基于网络入侵检测系统_网络入侵检测技术研究①

　　摘 要:计算机信息产业的高速发展有效推动了网络的普及化,而网络入侵在当已然成为了该领域为之极力关注的社会问题,计算机入侵检测技术由此应运而生。而本文主要阐述了网络入侵检测的基本概念与网络入侵检测技术的发展趋势,以及现行网络较多的检测技术,并重点对人工免疫入侵的检测模型加以有效的分析。
　　关键词:计算机网络 入侵检测
　　中图分类号:TP393.0 文献标识码:A 文章编号:1672-3791(2012)05(c)-0010-02
　　在如今,时代性的科技进步、提高带动了全球化的经济发展,同时也有效推动了信息产业的不断发展。以现行计算机网络为大环境下的计算机智能化工具已然成为了如今社会发展的主要生产力,计算机网络的推进,产业技术产物盛行,有效促进了社会进步的推动力。计算机产业的技术手段被广泛运用于各个科学领域的同时,网络安全问题也就逐步凸显,而网络入侵检测技术的发展与运用一定程度上保障了用户使用权益的安全性。因此,计算机网络入侵技术发展趋势也就必然逐步走向成熟,而开展、研发计算机入侵检测技术,为计算机的网络安全与发展、运用带来了有利影响。
　　1 计算机网络入侵检测技术的概述
　　网络入侵的定义是20世纪80年代Anderson所确立提出的,他对网络入侵的理解是指在网络中为经授权的人对计算机网络内部的信息、资源数据进行改动、复制等实施行为与擅自故意破坏计算机内部网络安全的举动行为;网络入侵是人为擅自行动的违反网络安全对其进行有意破坏、捣乱的行为。而网络入侵检测是针对网络入侵所实行的“反侦测”检测行为,这项检测技术能针对网络日志进行系统监控以及计算机内部重要信息数据进行审计,并对数据进行整理分析,进而通过“网络痕迹”识别网络入侵行为;同时,该项监控检测技术能有效评估系统的敏感度与对数据的完整性加以监督,识别跟踪违反安全策略的恶意人工行为,从而使系统具备多重有利的安全维护行为。
　　2 网络入侵技术的技术分类和技术分析
　　常规形式上从网络安全测验角度上去对入侵检测技术分类可包括为两类:一类是误用入侵检测;另一类就是异常检测。误用检测实质上可以说是特征性检测,主要目的是确立攻击技术含量从而构建对特征库的恶意攻击,然后以其攻击方式对照系统进行比较,以确定攻击发生与否;另一类的异常检测,异常检测就是指与入侵检测行为的差别的异同行为,因此,无差别的特征库组合定义与更新是异常入侵检测的关键。
　　2.1 异常检测特性
　　异常检测主要针对检测行为而言,通过假定的人为入侵行为对系统的特征库做出有效辨认,如果存在入侵行为痕迹,用户行为和系统自身行为不同,则可以从中区分行为的差异,也就可以判定为入侵。
　　2.2 误用入侵检测特性
　　误用入侵检测技术,在与计算机系统互相交流信息过程之中,其设立了专家系统、模式匹配与协议验证,并基于模型、键盘监控、模型推论、状态切换分析、Petri网实态切换等方法。
　　2.2.1 基于专家系统的误用检测方法
　　现今网络很多入侵检测都采用的是此类方法技术,其原理是将入侵行为进行专门的编码,然后制定成相应的专家系统规则,各个规则均鉴于“条件THEN动作”的形式,并且它可以通过任意一个条件就可以触发,于此,专家系统就会立即采取相关动作进行行为进行高效处理。
　　2.2.2 基于状态转换分析的误用检测方法
　　所谓状态转换分析,系指把攻击行为表征为被监控的状态转移,根据此状态转移条件来判定各种攻击状态,攻击状态以及行为和记录无需对应。
　　2.3 免疫学运用入侵检测技术
　　计算技术的逐步成熟与完善,使计算机技术不断运用于各个领域行业,由此,网络入侵检测技术也同步初获成果,其具体应研究重点表现在免疫学的推行与广泛应用。生物免疫系统与计算机内部安全系统颇为相似,计算机的网络安全环境就犹如生物免疫系统,就好比生物免疫系统对抗病原体,而计算机入侵检测系统针对网络盛行的病毒一样,结合此原理,计算机网络入侵检测技术运用到生物免疫学当中,并且两相结合,原理对比、分析,从而确定以生物免疫学系统原理为核心去规划设计出计算机入侵检测技术的科学研究方向;以生物免疫学系统理论构建出入侵检测技术的发展体系,即为定义自身、生成检测器、检测入侵三方面的技术程序。定义自身就是指计算机判定的正常行为模式化为本体,对本体逐步构建成常规形式下的本体特征库,而检测可分为成熟检测和未成熟检测,就是说成熟检测就是系统实行常规行为,判定为“免疫”的行为过程,反之,未成熟检测,就需要计算机核对数据特征库进行鉴定;如果在与特征库里的认定行为不符、不相匹配,则判定为人为利用计算机技术手段入侵系统;与此同时,系统可自动采取应急措施来处理入侵行为。
　　3 入侵检测的发展趋势
　　伴随着现代信息产业技术的提高对国家国民经济建设服务的影响日益剧增,网络的人为攻击手段也就逐步日趋复杂多样化,网络技术的对战由此备受各个国家重视,近年总结,从入侵检测技术来看几个主要发展方向如下。
　　3.1 分布式入侵检测和传统常规入侵检测框架
　　以往常规的IDS常局限在单一的主机网络框架上,对于相异的构架系统与较大规模的网络监控、检测不够充分,同时不同的IDS系统内部不能相互协调共同工作,为了有效能解决这方面的问题,就需要采用分布式与传统式常规入侵检测框架。
　　3.2 应用层入侵检测
　　许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。
　　3.3 智能的入侵检测
　　入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是由于,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的探索、研究,以用来解决其自身的自适应能力。
　　3.4 全面构建安全防控方案
　　结合网络安全技术工程风险管理意识与举措上去解决网络安全问题,要视网络安全技术行为当做一个整体系统工程去规划解决,即从合理管理、网络构架、加密模式、防火墙、防控监测病毒、入侵检测等全面多方位的对网络进行有效科学评估,然后通过评估总结这一过程,确立问题处理方案。
　　4 结语
　　总之,网络入侵检测技术有效的保证了网络内、外部攻击与误操作的全程实施监护,实现了网络环境在受害之际加以拦截和有效针对入侵行为做以反击,有效的改善了网络环境,为网络安全环境维护构建了一道系统安全屏障,使网络环境更加的健康与安全;另外,计算机网络入侵检测技术在实际运用的过程中,结合网络管理的实时性防护软件,做到统筹兼备,有机全面结合,使之网络入侵检测,实时网络防护监控、网络管理的三位强效一体化,进而强化了网络环境,使之更加安全、坚实、健康。
　　参考文献
　　[1] 田军,俞海英,伍红兵.入侵检测技术研究[J].电脑知识与技术,2010(7).
　　[2] 壬强．计算机安全入侵检测方案的实现[J]．计算机与信息技术,2007,14:288,320．
　　[3] 夏炎,尹慧文．网络入侵检测技术研究[J]．沈阳工程学院学报:自然科学版,2008,4(4):362～363．
　　[4] 张志刚,吴建设．入侵检测技术在网络安全中的应用[J]．黄石理工学院学报,2008,24(5):l3～15．
　　[5] 关健.入侵检测系统数据分析方法及其相关技术的研究[D].哈尔滨工程大学,2004.
　　[6] 李俊宇.信息安全技术基础[M].冶金工业出版社,2004,12.
　　[7] 石淑华.计算机网络安全技术[J].计算机网络安全技术,2008,12.