非法获取计算机信息系统数据罪-基于专家系统的入侵检测技术

来源：长昊商业秘密律师（非法获取计算机信息系统数据罪、非法获取计算机信息系统数据）

一、入侵检测系统分类

1.按照输入数据来源分
（1）基于主机的入侵检测系统。基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名以发现它们是否匹配。如果匹配,检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS（入侵检测系统）可以精确地判断入侵事件,并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断应用层的入侵事件。基于主机的IDS有着明显的优点：①非常适合于加密和基于主机的交换环境；②实时的检测和响应；③不需要额外的硬件。同时也存在着一些不足，会占用主机的系统资源，增加系统负荷，而且针对不同的操作平台，必须开发出不同的程序。

（2）基于网络的入侵检测系统。基于网络的入侵检测系统把原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务。它的攻击识别模块进行攻击签名识别的方法有：模式、表达式或字节码匹配；频率或阈值比较；次要事件的相关性处理；统计异常检测。一旦检测到攻击，IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。

（3）分布式入侵检测系统。为了将上述两种IDS的优势结合起来以取长补短，并且为了应付更加复杂的入侵方式，分布式入侵检测系统（DIDS）被提了出来。一个完备的入侵检测系统一定是基于主机和基于网络两种方式兼备的分布式系统。

2．按照采用的检测技术来分
（1）异常检测。异常检测，也被称为基于行为的检测，其基本前提是：假定所有的入侵行为都是异常的。原理：首先建立系统或用户的正常行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓判断是否发生了入侵，而不是依赖于具体行为是否出现来进行检测的，从这个意义上来讲，异常检测是一种间接的方法。

（3）误用检测。误用检测，也被称为基于知识的检测，其基本前提是：假定所有可能的入侵行为都能被识别和表示。原理：首先对已知的攻击方法进行攻击签名（攻击签名是指用一种特定的方式来表示已知的攻击模式）表示，然后根据已经定义的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是直接判断攻击签名的出现与否来判断入侵的，从这一点来看，它是一种直接的方法。

二、常用入侵检测技术

1.异常入侵检测
异常入侵检测技术定义数据库的方式可以说和误用入侵检测系统相反，它通过收集过去大量的历史活动资料并分析得到正常或合法活动的模型，当检测器检测到当前活动偏离正常模型时，就会发出警告，即任何不符合以往活动规律的行为都被视为入侵行为。因此，它的检测能力完整性很高，但是要保证较高的正确性就变得很困难。这种检测技术的优点是能够发现任何企图发掘、试探系统更新和未被发现漏洞的尝试，与误用检测相比，它更少地依赖于特定的操作系统环境，对合法用户越权违法行为的检测能力也大大增强。

2.基于主机的入侵检测
基于主机的入侵检测技术是入侵检测最早的应用领域，检测器分析主机提供的审计数据，然后给出关于怀疑为不安全行为的报告。它的主要优点包括以下几个方面：（1）性价比高：主机数量越少，该方法的性价比就越高。（2）更加细腻：该方法更容易检测那些在协议的线索中很难被发现的活动。（3）视野集中：一旦入侵者得到了主机的用户名和密码，基于主机的代理最有可能区分正常和非法的活动。（4）易于用户剪裁：每个主机都有自己的代理，方便用户剪裁。（5）较少的主机：不需要增加专门的硬件平台。（6）对网络流量不敏感：用代理方式一般不会因为网络流量的增大而丢失对网络行为的监控。

3.基于网络的入侵检测
基于网络的入侵检测是人们用特定的工具软件（如嗅探器）来实时截获网络数据包，并从中找出入侵痕迹。此外，许多针对服务器的攻击也能通过分析数据包的载荷，找出有效的命令来防御。管理员可以在若干关键网络节点上进行安装，基本上覆盖全部网络来对大部分攻击手段进行防御。

4.基于用户行为概率统计模型的入侵检测技术
这种入侵检测技术是基于对用户历史行为建模，审计系统实时地检测用户对系统的使用情况，根据系统内部保存的用户行为概率统计模型进行检测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当用户改变他们的行为习惯时，这种异常就会被检测出来。

5.基于神经网络的入侵检测技术
这种技术是利用神经网络技术来进行入侵检测。因此，这种技术对用户行为具有学习和自适应功能，能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断。

6.基于专家系统的入侵检测技术
该技术根据安全专家对可疑行为进行分析的经验来形成一套推理规则，然后在此基础上建立相应的专家系统，由此专家系统自动对所涉及的入侵行为进行分析，该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。

7.基于模型推理的入侵检测技术
该技术根据入侵者在进行入侵时所执行程序的某些行为特征，建立一种入侵行为模型，根据这种行为模型所代表的入侵意图的行为特征，来判断用户执行的操作是否属于入侵行为。当然这种方法也是建立在对当前已知的入侵行为的基础之上的，对未知的入侵方法所执行的行为程序的模型识别需要进一步地学习和扩展。

三、入侵检测技术的发展方向

近年来，入侵检测技术的主要发展方向：（1）分布式入侵检测与通用入侵检测架构：传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络监测明显不足，同时，不同的IDS系统之间不能协同工作，为解决这一问题，需要分布式入侵检测技术与通用入侵检测架构。

（2）智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，即常用的神经网络、遗传算法、模糊技术、免疫原理、专家系统等方法。
（3）全面的安全防御方案：将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位对所关注的网络作全面的评估，然后提出可行的全面解决方案。
入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应。随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。入侵检测产品仍具有较大的发展空间，从技术途径来讲，除了完善常规的、传统的技术外，应重点加强统计分析的相关技术研究。入侵检测是保护计算机网络信息安全的重要途径，对网络应用的发展具有重要意义与深远影响，研究与开发自主知识产权的IDS系统将成为我国计算机网络信息安全领域的重要课题。