《入侵检测系统的两大分类:异常检测与误用检测》
图片来源于网络,如有侵权联系删除
一、引言
在当今数字化时代,网络安全面临着前所未有的挑战,入侵检测系统(IDS)作为网络安全防护的重要组成部分,能够及时发现并报告潜在的入侵行为,入侵检测系统主要分为异常检测和误用检测这两类,它们各自有着独特的检测原理、方法和应用场景。
二、异常检测
(一)原理
异常检测基于这样一个假设:正常的网络行为具有一定的模式和规律,而入侵行为往往偏离这种正常模式,它通过建立正常行为的轮廓或模型,然后对监测到的活动进行比较,如果当前行为与正常模型的偏差超出了设定的阈值,就被判定为异常,可能是入侵行为,在一个企业网络中,正常情况下员工每天在工作时间内的网络访问流量、访问的网站类型、使用的应用程序等都有一定的范围,如果突然出现一个账号在凌晨大量下载外部未知来源的数据,这就与正常的行为模式产生了极大的偏差。
(二)检测方法
1、统计方法
- 这种方法通过收集网络活动的各种统计信息,如网络流量的均值、方差、峰值等,对于网络端口的流量,计算其在一段时间内的平均流量大小,如果某个时刻流量突然增大数倍,且持续时间较短,可能是异常情况。
- 它可以采用参数统计方法,假设网络行为数据符合某种已知的分布(如正态分布),然后根据样本数据估计分布的参数,如均值和标准差,从而确定正常行为的范围,也可以采用非参数统计方法,不需要对数据的分布做先验假设,如基于直方图的方法,将数据划分为不同的区间,统计每个区间内数据的频率,通过比较当前数据在直方图中的位置来判断是否异常。
2、机器学习方法
- 神经网络是其中一种常用的技术,它可以学习正常网络行为的复杂模式,一个多层感知器神经网络可以通过大量的正常网络行为数据进行训练,将网络活动的各种特征(如数据包的大小、源IP地址、目的IP地址等)作为输入,正常或异常作为输出,训练后的神经网络能够对新的网络活动进行分类。
- 聚类分析也是一种有效的机器学习方法,它将相似的网络行为聚成一类,正常行为往往会聚集在几个特定的簇中,如果一个新的网络行为不属于任何已知的正常簇,就可能被判定为异常。
图片来源于网络,如有侵权联系删除
(三)优点
1、能够检测到新的、未知的攻击类型,因为它不需要预先知道具体的攻击模式,只要行为偏离正常就可能被检测到,对于一种新型的零日攻击,异常检测可能会因为其异常的网络行为特征(如异常的系统调用序列或网络流量模式)而发现它。
2、对网络环境的适应性较好,在网络结构和用户行为发生变化时,只要重新建立正常行为模型,就可以继续有效地检测异常行为,比如企业网络进行了业务扩展,增加了新的应用程序和网络设备,异常检测可以通过重新学习新的正常行为模式来适应这种变化。
(四)缺点
1、误报率较高,由于正常行为的多样性和复杂性,可能会将一些正常但不常见的行为判定为异常,在促销活动期间,企业的电商网站流量突然大幅增加,如果阈值设置不合理,可能会被误判为异常流量攻击。
2、建立准确的正常行为模型比较困难,需要大量的正常行为数据,而且数据的质量和代表性对模型的准确性有很大影响,如果数据存在偏差,可能会导致模型不准确,从而影响检测效果。
三、误用检测
(一)原理
误用检测也称为基于特征的检测,它假设所有的入侵行为都有可被识别的模式或特征,通过收集已知的入侵行为模式,将监测到的网络活动与这些模式进行匹配,如果匹配成功,则判定为入侵行为,对于SQL注入攻击,它有特定的攻击语句结构,如在用户输入字段中包含恶意的SQL命令(如“' or 1 = 1--”),误用检测系统会预先存储这些SQL注入攻击的特征模式,当检测到包含类似特征的网络请求时,就会发出入侵警报。
(二)检测方法
1、模式匹配
- 这是最常用的误用检测方法,它将网络数据包或系统事件的内容与已知的入侵模式进行逐字匹配,对于网络入侵检测系统,会检查每个网络数据包的内容是否包含已知的恶意代码模式或攻击命令,对于主机入侵检测系统,会检查系统调用序列是否与已知的入侵相关的系统调用模式匹配。
图片来源于网络,如有侵权联系删除
2、状态转换分析
- 这种方法将入侵行为看作是一系列状态的转换,对于一个密码猜测攻击,初始状态是攻击者尝试登录,然后不断输入不同的密码组合,每个密码输入都是一个状态转换,误用检测系统会预先定义这种密码猜测攻击的状态转换模型,当监测到的系统或网络行为符合这个模型时,就判定为入侵行为。
(三)优点
1、检测准确率较高,因为它是针对已知的入侵模式进行检测,只要入侵行为与存储的模式匹配,就可以准确判定为入侵,对于常见的、有明确特征的攻击(如病毒传播、端口扫描等),能够有效地检测出来。
2、误报率相对较低,与异常检测相比,由于是基于明确的入侵模式,不会将正常但不常见的行为误判为入侵,只要正常行为不包含已知的入侵特征,就不会产生误报。
(四)缺点
1、无法检测新的、未知的攻击类型,因为它依赖于预先定义的入侵模式,如果是一种新型的攻击,没有对应的模式存储在系统中,就无法检测到,当一种全新的加密勒索软件出现,在其特征未被添加到误用检测系统之前,系统无法发现这种攻击。
2、需要不断更新入侵模式库,随着新的攻击手段不断出现,必须及时更新模式库才能保持检测的有效性,如果模式库更新不及时,系统的检测能力就会下降。
四、结论
异常检测和误用检测是入侵检测系统的两大主要分类,它们各有优劣,在实际的网络安全防护中,往往需要将两者结合使用,可以利用异常检测来发现新的潜在威胁,然后通过误用检测对发现的异常行为进行进一步的分析和确认,从而提高入侵检测系统的整体性能,更好地保护网络和系统的安全,随着网络技术的不断发展和网络攻击手段的日益复杂,入侵检测系统也需要不断地改进和创新,无论是在检测算法、模型建立还是在数据处理等方面,都需要不断适应新的安全需求。
评论列表