1.摘要如今,学校、银行、办公室等几乎所有机构都在使用与网络相关的设施,社交媒体变得如此流行,几乎人人都是“网民”。网络上的数据传输变得越来越直接和快速。已经实施了几种方法来将安全功能合并到与网络相关的问题中。然而,网络攻击频繁且持久,因此提出了入侵检测系统来保护计算机系统和网络。入侵检测系统有助于区分可能违反资源机密性、完整性或可用性的未经授权的活动或入侵。网络安全是计算机网络管理中最基本的问题。此外,入侵被认为是最明显的安全威胁。随着网络的发展,入侵检测已经成为网络安全的一个重点领域。本文的主要目的是系统地回顾在各种网络环境中使用的入侵检测方法和系统。2.引言互联网的相关方面是一个热门的研究领域,如云计算、大数据、人工智能等。随着Internet上提供的服务越来越多,威胁和恶意软件也随之增加。Globaldigital收集并综合了各种来源的数据,并发布了一份报告,显示2019年互联网用户大幅增加。2019年1月新增互联网用户3.66亿,新增用户43.9亿。与2018年1月相比,增加了9%。在另一份关于恶意软件的报告中,互联网安全中心公布了令人震惊的数字,显示2019年恶意软件活动总体增长了61%。图1显示了2015年至2017年前10个国家/地区的针对性攻击信息。在过去的十年中,取得了长足的进步在攻击和异常检测领域有所成就。使用旨在利用系统弱点的恶意代码集对系统进行任何不需要的访问都称为入侵。入侵检测系统是检测特定计算机或网络上的恶意活动的软件或硬件。IDS将检测漏洞并提醒系统管理员。图1:目标网络攻击排名前10位的国家/地区,2015-2017入侵检测系统就像网络中的防盗警报器,用于提醒系统中的任何恶意事件。这是在感染连接到任何网络的系统之前捕获入侵的最后手段。因此,可以在网络边界或主机级别部署入侵检测系统。入侵检测系统(IDS)是网络安全中最重要的根深蒂固的设备,因为它们可以部署在主机级别。根据它们的部署,它们分为网络入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS),如图2所示。图2:IDS的部署分类3.入侵检测系统的类型IDS可以根据用于检测入侵的方法、用于检测入侵的反应/响应方法、体系结构或虚拟机进行分类,如图3所示。图3:IDS的不同分类方法3.1基于检测入侵方法的分类结果根据检测入侵的方法,入侵检测系统大致可以分为两大类:误用检测和异常检测。3.1.1误用检测误用检测使用已知攻击的现成模板,也称为签名。无状态误用检测系统仅使用现有签名,而有状态误用检测系统也使用以前的签名。该方法因检测已知入侵的准确率高、误报率低而得到广泛应用,但因无法检测新的攻击而饱受诟病。解决这个问题的方法之一是定期更新数据库,但这不可行而且代价高昂。因此,异常检测技术应运而生。异常检测过程分析用户行为(https://www.elprocus.com/basic-intrusion-detection-system/)。在这种方法中,定义了单个用户的常规活动模型,并且该模型中的任何不一致都称为异常。异常检测方法又分为静态异常检测和动态异常检测两部分。静态异常检测基于仅检查系统固定部分的原则,例如操作系统软件,而动态异常检测从网络使用历史记录(有时称为配置文件)中提取模式。它设置了一个边缘来隔离资源的正常使用和异常使用。该策略可以识别攻击,但会导致误报率高,并且精度要求高。另一个缺点是如果攻击者知道受害者正在被分析,他可以逐渐改变分析来假装入侵者的恶意行为是正常的。3.1.2异常检测定期监控网络流量并将其与已知行为进行比较(图4)。在任何异常情况下,它都会发出警报。基于异常的IDS可以检测新的和独特的攻击,这必须被视为系统的优势。与误用检测相比,基于异常检测的IDS更好,因为它不需要先验知识,而且这种方法还可以检测到看不见的攻击。图4:异常检测运行机制3.2基于Reaction/Response方法的分类结果Reaction模块的主要目标是追溯性的,即确定攻击者使用路由器的顺序。检测模块以这种方式识别的入侵将触发后续的反应阶段事件。所有网络路由器协同工作以尽可能接近攻击源并在入侵检测模块中设置最适用的对策。在此分类规则下,IDS可分为被动式或主动式。被动IDS的详细流程在图5中进行了描述。图5:被动IDS的工作原理被动IDS的一个局限性是它只提醒系统或网络管理员并识别恶意软件操作。然后,要求管理员采取必要的措施。3.3基于不同体系结构的分类结果计算机系统和网络处理各种易受攻击的用户数据,这些数据容易受到来自内部和外部入侵者的不同攻击。例如,雅虎的数据泄露造成了350万美元的损失,比特币泄露造成了7000万美元的损失。由于设备、编程和系统配置方面的复杂算法和发展,包括最近物联网的改进,此类网络攻击不断发展。恶意攻击带来了真正的安全问题,导致需要创新、适应性强且更可靠的IDS。IDS应该能够主动检测入侵。它还应该能够有效地检测和防止网络或主机级别的入侵、不同类型的攻击或入侵。入侵检测系统分为基于网络的入侵检测系统和基于主机的入侵检测系统。IDS可以部署在主机上、网络上或两者(主机和网络)上,即混合部署。但这可能是一个昂贵的选择,并且对于运行计算量大的应用程序的客户来说可能是不可接受的。基于网络的IDS提供了一种不同的方法。它们非常便携,独立于操作系统,并且只监控特定网段上的流量。无论目标操作系统类型如何,部署的基于网络的入侵检测传感器都会侦听所有攻击。基于Web的解决方案跟不上繁忙的流量;但是,这样做更容易。结合基于主机和基于网络的功能的系统似乎是最合乎逻辑的方法,直观地称为混合方法。3.3.1基于主机的IDS(HIDS)基于主机的ID可以跟踪与单个主机关联的属性和事件。为主机建立了HIDS,确保对系统的持续监控。这些系统通常使用与目标计算机操作系统相关的信息。系统日志、文件访问和修改、传入和传出数据包、当前正在执行的进程以及HIDS监视的任何其他配置更改。可以通过在基于主机的IDS中写入日志、发送电子邮件等方式报告入侵。数据库用于存储对象和属性。HIDS也称为系统完整性验证器,因为它提供有关攻击的详尽信息。HIDS的局限性之一是,如果主机因攻击而宕机,HIDS也会宕机。另外,它需要安装在主机上;连宿主的资源都被利用了。尽管如此,HIDS在检测来自唯一主机的恶意活动方面优于NIDS。HIDS的热门产品有eXpert-BSM(BasicSecurityModule)、Emerald、DragonSquire、IntruderAlert、NFR(NetworkFlightRecorder)、HostIntrusionDetection、Snort。3.3.2Network-basedIDS(NIDS)通过不断分析流量并将其与库中已有的攻击进行比较,检查NIDS中单个网络或子网的流量。如果检测到攻击,将发送警报。首先,为了监控网络流量,它被部署在网络的重要位置。它通常放置在网络和服务器之间或沿着网络边界放置。该系统的主要目的是可以以低成本快速部署,而无需为每个系统部署它,如图6所示,它从根本上侧重于检测不同类型的入侵,例如计算机篡改、恶意软件的存在和恶意活动。NIDS的主要限制问题是如果攻击在防火墙范围内则无法检测到。当每个网络实体与内置NIDS接口交互时,它就像主机的防病毒软件一样工作。它还解耦了主机的操作系统,这被称为NIDS的主要优势。基于信号的检测和基于异常的NIDS是在网络中发现攻击者的两种现代方法。图6:NIDS的工作原理网络行为分析(NBA)系统研究系统流量以识别具有突发流量的攻击。它监视和检查网络流量以预测导致异常流量的威胁,例如DDOS攻击、病毒的存在和策略违规。NBA-IDS是协会内部系统中部署最频繁的IDS。有时它们可??以部署在可以过滤关联系统和外部系统之间的流量的地方。3.4基于虚拟机的分类结果Garfinkel和Rosenblum提出了虚拟机内省的想法,因为管理程序级别的入侵检测系统有助于将隔离合并到IDS中,同时提供对主机状态的可见性。该过程有助于构建虚拟机内省IDS是一个虚拟机监视器(VMM)。它是一种软件,可以虚拟化位于物理机器上的硬件。它还将物理机划分为逻辑虚拟机。图7显示了基于虚拟机内省的IDS(VMI-IDS)架构。基于虚拟机自检的IDS(VMI-IDS)侧重于在虚拟机上运行的进程以检测任何异常行为。图7:基于虚拟机内省的IDS(VMI-IDS)架构虚拟机入侵检测系统的分类如图8所示。它给出了虚拟机入侵检测系统的示例,例如IDSaaS和基于VMM的入侵检测系统,例如VMfence。图8:虚拟机入侵检测系统分类4.不同类型入侵检测系统的比较由于IDS的类型不同,这些IDS在不同的领域具有不同的用途和应用。基于签名的IDS根据存储在数据库中的签名或模式检测恶意活动。这些类型的IDS的缺点是它们无法检测到任何新的恶意活动。相比之下,基于异常的IDS能??够检测到任何新的异常或行为。如果比较基于网络的NIDS和基于主机的HIDS,前者部署在网络上,优点是可以方便地部署在现网中。NIDS的缺点是它们无法处理大量流量。此外,它们无法识别碎片化的加密流量和数据包。另一方面,HIDS监控主机日志中的流量。此外,HIDS还可以访问加密流量。HIDS的缺点包括它对主机资源的影响很大,并且主机可能容易受到直接攻击。为了克服单一IDS的缺点,混合或集成方法现在越来越流行。5、IDS未来趋势明显。现代网络容易受到攻击,需要使用有效的入侵检测系统来防止攻击。在不断发展的网络场景中,需要越来越多的研究来实现这一目标。使用入侵防御系统(IPS)防止入侵是许多研究人员取得进展的领域之一。一些研究人员试图解决特定的攻击,如DoS、DDoS、蜜罐、虫洞、黑洞、Sybil攻击等,而另一些研究人员则试图探索云、物联网和边缘网络等未开发领域的入侵检测和预防。参考文献1。Aldribi,A.、Traore′,I.、Moa,B.和Nwamuo,O.(2020)。基于管理程序的云入侵检测通过在线多变量统计变化跟踪。计算机与安全,88,101646.2。Alhamdoosh,M.,&Wang,D.(2014)。具有随机权重的快速去相关神经网络集成。信息科学,264,104–117.3。Alharkan,T.,&Martin,P.(2012)。IDSaaS:入侵检测系统作为公共云中的服务。在第12届IEEE/ACM集群、云和网格计算国际研讨会论文集中,第686–687.4页。Besharati,E.、Naderan,M.和Namjoo,E.(2019)。LR-HIDS:用于云环境的逻辑回归基于主机的入侵检测系统。环境智能与人性化计算杂志,10(9),3669–3692.5。Boer,P.D.,&Pels,M.(2005)。基于主机的入侵检测系统。阿姆斯特丹大学。https://www.delaat.net/rp/2004-2005/p19/report.pdf.6。钱德拉塞卡,A.,&放大器;Raghuveer,K.(2013)。一种使用神经模糊和径向SVM分类器进行入侵检测的有效技术。计算机网络与通信(NetCom),131,499–507.7。Chang,H.、Feng,J.和Duan,C.(2020)。HADIoT:物联网的分层异常检测框架。IEEE访问,8,154530–154539.8。Elmasry,W.、Akbulut,A.和Zaim,A.H.(2020)。使用双PSO元启发式算法发展用于网络入侵检测的深度学习架构。计算机网络,168,107042.9。Kesswani,N.,&Agarwal,B.(2020)。SmartGuard:一种基于物联网的智能家居入侵检测系统。国际智能信息和数据库系统杂志,13(1),61–71.10。Verma,A.和Ranga,V.(2020)。CoSec-RPL:使用异常值分析检测基于RPL的6LoWPAN中的模仿攻击。电信系统:建模、分析、设计和管理,75:43–61.11。Song,H.M.、Woo,J.和Kim,H.K.(2020)。我使用深度卷积神经网络的n-vehicle网络入侵检测。车辆通信,21,100198.12。Choudhary,S.,&Kesswani,N.(2019)。基于集群的物联网入侵检测方法2019年IEEE/ACS第16届计算机系统和应用国际会议(AICCSA)(第1-8页)。IEEE。
