入侵檢測技術

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇入侵檢測技術范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

入侵檢測技術范文第1篇

關鍵詞：入侵檢測；入侵檢測系統；動態防護

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)36-pppp-0c

On the Intrusion Detection Technology

FANG A-li，YIN Mei-gui

(HeYuan Polytechnic Electronic and Information Engineering ,HeYuan 517000, China)

Abstract：Intrusion detection technology is a dynamic combination of multiple technologies for the computer and network protection . Starting from the basic concepts of intrusion detection, expounded the principles ,process, performance indicators and technical issues of intrusion detection.

Key words ：intrusion detection;intrusion detection systems;dynamic protection

在信息網絡普及的時代，計算機和網絡安全顯得直觀重要，防火墻技術，通常能夠在內網和外網之間提供安全的網絡保護，但是這是遠遠不夠的。入侵檢測技術是對防火墻技術的有效補充，為計算機和網絡安全增加了又一道閥門。

1 基本概念

入侵檢測是指對計算機或網絡資源的惡意企圖和行為進行識別，并對此做出響應和處理的過程。

入侵檢測技術是一種對計算機網絡中違反安全策略行為進行檢測和對計算機系統進行實時檢測，發現其中未授權或異常現象進行報告的技術。

入侵檢測系統是指進行入侵檢測的軟件和軟件配置環境相關硬件的集合。

入侵檢測技術是一種動態安全防御技術，入侵檢測系統的功能是在對網絡性能不影響的情況下，對網絡活動進行檢測，從而對來自網絡的內外部攻擊和人員的誤操作提供實時保護，并在系統受到危害之前對可能得入侵進行攔截和響應。

2 入侵檢測原理

入侵檢測一般分為實時入侵檢測和事后入侵檢測。

實時入侵檢測原理：在網絡連接的條件下，入侵檢測系統首先根據用戶的歷史行為模型、神經網絡模型以及存儲在計算機中的專家知識對當前的系統進行判斷，如果發現可疑，立馬斷開可疑對象發出者與主機的連接；緊接著，收集相關證據并實施數據恢復。

事后入侵檢測原理：網絡管理人員定期或不定期根據計算機系統對于用戶操作的歷史審計記錄進行判斷用戶事后是否具有入侵行為，如果有就斷開連接，并記錄入侵證據，然后對數據進行恢復。

3 入侵檢測過程

入侵檢測的一般過程分為三個步：信息收集、數據分析和事件響應。

第一步為信息收集，信息收集由不同主機的或放置在不同網段的傳感器來完成。收集的信息包括系統和網絡日志文件、網絡流量、異常的目錄和文件改變、異常的程序執行等。

第二步為數據分析，數據分析通過模式匹配、統計分析和完整性分析等技術，對收集到的數據進行深入分析（其中，數據包括網絡、系統、數據及用戶活動的狀態和行為等），發現攻擊，然后根據分析的結果產生事件，并將事件傳遞給事件響應模塊等待處理。

第三步為事件處理，事件處理是由控制臺依據告警產生預先定義的響應（分主動響應和被動響應），并進行重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，或者只是簡單的告警。

4 入侵檢測的主要性能指標

入侵檢測的主要性能指標包括：準確性指標、效率指標和系統指標。

4.1準確性指標

準確性指標主要包括檢測率、誤報率和漏報率等指標。檢測率是指系統在所監視網絡在受到攻擊時能正確報警的概率。檢測率=入侵報警數/入侵攻擊數。誤報率是指系統把正常的行為誤報為入侵攻擊而進行報警的概率和把一種攻擊錯報為另一種攻擊的概率。誤報率=錯誤報警數 /(正常行為數+攻擊數)漏報率是指所檢測網絡受到入侵攻擊時，系統不能正確報警的概率。漏報率=不能正確報警的數量/入侵攻擊的總量。

4.2效率指標

效率指標主要是根據用戶系統的實際需求，以保證檢測質量為準，同時取決于不同的硬件設備級別。效率指標主要包括最大處理能力、每秒并發TCP會話數、最大并發TCP會話數等。最大處理能力是指在指定檢測率范圍內，系統沒有漏報的最大處理能力。每秒并發TCP會話數是指系統每秒最大可以增加的TCP連接數。最大并發TCP會話數是指系統最大限度范圍內，可以同時支持的TCP連接數。

4.3系統指標

系統指標是衡量系統運行的穩定性和使用的方便性的參考。衡量指標只要包括最大規則數、平均無故障時間等。最大規則數是指系統允許配置的最大入侵檢測規則條目數。平均無故障時間是指系統無故障連續工作的時間。

5 入侵檢測技術

入侵檢測技術的關鍵技術是異常檢測技術和誤用檢測技術。

5.1異常檢測技術

異常檢測技術是依據用戶的行為和系統資源的使用狀況來判斷是否存在網絡入侵的技術，也稱為基于行為的檢測技術。

異常檢測技術原理：首先假設網絡攻擊行為是不常見的或是異常的，然后將當前捕獲的網絡行為與行為模型進行對比，若入侵行為偏離了正常的行為軌跡，就可以被檢測出來。

異常檢測技術分類：異常檢測技術分為統計分析異常檢測、貝葉斯推理異常檢測、神經網絡異常檢測、模式預測異常檢測、數據采掘異常檢測、文件完整性異常檢測、免疫系統異常檢測和機器學習異常檢測。

異常檢測技術優缺點:異常檢測技術具有能夠檢測出新的網絡入侵方法攻擊、較少依賴于特定的主機操作系統、對于內部合法用戶的越權違法行為的檢測能力較強等優點。但存在誤報率高、行為模型建立困難、難以對入侵行為進行分類和命名等不足。

5.2誤用檢測技術

誤用檢測技術是指運用已知攻擊方法，根據已定義好的入侵模式，通過判斷這些入侵模式是否出現來檢測。也稱為基于知識或模式匹配的檢測技術。

誤用檢測技術原理：首先假設所有的網絡攻擊行為和方法都具有一定的模式或特征，然后將當前捕獲的網絡行為特征與入侵信息庫中的特征信息進行比較，如果匹配，則當前行為就被認定為入侵行為。

誤用檢測技術分類：誤用檢測技術專家系統誤用檢測、特征分析誤用檢測、模式推理誤用檢測、條件概率誤用檢測、狀態轉換誤用檢測、鍵盤監控誤用檢測等檢測技術。

誤用檢測技術優缺點：誤用檢測技術檢測準確度高、技術相對成熟，便于進行系統維護，但其對具體系統依賴性太強，可移植性差、維護特征庫的工作量大、不能檢測出新的入侵行為、難以檢測來自系統內部的攻擊。

其它入侵檢測技術包括基于數據挖掘、遺傳算法和免疫技術的入侵檢測技術等。

6 入侵檢測系統

入侵檢測系統的分類依據不同，分類也不同，依據系統所檢測的對象是主機或網絡包，入侵檢測系統的分為：基于主機的入侵檢測系統和基于網絡包分析的入侵檢測系統。

6.1基于主機的入侵檢測系統

基于主機的入侵檢測系統需要安裝在被保護的主機上，通過監視和分析主機的審計記錄及日志文件來檢測入侵行為，通常用來保護運行關鍵應用的服務器。OSSEC HIDS就是一個典型的基于主機的開源入侵檢測系統。

基于主機的入侵檢測系統的優點是能夠校驗出攻擊是否成功；可使特定的系統行為受到嚴密監控等。缺點是會占用主機的資源，對操作系統的依賴性強。

6.2基于網絡包分析的入侵檢測系統

基于網絡包分析的入侵檢測系統需要安裝在受護的網段中，利用網絡監聽技術實時監視網段中傳輸的各種數據包，并對這些數據包的內容以及數據來源和傳輸目的地等進行分析和檢測。一旦發現可疑事件或入侵行為，系統就會發出警報，在嚴重時切斷網絡連接。

基于網絡包分析的入侵檢測系統的優點是購買成本低，對識別出來的攻擊能進行實時檢測和響應。缺點是防欺騙能力差、交互環境下難以配置等。Sguil是一款典型的被稱為網絡安全專家監視網絡活動的控制臺工具。

基于網絡和基于主機的IDS在功能上各有優勢，又互為補充。對于對方無法檢測到的一些入侵行為都能及時發現。但對于從某個重要服務器的鍵盤發出的攻擊就無法通過基于網絡的IDS檢測到，相反，對于涉及檢查包首標（header）來進行得檢測只能通過基于網絡的IDS來完成。

7 結束語

隨著用戶對于網絡安全意識的提高，以及入侵檢測技術的發展日趨成熟，相信不久的將來，人們對于危險四伏的網絡環境將不再恐懼。

參考文獻：

入侵檢測技術范文第2篇

關鍵詞入侵檢測異常檢測誤用檢測

在網絡技術日新月異的今天，寫作論文基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet，全社會信息共享已逐步成為現實。然而，近年來，網上黑客的攻擊活動正以每年10倍的速度增長。因此，保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。

1防火墻

目前防范網絡攻擊最常用的方法是構建防火墻。

防火墻作為一種邊界安全的手段，在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問，通過監視、限制、更改通過網絡的數據流，一方面盡可能屏蔽內部網的拓撲結構，另一方面對內屏蔽外部危險站點，以防范外對內的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內部的襲擊。調查發現，50％的攻擊都將來自于網絡內部。

(3)由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。寫作畢業論文而這一點，對于層出不窮的網絡攻擊技術來說是至關重要的。

因此，在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要，網絡的防衛必須采用一種縱深的、多樣化的手段。

由于傳統防火墻存在缺陷，引發了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補充，在不影響網絡性能的情況下，通過對網絡的監測，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高信息安全基礎結構的完整性，提供對內部攻擊、外部攻擊和誤操作的實時保護。現在，入侵檢測已經成為網絡安全中一個重要的研究方向，在各種不同的網絡環境中發揮重要作用。

2入侵檢測

2．1入侵檢測

入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析，從中發現違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵，在可能造成系統損壞或數據丟失之前，識別并驅除入侵者，使系統迅速恢復正常工作，并且阻止入侵者進一步的行動。同時，收集有關入侵的技術資料，用于改進和增強系統抵抗入侵的能力。

入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今，寫作英語論文已經開發出一些入侵檢測的產品，其中比較有代表性的產品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2檢測技術

入侵檢測為網絡安全提供實時檢測及攻擊行為檢測，并采取相應的防護手段。例如，實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制；攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者，進一步加強信息系統的安全力度。入侵檢測的步驟如下：

收集系統、網絡、數據及用戶活動的狀態和行為的信息

入侵檢測一般采用分布式結構，在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息，一方面擴大檢測范圍，另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面：系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。

(2)根據收集到的信息進行分析

常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。

統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述，統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時，就有可能發生入侵行為。該方法的難點是閾值的選擇，閾值太小可能產生錯誤的入侵報告，閾值太大可能漏報一些入侵事件。

完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測，查出系統的入侵者或合法用戶對系統資源的濫用和誤用。寫作工作總結根據不同的檢測方法，將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。

3．1異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓，通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測，是一種間接的方法。

常用的具體方法有：統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。

采用異常檢測的關鍵問題有如下兩個方面：

(1)特征量的選擇

在建立系統或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準確地體現系統或用戶的行為特征，又能使模型最優化，即以最少的特征量就能涵蓋系統或用戶的行為特征。

(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準，因此，參考閾值的選定是非常關鍵的。

閾值設定得過大，那漏警率會很高；閾值設定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。

由此可見，異常檢測技術難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統或用戶的特征輪廓，這樣所需的計算量很大，對系統的處理性能要求很高。

3．2誤用檢測

又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。首先，寫作留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據已經定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為，是一種直接的方法。

常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。

誤用檢測是根據攻擊簽名來判斷入侵的，根據對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關系，就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助，而且對即將發生的入侵也有預警作用。

誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較，從中發現違背安全策略的行為。由于只需要收集相關的數據，這樣系統的負擔明顯減少。該方法類似于病毒檢測系統，其檢測的準確率和效率都比較高。但是它也存在一些缺點。

3．2．1不能檢測未知的入侵行為

由于其檢測機理是對已知的入侵方法進行模式提取，對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。

3．2．2與系統的相關性很強

對于不同實現機制的操作系統，由于攻擊的方法不盡相同，很難定義出統一的模式庫。另外，誤用檢測技術也難以檢測出內部人員的入侵行為。

目前，由于誤用檢測技術比較成熟，多數的商業產品都主要是基于誤用檢測模型的。不過，為了增強檢測功能，不少產品也加入了異常檢測的方法。

4入侵檢測的發展方向

隨著信息系統對一個國家的社會生產與國民經濟的影響越來越大，再加上網絡攻擊者的攻擊工具與手法日趨復雜化，信息戰已逐步被各個國家重視。近年來，入侵檢測有如下幾個主要發展方向：

4．1分布式入侵檢測與通用入侵檢測架構

傳統的IDS一般局限于單一的主機或網絡架構，對異構系統及大規模的網絡的監測明顯不足，再加上不同的IDS系統之間不能很好地協同工作。為解決這一問題，需要采用分布式入侵檢測技術與通用入侵檢測架構。

4．2應用層入侵檢測

許多入侵的語義只有在應用層才能理解，然而目前的IDS僅能檢測到諸如Web之類的通用協議，而不能處理LotusNotes、數據庫系統等其他的應用系統。許多基于客戶／服務器結構、中間件技術及對象技術的大型應用，也需要應用層的入侵檢測保護。

4．3智能的入侵檢測

入侵方法越來越多樣化與綜合化，盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究，但是，這只是一些嘗試性的研究工作，需要對智能化的IDS加以進一步的研究，以解決其自學習與自適應能力。

4．4入侵檢測的評測方法

用戶需對眾多的IDS系統進行評價，評價指標包括IDS檢測范圍、系統資源占用、IDS自身的可靠性，從而設計出通用的入侵檢測測試與評估方法與平臺，實現對多種IDS的檢測。

4．5全面的安全防御方案

結合安全工程風險管理的思想與方法來處理網絡安全問題，將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估，然后提出可行的全面解決方案。

綜上所述，入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，使網絡系統在受到危害之前即攔截和響應入侵行為，為網絡安全增加一道屏障。隨著入侵檢測的研究與開發，并在實際應用中與其它網絡管理軟件相結合，使網絡安全可以從立體縱深、多層次防御的角度出發，形成人侵檢測、網絡管理、網絡監控三位一體化，從而更加有效地保護網絡的安全。

參考文獻

l吳新民．兩種典型的入侵檢測方法研究．計算機工程與應用，2002；38(10)：181—183

2羅妍，李仲麟，陳憲．入侵檢測系統模型的比較．計算機應用，2001；21(6)：29～31

3李渙洲．網絡安全與入侵檢測技術．四川師范大學學報．2001；24(3)：426—428

4張慧敏，何軍，黃厚寬．入侵檢測系統．計算機應用研究，2001；18(9)：38—4l

入侵檢測技術范文第3篇

【 關鍵詞 】 網絡信息管理；入侵檢測技術；存在問題

The Network Information Management in Intrusion Detection Technology Analysis

Yin Wen-ting

(Ningxia Electric Power Company Guyuan Power Supply Bureau Power Dispatching Control Center NingxiaGuyuan 756000)

【 Abstract 】 this paper, based on the working practice, this paper analyzes the present information management network intrusion detection technology related problems, And introduces mainly the anomaly detection and misuse detection two network information management intrusion detection technology. One anomaly detection and including characteristic features of the selection and reference threshold choice two kinds. We hope that relevant personnel to reference and, Information management of network intrusion detection technology can have a deeper knowledge, Gradually grasp the information management network intrusion detection technology of the actual content, Promote the intrusion detection technology in network information management application development.

【 Keywords 】 the network information management;Intrusion detection technology;problems

0 引言

隨著科技日新月異的發展，整個的網絡信息管理已經成為了社會生活中各個部門十分重視的一個方面。但是，目前網絡信息管理活動中出現的各類不良攻擊行為日趨普遍，為了保障整個網絡系統、計算機系統和全部信息設施的網絡安全，引進入侵檢測技術對整個網絡信息進行安全管理很有必要。下面，就通過對網絡信息管理入侵技術存在的問題、入侵檢查技術的內容以及網絡信息管理入侵檢測技術的分類進行探討。

1 網絡信息管理入侵檢測技術存在的問題

1.1 無法檢測未知的入侵行為

入侵檢測技術主要是對于已知的入侵模式進行提取，這就是網絡信息管理入侵檢測技術的檢測機理，但是很多的入侵行為顯得極為隱秘，無法被正常檢測出來，這樣就會對整個網絡信息管理帶來一定的安全隱患。換而言之，網絡信息管理入侵檢測技術的一個缺點就是漏警率較高，這樣的問題對整個網絡系統的信息管理帶來了消極影響。一些未知的入侵行為可能會帶來很大的信息泄露或損壞等風險，而且這樣的網絡信息管理問題在應用入侵檢測技術時也大量出現過。

1.2 檢測速度小于網絡速率

目前網絡信息管理入侵檢測系統在檢測速度上還有待進一步的提高，由于在進行入侵檢測進程時經常會出現檢測速度小于網絡傳輸速率的問題，這個時候對在某一特定時間內入侵的風險行為，檢測系統通常沒有能力進行識別和摸索，進而使得這些未知的入侵行為對整個網絡信息管理帶來了一定的影響。由于目前網絡傳輸速度的飛速提升，而入侵檢測技術的檢測速度遠遠跟不上網絡速度的前進步伐，這樣就使得網絡信息管理入侵檢測技術的檢測速率遠小于網絡速率，造成了誤報和漏報的情況，這樣不利于整個入侵檢測系統進行檢測程序的準確性和實效性的發展。

1.3 自身檢測系統容易遭受攻擊

對整個網絡信息管理入侵檢測系統而言，它們很容易遭受到入侵行為的攻擊。目前來說，很多信息管理的入侵檢測系統在使用過程中大部分都存在著遭受危險攻擊的現象，主要原因就是科技的進步導致世界各地的黑客技術也迅猛發展，一些黑客高手通過一些惡意插件或者難以檢測的木馬對相應的入侵檢測系統進行攻擊，使得這些系統的檢測作用紊亂，同時自身的系統構件也受到了一定的損害。在這樣的情況下，整個的入侵檢測系統還存在著一定的構件缺點，不能夠有效地過濾掉惡意攻擊行為，對系統形成相應的保護。在網絡信息管理中，這些系統的使用風險無疑是增高了。

2 入侵檢測技術的內容

入侵檢查就是對防火墻的補充，是整個網絡信息安全管理的第二道大門。入侵檢測就是對整個計算機網絡中的一些信息的關鍵點進行分析，從這些信息中去發現是否存在著一些違反了網絡安全規定和系統遭受攻擊的行為，并且對此自動進行回應。它在網絡信息管理中的主要作用就是對系統和用戶的網絡行為進行監測和維護，同時對整個系統的安全漏洞和配置進行審計，并且及時對相關入侵行為進行識別、跟蹤和警報工作。入侵檢測技術在網絡信息管理中的應用能夠很好地幫助系統用戶維護整個信息的安全和及時修護系統，保障系統正常工作的作用。通常來說，入侵檢測技術的步驟主要如下：首先，必須要收集整個用戶、系統和網絡等活動的行為和狀態的信息。這些信息基本上都是對網絡信息的關鍵點分析得來，一方面能夠將整個檢測的范圍擴大，同時還能依據多個信息采集點來判斷是否有入侵行為的存在。其次，分析收集的信息。通常入侵檢測技術的分析數據方法都是采用模型匹配，將收集的信息與數據庫中的信息進行比對，從而找出是否有違背網絡信息管理安全策略的行為。另外，統計分析法和完整性分析法也是常用的數據分析方法，這些分析方法的應用就是入侵檢測技術能夠很快識別、追蹤入侵行為的重要基礎。

3 網絡信息管理入侵檢測技術的分類

3.1 異常檢測

（1）特征量的選擇

在進行異常檢測行為過程中，為了判斷哪些入侵行為在網絡信息管理中屬于異常的，通常會建立一個正常的系統和用戶的行為特征輪廓，在整個入侵檢測系統中進行記憶，當一些異常的入侵行為出現時，系統就能夠很快檢測出來。在建立正常的行為特征輪廓模型的時候，通常是選擇一些能夠準確地體現出用戶和系統行為的特征量，能夠使得整個檢測系統在應用過程中達到最優化的效果，進而減少了檢測的難度，從而提高了整個網絡信息管理的檢測效率。

（2）參考閾值的選擇

在異常檢測過程中，通常設定了正常的特征輪廓，因此為了保證整個入侵檢測系統工作方法的準確，參考閾值的選擇是十分重要的。在網絡信息管理過程中，當參考閾值的設定過小時，檢測系統的虛警率就會提高；當參考閾值的設定過大時，就會出現漏警率過高的情況，由此看來在保持異常檢查工作科學進行進程，必須要選擇一個合適的參考閾值，這樣才能夠保證整個的異常檢測對入侵行為的檢測形成有效的作用。

3.2 誤用檢測

誤用檢測的應用前提就是所有的入侵行為都能夠被識別和標記。通常，誤用檢測就是利用對一直的攻擊方法實施攻擊簽名，再依據已經定義完成的攻擊簽名來對是否存在入侵行為進行判斷。考慮到大部分的入侵行為都是通過利用系統的應用程序以及漏洞產生的，因此進行誤用檢測能夠準確地對一些網絡行為進行界定，準確地判斷出哪些屬于入侵行為，不僅能夠檢測出入侵行為，還能夠對其他的入侵行為起到了很好的警示作用。由于誤用檢測只需要進行數據的采集工作，使得整個系統在應用時的幅度大大減小了，進而保障了整個入侵檢測技術的高效性和準確性。

4 結束語

綜上所述，在網絡信息管理過程中入侵檢測技術能夠為整個系統和用戶的信息起到一種實時維護和安全監管作用。雖然，入侵檢測技術還有待進一步的發展，但是它所體現出來的網絡信息管理的安全維護作用已經是有目共睹的。隨著入侵檢測技術的不斷化發展，在不就得將來，網絡信息管理中的入侵檢測技術能夠最大限度地和其他的網絡信息管理軟件進行結合，使得整個網絡信息管理朝著多層次、立體縱深的方向發展，從而提高網絡信息的安全保護工作。

參考文獻

[1] 何武紅,陳勇.2003-2004年度中國市場主流IDS產品評測技術報告[N].中國計算機報,2005年.

[2] 王晉.一種基于移動的自適應的分布式入侵檢測系統的架構與實施[D].中國科學院研究生院（軟件研究所）,2005年.

[3] 葉穎,嚴毅.基于通用入侵規范下網絡入侵檢測系統的研究[A].廣西計算機學會——2004年學術年會論文集[C].2004年.

[4] 喻建平,閆巧.入侵檢測系統的發展及其研究方向[J].信息安全與通信保密,2002年05期.

入侵檢測技術范文第4篇

關鍵詞：入侵檢測系統 Boosting算法智能算法

中圖分類號： TN915 文獻標識碼：A

隨著互聯網技術的飛速發展,網絡的結構變得越來越復雜,網絡安全也變得日益重要和復雜，一個健全的網絡信息系統安全方案應該包括安全效用檢驗、安全審計、安全技術、安全機構與程序和安全規則等內容。目前經常使用的安全技術主要有防火墻、防病毒軟件、用戶認證、加密、入侵檢測技術等。多年來，人們在維護信息系統安全時常用的安全技術往往是防火墻。然而,隨著各種網絡安全事件的發生,使得人們清楚地認識到僅僅依靠防火墻來維護系統安全是遠遠不夠。

入侵檢測是一種主動的網絡安全防御措施,它不僅可以通過監測網絡實現對內部攻擊、外部攻擊和誤操作的實時保護,有效地彌補防火墻的不足,而且還能結合其它網絡安全產品,對網絡安全進行全方位的保護,具有主動性和實時性的特點,是防火墻重要的和有益的補充。

1入侵檢測的基本概念與模型

早在20世紀80年代初期，Anderson將入侵定義為：未經授權蓄意嘗試訪問信息、篡改信息、使系統不可靠或不能使用。Heady認為入侵是指試圖破壞資源的完整性、機密性及可用性的行為集合J。我們認為，入侵的定義應與受害目標相關聯，判斷與目標相關的操作是對目標的操作超出了目標的安全策略范圍。入侵檢測通過收集操作系統、系統程序、應用程序、網絡包等信息，發現系統中違背安全策略或危及系統安全的行為。具有入侵檢測功能系統稱為入侵檢測系統，簡稱IDS。

最早的入侵檢測模型是由Denning給出的，該模型主要根據主機系統審計記錄數據，生成有關系統的若干輪廓，并監測輪廓的變化差異發現系統的入侵行為，如圖1所示。為此，Chen等提出一種通用的入侵檢測框架模型，簡稱CIDFJ。該模型認為入侵檢測系統由事件產生器(eventgenerators)、事件分析器(eventanalyzers)、響應單元(responseunits)和事件數據庫(eventdatabases)組成，如圖2所示。

CIDF將入侵檢測系統需要分析的數據統稱為事件，它可以是網絡中的數據包，也可以是從系統日志等其它途徑得到的信息。事件產生器是從整個計算環境中獲得事件，并向系統的其它部分提供事件。事件數據庫存放各種中間和最終數據，數據存放的形式既可以是復雜的數據庫，也可以是簡單的文本文件。CIDF模型具有很強的擴展性，目前已經得到廣泛認同。

2入侵檢測系統的分類

基于信息來源的不同，網絡入侵檢測系統可分為網絡基IDS、主機基IDS和混合基IDS 3類，其中混合基IDS是綜合了網絡基IDS和主機基IDS的入侵檢測系統，它既可以發現網絡中的入侵信息，又可以從系統日志中發現異常情況。

基于檢測分析方法的不同，網絡入侵檢測可分為濫用檢測IDS（基于知識）與異常檢測IDS（基于行為）2類。后者的理論基礎是假設入侵者活動異常于正常主體的活動中，通過對審計蹤跡數據的分析建立起系統主體的正常行為特征輪廓，將當前主體的活動狀況與已建立的特征輪廓進行比較。

3入侵檢測的方法和技術

入侵檢測系統在結構上的發展是與信息系統的結構變化密切相關，但入侵檢測的方式沒有多少變化，時至今日入侵檢測還是異常檢測、誤用檢測或是二者的結合。入侵檢測系統發展趨勢為同時采用多種檢測技術的綜合型智能入侵檢測系統。

3.1基于神經網絡的入侵檢測系統

人工神經網絡的優點是具有較強的容錯性，能夠識別帶噪聲或變形的輸入模式，具有很強的自適應能力；而入侵檢測系統的異常檢測技術實質上是一種模式識別或分類問題，因此有很多學者將神經網絡技術應用到了入侵檢測系統中，發展成為今天的基于神經網絡的入侵檢測系統。

3.2基于貝葉斯推理的入侵檢測方法

基于貝葉斯推理的入侵檢測方法，系指在任意給定的時刻，測量Al，A2，…An變量值，推理判斷系統是否發生入侵行為。其中，每個變量A表示系統某一方面的特征，例如磁盤I／0的活動數量、系統中頁面出錯的數目等。每個異常變量Ai的異常可靠性和敏感性分別用P(Ai=1|I，)和P(Ai=1|I)表示。于是，在給定每個Ai值的條件下，由貝葉斯定理得出I的可信度為:

P(I|Al，A2，…An)= P(Al，A2，…An|I) (1)

其中，要求給出I和I的聯合概率分布。假定每個測量Ai僅

與I相關，與其它的測量條件Aj(i≠j)無關，則有:

P(Al，A2，…An|I)= ∏i=1P(Ai|I)

P(Al，A2，…An|I)= ∏i=1p(Ai|I)

從而得到:

P(I|A1，A2，…An)P(I) ∏i=1P(Ai|I)

P(I |Al，A2，…An) P(I) ∏i=1p(Ai|I)

因此，根據各種異常測量的值、入侵的先驗概率、入侵發生時每種測量得到的異常概率，能夠判斷系統入侵的概率。但是為了保證檢測的準確性，還需要考查各測量Ai之間的獨立性。一種方法是通過相關性分析，確定各異常變暈與入侵的關系。

3.3 遺傳算法

遺傳算法是進化算法的一個實例，來自達爾文自然選擇這一概念。遺傳算法有能力處理多維優化問題，其中，染色體由將要優化的變量的代碼值組成。若適宜函數設計得很好，則檢測率可能會較高，而誤警率會很低。GA的不利是它不能在審計軌跡中定位攻擊，也不能檢測一個新的攻擊。基于GA的入侵檢測不能檢測協同攻擊，且該檢測方法遭遇計算復雜度的考驗。

3.4 分類和聚類

分類將一個數據項分配到其中的一個類別中，這些類是用一組帶有正常和攻擊事件的數據訓練而成，通過iJJJ練可獲得幾個類，這些類分別被標上正常或攻擊，測試數據將按這些類被劃分聚類也稱為非參數的統計方法，這種方法中，大量的歷史數據被分析并根據評價標準將它們聚成幾個類。由于訓練類別同時需要正常數據和攻擊數據，因此，該方法的缺陷也是明顯的，即它們不能檢測任何新的攻擊；另一個缺點是，類中沒有包含任何事跡序列信息；而且該方法的計算效率也是個問題，它們不能頻繁地更新它們的知識庫。

3.5計算機免疫

該方法的基礎是入侵檢測問題與生物免疫系統的相似性，檢測過程也稱“自我／非我”的識別過程。Unix系統調用的短序列被用于檢測系統的分析，它是以系統為中心而不是以用戶為中心的，基于計算機系統中的特權進程系統調用既可用于異常檢測又可用于誤用檢測。該方法對檢測Unix中的幾種異常行為是很有前景的，但若攻擊不包括特權進程，則方法容易失效。

4下一代入侵檢測系統的發展方向

(1)面向Ipv6的IDS下一代互聯網絡采用IPv6協議，IPv6協議本身提供加密和認證功能，這就增加了面向IPv6的入侵檢測系統監聽網絡數據包內容的難度。隨著IPv6應用范圍的擴展，入侵檢測系統支持IPv6將是一大發展趨勢，是入侵檢測技術未來幾年該領域研究的主流。

(2)智能型協作IDS現在的分布式IDS利用分布在網絡中的探測器擴大了數據源的范圍因而可以更好地檢測入侵。但多數DIDS只是簡單地豐富了數據來源，并未有效地對信息共享進行協作。因此需要開發智能協作IDS進行靈活分配角色的協作機制，有效抑制短時間內產生的關于同一攻擊的告警數量，減少不必要的信息傳輸，提高檢測系統的性能和本身的安全性。

(3)基于行為分析技術的IDS行為分析技術不僅簡單分析單次攻擊事件，還根據前后發生的事件確認是否確有攻擊發生，攻擊行為是否生效。這樣，不僅能使管理員看到孤立的攻擊事件的報警，還可以看到整個攻擊過程，有利于日后的取證分析。

(4)根據Gartner的分析，目前對網絡的攻擊有70％以上是集中在應用層，并且這一數字呈上升趨勢。在對應用層的攻擊中，大部分是通過H，兀’P協議(80端口)進行的。雖然這些站點通過部署防火墻在網絡層以下進行了很好的防范，但其應用層的漏洞仍可被利用進而受到入侵和攻擊。因此，對具體應用的有效保護就顯得越發重要。

5結論

隨著網絡安全問題的日益突出,入侵檢測也愈來愈多地受到人們的關注,并已經開始在各種不同環境中發揮關鍵作用.可以預見,入侵檢測技術的發展將對網絡應用具有重要意義并產生深遠影響,而IDS的未來發展方向將是智能的分布式入侵檢測系統,研究和開發自主知識產權的IDS系統將成為我國信息安全領域的重要課題。

參考文獻

[1]JAMESP，ANDERSONC．Computer security threat monitoring and surveillance[R]．Fort Washington，PA，1980．

[2]唐正軍，李建華.入侵檢測技術[M].北京:清華大學出版社，2004.

[3]鄭成興.網絡入侵防范的理論與實踐[M].北京:機械工業出版社，2006.

[4]于志宏.基于協議分析的入侵檢測規則智能匹配[J].吉林大學學報，2008，26(2):157-160.

入侵檢測技術范文第5篇

關鍵詞：入侵檢測技術；網絡安全；應用

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 14-0000-01

Intrusion Detection Technology Application

in the Network Security

Ou Hongxing

(Hunan University of Science and Technology Modern Education Technology Center,Yongzhou425100,China)

Abstract:With the continuous expansion of information technology,various types of online promotion and application software,computer networks to improve data transmission efficiency,data concentration,data sharing has played an increasingly important role in network and information system has been the work has gradually become an important infrastructure.To ensure safe and efficient operation of all work to ensure network and information security and network hardware and software systems running smoothly is the basic premise of the normal,so construction of computer network and system security is particularly important.

Keywords:Intrusion detection technology;Network security;

Application

一、計算機網絡安全

計算機網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環境里，數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面，即物理安全和羅輯安全。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。羅輯安全包括信息的完整性、保密性和可用性。

二、計算機網絡安全的現狀

目前歐洲各國的小型企業每年因計算機病毒導致的經濟損失高達220億歐元，而這些病毒主要是通過電子郵件進行傳播的。據反病毒廠商趨勢公司稱，像Sobbing、Slammer等網絡病毒和蠕蟲造成的網絡大塞車，去年就給企業造成了550億美元的損失。而包括從身份竊賊到間諜在內的其他網絡危險造成的損失則很難量化，網絡安全問題帶來的損失由此可見一斑。

三、計算機網絡不安全因素

對計算機信息構成不安全的因素很多，其中包括人為的因素、自然的因素和偶發的因素。其中，人為因素是指，一些不法之徒利用計算機網絡存在的漏洞，或者潛入計算機房，盜用計算機系統資源，非法獲取重要數據、篡改系統數據、破壞硬件設備、編制計算機病毒。

四、入侵檢測系統在計算機網絡安全中的重點應用

（一）入侵檢測系統。入侵檢測技術是網絡安全研究的一個熱點，是一種積極主動的安全防護技術，提供了對內部入侵、外部入侵和誤操作的實時保護，在網絡系統受到危害之前攔截相應入侵。隨著時代的發展，入侵檢測技術將朝著三個方向發展：分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。

（二）入侵檢測系統技術是進行入侵檢測的軟件與硬件的組合，其主要功能是檢測，除此之外還有檢測部分阻止不了的入侵；檢測入侵的前兆，從而加以處理，如阻止、封閉等；入侵事件的歸檔，從而提供法律依據；網絡遭受威脅程度的評估和入侵事件的恢復等功能。在校園網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，則會構架成一套完整立體的主動防御體系。

（三）入侵檢測系統技術對各種事件進行分析，從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上，入侵檢測分為兩類：一種基于標志（signature-based），另一種基于異常情況（anomaly-based）。

對于基于標識的檢測技術來說，首先要定義違背安全策略的事件的特征，如網絡數據包的某些頭信息。檢測主要判別這類特征是否在所收集到的數據中出現。此方法非常類似殺毒軟件。而基于異常的檢測技術則是先定義一組系統“正常”情況的數值，如CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義，也可以通過觀察系統、并用統計的辦法得出），然后將系統運行時的數值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。

兩種檢測技術的方法、所得出的結論有非常大的差異。基于標志的檢測技術的核心是維護一個知識庫。基于異常的檢測技術則無法準確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發覺的攻擊。

五、現階段常用計算機安全防護措施的應用

（一）網絡病毒的防范。在網絡環境下，病毒傳播擴散快，所以最好使用全方位的防病毒產品，針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統的配置，通過定期或不定期的自動升級，使網絡免受病毒的侵襲。

（二）配置防火墻。利用防火墻，允許防火墻同意訪問的人與數據進入自己的內部網絡，同時將不允許的用戶與數據拒之門外，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。

（三）漏洞掃描系統。解決網絡層安全問題，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

由于計算機運算速度的不斷提高，各種密碼算法面臨著新的密碼體制，如量子密碼、DNA密碼、混沌理論等密碼新技術正處于探索之中。因此網絡安全技術在21世紀將成為信息網絡發展的關鍵技術，21世紀人類步入信息社會后，信息這一社會發展的重要戰略資源需要網絡安全技術的有力保障，才能形成社會發展的推動力。

在我國信息網絡安全技術的研究和產品開發仍處于起步階段，仍有大量的工作需要我們去研究、開發和探索，以走出有中國特色的產學研聯合發展之路，趕上或超過發達國家的水平，以此保證我國信息網絡的安全，推動我國國民經濟的高速發展。

參考文獻：

[1]王秀和,楊明.計算機網絡安全技術淺析[J].中國教育技術設備,2007

[2]龍冬陽.網絡安全技術及應用[M].廣州:華南理工大學出版社,2006

[3]蔡立軍.計算機網絡安全技術[M].中國水利水電出版社,2006

[4]周國民.入侵檢測系統評價與技術發展研究[J].現代電子技術,2008