入侵檢測系統模型的設計與實踐

【文章摘要】

該課題論述了網絡安全的必要性，設計并實現了入侵檢測系統模型。入侵檢測系統的實現可以對網絡安全進行檢測，及時發現入侵行為并發出警報，采取有效措施進行處理。該課題論述了網絡入侵檢測系統的組成模塊及入侵信息檢測技術，設計并實現了入侵檢測系統模型。

【關鍵詞】

入侵檢測系統；網絡；網絡監測

1 入侵及入侵檢測的定義

1.1入侵定義

入侵定義：在未經授權的情況下，通過網絡蓄意訪問信息、篡改信息等不良行為使資源的完整性、可用性、機密性遭到破壞。

1.2入侵檢測定義

入侵檢測：入侵檢測是針對入侵行為的一種檢測手段。入侵檢測主要是針對計算機系統、網絡中的某些關鍵點而言的，通過收集并分析所獲得的信息來判斷是否存在非法入侵現象。入侵檢測系統能夠有效地發現對信息系統的惡意攻擊、試圖篡改信息等非法行為，并采取措施阻止這種非法攻擊，有效地防止惡意攻擊的發生和擴大。

2 網絡安全發展現狀

隨著網絡技術的發展，它早已滲透到生活、軍事、政治等多種領域。Internet的開放性、跨國性給人們帶來便利的同時，也存在很大的安全隱患。網絡安全對銀行、軍事等重要環節尤為重要。ISO對計算機系統安全做了如下定義：保護計算機的軟、硬件及其數據，即使遭到偶然和蓄意攻擊時，系統也不會遭到破壞、泄露、更改，以此來確保網絡數據保密性、完整性。

現如今，常用的網絡安全技術包括：訪問控制、防火墻、數據加密、VPN虛擬專用網等。其中防火墻技術使用最為廣泛，計算機互聯網有三分之一受其保護，防火墻是Internet與內部網絡之間的屏障，它起到過濾作用，只有合法的數據流才能通過防火墻，以此來確保系統的安權。網絡管理者通過監管、控制網絡訪問者來進行網絡訪問。針對用戶采用不同級別的系統訪問權限，防治用戶訪問非法信息、網站等，確保信息、資源的安全性。數據加密技術可以將需要保密的重要信息通過加密轉換成一些在外人看來沒有意義的數據，想要得到原始數據只能用密碼打開。VPN虛擬專用網是在兩個通信點之間建立通道，將加密的傳輸數據封裝在IP包中，數據不會被竊取盜用，適合用于遠程操作。

3 組成入侵檢測系統的模塊

一般的入侵檢測系統被分為以下幾大模塊：信息采集模塊、入侵信息檢測引擎、用戶界面。有的系統可能還包括信息存儲、安全知識庫等模塊，安全知識庫可以提高完善安全檢測，信息存儲可以使數據分析能力得到提高。幾大功能模塊詳情如下：

3.1信息采集模塊

信息采集模塊收集可能攜帶入侵行為的數據，確保系統、網絡、數據等信息的安全。數據的采集設備是不同網段的傳感器或者是不同主機的代理。過濾并預處理采集到的數據，并將數據送到入侵信息分析引擎，進行下一步處理。

3.2入侵信息檢測引擎

將信息采集模塊采集到的數據送到入侵信息檢測引擎，計算機已經預先設定了算法，調用這些算法對數據進行分析，以此來判斷是否有非法入侵操作并且進一步判斷入侵行為屬于何種類別。當引擎判斷有入侵操作時就會產生一個警告信號并把信號傳送到用戶界面，網絡管理人員通過界面顯示的內容做出下一步處理。

3.3用戶界面模塊

通過用戶界面可以清楚地看到入侵信息檢測引擎檢測到的入侵信號，方便管理員對入侵行為的排查、處理工作的開展。

4 入侵分析技術

入侵信息分析引擎是入侵檢測系統的核心，該課題針對入侵信息分析引擎技術做了詳細的論述。入侵信息引擎技術主要包括異常檢測、誤用檢測。

4.1誤用檢測

誤用檢測是將已知的非法攻擊的特征提取出來，并將這些特征收集到特征數據庫進行整合管理，當檢測到的入侵模式與數據庫中存儲的非法入侵行為相匹配時，判斷系統出現非法入侵性行為。這種誤用檢測具有判斷正確率高、漏報率也高的特點，因為很多入侵行為難以建立入侵模型，無法收入到數據庫中，另外還有很多入侵是無法預估的，致使很多入侵行為無法囊括到數據庫中，所以誤用檢測漏報率較高。

4.2異常檢測

異常檢測是通過檢測用戶行為、資源的使用情況，以此來判斷是否有非法入侵行為的發生。異常檢測可以檢測到未曾出現過的非法入侵行為，但是這種檢測具有準確率低的缺點，很有可能導致誤檢，因為這種不依賴具體模式進行判斷的檢測，針對改變頻繁的數據、資源、行為等，它沒有一個固定的界限劃分正常、非正常的范圍。

入侵分析引擎通過采用誤用檢測、異能檢測相結合的方式評判是否發生入侵行為，另外針對數據不同類型采取不同的檢測技術，用異能檢測技術來檢測系統日志，用誤用檢測技術檢測網絡的數據包。

5 入侵檢測系統的設計

針對入侵檢測系統的的三大模塊進行了詳細的設計：

5.1信息采集

根據數據的來源，信息采集模塊被分成網絡信息采集、調用系統采集、系統日志監控三個模塊。網絡信息采集模塊可以采集網絡的IP通信數據。調用系統采集模塊用來采集系統調用的序列號。日志監控系統可以實時監控某些關鍵日志。

5.2入侵信息分析引擎

針對不同的數據源采取不同的方式分析處理，所以入侵信息分析系統設計了不同的數據分析引擎進行數據的分析。入侵信息分析引擎可以被分成網絡信息分析引擎、系統調用分析引擎、用戶分析引擎。網絡信息分析引擎可以檢測系統是否發生非法攻擊，其中攻擊被分成分布式攻擊、探測攻擊、拒絕服務攻擊三種。系統調用分析引擎分析針對的是系統的子程序，當發現系統調用子程序時發生異常，判斷發生入侵行為。用戶界面分析引擎針對的是內部，當用戶出現越權行為時，用戶分析引擎對其進行檢測。

5.3入侵警告與用戶界面

在入侵信息分析引擎判斷系統發生了入侵行為之后，就會向用戶界面發送一個預警信號，網絡管理員通過可視化的用戶界面即可方便快速的得到報警信號。在該課題設計的系統中將報警信號分為了幾個等級。一級紅色警報規定為入侵信息分析引擎肯定此時產生了非法入侵行為；二級黃色警報規定了入侵信息分析引擎判斷可能發生了入侵行為；另外出現一些輕度異?，F象，將檢測到的信息存入到入侵檢測系統的日志中，方便網絡管理員以后的檢查。一級、二級警報通過窗口完成，當出現此種警報時會向管理員彈出對話窗，其內容包括判斷結論和一些與入侵相關的信息，方便管理員的分析判斷。

6 總結

目前的網絡仍存在很多的安全隱患，該課題中我們設計并實現了入侵檢測系統的模型，實現較為完整的保護功能，入侵檢測系統是網絡安全的一個重要分支，還需要進一步得到完善。

【參考文獻】

[1]劉偉.基于移動代理的事業單位網絡入侵檢測系統的設計與實現[D].電子科技大學，2012.

[2]高亮.數據挖掘中貝葉斯算法在入侵檢測中的應用[D].蘭州交通大學，2013.

【作者簡介】

宋偉，1984.10，男，西安人，本科，助理工程師，研究方向：入侵檢測，數據挖掘。