入侵检测技术算法的改进与应用研究

摘要：入侵检测技术是一种对入侵行为主动发掘的技术，其工作原理是通过从计算机的关键节点或计算机网络中收集数据链路层的数据包进行分析，根据既定的规则，从中检测是否存在违反安全策略的访问和攻击网络或系统的行为。目前的入侵检测技术尽管起到了很大的作用但也存在很多的不足，基于此，笔者提出了一种为了弥补不足，增加检测能力，提高了检测的速度为宗旨的改进的Web入侵检测模型，该入侵检测模型通过数据流与日志分析相融合的方式，极大地提高了入侵检测系统的有效性和实用性。

关键词：入侵检测技术；算法；模型

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）09-0072-02

随着Internet不断发展的同时，网站上出现入侵攻击的现象也愈发常见。跟据统计显示，大约每20秒就有一次入侵事件发生，网站犯罪每年以20%-30%速度增加，全球每年因网站非法入侵等情况而遭受的各种损失已至百亿级别。

在中国绝大多数的网站都有安全缺陷，不少网站都遭受到过入侵攻击，这一情况对我国网站信息安全产生极坏的影响。与此同时，随着网站安全防范技术的增强，网站入侵攻击的手段方法也愈发多变、隐蔽、难以发觉。非法入侵者使用的入侵手段已不只是木马、感染、网页脚本和黑客后门等，比方说超级蠕虫、隐蔽攻击等更高级攻击技术也开始出现。因此，研究入侵检测技术算法的改进与应用已经成为必要的问题。

1 入侵检测技术

入侵检测系统（Intrusion Detection System， IDS）是一种主动保护自己免受伤害的网络安全设备，主要负责采集系统中关键节点的数据，通过对数据的分析处理，发现危害系统的行为，同时对该种行为做出相应的防御，网络管理者可以通过它实时地了解网络的实际情况。

目前，入侵检测技术多种多样，涵盖了各个领域，每种技术都有各自的优势与长处，也有各自的特点，人们采用不同的划分标准区别各种各样的入侵检测技术，其中比较被大多数人认可的五种划分方式是反应机制、检测所采取的技术、数据的来源、体系结构以及反应快慢，在这五种方式中，每种都含有不同的检测技术

1）基于主机的入侵检测

入侵检测技术的初期阶段，入侵检测技术的应用是不尽如人意的，也因此出现了非常严重的入侵问题，例如，根据计算机密码配置文件的入侵程序，间接或直接的非法访问，使用SUID等入侵程序获取访问权限等。通常，当主机遭到入侵之后，入侵者的操作会留在系统的日志中。这样，利用日志分析技术可以来检测入侵主机之后到底发生了什么。基于日志分析的检测技术十分依赖于主机日志记录的准确性和严谨性。如果日志遭到破坏或篡改，将没有本法很好的分析入侵行为。

2）基于网络的入侵检测

基于网络的入侵检测和以往的入侵检测技术存在的区别，主要就是不再是被动地检测主机系统日志，主动在网络分组数据流进行实时监控网络，以检测可疑的活动。使用旁路时，侦听器的工作机制，以相应的收集数据，对可疑行为分析检验。基于网络的入侵检测技术，在利用实时监控的同时可以不改变系统配置进行入侵检测，丝毫不用影响正常的网络服务。

2 规则匹配算法

基于规则匹配算法的入侵检测系统是在1995年由外国学者Sandeep Kumar提出的，其主要思想是将规则规则与网络中捕获并解码分析的数据包进行匹配，通过检测引擎模块检测网络中是否含有非法入侵行为。

Sandeep Kumar首次引出入侵信号的层次性概念，将入侵信号区分为不同的抽象层次，具体来说，主要有四个层次，分别是存在、序列、规则表示及其他。

1）存在（Existence）

存在规则又称匹配规则，在对系统进行定期检查的过程中，发现含有入侵信号的审计事件，表明有入侵企图。

2）序列（Sequence）

序列规则可以理解为入侵行为是按照一定次序发生的，在系统的审计事件中用连续峰值体现出来。

3）规则表示（Regular Expressions）

该规则用规则表示式构成，一般情况下，都是一些没有顺序关系的活动，用逻辑表达式将这些活动事件连接起来。

4）其他（Others Pattern）

这种规则的入侵信号用以上三种规则都不能表示，内部否定是其中一种比较重要的表现形式。

入侵检测系统可以检测出的入侵信号用存在规则表示，系统内部的规则文件在检测过程中发挥了重要作用，规则匹配系统事件来源独立，只考虑事件中的数据，描述和匹配过程分离，只定义匹配的内容，不考虑匹配过程，根据不同入侵信号的特点动态形成相应的规则，多个事件可以在同一时间进行匹配，在实际应用中，要提取高质量的规则，根据入侵手段的变化，动态改变匹配规则，设立不同优先级，及时处理优先级比较高的事件，完成对所有规则的匹配工作。

规则匹配的原理就是在文本串T中按字符顺序依次查找是否含有规则串P，一般情况下，规则串P的长度要远远小于文本串T的长度，如果在文本串T中的某些字段找到了与规则串P完全吻合的字段，表示规则匹配成功，如果找不到表示规则匹配失败。

入侵检测系统把网络中的数据包信息按照五元组的格式进行分类，禁止一些含有入侵企图的访问端口，其次要对数据包内容进行检测，字符串匹配技术将发挥重要作用，通过系统特定的规则与内容信息的比对，进而查出入侵行为。

4 结束语

网络的快速发展，在给广大用户带来众多便利的同时，也给网络环境带来了巨大的安全隐患，入侵检测系统作为重要的主动防御系统能够实时监控网络中的数据包，当发现网络中有攻击行为时，及时产生报警信息提示用户并将该信息记录到日志当中。

文章对入侵检测系统与相关规则算法进行了研究。首先介绍了规则匹配的定义，又分别介绍了几种规则匹配算法的算法思想，进而对几种多模式规则算法做出了对比分析，通过对几种算法性能分析，介绍了各种算法的能力，并对几种算法的基本原理记性了详细阐述。在此基础上，提出了改进的算法可以更好的执行入侵检测的异常情况，并快速的响应发出警报。

本文提出的改进规则匹配算法，虽然提高了匹配效率，但 在实际应用中还应该多方面考虑算法的实际效果，来弥补可能仍然存在的不足之处，例如基于规则匹配的入侵检测一般只能检测到已知类型的入侵攻击，而遇到未知类型的入侵攻击，此类的入侵检测系统就很难准确的检测到了，如何在以后的工作中，将多规则匹配算法应用到预防未知类型的入侵检测，将是今后入侵检测系统未来发展的重点方向。

参考文献：

[1] 那琳.SQL注入式攻击及其防范措施研究[J].计算机光盘软件与应用，2011（19）：73-74.

[2] 岳燕，赵才武.浅议政府机关WEB服务器的安全策略[J].云南科技管理，2012（1）：71-73.

[3] 冯谷，高鹏.新型SQL注入技术研究与分析[J].计算机科学，2012，23：415-417，423.

[4] 陈剑，龚发根.一种优化分布式文件系统的文件合并策略[J].计算机应用，2011（22）：161-163.

[5] 王红艳.一种基于Hadoop架构的网络安全事件分析方法[J].信息网络安全，2013（1）：55-57.

[6] 肖竞华，胡华.入侵检测技术的分析与研究[J].计算机安全，2009（8）：30-32.

[7] 丁辉.网站被黑中毒WebShell木马的解决方案[J].计算机与网络，2014（3）：68-68.