入侵检测系统在计算机网络安全中的设计与应用

摘 要：入侵检测系统是近年来迅速发展起来的技术，以往的网络入侵检测对于复杂的数据和外部的供给，不能对其特征进行有效识别，导致检测的准确性比较低。为了保证网络的安全，结合实际工作，将现代技术应用到网络入侵检测当中，取得了很好的效果。文章对网络入侵检测框架模型、入侵系统结构和网络入侵检测方法进行了详细的研究。

关键词：入侵检测系统；网络入侵；网络安全

随着现代计算机技术的快速发展，当前网络安全成为一个焦点话题，这也使网络入侵技术成为当前网络安全领域的研究重点。入侵检测具体指的是监视或者在可能的情况下，阻止入侵或者是试图入侵系统资源的努力。目前，网络入侵检测系统在工作的过程中不像路由器以及防火墙作为关键设备工作，可以指出网络入侵检测系统发展的关键路径。网络入侵系统在工作的过程中即使出现了故障也并不会影响正常的工作，因此使用网络入侵检测系统的风险相比于主机入侵检测系统会更小。

1 入侵检测系统框架模型

互联网工作小组的入侵检测小组，在1996年就已经开发了安全事件报警的标准格式，即入侵检测交换格式。入侵检测工作小组制定的这一格式对部分术语的使用进行了比较严格的规范，并且为了能够适应入侵检测系统所输出的安全事件信息的多样性，这一模型在客观上能够满足入侵检测系统各种功能要求和逻辑结构。这样可以确保入侵检测系统在形式上可以有不同的特点。在进行系统设计的过程当中根据系统所承担的具体任务以及其工作环境的不同，在进行搭建时可以选择独立的传感器、管理器等设备，其功能的实现也可以是一个设备当中所具有的不同的功能。入侵检测系统在工作中，具体可以划分为3步，信息收集、数据分析、事件响应。其中信息收集包括系统以及网络；数据分析的主要任务是将收集到的有关数据信息发送到检测引擎，检测引擎会通过模式匹配、统计分析、完整性分析3种手段对于收集的信息进行客观分析；在系统工作的过程中，检测到一个任务时会主动将报警发送到系统当中的管理器，管理器能够根据预先设计好的安全政策进行定义，对接收到的报警内容进行回应，并提出相关检疫。

2 入侵检测系统结构

2.1 基于主机的入侵检测系统

这一入侵系统在具体工作的过程当中，需要以应用程序日志等相关的审计记录文件作为重要数据来源。通过对这些文件中的记录和共计签名进行比较，确定其是否可以进行匹配。如果比较得到结果是匹配的，这时检测系统就主动将管理人员发出警报并采取措施防止系统被入侵。从整体上看，以主机作为基础的IDS可以客观、准确地反应入侵行为，并可以针对入侵进行及时反应。此外，在具体工作的当中这一系统还可以根据操作系统不同的特征来判断应用层入侵事件。在这一系统当中涉及数据是手机用户行为信息的主要方法，因此，这一系统在工作的过程中为了确保判断工作的准确性，不能使系统当中审计数据被随意修改。但是，如果系统在工作的过程中受到外来的攻击，这些审计数据可能会被篡改，为此主机入侵检测需要具备一个实时性条件：入侵检测系统在具体工作的过程中需要在系统完全被控制之前完成对相关数据的审计分析、报警并主动采取相应的对策制止入侵。这一系统在具体应用的过程中主要的优势在于能够对潜在的共计行为进行分析，并可以知道系统入侵者具体做了哪些事情。當然这一系统也有不少缺点，其中之一是这一系统是安装在需要保护的设备上的，这样其在工作的过程中无疑就使应用使用效率极大地降低。此外，在设备上安装这一系统也容易带来其他安全问题，这主要是因为在安装了这一入侵系统之后，管理员本部允许的访问权限被扩大了。

2.2 以网络为基础的入侵检测系统

该系统需要被安装在需要保护的网络上，并以网络中原始的数据作为分析工作的基础。在具体应用中一般会选择一个使用的网络适配器对网络传输的数据进行监视和分析。网络在工作中，如果收到了外来的攻击，这时的检测系统能够及时获取入侵信息并及时做出应对。以网络作为基础的入侵检测系统从整体上主要是由过滤器、网络接口引擎和探测器构成的。在具体工作当中根据制定的规则获取与安全事件有关的数据包，之后将其传送到分析模块进行分析；入侵分析模块可以根据采集到的数据包结合网络安全数据库进行分析，并最后将分析得到的结果传给管理和配置模块；系统中的管理和配置模块的主要工作是管理其他模块的配置工作，并且将系统经过分析得到的结果传递给管理工作人员。这一入侵检测系统的主要优点集中在：能够分析哪些是来自于外界的入侵以及哪些行为是超过权限的访问。当前，HIDS不会在业务系统当中的主机安装额外软件，这样不会影响机器的CPU、I/O设备、磁盘的使用，这样不会影响到系统性能。这一系统的主要缺点表现在：系统在入侵检查时只可以检查与其相连的网络通信，对不同的网络不能进行检测，在使用交换以太网的环境当中会出现检测范围的局限，如果多安装检测系统则会使预算大大提高。

2.3 基于主机的分布检测系统

该入侵检测系统主要由探测器和管理控制器两个部分组成。其中HDIDS主要用来保护关键服务器，HDIDS有敏感信息系统，通过利用主机的系统资源、审计日志等相关的信息，能够客观地判断出主机系统在运行的过程当中是否遵照了安全规则。在具体工作中，这一系统的探测器能够以安全代理的方法安装在主机系统上，可以通过网络便捷安全开孔方法和防火墙远程控制系统管理控制台。这是集中的控制方式，它可以对主机状态管理及监控，并且可以及时更新检测模块的软件，这就有效加强入侵检测系统安全，使其扩张的能力更强大。

3 网络入侵检测方法分析

对数据进行可观的分析是保证网络安全的前提，可以提前得知网络是否遭受到入侵。在网络入侵检测工作当中检测率是现代人们关注的焦点，因此在网络入侵分析工作当中使用不同的技术，其所得到的结果也是不同的。因此，在进行网络入侵检测中，需要根据具体的工作环境和检测灵活选用入侵技术，这样才能达到更好的检测效果。从当前入侵检测所使用的技术来看，具体可以分为采用异常检测系统和无用检测系统。

神經网络检测法主要是训练神经网络连续的信息单元，其中信息单元具体指的是命令。在网络当中通过输入曾经是用户当前输入的命令和已经执行过的N个命令；用户指定的命令被神经适用以来确定用户的下一个命令。在工作的过程当中如果被训练成为预测用户输入命令序列的集合，这样就可以使神经网络容易构建成用户的轮廓框架。如果在使用这个神经网络很难客观上反映出用户的之后的命令时，那么表明用户行为和其轮廓框架的偏离，这时就会出现异常事件，并将其作为异常入侵检测。

4 结语

文章在研究的过程中分析了在计算机网络安全中建立入侵检测系统的重要性，并详细地介绍了入侵检测系统的整体结构，之后分为4个部分对入侵检测系统进行了分析，最后指出了入侵检测系统所使用到的方法。随着现代科学技术的快速发展，近年来，神经网络、专家系统以及遗传算法在入侵检测领域的研究，也为入侵检测系统的进一步发展提供了广阔的前景。

作者简介：王鹏（1980— ），男，陕西咸阳，讲师；研究方向：计算机网络技术应用。

[参考文献]

[1]牛承珍.关于入侵检测技术及其应用的研究[J].软件导刊，2010（1）：137-139.

[2]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术，2010（36）：10293-10294.

[3]吴卉男.计算机网络安全中入侵检测系统的研究与设计[J].通讯世界，2016（1）：182.

[4]傅明丽.网络安全中混合型入侵检测系统设计[J].通讯世界，2016（1）：226-227.

Abstract： Intrusion detection system is developed rapidly in recent years. The previous network intrusion detection can not effectively identify the characteristic for complex data and external supply， resulting the detection accuracy is relatively low. In order to ensure the security of the network， combined with the actual work， modern technology will be applied to the network intrusion detection， which has achieved very good results. This paper studied the network intrusion detection framework model， intrusion system and method of network intrusion detection are in detail.

Key words： intrusion detection system； network intrusion； network security