計算機網絡入侵檢測系統探究

周璟　顧宇明

摘要：計算機網絡系統在信息管理和保存方面都有著不可忽視的作用，但是近幾年隨著網絡黑客和網絡技術地不斷發(fā)展，網絡安全成為計算技術發(fā)展過程中面臨的問題和挑戰(zhàn)。而維護計算機網絡安全首先就要解決計算機網絡入侵檢測系統問題，入侵檢測系統作為時下網絡信息安全的一門新型技術，在保障網絡安全中起著非常重要的作用，本文將再次基礎上，對計算機網絡入侵檢測系統及其技術進行探究，希望對促進我國網絡安全有所幫助。

關鍵詞：計算機網絡 入侵檢測系統 檢測方法

計算機技術和網絡技術逐漸成為人們生活中不可或缺的一部分，不斷改變著人們的生活方式和交流方式，使得人們的生活充滿變化，同時為人們創(chuàng)造更多獲取信息的途徑，為人們提供了很大方便。在這個信息時代，也有很多人表示并不適應，因為自身信息泄露的比較嚴重，這無異于是給網絡時代發(fā)展帶來很多阻礙，網絡安全問題成為時下人們最關心的話題和焦點。因此必須采取必要的措施防止這種網絡安全問題蔓延，入侵檢測法是近年來計算機技術研發(fā)人員關注的焦點。

一、入侵檢測系統工作步驟和原理

（一）收集信息。入侵檢測系統工作的第一個步驟就是收集信息，通過網絡和計算機系統對用戶信息進行搜集、處理和識別，并能夠在關鍵節(jié)點上，對入侵信息進行搜集和處理，對其收集的所有信息進行識別和分類，從而尋找到入侵信息。這種工作模式量比較大，但是能夠比較有效的找到入侵信息，能夠保證計算機系統的安全，從而為用戶提供更好的使用環(huán)境。

（二）分析信息。當入侵系統對網絡、系統以及用戶信息搜集完畢之后，就要對搜集到的信息進行處理和分析，從而找到對計算機系統不利的信息來源，及時阻止對計算機不利的信息。對破壞信息地分析是入侵檢測系統最基本的功能之一，工作人員需要事先對正常信息檢測進行編碼，當入侵系統檢測到與正常信息編碼不一致的信息，能夠及時發(fā)出警示和提醒，并作出相應的防護措施。

（三）保存信息。入侵系統在檢測到入侵信息之后，既要作出及時處理，同時還要將這些入侵信息進行保存，一方面為了方便計算機網絡管理人員進行實時查看，另一方面可以將保存的入侵信息作為入侵證據。另外將這些信息進行保存還有一個非常重要目的，可以方便以后建立新型防護措施。

（四）響應攻擊。計算機入侵檢測系統在對入侵信息進行分析和保存之后，就要對入侵信息作出及時響應，處理的方式有手動和自動兩種，手動響應是指計算機系統在檢測到入侵信息之后通過郵件和警報的方式向網絡管理人員報告工作狀態(tài)，管理人員根據檢測結果采取一定措施，自動響應是指通過入侵檢測系統的后續(xù)防御系統對外來攻擊信息作出處理措施。

二、入侵系統的檢測方法

（一）異常檢測法。入侵系統異常檢測法主要用于檢測用戶的異常行為及其對計算機資源的異常使用，防止由于用戶的不恰當行為對計算機入侵系統造成損害。采取異常檢測法首先需要根據相應用戶的日常活動建立模型，通過模型對系統與用戶的實際行為進行對比，從而對用戶行為是否會對計算機系統造成攻擊的可能性進行判斷。這種檢測方法有比較好的適應性和檢測未知攻擊模式的能力，但同時具有很嚴重的缺點，誤報率和檢測結果的準確性差，這也是入侵檢測系統在發(fā)展過程中需要解決的技術難題。

（二）混合檢測法?；旌蠙z測法包含異常檢測法和濫用檢測法的優(yōu)點，形成一種很好的互補模式，對計算機系統安全維護起到很好的全方位保護效果。是目前應用最為廣泛的一種入侵系統檢測方法，提高入侵系統整體檢測性能和效率。

三、計算機網絡入侵檢測系統設計

（一）網絡入侵檢測系統設計。在需要保護的計算機網絡中安裝功能齊全的網絡入侵檢測系統，將原始正常值與入侵信息進行對比，從而迅速找到異常信息的蹤跡。在網絡入侵檢測系統設計中，要將所有與網絡行為有關的原始信息進行輸入，同時要對實時生成的網絡行為信息進行監(jiān)控和處理，通過過濾器、探測器、網絡接口引擎等元件對網絡行為信息進行識別和處理。網絡入侵檢測系統中數據采集模塊主要功能是按照一定網絡協議從網絡上獲取與入侵事件有關的全部數據信息，獲取后將其傳輸到入侵檢測系統中，對其安全性進行全面細致的分析，從而更加準確判斷其是否具有攻擊性。入侵分析模塊主要功能是結合計算機網絡安全數據庫，對數據采集模塊傳輸的數據信息進行安全分析和保存，并將分析結果傳送至配置與管理模塊上，配置與管理模塊可以對分析結果進行適配，并將結果傳送給計算機網絡管理人員。每一個模塊都有其獨立的功能和作用，當外來信息對計算機網絡系統有攻擊行為時，各個功能將發(fā)揮各自作用，對計算機系統采取及時保護并作出響應。

（二）主機入侵檢測系統設計。主機入侵檢測系統數據通常包括應用程序日志和系統日志，主要是針對審計記錄文件內容與攻擊內容進行匹配和對比，如果檢測到的信息與系統檢測信息進行對比之后不匹配，說明該信息不具有攻擊性，匹配則具有攻擊性。主機入侵檢測系統設計之時，還要注意在檢測系統在完全被攻擊者控制之前完成對審計數據的分析，并能夠及時發(fā)出警報采取一定防護措施，從而減小對主體系統的損害程度。

四、結語

在計算機網絡系統安全問題處理中，入侵檢測系統的研究和應用是非常重要的，是計算機網絡系統維護的重要環(huán)節(jié)，性能良好的入侵檢測系統能夠有效防止計算機病毒對計算機系統的毒害，能夠有效彌補防火墻的不足之處，為計算機提供更加有效的安全防護保障。進入21世紀，計算機技術和網絡技術發(fā)展處于一個全新階段，未來技術的發(fā)展將更加完善和科學，為用戶帶來更多安全保障，入侵檢測系統的持續(xù)研究和發(fā)展，將為計算機技術和網絡技術發(fā)展奠定堅實的基礎，促進我國科學技術不斷進步和發(fā)展。endprint