[发明专利]入侵检测方法和系统

说明书

技术领域

本发明通常涉及例如IP网络的通信系统领域，更具体地，涉及用于在 这种通信系统中检测入侵的系统和方法。

背景技术

网络在信息系统中的快速增长已经引起对诸如NIDS(网络入侵检测 系统)、HIDS(主机入侵检测系统)的IDS(入侵检测系统)和NIPS(网 络入侵防御系统)的日益关注，其中NIPS结合了防火墙和NIDS。

计算机网络必须被保护以免受DoS(拒绝服务)攻击、未授权的信息 披露或操纵以及数据的修改或破坏。同时，必须提供关键信息系统的可用 性、机密性和完整性。

据报道，在2004年已经有10,000种新病毒或已有病毒的变种，每小 时有至少一次新攻击(Kay，“Low volume viruses：new tools for criminals”， Network Secur.6，2005，第16-18页)。2001年，红色蠕虫代码在不到 14小时内传播到超过359,000台因特网主机(Moore等，“Code Red：a case study on the spread and victims of internet worm”，Proceeding of the second ACM Internet measurement workshop，2002)。在2003年，SQL Slammer蠕虫在不到30分钟内传播超过75,000台主机，其中90％的主机 在10分钟内被感染(Moore等，“The spread of the sapphire/slammer worm technical report”，CAIDA技术报告，2003年)。2002年，美国联邦调 查局调查报告说外部黑客成功攻击的平均成本是56,000美元，而成功内部 人员攻击的平均成本被报道为270万美元(Power“2002CSI/FBI computer crime and security survey”，计算机安全问题和趋势，第八卷第一篇，2002 年春)。

IDS通常指定一些具有检测、识别和响应目标系统上未授权或异常的 活动的软件。

传统地，IDS在设计上被集中化，集中式IDS通常安装在网络的阻塞 点，例如网络服务提供商网关，并利用在物理上集成在单个处理单元内的 集中式应用以独立模式运行。也存在分布式IDS，其包括部署在大型网络 的不同区域上的多个传感器，所有这些传感器最终向聚集信息并进行处理 的中央服务器报告。

IDS的目的是区分入侵者和正常用户。IDS的目标是提供一种用于实 时或批量检测安全违背的机制。违背通过外部人员企图闯入系统或者内部 人员企图滥用其特权而启动。

IDS所执行的主要功能是：监控并分析用户和系统活动，评估关键系 统或数据文件的完整性，识别反映已知攻击的活动模式，自动响应所检测 的活动，以及报告检测处理的结果。

入侵检测可根据检测方法划分为三种类型：滥用检测、异常检测和数 据挖掘。混合入侵方法也是已知的，其同时结合了两种方法。已知如KDD -99，用于比较检测方法的标签数据集已由国际知识发现与数据发掘工具 竞赛提供。

滥用检测致力于搜索已知攻击的踪迹或模式。滥用检测系统试图将计 算机活动与所存储的已知的利用或攻击的签名进行匹配。它使用攻击的先 验知识以查找攻击踪迹。换句话说，滥用检测是指使用已知的系统入侵或 弱点的模式(例如，具有缓冲器溢出漏洞的系统实用程序)以匹配和识别 入侵。

攻击动作的顺序、危害系统安全的条件以及入侵后遗留的证据(例如， 损害或系统日志)可用多个通用模式匹配模型表示。这些模式匹配模型将 已知的签名编码为模式，接着这些模式与审计数据进行匹配。模式匹配常 常是指模糊逻辑和人工智能技术，如神经网络。

例如，NIDES(下一代入侵检测专家系统)使用规则以描述攻击动作， STAT(状态转移分析工具)使用状态转移图以模拟系统的一般状态和访 问控制违背，IDIOT(现代入侵检测)使用彩色网格以将入侵签名表示为 目标系统上的事件序列。

滥用检测系统的主要优点在于：一旦已知的入侵的模式被存储，这些 入侵的未来实例可被有效地检测。

然而，新发明的攻击将可能不被检测到，导致不可接受的漏报率。尽 管滥用检测被假定为比异常检测更准确，但这种技术的主要缺陷是创建包 含入侵和非入侵活动的最有可能的变异的签名。