計算機網絡入侵檢測技術探討

摘要網絡入侵檢測系統能夠對網絡中發生的安全事件和網絡中存在的安全漏洞進行主動實時的監測，是現代計算機網絡安全的關鍵技術之一。本文介紹了入侵檢測技術的概念、原理、功能、分類和未來的發展趨勢。

關鍵詞入侵檢測網絡安全技術探討

中圖分類號:TP393文獻標識碼:A

隨著計算機應用范圍的擴大和互聯網技術的迅速發展，計算機信息技術已經滲透到人們生活的方方面面，各種組織紛紛利用互聯網建設自己的信息網絡系統，以充分利用各類信息資源。然而，越來越開放的信息系統也帶來了眾多安全隱患， 出于各種目的，它正日益成為犯罪分子攻擊的目標，黑客們試圖使用他們所能找到的方法侵入他人的系統。在網絡安全越來越受到人們重視和關注的今天，網絡安全技術作為一個獨特的領域越來越受到人們關注，網絡安全問題越來越突出。

1 網絡安全定義

所謂網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏，確保系統能連續、可靠、正常地運行，網絡服務不中斷。常見的影響網絡安全的問題主要有病毒、黑客攻擊、系統漏洞、資料篡改等，這就需要我們建立一套完整的網絡安全體系來保障網絡安全可靠地運行。在現今的網絡安全技術中，常用的口令認證、防火墻、安全審計、以及加密技術等，總的來說都屬于靜態的防御技術。單純依靠這些技術，很難確保網絡的安全。而網絡入侵檢測系統能夠對網絡中發生的安全事件和網絡中存在的安全漏洞進行主動實時的檢測，可以更加有效地保護被監測網絡的安全。

2 入侵檢測技術

入侵檢測是指“通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”。從技術上劃分，入侵檢測有兩種模型:(1)異常檢測模型(Anomaly Detection);(2)誤用檢測模型(Misuse Detection)。 按照檢測對象劃分有:基于主機、基于網絡及混合型三種。入侵檢測過程主要有三個部分:即信息收集、信息分析和結果處理。

3 入侵檢測原理

入侵檢測通過旁路偵聽的方式，對計算機網絡和計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。能夠幫助網絡系統快速發現網絡攻擊的發生，對得到的數據進行分析，一旦發現入侵，及時做出響應，包括切斷網絡連接、記錄或者報警等。入侵檢測系統的基本工作模式為:從系統的不同環節收集信息;分析該信息，試圖尋找入侵活動的特征; 自動對檢測到的行為做出響應;記錄并報告檢測過程結果。

4 入侵檢測的分類

入侵檢測可分為實時入侵檢測和事后檢測兩種:實時入侵檢測在網絡連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復。事后入侵檢測由網絡管理人員定期或不定期進行，根據計算機系統對用戶操作所做的歷史審計記錄判斷用戶是否具有入侵行為，如果有就斷開連接，并記錄入侵證據和進行數據恢復。

5 入侵檢測系統的功能

入侵檢測系統是通過收集網絡中的有關信息和數據，對其進行分析，發現和制止隱藏在其中的攻擊行為，最后進行數據恢復。總的來講，IDS系統的功能有以下七種:(1)監控、分析用戶和系統的活動;(2)核查系統配置和漏洞;(3)評估關鍵系統和數據文件的完整性;(4)識別攻擊的活動模式并向網管人員報警;(5)對異常活動的統計分析;(6)操作系統審計跟蹤管理，識別違反政策的用戶活動;(7)評估重要系統和數據文件的完整性。

6 入侵檢測系統的發展趨勢

(1)分布式入侵檢測與通用入侵檢測架構:傳統的IDS系統局限于單一的主機或網絡架構，對異構系統及大規模的網絡檢測不足，不同的IDS系統之問不能協同工作。為解決這一問題，需要發展分布式IDS技術與通用IDS架構。

(2)應用層入侵檢測:很多入侵的語義只有在應用層的級別上才能被理解和發現，而目前的IDS僅能檢測如Web之類的通用協議，而不能處理~Lotus Notes、數據庫系統等其他的應用系統。

(3)智能的入侵檢測:入侵方法越來越多樣化與綜合化，盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究，但這只是一些嘗試性的研究工作，仍需對智能化的入侵檢測加以進一步的研究以解決其自學習與自適應能力。

(4)與其他網絡安全技術相結合:如結合防火墻、PKI、安全電子交易SET等新的網絡安全與電子商務技術，提供完整的網絡安全保障。

網絡入侵檢測系統能夠對網絡中發生的安全事件和網絡中存在的安全漏洞進行主動實時的監測，是現代計算機網絡安全的關鍵技術之一。