計算機網絡安全維護中入侵檢測技術的運用實踐

姜立

摘要：隨著計算機網絡技術的發展，單獨地依靠主機審計信息進行入侵檢測難以適應網絡安全的需求，于是人們提出了基于網絡的入侵檢測系統體系結構，這種檢測系統根據網絡流量、單臺或多臺主機的審計數據檢測入侵。本文將主要探討計算機網絡安全維護中入侵檢測技術的運用。

關鍵詞：計算機；網絡安全；入侵檢測技術

基于網絡的入侵檢測系統的數據源是網絡流量，它實時監視并分析通過網絡的所有通信業務，檢測范圍是整個網絡，由于網絡數據是規范的TCP/IP協議數據包，所以基于網絡的入侵檢測系統比較易于實現[1]。但它只能檢測出遠程入侵，對于本地入侵它是看不到的。

1入侵檢測技術概述

探測器一般由過濾器、網絡接口引擎器以及過濾規則決策器構成，其功能是按一定的規則從網絡上獲取與安全事件相關的數據包，然后傳遞給分析引擎器進行安全分析判斷。分析引擎器將從探測器上接收到的包結合網絡安全數據庫進行分析，把分析的結果傳遞給配置構造器。配置構造器根據分析引擎的結果構造出探測器所需要的配置規則。分析引擎器是它的一個重要部件，用來分析網絡數據中的異常現象或可疑跡象，并提取出異常標志。分析引擎器的分析和判斷決定了具有什么樣特征的網絡數據流是非正常的網絡行為，它常用的4種入侵和攻擊識別技術包括根據模式、表達式或字節匹配；利用出現頻率或穿越閥值；……