入侵檢測系統在網絡安全中的研究

于 超

（山西晉煤集團通信分公司，山西 晉城 048000）

入侵檢測系統在網絡安全中的研究

于 超

（山西晉煤集團通信分公司，山西 晉城 048000）

網絡安全面臨的最重要的威脅主要是不法分子和黑客對網絡中應用系統的入侵。傳統的防護辦法主要是以禁止策略方式進行防護，但僅通過禁止策略方式實現的網絡安全防護體系是不夠的。入侵檢測隨著網絡安全技術的發展逐步成熟起來，該技術是對不法分子的攻擊在沒有完成的情況下逐漸進行攔截的，防護效果非常明顯。文章首先對網絡入侵進行分析，其次對入侵檢測技術原理進行了闡述，最后對入侵檢測系統進行了研究。

入侵檢測；網絡安全；計算機

隨著社會科學技術的飛速發展，互聯網已經涉及各行各業，應用系統已經取代了手工流程，成為主流的辦公方式，大部分的企業或個體用戶在家里通過一臺聯網的計算機就能夠獲取到各種各樣的信息資源。由于網絡信息技術的發展和各企業及政府機構的需要，越來越多的應用系統需要接入互聯網，在方便各單位工作業務信息交互的同時，黑客也盯上了這些信息資源，為了達到其自身的目的，越來越多的信息成為被攻擊的目標，在進行信息化建設的當代，網絡安全成為亟待解決的事情。

1 入侵分析

目前網絡入侵的方式，出現了許多類型，每種入侵的方式和過程各不相同，一些入侵方式比較簡單，只需通過網絡向指定目標發送資料包就能夠實現攻擊，另一些入侵方式就比較復雜，需要對系統的訪問權限有一個逐步認識的過程，到一定的程度時完成入侵。網絡入侵主要包括以下3個部分：（1）盜取系統資源，主要是對目標系統的操作系統類型以及網絡拓撲結構信息的盜取；（2）盜取系統訪問權限，主要是對系統的讀寫文件權限的盜取；（3）盜取系統超級用戶權限，通過超級權限，能夠對系統中的文件進行隨意地操作，同時刪除其入侵的信息并對系統進行篡改。

非法用戶或黑客在鎖定目標并進行攻擊時，能夠在文件中獲取到一系列的主機列表以及黑客或非法用戶的一系列的域名列表，通過域名列表能夠得到主機名、IP地址、計算機類型等信息，有的甚至還能夠獲取到目標主機的單位信息。這時非法用戶或黑客需要偽造一個ID，才能夠以合法的身份訪問主體。在攻擊主機的目標達到后，非法用戶一般不會停手，他們會對主機中的其他信息進行攻擊，并在主機中安裝監聽程序，實現進一步攻擊的目的。

2 入侵檢測技術原理

入侵檢測是一種試圖通過觀察行為、安全日志或審計資料來檢測發現針對計算機或網絡入侵的技術，這種檢測通過手工或專家系統軟件對日志或其他網絡信息進行分析來完成。從另一個角度來說，入侵檢測是對非法用戶試圖盜取訪問主機的權限并入侵系統的過程進行檢測，將檢測到的信息進行分析，從分析結果中獲取自身是否被攻擊。入侵檢測是一種能夠主動去進行安全防護的行為方式，它能夠對來自內部的攻擊、來自主機外的攻擊和內部自身錯誤操作的行為進行檢測和防護的檢測方式，并在主機系統被攻擊之前進行堵截和防護。入侵檢測軟件的產生對各單位在網絡安全中的管理起到了極大的作用，其具有實時報警的功能，為網絡安全防護增加了一層保護網，從網絡安全立體縱深、多層次防御的角度出發，入侵檢測理應受到人們的高度重視。

3 入侵檢測系統

3.1 入侵檢測系統結構

入侵檢測系統功能結構如圖1所示。

圖1 入侵檢測系統功能結構

通過圖1可知，資料提取模塊的功能主要是將相關資料發送給檢測系統，這些資料包括主機的日志和網絡資源，這些信息以資料源的形式存在，在提取到這些資料后進行審核并進行過濾和格式標準化等相關處理，處理完成后將資料發送給入侵分析模塊。

入侵分析是整個系統的核心部分，主要是對提取到的資料進行徹底的分析，從分析結果中提取到攻擊因素，根據這些因素生成事件，將事件發送給數據處理模塊。入侵分析有許多的分析方式，對于簡單的分析方式能夠只對事件中的行為進行記錄，對于復雜的分析方式能夠成為一個專家分析系統。

入侵分析實現了對原文件的整理、組織和分類，通過各種各樣的詳細分析，從中獲取隱含在其中的主機活動軌跡和特征，這些特征和軌跡成為入侵檢測系統判定是否有入侵行為的主要依據。可以分為構建分析引擎、執行分析、利用反饋信息優化分析引擎3個階段：（1）對獲取到的資料進行過濾和格式標準化等相關處理后建立一個行為分類模型，建成后把該模型存儲在相關文件庫中作為檢測過程的參考依據；（2）將待檢測的數據流預處理為格式化的事件記錄，然后利用模式匹配、統計分析和完整性分析等技術，將格式化的事件記錄同數據庫中的內容相比較，將此事件記錄分類為正常或異常，并根據預定的策略產生響應；（3）對入侵特征庫中的信息進行更新，這樣能夠及時地獲取到最新攻擊信息，在該階段能夠體現出入侵檢測系統是一個實時更新的動態變化的系統。

資料提取、入侵分析和數據處理3部分是相互關聯在一起的，資料提取能夠給入侵分析提供基礎的資料信息，然后入侵分析通過這些資料信息進行檢測，并將檢測的結果發送到數據處理模塊中，數據處理在對這些攻擊行為進行處理后能夠阻止入侵行為的進一步發生。入侵檢測技術發展的過程、入侵的方式和技術也在不斷地發展，部分黑客能夠繞過入侵檢測系統對主機進行攻擊，因此，入侵檢測系統在研究時要將系統的適應性和擴展性充分考慮進去，大大提高檢測的效率。

3.2 入侵檢測系統組成

檢測系統主要部件有代理系統、存儲系統、分析系統、響應系統、控制系統。代理系統以各種方法收集信息，包括分析日志、監視用戶行為、分析系統調用、分析該主機的網絡通信等。存儲系統的作用是用來存貯事件產生器捕獲的原始資料、分析結果等重要資料。分析系統是對事件發生器捕獲的原始信息、其他入侵檢測系統提供的可疑信息進行統一分析和處理的系統。響應系統是對確認的入侵行為采取相應措施的子系統。響應包括消極的措施，如給管理員發電子郵件、消息、傳呼等。控制系統是整個入侵檢測系統的中心，也是 IDS 提供給用戶的管理接口，用戶通過系統控制臺可以對子系統組件、安全通信、報表生成、負載均衡等進行控制和管理。

3.3 影響入侵檢測系統檢測性能的因素

作為使用者，我們希望入侵檢測系統在檢測的過程中可以對入侵的行為和正常行為進行明確的鑒別，這需要系統對主機在正常情況下的行為描述方法以及檢測的類別進行確定。當檢測系統無法對主機正常行為進行一個準確的描述時，這個系統一定會產生許多的誤報，這樣會給檢測結果帶來許多非攻擊的因素，造成檢測結果混亂。因此，對于高效的入侵檢測系統應該盡量去降低誤報率，但又具有強大的防護功能，對于零誤報的入侵檢測系統是不存在的，主要原因包括兩方面：（1）缺乏共享資料的機制，各單位自身的入侵檢測系統都是相互獨立的，各系統獲取到的攻擊信息各不相同，但無法實現信息的共享，無法形成一個信息庫，這樣就無法捕獲到所有的攻擊信息；（2）缺乏集中協調的機制，各單位的網絡中存在各種類型的主機，這些主機存在的安全問題也各不相同，這樣就需要針對各主機被攻擊的可能性進行部署入侵檢測系統，這些檢測系統的檢測特征、實現的功能和機制也各不相同，無法進行高效的協調工作。

4 結語

本文對網絡入侵進行分析，對入侵檢測技術原理和入侵檢測系統進行了研究，我國在網絡安全防御體系建設中相對比較落后，仍然需要在借鑒國外先進技術的基礎上不斷創新，研發出符合自身實際需求的網絡安全防御體系。

[1]諾斯科特.網絡入侵檢測分析員手冊[M].蔣建春，馮登國，譯.北京：人民郵電出版社，2000.

[2]麗貝卡.入侵檢測原理[M].鄧琦皓，譯.北京：人民郵電出版社，2013.

[3]普羅科特.入侵檢測實用手冊[M].余青霓，譯.北京：中國電力出版社，2014.

[4]唐國軍，李建華.入侵檢測技術[M].北京：清華大學出版社，2014.

Study on the intrusion detection system in network security

Yu Chao
（Shanxi Jincheng Coal Group Communication Branch Company, Jincheng 048000, China）

The most important threat to the network security is the invasion of illegal elements and hackers on the network application system. The traditional method of protection is mainly to prohibit the way of protection, but only through the prohibition of the way to implement the network security system is not enough. With the development of network security technology, the technology of intrusion detection is gradually mature, and the technology is the attack on illegal elements in the case of not complete the gradual interception,the protective effect is very obvious. In this paper, fi rstly, the network intrusion is analyzed, and then the principle of intrusion detection technology is expounded. Finally, the intrusion detection system is studied.

intrusion detection; network security; computer

于超（1982— ），男，山東煙臺，本科，助理工程師；研究方向：網絡安全。