為特征和已知入侵行為的變種形式。從而可克服基于專家系統(tǒng)檢測技術(shù)的局限性。第三，BP神經(jīng)網(wǎng)絡(luò)的在并行計算和存儲特性。在傳統(tǒng)的計算技術(shù)中，計算和存儲是完全獨(dú)立的兩個部分，即計算機(jī)部件必須從存儲部件中取出指令和待處理數(shù)據(jù)，然后進(jìn)行計算，最后將計算結(jié)果返回存儲器。因此，存儲器和計算器間的傳輸帶寬成為制約計算機(jī)性能的瓶頸。而在神經(jīng)網(wǎng)絡(luò)模型中，信息的存儲和計算是合二為一的，各個神經(jīng)元

14、的工作方式是完全并行的，從輸入到輸出的計算過程實(shí)際上就是權(quán)值的傳遞過程，而在權(quán)值傳遞的過程中，就同時完成了信息的存儲過程。此種并行計算模式所具有的潛在高速計算能力對于入侵檢測來說，可在很短時間，處理更多的檢測規(guī)則或特征值，即在更短時間發(fā)現(xiàn)入侵行為，減少可能的系統(tǒng)損失。（2）、不足第一、不同的神經(jīng)網(wǎng)絡(luò)類型和拓?fù)浣Y(jié)構(gòu)，都存在學(xué)習(xí)能力的限制容量。面對現(xiàn)實(shí)環(huán)境中數(shù)以千計的不同攻擊特征，要做到完整識別，還需要進(jìn)一步的研究。第二、神經(jīng)網(wǎng)絡(luò)具備很強(qiáng)的學(xué)習(xí)能力，能給出判定的類別信息，但是對于具體發(fā)生的事件類型，則缺乏明確的解釋能力。對于入侵檢測，僅判定當(dāng)前事件是否異常往往不夠，通常還需要得到關(guān)于該異常事件具體

15、類型的明確信息。此外，神經(jīng)網(wǎng)絡(luò)的訓(xùn)練和學(xué)習(xí)能力，往往是通過部的權(quán)值連接和拓?fù)浣Y(jié)構(gòu)來實(shí)現(xiàn)和存儲的，對于最終判定結(jié)果的產(chǎn)生，通常難以具體解釋詳細(xì)的判定過程以與確定性的判定步驟。第三、構(gòu)造入侵檢測網(wǎng)絡(luò)模型是根據(jù)個特征屬性之間的相關(guān)性建立的，是橫向的結(jié)合，同時在建立模型前必須有相當(dāng)數(shù)量已知的訓(xùn)練樣本，需經(jīng)過樣本數(shù)據(jù)的訓(xùn)練使得網(wǎng)絡(luò)模型適用于具體的應(yīng)用領(lǐng)域，屬于有監(jiān)督的入侵檢測分析方法。第四、理論上講神經(jīng)網(wǎng)絡(luò)具備并行經(jīng)計算機(jī)的強(qiáng)大能力，但在當(dāng)前計算機(jī)的存儲-計算架構(gòu)下來完全實(shí)現(xiàn)神經(jīng)網(wǎng)絡(luò)的并行計算潛力有一定的難度。2、層次聚類分析應(yīng)用于入侵檢測（1）、優(yōu)點(diǎn)第一、由于入侵檢測的層次聚類分析法是無監(jiān)督的檢測方法

16、。不需要人工或其他的方法來對樣本數(shù)據(jù)進(jìn)行訓(xùn)練分類，可直接進(jìn)行異常分類得出分類模型。同時具有高度的自學(xué)習(xí)和自適應(yīng)能力，能夠根據(jù)模型檢測出已有的攻擊以與一定數(shù)量的未知攻擊類型，克服誤用檢測的局限性。第二、由于聚類方法是從數(shù)據(jù)角度進(jìn)行分析，其最終結(jié)果是一個面向?qū)ο蟮母拍罨R，該知識反應(yīng)了數(shù)據(jù)的在特性，是對數(shù)據(jù)所包含的信息的更高層次的抽象。將其應(yīng)用于入侵檢測，以入侵檢測樣本數(shù)據(jù)集作為分析粒度，采用層次聚類法，可使分類過程易于理解與實(shí)現(xiàn)，所得結(jié)果可以樹狀圖的形式表示，體現(xiàn)可視化的特點(diǎn)。第三、針對描述系統(tǒng)和網(wǎng)絡(luò)活動的情況特征集既有數(shù)值特征又有符號特征，在利用層次聚類進(jìn)行入侵檢測分析時，選用混合型數(shù)據(jù)樣本

17、間距離計算方法，增強(qiáng)了算法與實(shí)際應(yīng)用的關(guān)聯(lián)性。同時層次聚類算法具有用戶無需設(shè)置參數(shù)，算法簡單易懂，結(jié)果確定性的特點(diǎn)。（2）、不足第一、構(gòu)造聚類分類模型時，主要依據(jù)數(shù)據(jù)記錄與記錄之間的距離來評判所屬類別，即只從縱向角度對數(shù)據(jù)進(jìn)行分析，對橫向?qū)傩灾g的關(guān)聯(lián)性有所忽略。第二、層次聚類法雖然比較客觀，但已被合并的樣本不參與以后的分類，這會導(dǎo)致聚類結(jié)果與聚類的次序有關(guān)，所以易陷入局部最優(yōu)。第三、層次聚類法必須用戶自己選擇合適的子樹來確定自己所關(guān)心的類，并且算法的復(fù)雜度隨著特征的增加增幅較大，因此對算法的伸縮性影響較大。（三）、實(shí)驗(yàn)分析選用KDDCUP 99的實(shí)驗(yàn)數(shù)據(jù)進(jìn)行對比實(shí)驗(yàn)。考慮到聚類分析的特點(diǎn)，采

18、用3份數(shù)據(jù)子集進(jìn)行驗(yàn)證，每個數(shù)據(jù)子集中正常數(shù)據(jù)記錄個數(shù)占本子集所有數(shù)據(jù)記錄個數(shù)的比例約98.5%99%，因此入侵活動的數(shù)據(jù)記錄個數(shù)僅占本子集記錄個數(shù)的1%1.5%。同時，4類入侵行為數(shù)據(jù)也相應(yīng)被分配到這3個子集中。運(yùn)用MATLAB語言中相關(guān)函數(shù)進(jìn)行編程分析。表一 選用KDDCUP 99的實(shí)驗(yàn)數(shù)據(jù)進(jìn)行對比實(shí)驗(yàn)樣本數(shù)據(jù)集子集1子集2子集3記錄總數(shù)290729343436異常記錄個數(shù)364145BP訓(xùn)練樣本數(shù)200019342000BP檢測樣本數(shù)90710001436BP網(wǎng)絡(luò)檢測率（%）91.790.293.3BP網(wǎng)絡(luò)誤報率（%）BP聚類檢測率（%）88.990.291.1BP聚類

19、誤報率（%）其中：檢測率=被分類出的入侵事件樣本數(shù)/總?cè)肭质录颖緮?shù)。誤報率=被當(dāng)作入侵事件檢測出的正常事件/數(shù)據(jù)集中正常樣本數(shù)。BP算法參數(shù)為：初始學(xué)習(xí)率lr=0.01，學(xué)習(xí)率自調(diào)整系數(shù)=最大訓(xùn)練系數(shù)500最終網(wǎng)絡(luò)誤差為1/10000。實(shí)驗(yàn)結(jié)果分析如下：1、由表1可得，采用BP神經(jīng)網(wǎng)絡(luò)的檢測結(jié)果為：平均檢測率分別為91.7%和1.93%，而采用層次聚類算法的檢測結(jié)果為：平均檢測率與誤報率分別為90.1%和2.2%，這兩項(xiàng)指標(biāo)通常是一對矛盾，隨著檢測率的提高，常常伴隨著誤報率的升高。由此可見兩種入侵檢測算法是可行的。2、同時在實(shí)驗(yàn)中發(fā)現(xiàn)對于DOS、PROBE兩大類攻擊檢測效果

20、較高，而U2R、R2L效果不太理想，一方面與所選取的攻擊樣本多少有關(guān)，另一方面是因?yàn)楹芏郣2U入侵是偽裝合法用戶身份進(jìn)行攻擊的，這就使得其特征與正常數(shù)據(jù)包比較相似，造成算法檢測的困難。3、從檢測率、誤報率來看，BP神經(jīng)網(wǎng)絡(luò)的檢測效果優(yōu)于層次化聚類分析。這主要有兩方面的原因：（1）、BP神經(jīng)網(wǎng)絡(luò)是有監(jiān)督的異常入侵檢測方法，具有自學(xué)習(xí)與自適應(yīng)的特點(diǎn)，通過訓(xùn)練，網(wǎng)絡(luò)模型能夠很好地識別出正常網(wǎng)絡(luò)行為，而層次聚類分析屬于無監(jiān)督的自動識別異常的檢測技術(shù)，只通過樣本數(shù)據(jù)間的聚類來判斷，因此造成該聚類檢測方法在誤報率上偏高于BP神經(jīng)網(wǎng)絡(luò)檢測方法。（2）、文中采用的層次聚類屬于硬聚類，即判斷樣本類別時具有“非此

21、即彼”的特點(diǎn)。而實(shí)際情況下，某一網(wǎng)絡(luò)行為由于制約的因素較多，很難肯定地判斷其所屬的類別，即出現(xiàn)即屬于其他類的情況，這時應(yīng)根據(jù)其屬于某一類的隸屬度來判斷其所屬類別，這樣更為客觀。這也是造成層次聚類算法的檢測算法的檢測效果低于神經(jīng)網(wǎng)絡(luò)的因素之一。（四）、總結(jié)綜上所述，神經(jīng)網(wǎng)絡(luò)具有自適應(yīng)、自組織和自學(xué)習(xí)的能力，可以處理一些環(huán)境復(fù)雜、背景知識不詳，數(shù)據(jù)樣本有敬愛毆打的缺陷和不足的情況，應(yīng)用于建立入侵檢測模型時允許含有少量不合理數(shù)據(jù)的存在，同時移植性較強(qiáng)，能降低數(shù)據(jù)的存取量，保證入侵檢測系統(tǒng)的檢測性能。聚類分析屬于無監(jiān)督的分類算法，適合于正常數(shù)據(jù)與異常數(shù)據(jù)在數(shù)量上存在較大差異情況下建立入侵檢測模型，因具

22、有可理解性的特點(diǎn)，能提供給用戶可視化的分析過程與結(jié)果，適用于需通過該方法理解攻擊行為并對其進(jìn)行進(jìn)一步操作的情況。總之，在實(shí)際選擇檢測方法時，應(yīng)綜合考慮數(shù)據(jù)樣本的特征與入侵檢測系統(tǒng)提出的整體要求權(quán)衡選擇，同時也可以采用其他領(lǐng)域的相關(guān)知識對所選對所選方法進(jìn)行優(yōu)化、完善。五、入侵檢測系統(tǒng)存在的問題1、誤/漏報率高。IDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)監(jiān)測、協(xié)議分析等。但這些檢測方法都存在缺陷，如異常檢測通常采用統(tǒng)計方法來進(jìn)行檢測，而統(tǒng)計方法中的閥值難以有效確定，太小的值會產(chǎn)生大量的誤報，太大的值又會產(chǎn)生大量的漏報。而在協(xié)議分析的檢測方式中，一般的IDS只簡單地處理了常用的如 、FTP、SM

23、TP等，其余大量的協(xié)議報文完全可能造成IDS漏報，如果考慮支持盡量多的協(xié)議類型分析，網(wǎng)絡(luò)的成本將無法承受。2、沒有主動防御能力。IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理，所以檢測規(guī)則的更新總是落后于攻擊手段更新。3、缺乏準(zhǔn)確定位和處理機(jī)制。IDS僅能識別IP地址，無法定位IP地址，不能識別數(shù)據(jù)來源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時候，只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口，但這樣關(guān)閉的同時會影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機(jī)制。4、性能普遍不足?，F(xiàn)在市場上的IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展，在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟失，形成DOS攻

24、擊。六、入侵檢測系統(tǒng)的發(fā)展趨勢入侵檢測系統(tǒng)（IDS）是近十多年發(fā)展起來的新一代安全防技術(shù)，它通過對計算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。這是一種集檢測、記錄、報警、響應(yīng)于一體的動態(tài)安全技術(shù)，不僅能檢測來自外部的入侵行為，同時也監(jiān)督部用戶的未授權(quán)活動。IDS技術(shù)主要面臨者三大發(fā)展趨勢。1、 提高入侵檢測系統(tǒng)的檢測速度，以適應(yīng)網(wǎng)絡(luò)通信的要求。網(wǎng)絡(luò)安全設(shè)備的處理速度一直是影響網(wǎng)絡(luò)性能的瓶頸，雖然IDS通常是以并聯(lián)方式接入網(wǎng)絡(luò)的，但如果其檢測速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度，那么檢測系統(tǒng)就會漏掉其中的部分?jǐn)?shù)據(jù)包，從而導(dǎo)致漏報而影響系統(tǒng)的準(zhǔn)確性和有效性。在IDS中，截獲網(wǎng)絡(luò)的每一個數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費(fèi)大量的時間和系統(tǒng)資源，大部分現(xiàn)有的IDS只有幾十兆的檢測速度，隨著百兆、甚至千兆網(wǎng)絡(luò)的大量應(yīng)用，IDS技術(shù)發(fā)展的速度已經(jīng)遠(yuǎn)遠(yuǎn)落后于網(wǎng)絡(luò)速度的發(fā)展，因此，提高入侵檢測系統(tǒng)的速度勢在必行。2、降低入侵檢測系統(tǒng)的漏報和誤報，以提高靜安創(chuàng)系統(tǒng)的準(zhǔn)確度。基于模式匹配分析方法的IDS將所有入侵行為和手段與其變種表達(dá)為一種模式或特征，檢測主要是判別網(wǎng)絡(luò)中搜集到的數(shù)據(jù)特征是否在入侵模式庫中出現(xiàn)。因此，面對每天都有新的攻擊方法產(chǎn)生和新漏洞發(fā)布，攻擊特征庫不能與時更新