網絡的入侵檢測技術應用研究

摘要:隨著我國Internet的快速發(fā)展，入侵檢測技術成為了保護計算機信息安全的有效方法方法。該文通過分析入侵檢測和入侵檢測系統(tǒng)的基本概念，闡述了我國先進常用的入侵檢測技術，并指出了入侵檢測系統(tǒng)存在的問題和今后的發(fā)展趨勢。

關鍵詞:網絡;入侵檢測技術;應用研究

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10422-02

Application Research of Network Intrusion Detection Technology

LU Ji

(College of Technology， Xiaogan University， Xiaogan 432000， China)

Abstract: With the rapid development of the internet in our country， intrusion detection technology has become the effective method of protecting the safety of the information of network. Through analyzing the basic concepts of the intrusion detection and intrusion detection system， this paper expounds the advanced and common intrusion detection technology in our country and points out the existing problems and the trends of development of the intrusion detection system.

Key words: network; intrusion detection technology; application research

伴隨著計算機網絡的日益普及，人類在執(zhí)行各種活動的時候越來越依賴計算機，網絡的安全成為了人們生活和工作中的重中之重。因此，作為網絡安全措施的一個環(huán)節(jié)，入侵技術越來越受到人們的關注，采取有效的防護措施，發(fā)展網絡的入侵檢測技術有助于建立全面的網絡安全體系。

1 入侵檢測與入侵檢測系統(tǒng)基本概念

入侵檢測是電腦動態(tài)的跟蹤和檢測方法的總稱，主要是用來辨別和回應計算機中網絡資源的惡意使用行為，通過對計算機網絡中的系統(tǒng)存在的關鍵點進行分析，從而發(fā)現計算機網絡存在的安全隱患和被攻擊的情況。

入侵檢測系統(tǒng)是由入侵檢測的軟件和硬件組成，如果說防火墻是計算機網絡的第一道安全門，那入侵檢測系統(tǒng)就是第二道安全門，它的安全運行是在不影響計算機本身的網絡性能的情況下，按照一定的規(guī)律和策略對計算機網絡進行一個全方位的監(jiān)測，并通過收集和分析計算機系統(tǒng)網絡中存在的有利資源，對計算機受到外界的攻擊和受到的內部攻擊作出判斷，起到保護計算機系統(tǒng)的作用。

2 計算機網路入侵檢測技術

2.1 計算機的異常入侵檢測技術

在計算機網絡安全中，建立異常入侵檢測可以極大程度的保護計算機的安全。在異常入侵檢測中，系統(tǒng)主要是建立一個正常使用情況的數值列表，例如在一天之內計算機的登錄時間、登錄次數、內存的使用范圍、文件改動情況等等，當計算機系統(tǒng)在操作過程中出現于原先設置的數值不相同時，計算機就會隨即作出判斷的一種檢測技術。異常入侵檢測就是建造一套發(fā)現異?；顒拥某绦?，建立異常模型，然而采用的模型不同，檢測的方法自然也就不同。

2.1.1 模式預測異常檢測方法

按照一定的時間順序，根據計算機本身所具有的事件所歸納出來的一套規(guī)律稱之為模式預測異常檢測方法。在模式預測異常檢測中，計算機始終處于不斷更新的狀態(tài)，因此，在歸納過程中，新的事物加進來，那就要不斷的變換它剛開始創(chuàng)造的規(guī)律，并把它們集合在一起。這種檢測方式能夠檢測出來統(tǒng)計方法所不能檢測出的異常情況，使建立的計算機系統(tǒng)有更高的適應能力。

2.1.2 神經網絡異常檢測方法

神經網絡異常檢測方法的主要特點是它具有學習的基本能力，它允許神經網絡通過模仿用戶的操作行為來對最近的變化進行調整。它能夠熟練的訓練神經網絡中的信息命令，并且預測用戶的輸入命令，最后通過神經網絡來檢測電腦所受到的入侵。如果在計算機網絡運行中輸入了一定特殊的關系，那么它就會匯合成更加穩(wěn)定的網絡狀態(tài)。另外神經網絡還能夠很好的辨別噪音數據，在處理噪音的時候可以不依賴任何的數據單獨完成統(tǒng)計。

2.2 誤用入侵檢測

對已經存在的系統(tǒng)弱點建立入侵模式庫，將計算機在網絡中所采集的數據與特征數據庫進行匹配，通過對照是否一致來判斷計算機受入侵的范圍稱之為無用入侵檢測。誤用檢測是建立在知識檢測的基礎上，關鍵點在于入侵特征數據庫的建立。它主要包括如下幾種類型:

2.2.1 模型推理檢測方法

在計算機受到黑客和病毒攻擊時，一般是因為網絡系統(tǒng)受到入侵者的行為程序所影響。這種行為程序往往是由某種行為特征的模型引發(fā)的，因此要檢測出此類惡意的網絡入侵，就必須通過模型推理來檢測。通過模型推理檢測技術可以推斷出某種行為存在的特定模型，從而來監(jiān)控特性的行為活動。此類檢測技術的優(yōu)點在于，它能夠完善不確定的推理理論，并監(jiān)測一定的審計事件，當事情產生以后，可以根據它所記錄的內容進行審計，大大的減少審計事件的處理難度。

2.2.2 專家系統(tǒng)檢測方法

專家系統(tǒng)曾是人侵檢測系統(tǒng)研究中最活躍的領域，它采用“IF條件THEN動作”的結構，運用專業(yè)所制定的一套完整規(guī)律來對計算機所承受的攻擊行為作出判斷，從審計事件中找出入侵的源頭。在專家系統(tǒng)檢測中，當IF部分所編寫的代碼數據都符合條件以后，THEN部分才會正常的執(zhí)行并操作。此類檢測技術的優(yōu)點是把解決的方法和推理的過程完全的分離開，自動而有效的解釋系統(tǒng)中存在的審計情況，它的操作完全是依賴于知識庫的完整性。

3 網絡的入侵檢測技術存在的問題和發(fā)展趨勢

3.1 網絡的入侵檢測技術存在的問題

近年來，由于計算機網絡入侵檢測技術的廣泛應用，許多的公司和科研機構都投身到它的研究和開發(fā)中區(qū)，但是入侵檢測技術本身也存在著一定的缺陷，主要包括缺乏有效性、漏報率高、缺乏主動防御功能和準確的定位機制。由于IDS本身就是一個軟件程序，所以普遍存在著這樣或那樣的漏洞，這就很容易形成攻擊者的目標，一旦入侵計算機時，把IDS攻擊成功后，計算機系統(tǒng)將無法得到安全的保護。IDS僅僅能夠識別IP的地址，但是它卻不能準確的定位IP的地址，因此在識別數據來源上，它存在一定的缺陷。IDS系統(tǒng)在收到外界的攻擊時，只能做到關閉正在運行的端口和服務器，但這樣會嚴重的影響到與之運行的其他程序。

3.2 網絡的入侵檢測技術的發(fā)展趨勢

由于IDS涉及到很多方面的因素，而這些方面也是影響IDS研究的進展。因此，在今后IDS在發(fā)展中應該以分布式合作引擎和協(xié)同式地域入侵的方法來發(fā)展IDS。由于現在網絡黑客和病毒的不斷入侵，單一的入侵檢測技術已經不能夠起到抵御攻擊的效果，因此要充分建立協(xié)作機制，來提高計算機網絡的安全性。做好應用層的入侵檢測，例如現在許多入侵的語義都包括著很多的含義，如果無法解析此類含義，就無法侵入計算機。安裝智能入侵檢測系統(tǒng)，也是保護計算機網絡安全的方法，由于現在入侵的技術越來越高，也越來越復雜，所以我們要盡量以智能體和神經網絡的入侵檢測領域來研究，建立一套能集自學習和自適應能力于一身的智能入侵檢測系統(tǒng)。

4 結束語

通過上述分析得知，網絡的入侵檢測是一種積極主動的計算機安全防護技術，它可以有效的彌補網絡防護墻的防護缺點，成為第二道安全門。由此可見，IDS的前景是光明的，它將吸引國內更多的安全技術人員投身其中，大力推動我國IDS的技術水平的提高與發(fā)展。

參考文獻:

[1] 顧愛琴.網絡安全的入侵檢測技術分析[J].邢臺職業(yè)技術學院學報，2008，25(3).

[2] 夏炎，殷慧文.網絡入侵檢測技術研究[J].沈陽工程學院學報:自然科學版，2008，4(4).

[3] 張志剛，吳建設.入侵檢測技術在網絡安全中的應用[J].黃石理工學院學報，2008，24(5).