基于网络入侵检测的分析研究

摘要：现代网络安全是网络专家致力于分析和研究的热点课题。本文从网络入侵检测的概念、方法和入侵检测系统的分类入手，分析与总结了目前已有的入侵检测系统和相关技术，并指出了现在的入侵检测系统还存在的缺点，最后对入侵检测技术发展方向进行了探讨。

Abstract: Network security is the hot topics dedicated to analysis and research of the network experts. In this paper, from the concept, method and classification of network intrusion detection, the current available intrusion detection systems and related technologies are analyzed and summarized, shortcomings of the intrusion detection system are pointed out, and finally its direction of development is discussed.

关键词： 网络安全；入侵检测；入侵检测技术；入侵检测系统

Key words: network security；intrusion detection；intrusion detection technology；intrusion detection system

中图分类号：TP39 文献标识码：A 文章编号：1006-4311（2012）20-0215-02

0 引言

人们的生活方式、工作方式以及学习方式随着计算机网络技术的快速发展得到了极大地改变。近年来网络攻击行为越来越严重，安全问题成之为最热门话题之一，随后计算机网络系统中存在的硬件存储的重要信息被大范围应用，计算机系统的网络安全问题也显得越来越紧迫。入侵检测系统（Intrusion Detection System，IDS）就应运而生。网络入侵检测技术，是对网络或计算机系统中某些关键点的信息展开收集和分析，从期中检测到网络或系统可能存在的各式各样的不合法攻击、破坏、误操作等反安全策略的行为或痕迹，并达到有效的防范。因此对于网络入侵检测系统，其研究显的尤为重要。

1 网络入侵检测

随着计算机网络技术的不断发展，单独依靠主机审计信息进行其中，入侵检测不容易得到适应网络安全的需要。IDS被认为是防火墙之后的第二道安全闸门。人们提出了以网络入侵检测系统（NIDS）为基础的体系结构，这是一种根据网络流量、网络数据包和协议来分析检测入侵的检测系统。在入侵检测系统的发展过程中经历了三个阶段：经历集中式、层次式和集成式，这三个阶段的入侵检测系统的基本模型，对入侵检测模型、管理式入侵检测模型、层次化入侵检测模型是分别通用的，下面我们以入侵检测模型为例来进行解说，如图１所示。

2 入侵检测技术概述

在现代计算机网络入侵检测的原理就是：从一组数据中要检测出符合有一定特点的数据。攻击者进行攻击的时候会留下一些可以查询的痕迹。这些痕迹和计算机系统的正常运行时候能和产生的数据混在一起。检测的任务就是从这个一系列的数据中找出是否有入侵的痕迹。如果有入侵的痕迹系统就报警有入侵事件的发生。根据这一原理, 计算机网络入侵检测系统有两个重要部分：获取数据和检测技术。很多计算机网络入侵检测系统可能的分类就是依据这两部分来划分而来的。计算机网络入侵检测系统的大量数据是系统和计算机网络运行时候产生的数据流。计算机网络入侵检测系统的主要任务是研究哪些数据最有可能反映入侵事件的发生、哪些检测技术最适应于这些数据。根据计算机网络入侵检测的发生时间前后可将其分为两种：实时入侵检测和事后入侵检测。

网络入侵检测技术是通过计算机网络、计算机系统中的几个着重点采集信息对其进行系统分析，从中发现有没有违反网络安全策略的做法和受遭网络攻击的对象，计算机网络或系统中能分析并做出相关的响应。我们可以把入侵检测技术作为一种发现内外部攻击的合法用户滥用特权的方法。在网络连接过程中能开展实时入侵检测和事后入侵检测,系统也根据用户存储的历史行为，计算机网络中的专家知识库及经网络模型能对用户的网络操作进行评析。就入侵迹象立即收集相关证据和相关数据恢复工作。

3 攻击检测技术

3.1 基于专家系统的攻击检测技术是这样一种网络专家系统，它是根据网络安全专家对不可靠的行为的分析经验所形成一套推理规则。这样所实现的一个基于规则的专家系统是一个知识工程问题，由专家系统自动对出现到的入侵行为进行分析、处理。这个问题功能应可以在其经验不断积累的基础上并其自学习能力进行规则扩充和修正。同时，要阐明的是基于规则的专家系统或推理系统也存在其不全面性。这类系统的推理规则，则主要是来自我们不了解的安全漏洞。当然这样的能力得在网络专家的指导、参与下才能达到目标，否则可能同样会导致许多的不正确报道的现象。

3.2 概率统计模型作为计算机网络的攻击检测技术之一，这种入侵检测技术是根据用户历史行为构建起来的新模型，以及把早些年的证据、模型作为依据，用户对系统的操作情况可实时的被审计系统检测。概率统计模型可以根据系统内部的用户保护行为获得检测，当有不可靠的用户行为被发现时，可以保持跟踪、监测并记录该用户的行为。

3.3 数据挖掘的攻击检测技术作为计算机网络中通用的知识发现技术中的一种，它以从丰富的数据中选择对网络用户有用的数据信息为其研究目的。这一技术要想获得有关联动的网络用户行为特征可将数据挖掘中的一些相关分析、序列模式分析等算法运用其中，再依据这些数据特征来构建安全事件的分类模型，自动鉴别并应用于安全事件。