常用網絡入侵檢測系統分析研究

倪 立

南陽醫學高等專科學校，河南南陽 473000

隨著計算機和網絡通信技術的飛速發展，計算機通信網絡發揮了明顯的社會公共基礎設施功能，為人類社會生活的各個方面提供高效便利的服務。各種網絡安全社會問題與網絡犯罪現象日益嚴重，網絡安全技術隨之也得到了不斷發展。傳統的靜態防御技術，如系統加固技術、防火墻隔離技術、加密技術等，技術本身存在有防御被動、負載量大、效率低下、靈活性不強等缺點，已難以較好地保證網路信息的安全。

主動防御技術日趨成為人們研究的重點，入侵檢測須能夠積極主動的實施網絡動態安全防御，補充協助系統防御網絡攻擊，網絡資源占用較少，適時實現智能化信息采集與分析、檢測未經授權對象入侵、系統資源非法占用等，提高了檢測效率，減少了錯報漏報，保護計算機網絡系統免受外部攻擊、內部攻擊、錯誤操作的侵害，提高了網絡信息安全基礎結構的完整性。

1 常用網絡入侵檢測系統分析

網絡入侵檢測系統（Network Intrusion Detection System 簡稱NIDS），主要用于動態檢測防御網絡入侵行為。網絡入侵檢測系統能夠實時監控網絡運行狀態，在線采集并分析數據報文，及時發現和主動干預系統網絡的異常入侵行為。

入侵檢測系統（NIDS）的功能有：收集數據、事件響應、事件分析、數據存儲、功能測評。可具備網絡引擎、數據庫、用戶賬戶的管理功能。

入侵檢測系統（NIDS）檢測的常見攻擊類型有：后門類、HTTP 類、DNS 類、FTP 類、ICMP 類、Mail 類、Finger 類、DoS 類、RPC 類等。

入侵檢測系統（NIDS）的主要模塊方式：網絡入侵檢測模塊和主機入侵檢模塊進行互補式信息獲取。網絡入侵檢測模塊。在網絡中安裝放置網絡入侵檢測模塊，檢測保護該網段的數據報文；主機入侵檢模塊。專門收集安裝該模塊機器的信息，對本機實施保護。

入侵檢測系統（NIDS）的原理：采集分析網絡系統活動信息——系統結構審計——辨別、響應、報告異常活動模式——統計分析異常活動模式——評估數據文件、重要系統的完整性——審計、跟蹤、管理操作系統。

入侵檢測系統（NIDS）的信息來源：網絡信息和系統日志、系統文件異常信息、系統程序異常信息、入侵信息。

入侵檢測系統（NIDS）的規則分類：特征檢測技術規則和統計檢測技術規則的適用范圍不同。特征檢測技術規則使用特征碼進行標識，通過數據和特征碼的比較來辨別發現入侵行為；統計檢測技術規則使用統計規律為分析策略，檢測行為，統計數量，辨別發現入侵行為和錯誤操作。

深靜脈血栓的預防分為藥物預防和非藥物預防。藥物預防，包括肝素、低分子肝素、華法令等藥物使用，根據不同患者選擇合適藥物應用。研究顯示，依諾肝素應用使腹部大手術圍手術期血栓發生率更低[18] ，他汀類藥物可以有效預防血栓發生[19] 。但藥物使用存在出血風險，有出血風險和出血傾向患者則不能使用，尤其是部分危重病患者使用抗凝藥物存在禁忌癥。非藥物預防，包括早期活動[20] 、增加被動運動、壓力梯度長襪、氣壓泵應用[21] 等，為避免出血風險發生或存在藥物應用禁忌癥，可選擇使用非藥物預防方法，聯合使用多種非藥物預防方法，亦可達到很好預防效果。

常用網絡入侵檢測技術分析：

統計方法檢測。優點是比較成熟，應用廣泛；缺點是不適合單獨使用，分析策略容易被適應。

專家系統檢測。優點是有較高的智能，檢測效率較高，對特定攻擊行為效果較強；缺點是檢測不全面。

數據挖掘檢測。優點是數據處理和檢測預警能力強；缺點是技術實現難度大。

免疫學原理檢測。優點是識別準確，效率較高；缺點是數據負載量大，系統模型實現困難。

模型推理檢測：需要事先定義攻擊模式與特征參數，實現及更新檢測模型有較大的困難。

向量機檢測：用條件布爾表達式模擬對象行為過程，難以檢測形式較為復雜的攻擊模式。

2 構建新型網絡入侵檢測系統

網絡入侵技術和網絡入侵檢測技術同時發展、同時更新。高速網絡交換技術、加密數據通信技術、大通信量數據分析技術也對網絡入侵檢測技術提出了新的更高要求。各種常用網絡入侵檢測技術都有其優缺點或存在有設計的缺陷，單一型網絡入侵檢測技術難以滿足主動防御的需要，在實際應用中，網絡結構各有不同，需要我們結合實際，綜合完善，擴展開發各種網絡入侵檢測技術。

2.1 主要結構

1）數據采集層。使用數據采集器進行網絡數據報文采集，采集后向分析層輸出。

2）分析層。使用數據分析引擎收處理數據報文，辨識發現異常行為和攻擊入侵，將異常事件上報至管理層，響應處理異常事件。

3）管理層。優管理機制、對抗機制和存儲機制構成，處理響應入侵檢測結果，最終將相關安全事件進行存儲。

分析傳統型網絡入侵檢測技術的主要組成結構和處理模型，在三個層次部分中，整個網絡入侵檢測系統的核心是數據分析引擎，負責數據的接收、分析、辨識、上報、響應、處理等多項內容。由于網絡的不斷提速，傳統檢測技術的簡單層次式處理模型設計難以勝任，待處理數據報文的負載量大，嚴重堆積，入侵檢測的效果較差。

2.2 新型體系構建

構建新型的網絡入侵檢測體系，可從以下幾方面入手。

1）可擴展多級并行處理結構。擴展檢測探針達到合適的規模，不斷提升檢測的性能和效果；將傳統型網絡入侵檢測技術的層次式處理模型拓展為四層，在采集層與分析層間增加負載分配層，既，數據采集層、負載分配層、分析層和管理層，提升檢測系統的總體處理能力和檢測效果。

2）分布式入侵檢測。采取分布式入侵檢測技術與通用入侵檢測技術相結合的方法，使入侵檢測不再局限于網絡架構或單一主機，能較好地解決特定系統檢測、大規模網絡檢測和IDS 系統協同等問題。

3）應用層入侵檢測。拓展和開發應用層，應對處理其他應用系統，對客戶終端、服務器結構、對象技術等進行保護。

4）智能入侵檢測。研究提升檢測系統的自主學習和訓練適應能力，加強遺傳算法、神經網絡模型、智能體系在入侵檢測技術領域的應用和研究。

5）結合網絡安全技術。將入侵檢測技術與防毒軟件、防火墻技術、SET、PKIX 等新型網絡安全技術相結合，形成較為完整的網絡安全保障體系。

6）測評與評價方法。研究設計適用于網絡入侵檢測技術的測評方法和評價平臺，重點測評檢測技術的系統適用性、技術適用范圍、資源占用等方面。

[1]陳一驕.網絡入侵檢測系統高速處理技術研究[J].國防科學技術大學學報，2007.

[2]姚文斌，王樅，劉建毅.高速網絡入侵檢測系統體系結構的設計[J].全國容錯計算學術會議，2009.

[3]張明，郭小燕.分布式入侵檢測系統在校園網安全中的應用研究[J].自動化與儀器儀表，2013.

[4]劉世江.分布式入侵檢測系統研究[J].山西電子技術，2014.