网络安全监测技术范文

网络安全监测技术篇1

关键词：煤矿安全；网络通讯；监测系统

中图分类号：TD76 文献标识码：A 文章编号：1007—9599 （2012） 14—0000—02

一、引言

随着现代科技不断进步和社会的不断进步，安全生产的理念逐渐深入人心。安全生产不仅关系是人民群众的生命财产安全的重要保障，更是我国改革开放和社会稳定的坚实基础。我国历来是煤炭生产大国，我国各级政府和管理部门都高度重视煤矿的安全生产问题。尤其是近几年来，国家煤矿安全监察局和国家安全监督管理局对煤矿安全工作进行了多次专项治理，加大了监察力度，使煤矿的整体安全状况发生了极大的好转。然而，近几年来，由于部分私营煤矿主过度追求经济效益，经常无视煤矿的安全稳定运营，煤矿安全问题依然是当前存在的一个重大挑战。

采用电缆、信号光缆和电力线等有线传输信号方式是目前绝大多数煤矿安全监控系统的主要信号传输方式。虽然其技术已经很成熟，但这些传统的有线布设方式仍不可避免地存在以下几个方面问题：（1）传输线安装维护成本大，布线繁杂。在复杂地形的矿区地下环境中布设线路需要消耗大量的时间、人力和物力，且监控系统所需要的光缆和电缆价格较高。（2）信号覆盖范围较为有限。由于矿区地形环境复杂多变，且有很多地区难以布线，矿井的各个地区是有线监控系统难以遍布的，因而无法实现对井下进行全方位的跟踪监测。（3）布线有着较强的依赖性。由于有线网络的自我修复性能差，当其局部线路遭到破坏时，很可能导致整个监控系统的瘫痪[1]。

网络技术作为现代信息技术发展的最新研究成果，可以帮助煤矿建立检测监控的煤矿安全管理信息系统，利用现代通信技术、智能控制技术和高性能计算机等现代高科技手段，可以将煤矿生产中的瓦斯、CH4、CO2、CO等有害气体的含量检测数据真实高效的发送到服务器端，并由服务器对数据进行处理，如若超过警戒标准，将会自动报警，提示煤矿此时应该停止工作，认真核查所存在的安全隐患并进行排解[2]。除了对矿区环境要进行必要的监控之外，现代化的煤矿安全监控系统还需要对矿区设备和工作人员进行监控，通过对井下工作人员和设备的管理和调度，从而提高煤矿生产效率和安全性。使用无线通信技术，建立以无线传感网络为基础的煤矿安全监控系统有着现实应用意义。

二、煤矿安全网络监控系统的组成

煤矿安全网络监控系统主要由网络中心和安装在矿井现场的终端组成。而网络中心又包括系统服务器、以太网交换机、防火墙、路由器、监控机、通告机及WEB服务器组成。

（一）网络中心

1.路由器。路由器（Router）是将煤矿安全网络监控系统中各分站和系统服务器连接起来的设备，路由器可以根据传输信道的拥堵情况自动进行路径选择，以最佳路径，按前后顺序发送信号。路由器是煤矿安全检测网络监控系统的枢纽，实现监控中心服务器与各分站的服务器之间的相连，确保煤矿检测各项数据的准确传输。

2.防火墙。防火墙是指确保煤矿安全网络监控系统安全性的重要工具，是一项协助确保信息安全的设备，会依照设定的规则，允许或是限制传输的数据通过。防火墙既可以是一台专属的硬件，也可以是架设在硬件上的一套软件。煤矿安全网络检测系统中所有流入流出的网络通信和数据包均要经过防火墙。

3.系统服务器。系统服务器是煤矿安全网络监控系统的核心。系统服务器中应安装煤矿安全网络监控软件。各分站检测到的煤矿矿井中的实时数据如风机开机信息，瓦斯、CH4、CO2、CO等有毒气体浓度等信息。并将信息传输到系统服务器，煤矿安全网络监控软件对数据进行分析，并根据分析结果评估矿井中的安全状况。

4.WEB服务器。WEB服务器主要为监控系统进行远程访问。当煤矿安全监控工作人员若出差在外时，可以通过本监察网络管理人员的授权，通过互连网访问系统，了解煤矿监测情况。

5.交换机。煤矿安全网络监控系统内部的计算机局域网是通过以太网交换机相互连接而成的。煤矿安全网络监控系统根据需求划分为监控子网、内部办公子网等几个业务子网，这样可以保证各业务系统互不干扰、安全高效的运行[3]。

6.通告机。通告机又名信息处理机，煤矿安全网络监控系统中需要高度智能化的专用通告机。通告机将所采集到的各项数据进行处理、分析，评估煤矿矿井的安全生产问题。当检测结果出现异常时，可以通过SMS方式来发出警告，为了避免事故，将及时告之相关的矿井安全责任人。

（二）终端

终端是并分散安装在矿井之中，并与煤矿安全网络监控系统借助通信设备相连，终端不但可以直接监察监控系统自身的运行状况，还能够取得主站的实时监测数据。终端在得到自身的运行状况和实时监测数据后，可以即时发送到监察网络中心。终端是高度智能化的，具有较强的抗干扰、防病毒能力，能在较为恶劣的环境下正常工作，并具有一定的诊断和自我修复功能，可以跟踪显示自身工作状态[4]。

（三）数据传输介质

数据传输介质可以采用以下方案：

1.电话线和ADSL。煤矿安全网络监控系统的硬件投资少，对传输速率要求较高。所需传输的信息传输容量相对较小。因此，可以使用电话线和ADSL来作为数据传输介质，并在中小型煤矿中得到采用。

网络安全监测技术篇2

关键词：计算机 网络安全 检测技术

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2013）08-0174-01

1 计算机网络安全监测技术工作原理

计算机在正常的运行中，计算机网络安全检测技术的应用极大的提高了计算机的防御能力。在受到来自外界的恶意攻击时，计算机网络安全检测技术能够进行除了被动防御意外的主动防御。计算机防御中的主动防御是利用计算机检测技术对计算机进行扫描，找出计算机的安全漏洞，对安全漏洞进行综合分析，出现安全漏洞的部分可能是数据库、服务器和交换机等部分。将检测中获得各种参数喜爱那个系统的管理员提供，为计算机网络安全的提高提供数据上的支撑。

进行计算机网络安全的检测，根据检测技术的执行主体进行划分可分为主机和网络两种。一般通过计算机的远程安全扫描技术、防火墙的扫描技术进行计算机网络安全漏洞的扫描，对计算机的网络安全进行实时的监控。

2 计算机网络安全扫描技术

计算机的网络安全扫描技术是计算机进行网络安全主动防御的基础，在计算机的主动防御中对计算机的网络安全进行扫描，对计算机可能存在的风险进行扫描。将扫描中获得的各种参数反馈给系统的管理员，管理员通过对数据的分析，对可能存在的漏洞提出科学合理的解决方案。在计算机的运行中进行实时的监控，将运行中的风险站点对管理员进行提示，保障操作系统的安全性和可靠性。计算机网络安全扫描技术能够对计算机存在的漏洞及时的发现，及时的处理，保障了计算机的系统安全。

2.1 计算机网络远程扫描技术

计算机网络安全扫描技术的应用，使计算机在外界恶意攻击下的防御能力和反击能力大大提高。但是计算机网络远程扫描技术在应用中也一度成为计算机网络安全的弊病，黑客进行黑客活动是常常使用计算机网络远程扫描技术对入侵电脑进行远程的扫描，发现其系统存在的漏洞，针对这些漏洞对目标主机实施入侵。从另一个角度进行分析，计算机网络远程扫描技术对实现计算机的网络安全也有着其特殊的意义，管理员可以利用计算机网络安全扫描技术对计算机进行扫描，及时的发现计算机中存在的漏洞并予以修复。

2.2 合理配置系统的防火墙系统

计算机网络安全目标的实现是通过防火墙系统的合理配置来实现的。计算机防火墙系统的合理配置是计算机网络安全的重要的组成部分。其配置合理性直接关系到计算机的计算机网络安全检测技术安全性和有效性。由于计算机防火墙的配置是一项比较复杂的系统性工程，进行配置是需要考虑各个方面的因素。相关的从业人员在进行配置时因为防火墙的复杂性，常常会在配置上出现一些微小的错误，这些需哦唔的产生极可能成为计算机网络安全的隐患。计算机的防火墙系统在特定的情况下才能运行，当计算机的操作系统出现运行的异常时，防火系统安全扫描系统会对计算机进行扫描，判定其运行环境是否符合。

2.3 系统安全扫描技术

在计算机网络安全检测技术的建设时，计算机系统安全扫描是其不可或缺的部分。在计算机系统安全扫描中将目标计算机的操作系统进行全方位的检测，将检测后的参数发送给系统的管理员，管理员通过对相关参数的分析，对系统中可能存在的漏洞进行修改。系统的安全扫描技术为计算机的操作系统的安全性和稳定性提供了保障。

3 网络安全实时监控技术

计算机的网络安全监测技术对计算机的防护离不开对计算机运行的实时监控。计算机的实时监控技术是在网络正常的情况下对计算机进行网络流量的监控，在实时的监控中能够对计算机所受到的恶意攻击进行及时的处理，将有攻击企图的是举报进行过滤。在计算机网络的实时监控中将计算机的网卡设置成为广播的状态，在次状态下进行数据包的监控和分析。将可疑操作的特征码放入到计算机网络入侵特征库中进行比对，及时的发现入侵行为。

4 计算机网络安全检测技术的现实意义

4.1 对防火墙安全构架的补充

在时代的发展中，计算机的防火墙系统不足以承担起计算机的网络安全的重任。计算机网络安全监测技术是对防火墙系统的补充，二者协同作用，共同完成计算机网络安全的维护。在计算机的安全维护中，一旦恶意攻击活动避开了防火墙的监控，可能会对计算机的操作系统等软硬件造成危害。计算机网络安全监测技术在计算机的运行中国能够及时的发现计算机的网络弱点，并对这些弱点进行针对性的处理。二者的协同作用最大限度的保障了计算机运行的安全性和可靠性。

4.2 实现有效的网络安全评估体系

计算机的网络安全监测技术的应用，为网络安全的评估机制提供了新的手段。在一些公司和事业单位进行内部网络的建设时，可以通过计算机网络安全监测系统对简称的内部网络监测系统进行检测，检测的数据提交给管理人员进行分析，对建成网络的安全性和可靠性进行评估，并根据评估的结果对网络系统存在的问题进行合理的整改。

5 结语

在社会的进步和科技的发展之中，进入数字时代的人们利用计算机完成各项生产活动和科研活动，极大的解放了生产力，创造了极大的经济效益和社会效益。在数字时代的背景下人们对计算机的网络安全提出了新的要求，在计算机网络安全监测系统的建设时，相关的从业人员一定要结合计算机网络安全的实际情况对系统进行合理的设计。利用计算机网络检测技术的实时监测功能，发挥防火墙和计算机网络安全监测技术的协同作用，将计算机的安全工作落到实处。我相信通过相关从业人员的不断努力，我国计算机的网络安全工作一定会取得新的成就。

参考文献

[1]叶忠杰.计算机网络安全技术.科学出版社，2003.

[2]龙冬阳.网络安全技术及应用[M].华南理工大学出版社，2006.

网络安全监测技术篇3

关键词：计算机网络 煤矿企业 应用

0 引言

煤矿井下生产环境复杂、多变、条件恶劣，煤矿计算机网络是煤矿安全、高效生产的基础。加快推进计算机网络在煤矿企业生产中的应用，必将促进煤炭工业生产现代化、销售网络化、管理网络化、采购电子化与管理科学化的发展进程。

1 煤炭企业信息化集成及应用模式

煤炭企业信息化应用方向和重点是综合运用网络技术、web技术、数据库技术、软件工程技术、系统集成技术，重点解决安全监测信息的集成处理与、生产信息的集成与可视化、各种管理信息系统的规范与集成，构建企业集团综合办公自动化体系等方面。通过信息化集成，实现煤炭企业物流、安全、生产、销售、财务等环节的全面信息化管理，使煤炭企业集团在实时数据流、资金流、物资流、信息流和商务流等多方面取得有效的集成和共享。

2 计算机网络在煤矿企业中的应用

2.1 智能综合调度指挥系统 煤矿智能综合调度系统就是基于先进的计算机网络技术、工控自动化及多媒体技术，将安全监测、生产调度的实时数据信息，工业电视的视频图像信息，采、掘、机、运、通生产系统的数据图像信息等有机地结合起来，进行数字化处理、存储和传输，构成一个以多媒体网络为基础的调度指挥信息系统。该系统主要由煤矿光纤工业电视子系统、数字视频监控子系统、数字式大屏幕投影电视墙子系统、led电子显示屏子系统及综合调度信息查询子系统等组成;将安全生产、煤炭生产过程自动化、煤炭计量等不同类型的监控系统进行系统集成，实现几个子系统的信息交流和资源共享;与微机网络系统相联接，实现网络系统与大屏幕投影墙显示系统资源共享，提高调度指挥的速度和准确性，实现煤矿安全、高效生产。分布式综合生产调度指挥系统实现了基于web的生产数据集中管理和可视化调度指挥，提高了行业的调度信息化管理水平，能实时监测监控各个矿井的安全状况，随时调度指挥生产，避免和减少安全事故的发生，对煤炭企业实现安全、文明、科学生产具有重要的意义。

2.2 煤矿安全监测系统 基于web的全矿区分布式安全信息监测预警系统，能够对全矿区“一通三防”专项治理建立实时数据模型，通过预警信息网上报警和智能手机在线监测系统实现全程、全时段监管。网络的普及，在加强煤矿安全监管力度，提高煤矿安全信息化水平等方面发挥了良好的作用。通过采用视频服务器和网络摄像机等网络视频设备，可以构建一套数字化、网络化的视频监控系统，同时还可以与现有的安全监测系统有效的集成，形成联动，真正做到“分散监控，集中管理”。现在比较成熟的安全监测系统联网解决方案，是在早期的煤矿安全监测系统的基础上，改造发展成为集环境安全、生产监控、信息管理、网络运用、火灾监测、电网监测、顶板动态监测、主扇风机在线监测等多种子系统为一体的煤矿工业以太网综合监控系统。

2.3 基于网络的数据库应用

2.3.1 矿业集团级矿图信息管理系统。以统一的数据格式存储在数据库中，通过数据共享方式，实现局载网内矿图的“集中存储，统一管理，分级调用”，完成集团的矿图信息资源整合，为实现矿山安全生产的集中控制与动态决策提供依据。

2.3.2 基于web的业务管理系统。如物资供应系统、销售管理系统、计划管理系统、机电设备管理系统、住房公积金及工资管理系统、社保医保管理系统等，可以进一步规范管理，节省人力，提高效率。

2.4 矿井生产集控

通过智能接口与井下监测监控系统、矿井自动化系统、工业电视系统等连接，形成井上/下交互式的多媒体网络，实现矿井生产集控。矿井生产集控系统包括以下几个子系统。

2.4.1 通过井下无线通讯系统、人员定位系统以及机车监测和跟踪定位管理系统集成，实现实时数据监视、采集图像监视和采集数据统计信息检索等功能，畅通井上下信息交换，有效加强安全生产，保证抢险救灾、安全救护的高效运作。

2.4.2 井下车场信集闭系统，采用plc构成的现场网络控制，充分发挥plc远程智能化控制优点，利用人工/自动调度指挥功能、机车闯红灯报警功能、道岔复位及故障自检测功能、模拟盘显示自检功能等，实现井下车场网络化控制和管理，保证机车的安全运行。

2.4.3 通过煤位、水位监测系统、井下移动通信系统、人员定位系统、工业电视系统、井下电机车运行监视系统、主副井提升机运行监视系统、皮带运输监控子系统、矿灯智能使用监视系统、供电网络运行监视系统、风机在线监视系统、提升机运行监测系统等计算机网络集成，实现web界面的实时查询/监视/处理，实现自动化控制和远程监控，从而提高安全生产和管理水平。

4 计算机网络在煤矿企业中的应用效果

4.1 为有效调度配置生产要素提供了科学依据 信息化网络的应用，使各种生产要素都置于有效的准确掌握之下，为企业能在更大平台上合理优化地配置要素提供了可能。过去只能在一个矿进行配置的要素现在可以扩大到整个集团，提高了要素的使用效率，提升了管理水平。

4.2 促进了矿井集约化生产 信息系统的应用促进了集约化生产，使煤炭企业能够抓住良好的煤炭市场机遇，加快企业发展，实现煤炭产量大幅度提升。

4.3 及时地发现事故隐患 由于对事故隐患的发现和处理过程进行了全息的动态监控，使事故隐患的发现更加及时、迅速，事故隐患的处理更加全面、彻底，并使过去不易发现的一些隐患，也得到及时的发现和处理。

4.4 推动了矿井安全生产长周期的形成 以网络技术和信息技术为依托进行安全监控，提高了安全管理的现代化水平。监测系统的应用使企业实现了对“人和物”等安全关键因素的有效监测，对矿井有害气体实现了实时准确全天候监测，对安全事故实现了前馈控制，煤矿安全生产水平得到显著的提高，为杜绝重大瓦斯事故创造了条件，促进了矿井综合管理水平的提高，由此推动了集团安全生产长周期的形成。

5 结束语

随着通讯技术、计算机技术和自动控制技术的迅速发展，煤矿企业向网络化方向发展的趋势已日趋明显，煤矿企业向网络化、智能化和管理控制一体化的方向演变是企业发展的必然，也同时满足煤矿生产环境、生产过程特点的需要，因此，在煤矿企业建设信息化网络是一种企业发展的需要，以保证煤矿安全生产，为企业带来更大的经济效益。

参考文献：

[1]徐志先.实用煤矿安全系统工程[m].北京:煤炭管理干部学院出版社.1988.

[2]王平津.煤矿瓦斯安全多级监管中的信息技术[j].煤炭科学技术.2004(4).

网络安全监测技术篇4

关键词：恶意移动代码；蜜罐技术；监测；数据采集

中图分类号：TP309.5文献标识码：A文章编号：1672-7800（2012）010-0160-02

基金项目：河南省教育科学“十一五”规划2009年项目（2009-JKGHAG-0321）

作者简介：王乐乐（1985-），女，中国人民信息工程大学信息工程学院硕士研究生，研究方向为网络安全；邢颖（1985-），女，中原工学院软件学院助教，研究方向为网格计算与云计算。

0引言

恶意移动代码（MaliciousMobileCode-MMC）是指在计算机之间以及网络之间移动的任何程序代码，这些代码未经任何允许和授权，有意对计算机系统内容进行篡改，从而达到破坏计算机数据完整性以及降低网络运行可用性的目的。恶意移动代码包括计算机病毒、木马、蠕虫、恶意脚本以及流氓软件等。恶意移动代码具有自我复制和自我传播特性，主要表现为：用户机密信息受到威胁、造成骨干网或局域网阻塞、网络服务中断、僵尸网络（Botnet）等，严重威胁着Internet网络安全。蜜罐技术可通过模拟服务来获取入侵事件的具体信息，已成为目前网络安全领域的新兴技术，本文提出的基于蜜罐技术的恶意移动代码扫描监测模型能有效对网络中恶意移动代码进行监测，及早、有效地发现面临的威胁，保护网络与主机安全。

1常用网络监测技术

为了减少网络恶意侵害行为对互联网基础设施以及主要应用系统的危害，必须对相关网络威胁进行监测和追踪。目前，监测方式主要分为两类：主机监测和网络监测。主机监测是指在用户主机上安装反病毒软件和基于主机的入侵检测软件，对入侵主机的已知恶意代码进行检测和告警。网络监测方式中，常用技术是在活动（active）网络中被动监听网络流量，利用检测算法识别网络入侵行为。虽然监测活动网络扩大了监测范围，但是如何区分活动网络中的“善意”和恶意流量却变得非常困难，导致检测结果中存在大量虚警；另一种网络监测技术是指在未使用的IP地址空间内被动收集数据。但这种集中收集恶意流量的方式割裂了恶意流量与原有活动网络流量之间的关联；最后一种网络监测技术是将未使用地址空间伪装成活动网络空间，通过与入侵者的主动交互获取入侵详细信息，如蜜罐技术（HoneynetProject，相关软件有honeyd等）。与以上两种网络监测技术相比，蜜罐技术能够有效地将活动网络中的恶意流量分离出来，监测到与活动主机相关联的网络入侵行为，从而达到保护网络的目的。

2蜜罐技术

蜜罐（Honeypot）技术作为一种典型的主动防御技术，是近年来的研究热点。蜜罐技术研究发起人LanceSpitzner给出的定义是：蜜罐是一种安全资源，它的价值体现在被刺探、攻击或者被摧毁的时候。蜜罐系统主要包括了网络诱骗、数据控制、数据捕获、数据报警、数据分析和日志远程存储等功能模块。

蜜罐的工作原理是通过引诱攻击者的入侵来保护系统本身安全，能通过某种方式监测与跟踪入侵者的行为，并将其记录在日志中对攻击方法进行技术分析，从而学习入侵者的工具、策略和方法。

蜜罐按照交互的级别，可以分为低、中、高三种交互级别：

低交互honeypot没有真正的操作系统可供攻击者使用，也不会给系统带来额外的风险。由于它不可能观察攻击者与操作系统的交互过程，因此不能收集到真正有意义的信息。此阶段主要提供检测功能。

中交互honeypot设置了一些信息以供交互，但未提供一个真正的底层操作系统。因为honeypot的交互能力提高了，攻击者发现安全漏洞的可能性也更大，所以增加了风险。

高交互honeypot有真正的底层操作系统，攻击者能够上传、安装新文件，可以与操作系统交互，也能够攻击各种应用程序，会给系统带来很大的风险，但捕获到有用信息的可能性越大。

3基于蜜罐的扫描监测原型系统设计与实现

本文在分析了蜜罐技术在实际部署中必须考虑的相关因素的基础上，针对恶意移动代码的特点，构建了基于蜜罐技术的恶意移动代码扫描监测模型，目标是对校园网内的恶意扫描源进行监测和预警。模型按功能实现可以划分为两部分：监测部分和预警处理部分，监测部分是预警处理部分的基础。

3.1模型构成

整个系统由6个模块构成，如图1所示，分别为监测数据采集模块、数据存储和预处理模块、单点检测预警模块、检测结果可视化模块、多点综合处理与预警模块、防火墙访问规则自动生成模块。除监测数据采集模块属于监测部分外，其余模块均属于预警处理部分。

系统框图如图1所示。整个系统的数据处理流程描述如下：

监测数据采集模块负责在监控网络内采集恶意扫描流量，将流量数据输送至数据存储与预处理模块中的数据服务器，并对存储格式进行简单转换处理，然后单点检测预警模块分别对各采集点的流量数据进行统计分析，形成单点扫描检测预警结果。该结果一方面由可视化模块进行可视化，另一方面传输给多点综合处理与预警模块进行综合处理与预警。综合检测与预警结果由可视化模块进行可视化输出，同时由防火墙规则自动生成模块生成防火墙访问规则，与防火墙联动对恶意扫描源行为进行控制。

3.2监测数据采集模块

监测数据采集模块为模型的基础模块，只有监测数据采集准确，才能提供有效的处理信息给后续预警分析。在监测数据采集模块中，首先应该确定监测点在网络中的部署位置。因为本文系统提出的设计目标是监测校园网内的恶意扫描源，所以监测重点是出现在校园网内部的扫描连接，根据部署原则，监测点需要部署在校园网防火墙内，并且是由内部路由器连接的网络中。由于蜜罐技术可以把网络中路由未使用的IP地址伪装成“活动主机”，因此在内部网络中，监测点主要以活动主机的形式存在。

3.3单点检测预警模块

单点检测预警模块为模型的核心处理模块之一，其功能是对各个监测采集点数据进行独立统计，并且进行扫描源与扫描端口的监测、报警、预警。根据蜜罐的工作原理，访问蜜罐的网络行为被认为未授权或恶意行为，所以基于蜜罐技术的扫描监测模型捕获到的流量一定是纯的异常流量。本文采用的蜜罐技术可以直接确定访问源性质，从而将研究重点集中在扫描源行为的研究而不是在扫描源识别上。

3.4可视化模块

可视化模块是实现数据检测结果方便用户可视的重要模块，主要由Web网页相关处理脚本构成，建立了专门的Web网站扫描源检测处理可视化结果。网站可以自动更新每日扫描源检测报警、预警结果，提供数据库查询接口页面，并且为用户提供以日、周、月为单位的扫描源检测结果。

3.5多点综合处理与预警模块

多点综合处理与预警模块是模型的核心模块，其功能是以时间为尺度对各个单点检测报警的结果进行关联分析和综合分类，从而形成来自于不同的监控网段共同扫描行为的综合报警和预警报告，并且将结果输入到防火墙访问规则自动生成模块，进而对后续相同的扫描源的恶意移动行为进行控制。有关关联分析处理参阅文献。

3.6防火墙访问规则自动生成模块

当今网络中普遍采用的网络安全防御部署系统主要有防火墙、入侵防护系统（IPS）和入侵检测系统（IDS）等。这几个系统的基本工作原理是根据一定的访问控制规则对恶意移动行为进行逻辑判断，因此如何提取和制定控制规则对于这些网络安全防御系统的正常运行起着重要作用。因为蜜罐技术具有针对性强、检测准确的检测优势，所以检测结果可生成相对应的访问控制规则，并且反馈给其他广泛应用的网络安全防御系统使用，以便于发挥更大的检测效用。

4结语

蜜罐技术是目前网络安全领域的新兴技术，通过模拟服务来获取入侵事件的具体信息，通过在一台物理主机上虚拟网络和不同操作系统的主机来扩大监测地址空间。本文主要工作为：设计了基于蜜罐技术的恶意移动代码扫描监测模型，并对监测数据采集模块、数据存储和预处理模块、单点检测预警模块、检测结果可视化模块、多点综合处理与预警模块、防火墙访问规则自动生成模块等各个模块进行了详细介绍，此模型能有效检测恶意移动代码威胁。模型的具体实现，以及多矢量传播监测系统部署问题是下一步研究的主要工作。

参考文献：

[1]GRIMESRA.MaliciousMobileCode[C].USA：O’Reilly&Associates，2001.

[2]SymantecCorporation[EB/OL].http：//.1995/20075-10-29.

[3]SANS.Sans-InternetStormCenter-CooperativeCyberThreatMonitorandAlertSystem[M].Press，2004.

[4]HoneynetProject[EB/OL].2003-01-01/2007-05-15.http：//.

[5]程志鹏.基于Honeypot技术的入侵诱骗系统的研究与应用[J].网络安全技术与应用，2008（2）.

网络安全监测技术篇5

【关键词】无线电监测；计算机；网络信息安全；保密

随着计算机技术和网络技术的发展，人类社会逐渐步入了信息时代，先进的信息技术改变了人们的生活方式和工作方式。但在发展的过程中，计算机网络信息安全则受到了严峻的挑战，不法分子利用先进的技术突破网络封锁来获取信息的网络安全事件屡见不鲜，严重者甚至导致企业机密、国家机密的泄露，这就对计算机网络信息安全保密提出了更高的要求。基于以上，本文简要分析了无线电监测于计算机网络信息安全保密。

1计算机网络信息泄密的原因分析

1.1网络泄密途径

计算机网络改变了人们的生活方式和工作方式，为人类社会创造力巨大的知识财富，计算机网络的应用是人类社会一次伟大的进步，意义深远。但需要注意的是，网络有着开放性的特点，计算机网络结构中的数据有着共享性的特点，计算机主机与用户以及用户与用户之间能够通过网络来实现联通，这就必然会产生一系列的泄密漏洞，给不法分子以可乘之机。（1）用户在进入计算机的过程中主要通过口令识别，但随着计算机技术的发展，这种口令识别已经不足以完成对计算机系统的保护，不法分子可以通过各种手段来盗取用户口令，进入计算机系统，完成机密窃取。（2）计算机在连接网络之后，微波线路和载波线路组成了计算机的传输线路，这就进一步拓展了计算机系统的泄密渠道，计算机网络范围越广，其所需要的传输线路通道越多，信息的输送范围和输送区域就越大，这就给信息传输的保护带来了严峻的挑战，许多不法分子利用网络中众多分支信道中的一条信道或信道中的一个节点就可以截获计算机网络信号，从而窃取整个网络传输的信息，完成窃密。（3）当前许多计算机网络在传输信息的过程中都采用非屏蔽网线，在信息传输的过程中可能会泄露大量的电磁，此时非屏蔽网线就相当于一个电磁发射天线，其所泄露的电磁中会搭载大量的信息，如果缺少必要的防护，不法分子利用接收设备就可以完成对电磁的接收和对机密信息的还原。

1.2媒介泄密途径

计算机信息主要存储在存储器中，分为内存储器和外存储器两种，一些机密信息存储在内存储器中则可能通过计算机的电磁辐射和计算机联网导致信息泄露，同时在使用计算机的过程中，大量的应用外存储器也可能导致计算机信息被篡改或复制，例如磁盘、磁带等，这些外存储器即使经过消磁仍然能够通过一定的技术手段来提取信息。当计算机出现故障需要维修的时候，如果不可以及时处理硬盘，或缺乏安全意识不进行维修监督，则很可能给不法人员以可乘之机，从而引起秘密信息泄露。

1.3辐射泄密途径

计算机的电磁波辐射是不可避免的，计算机的显示器、通信线路的连接线、主机设备以及打印机等输出设备都可能产生电磁波辐射。在工作的过程中，计算机依赖于高频脉冲电路，这就必然会引发电磁场的变化，从而引起电磁波的辐射。电磁波在辐射的过程中会搭载计算机信息，一些不法分子通过电磁波接收设备能够接受电磁波，从而破译搭载在电磁波上的信息，盗取相应机密。国外的相关研究显示，电磁波的辐射范围能够达到一千米以上，也就是说不法分子在计算机一千米之外就可以利用电磁波接收设备来接收并还原计算机终端的信息。而在开阔地带，利用监听设备就能够在一百米外接受到电磁波辐射信号，这就给计算机网络信息安全带来了的极大的威胁。电磁波辐射一般分为两类：1.3.1运算控制和外部设备辐射这种辐射的频率一般在10兆赫兹到1000兆赫兹之间，利用此频段的接收机就能够对此类电磁波进行接收，但这种电磁波中搭载的信息解读相对复杂。1.3.2视频电磁波视频电磁波主要指的是计算机显示器中断中阴极射线管所发射的电磁波，相较于第一类电磁波而言，视频电磁波的频率相对较小，一般在6.5兆赫兹以下，在有效距离之内，只需要利用相同型号计算机或普通的电视机就能够接收此类电磁波，且搭载在视频电磁波中的计算机网络信息解读相对容易，是当前不法分子常用的一种窃密技术。

1.4人为泄密途径

计算机的操作主体和使用主体用户，对于一些计算机来说，则是工作人员，由于工作人员的原因也可能导致泄密，具体来说有以下三种工作人员泄密情况：1.4.1无知泄密指的是工作人员在使用的过程中并不知道电磁波辐射会导致秘密信息泄露，在使用的过程中并未采取有效的加密措施，从而导致秘密信息泄露，还有一种情况是工作人员不知道已经删除信息的存储器也会造成泄密，因此在存储器流通的过程中造成泄密。1.4.2管理不严泄密指的是在使用计算机的过程中没有按照相关规章制度进行使用，或缺乏有效的管理而导致泄密，例如计算机检修前不做消磁处理等可能导致泄密。1.4.3故意泄密指的是计算机程序员为了利益获取计算机密钥，故意窃取机密信息和保密文件，或利用职务之便为不法分子提供进入计算机或接近计算机的机会而导致泄密。

2无线电监测技术概述

无线电监测指的是利用先进的技术手段和相关设备来对无线电发射频率、带宽以及误差进行有效的测量，以此来实现对信号的监控，对非法的干扰信号进行抵御和查处。无线电监测对计算机的保护有着全面性的特点，不仅能够对没有连接网络的计算机进行防护，还能够实现对网络安全的评估。无线电监测的主要内容如下：

2.1立体监测

无线电检测技术能够通过空间维度中的电子地图、台站维度上的台站数据、环境维度上的站情数据以及时间维度上的分析统计数据库等来实现对计算机电磁环境的多维度立体化监测，以此来保证计算机电磁环境的安全性。

2.2自动监测

无线电监测技术能够通过对监测任务、监测条件以及异常信息处理流程等方面的设置来实现对计算机安全的自动化监测。

2.3主动监测

无线电监测技术能够实现主动监测，当值班监测信号出现异常的情况下就会自动报警，从而主动的实现对计算机信息的防护。2.4协同监测无线电监测技术能够建立中心监测网，对监测设备、分析系统以及干扰设备等进行统一的调度，实现协同监测，保证监测的系统化。

3无线电监测于计算机网络信息安全保密策略

上文中简要探讨了计算机的泄密途径，之后对无线电监测技术进行了分析，了解了无线电监测技术的原理和监测内容，明确了无线电监测技术对于计算机网络信息安全保密的作用，下面来简要探讨无线电监测于计算机网络信息安全保密策略。

3.1计算机安全升级

工作人员应当定期对计算机进行扫描杀毒，采用先进的杀毒软件，提升计算机的安全系数，同时应当及时对磁盘进行整理，加强对无线电监测技术的应用，以此来保证计算机网络环境的安全性。此外，在使用计算机的过程中应当利用防火墙、加密设备来实现多层次的加密，采取身份认证、信息加密、数据备份、授权管理等一切加密手段，保证计算机网络安全。

3.2移动存储介质隔离

计算机移动存储介质往往会成为计算机泄密的载体，因此应当对不同用途的存储介质进行隔离，将搭载机密信息的移动介质保护起来，以此来避免通过移动存储介质来泄密的可能性。此外，用户或计算机管理人员应当提升自身的安全意识，在使用计算机的过程中切忌将计算机与公共网络连接，在计算机出现故障维修的时候要选择专业的维修人员，维修之前要对计算机进行消磁处理，同时全程监控维修过程，避免机密信息泄露。

3.3资料档案室

上文中提到，计算机主要辐射设备有显示器、主机、输出设备以及线路等，在高频脉冲电路下，电磁波的辐射会搭载计算机网络信息，从而给不法分子窃密带来可乘之机，针对这个问题，可以选择建立无线电资料档案室，以此来将电磁波隔离出去，有效保证计算机网络信息的安全，避免入侵者在计算机附近通过接收设备来窃取信息。而在数据输入的过程中，为了进一步保护计算机网络信息，应当采取一定的点播屏蔽或干扰措施。

3.4加强管理

对于计算机来说，应当将无线电管理系统和互联网隔离开来，保证内外网的物理隔离，明确计算机权限及使用责任。此外，应当积极提升工作人员的素质，对网络管理员和计算机工作人员进行考核，以此来促进保密工作。

4结论

综上所述，计算机技术和网络技术的应用越来越广泛，计算机网络信息安全问题日益受到重视。本文简要分析了计算机泄密途径，并从无线电监测技术出发，探讨了计算机网络信息安全保密的相关问题，旨在为相关计算机网络的安全保护实践提供参考。

参考文献

[1]钱肇钧.浅谈无线电监测与计算机网络信息安全保密[J].中国无线电,2010,04:81-82.

[2]张俊钦.无线电监测与计算机网络信息安全的综合探析[J].无线互联科技,2015,03:11-12.

[3]张敏.刍议计算机网络信息安全保密问题[J].电脑知识与技术,2015,15:34-35.

[4]唐中学.计算机网络信息安全保密问题浅析[J].电脑知识与技术(学术交流),2007,04:973-974.

[5]杨和平,郭立新,孙信群.无线电管理信息系统安全刍议[J].中国无线电管理,2003,02:22-24.

网络安全监测技术篇6

关键词: 信息安全 网络安全 防火墙 技术特征

信息安全是国家发展所面临的一个重要问题,对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分。我国在构建信息防卫系统时,应着力发展自己独特的安全产品。我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。

1.网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,保证系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性学科。

网络安全技术则指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其它的安全服务和安全机制策略。在众多的网络安全技术中,网络防火墙是使用较广的一个。

2.防火墙

防火墙是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。

作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅能完成传统防火墙的过滤任务,而且能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展。

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型,网络地址转换-NAT,型和监测型。

2.1包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序和电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

2.2网络地址转化-NAT

网络地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

2.3型

型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器,而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

2.4监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,而且对来自内部的恶意破坏有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上超越了前两代产品。

虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,因此目前在实用中的防火墙产品仍然以第二代型产品为主。实际上,作为当前防火墙产品的主流趋势,大多数型防火墙也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。

参考文献:

[1]李俊民.网络安全与黑客攻防宝典.北京电子工业出版社,2010.

[2]麦克卢尔,库尔茨.黑客大曝光:网络安全机密与解决方案.清华大学出版社,2006.

[3]刘晓辉.网络安全设计、配置与管理大全.电子工业出版社,2009.

[4]赵俐.防火墙策略与VPN配置.中国水利水电出版社,2008.

网络安全监测技术篇7

关键词：网络安全 防火墙 技术特征

一、概述

21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。因此，如何选择网络安全产品和方法就尤为重要。就网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。

二、防火墙

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（服务器）以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、网络地址转换—NAT、型和监测型。

1.包过滤型

包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点？，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。

2.网络地址转化—NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

3.型

型防火墙也可以被称为服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，服务器相当于一台真正的服务器；而从服务器来看，服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给服务器，服务器再根据这一请求向服务器索取数据，然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

4.监测型

是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品，虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。

网络安全监测技术篇8

关键词：计算机；网络安全；入侵检测技术

1引言

当今世界计算机网络的运用十分广泛，人们通过互联网进行商品买卖、社交以及娱乐，企业利用互联网进行交易，甚至能够危及到国家安全的机密信息也在计算机网络中沟通流动，因此计算机网络安全影响着社会各个层次、各个方面。计算机网络安全问题成为全世界共同关注的问题，如果不能有效地解决，将会严重制约信息化的发展进程。随着网络专家的不懈努力，找到了一个有效的解决途径就是入侵检测技术。入侵检测系统可以弥补防火墙的不足，在不影响网络性能的情况下对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。

2入侵检测技术相关理论概述

2.1定义

入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术，是一种为保证计算机系统的安全而设计与配置的技术。入侵检测系统(IntrusionDetectionSystem，简称IDS)是进行入侵检测的软件与硬件的组合。入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。入侵检测技术从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

2.2分类

（1）按照检测时间分类：入侵检测按检测的时间可分为实时入侵检测和事后入侵检测两种；（2）按照分析方法分类：入侵检测按照检测分析方法一般被分为误用检测和异常检测两大类；（3）按照数据来源分类：入侵检测依据待分析的数据来源通常可分为基于主机的检测系统和基于网络的检测系统两类；（4）按照系统结构分类：入侵检测按系统结构的划分可分为集中式入侵检测和分布式入侵检测两种；（5）按照工作方式分类：入侵检测按照工作方式的区别可分为离线检测和在线检测两种。

2.3工作流程

入侵检测技术的工作流程基本上可以归纳为以下3个步骤：（1）信息收集：信息收集是入侵检测的第一步，信息收集的内容主要包括系统、网络、数据及用户活动的行为和状态。收集信息的工作是由放置在不同网段的传感器或不同主机的来完成，包括非正常的目录和文件改变、非正常的程序执行以及系统和网络日志文件、网络流量的信息。（2）信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过3种技术手段进行分析：统计分析、完整性分析和模式匹配。其中模式匹配和统计分析用于实时的入侵检测，而完整性分析则用于事后的检测分析。当检测到某种误用模式时，就会产生一个告警并发送给控制台。（3）问题处理：控制台收到告警后，会按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。识别告警的方法主要有：活动特征、告警特征和用户特征。

3应用安全

入侵检测技术在计算机网络安全中的应用主要体现在基于主机的入侵检测系统和基于网络的入侵检测系统两个方面。

3.1基于主机的入侵检测系统

基于主机的入侵检测系统是把主机作为对计算机的重点检测对象，对主机进行入侵检测的设置，根据主机的运行情况来判断并检测主机是否出现了受到攻击的行为。主机入侵检测系统能够全面实时地监控计算机网络用户的操作行为，当网络出现网络异常情况时会进行预警，全面及时地保护网络安全。基于主机的入侵检测系统能够对攻击行为是否成功进行判断，并为主机作出决策提供充足的依据。基于主机分入侵检测系统还可以对文件访问、文件执行等指定的特定的系统部位进行监控。

3.2基于网络的入侵检测系统

基于网络的入侵检测系统又被称为基于行为的入侵检测系统，它在检测设置时无需在主机上进行安装，并且可以设置多个安全点，能够同时对多个网络通信进行监控，因此有着检测成本相对较低、检测速度快的优点。基于网络的入侵检测系统能够及时发现计算机在网络运行过程中受到的攻击，并及时向检测系统发送检测结果报告，提高发现计算机网络安全入侵的速度，方便快捷，并且大大缩短了计算机受到网络攻击的时间。基于网络的入侵检测系统由于采取对计算机的多处网络安全点和网络通信进行监控和观察，并且安装方便，因此检测效果高；监测系统一旦发现问题之后，可以直接利用网络进行报告，无论何时何地，都能做出快捷地反应和解决措施，提高了计算机网络安全检测技术的水平和检测效率，确保了计算机在安全网络环境下的正常运行，为计算机用户带来了便利。

4存在问题

4.1入侵检测技术相对落后

目前国内在入侵检测技术的研究起步比较晚，与发达国家相比差距还比较大。在网络安全技术发展的同时，网络入侵技术也在不断地升级，如果计算机网络安全入侵检测技术相对落后的话，当比较复杂高级的计算机网络入侵行为发生时，入侵检测技术是难以有效地解决威胁网络安全的因素的。在网络环境下，计算机对于网络安全的依赖性比较高，网络安全的入侵检测技术也存在一定的缺陷，安全检测存在局限性，在相同的网段能够进行计算机网络系统的局部检测与分析，一旦计算机网络系统处于不同的网段，其检测的全面性与有效性是难以保证的，由此可见，计算机网络安全的检测技术仍然有待提高，其存在的局限性与不完整性是非常明显。

4.2入侵检测技术方式单一

计算机网络安全的入侵检测系统主要采取的方式是特征检测，特征检测的适用范围是那些比较简单的入侵攻击行为，在单一的主机或网络构架下的检测效果很好，对异构系统以及大规模的网络监控就显得力不从心。当出现比较复杂的入侵行为时，入侵检测需要大量的计算和分析时间，这时入侵特征检测就无法发挥作用。另外，当入侵检测系统对网络系统进行监控时，会产生数量巨大的分析数据，分析数据会对系统性能造成较大压力。

4.3入侵检测技术加密处理困难

（1）计算机网络安全入侵检测技术在处理会话过程的加密问题上有很大的困难，就目前的发展趋势来看，这个问题会越来越突出。（2）入侵检测系统自身无法对网络攻击行为进行阻断，必须通过计算机内部防火墙的联合机制才能更好地完成入侵检测，自身的功能存在缺陷明显，作用也无法得到充分的发挥。（3）人们在日常生活中对计算机的广泛应用，计算机触及到用户越来越多的隐私，因而计算机内存储的网络数据也具有一定的隐私性，在计算机受到网络安全的威胁后，计算机网络安全的入侵检测系统自身无法完成对计算机系统的全面检测，检测技术并不能保证计算机网络数据的安全性和隐私性，加之网络检测需要同计算机内部防火墙联合，这样便会对计算机内部网络数据造成一定的暴露，不能对其做到科学全面的加密处理，在一定程度上对用户的个人隐私造成威胁。

5发展趋势

5.1分布式入侵检测

在如今高速发展的信息网络时代，传统的入侵检测技术缺乏协同并且过于单一，在应对高级复杂的网络安全入侵时显得力不从心，因此分布式的协作机制就显得更有优势。分布式入侵检测核心的技术体现在全局的入侵信息提取与多个入侵检测协同处理，主要体现在收集数据、入侵信息的分析和及时的自动响应等方面。它在系统资源方面的优势远大于别的方式，将是将来主要的发展方向之一。

5.2智能化入侵检测

目前的安全入侵方式越来越智能化和多样化，因此入侵技术的智能化发展也变得顺理成章。智能化入侵检测技术包含了模糊技术、神经网络、遗传算法、免疫原理等方法，能够更有效地识别与分析入侵威胁因素，提高网络安全入侵检测技术水平。智能化入侵检测可以将入侵的特点更具有广泛识别性和辨识性，因此可以在解决出现的故障时，识别和隔离可疑攻击，并不干涉正常运行的程序，以确保计算机的运行效率。

5.3一体化全方位防御方案

根据目前的网络安全入侵情况来看，入侵方式越来越智能化和多样化，仅仅某一方面的入侵检测方式很难应对，因此针对这种情况，网络安全入侵检测系统很可能实现一体化的发展趋势，这样入侵检测的结果将会更加全面和科学准确，打造网络安全入侵检测平台，最大化地利用计算机资源，增强入侵检测的可靠性，全方位地确保计算机的网络安全。

6结语

作为一种积极主动地计算机网络安全防护技术，入侵检测为计算机网络安全提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和解决入侵威胁，对保护网络安全的作用十分重要。面对日益复杂的网络安全形势，必需正视自己在入侵检测技术上与发达国家的差距，加大研究力度，提升我国计算机网络安全的入侵检测技术水平，为计算机网络安全提供有力保障。

参考文献

[1]毛晓仙.试论计算机网络安全的入侵检测技术[J].网络安全技术与应用,2014,08:63+65.

[2]唐锐.基于频繁模式的离群点挖掘在入侵检测中的应用[D].重庆大学,2013.

[3]宋彦京.计算机网络入侵检测系统与技术措施分析[J].网络安全技术与应用,2014,11:51-52.

[4]董芳.入侵技术在数据网络安全中的应用分析[J].赤峰学院学报(自然科学版)，2012,06:27-28.