入侵检测系统在网络安全中的研究

于 超

（山西晋煤集团通信分公司，山西 晋城 048000）

入侵检测系统在网络安全中的研究

于 超

（山西晋煤集团通信分公司，山西 晋城 048000）

网络安全面临的最重要的威胁主要是不法分子和黑客对网络中应用系统的入侵。传统的防护办法主要是以禁止策略方式进行防护，但仅通过禁止策略方式实现的网络安全防护体系是不够的。入侵检测随着网络安全技术的发展逐步成熟起来，该技术是对不法分子的攻击在没有完成的情况下逐渐进行拦截的，防护效果非常明显。文章首先对网络入侵进行分析，其次对入侵检测技术原理进行了阐述，最后对入侵检测系统进行了研究。

入侵检测；网络安全；计算机

随着社会科学技术的飞速发展，互联网已经涉及各行各业，应用系统已经取代了手工流程，成为主流的办公方式，大部分的企业或个体用户在家里通过一台联网的计算机就能够获取到各种各样的信息资源。由于网络信息技术的发展和各企业及政府机构的需要，越来越多的应用系统需要接入互联网，在方便各单位工作业务信息交互的同时，黑客也盯上了这些信息资源，为了达到其自身的目的，越来越多的信息成为被攻击的目标，在进行信息化建设的当代，网络安全成为亟待解决的事情。

1 入侵分析

目前网络入侵的方式，出现了许多类型，每种入侵的方式和过程各不相同，一些入侵方式比较简单，只需通过网络向指定目标发送资料包就能够实现攻击，另一些入侵方式就比较复杂，需要对系统的访问权限有一个逐步认识的过程，到一定的程度时完成入侵。网络入侵主要包括以下3个部分：（1）盗取系统资源，主要是对目标系统的操作系统类型以及网络拓扑结构信息的盗取；（2）盗取系统访问权限，主要是对系统的读写文件权限的盗取；（3）盗取系统超级用户权限，通过超级权限，能够对系统中的文件进行随意地操作，同时删除其入侵的信息并对系统进行篡改。

非法用户或黑客在锁定目标并进行攻击时，能够在文件中获取到一系列的主机列表以及黑客或非法用户的一系列的域名列表，通过域名列表能够得到主机名、IP地址、计算机类型等信息，有的甚至还能够获取到目标主机的单位信息。这时非法用户或黑客需要伪造一个ID，才能够以合法的身份访问主体。在攻击主机的目标达到后，非法用户一般不会停手，他们会对主机中的其他信息进行攻击，并在主机中安装监听程序，实现进一步攻击的目的。

2 入侵检测技术原理

入侵检测是一种试图通过观察行为、安全日志或审计资料来检测发现针对计算机或网络入侵的技术，这种检测通过手工或专家系统软件对日志或其他网络信息进行分析来完成。从另一个角度来说，入侵检测是对非法用户试图盗取访问主机的权限并入侵系统的过程进行检测，将检测到的信息进行分析，从分析结果中获取自身是否被攻击。入侵检测是一种能够主动去进行安全防护的行为方式，它能够对来自内部的攻击、来自主机外的攻击和内部自身错误操作的行为进行检测和防护的检测方式，并在主机系统被攻击之前进行堵截和防护。入侵检测软件的产生对各单位在网络安全中的管理起到了极大的作用，其具有实时报警的功能，为网络安全防护增加了一层保护网，从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视。

3 入侵检测系统

3.1 入侵检测系统结构

入侵检测系统功能结构如图1所示。

图1 入侵检测系统功能结构

通过图1可知，资料提取模块的功能主要是将相关资料发送给检测系统，这些资料包括主机的日志和网络资源，这些信息以资料源的形式存在，在提取到这些资料后进行审核并进行过滤和格式标准化等相关处理，处理完成后将资料发送给入侵分析模块。

入侵分析是整个系统的核心部分，主要是对提取到的资料进行彻底的分析，从分析结果中提取到攻击因素，根据这些因素生成事件，将事件发送给数据处理模块。入侵分析有许多的分析方式，对于简单的分析方式能够只对事件中的行为进行记录，对于复杂的分析方式能够成为一个专家分析系统。

入侵分析实现了对原文件的整理、组织和分类，通过各种各样的详细分析，从中获取隐含在其中的主机活动轨迹和特征，这些特征和轨迹成为入侵检测系统判定是否有入侵行为的主要依据。可以分为构建分析引擎、执行分析、利用反馈信息优化分析引擎3个阶段：（1）对获取到的资料进行过滤和格式标准化等相关处理后建立一个行为分类模型，建成后把该模型存储在相关文件库中作为检测过程的参考依据；（2）将待检测的数据流预处理为格式化的事件记录，然后利用模式匹配、统计分析和完整性分析等技术，将格式化的事件记录同数据库中的内容相比较，将此事件记录分类为正常或异常，并根据预定的策略产生响应；（3）对入侵特征库中的信息进行更新，这样能够及时地获取到最新攻击信息，在该阶段能够体现出入侵检测系统是一个实时更新的动态变化的系统。

资料提取、入侵分析和数据处理3部分是相互关联在一起的，资料提取能够给入侵分析提供基础的资料信息，然后入侵分析通过这些资料信息进行检测，并将检测的结果发送到数据处理模块中，数据处理在对这些攻击行为进行处理后能够阻止入侵行为的进一步发生。入侵检测技术发展的过程、入侵的方式和技术也在不断地发展，部分黑客能够绕过入侵检测系统对主机进行攻击，因此，入侵检测系统在研究时要将系统的适应性和扩展性充分考虑进去，大大提高检测的效率。

3.2 入侵检测系统组成

检测系统主要部件有代理系统、存储系统、分析系统、响应系统、控制系统。代理系统以各种方法收集信息，包括分析日志、监视用户行为、分析系统调用、分析该主机的网络通信等。存储系统的作用是用来存贮事件产生器捕获的原始资料、分析结果等重要资料。分析系统是对事件发生器捕获的原始信息、其他入侵检测系统提供的可疑信息进行统一分析和处理的系统。响应系统是对确认的入侵行为采取相应措施的子系统。响应包括消极的措施，如给管理员发电子邮件、消息、传呼等。控制系统是整个入侵检测系统的中心，也是 IDS 提供给用户的管理接口，用户通过系统控制台可以对子系统组件、安全通信、报表生成、负载均衡等进行控制和管理。

3.3 影响入侵检测系统检测性能的因素

作为使用者，我们希望入侵检测系统在检测的过程中可以对入侵的行为和正常行为进行明确的鉴别，这需要系统对主机在正常情况下的行为描述方法以及检测的类别进行确定。当检测系统无法对主机正常行为进行一个准确的描述时，这个系统一定会产生许多的误报，这样会给检测结果带来许多非攻击的因素，造成检测结果混乱。因此，对于高效的入侵检测系统应该尽量去降低误报率，但又具有强大的防护功能，对于零误报的入侵检测系统是不存在的，主要原因包括两方面：（1）缺乏共享资料的机制，各单位自身的入侵检测系统都是相互独立的，各系统获取到的攻击信息各不相同，但无法实现信息的共享，无法形成一个信息库，这样就无法捕获到所有的攻击信息；（2）缺乏集中协调的机制，各单位的网络中存在各种类型的主机，这些主机存在的安全问题也各不相同，这样就需要针对各主机被攻击的可能性进行部署入侵检测系统，这些检测系统的检测特征、实现的功能和机制也各不相同，无法进行高效的协调工作。

4 结语

本文对网络入侵进行分析，对入侵检测技术原理和入侵检测系统进行了研究，我国在网络安全防御体系建设中相对比较落后，仍然需要在借鉴国外先进技术的基础上不断创新，研发出符合自身实际需求的网络安全防御体系。

[1]诺斯科特.网络入侵检测分析员手册[M].蒋建春，冯登国，译.北京：人民邮电出版社，2000.

[2]丽贝卡.入侵检测原理[M].邓琦皓，译.北京：人民邮电出版社，2013.

[3]普罗科特.入侵检测实用手册[M].余青霓，译.北京：中国电力出版社，2014.

[4]唐国军，李建华.入侵检测技术[M].北京：清华大学出版社，2014.

Study on the intrusion detection system in network security

Yu Chao
（Shanxi Jincheng Coal Group Communication Branch Company, Jincheng 048000, China）

The most important threat to the network security is the invasion of illegal elements and hackers on the network application system. The traditional method of protection is mainly to prohibit the way of protection, but only through the prohibition of the way to implement the network security system is not enough. With the development of network security technology, the technology of intrusion detection is gradually mature, and the technology is the attack on illegal elements in the case of not complete the gradual interception,the protective effect is very obvious. In this paper, fi rstly, the network intrusion is analyzed, and then the principle of intrusion detection technology is expounded. Finally, the intrusion detection system is studied.

intrusion detection; network security; computer

于超（1982— ），男，山东烟台，本科，助理工程师；研究方向：网络安全。