通信網絡與信息技術2007(全4冊)-第三十二章無線與衛星通信（三）

通入入侵檢測係統自從1986年Dorothy Denning提出入侵檢測模型以來，入侵檢測模型不斷發展。目前一種比較通用的入侵檢測模型。該模型將基於行為的檢測和基於知識的檢測有效地結合在一起。

入侵檢測技術是監視係統中違背係統安全策略行為的過程。可以規範地劃分為三個功能模塊：數據源、分析引擎和響應。數據源提供用於係統監視的記錄流；分析引擎用於對數據源提供的數據進行分析，發現入侵或異常行為；響應根據分析引擎的輸出結果，產生適當的反應。三個模塊相輔相成。

入侵檢測技術可以分別從數據源、分析引擎和響應這三個角度進行分類。根據數據源的不同，通常可以分為基於主機、網絡、應用和目標類型。針對分析引擎分類，分為異常入侵檢測和誤入侵檢測兩大類。從響應的角度來看，包括主動響應、被動響應及混合響應三種模式。

分析引擎中，異常入侵檢測用來發現異常事件，檢測新的未知或其他情況。它基於任何一種入侵都可以由其偏離正常或所期望係統以及用戶活動的規律被檢測出來的原理。異常檢測不依賴於具體行為是否出現，有著較強的通用性，不易受已知脆弱性的限製。目前，概率統計分析和神經網絡是異常入侵檢測的主要方法。誤用入侵檢測直接運用收集的各種知識，搜索“壞”信息，進行模式匹配，任何不符合特定匹配條件的活動均被視為合法。誤用檢測依賴於具體特征庫進行判斷，它保護了異常檢測的完整性。目前，專家係統、模型推理、狀態轉換分析等方法是誤用入侵檢測的主要方法。

3.移動代理入侵檢測係統

3.1係統結構

為了克服adhoc網絡的脆弱性，保證adhoc網絡的有效性、保密性、完整性、鑒別和抗抵賴的安全特性，本文研究的入侵檢測係統拋棄了預定義和集中控製模式，是基於分布式模式的入侵檢測係統。

前提：非法行為和合法行為是可區分的。整個入侵檢測係統是物理安全的，信任係統物理駐留環境能夠保護係統免受物理入侵。

本文參考了Y.Zhang和W.Lee等人提出的分布式體係結構，提出了基於簇的分布式體係結構，克服了adhoc網絡沒有清晰物理邊界，信息易於泄漏的嚴重缺陷。信任是對係統實體的期望行為和實際行為的一致性信賴。信任程度取決於對期望行為和實際行為一致性的相信程度。本體係結構保證在adhoc網絡中的每個主機都具有入侵檢測係統，並依據基於信任的成簇策略實現成簇，在每個簇內有一個簇首。通過在簇內和簇間的信任主機之間的動作（如移動代理遷移、協商算法和響應等）真正實現分布式入侵檢測模式。

3.移動代理入侵檢測係統

3.1係統結構

前提：非法行為和合法行為是可區分的。整個入侵檢測係統是物理安全的，信任係統物理駐留環境能夠保護係統免受物理入侵。

在入侵檢測技術中，數據源是入侵檢測係統選擇的輸入數據。雖然應用於不同的環境和不同的係統安全策略，入侵檢測係統在具體的實現上有所不同。但是如何選擇正確的數據源，如何進行合適並高效的預處理，是任何入侵檢測係統都需要首先解決的問題。