18、基于时间模块的主机快速攻击检测方法

基于时间模块的主机快速攻击检测方法

1. 引言

在过去十年里，有线和无线网络发生了巨大变革，这也改变了针对网络基础设施的攻击机制。互联网上免费攻击工具的出现，让新手攻击者也能发动复杂攻击，网络安全漏洞事件的增长与互联网的发展大致同步。因此，保护易受攻击的机器免受侵害至关重要，实施入侵检测系统（IDS）是保障机器安全的一种有效方法，它能降低组织内安全漏洞发生的可能性，保护组织资产的机密性、完整性和可用性。

在开发 IDS 之前，了解攻击的结构很重要。攻击可分为五个阶段：侦察、扫描、获取访问权限、维持访问权限和清除痕迹。前两个阶段是攻击者从潜在易受攻击的机器获取信息的初始阶段，可分为快速攻击和慢速攻击。快速攻击指在几秒内使用大量数据包或连接的攻击，而慢速攻击则需要几分钟或几小时才能完成。检测快速攻击有助于防止网络遭受早期攻击，减少攻击者进一步行动的可能性。然而，快速攻击检测技术需要合适的阈值机制来提高检测准确性，选择合适的技术仍是 IDS 开发者面临的主要问题。

为应对这一挑战，本文重点关注基于一秒时间间隔的阈值机制，以检测快速攻击。引入该阈值有助于减少 IDS 产生的误报，同时提高检测准确性。

2. 相关工作

入侵检测可分为主机型入侵检测系统、网络型入侵检测系统和混合型入侵检测系统。虽然类型不同，但目标都是检测入侵。入侵检测系统的检测方法可分为异常检测和特征检测。特征检测系统包含一系列攻击描述或特征，用于与审计数据流匹配，以寻找建模攻击的证据；异常检测系统则通过识别与网络或主机正常活动不同的流量或应用来识别入侵。

这两种方法都有缺点，误报是主要问题，也是阻碍反应式入侵检测系统进一步实施的原因。不过，异常检测能够在不更新