2022年网络安全入侵检测_研究综述 .pdf

1000-9825/2000/11(11)1460-07 c 2000 Jour nal of Softw are软 件 学 报Vol.11,No.11网络安全入侵检测:研究综述蒋建春,马恒太,任党恩,卿斯汉(中国科学院信息安全技术工程研究中心,北京 100080)E-mail:http:/ww 摘要:入侵检测是近年来网络安全研究的热点.首先 说明入侵检测的必要性,并给出 入侵检测的概 念和模型,概述了多种入侵检测方法及体系结构.最后,讨论了 该领域当前存在的问题及今后的研究方向.关键词:网络安全;入侵检测中图法分类号:TP393 文献标识码:A计算机联网技术的发展改变了以单机为主的计算模式.但是,网络入侵的风险性和机会也相应地急剧增多.设计安全 措施来防范未经授权访问系统的资源和数据,是当 前网络安全领域的一个十分 重要而迫切 的问题.目前,要想完全避免安全事件的发生并不太现实.网络 安全人员所能做到的只能是尽力 发现和察觉 入侵及入 侵企图,以便采取有效的措施来堵塞漏洞和修复系统.这样的研究称为入侵检测,为此目的 所研制的系统就称为入侵检测系统(intrusio n detection system,简称 IDS).本文将论述网络安全存在的漏洞和潜在的威胁,给出入 侵检测的概念和 模型,详尽 地概括并分析传统的和最新的各种检测方法及体系结构,并提出I DS当前存 在的问题 及今后的研究方向.1入侵检测的必要性一个安 全系统至少应该满足用户系统的保密性、完整性及 可用性要求.但是,随着网 络连接的迅 速扩展,特别是I nternet大范围的开放以及金融领域网络的接入,越 来越多的 系统遭到入 侵攻击的 威胁.这 些威胁大 多是通 过挖掘操 作系统和应 用服务 程序的 弱点或 者缺陷(bug)来 实现的.1988 年 的“蠕虫事 件”就是一个 很好的 实例 1.目前,对付破坏系统企图的理想方法是建立一个完全安 全系统.但这样的 话,就 要求所有的 用户能识 别和认证自己,还要采用 各种各样的加密技术和强访问控制策略来保护数据.而从实际 上看,这根本是不 可能的.首先,在实践当中,建立完全安全系统根本是不可能的.Miller 2给出一份有关现今流行 的操作系统 和应用程 序研究报告,指出软件中不可能没有缺陷,此外,设计和实现一个整体安全系统相当困难.其次,要将所有已安 装的带安全缺陷的系统转换成安全系统需要相当长的时间.第 3,加密技术方法本身存在的一定问题.第 4,安全 系统易受内部用户滥用特权的攻击.第 5,安全访问控制等级和用户的使用效率成反比.第 6,访问控制和保护模型本身存在一定的问题 2.第 7,在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂性等难解问题.基于上述几类问题的解决难度,一个实用的方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相 应的安全辅助系统,IDS 就是这样一 类系统.现在安全 软件的开发 方式基本 上就是按照 这个思路 进行的.就目前系统安全状况而言,系统存在被攻击的可能性.如果系统遭到攻击,只要尽可能地检测到,甚至 是实时地检测到,然后采取适当的处理措施.ID S一般不是采取预防的措施以防止入侵事件的发生,入侵检测作 为安全收稿日期:2000-03-14;修改日期:2000-07-14基金项目:中国科学院软件研究所青年创新基金资助项目(CXZK5606)作者简介:蒋建春(1971-),男,广西壮族自治区全州人,博士 生,主要研究领域为计算机网络,信息安全 对抗;马恒 太(1970-),男,山东临朐人,博士生,主要研究领域为网络信息安全,分布式计算;任党恩(1975-),男,安徽人,硕士生,主要研究领域为网络信息安全;卿斯汉(1939-),男,湖南人,研究员,博士生导师,主要研究领域为信息安全理论与技术.名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 7 页 -技术其作用在于:(1)识别入侵者;(2)识 别入侵行为;(3)检测 和监视已成功的安全突破;(4)为对抗入 侵及时提供重要信息,阻止事件的发生和事态的扩大.因 此,入侵检测非常必要.2入侵检测的定义及分类Adenrson在 80年代 早期使用了“威胁”这一概 念术语,其定 义与入 侵含义相 同.将入侵 企图或威 胁定义 为未经授权 蓄意尝试访 问信息、窜改信息,使系统 不可靠或 不能使用 3.Heady 给 出另外的 入侵定义,入侵是 指有关试图破 坏资源的完整性、机密性及可 用性的活动集合 4.Smaha 5从 分类角度指出入侵包括尝试性 闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用 6 种类型.入侵检 测技术主要分成两大类型:异常 入侵检测和误用入侵检测.第 1 种是指能 够根据异常 行为和使 用计算机资源情况检测出来的入侵.异常入侵检测试图用定量方式描述可接受的行为特征,以区分 非正常的、潜在的入侵性行为.A nderson 3做了如何通过 识别“异常”行为来检测入侵的早期工作.他提出了一个威胁模型,将威胁分为外部闯入、内部渗透和不当行为3 种类型,并使用这种 分类方法开发了一个安全监视系统,可检测用 户的异常行为.外部闯入是 指未经授权计算机系统用户的入侵;内部突破是指已授权的计算 机系统用户 访问未经 授权的数据;不当行为是指用户虽经授权,但对授权数 据和资源的使用不合法或滥用授权.误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵.例如,Internet 蠕虫 攻击使用了 fing erd 和 sendmail 错误 4,故可以归结到误用入侵这种类型.与异常入侵检测相反,误用入侵检测能直接检测不利的或不可接受的行为,而异常入侵检测是检查出与正常行为相违背的行为.入侵检 测技术模型最早由Dorothy Denning 提出,如 图 1 所示6.目前,检测 技术及其体系均是在此基 础上的扩展和细化.3入侵检测方法3.1 异常入侵检测异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集.理想状况是 异常活动集与入侵性活动集等同.这样,若能检测所有的异常活动,则可检测所有的入侵性活动.但是,入侵性活 动并不总是与异常活动相符合.这种活动存在4 种可能性:(1)入侵性 而非异常;(2)非入侵性且异常;(3)非入侵性且非异常;(4)入侵且异常.异常入侵要解决的问题就是构造异常活动集并从中发现入侵性活动子集.异常 入侵检测方 法依赖于 异常模型的建 立,不同模 型构成不同的检测方法.异常检 测是通过观测到的一组测量值偏 离度来预测 用户行为 的变化,然后作出决策判断的检测技术.3.1.1基于特 征选择异常检测方法基于特 征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成 子集来准确 地预测或 分类已检测到 的入侵.异 常入侵检测的问题是在异常活动和入侵活动之间难于作出判断.判断符合实 际的度量 是复杂的,因为能否合适地选择度量子集依赖于检测到的入侵类型,一个度 量集对所有的 各种各样的 入侵类型 不可能是足够 的.预先确 定特定的度量来检测入侵可能会错过单独的特别环境下的入侵.最理想的检 测入侵度 量集必须动态 地决策判断以获得最好的效果.假设与入侵潜在相关的度量有n个,则这n个度量所构 成的子集 数是2n个.由 于搜索空间与度量数是级数关系,所以穷尽寻找最理想的度量子集的开销不是有效 的.Maccabe 7提出1461蒋建春 等:网络安全入侵检测:研究综述名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 7 页 -用遗传方法来搜索整个度量子空间以寻找正确的度量子集.其方法是使用学习分类器方案生成遗传交叉算子和基因突变算子,除去降低预测入侵的度量子集,而 采用遗传算子产生更强的度量子集取代.这种方法与较 高的预测度 量子集 相结合,允许 搜索的 空间大 小比其 他启发 式搜索技 术更 有效.其他 的特 征选取 技术 概况 参见文 献 8,9.3.1.2基于贝 叶斯推理的异常检测方法基于贝叶斯推理的异常检测方法是通过在任意给定的时刻,测量 A1,A2,.,An变量值,推理判断系统是否有入侵 事件发生.其中每个 Ai变量表 示系统不同方面的特征(如磁盘 I/O 的 活动数量,或者系统 中页面出 错的数量).假定Ai变量有两个值,1 表示异常,0 表示正常.I表示系统当 前遭受入侵攻击.每个异常 变量Ai的 异常可靠性和敏感性表示为P(Ai=1/I)和P(Ai=1I),则在给定每 个Ai值的条件下,由贝叶斯定 理得出I的可信度为P(I A1,A2,.,An)=P(A1,A2,.,AnI)P(I)P(A1,A2,.,An),其中 要求给出I和I的联合 概率分布.又假定 每个测量Ai仅与I相关,且与其 他的测量 条件Aj无关,ij,则有P(A1,A2,.,AnI)=ni=1P(AiI),P(A1,A2,.,AnI)=ni=1P(AiI).从而得到P(I A1,A2,.,An)P(I A1,A2,.,An)=P(I)P(I)niP(AiI)niP(AiI)因此,根据各 种异常测 量的值、入侵的先 验概率及入 侵发生时每 种测量 到的异常 概率,能够 检测判断 入侵的 概率.但是,为 了检测的准确性,还必须考虑各 个测量 Ai之间的 独立性.一种方法 是通过相 关性分析,确定各 个异常变量与入侵的关系 10.3.1.3基于贝 叶斯网络的异常检测方法贝叶斯网络是实现贝叶斯定理揭示的学习功能,发现大量变量之间的关系,进行预测、分类等数据的 有力工具.基于贝叶斯网络的异常检测方法通过建立起异常入侵检测贝叶斯网,然后将其用作分析异常测量结果.贝叶斯网络允许以图形方式表示随机变量间相关的原因,并通过指定的一个小的与邻接节点相关的概率集计算随机变量的联接概率分布.按给定全部节点组合,所有 根节点的先验概率和非根节点概率构成这个概率集.贝 叶斯网络是一个 有向图 DA G,有向图 中的弧表示父节点和孩子节点 之间的依 赖关系.这样,当随机变量 的值变成 可知时,就允许把它吸收成为证据,按 给定的这个证据为其他的剩余随机变量条件值的 判断提供 计算框架.但是,通常情况下,判断根节点先验概率值和每个有向弧连接矩阵是重要的.至今,有关贝叶斯 网络入侵检测系统的实际系统尚未出现,详细资料参看文献 11.3.1.4基于模 式预测的异常检测方法基于模式预测的异常检测方法的假设条件是事件序列不是随机的而是遵循可辨别的模式.这种检测 方法的特点是考 虑了事件的序列及相互联系.Teng 和 Chen 给出基于时间的推理方法,利 用时间规则来 识别用户 行为正常模式的特 征 11.通过归纳学 习产生这些规则集,并能动态 地修改系统中这些规则,使之具 有较高的预测性、准确性和可信度.如果规则大部分时间是正确的,并能够成功地运用预测所观察到的数据,那么规则就具 有高可信度.TIM给出了一条产生规则12:(E 1!E2!E3)(E4=95%,E5=5%),其中 E1E5 表示安全事件.这条规 则是根据前面观测到的事件E1 模式后 面是 E2,E3,E4,E5.观测 到 E4 事件 的概率是95%,观 测到1462Journal of Softw are软件学报 2000,11(11)名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 7 页 -事件E5 的概率是 95%.通过事件当中的临时关系,T IM能够产生更多 通用的规则.根据观察到的用户行为,归纳产生出 一套规则集来构成用户的轮廓框架.如果观测到的 事件序列匹配规则的左边,而后续的 事件显著 地背离根据规则预测到的事件,那么系统就可以检测出这种偏离,这就表明用户操作是异常的.由于不可识别 行为模式能匹配 任何规则的左边,从而导致不 可识别行为模式作为异常判断,这是该方法 的主要弱 点.相反,如果 能预测出不正常的后继事件的片段,则在一定程度上可以断定用户行为的异常性.这种 方法的主要优点有:(1)能较好地处理变化多样的用户行为,并具有很强的时序模式.(2)能够集中考察 少数几个相关的安全事件,而 不是关注可 疑的整个登录会话过程.(3)对发现检 测系统遭 受攻击,具有良好 的灵敏度.因为根 据规则的蕴 涵语义,在系统学习阶段,能够更容易地辨别出欺骗者训练系统的企图.3.1.5基于贝 叶斯聚类的异常检测方法基于 贝叶斯聚类 的异常检 测方法通过 在数据中 发现不同类 别的数 据集合,这些 类反映 了基本的 因果机 制(同类的成员比其他的更相 似),以此来区 分异常用 户类,进 而推断入 侵事件发生 来检测异 常入侵行为.Cheese-man 和 Stutz 在 1995 年开发的自动分类程序(Auto ClassProgram)是一种无监督数据分类技术11.AutoClass 实现了使用 贝叶斯统计技术对给定的数据进行搜索分类.这种 方法尽可能地判断处理产生 的数据,没有划分 给定数据类别,但是定义了每个数据成员.其优点是:(1)根据 给定的数据,A uto Class自动 地判断决定尽可能的类型数目;(2)不要求特别相似测量、停顿规则和聚类准则;(3)可以自由地混合连续的和离散的属性.统计入侵异常检测对所观测到的行为分类处理,到目前为止,所使用到的技术主要集中于监督式的分类,这种分类是 根据观测到的用户行为来建立起用户轮廓.而贝叶 斯分类方法允许最理想化的 分类数、具有相似 的轮廓的用户 群组以及遵从符合用户特征集的自然分类.但是,该方法是新 的,在入 侵检测系 统中还没有 实现测试.自动分类程序在怎样处理好固有的次序性数据(如审计跟踪)以及将统计分布特性植入分类中等方面,效 果并不十分明显.当自动分 类程序支持处理在线数据时,对 新数据在使用时能否递增式地分 类或者是否 立即需要 全部输入数据 等问题的处理尚未定论.由于 统计所固有的特性,自动分类程 序还存在选定 合适的异常 阈值和用 户逐步地影响类型分布能力的困难.3.1.6基于机 器学习的异常检测方法这种异 常检测方法通过机器学习实现入侵检测,其主要的 方法有死记硬 背式、监督学习、归纳学 习(示 例学习)、类 比学习等 13.Terran 和 Carla E.Brodley 将异常检 测问题归结 为根据离 散数据临时 序列学习 获得个体、系统 和网络的行为特征,并提出一个 基于相似度的实例学习方法(instance basedlear ning,简称 IBL),该方 法通过新的序列相似度计算将原始数据(如离散事件流,无序的记录)转化成可度量的空间.然后,应用 I BL 学 习技术和一种新的基于序列的分类方法,从而发现异常类型事件,以此检测入侵,其中阈值的 选取由成员分类的概率决定 14,15.新的序列相似度定义如下:设l表示长度,序列X=(x0,x1,.,xl-1)和Y=(y0,y1,.,yl-1),w(X,Y,i)=0,if i 0 or xiyil+w(X,Y,i-1),if xiyi,Sim(X,Y)=l-1i=0w(X,Y,i),Dist(X,Y)=Simm ax-Sim(X,Y).令D表示用 户的模式库,由一系列的序列构成,X表示最新观测到的用户序列,则SimD(X)=maxY DSim(Y,X).上式用来 分类识别,检测异常序列.实验结果表明,这种方法检 测迅速,而且误检率 低.然 而,此方 法在用户 动态行为变化以及单独异常检测方面还有待改善.复杂的相似度量和先验知识加入到检测中可能会提高系统的准确性,但需要做进一步的工作.总的来说,机器学习中许多模式识别技术对安全领域都有参考价值.3.1.7基于数 据采掘的异常检测方法计算机联网导致大量审计记录,而且审计记录大多是以文件形式存放(如 UNIX 系统 Sulog),若单独依靠手工方法去发现记录中的异常现象是不够的,往往是操作不便,不容易找出审计记录间的相互关系.W enke L ee和1463蒋建春 等:网络安全入侵检测:研究综述名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 7 页 -Salvatore J.St olfo将数据采掘技术应用到入侵检测研究领域中,从审计数 据或数据流中提取感兴趣的知识,这些知识是 隐含的、事 先未知的、潜 在的有用信息,提取的知识表示为概念、规则、规律、模式等形 式1618,并 可用这些知识去检测异常入侵和已知的入侵.基于数据采掘的异常检测方法目前已有现成的KDD算法可以借用,这种方法的优点是可适应处理大量数据的情况.但是,对于实时入侵检测则还存在问题,需要开发出有效的数据采掘算法和相适应的体系 19,20.3.1.8其他由于篇幅所限,基于神经网络、统计异常检测方法参见文献 10,21.3.2 误用入侵检测技术误用入 侵检测的主要假设是具有能够被精确地按某种方式编码的攻击,并 可以通过 捕获攻击及 重新整理,确认入侵活动是基于同一弱点进行攻击的入侵方法的变种.误用入侵检测指的是通过按预先定义好的入侵模式以及观察到入侵发生的情况进行模式匹配来检测.入侵模式说明了那些导致安全突破或其他误用的事件中的特征、条件、排列和关系.一个不完整的模式可能表明存在入侵的企图,模式构造有多种方式.下面来分析各 种各样的误用检测方法.3.2.1基于条 件概率的误用入侵检测方法基于条件概率的误用入侵检测方法将入侵方式对应于一个事件序列,然后通过观 测到事件发生的情况来推测入侵出 现11.这种方法 的依据是外部事件序列,根据贝 叶斯定理进行推理检测 入侵.令 ES 表示事 件序列,先验概率为 P(Intr usion),后验概率为P(ES Intr usion),事件出现的概率为P(ES),则P(Intr usion ES)=P(ES Int rusion)P(Intr usion)P(ES).由 于通常情况下网络安全专家 可以给出先 验概率P(Int rusion),对入侵报 告数据统 计处理得出P(ES In-tr usion)和 P(ESIntr usion),于是可以计算出P(ES)=(P(ES Intr usion)-P(ESIntr usion)?P(Intrusio n)+P(ESIntrusio n),故可以通过事件序列的观测,推算出P(Intr usion ES).基于条件概率的误用入侵检测方法是在概率理论基础上的一个普遍方法.它是对贝叶斯方法的改进,其缺 点是先验概率难以给出,而且事件的独立性难以满足.3.2.2基于状 态迁移分析的误用入侵检测方法状态迁 移分析方法将攻击表示成一系列被监控的系统状态迁移.攻击模式 的状态对 应于系统状 态,并 具有迁移到另 外状态的条件断言.通过弧将 连续的状态连接起来以表示状态改变所需要的事 件,允许 事件类型 被植入 到 模 型 并 且 无 须 同 审 计 记 录 一 一 对 应.采 用 这 种 方 法 的 系 统 包 括 ST AT(state transitionanalysistechinque)12和U STAT(stat e tr ansition analysis tool for UNIX)22.攻击模式 只能说明 事件序列,因此不 适合描述更复杂的事件.而且,除了通过植入模型的原始断言,没有通用的方法来剪除部分攻击匹配.3.2.3基于键 盘监控的误用入侵检测方法基于键 盘监控的误用入侵检测方法假设入侵对应特定的击键序列模式,然 后监测用 户击键模式,并将 这一模式 与入侵模式 匹配以此 就能检测入 侵11.这种 方法的不利 之处是,在没有操 作系统支 持的情况下,缺少 捕获用户击键 的可靠方法,存在无数击键方式表示同一种攻击.而且,没有击键语义分析,用户使用别 名命令很 容易欺骗这种技术.例如,用户注册的SHEL L提供了简 写命令序列工具,可以产生所谓 的别名,类 似宏定义.因为这种技术仅仅分析击键,所以不能够检测到恶意程序执行结果的自动攻击.3.2.4其他由于篇幅所限,基于专家系统、模型误用推理及 Petri 网状态转换的误用入侵检测方法参见文献 21.4入侵检测系统的体系结构入侵检 测 系 统 的体 系 结 构 大致 可 以 分 为 基 于 主机 型(Host-Based)、网 络 型(Netw ork-Based)和 主 体 型(Agent-Based)3 种 23.1464Journal of Softw are软件学报 2000,11(11)名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 7 页 -基于主 机入侵检测系统为早期的入侵检测系统结构,其检 测的目标主要是主机系统 和系统本地 用户.检测原 理是根 据主 机的审 计数 据和系 统的 日志 发现可 疑事 件,检测 系统 可以 运行 在被 检测 的主 机或 单独 的主 机上 5,23,24.这种类型系统依赖于审计数据或系统日志的准确性和完整性以及安全事件的定义.若入侵者设法逃避审计或进行合作入侵,则基于主机的检测系统就暴露出其弱点,特别是在现在的网络环境下.单独地依靠 主机审计信息进行入侵检测难以适应网络安全的需求.这 主要表现在:主机的审计信息弱点,如易 受攻击、入 侵者可通过使用 某些系统特权或调用比审计本身更低级的操作 来逃避审 计.不 能通过分 析主机的审 计记录来 检测网络 攻击(域名欺 骗、断口扫 描等).因此,基 于网络的入侵检测系统对网络安全是必要的,这种检 测系统根 据网络流量、协议分析、简单网络管理协议信息等数据检测入侵,如 N etSTAT 检测系统就是基于网络型的 12.主机和网络型的入侵检测系统是一个统一集中系统,但是,随着网络系统结构的复杂化和大型化,系 统的弱点或漏洞将趋 向于分布式.另外,入侵 行为不再是单一的行为,而是表 现出相互协作入侵的特点25.入侵 检测系统要 求可适应性、可训 练性、高 效性、容错性、可扩展性 等要求.不同的 IDS 之间也 需要共 享信息,协同 检测.于是,美国普度大学安全研究小组提出了基于主体入侵检测系统 26.其主要的方法是采用相互独立运行的进程组(称为自治主体)分别负责检测,通过训练这些主体,并观察 系统行为,然后将这些主体认为是异常的行为标记出来,并 将 检 测 结 果 传 送 到 检 测 中 心.另 外,S.Staniford 等 人 提 出 了 CIDF(common intrusio n detectio nfr amework).目前,CIDF正在开发和讨论之中,有可能成为入侵检测系统的标准27.对 于入侵检测系统的评估,主要 的性能指标有:(1)可靠 性,系统具有 容错能力和可连续运行;(2)可用性,系 统开销要最小,不会严重降低网络系统性能;(3)可测试,通过攻击 可以检测系统运行;(4)适 应性,对系 统来说必 须是易于开发的,可添加新的功能,能 随时适应系 统环境的 改变;(5)实时 性,系 统能尽快地 察觉入侵 企图以便制止和限制破坏;(6)准确性,检测系统具有低的误警率和漏警率;(7)安全性,检 测系统必须难于被欺骗和能够保护自身安全 23,2830.5结束语本文就入侵检测的必要性、异常和误用检测的主要方法、入侵检测系统的结构等作了分析和概括.随 着网络入侵技术 的不断发展,入侵的行为表现出不确定性、复杂性、多 样性等特点.入侵检测 面临许多有 待解决的 关键问题,如高效率的检测算法、入侵 模式确认、入侵实时监测、入侵描述语 言、检测 数据标准 化、高速 网络中的 入侵检测、IDS评估、IDS 与其他系统的协同工作等一系列问题都有待进一步研究和实现.Ref erences:1 Spafford,E.H.T he internetworm program:an analys is.ACM Computer Com municationReview,1989,19(1):1757.2 M iller,B.P.,Kosk i,D.,Lee,Cjin Pheow,et al.A re-examinationof the reliabilityof U NIX utilitiesand services.Tech nical Report,Departmentof Com puter Sciences,U nivers ity of W isconsin,1995.3 Anderson,J.P.Computer securitythreat monitoringand surveillance.T echnical Report,James P AndersonCo.,FortWashington,Pennsylvania,1980.4 Spafford,E.Crisis and after math.Commu nications of the ACM,1989,32(6):678687.5 Smaha,S.E.Haystack:an intrusiondetection system.In:Orlando ed.Proceedings of the4th Aer ospace Computer Se-curity ApplicationsConference.Washington.DC:IE EE Computer Society Press,1988.3744.6 Denning,D.E.An intrus ion-detection model.IEEET ransactions on Softw are Engin eering,1987,13(2):222232.7 Heady,R.,Luger,G.,M accabe,A.,et al.Th e architectu re of a netw ork level intrus ion detection system.T echnicalReport,Departmentof Computer Science,Universityof New Mexico,1990.8 Doak,Justin.In tru sion detection:th e applicationof feature selection a comparisonof algorithm s,and the applica-tion of a wide area netw ork analyzerM S Th esis.Departmentof Computer Science,U nivers ity of Califor nia,Davis,1992.9 Bian,Zhao-qi,Yan,Ping-fan,Yan g,Cun-rong.PatternRecognition.Beijing:T singh ua U nivers ity Pres s,1988(inChinese).10 Lunt,T.F.,T amaru,A.,Gilh am,F.,et al.A real-time intrus ion detection expert sys tem(IDES).T echnical Re-port,Compu ter Science Laboratory,SRI International,M enlo Park,California,1992.11 Kumar,G.Classification and detectionof computer intrus ions Ph.D.T hesis.Purdue U nivers ity,1995.1465蒋建春 等:网络安全入侵检测:研究综述名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 7 页 -12 http:/www.cs.ucsb.edu/kemm/NetS TAT/documents.htm l.13 He Hua-can.Introdu ction to Ar tificialIntelligen ce.Xian:Northw estern Universityof Techn ology Press,1988(inChinese).14 Carla,T.L.,Brodley,E.T emporal sequence learn ing and data reduction foranomaly detection.In:Reiter,M ed.Proceedings of the 5th Conference on Computer and Comm unications Security.NewYork:ACMPress,1998.150 158.15 Carla,T.L.,Broaley,E.Detecting th e abnorm al:machin e learning in computer security.T echnical Report,T R-ECE97-1,Purd ue University,West Lafayette,1997.16 http:/www.usenix.or g/publications/library/proceedings/sec98/full-papers/lee/lee-htm l/lee.html.17 Hu,Kan,Xia,Shao-wei.Lar ge data warehouse-based data min ing:a survey.Journal of Software,1998,9(1):5363(in Chinese).18 http:/www.cs.columbia.edu/sal/hpapers/kdd99-id.ps.gz.19 http:/www.cs.columbia.edu/sal/hpapers/framew ork.ps.gz.20 http:/www.cs.columbin.edu/sal/hp apers/alg-chapter.ps.gz.21 Ruan,Yao-ping,Yi,Jiang-b o,Zhao,Zhan-sheng.T he model and methodologyof intrusiondetectionin computersys-tem.Computer En gineering,1999,25(9):6365(in Chinese).22 Ilgun,K.U STAT:a real-time intrus ion d etection system for UNIX M S T hesis.Departmentof Computer Science,Universityof California,Santa Barbara,1992.23 Debar,H.,Dacier,M.Andreas wespi towardsa taxonomy of in tr usion-detection systems.Computer Netw orks,1999,31(8):805822.24 Lunt,T.F.,Jagannathan,R.,Edw ards,D.L.,et al.IDES the enhanced prototyp ea real time intrusion-detectionexpert system.T echnical Report,SRI-CSL-88-12,1988.25 http:/ http:/www.cs.purdu e.edu/coast/projects/aafid.html.27 Chen,S.,Tun g,B.,Schn ackenberg,D.Th e commonintrus ion detectionfram ework-data form ats.Internetdraftdraft-ietf-cidf-data-formats-00.txt,1998.28 Sekar,R.,Guang,Y.,Ver ma,S.,et al.A high-perform ance network intrusiondetection system.In:T sudik,G ed.Proceedings of the 6th Conference on Computer and Commun ication Security.New York:ACMPress,1999.817.29 Axelss on,S.T he base-rate fallacyand its implicationsfor the difficultyof intr usion detection.In:Ts udik,G ed.Pro-ceedings of the 6th Conference on Computer and Commun ication Security.New York:ACMPress,1999.17.30 Liu,M ei-lan,Yao,Jing-song.Intrusiondetection early warnin g systemand performance requirements.In:Qing,Si-han,Feng,Deng-guo eds.Informationand CommunicationSecurityCCICS99:First Chinese Conference Informationand Comm unication SecurityProceedings.Beijing:Science Press,2000.105111(in Chinese).附中文参考文献:9 边肇祺,阎平凡,杨存荣.模式识别.北京:清华大学出版社,1988.13 何华灿.人工智能导论.西安:西北工业大学出版社,1988.17 胡侃,夏绍玮.基于大型数据仓库的数据采掘:研究综述.软件学报,1998,9(1):5363.21 阮耀平,易江波,赵战生.计算机系统入侵检测模型与方法.计算机工程,1999,25(9):6365.30 刘美兰,姚京松.入侵检测预警系统及其性能设计.见:卿斯汉,冯登国编.信息和通信安全CCICS99:第 1 届 中国信息和通信安全学术会议论文集.北京:科学出版社,2000.105111.A Survey of IntrusionDetectionResearch on NetworkSecurityJIA NG Jian-chun,MA Heng-tai,REN Dang-en,QING Si-han(Eng ineering Research Center f or I nfor mation Security T echnology,T he Chinese A cademy of Sciences,B eijng 100080,China)E-mail:jianchu http:/www.ercis Received March 14,2000;accepted July 14,2000Abstract:Intrusio n detection is a highlighted topic of network securit y research in recent years.In this pa-per,fir st t he necessity of intr usion detection is presented,and its concepts and models are described.T hen,many intr usion detection techniques and archit ectures are summarized.Finally,the existing problems and thefuture direction in this field are discussed.Key words:network security;intr usion detection1466Journal of Softw ar