入侵檢測系統在計算機網絡安全中的設計與應用

摘 要：入侵檢測系統是近年來迅速發展起來的技術，以往的網絡入侵檢測對于復雜的數據和外部的供給，不能對其特征進行有效識別，導致檢測的準確性比較低。為了保證網絡的安全，結合實際工作，將現代技術應用到網絡入侵檢測當中，取得了很好的效果。文章對網絡入侵檢測框架模型、入侵系統結構和網絡入侵檢測方法進行了詳細的研究。

關鍵詞：入侵檢測系統；網絡入侵；網絡安全

隨著現代計算機技術的快速發展，當前網絡安全成為一個焦點話題，這也使網絡入侵技術成為當前網絡安全領域的研究重點。入侵檢測具體指的是監視或者在可能的情況下，阻止入侵或者是試圖入侵系統資源的努力。目前，網絡入侵檢測系統在工作的過程中不像路由器以及防火墻作為關鍵設備工作，可以指出網絡入侵檢測系統發展的關鍵路徑。網絡入侵系統在工作的過程中即使出現了故障也并不會影響正常的工作，因此使用網絡入侵檢測系統的風險相比于主機入侵檢測系統會更小。

1 入侵檢測系統框架模型

互聯網工作小組的入侵檢測小組，在1996年就已經開發了安全事件報警的標準格式，即入侵檢測交換格式。入侵檢測工作小組制定的這一格式對部分術語的使用進行了比較嚴格的規范，并且為了能夠適應入侵檢測系統所輸出的安全事件信息的多樣性，這一模型在客觀上能夠滿足入侵檢測系統各種功能要求和邏輯結構。這樣可以確保入侵檢測系統在形式上可以有不同的特點。在進行系統設計的過程當中根據系統所承擔的具體任務以及其工作環境的不同，在進行搭建時可以選擇獨立的傳感器、管理器等設備，其功能的實現也可以是一個設備當中所具有的不同的功能。入侵檢測系統在工作中，具體可以劃分為3步，信息收集、數據分析、事件響應。其中信息收集包括系統以及網絡；數據分析的主要任務是將收集到的有關數據信息發送到檢測引擎，檢測引擎會通過模式匹配、統計分析、完整性分析3種手段對于收集的信息進行客觀分析；在系統工作的過程中，檢測到一個任務時會主動將報警發送到系統當中的管理器，管理器能夠根據預先設計好的安全政策進行定義，對接收到的報警內容進行回應，并提出相關檢疫。

2 入侵檢測系統結構

2.1 基于主機的入侵檢測系統

這一入侵系統在具體工作的過程當中，需要以應用程序日志等相關的審計記錄文件作為重要數據來源。通過對這些文件中的記錄和共計簽名進行比較，確定其是否可以進行匹配。如果比較得到結果是匹配的，這時檢測系統就主動將管理人員發出警報并采取措施防止系統被入侵。從整體上看，以主機作為基礎的IDS可以客觀、準確地反應入侵行為，并可以針對入侵進行及時反應。此外，在具體工作的當中這一系統還可以根據操作系統不同的特征來判斷應用層入侵事件。在這一系統當中涉及數據是手機用戶行為信息的主要方法，因此，這一系統在工作的過程中為了確保判斷工作的準確性，不能使系統當中審計數據被隨意修改。但是，如果系統在工作的過程中受到外來的攻擊，這些審計數據可能會被篡改，為此主機入侵檢測需要具備一個實時性條件：入侵檢測系統在具體工作的過程中需要在系統完全被控制之前完成對相關數據的審計分析、報警并主動采取相應的對策制止入侵。這一系統在具體應用的過程中主要的優勢在于能夠對潛在的共計行為進行分析，并可以知道系統入侵者具體做了哪些事情。當然這一系統也有不少缺點，其中之一是這一系統是安裝在需要保護的設備上的，這樣其在工作的過程中無疑就使應用使用效率極大地降低。此外，在設備上安裝這一系統也容易帶來其他安全問題，這主要是因為在安裝了這一入侵系統之后，管理員本部允許的訪問權限被擴大了。

2.2 以網絡為基礎的入侵檢測系統

該系統需要被安裝在需要保護的網絡上，并以網絡中原始的數據作為分析工作的基礎。在具體應用中一般會選擇一個使用的網絡適配器對網絡傳輸的數據進行監視和分析。網絡在工作中，如果收到了外來的攻擊，這時的檢測系統能夠及時獲取入侵信息并及時做出應對。以網絡作為基礎的入侵檢測系統從整體上主要是由過濾器、網絡接口引擎和探測器構成的。在具體工作當中根據制定的規則獲取與安全事件有關的數據包，之后將其傳送到分析模塊進行分析；入侵分析模塊可以根據采集到的數據包結合網絡安全數據庫進行分析，并最后將分析得到的結果傳給管理和配置模塊；系統中的管理和配置模塊的主要工作是管理其他模塊的配置工作，并且將系統經過分析得到的結果傳遞給管理工作人員。這一入侵檢測系統的主要優點集中在：能夠分析哪些是來自于外界的入侵以及哪些行為是超過權限的訪問。當前，HIDS不會在業務系統當中的主機安裝額外軟件，這樣不會影響機器的CPU、I/O設備、磁盤的使用，這樣不會影響到系統性能。這一系統的主要缺點表現在：系統在入侵檢查時只可以檢查與其相連的網絡通信，對不同的網絡不能進行檢測，在使用交換以太網的環境當中會出現檢測范圍的局限，如果多安裝檢測系統則會使預算大大提高。

2.3 基于主機的分布檢測系統

該入侵檢測系統主要由探測器和管理控制器兩個部分組成。其中HDIDS主要用來保護關鍵服務器，HDIDS有敏感信息系統，通過利用主機的系統資源、審計日志等相關的信息，能夠客觀地判斷出主機系統在運行的過程當中是否遵照了安全規則。在具體工作中，這一系統的探測器能夠以安全代理的方法安裝在主機系統上，可以通過網絡便捷安全開孔方法和防火墻遠程控制系統管理控制臺。這是集中的控制方式，它可以對主機狀態管理及監控，并且可以及時更新檢測模塊的軟件，這就有效加強入侵檢測系統安全，使其擴張的能力更強大。

3 網絡入侵檢測方法分析

對數據進行可觀的分析是保證網絡安全的前提，可以提前得知網絡是否遭受到入侵。在網絡入侵檢測工作當中檢測率是現代人們關注的焦點，因此在網絡入侵分析工作當中使用不同的技術，其所得到的結果也是不同的。因此，在進行網絡入侵檢測中，需要根據具體的工作環境和檢測靈活選用入侵技術，這樣才能達到更好的檢測效果。從當前入侵檢測所使用的技術來看，具體可以分為采用異常檢測系統和無用檢測系統。

神經網絡檢測法主要是訓練神經網絡連續的信息單元，其中信息單元具體指的是命令。在網絡當中通過輸入曾經是用戶當前輸入的命令和已經執行過的N個命令；用戶指定的命令被神經適用以來確定用戶的下一個命令。在工作的過程當中如果被訓練成為預測用戶輸入命令序列的集合，這樣就可以使神經網絡容易構建成用戶的輪廓框架。如果在使用這個神經網絡很難客觀上反映出用戶的之后的命令時，那么表明用戶行為和其輪廓框架的偏離，這時就會出現異常事件，并將其作為異常入侵檢測。

4 結語

文章在研究的過程中分析了在計算機網絡安全中建立入侵檢測系統的重要性，并詳細地介紹了入侵檢測系統的整體結構，之后分為4個部分對入侵檢測系統進行了分析，最后指出了入侵檢測系統所使用到的方法。隨著現代科學技術的快速發展，近年來，神經網絡、專家系統以及遺傳算法在入侵檢測領域的研究，也為入侵檢測系統的進一步發展提供了廣闊的前景。

作者簡介：王鵬（1980— ），男，陜西咸陽，講師；研究方向：計算機網絡技術應用。

[參考文獻]

[1]牛承珍.關于入侵檢測技術及其應用的研究[J].軟件導刊，2010（1）：137-139.

[2]胥瓊丹.入侵檢測技術在計算機網絡安全維護中的應用[J].電腦知識與技術，2010（36）：10293-10294.

[3]吳卉男.計算機網絡安全中入侵檢測系統的研究與設計[J].通訊世界，2016（1）：182.

[4]傅明麗.網絡安全中混合型入侵檢測系統設計[J].通訊世界，2016（1）：226-227.

Abstract： Intrusion detection system is developed rapidly in recent years. The previous network intrusion detection can not effectively identify the characteristic for complex data and external supply， resulting the detection accuracy is relatively low. In order to ensure the security of the network， combined with the actual work， modern technology will be applied to the network intrusion detection， which has achieved very good results. This paper studied the network intrusion detection framework model， intrusion system and method of network intrusion detection are in detail.

Key words： intrusion detection system； network intrusion； network security