1、?摘要

如今，幾乎所有機(jī)構(gòu)都在使用與網(wǎng)絡(luò)相關(guān)的設(shè)施，例如學(xué)校、銀行、辦公室等。社交媒體已經(jīng)變得越來(lái)越流行，以至于幾乎每個(gè)人都是一個(gè)“網(wǎng)民”。網(wǎng)絡(luò)上的數(shù)據(jù)傳輸變得越來(lái)越直接和快捷。目前已經(jīng)實(shí)施了幾種方法來(lái)將安全功能納入網(wǎng)絡(luò)相關(guān)問(wèn)題。但是，網(wǎng)絡(luò)攻擊是頻繁且持續(xù)的，因此提出了入侵檢測(cè)系統(tǒng)來(lái)保護(hù)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)。入侵檢測(cè)系統(tǒng)有助于區(qū)分可能侵犯資源機(jī)密性、完整性或可用性的未經(jīng)授權(quán)的活動(dòng)或入侵。網(wǎng)絡(luò)安全是計(jì)算機(jī)網(wǎng)絡(luò)管理中最基本的問(wèn)題。此外，入侵被認(rèn)為是對(duì)安全最明顯的危險(xiǎn)。隨著網(wǎng)絡(luò)的發(fā)展，入侵檢測(cè)已成為網(wǎng)絡(luò)安全的關(guān)鍵領(lǐng)域。本文的主要目的是對(duì)各種網(wǎng)絡(luò)環(huán)境中使用的入侵檢測(cè)方法和系統(tǒng)進(jìn)行系統(tǒng)的回顧。

2、引言

互聯(lián)網(wǎng)的相關(guān)方面是一個(gè)熱門(mén)的研究領(lǐng)域，比如云計(jì)算、大數(shù)據(jù)、人工智能等等。隨著互聯(lián)網(wǎng)上提供的服務(wù)越來(lái)越多，威脅和惡意軟件也在增加。Global digital收集并綜合了來(lái)自各種來(lái)源的數(shù)據(jù)，并發(fā)布了一份報(bào)告，該報(bào)告顯示2019年的互聯(lián)網(wǎng)用戶大量增加。增加了3.66億個(gè)互聯(lián)網(wǎng)用戶， 2019年1月新增用戶43.9億。與2018年1月相比，增長(zhǎng)了9%。在另一份關(guān)于惡意軟件的報(bào)告中，互聯(lián)網(wǎng)安全中心揭示了令人震驚的數(shù)據(jù)，表明惡意軟件活動(dòng)2019年總體增加了61%。圖1顯示了有關(guān)2015年到2017年中排名前10的國(guó)家/地區(qū)的針對(duì)性攻擊的信息。在過(guò)去的十年中，在攻擊和異常檢測(cè)領(lǐng)域已經(jīng)取得了很大的進(jìn)步。使用旨在利用系統(tǒng)弱點(diǎn)的惡意代碼集對(duì)系統(tǒng)進(jìn)行的任何不必要的訪問(wèn)都稱為入侵。入侵檢測(cè)系統(tǒng)是檢測(cè)特定計(jì)算機(jī)或網(wǎng)絡(luò)上的惡意活動(dòng)的軟件或硬件。IDS會(huì)檢測(cè)到該漏洞并向系統(tǒng)管理員發(fā)出警報(bào)。

圖1：在2015年到2017年中有針對(duì)性網(wǎng)絡(luò)的攻擊排名前10的國(guó)家/地區(qū)

入侵檢測(cè)系統(tǒng)就像網(wǎng)絡(luò)中的防盜警報(bào)一樣，其作用是對(duì)系統(tǒng)中的任何惡意事件發(fā)出警報(bào)。在感染連接到任何網(wǎng)絡(luò)的系統(tǒng)之前，這是可以捕獲入侵的最后手段。因此，入侵檢測(cè)系統(tǒng)可以部署在網(wǎng)絡(luò)外圍或部署在主機(jī)級(jí)別。入侵檢測(cè)系統(tǒng) (IDS) 是網(wǎng)絡(luò)安全中最重要的深入扎根設(shè)備，因?yàn)樗鼈兛梢圆渴鹪谥鳈C(jī)級(jí)別。根據(jù)它們的部署，對(duì)它們進(jìn)行分類，即網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) (NIDS) 和基于主機(jī)的入侵檢測(cè)系統(tǒng) (HIDS)，如圖2所示。

圖2：IDS按照部署分類

3、入侵檢測(cè)系統(tǒng)的類型

IDS可以基于檢測(cè)入侵的方法、檢測(cè)入侵的反應(yīng)/響應(yīng)方法、體系結(jié)構(gòu)或虛擬機(jī)來(lái)分類，如圖3所示。

圖3：IDS不同的分類方法

3.1基于檢測(cè)入侵的方法的分類結(jié)果

根據(jù)用于檢測(cè)入侵的方法，入侵檢測(cè)系統(tǒng)可以大致分為兩類: 誤用檢測(cè)和異常檢測(cè)。

3.1.1誤用檢測(cè)

誤用檢測(cè)使用已知攻擊的即用模板，也稱為簽名。無(wú)狀態(tài)誤用檢測(cè)系統(tǒng)僅使用現(xiàn)有簽名，而有狀態(tài)誤用檢測(cè)系統(tǒng)也使用以前的簽名。該方法已被廣泛使用，因?yàn)楦呔_度發(fā)現(xiàn)已知入侵低誤報(bào)率，但批評(píng)無(wú)法檢測(cè)新的攻擊，解決這個(gè)問(wèn)題的解決方案之一是定期更新數(shù)據(jù)庫(kù)，但這是不可行的和昂貴的。

因此，異常檢測(cè)技術(shù)應(yīng)運(yùn)而生。異常檢測(cè)處理分析用戶行為 (https://www.elprocus.com/ basic-intrusion-detection-system/)。在這種方法中，定義了單個(gè)用戶的常規(guī)活動(dòng)模型，并且該模型中的任何不一致性都稱為異常。異常檢測(cè)方法進(jìn)一步分為兩部分: 靜態(tài)異常檢測(cè)和動(dòng)態(tài)異常檢測(cè)。靜態(tài)異常檢測(cè)基于這樣的原理，即像操作系統(tǒng)軟件一樣只對(duì)系統(tǒng)的固定部分進(jìn)行檢查，而動(dòng)態(tài)異常檢測(cè)則從網(wǎng)絡(luò)使用歷史中提取模式 (有時(shí)稱為配置文件)。它設(shè)置邊緣以將普通使用與資源的異常使用隔離開(kāi)。此策略可以識(shí)別攻擊，但可能會(huì)導(dǎo)致高誤報(bào)率，并且需要高精度。另一個(gè)缺點(diǎn)是，如果攻擊者知道被攻擊者正在被配置文件，他可以逐漸更改配置文件以假裝入侵者的惡意行為正常。

3.1.2異常檢測(cè)

定期監(jiān)視網(wǎng)絡(luò)流量，并將其與已知行為進(jìn)行比較 (圖4)。在任何異常情況下，它會(huì)發(fā)出警報(bào)?；诋惓５腎DS可以檢測(cè)新的和獨(dú)特的攻擊，必須將其視為該系統(tǒng)的優(yōu)勢(shì)。與誤用檢測(cè)相比，基于異常檢測(cè)的IDS更好，因?yàn)椴恍枰舻南闰?yàn)知識(shí)，并且該方法也可以檢測(cè)看不見(jiàn)的攻擊。

圖4：異常檢測(cè)運(yùn)行機(jī)制

3.2基于反應(yīng)/響應(yīng)方法的分類結(jié)果

反應(yīng)模塊的主要目標(biāo)是追溯，即確定攻擊者使用的路由器的順序。檢測(cè)模塊以這種方式識(shí)別的入侵將觸發(fā)隨后的反應(yīng)階段事件。所有網(wǎng)絡(luò)路由器都合作以盡可能接近攻擊源，并在入侵檢測(cè)模塊中設(shè)置最適用的對(duì)策。這種分類規(guī)則下IDS可以分為被動(dòng)或主動(dòng)。被動(dòng)IDS的詳細(xì)流程在圖5中描述。

圖5：被動(dòng)IDS的運(yùn)行機(jī)制

被動(dòng)IDS的一個(gè)限制是它僅向系統(tǒng)或網(wǎng)絡(luò)管理員發(fā)出警報(bào)并識(shí)別惡意軟件的操作。然后，要求管理員采取必要的行動(dòng)。

3.3基于不同體系結(jié)構(gòu)的分類結(jié)果

計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)處理各種易受攻擊的用戶數(shù)據(jù)，這些數(shù)據(jù)容易受到來(lái)自內(nèi)部和外部入侵者的不同攻擊。例如，雅虎的數(shù)據(jù)泄露造成了350萬(wàn)美元的損失，比特幣的泄露造成了7000萬(wàn)美元的損失。由于復(fù)雜的算法以及設(shè)備，編程和系統(tǒng)配置的發(fā)展，包括物聯(lián)網(wǎng)的最新改進(jìn)，此類網(wǎng)絡(luò)攻擊正在不斷發(fā)展。惡意攻擊提出了真正的安全問(wèn)題，導(dǎo)致需要?jiǎng)?chuàng)新，適應(yīng)性強(qiáng)且更可靠的IDS。IDS應(yīng)該能夠主動(dòng)檢測(cè)到入侵。它還應(yīng)該有效地檢測(cè)和防止入侵、不同類型的攻擊或網(wǎng)絡(luò)級(jí)或主機(jī)級(jí)的入侵。入侵檢測(cè)系統(tǒng)分為基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。

IDS可以部署在主機(jī)上，網(wǎng)絡(luò)上，或兩者 (主機(jī)和網(wǎng)絡(luò))，即混合。但這可能是一個(gè)昂貴的選擇，對(duì)于運(yùn)行計(jì)算貪婪的應(yīng)用程序的客戶來(lái)說(shuō)可能是不可接受的?；诰W(wǎng)絡(luò)的IDS提供了一種不同的方法。它們非常便攜，獨(dú)立于操作系統(tǒng)，僅監(jiān)視特定網(wǎng)段上的流量。在目標(biāo)操作系統(tǒng)類型的任何情況下，所有攻擊都將由部署的基于網(wǎng)絡(luò)的入侵檢測(cè)傳感器偵聽(tīng)?；诰W(wǎng)絡(luò)的解決方案無(wú)法跟上繁忙的流量; 但是，更容易實(shí)現(xiàn)。結(jié)合基于主機(jī)和基于網(wǎng)絡(luò)的特征的系統(tǒng)看起來(lái)像是最合乎邏輯的方法，直觀地稱為混合方法。

3.3.1基于主機(jī)的IDS（HIDS）

基于主機(jī)的id可以跟蹤與單個(gè)主機(jī)相關(guān)的屬性和事件。已經(jīng)為主機(jī)建立了HIDS，以確保對(duì)系統(tǒng)進(jìn)行持續(xù)監(jiān)控。這些系統(tǒng)通常使用與目標(biāo)計(jì)算機(jī)的操作系統(tǒng)相關(guān)的信息。系統(tǒng)日志、文件訪問(wèn)和修改、傳入和傳出數(shù)據(jù)包、當(dāng)前正在執(zhí)行的進(jìn)程以及HIDS監(jiān)視任何其他配置更改。入侵可以通過(guò)基于主機(jī)的IDS中寫(xiě)入日志、發(fā)送電子郵件等來(lái)報(bào)告。數(shù)據(jù)庫(kù)用于存儲(chǔ)對(duì)象和屬性。HIDS也被稱為系統(tǒng)完整性驗(yàn)證器，因?yàn)樗峁┝擞嘘P(guān)攻擊的詳盡信息。HIDS的局限性之一是，如果主機(jī)由于攻擊而關(guān)閉，則HIDS也會(huì)關(guān)閉。

此外，它需要安裝在主機(jī)上; 甚至主機(jī)的資源也被利用。盡管如此，在檢測(cè)唯一主機(jī)的惡意活動(dòng)方面，HIDS超過(guò)了NIDS。HIDS的流行產(chǎn)品是eXpert-BSM(Basic Security Module)、Emerald、Dragon Squire、Intruder Alert、NFR (Network Flight Recorder)、Host Intrusion Detection、Snort.

3.3.2基于網(wǎng)絡(luò)的IDS（NIDS）

通過(guò)連續(xù)分析流量并將其與庫(kù)中已有的攻擊進(jìn)行比較，在NIDS中檢查單個(gè)網(wǎng)絡(luò)或子網(wǎng)的流量。如果檢測(cè)到攻擊，將發(fā)送警報(bào)。首先，為了監(jiān)視網(wǎng)絡(luò)流量，將其部署在網(wǎng)絡(luò)的重要位置。它通常放置在網(wǎng)絡(luò)和服務(wù)器之間或與網(wǎng)絡(luò)邊界一起。該系統(tǒng)的主要目的是可以以較低的成本快速部署，而無(wú)需為每個(gè)系統(tǒng)部署它，如圖6所示，它從根本上專注于檢測(cè)不同類型的入侵，如計(jì)算機(jī)篡改、惡意軟件的存在和惡意活動(dòng)。NIDS的主要限制問(wèn)題是，如果攻擊在防火墻范圍內(nèi)，攻擊是無(wú)法檢測(cè)到的。當(dāng)每個(gè)網(wǎng)絡(luò)實(shí)體與內(nèi)置的NIDS接口交互時(shí)，它的工作原理就像主機(jī)的防病毒軟件。它還可以解耦主機(jī)的操作系統(tǒng)，這被稱為NIDS的主要好處?；谛盘?hào)的檢測(cè)和基于異常的NIDS是發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)攻擊者的兩種現(xiàn)代方法。

圖6：NIDS的運(yùn)行機(jī)制

網(wǎng)絡(luò)行為分析 (NBA) 系統(tǒng)研究系統(tǒng)流量，以識(shí)別具有突發(fā)流量流的攻擊。它監(jiān)視和檢查網(wǎng)絡(luò)流量，以預(yù)測(cè)導(dǎo)致異常流的威脅，例如DDOS攻擊，病毒的存在以及違反策略的行為。NBA-IDS是協(xié)會(huì)內(nèi)部系統(tǒng)上部署最頻繁的IDS。有時(shí)，它們可以部署在可以篩選關(guān)聯(lián)系統(tǒng)和外部系統(tǒng)之間的流的地方。

3.4基于虛擬機(jī)的分類結(jié)果

Garfinkel和Rosenblum 提出了虛擬機(jī)內(nèi)省的想法，因?yàn)樘摂M機(jī)管理程序級(jí)別的入侵檢測(cè)系統(tǒng)有助于將隔離納入IDS，同時(shí)提供對(duì)主機(jī)狀態(tài)的可見(jiàn)性。該過(guò)程有助于構(gòu)建虛擬機(jī)自省IDS是虛擬機(jī)監(jiān)視器 (VMM)。它是一個(gè)軟件，虛擬化位于物理機(jī)器上的硬件。它還將物理機(jī)劃分為邏輯虛擬機(jī)。圖7顯示了基于虛擬機(jī)自省的IDS (VMI-IDS) 體系結(jié)構(gòu)。基于虛擬機(jī)內(nèi)省的IDS (VMI-IDS) 關(guān)注虛擬機(jī)上運(yùn)行的進(jìn)程來(lái)檢測(cè)任何異常行為。

圖7：基于虛擬機(jī)自省的IDS (VMI-IDS) 體系結(jié)構(gòu)

虛擬機(jī)入侵檢測(cè)系統(tǒng)分類如圖8所示。它舉例分類了虛擬機(jī)入侵檢測(cè)系統(tǒng)，如IDSaaS，基于VMM的入侵檢測(cè)系統(tǒng)，如VMfence。

圖8：虛擬機(jī)入侵檢測(cè)系統(tǒng)分類

4、不同類型入侵檢測(cè)系統(tǒng)的比較

由于存在不同類型的IDS，這些IDS在不同的領(lǐng)域中具有不同的實(shí)用程序和應(yīng)用程序?；诤灻腎DS根據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中的簽名或模式來(lái)檢測(cè)惡意活動(dòng)。這類IDS的缺點(diǎn)是它們無(wú)法檢測(cè)到任何新的惡意活動(dòng)。相反，基于異常的IDS能夠檢測(cè)任何新的異?；蛐袨椤?/p>

如果我們比較基于網(wǎng)絡(luò)的NIDS和基于主機(jī)的HIDS，則前者部署在網(wǎng)絡(luò)上，優(yōu)點(diǎn)是可以輕松地部署在現(xiàn)有網(wǎng)絡(luò)中。NIDS的缺點(diǎn)是它們無(wú)法處理大量流量。此外，他們無(wú)法識(shí)別碎片的加密流量和數(shù)據(jù)包。另一方面，HIDS監(jiān)視主機(jī)日志上的流量。此外，HIDS還可以訪問(wèn)加密流量。HIDS的缺點(diǎn)包括它對(duì)主機(jī)資源的影響很大，并且主機(jī)可能容易受到直接攻擊。

為了克服一種IDS的缺點(diǎn)，如今混合或集成方法變得越來(lái)越流行。

5、IDS的未來(lái)趨勢(shì)

很明顯，現(xiàn)代的網(wǎng)絡(luò)容易受到攻擊，需要使用有效的入侵檢測(cè)系統(tǒng)來(lái)防止攻擊。在不斷發(fā)展的網(wǎng)絡(luò)場(chǎng)景中，需要越來(lái)越多的研究來(lái)實(shí)現(xiàn)這一目標(biāo)。使用入侵防御系統(tǒng) (IPS) 預(yù)防入侵是許多研究人員正在進(jìn)步的領(lǐng)域之一。一些研究人員試圖解決特定的攻擊，如DoS，DDoS，蜜罐，蟲(chóng)洞，黑洞，Sybil攻擊等，而另一些研究人員則試圖探索云，物聯(lián)網(wǎng)和邊緣網(wǎng)絡(luò)等未開(kāi)發(fā)領(lǐng)域的入侵檢測(cè)和預(yù)防。

參考文獻(xiàn)

1. Aldribi, A., Traore′, I., Moa, B., & Nwamuo, O. (2020). Hypervisor-based cloud intrusion detection through online multivariate statistical change tracking. Computers & Security, 88, 101646.

2. Alhamdoosh, M., & Wang, D. (2014). Fast decorrelated neural network ensembles with random weights. Information Sciences, 264, 104–117.

3. Alharkan, T., & Martin, P. (2012). IDSaaS: Intrusion detection system as a service in public clouds. In Proceedings of the 12th IEEE/ACM International Symposium on Cluster, Cloud and Grid Computing, pp. 686–687.

4. Besharati, E., Naderan, M., & Namjoo, E. (2019). LR-HIDS: Logistic regression host-based intrusion detection system for cloud environments. Journal of Ambient Intelligence and Humanized Computing, 10(9), 3669–3692.

5. Boer, P. D., & Pels, M. (2005). Host-based intrusion detection systems. Amsterdam University. https://www.delaat.net/rp/2004- 2005/p19/report.pdf.

6. Chandrasekhar, A., & Raghuveer, K. (2013). An effective technique for intrusion detection using neuro-fuzzy and radial SVM classifier. Computer Networks & Communications (NetCom), 131, 499–507.

7. Chang, H., Feng, J., & Duan, C. (2020). HADIoT: A hierarchical anomaly detection framework for IoT. IEEE Access, 8, 154530–154539.

8. Elmasry, W., Akbulut, A., & Zaim, A. H. (2020). Evolving deep learning architectures for network intrusion detection using a double PSO metaheuristic. Computer Networks, 168, 107042.

9. Kesswani, N., & Agarwal, B. (2020). SmartGuard: An IoT-based intrusion detection system for smart homes. International Journal of Intelligent Information and Database Systems, 13(1), 61–71.

10. Verma, A., & Ranga, V. (2020). CoSec-RPL: Detection of copycat attacks in RPL based 6LoWPANs using outlier analysis. Telecommunication Systems: Modelling, Analysis, Design and Management, 75:43–61.

11. Song, H. M., Woo, J., & Kim, H. K. (2020). In-vehicle network intrusion detection using deep convolutional neural network. Vehicular Communications, 21, 100198.

12. Choudhary, S., & Kesswani, N. (2019). Cluster-based intrusion detection method for internet of things. In 2019 IEEE/ACS 16th International Conference on Computer Systems and Applications (AICCSA) (pp. 1–8). IEEE.?