在網(wǎng)絡(luò)安全中IDS技術(shù)的應(yīng)用

摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)的安全問題就成了全球的一個突出問題。而入侵檢測是網(wǎng)絡(luò)安全和信息系統(tǒng)安全當(dāng)中最重要的技術(shù)手段本文介紹了網(wǎng)絡(luò)安全的一些問題，并且分析了網(wǎng)絡(luò)安全的防范技術(shù)，并著重探討了入侵檢測技術(shù)，給出了入侵檢測系統(tǒng)的概念以及工作流程。

關(guān)鍵詞：網(wǎng)絡(luò)安全 入侵檢測系統(tǒng) 入侵檢測技術(shù) 網(wǎng)絡(luò)安全

中圖分類號：TP393.18 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2012）11（b）-0004-01

1 關(guān)于入侵檢測技術(shù)

目前計(jì)算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的。這種威脅將不斷給社會帶來巨大的損失。網(wǎng)絡(luò)安全已被信息社會的各個領(lǐng)域所重視。隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。

winCE操作從最初發(fā)展至今，其版本主要有1.0、2.0、3.0、4.0、5.0和6.0，作為業(yè)內(nèi)領(lǐng)先的軟件工具，其區(qū)別于桌面操作系統(tǒng)的最本質(zhì)的特點(diǎn)，一是可裁減性；二是可移植性。winCE具有可靠性好、實(shí)時性高、內(nèi)核體積小的特點(diǎn)，被廣泛應(yīng)用于各種嵌入式智能設(shè)備的開發(fā)中，從手持電腦到專門的工業(yè)控制器及消費(fèi)電子產(chǎn)品中等，如：互聯(lián)網(wǎng)協(xié)議（IP）機(jī)頂盒、全球定位系統(tǒng)（GPS）、無線投影儀，以及各種工業(yè)自動化、消費(fèi)電子以及醫(yī)療設(shè)備等。

IDS是英文“Intrusion Detection Systems”的縮寫，意思就是入侵檢測系統(tǒng)。入侵檢測技術(shù)是網(wǎng)絡(luò)安全防護(hù)的一個重要組成部分，它是安全審核中的核心技術(shù)。所謂的入侵檢測就是對入侵行為的檢測，是一種用來檢測違規(guī)的一種機(jī)制。通過對網(wǎng)絡(luò)行為、審計(jì)數(shù)據(jù)和安全日志、計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息以及其他網(wǎng)絡(luò)上可以獲得的信息的收集和分析，以此來檢查網(wǎng)絡(luò)或系統(tǒng)是否存在被攻擊的跡象和違反安全策略的行為。作為一種主動地安全防護(hù)技術(shù)，入侵檢測系統(tǒng)提供了對于內(nèi)部和外部的攻擊以及誤操作的實(shí)時性保護(hù)，以便在網(wǎng)絡(luò)系統(tǒng)受到危害之前能夠及時的攔截和響應(yīng)入侵。

入侵檢測是通過對監(jiān)視、分析用戶以及系統(tǒng)的活動、異常行為模式的統(tǒng)計(jì)分析、系統(tǒng)構(gòu)造及弱點(diǎn)的審計(jì)、操作系統(tǒng)審計(jì)跟蹤和管理，并且識別用戶違反安全策略的行為等任務(wù)來實(shí)現(xiàn)的。入侵檢測技術(shù)是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)，為了保證計(jì)算機(jī)系統(tǒng)的安全而精心設(shè)計(jì)和配置的能夠及時發(fā)現(xiàn)和報(bào)告系統(tǒng)異常和未授權(quán)現(xiàn)象的技術(shù)。違反安全策略的行為通常有入侵和濫用，入侵指的是非法用戶的違規(guī)行為，濫用指的是合法用戶的違規(guī)行為。入侵檢測系統(tǒng)利用審核記錄能夠識別出任何不希望有的活動，以達(dá)到系統(tǒng)安全的目的。如果能夠較好地應(yīng)用入侵檢測系統(tǒng)，就能使在系統(tǒng)被入侵和攻擊產(chǎn)生危害之前，檢測到入侵攻擊，并且利用報(bào)警和防護(hù)系統(tǒng)對入侵攻擊進(jìn)行驅(qū)逐。在入侵攻擊的過程中能夠減少所造成的損失。在被入侵攻擊之后，通過對相關(guān)信息的收集，填入知識庫作為防范系統(tǒng)的知識，可以增強(qiáng)系統(tǒng)的防范能力。

2 入侵檢測的技術(shù)方法

目前，數(shù)據(jù)的挖掘技術(shù)已經(jīng)廣泛地在各個領(lǐng)域內(nèi)發(fā)展應(yīng)用。數(shù)據(jù)挖掘通過挖掘提取大量數(shù)據(jù)中的知識，應(yīng)用于入侵檢測系統(tǒng)，可以從大的審計(jì)數(shù)據(jù)提取入侵行為模式。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測當(dāng)中可以廣泛地通過審計(jì)數(shù)據(jù)來得到模型，從而精確地獲得正常的行為模式和實(shí)際的入侵。這種方法極其自動化，不需要再手工分析和編碼入侵模式，而且在創(chuàng)建數(shù)據(jù)庫時不需要像以前一樣憑借經(jīng)驗(yàn)來選擇統(tǒng)計(jì)方法。而且它還可以把相同的數(shù)據(jù)挖掘工具應(yīng)用在多個數(shù)據(jù)流中從而更有利于構(gòu)建適應(yīng)性強(qiáng)的入侵檢測系統(tǒng)。

3 網(wǎng)絡(luò)安全問題分析

在一些單位的局域網(wǎng)中往往都存在這一些網(wǎng)絡(luò)安全的問題，這其中最主要面臨的還是網(wǎng)絡(luò)中數(shù)據(jù)信息的危害和網(wǎng)絡(luò)設(shè)備的危害。比如說：病毒的破壞，病毒的形式多種多樣，主要有蠕蟲、木馬程序以及惡意的腳本等等；還有操作系統(tǒng)的安全問題；遭受非法入侵以及惡意的破壞；不良信息的傳播；以及技術(shù)之外的問題等等。面對這些問題，一般要從一下的幾個方面來應(yīng)對：第一是對于網(wǎng)絡(luò)病毒的防范；第二是網(wǎng)絡(luò)安全的隔離；除以上兩點(diǎn)還有要采取的相應(yīng)安全監(jiān)控措施；修補(bǔ)網(wǎng)絡(luò)安全漏洞；數(shù)據(jù)的備份和恢復(fù)；對于有害信息的過濾等等。

4 入侵檢測的分類

入侵檢測的分類有幾種不同的形式，按照檢測的時間我們可以把它分為實(shí)時入侵檢測和事后入侵檢測這兩種。如果按照分析方法來分通常可以分為誤用檢測和異常檢測這兩大類型。一般一句帶分析的數(shù)據(jù)來源會把入侵檢測分為基于網(wǎng)絡(luò)和基于主機(jī)的兩大類。按照系統(tǒng)的結(jié)構(gòu)又可以分為分布式入侵檢測和集中式入侵檢測這兩種。還有一種是按照工作方式來進(jìn)行分類的，可以分為離線檢測和在線檢測。

5 入侵檢測系統(tǒng)的工作原理

其實(shí)這個系統(tǒng)是一個典型的“窺探設(shè)備”。它并不跨接多個物理網(wǎng)段，只需要在網(wǎng)絡(luò)上被動地收集報(bào)文即可。在此基礎(chǔ)上，入侵檢測系統(tǒng)通過對收集來的報(bào)文提取相應(yīng)的流量統(tǒng)計(jì)特征值，然后利用內(nèi)置的入侵知識庫和這些特征進(jìn)行智能分析比較匹配。最后根據(jù)預(yù)設(shè)好的閾值，如果這些報(bào)文流量匹配耦合度比較高則會被認(rèn)為是進(jìn)攻，那么入侵檢測系統(tǒng)將會根據(jù)相應(yīng)的配置警報(bào)或者進(jìn)行一定限度的反擊。而入侵系統(tǒng)工作的流程大概分為三個步驟：第一是信息收集；第二是信號分析；第三是實(shí)時記錄。

6 結(jié)論

網(wǎng)絡(luò)安全問題的日益突出，使得入侵檢測技術(shù)的研究備受人們的關(guān)注。基于此，人們對數(shù)據(jù)挖掘入侵檢測技術(shù)進(jìn)行了大量深入的研究。IDS的應(yīng)用已經(jīng)全面深入到網(wǎng)絡(luò)安全當(dāng)中。網(wǎng)絡(luò)安全的問題雖然已經(jīng)得到了改善和發(fā)展，但是網(wǎng)絡(luò)今后的進(jìn)一步發(fā)展勢必會給黑客攻擊手段再次提供新的手段，所以大量的研究工作和挑戰(zhàn)仍然需要去解決。

參考文獻(xiàn)

[1]張興東，胡華平，況曉輝，等.防火墻與入侵檢測系統(tǒng)聯(lián)動的研究與發(fā)現(xiàn)[J].計(jì)算機(jī)工程與科學(xué)，2009，26（4）：23-24.

[2]James Stanger， Patrick T Lane. Linux鐘日紅，宋建才[譯].黑客防范開放源代碼安全指南[M].北京：機(jī)械工業(yè)出版社，2011：132-174.

[3]費(fèi)洪曉，戴宏偉.基于協(xié)議分析的入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息技術(shù)，2007，3.

[4]孫偉平，顧恩超.一種基于關(guān)聯(lián)規(guī)則的分布式入侵檢測模型[J].微處理機(jī)，2008（1）.

[5]劉國軍，梁聲灼.基于數(shù)據(jù)挖掘的入侵檢測技術(shù)[J].計(jì)算機(jī)與現(xiàn)代化，2007（9）.