入侵檢測系統(tǒng)在計算機網(wǎng)絡安全中的設計與應用

摘 要：入侵檢測系統(tǒng)是近年來迅速發(fā)展起來的技術，以往的網(wǎng)絡入侵檢測對于復雜的數(shù)據(jù)和外部的供給，不能對其特征進行有效識別，導致檢測的準確性比較低。為了保證網(wǎng)絡的安全，結合實際工作，將現(xiàn)代技術應用到網(wǎng)絡入侵檢測當中，取得了很好的效果。文章對網(wǎng)絡入侵檢測框架模型、入侵系統(tǒng)結構和網(wǎng)絡入侵檢測方法進行了詳細的研究。

關鍵詞：入侵檢測系統(tǒng)；網(wǎng)絡入侵；網(wǎng)絡安全

隨著現(xiàn)代計算機技術的快速發(fā)展，當前網(wǎng)絡安全成為一個焦點話題，這也使網(wǎng)絡入侵技術成為當前網(wǎng)絡安全領域的研究重點。入侵檢測具體指的是監(jiān)視或者在可能的情況下，阻止入侵或者是試圖入侵系統(tǒng)資源的努力。目前，網(wǎng)絡入侵檢測系統(tǒng)在工作的過程中不像路由器以及防火墻作為關鍵設備工作，可以指出網(wǎng)絡入侵檢測系統(tǒng)發(fā)展的關鍵路徑。網(wǎng)絡入侵系統(tǒng)在工作的過程中即使出現(xiàn)了故障也并不會影響正常的工作，因此使用網(wǎng)絡入侵檢測系統(tǒng)的風險相比于主機入侵檢測系統(tǒng)會更小。

1 入侵檢測系統(tǒng)框架模型

互聯(lián)網(wǎng)工作小組的入侵檢測小組，在1996年就已經(jīng)開發(fā)了安全事件報警的標準格式，即入侵檢測交換格式。入侵檢測工作小組制定的這一格式對部分術語的使用進行了比較嚴格的規(guī)范，并且為了能夠適應入侵檢測系統(tǒng)所輸出的安全事件信息的多樣性，這一模型在客觀上能夠滿足入侵檢測系統(tǒng)各種功能要求和邏輯結構。這樣可以確保入侵檢測系統(tǒng)在形式上可以有不同的特點。在進行系統(tǒng)設計的過程當中根據(jù)系統(tǒng)所承擔的具體任務以及其工作環(huán)境的不同，在進行搭建時可以選擇獨立的傳感器、管理器等設備，其功能的實現(xiàn)也可以是一個設備當中所具有的不同的功能。入侵檢測系統(tǒng)在工作中，具體可以劃分為3步，信息收集、數(shù)據(jù)分析、事件響應。其中信息收集包括系統(tǒng)以及網(wǎng)絡；數(shù)據(jù)分析的主要任務是將收集到的有關數(shù)據(jù)信息發(fā)送到檢測引擎，檢測引擎會通過模式匹配、統(tǒng)計分析、完整性分析3種手段對于收集的信息進行客觀分析；在系統(tǒng)工作的過程中，檢測到一個任務時會主動將報警發(fā)送到系統(tǒng)當中的管理器，管理器能夠根據(jù)預先設計好的安全政策進行定義，對接收到的報警內(nèi)容進行回應，并提出相關檢疫。

2 入侵檢測系統(tǒng)結構

2.1 基于主機的入侵檢測系統(tǒng)

這一入侵系統(tǒng)在具體工作的過程當中，需要以應用程序日志等相關的審計記錄文件作為重要數(shù)據(jù)來源。通過對這些文件中的記錄和共計簽名進行比較，確定其是否可以進行匹配。如果比較得到結果是匹配的，這時檢測系統(tǒng)就主動將管理人員發(fā)出警報并采取措施防止系統(tǒng)被入侵。從整體上看，以主機作為基礎的IDS可以客觀、準確地反應入侵行為，并可以針對入侵進行及時反應。此外，在具體工作的當中這一系統(tǒng)還可以根據(jù)操作系統(tǒng)不同的特征來判斷應用層入侵事件。在這一系統(tǒng)當中涉及數(shù)據(jù)是手機用戶行為信息的主要方法，因此，這一系統(tǒng)在工作的過程中為了確保判斷工作的準確性，不能使系統(tǒng)當中審計數(shù)據(jù)被隨意修改。但是，如果系統(tǒng)在工作的過程中受到外來的攻擊，這些審計數(shù)據(jù)可能會被篡改，為此主機入侵檢測需要具備一個實時性條件：入侵檢測系統(tǒng)在具體工作的過程中需要在系統(tǒng)完全被控制之前完成對相關數(shù)據(jù)的審計分析、報警并主動采取相應的對策制止入侵。這一系統(tǒng)在具體應用的過程中主要的優(yōu)勢在于能夠對潛在的共計行為進行分析，并可以知道系統(tǒng)入侵者具體做了哪些事情。當然這一系統(tǒng)也有不少缺點，其中之一是這一系統(tǒng)是安裝在需要保護的設備上的，這樣其在工作的過程中無疑就使應用使用效率極大地降低。此外，在設備上安裝這一系統(tǒng)也容易帶來其他安全問題，這主要是因為在安裝了這一入侵系統(tǒng)之后，管理員本部允許的訪問權限被擴大了。

2.2 以網(wǎng)絡為基礎的入侵檢測系統(tǒng)

該系統(tǒng)需要被安裝在需要保護的網(wǎng)絡上，并以網(wǎng)絡中原始的數(shù)據(jù)作為分析工作的基礎。在具體應用中一般會選擇一個使用的網(wǎng)絡適配器對網(wǎng)絡傳輸?shù)臄?shù)據(jù)進行監(jiān)視和分析。網(wǎng)絡在工作中，如果收到了外來的攻擊，這時的檢測系統(tǒng)能夠及時獲取入侵信息并及時做出應對。以網(wǎng)絡作為基礎的入侵檢測系統(tǒng)從整體上主要是由過濾器、網(wǎng)絡接口引擎和探測器構成的。在具體工作當中根據(jù)制定的規(guī)則獲取與安全事件有關的數(shù)據(jù)包，之后將其傳送到分析模塊進行分析；入侵分析模塊可以根據(jù)采集到的數(shù)據(jù)包結合網(wǎng)絡安全數(shù)據(jù)庫進行分析，并最后將分析得到的結果傳給管理和配置模塊；系統(tǒng)中的管理和配置模塊的主要工作是管理其他模塊的配置工作，并且將系統(tǒng)經(jīng)過分析得到的結果傳遞給管理工作人員。這一入侵檢測系統(tǒng)的主要優(yōu)點集中在：能夠分析哪些是來自于外界的入侵以及哪些行為是超過權限的訪問。當前，HIDS不會在業(yè)務系統(tǒng)當中的主機安裝額外軟件，這樣不會影響機器的CPU、I/O設備、磁盤的使用，這樣不會影響到系統(tǒng)性能。這一系統(tǒng)的主要缺點表現(xiàn)在：系統(tǒng)在入侵檢查時只可以檢查與其相連的網(wǎng)絡通信，對不同的網(wǎng)絡不能進行檢測，在使用交換以太網(wǎng)的環(huán)境當中會出現(xiàn)檢測范圍的局限，如果多安裝檢測系統(tǒng)則會使預算大大提高。

2.3 基于主機的分布檢測系統(tǒng)

該入侵檢測系統(tǒng)主要由探測器和管理控制器兩個部分組成。其中HDIDS主要用來保護關鍵服務器，HDIDS有敏感信息系統(tǒng)，通過利用主機的系統(tǒng)資源、審計日志等相關的信息，能夠客觀地判斷出主機系統(tǒng)在運行的過程當中是否遵照了安全規(guī)則。在具體工作中，這一系統(tǒng)的探測器能夠以安全代理的方法安裝在主機系統(tǒng)上，可以通過網(wǎng)絡便捷安全開孔方法和防火墻遠程控制系統(tǒng)管理控制臺。這是集中的控制方式，它可以對主機狀態(tài)管理及監(jiān)控，并且可以及時更新檢測模塊的軟件，這就有效加強入侵檢測系統(tǒng)安全，使其擴張的能力更強大。

3 網(wǎng)絡入侵檢測方法分析

對數(shù)據(jù)進行可觀的分析是保證網(wǎng)絡安全的前提，可以提前得知網(wǎng)絡是否遭受到入侵。在網(wǎng)絡入侵檢測工作當中檢測率是現(xiàn)代人們關注的焦點，因此在網(wǎng)絡入侵分析工作當中使用不同的技術，其所得到的結果也是不同的。因此，在進行網(wǎng)絡入侵檢測中，需要根據(jù)具體的工作環(huán)境和檢測靈活選用入侵技術，這樣才能達到更好的檢測效果。從當前入侵檢測所使用的技術來看，具體可以分為采用異常檢測系統(tǒng)和無用檢測系統(tǒng)。

神經(jīng)網(wǎng)絡檢測法主要是訓練神經(jīng)網(wǎng)絡連續(xù)的信息單元，其中信息單元具體指的是命令。在網(wǎng)絡當中通過輸入曾經(jīng)是用戶當前輸入的命令和已經(jīng)執(zhí)行過的N個命令；用戶指定的命令被神經(jīng)適用以來確定用戶的下一個命令。在工作的過程當中如果被訓練成為預測用戶輸入命令序列的集合，這樣就可以使神經(jīng)網(wǎng)絡容易構建成用戶的輪廓框架。如果在使用這個神經(jīng)網(wǎng)絡很難客觀上反映出用戶的之后的命令時，那么表明用戶行為和其輪廓框架的偏離，這時就會出現(xiàn)異常事件，并將其作為異常入侵檢測。

4 結語

文章在研究的過程中分析了在計算機網(wǎng)絡安全中建立入侵檢測系統(tǒng)的重要性，并詳細地介紹了入侵檢測系統(tǒng)的整體結構，之后分為4個部分對入侵檢測系統(tǒng)進行了分析，最后指出了入侵檢測系統(tǒng)所使用到的方法。隨著現(xiàn)代科學技術的快速發(fā)展，近年來，神經(jīng)網(wǎng)絡、專家系統(tǒng)以及遺傳算法在入侵檢測領域的研究，也為入侵檢測系統(tǒng)的進一步發(fā)展提供了廣闊的前景。

作者簡介：王鵬（1980— ），男，陜西咸陽，講師；研究方向：計算機網(wǎng)絡技術應用。

[參考文獻]

[1]牛承珍.關于入侵檢測技術及其應用的研究[J].軟件導刊，2010（1）：137-139.

[2]胥瓊丹.入侵檢測技術在計算機網(wǎng)絡安全維護中的應用[J].電腦知識與技術，2010（36）：10293-10294.

[3]吳卉男.計算機網(wǎng)絡安全中入侵檢測系統(tǒng)的研究與設計[J].通訊世界，2016（1）：182.

[4]傅明麗.網(wǎng)絡安全中混合型入侵檢測系統(tǒng)設計[J].通訊世界，2016（1）：226-227.

Abstract： Intrusion detection system is developed rapidly in recent years. The previous network intrusion detection can not effectively identify the characteristic for complex data and external supply， resulting the detection accuracy is relatively low. In order to ensure the security of the network， combined with the actual work， modern technology will be applied to the network intrusion detection， which has achieved very good results. This paper studied the network intrusion detection framework model， intrusion system and method of network intrusion detection are in detail.

Key words： intrusion detection system； network intrusion； network security