计算机网络入侵检测系统的研究

陈晓安

（齐鲁理工学院，山东济南，250200）

0 引言

随着车联网、物联网、人工智能和自动化技术的飞速发展，网络环境迅速改变，网络数据逐步增多，在我国不断推进计算机网络信息化和智能化发展进程的过程中，计算机网络体系在国民经济发展和人们日常生活中的应用已逐步拓宽，计算机系统也从单纯的传统模式下独立主机系统发展成为相互连接、相互影响的复杂的开放式系统。计算机网络技术在不断发展过程中，为社会经济发展和提升日常生活便捷度做出了应有贡献。在此背景下，对计算机网络入侵检测系统的探讨与研究，能够提高计算机网络安全和信息技术处理水平，因此，本文对计算机网络入侵检测系统的探讨和分析，也就具备重要理论意义和现实价值。

1 入侵检测技术原理

在计算机网络正常运行的过程中，计算机网络的一组数据符号呈现出某一特质，而当计算机网络被外在攻击者攻击后，该组数据往往会留下部分痕迹，该类痕迹和计算机网络正常运行时产生的数据混合，计算机网络入侵检测系统则是对该类数据进行检测，在一组数据中找到攻击者攻击行为造成的混合数据，通过观察数据是否有被入侵的痕迹发现计算机是否被入侵。当数据组存在被入侵的痕迹时，报警显示计算机网络体系存在被入侵行为。根据该原理，计算机网络入侵检测系统主要分为数据获取和检测技术两大部分。利用两部分的相互配合查明计算机网络是否被外在攻击者攻击。

通常情况下，计算机网络入侵检测系统检测的数据是计算机网络正常运行时产生的诸多数据对象，而计算机网络入侵检测系统主要研究该组数据中可能反映外在攻击者入侵事件发生和检测技术在分析该类数据时的适用性，以达到高效的检测效果。根据计算机网络入侵检测发生的具体时间，可将其分为实时入侵检测和事后入侵检测两大类，网络入侵检测系统工作原理如图1 所示。

图1 网络入侵检测系统工作原理图

2 入侵检测系统框架模型

计算机网络入侵检测系统利用计算机互联网小组工作中部分安全事件报警的标准格式，在规范计算机网络术语使用的前提下，为计算机网络入侵检测系统输出的安全事故的信息多样性提供更多可能，其整个入侵检测系统框架模型如图2 所示。由图可知，计算机网络入侵检测系统反映了计算机网络入侵检测的功能要求和逻辑关系，而在网络架构实现过程中负责的功能各有不同，往往依赖于计算机网络系统负担任务和所处的工作环境。因此，计算机网络入侵检测系统往往包括传感器、分析器和管理器等独立设备，利用设备中的不同功能完成计算机网络入侵检测过程中的信息收集、数据分析和事件响应三大步骤。

图2 入侵检测系统框架模型

3 入侵检测系统结构

3.1 基于主机入侵检测系统

计算机网络入侵检测系统中，基于主机的入侵检测系统主要通过计算机网络系统日志、应用程序日志等记录文件的数据语言，通过比较该类记录文件的记录信息与外在攻击者发生攻击行为后呈现的痕迹，直接探究两者之间的匹配性，当两者之间匹配程度较高时，基于主机的计算机网络入侵检测系统向计算机系统管理员发出入侵报警信号并采取相应防护措施。此时，基于主机的计算机网络入侵检测系统能够更精确地判断计算机网络入侵时间，并对入侵事件作出立即反映。同时，该入侵检测系统还可针对计算机网络不同操作系统特点，判别计算机应用层的入侵。在此过程中，由于计算机网络审计数据是通过收集计算机系统用户行为数据而对比审查的检测方法，因此，必须保证计算机网络系统的审计数据不被修改。但当计算机网络遭到外在攻击时，该类审计数据很可能被修改，也就要求基于主机的入侵检测系统必须满足时效性要求，必须能在外在攻击完全控制计算机系统并更改计算机审计数据前，完成对计算机审计数据的分析、报警。

3.2 基于网络入侵检测系统

计算机网络入侵检测系统中，基于网络的入侵检测系统放置于计算机网络层，使用计算机原始网络报表文件为数据源对外在攻击者攻击行为痕迹进行分析。通常情况下，利用计算机网络适配器实现对计算机入侵检测系统的实时监控和实时分析，通过计算机网络体系的数据传输功能，当适配器监测到计算机网络存在外在攻击者攻击行为时，计算机网络入侵检测系统相应模块通过数据传输、报警以及连接中断等方式，对外在攻击者攻击行为作出反应。此时计算机网络系统中的数据采集模块则按照相应规则从计算机网络层获取与安全事件相关的数据包，将其传递给基于网络的入侵检测系统进行深入分析，并进一步将分析结果传送给计算机管理层和资源配置模块，根据分析结果以更有效的方式通知计算机网络管理员，从而采取有效防护措施。

3.3 基于主机检测的分布式入侵检测系统

计算机网络入侵检测系统中，基于主机检测的分布式入侵检测系统主要分为主机探测器和入侵管理控制器两大部分。基于主机检测的分布式入侵检测系统，能够有效保护计算机网络的关键服务器和其他具备敏感信息的系统元件，利用主机的系统资源调节功能和调用功能，判断计算机主机系统是否遵循安全运行规则。在计算机实际运行过程中，主机探测器大多利用安全代理模式直接安装于被保护的主机系统上，通过防火墙和网络编辑开孔等方式，对计算机系统管理控制台进行远程实时监管。该类集中式的控制方式，能够有效对计算机网络系统进行状态监控、状态管理和检测模块的软件更新与控制，大幅度提高基于主机监测的分布式入侵检测系统的安全性和可行性。

3.4 基于网络检测的分布式入侵检测系统

计算机网络入侵检测系统中，基于网络检测的分布式入侵检测系统有效弥补了基于主机检测的分布式入侵检测系统只能保障计算机主机安全性的弊端，能对其他附加攻击方法进行高效管理和检测。基于网络检测的分布式入侵检测系统主要分为网络探测器和管理控制器，利用网络探测器在计算机网络区域收集数据信息，利用异常对比和误用两种方式对收集到的数据信息进行深度分析，当发现计算机网络信息存在攻击或异常网络行为时，立即向计算机管理控制器发送警报信息。

4 网络入侵检测系统的多模式匹配算法

4.1 算法分析

目前，计算机网络入侵检测系统中对模式匹配算法的分析主要集中于字符串模式匹配算法的研究和探讨。不论是在语言翻译、拼写检查中，还是在数字检查或搜索引擎中，字符串模式匹配都是其重要研究内容。在计算机网络入侵检测系统中，对数据包的捕获、预处理以及对攻击检测痕迹的对比分析，都依赖于字符串模式的确定和实现。也就是说，计算机网络入侵检测技术，在一定程度上可看作对计算机网络数据包这一重要数据源的对比和分析，能通过对计算机网络数据包中外在攻击行为的入侵检测方式，判别计算机网络体系是否存在被攻击行为。在计算机网络入侵检测系统中，在使用模式匹配算法时，需解决数据包提取质量提升、模式匹配或模式删除、模式增量匹配以及完全匹配等问题。

4.2 改进的多模式匹配算法

在计算机网络入侵检测系统模式匹配算法应用过程中，模式匹配算法的滑动机理与函数往往具备较大局限性，且存在计算机网络体系中的指针回溯问题。基于此提出了改进的多模式匹配算法，解决计算机网络入侵检测过程中存在的诸多问题。该算法主要利用计算机网络模式串中某字符与与文本串中的字符匹配失败时，匹配失败的字符是否出现于模式串中为考虑标准，当匹配失败的字符出现在模式串中时，根据多模式匹配算法向后滑过一段时间和一段距离。当匹配失败的字符不出现于模式串中时，则需对待匹配的字符串中的下个字符进行模式串的匹配，以此实现计算机网络入侵检测系统中滑动函数的创建，有效简化计算机网络入侵检测系统判断过程，使计算机网络检测匹配效率得到进一步提高。

5 结语

计算机网络入侵检测系统作为计算机典型的数据处理系统，通过对大量数据信息的对比分析，判断计算机网络是否受到外在攻击者的攻击。在具体的计算机网络入侵检测中，利用计算机网络系统主体行为以及各安全事件的分类系统，判别计算机系统是否存在恶意攻击行为并对存在问题进行解决。