网络安全的入侵检测研究

【前言】网络安全的入侵检测研究由文秘帮小编整理而成，但愿对你的学习工作带来帮助。入侵检测是保证计算机系统设计的一个可以及时发现和报告未经授权或系统异常的技术和配置安全性的系统，用于检测所述计算机网络侵犯技术的安全策略的行为。通过信息网络，安全日志，审计数据，其他可用的网络和计算机系统中的数字信息的关键点，是否违反安全策略来检测...

摘 要 随着计算机网络技术的飞速发展和也能够用以及计算机网络用户数量的不断增加，如何有效地保证网络上信息的安全成为计算机网络的一个关键技术。本文首先说明了入侵检测的必要性，并给出入侵检测的概念和模型。其次概述了多种入侵检测方法及体系结构。最后，讨论了该领域当前存在的问题及今后的研究方向。

【关键词】网络安全 入侵检测

1 前言

为了实现计算机和网络安全，过去常采用的安全措施，如：传统的加密，认证，访问控制，暴露了许多缺陷或瑕疵。入侵检测作为信息与网络安全的的关键技术之一应运而生。入侵是指试图未经授权访问信息，故意篡改信息，不可靠或无法使用，或破坏机密性，完整性和可用性的行为。它不局限于时间和空间，攻击手段隐蔽性和更令人费解的，连续的内部犯罪。基于网络安全防护，新的求解策略的动态特性入侵检测。入侵检测技术，相当于计算机系统中引入了一个闭环的安全策略。各种电脑检测系统可以反馈入侵信息，从而及时修正，大大提高了系统的安全性。

1.1 什么是入侵监测技术。

入侵检测是保证计算机系统设计的一个可以及时发现和报告未经授权或系统异常的技术和配置安全性的系统，用于检测所述计算机网络侵犯技术的安全策略的行为。通过信息网络，安全日志，审计数据，其他可用的网络和计算机系统中的数字信息的关键点，是否违反安全策略来检测网络或系统的存在和的符号上的收集和分析被攻击。入侵检测作为一种积极主动的安全防护技术，提供实时保护，内部攻击，外部攻击和误操作，拦截和相应的网络入侵系统受到危害之前。

1.2 入侵技术的必要性分析。

基于网络的入侵检测，入侵检测部署在上述多个段，根据不同的网络架构，其，还有各种桥接相反的方式。如果网络融合枢纽总线方式，把的端口汇聚的枢纽即可；如果更换的机器来代替以太网，媒体不能共享，因为更换新机，其中只使用一个的价格对整个子网停止听的做法是不完整的。因此，可以申请补发加工中心片上调试接口，入侵检测系统和收敛的端口。也许把它放在一键导入和导出数据流，这样你就可以得到几乎所有的关键数据。

2 IDS的基本结构及其特性

早期的IDS仅仅是一个监听系统，可以把监听理解成窃听的意思。基于目前局网的工作方式，IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来以供分析使用，跟我们常用的widnows操作系统的事件查看器类似。新一代的IDS提供了将记录的数据进行分析，仅仅列出有危险的一部分记录，这一点上跟目前windows所用的策略审核上很象；目前新一代的IDS，更是增加了分析应用层数据的功能，使得其能力大大增加；而更新一代的IDS，就颇有“路见不平，拔刀相助”的味道了，配合上防火墙进行联动，将IDS分析出有敌意的地址阻止其访问。

2.1 信息收集

入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不容关键点收集信息，尽可能扩大检测范围，从一个源来的信息，有可能看不出疑点。入侵检测的效果很大程度上依赖于收集信息的可靠新和正确性，更要有来检测网络系统的完整的软件。特备是入侵检测系统软件本省应具有相当强的坚固性，防止被篡改二收集到错误的信息。

2.2 分析引擎

（1）模式匹配就是将收集到的信息与已知的网络入侵和系统无用模式数据库进行比较，从而发现违背安全策略的行为。

（2）统计分析方法首先给系统对象创建一个描述，统计正常使用时的一些测量属性。测量属性的平局值和偏差被用来与网络、系统的行为进行比较，任何观察值在正差值范围之外，就认为有入侵发生。

（3）完整性分析主要关注某个文件或对象是否被更改。包括文件和睦路的内容及属性，在法相被更改的、被安装木马的应用程序方面特别有效。

（4）响应部件。简单报警、切断链接、封闭用户、改变文件属性甚至回击攻击者。

3 基于网络的入侵检测系统

网络IDS是网络上的一个监听设备（或一个专用主机），通过监听网络上的所有报文，根据协议进行分析，报告网络中的非法使用者信息。 NIDS放置在比较重要的网段内，以网络包作为分析数据源。利用工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。网卡的三种模式：广播模式、直接模式、混杂模式 。它的分析模块通常使用模式匹配、统计分析等技术，分析网段中所有的数据包，来识别攻击行为。NIDS由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。

网络IDS优势：实时分析网络数据，检测网络系统的非法行为； 网络IDS系统单独架设，不占用其它计算机系统的任何资源；网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高； 通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。

4 分布式入侵检测技术

随着入侵方法的提升。攻击和发展分布式，协作，复杂的模式混合出现，传统的单一，缺乏合作的入侵检测技术不能满足需要，这需要足够的合作机制。入侵检测信息合作与协调是必要的。 传统的IDS通常限于一个单一的主机或网络，监控异构系统及大规模网络的明显不足。在同一时间，不同的IDS系统不能一起工作，以解决这个问题，需要检测技术和分布式入侵的常见入侵检测框架。 CIDF建设为目标的一般的IDS体系结构和通信系统，跟踪和电网配电系统EMER-ALD实施入侵，入侵大型网络和复杂的环境检测技术的分析。

分布式入侵检测系统采用了单控制台、多检测器的方式对大规模网络的主干网信道进行入侵检测和安全监测，具有良好的可扩展性和灵活的可配置性。入侵检测器广泛分布在计算机网络的各个不同的网段中，进行数据采集与入侵检测，将经过预处理的数据汇总到控制中心，控制中心将把各个区域检测器传来的分散数据融合在一起，进行全面的威胁评测，判断是否需要发出预警，对入侵行为进行响应。

5 结束语

在中国，随着互联网的关键部门，越来越多的关键业务使得入侵检测产品迫切需要一个独立的版权。入侵检测对一个国家的社会生产和国民经济信息系统的影响越来越重要，信息战已逐渐在世界上被各个国家，“在信息化战争武器”的主要攻击是网络入侵技术，信息的一个战防御包括“保护”，“检测技术”和“响应”，入侵检测技术是“检测”和“响应”不可缺少的一部分。

参考文献

[1]彭文灵，张忠明.入侵检测技术在网络安全中的应用研究[J]. 赣南师范学院学报， 2003（3）.

[2]李焕洲.网络安全和入侵检测技术[J]. 四川师范大学学报（自然科学版）. 2001（4）.

作者简介

关德君（1980-），男，满族，辽宁省辽阳市人，讲师、硕士。

作者单位

沈阳广播电视大学 辽宁省沈阳市 110003