浅析入侵检测技术在企业网络中的运用与发展

摘要：网络安全已成为企业首要关注问题。本文从入侵检测技术的基本概念和现代入侵检测技术方法入手，详细分析了当前入侵检测技术的优势与缺陷，探讨了未来入侵检测技术发展方向。

关键词：入侵检测技术；优势与缺陷；发展方向

中图分类号：TN711文献标识码： A 文章编号：

一、引言

随着网络技术的发展，企业网络环境变得越来越复杂，对于企业网络来说，单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题、不能阻止网络内部攻击、不能提供实时入侵检测能力、对于病毒等束手无策等。因此很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就是入侵检测。

二、入侵检测技术概述

入侵检测(IntrusionDetection）是安全审核中的核心技术，是网络安全的第二道防线组成部分。是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

入侵检测系统可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

三、现代企业网常用的入侵检测技术

3.1遗传算法

遗传算法和数据挖掘不一样，并不用对用户的网络行为进行审核学习，并且可以用遗传算法构建模式库，在整个网络系统运行一段后，能参照现有的数据参数决定是否需要次进行运行这种算法，去构建模式库，进而可以对新的入侵方式进行有效的检测识别。

3.2数据挖掘技术

基于数据挖掘技术的网络入侵检测，它通过对数据和主机调用的数据分析进行挖掘工作，用来发现错用的检测规范和异常的检测模型。它具体的实现是用数据挖掘中关联的算法还有序列的挖掘算法来提取用户的网络行为模式，用分类的算法分类预测用户网络行为或特权程序系统调用，用聚类算法，是通过计算比较每次记录间的矢量距，实施连接的记录、用户的登录记录进行自动的分类，进而进行对计算机审计记录是否正常的辨别任务。

3.3聚类算法

基于聚类方法的网络入侵检测技术是种不需要指导的网络异常检测技术，可在未进行标记的数据上工作并将相似的网络数据一并划分到同一类，将互相不同的网络数据分别划分到不同的聚类，进而达到辨别数据是否出现异常的效果。

3.5用户行为模式

基于行为模式的网络入侵检测技术思想在大多网上操作表为一组用户行为序列，对网上操作频繁的行为序列分析，可得这种操作模式，模式有的正常，也有非正常的包含攻击行为，这些模式给建立行为规则数据库提供基础于此同时对实时获取的数据也可运用类似的算法，而可以得到用户的操作模式，用规则匹配方法，基本可实时地发现用户的网络攻击操作或偏离正常网络规范的行为。

3.5神经网络技术

基于神经网络入侵检测技术能正确鉴定那些与以往观测到行为不一的但属于正常的行为，进而可以降低异常网络入侵检测系统误报。入侵检测系统中将神经网络方法视为异常网络检测分析部分的一替代方法，来判别系统用户特征，对既定行为的变化进行判别。

3.6智能分布方法

基于智能分布方法的网络入侵检测技术有：语言的无关性、运行平台的无关性、自我适应性、可扩展性以及智能性等特征。实际应用中，可把一大型网络分成为多个域，每个域里有一检测点，整体系统中有一个集中管理点。管理点会把误用的和异常的网络入侵检测相互分离，检测点把攻击的来源和攻击的方式报告给管理点，由管理点收集信息进行分布式误用网络入侵检测方法分析，进而减少检测点和管理点的数据相互之间通信。

四、当前入侵检测技术的优势与缺陷

4.1入侵检测技术的优势

（1）入侵检测系统能检测来自于网络的攻击，能检测非授权的非法访问。

（2）一个入侵检测系统不用更改服务器等主机配置。因为它不在业务系统主机里安多余的软件，进而不影响机器的I/O、CPU和资源的使用，不影响整个业务系统的性能。

（3）入侵检测系统不像路由器、防火墙关键设备的方式工作，不是系统的关键路径。入侵检测系统有故障时不影响正常业务，安排一网络入侵检测系统的风险比安排一主机入侵检测系统的风险少很多。

（4）入侵检测系统最近有向专业设备发展的趋势，部署这样一个入侵检测系统非常简单，只要把定制的设备接电源，用很少的配置，连接到网络即可。

4.2入侵检测技术存在的缺陷

尽管入侵检测技术有其优越性，但是现阶段它还存在着一定的不足，主要体现在以下几个方面：

（1）由于网络入侵检测系统只对与其直接连接的网段通信做出检测，而不在同一网段的网络包则无法检测，因此如果网络环境为交换以太网，则其监测范围就会表现出一定的局限性，如果安装多台传感器则又增加了系统的成本。

（2）目前网络入侵检测系统一般采有的是特征检测的方法，对于一些普通的攻击来说可能比较有效，但是一些复杂的、计算量及分析时间均较大的攻击则无法检测。

（3）监听某些特定的数据包时可能会产生大量的分析数据，会影响系统的性能。

（4）在处理会话过程的加密问题时，对于网络入侵检测技术来说相对较难，现阶段通过加密通道的攻击相对较少，但是此问题会越来越突出。

（5）入侵检测系统自身不具备阻断和隔离网络攻击的能力，不过可以与防火墙进行联动，发现入侵行为后通过联动协议通知防火墙，让防火墙采取隔离手段。

五、入侵检测技术的发展方向

从总体上讲，目前除了完善常规的、传统的技术(模式识别和完整性检测）外，入侵检测系统应重点加强与统计分析相关技术的研究。许多学者在研究新的检测方法，如采用自动的主动防御方法，将免疫学原理应用到入侵检测的方法等。其主要发展方向可以概括为：

5.1分布式入侵检测与CIDF

传统的入侵检测系统一般局限于单一的主机或网络架构，对异构系统及大规模网络的检测明显不足，同时不同的入侵检测系统之间不能协同工作。为此，需要分布式入侵检测技术与CIDF。

5.2应用层入侵检测

许多入侵的语义只有在应用层才能理解，而目前的入侵检测系统仅能检测Web之类的通用协议，不能处理如LotusNotes数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。

5.3智能入侵检测

目前，入侵方法越来越多样化与综合化，尽管已经有智能体系、神经网络与遗传算法应用在入侵检测领域，但这些只是一些尝试性的研究工作，需要对智能化的入侵检测系统进一步研究，以解决其自学习与自适应能力。

5.4与网络安全技术相结合

结合防火墙、PKIX、安全电子交易(SET）等网络安全与电子商务技术，提供完整的网络安全保障。

六、结束语

入侵检测系统作为一种主动的安全防护技术，提供了对内、外部攻击和误操作的实时保护，能够从网络安全的立体纵深、多层次防御的角度出发提供可靠的安全，在企业网络受到危害之前及时拦截和响应入侵。其发展前景和实际运用将越来越受到各界的关注。

参考文献：

[1]王强，计算机安全入侵检测方案的实现，计算机与信息技术，2007.14：288-320

[2]夏炎、尹慧文，网络入侵检测技术研究，沈阳工程学院学报，2008.4（4）：362-363

[3]杨菲，数字化用户，入侵检测技术在网络安全中的应用，2013年第1期

[4]曾小宁，基于网络安全的入侵检测与防范，佛山科学技术学院学报，2003.21（3）：39-42