信息安全-入侵檢測

戴子陽

天津中遠國際貨運有限公司，天津 300010

隨著社會的進步和全球化進程的加快，網(wǎng)絡(luò)技術(shù)也越來越成熟，在現(xiàn)代社會中已經(jīng)被廣泛應(yīng)用，人類社會進入信息時代。近些年來，隨著網(wǎng)上各種新業(yè)務(wù)的興起，如電子商務(wù)、電子政務(wù)、數(shù)字娛樂和網(wǎng)絡(luò)銀行的快速發(fā)展，使得網(wǎng)絡(luò)技術(shù)和整個社會的發(fā)展密切相關(guān)，難分難離。然而，人們在得益于信息革命所帶來的新的巨大機遇的同時，也不得不面對信息安全問題的嚴(yán)峻考驗，各種黑客入侵事件屢見不鮮，計算機病毒屢屢爆發(fā)，給社會安全、企業(yè)安全和個人安全帶來了巨大隱患。此外，“信息戰(zhàn)”也己經(jīng)成為國與國之間戰(zhàn)爭的一種重要攻擊手段。因此，計算機安全的問題已經(jīng)引起整個社會的廣泛重視，如何在現(xiàn)有資源的基礎(chǔ)上，構(gòu)建一個合格的計算機安全防護體系，是當(dāng)前安全領(lǐng)域一個十分重要而迫切的任務(wù)。

傳統(tǒng)的網(wǎng)絡(luò)安全防護，是以防火墻和殺毒軟件為主體，再加上身份認(rèn)證機制等構(gòu)建的防護體系，這種方法對防止系統(tǒng)被非法入侵有一定的效果。但是某些入侵者會設(shè)法尋找防火墻背后可能敞開的通道對其進行攻擊，另一方面防火墻在防止網(wǎng)絡(luò)內(nèi)部襲擊等方面收效甚微[1]。而且，由于功能有限，防火墻通常不能提供有效的入侵檢測。因此，要構(gòu)建一個合格的網(wǎng)絡(luò)安全保護體系，光靠防火墻是遠遠不夠的，還需要有能夠?qū)W(wǎng)絡(luò)進行實時監(jiān)控、實時報警并且能夠有效識別攻擊手段的網(wǎng)絡(luò)安全工具，入侵檢測系統(tǒng)（IDS，Intrusion Detection System）應(yīng)運而生。入侵檢測系統(tǒng)可通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點的信息收集并對其進行分析，發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中違反安全策略的行為和攻擊跡象，產(chǎn)生報警，從而有效防護網(wǎng)絡(luò)的安全。入侵檢測系統(tǒng)作為防火墻之后的有益補充，有著不可替代的作用，在網(wǎng)絡(luò)安全防護中的地位也越來越突出[1]。作為一個全新、快速發(fā)展的領(lǐng)域，有關(guān)入侵檢測的研究已經(jīng)成為網(wǎng)絡(luò)安全中極為重要的一個課題。

1 研究現(xiàn)狀

1.1 入侵檢測現(xiàn)狀

由于網(wǎng)絡(luò)登陸國內(nèi)相對較晚，而且剛開始時人們對它的認(rèn)識還不夠，所以普及面很窄。隨著信息化進程不斷推進，人們對網(wǎng)絡(luò)有了全新的認(rèn)識，越來越多的人在使用網(wǎng)絡(luò)，使得它成為人們生活的一部分。在人們對網(wǎng)絡(luò)的優(yōu)越性產(chǎn)生認(rèn)可的同時，安全問題不得不為人們所關(guān)注[11]。近幾年，國內(nèi)的網(wǎng)絡(luò)的發(fā)展速度是有目共睹的，而對網(wǎng)絡(luò)安全的研究也日益被重視。當(dāng)然對入侵檢測的研究也受到各方面的關(guān)注。但是由于一些客觀原因，同國外的差距還是很大。雖然一些網(wǎng)絡(luò)安全公司也相繼推出自己的入侵檢測產(chǎn)品，但是很多都是在借鑒國外的技術(shù)手段。另外，國家對這方面研究的投入也在加大，而且啟動了信息安全的863緊急應(yīng)急計劃。各科研單位和大專院校都有從事這方面的研究和開發(fā)的隊伍一總之，國內(nèi)的水平同國外的差距還是很大，但是隨著更多的人的關(guān)注和投入到這方面的研究，相信在不久的將來，國內(nèi)的水平將趕超國外并占有領(lǐng)先位置的一席之地[11]。

1.2 基于人工免疫的入侵檢測系統(tǒng)現(xiàn)狀

1999年，Hunt等人提出了基于免疫網(wǎng)絡(luò)的機制學(xué)習(xí)系統(tǒng)，并應(yīng)用于錯誤檢測，Hunt等人通過模擬生物免疫系統(tǒng)的自學(xué)習(xí)、自組織機制，提出一種人工免疫網(wǎng)絡(luò)模型DB細胞網(wǎng)絡(luò)及算法；

2000年，Deeastro建立了基于克隆選擇算法和親和力成熟的免疫系統(tǒng)，該系統(tǒng)被證明是一個用進化策略來解決機器學(xué)習(xí)的問題，并被應(yīng)用于模式識別和多重動態(tài)優(yōu)化等領(lǐng)域；

2002年，Kim針對不同的環(huán)境提出了動態(tài)的學(xué)習(xí)算法；

2003年，Dasgupta等人在異常檢測方面提出了結(jié)合免疫學(xué)的不同特征生成多層免疫學(xué)習(xí)算法，并提出一個基于免疫的入侵檢測系統(tǒng)框架；

2004年，Stepney等人完善了整體免疫系統(tǒng)的概念發(fā)展；

2005年，Stibor等人解決了基于統(tǒng)計的異常檢測問題；

2006年，Aichelin等人提出了應(yīng)用于網(wǎng)絡(luò)安全的危險理論；

2007年，Nanas等人提出了從進化算法到人工免疫系統(tǒng)的動態(tài)模擬優(yōu)化；

2008年，F(xiàn)eixian Sun，Tao Li等人提出了基于動態(tài)的免疫異常檢測方法，有效的解決了訓(xùn)練集的選取問題，提高了入侵檢測的檢測率和覆蓋率，降低了誤報率。

2 入侵檢測

2.1 入侵檢測定義

入侵檢測是指發(fā)現(xiàn)非授權(quán)用戶企圖使用計算機系統(tǒng)或合法用戶濫用其特權(quán)的行為，這些行為破壞了計算機系統(tǒng)的完整性、機密性及資源的可用性。為完成入侵檢測任務(wù)而設(shè)計的計算機系統(tǒng)稱為入侵檢測系統(tǒng)。

一個成功的入侵檢測系統(tǒng)至少要滿足以下五個主要功能要求：實時性；可擴展性；適應(yīng)性；安全性與可用性；有效性要求。

2.2 入侵檢測分類

按入侵檢測的方法來分類：誤用檢測；異常檢測；混合檢測；基于主機的入侵檢測系統(tǒng)；基于網(wǎng)絡(luò)的入侵檢測；離線檢測系統(tǒng)；在線檢測系統(tǒng)。

2.3 入侵檢測方法

異常檢測方法：

基于異常發(fā)現(xiàn)的檢測技術(shù)則是先定義一組系統(tǒng)“正常”情況的閾值，如CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何分析系統(tǒng)的運行情況。按照所使用的分析方法，可以分為以下幾種入侵檢測系統(tǒng)：基于統(tǒng)計分析的異常檢測方法；基于模式預(yù)測的異常檢測方法；基于相似度實例的學(xué)習(xí)方法；基于神經(jīng)網(wǎng)絡(luò)的異常檢測方法；基于規(guī)則的專家系統(tǒng)；著色Petri網(wǎng)；基于條件概率的誤用入侵檢測方法；基于鍵盤監(jiān)控的入侵檢測方法。

上述歸結(jié)了所有方法，每種方法都有自己的特性，特點，在不同情況發(fā)揮不同的作用。

3 結(jié)論

本文著重于論述了入侵檢測的由來，發(fā)展隨著人工免疫方法的不斷進步，基于免疫的入侵檢測這個難題相信很快就能解決。

本文主要研究數(shù)字濾波器的原理特征及數(shù)字濾波器的設(shè)計方法，重點介紹了IIR數(shù)字濾波器的設(shè)計方法。即脈沖響應(yīng)不變法和雙線性變換法。研究IIR數(shù)字濾波器的Matlab實現(xiàn)。此設(shè)計擴展性好，便于調(diào)節(jié)濾波器的性能，可以根據(jù)不同的要求在matlab上加以實現(xiàn)。

[1]全子一.數(shù)字信號處理[M].北京：人民郵電出版社，1988.

[2]王世一，等.數(shù)字信號處理[M].北京：北京理工大學(xué)出版社，2001.

[3][美]Ingle VK.Proakis JG 著.數(shù)字信號處理及其MATLAB 實現(xiàn)[M].陳懷琛，譯.北京：電子工業(yè)出版社，1998.