计算机系统入侵检测的分类和技术分析

摘要：计算机系统入侵检测是近年来网络安全研究的热点，是一种用于对违反计算机和网络上安全策略的行为进行识别和响应的系统。计算机入侵检测把原来的被动的安全保障变为积极主动的监控和审计，能对黑客入侵、内部人员违规操作等行为进行实时的报警和阻断，从而降低了计算机系统和网络遭受到的风险。本文主要讨论计算机入侵检测的分类和技术。

关键词：计算机；入侵检测；分类；技术

Abstract: intrusion detection in computer system is a network security research in recent years is hot, for violation of computer and network security policy behavior recognition and response system. Computer intrusion detection to the original passive protection into active monitoring and audit, to hacking, internal personnel illegal operations and conduct real-time alarm and blocked, thereby reducing the computer systems and network from risk. This paper mainly discusses the computer classification of intrusion detection technology.

Key words: computer technology; intrusion detection; classification

[中图分类号] TP393[文献标识码]A[文章编号]

网络的广泛应用使得网络安全日益成为一个突出课题，计算机入侵检测是近年来网络安全研究的热点，计算机入侵检测是指在特定的网络环境下发现未经授权或者是恶意的攻击和入侵，并对此作出反应的过程，入侵系统可以能对黑客入侵、内部人员违规操作等行为进行实时的报警和阻断，从而降低计算机系统和网络遭受到的风险。目前，常用的入侵检测系统主要是IDS，IDS是一套运用入侵检测技术对计算机或者网络资源进行实时检测的系统工具，IDS不仅可以检测出未经授权的对象和恶意的攻击，还可以监视授权对象，已经得到了广泛的应用。

一、计算机系统入侵检测的分类

计算机系统入侵检测可以分为集中式IDS和分布式IDS，集中式IDS采集的数据是在一台主机上进行，数据是分布的，分布式IDS数据的处理和采集工作主要通过多台主机来完成，目前，就针对集中式IDS和分布式IDS中存在的优缺点做一个详细的分析。

（一）集中式IDS中存在的问题

由于集中式IDS采集数据的工作是在一台主机上进行，所以，集中式IDS所在的计算机很可能成为被恶意攻击的目标，如果入侵者用非法的技术手段使得集中式IDS所在的主机瘫痪，那么整个网络就会失去保护，这种后果是十分严重的。除了易被攻击外，由于一台主机的处理能力有限，所以集中式IDS的可伸缩性能也有限，负责的网络不能太大，否则集中式IDS无法及时处理，反而给网络带来更大的负担。

（二）分布式IDS的优点

分布式IDS的数据采集工作主要通过多台主机进行，扩展性和伸缩性较好，分布式IDS的数据可以互相通信，如果其中一台主机出现问题时，其他主机不容易受到影响，因此，采用分布式IDS的系统，即使出现一部分故障，也不会导致整个模块的瘫痪。目前，分布式IDS的使用非常广泛。

二、计算机系统入侵技术分析

计算机系统入侵技术主要包括信息收集和信号分析两方面。

（一）检测信息的收集

计算机系统入侵检测的首要任务是进行信息的采集，需要采集的信息涉及较广，包括网络、数据以及用户活动的行为和变化，一般来说，检测的信息主要来自以下几个方面。

1.网络日志的收集

网络日志中包含发生在网络以及系统中不正常的活动，根据网络日志可以判断出是否有黑客入侵的痕迹，收集网络日志可以及时了解系统是否安全，如果发现有入侵企图，那么维护人员一定要及时的启动应急预案。

2.目录和文件的收集

在网络环境下由很多的目录和文件，这些目录和文件一般包含有重要的信息，往往成为黑客攻击的目标，黑客在攻击这些文件后，往往会经常修改和替换访问的文件，修改相关的日志。因此，维护人员一定要做好目录和文件的收集工作，根据收集的信息判读是否有黑客入侵的情况，维护好系统的安全。

3.程序执行中的不期望行为

网络上的程序执行主要包括网络服务、操作系统以及用户程序的启动等，每套系统的执行过程都包括多个进程，每一个进程都在不同的权限环境中控制着系统资源和数据文件等，进程的执行是有操作来实现，一旦进程中出现异常的情况，那么就要做好检查工作，看是否有恶意程序入侵系统。

4.物理形式的入侵信息

物理形式的入侵信息主要包括网络硬件设置的连接以及物理资源的未授权访问，黑客在通过物理形式入侵网络时，往往会安装相关的设备和软件，并通过安装的软件来破坏网络的周边防卫，因此，要定期检查物理形式的入侵信息。

（二）信号的分析

信号分析有三种手段，模式匹配、统计分析以及完整性分析

1.模式匹配

模式匹配即将所收集的信息与专业数据库的信息进行比较，从对比中查看网络中是否存在安全问题，模式匹配的操作较为简便，主要将所采集的数据录入系统进行电脑审核即可，目前，电脑审核及时已经相当的成熟。但是，模式匹配也存在些许的弊端，在使用的过程中，该匹配系统需要不断的升级更新，并且只能应对出现过的黑客攻击方法，无法检测到黑客的新手段。

2.统计分析

统计分析主要通过创建统计描述，统计一些常用的测量数据，如访问次数、操作失败次数等等，将测量的平均值与正常范围的数值进行对比，如果发现有异常的情况，就要及时的进行数据的检查工作，看是否有恶意的入侵。统计报表可以检测到未知的入侵，缺点就是存在缺报、漏报的情况，不适于家庭使用。

3.完整性分析

完整性分析主要是检查信号是否完整无误，是否将该记录号齐全的信息，如果发现信号分析完整性不够，就要及时核对相关的数据，做出整改工作。

参考文献：

【1】杨兴枝：系统入侵检测的分类和技术分析，读与写(下旬){J}，2012,09(4)

【2】韩飞：入侵检测相关技术分析与研究，鞍山科技大学学报{J}，2008（9）