打造Linux安全堡垒入侵检测与预警

　　3.非线性的特征还没有有效的识别模型

　　入侵检测技术的难度不仅仅在于入侵模式的提取，更在于入侵模式的检测策略和算法。因为入侵模式是一个静态的事物，而现实的入侵活动则是灵活多变的。有效的入侵检测模型应能够接受足够大的时间跨度和空间跨度。从技术上说，入侵技术已经发展到一定阶段，而入侵检测技术在理论上、模型上和实践上还都没有真正发展起来。在市场上能够看得到的入侵检测系统也都处在同一水平上。我们分析，先进国家重要网络上配置的入侵检测系统应不是这一水平的技术，或者他们也在寻求其他更为有效的检测手段。

　　面对复杂的网络入侵活动，网络预警技术的研究不仅仅包括入侵技术的研究，而且要更重视建立入侵检测策略和模型的理论研究。

　　四、预警研究的主要内容

　　网络预警技术研究的内容主要包括：网络入侵技术研究、检测模型研究、审计分析策略研究等。通过将这些技术组合起来，形成一个互动发展的有机体。

　　1.入侵技术研究

　　入侵技术研究包括三个部分：

　　第一，密切跟踪分析国际上入侵技术的发展，不断获得最新的攻击方法。通过分析这些已知的攻击方法，丰富预警系统的检测能力。

　　第二，加强并利用预警系统的审计、跟踪和现场记录功能，记录并反馈异常事件实例。通过实例分析提取可疑的网络活动特征，扩充系统的检测范围，使系统能够应对未知的入侵活动。

　　第三，利用攻击技术的研究成果，创造新的入侵方法，并应用于检测技术。

　　2.检测模型研究

　　对于预警系统来说，确定检测模型是最重要的。由于入侵活动的复杂性，仅仅依靠了解入侵方法还不能完全实现预警，还应有适当的检测模型与之配合。在预警技术研究中，入侵检测模型是关键技术之一。

　　按入侵检测的手段来划分，入侵检测模型可以分为基于网络和基于系统两种模型。基于网络的模型通过实时监视网络上的数据流，来寻找具有网络攻击特征的活动；而基于系统的模型则通过分析系统的审计数据来发现可疑的活动。这两种模型具有互补性，基于网络的模型能够客观地反映网络活动，特别是能够监视到系统审计的盲区；而基于系统的模型能够更加精确地监视系统中的各种活动。基于网络的模型受交换网的限制，而基于系统的模型不受交换网的影响。

　　按入侵检测的策略来划分，入侵检测模型可以分为基于异常特征和基于正常特征两类模型。异常特征模型建立在已知的入侵模式库基础上，正常特征模型则建立在系统正常工作模式基础上。后一类模型包括两个方面：一是为用户和系统建立正常行为特征，二是观察实际的系统和用户活动与所建立的正常行为是否存在差异。

　　同样，这两类模型也具有互补性。异常特征模型能够精确地检测已知的入侵活动，误警率低；而对于一个确定的应用环境，正常特征模型会拥有一个比较精确的系统正常工作模式，从而发现一切偏离正常模式的活动，包括一些未知的入侵活动。

　　3.审计分析策略研究

　　预警技术研究的另一个重点是对审计数据的分析处理，其中包括威胁来源的识别、企图的判定、危害程度和能力的判断等。预警所产生的审计数据是检测与预警的宝贵资源。这些审计数据量可能很大，如果缺乏有效的分析手段，将会浪费这一资源。

　　21世纪的信息基础设施是社会各种活动的基础舞台，在可以预见的时间内，完全杜绝针对信息基础设施的不良行为是不可能的。强化管理加上必要的技术手段是解决问题的途径之一。