综述网络安全中入侵检测技术

综述网络安全中的入侵检测技术

摘要：随着时代的发展，计算机越来越普及，网络走进了我们生活的每一个领域，为我们带来了诸多的便利。与此同时，如何维护网络安全也成为计算机专业以及其他人士面临的重要课题。本文拟从入侵检测技术的概念、分类、入侵检测的新技术以及入侵检测技术的发展趋势三个角度着眼，对此进行简要的论述。

关键词：网络安全；入侵检测技术；应用

中图分类号：tp393.08文献标识码：a文章编号：1007-9599 (2013) 07-0000-02

近年来，随着网络的普及，网络安全问题的日益突出，如何维护网络安全已经成为计算机行业面临的重要问题。入侵检测技术，作为一种新型网络安全技术，可有效的对网络黑客、间谍等的入侵行为进行检测，对来自内部、外部的攻击甚至错误操作实行实时的安全防护，并且可以在网络系统遭受危害之前对不明入侵进行拦截，从而保护用户的网络安全。

1入侵检测技术的概念和分类

入侵检测技术，新型的网络安全技术，是网络安全审核环节中的技术之一，利用它可以对网络安全进行实时的防护。具体来说它主要是通过收集进而分析网络信息，包括用户的网络行为、审计数据、网络系统所涉及的诸多关键信息等的方式，来检测计算机用户网络中是否存在着被攻击痕迹以及触犯网络安全的行为的技术。另外，它是一种主动的、积极的而非被动的为电脑提供安全护航的技术。

它主要通过以下手段来完成检测：为用户与系统的活动提供实时的监视与分析；审计网络系统中存在的弱点及其结构；对已经确定的入侵行为进行识别，向用户或者相关机构自动报警；对网络出现的异常行为进行分析；为网络所应用的关键系统、网络中数据及文件的完整性进行实时评估；对网络用户的操作系统进行审查、跟踪，并提供一定的管理；对用户网络中出现的触犯安全策略的行为，比如入侵和滥用，进行识别。应用入侵检测技术可以有效的减少网络攻击，降低攻击造成的危害。

入侵检测技术按照不同的分类方式，可以分为不同的类别。这里主要就数据源采集来源的不同进行讲述。根据所采集的数据源的不同来源，入侵检测技术系统可以分为基于主机的入侵检测系统与基于网络的入侵检测系统两大类。

基于主机的入侵检测系统，简称hids，它是通过将检测系统安装在所要保护的计算机用户的系统中，将其与用户的操作系统内核以及服务联系在一起，进而可以对用户主机所使用的网络连接、主机系统提供的审计日记进行分析，并加以判断，进而监控系统所涉及的各种行为，保护用户主机的安全。它能够对系统所检测到的入侵行为给予断开链接、关闭账号、终止进程等反应。

基于网络的入侵检测系统，简称nids。不同于hids，它的分析数据源来自于网络包。不需在主机上安装代理，它只用一个复合模式下的网卡即可完成监控以及数据的分析。一般来说，它进行分析时所采用的技术主要包括：模式匹配和统计分析等。在检测到入侵

或其他具有攻击性的行为时，它自身所带的响应模块会发出报警、断开网络连接等的响应。相对于其他检测系统，立足于网络的入侵检测系统因不需要在电脑上安装任何软件，成本相对较低，使用也相对简便，并且防护速度非常之快，能够在最短的时间检测到有嫌疑的数据，并对其进行阻断，除此之外，即使其发生一些故障也不会影响网络正常程序的运行。

2网络安全中入侵检测的新技术

入侵检测的新技术主要分为协议分析、移动代理、互操作三种。首先，协议分析。它是新一代网络入侵检测系统用来探测黑客等的进攻手法的重要技术。其主要是利用网络协议的特性，比如高度规则性，来探测是否存在进攻，速度非常快。因此，协议分析技术具有检测速度快、结果准确、资源消耗少的特点。具体来说，相对于其他技术，它的优势主要在以下三个方面：

（1）对用户所给出的命令字符串提供相关解析。一般来说，电脑url的第一个字节的位置可以提供关于用户命令的解析程序，俗称解析器。目前，最新一代的入侵检测技术已经包含七十个以上的、形式多样的解析器，可以对用户所给出的每一个命令以及不同层面的应用协议进行详细的解析。

（2）对网络所遭遇的碎片进攻进行探测，并且给出确认协议。当入侵检测技术被置于协议分析之中时，电脑所涉及的各种协议都会面临被解析，只要出现ip碎片的设置，电脑就会对数据包进行重装，以保证系统可以利用某些技术来检测黑客的进攻手段，进而

再对其进行深入分析，以最终确定隐蔽的进攻行为。也正是这种完整的解析，协议的完整性得到最终确认。

（3）误报率大大降低。使用协议分析技术可以大大减少其他检测技术所通常存在的误报现象。

第二，移动代理。移动代理也是一种新型的网络安全检测技术，它可以自动的在主机之间来回转换，并且可以根据情况自主选择何时移动或者在何地移动。根据其字面“代理”可知，它是一种代替人或者其他的程序来执行检测任务的一种程序。它在移动时，可以根据具体的网络情况搁置在某台主机上的运行，然后移动到其他地点继续或者重新开始其打断的运行，并最终反馈回检测结果。因此，移动代理技术优点很多，主要有以下几点：（1）可以节约宽带资源：（2）可以提供最及时的电脑远程监控；（3）与其他技术不同，该技术支持离线计算，即使在无网络使用的情况下亦可以运行；（4）可以增强入侵检测系统应用的强大性：（5）于各个不同用户操作系统之间运行移动代理技术，能够将电脑硬件以及操作系统所涉及的平台细节进行屏蔽，从而使得代理可以获得统一的运行界面。另外，在这样的基础上，其无需终止任何正在运行的程序，就可以在不同的虚拟机之间来回的自如转换。（6）其可以通过虚拟机系统所自有的通信体制，进行多个代理之间的密切合作。

总之，将移动代理检测技术应用到网络安全的检测之中，一方面可以实现全部网络范围内的检测，检测范围大大增加。另一方面，它在进行检测时所占用的网络资源也相对较少，不会带来网络资源

的瓶颈。简而言之，移动代理的存在使得各用户之间的协作检测更为简便灵活。

第三，互操作。入侵检测系统的互操作主要表现在如下两个方面：一、各个不同网络入侵检测系统之间的信息交换。二、网络安全入侵检测系统和其他计算机安全设备，比如防火墙间的互动。

3网络安全系统中入侵检测技术的发展趋势

目前，黑客、网络间谍的攻击手段越来越高级，因此为了更好的检测网络非安全行为，为大众网络提供更好的安全保护，降低攻击所带来的危害，今后入侵检测技术应该朝着如下三个方向快速发展：分布式入侵检测，即面对分散的网络进攻进行检测，以及利用分散式的手段来进行相关检测；智能化入侵检测，即利用智能化的手段，比如遗传算法、免疫原理等来实施安全检测；全面整体的防御方案，即利用现代网络原理将网络安全作为一个整体来进行防御。

4结语

当今社会网络安全的问题越来越突出，与此同时，入侵检测技术的研究也引起人们越来越多的关注。本文通过对入侵检测技术分类、网络安全中入侵检测技术的应用的分析，给出了利用其维护安全的方法。但是，随着计算机网络的进一步深入发展以及黑客、间谍等入侵方式的多样化，网络安全领域需要解决的问题与面临的挑战依然很多。

参考文献：