入侵檢測系統的發展方向

     大數據挖掘

　　大數據是目前網絡安全的熱門話題，入侵檢測也不例外。傳統的入侵檢測關注邊界的數據，而現在各組織更加關注內部的大數據——日志數據。這一類的研究目前大多集中在大型IT 公司或運營商內部，利用第一手的各類日志數據進行挖掘研究。今年的RAID 2012 會議中來自美國最大的ISP 運營商AT&T 的研究人員基于網絡設備的訪問日志設計并實現了一個特殊的入侵檢測系統ALERT-ID。對于運營商而言，數以萬計的路由器、交換機和防火墻等網絡設備是最重要的保護對象，如果被人惡意篡改了這些設備的規則，就可能造成嚴重的拒絕服務或者隱私泄漏攻擊。文章研究者基于設備的訪問日志從三個方面研究了網絡設備的訪問行為。首先是失敗登錄嘗試，一般而言，這是最容易被想到的行為，正常用戶不會輸錯密碼或者只會錯一兩次，而多次的輸入密碼錯誤就意味著一次可能的暴力密碼攻擊。其次是登錄訪問行為，作者從登錄地址、賬戶的關系以及“跳板” (stepping-stone)行為來分析建立每臺設備的正常用戶行為。一般而言，每臺設備的管理者應該從相對固定的IP 或者子網來使用相同的賬號進行登錄，當然由于設備的性質不同，每臺設備上的管理者的行為也可能不同，所以這里需要為每臺設備建立自己的管理者登錄行為模型?！疤濉笔且环N比較特殊的登錄行為，用戶并不直接從自己的主機登錄網絡設備，而是登錄到其他網絡設備后再跳轉到最終的網絡設備?！疤濉毙袨樵谡５木W絡管理中并不常見，所以也被作為行為模型的重要依據。最后作者為每個用戶(賬號)的行為建立模型。每個用戶(賬號)登錄設備的時間、頻率、以及其在設備上執行的操作都應該有其規律性，文章作者依據這些因素來檢查賬號的行為是否符合正常。對于作者采用的算法而言，依然是傳統的基于統計的異常檢測方法，主要的創新在于將算法應用到了大型運營商的網絡管理行為中。

　　信息聯動

　　入侵檢測系統一般各看各家，每家的系統只管自己的網絡，但現實中的攻擊卻往往是遍地開花，因此入侵系統之間的信息共享和聯動往往能借他人的信息，保自己的安全。入侵檢測系統Bro 的開發團隊提出了一個開放的框架為入侵檢測系統添加實時情報共享的功能。Bro 的開發者指出，盡管目前在一些大型組織內部，已經開始建立了基于聯邦制的信息共享平臺，但這些信息平臺的共享目前還不能很好地和入侵檢測系統聯動起來。究其原因是，信息是動態產生的，但入侵檢測系統的規則是靜態的，大多數的入侵檢測系統更新規則需要規則的重新編譯和系統的重啟過程，因此所謂的信息聯動也只能是一個半實時的過程。為了真正實現信息的聯動，研究人員提出需要將共享的信息實時加入到入侵檢測系統的決策和響應過程中，并基于Bro 的實現模型提出了一個開放的框架，該框架可以接受任何符合JSON 格式輸入的實時信息，并在運行環境證明該框架對系統造成的性能損失有限。

　　專業領域的檢測

　　除了通用的入侵檢測技術，在各種專門領域的入侵檢測技術是RAID 討論的熱點。來自比利時的研究人員討論了針對Flash 文件的各類ActionScript 攻擊代碼，并基于常見CVE 漏洞攻擊技術的特征提出了一種基于樸素貝耶斯網絡進行合法與惡意代碼的分類的算法。來自盧森堡的研究人員則討論了釣魚域名的響應方法。常見的釣魚域名響應是發現釣魚網站的攻擊后再將該域名加入黑名單，可這時往往釣魚網站已經造成了對用戶的傷害和損失。研究人員提出根據歷史釣魚域名的特征進行分詞重構以推測可能出現的新的釣魚域名，并即時監控域名注冊信息，一旦這些被預測的釣魚域名被注冊，就可以立即被發現并做出響應。隨著計算機技術的發展，一些意想不到的領域也應用了入侵檢測技術，如智能電網。來自喬治亞理工學院的研究人員提出了專門針對智能電網的入侵檢測技術來解決電網領域中一種特殊的入侵——竊電。研究人員將傳統的統計算法應用到智能電表的電量觀測值變化上，通過觀測值與歷史值的比較來評估是否竊電現象的發生。