浅谈网络入侵检测技术

和分析所有通过网络进行传输的 通信。一旦检测到攻击，入侵检测系统 应答模块通过通知、报警 以 及中断连接等方式来对攻击做出反应 。
（ ） 三 混合入侵检测系统。它是当前应用最为广泛 的入侵检测系
（ 三）聚类算法 。 基于聚类方法 的入侵检测是一种无需指导的异 常检测技术 ， 它在未标记的数据上进行并将相似 的数据划分到同一个 聚类 中， 而将相异的数据划分 到不 同的聚类 中， 从而达到判 断网络中
３ ． 完整性分析。完整性分析主要关注某些用户 、文件 、目 、设 录
访问控制 、 安全审计等 。 入侵检测技 术是安全审计中的核心技术之一，
是网络安全防护的重要组成部分。 二、入侵检测系统的分类
备对象 的相关属性是否被更改 ， 它能够发现被更改的或被种植木马的
应用程序 ，能识别极其微小的变化。 四、入侵检 测方法
入侵检测系统从不同角度可 以分为不同的类别 ， 按照数据来源 的
不同一般分为基于主机的入侵检测系统和基于网络 的入侵检测系统 ，
以及 混 合入 侵 监 测 系 统 。
（ ） 一 遗传算法 。 基于遗传算法的最大优点就 是高效率地解决非 线形的检测数据 ， 而入侵检测 目前最大 的困难就是数据量大， 用户行
为特征的准确描述 比较困难。而遗传算法不同于数据挖掘，不需要对
（ 基于主机 的入侵检测系统。 于主机 的入侵检测系统用于 一） 基 保护单台主机不受网络攻击 行为的侵害，需要 安装在 被保护的主机 上。 它一般以系 统日志 、 应用程序 日志等作 为数据源， 从所在 的主机 收集信息进行分析 。 基于主机的入侵检测系统可以确保操作系统不受 到侵 害，并且 由于它保存一定 的校验信 息和所有 系统文件 的变 更记 录，在一定程度上可 以实现 安全恢复机制 （ 二）基于网络的入侵检测系统 。 基于网络的入侵检测系统通常是
进一步完善 。 参考文献 ：
侵和系统误用模式数据库进行 比较，从而发现违 背安全策略的行为。
该方法的优点是只需收集相关 的数据集合，可显 著减少系统负担，且
技术 已相 当成 熟 。
川 谢 勃 ． 算 机 网 络 人 侵 检 测 技 术 探 讨 ［ ． 学 技 术 与 工 计 Ｊ科 】
统的三种入侵检测 系统的分类；接着探讨 了网络入侵检测的过程 ；最后分析 了网络入侵检测技 术方法。例如 ：遗传算法、数据挖 掘 、聚类算法、行为模式、神 经网络、智能分布等 。
关链 词 ： 网络 入 侵 检 测技 术 ；分 类 ；方 法
中图分类号 ：Ｔ ３３ Ｐ９
入侵检测系统的定义
文献标识码 ：Ａ
计算机 光盘软件 与应用
２１ ０ ０年第 １ 期
Ｃｍ ｕ ｅ Ｄ Ｓ ｆ ｗｒ ｎ ｐ ｌｃ ｔ ｏ ｓ ｏ ｐ ｔ ｒ Ｃ ｏ ｔａ ｅ ａ ｄＡ ｐ ｉａ ｉｎ
工程技
浅谈网络入侵检测技术
周 娜 （ 口经济 学院应用技术 学院 海
摘
海 口 ５００ ７ ２３）
要 ：本文主要 阐述 了网络入侵检测技术的定义，以及主机 的入侵检测 系统、基 于网络 的入侵检 测系统 、混合入侵监测 系
入侵检测系统作为防火墙之后的第二道 安全 闸门， 能有效地发现
序执行中的不期望行为、物理形式的入侵信息 。
（ ）相关信息分析。对上述 ４类收集 到的相关信息，一般通过 二
非法用户入侵行为和合法用户滥用特权行 为， 是保护网络信息安全的 重要组成 部分 。 本文重点介绍 了当前主要 的几种入侵检测技术， 并进
模型 。 具体实现方法是利用数据挖掘中的关联算法和序列挖掘算法提
取用户的行为模式， 利用分类算法对用户行为和特权程序 的系统调用 进行分类预测 ，利用聚类算法，通过计算和 比较记录间的矢量距 离， 对网络连接记录 、 用户登录记录进行 自动聚类，从而完成对审计记录
是否正常的判 断工作 。
攻击行为的，它们 为建立行为规则数据库提供 了基础。
（ 神经 网络 。 五） 基于神经网络的入侵检测技术 能够很好地解决 正确 识别那些与过去观测到的行为不一样但正常的行为 ， 从而降低异 常入侵检测系统 的误报率。 在入侵 检测系统中把神经 网络方法作为异
常检 测统计分析部分 的一种替代方法 ，用 来识别 系统用户 的典型特
文章编号：１０．５９（ ００ ０—０７ １ ０７９９ ２ １ ） １ １． ０ ０
量属性的平均值作为标准与网络 、 系统的行为进行 比较，当检测到行 为值在标准之外时 ，就认为有入侵事件发生。
一
、
网络 安全是一个系统 的概念，有效的安全策略或方案 的制定 ， 是 网络信息安全的首要 目标 。 网络安全技术主要有认证授权 、 数据加密、
征 ，对 用 户 既 定 行 为 的 重大 变 化 进 行 鉴 别 。 五 、结 束 语
（ ） 一 相关信息收集 。 相关信息收集பைடு நூலகம்的内容包括系统、网络 、 数 据收发及用户活动的状态、 行为和特 点。 这种信息的收集 需要在 网络
系统中的多个不同关键点，如在 不同网段和不同主机收集信息 ， 使用 这种收集方法可以扩大信息检测 范围， 同时还可 以根据多个不同源 发 来 的信息进行综合 比对以提高检测的效果。 入侵检测利用的信息一般 包括 ４个方面 。即系统和 网络 日志、目录和文件中的不期望改变、程
程 ，０ ８ １２ ９ ３ ２ ０ ， ：２ ￣ ２
２ ． 统计分析 。 统计分析方法首先给系统对象如用户 、 文件、 目 录
和设备等刨建一个统计描述 ， 统计正常使用 时的一些测量 属性 。以测
一
［】 玮 ， 九伦 ． 于新 的 聚 类 算 法 的入 侵 检 测 【 ． 算 机 工 ２李 范 基 Ｊ计 】
一
３ 种技术手段进行分析 ，即模式匹配、统计分析和完整性分析。其 中
步指出了入侵检测技术的未来发展方向，虽然 Ｉ Ｓ及其相关技术 Ｄ
前２ 种方法用于实时的入侵检测，而完整性分析则用 于事后分析。
１ ． 模式匹配。 模式匹配就是将收集到的相关信 息与已知 的网络入
在近几年 已得到 了很大发展，但 Ｉ Ｓ技术还存在很多问题，有待于 Ｄ
更加有效的入侵检测和保护措施，既可发现网络 中的攻击信 息，也可 从系统 日志中发现异常情况 。 三、入侵检测过程 入侵检测—般分为 ２个步骤， 即入侵相关信息收集和相关信息分析。
上操作表现为一组行 为序列 ， 通过对网上操作 的频繁的行为序列的分 析， 可以得到这种操作的模式， 这些模式有正常的， 也有非正常包含
的数据是否异常的效果。 （ 行为模式。行为模式 的入侵检测技术 的思想基于大多数网 四）
统。 主机型和网络型入侵检测 系统都有各 自的优 缺点， 混合入侵检测
系统是基于主机和基于 网络的入侵检测系统的结合 ，两者相互补充，
在很大幅度上提升 了网络和系统面对攻击和错误 时的抵抗力， 提供了
程 ，０ ６７ １ ９ １ ３ ２ ０ ，：４ ． ５
】 一 ７
作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数 据包作为进行攻击分析的数据源，—般利用一个网络适配器来实时监视
用户行为进行学 习， 而且使用遗传算法进行模式库 的构建， 在整个系 统运行一段时间后，可以根据 已有的参数决定是否再次运行该算法。 来进行模式库的构建，从而提高对新的入侵方式 的有效检测。 （ ） 二 数据挖掘 。 基于数据挖掘 的人侵检测方法 ， 是通过对网络 数据和主机系统调用数据 的分析挖掘， 发现误用检测规则或异常检测