網絡安全中入侵檢測系統的設計與實現

摘 要

隨著全球信息化，計算機網絡技術已經逐漸滲透到人們日常生活中。它給人們帶來便利的同時，也帶來了許多安全風險與隱患。而入侵檢測技術能夠及時的檢測出計算機中出現的不安全因素，并且采取相應措施，有效的保障了網絡的安全。因此，本文，首先對入侵檢測系統的相關概念及其技術進行了闡述，分析了目前網絡安全中使用入侵檢測技術存在的問題，最后提出了網絡安全中入侵檢測系統的設計與實現。

【關鍵詞】入侵檢測系統 網絡安全 設計與實現

隨著計算機網絡的廣泛使用，不僅改變了人們工作、學習和生活的方式，更為重要的是改變了人們獲取信息資源的方式與途徑。它的出現給人們帶來極大便利的同時，也帶來了網絡安全的隱患。一旦計算機系統的正常運行受到網絡入侵，不僅降低了計算機的運行效率，而且也會造成保密信息的泄露，給人們帶來不可估量的損失。因此，為了在不影響網絡性能的前提下，有效的解決上述問題，就必須采用入侵檢測系統，來彌補防火墻系統的不足，并且對系統的安全與操作進行實時的保護。

1 入侵檢測系統概述

1.1 入侵檢測系統概念

入侵檢測系統，指的是對入侵計算機系統的惡意使用行為進行識別、診斷和處理的系統。當計算機處于網絡環境中運行時，就會存在許多不安全因素，當受到病毒、蠕蟲等之類的惡意攻擊時，就會導致計算機的運行效率降低，甚至整個計算機網絡癱瘓。因此，當入侵檢測系統檢測到系統異常時，會及時的采取相應保護措施，避免計算機受到干擾。網絡安全中入侵檢測系統是針對防火墻系統的不足而產生的。

1.2 入侵檢測系統分類

根據數據的來源不同，我們通常將入侵檢測系統分為兩類：基于主機入侵檢測系統與基于網絡入侵檢測系統。其中，基于主機入侵檢測系統，指的是將主機作為重點檢測的對象，通過對主機進行入侵檢測設置，根據主機的運行狀況來判斷是否受到攻擊。該系統能夠全面、實時對計算機網絡上用戶操作行為進行監控，當出現網絡異常時，及時進行預警，從而保護整個網絡的安全。同時，該系統還能夠對攻擊行為是否有效進行判斷，以此為主機的決策行為提供依據；基于網絡入侵檢測系統，指的是在無法給客戶提供單獨檢測服務時，通過設置多個安全點，對多個網絡的通信進行實時的檢測。因此，該系統具有檢測成本低、檢測速度較快的特點。同時能夠及時的發現計算機網絡通信遭到惡意或病毒攻擊，并且及時的向檢測系統發送網絡報告，并采取相應的措施來阻止入侵。由于基于網絡的入侵檢測系統，不需要對主機進行安裝設置，而且不受時間與地點的影響，能夠快速的做出反應及應對措施，大大的提高網絡安全入侵的檢測效率。

1.3 入侵檢測技術方法

在傳統上，通常將入侵檢測技術方法分為誤用入侵檢測法、異常入侵檢測法、混合型檢測方法。其中，誤用入侵檢測指的是根據已知的攻擊特征，直接檢測出入侵行為，該方法需要及時的更新特征庫，無法檢測未知攻擊；異常入侵檢測法指的是通過建立目標系統與用戶的模型，來檢測系統用戶的實際行為，從而判斷用戶行為是否對網絡安全進行攻擊，具有良好的檢測未知攻擊能力。因此，為了綜合利用上述兩種技術的優點，提高入侵檢測系統的性能，從而提出了混合型檢測方法。

1.4 入侵檢測系統工作流程

入侵檢測系統工作流程通常分為以下三步：

（1）對系統、網絡、傳輸數據以及用戶行為的信息收集；

（2）將收集到的信息，送到傳感器中檢測引擎進行分析，當檢測到異常時，會發送預警信息給控制中心；

（3）控制中心收到預警后，會根據預警采取相應的處理措施。

2 網絡安全系統中入侵檢測系統的設計與實現

2.1 系統模型

本文所設計的是一種基于混合型檢測技術、基于網絡的分布式入侵檢測系統。

2.2 功能模塊

入侵檢測系統由探測代理模塊、監視代理模塊和策略執行代理模塊構成。其中：

探測代理模塊是整個檢測系統的基層模塊，主要功能是對網絡數據進行數據信息的獲取，經過統一的預處理之后，采用基于特征匹配的誤用檢測技術進行數據分析是否存在入侵行為，如有入侵，及時的將預警信息發送給監視代理，然后從監視代理的指令中獲取參數配置信息，調整參數后重新啟動檢測引擎。

監視代理模塊是整個檢測系統的高層檢測組件，主要功能是對探測代理模塊提供的預警信息進行有效識別，然后將不同的探測代理模塊的預警信息綜合起來，分析他們的關聯度，以便有效的檢測每個區域內的入侵事件。當預警信息確認后，監視代理將它和所有的響應措施進行匹配，確定相應措施后，將預警及措施發送給策略執行代理。

策略執行代理模塊是整個檢測系統中最重要的環節，沒有它檢測系統顯得毫無意義。其主要功能是將收到的預警信息通過郵件發送給系統管理員，然后啟動對探測代理指令的響應策略，如修改文件、連接復位、殺死異常進程等，并且對網絡中的防火墻系統的設定進行重新配置。

2.3 工作流程

首先，入侵檢測系統的探測代理模塊設置系統工作初始值，并且確定系統工作的運行模式。在系統運行過程中，通過消息映射機制調用庫函數，完成系統相應的操作。然后，在捕獲與解析模塊收到系統數據包的消息后，根據所設定的工作參數調用相關處理函數，不僅對網絡數據進行實時采集，而且也對所讀取的數據信息進行分析。接下來是調用解析進程，構造一個二維鏈表，最后主函數啟動數據截獲和處理進程，判斷是否存在入侵行為。

3 結語

綜上所述，入侵檢測技術作為計算機網絡防護的有效措施，在系統受到危害前及時的進行攔截，并且采取相應措施防止入侵行為。然而，我國的網絡安全中入侵檢測系統仍然存在很多的問題，因此，我們必須有針對性的進行深入研究，并且提出相應的解決措施，對其不斷的進行完善與創新，促使入侵檢測系統的檢測性能得到提高。

參考文獻

[1]劉成.試論入侵檢測技術在網絡安全中的應用與研究[J].網絡安全技術與應用，2016（02）：16-16.

[2]吳卉男.計算機網絡安全中入侵檢測系統的研究與設計[J].通訊世界，2016（01）：182-182.

[3]楊培枝.網絡安全中入侵檢測技術的應用研究[J].中國新通信，2016（12）.

[4]王宇祥.入侵檢測技術在計算機網絡安全維護中運用探討[J].網絡安全技術與應用，2016（04）：22-22.

作者簡介

張亮（1982-），女，江西省吉安市人。碩士學位。現為南昌大學人民武裝學院講師。研究方向為信息技術。

作者單位

南昌大學人民武裝學院 江西省南昌市 330043