網(wǎng)絡(luò)安全入侵檢測系統(tǒng)設(shè)計思路

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡(luò)安全入侵檢測系統(tǒng)設(shè)計思路范文，希望能給你帶來靈感和參考，敬請閱讀。

【摘要】隨著計算機病毒、黑客入侵等網(wǎng)絡(luò)信息安全事件發(fā)生頻率的逐漸增高，人們越來越意識到網(wǎng)絡(luò)安全的重要性。網(wǎng)絡(luò)安全已成為當前計算機網(wǎng)絡(luò)領(lǐng)域所面臨的一個最為主要的問題。入侵檢測系統(tǒng)作為時下IT領(lǐng)域內(nèi)網(wǎng)絡(luò)信息安全的一門新型熱門技術(shù)，在保障網(wǎng)絡(luò)安全方面占有舉足輕重的地位。本文主要介紹了入侵檢測有關(guān)內(nèi)容，入侵檢測的主要方法，以及基于計算機網(wǎng)絡(luò)安全入侵檢測系統(tǒng)的設(shè)計。

【關(guān)鍵詞】計算機網(wǎng)絡(luò)；安全；入侵檢測系統(tǒng)；研究；設(shè)計

前言

計算機網(wǎng)絡(luò)在人們生活中的滲透，不僅改變了人類具體的生活方式，更重要的是改變了人類獲取信息的方式。它的出現(xiàn)在給人們帶來巨大方便的同時，也給人們的信息安全帶來了諸多隱患和威脅。一旦計算機網(wǎng)絡(luò)發(fā)生安全問題，勢必會造成信息泄露，給人們帶來不同程度的經(jīng)濟損失，尤其是企業(yè)內(nèi)部重要的信息，且情況嚴重時將很可能導致整個計算機系統(tǒng)崩潰。因此，為避免病毒等入侵到計算機網(wǎng)絡(luò)系統(tǒng)中，就必須采取有效的入侵檢測方法，設(shè)計出相應(yīng)的入侵檢測系統(tǒng)。

1入侵檢測相關(guān)概述

所謂入侵，指的是一切試圖對資源的可用性、完整性和機密性等產(chǎn)生危害行為的統(tǒng)稱。它既包括發(fā)起惡意攻擊行為的人（惡意黑客），也包括對計算機網(wǎng)絡(luò)與系統(tǒng)造成危害的各種行為（計算機病毒、木馬等）。而入侵檢測則指對所有入侵行為的識別與診斷。其具體操作是對計算機網(wǎng)絡(luò)等中的若干關(guān)鍵點的數(shù)據(jù)信息進行收集與分析，通過該分析結(jié)果對網(wǎng)絡(luò)中是否存在攻擊對象或違反網(wǎng)絡(luò)安全行為的跡象進行判斷。入侵檢測所使用的軟件與硬件組成了入侵檢測系統(tǒng)。它具有必須對采集的數(shù)據(jù)進行安全分析，并從中得出有用的結(jié)果和采取相應(yīng)的保護措施的功能，比其他網(wǎng)絡(luò)安全工具具有更多的智能[1]。

2入侵檢測的主要方法

2.1異常檢測法

異常檢測法主要用于檢測用戶的異常行為及其對計算機資源的異常使用。使用這種檢測方法需要建立相應(yīng)的目標系統(tǒng)和用戶活動模型，以便通過該模型對系統(tǒng)與用戶的實際行為進行檢測，從而對用戶行為是否對計算機網(wǎng)絡(luò)和系統(tǒng)具有攻擊性進行判斷。它具有良好的適應(yīng)性和檢測未知攻擊模式的能力，但誤報率高、檢測結(jié)果準確性差，使得其應(yīng)用受到了一定限制[2]。此外，必須對計算機網(wǎng)絡(luò)與系統(tǒng)中合法授權(quán)用戶的行為等正常特征進行精確的定義、對非法與合法代碼與數(shù)據(jù)之間的界限進行精確的劃分，是當前異常檢測技術(shù)所面臨的主要技術(shù)難點。

2.2混合檢測法

混合檢測法是對異常檢測法與濫用檢測法兩者優(yōu)點的綜合利用。由于這兩種方法在實際應(yīng)用過程中呈現(xiàn)出一定的互補關(guān)系，因而兩者的有機結(jié)合可以達到取長補短、相互彌補的檢測效果，可以在很大程度上提高整體入侵檢測的性能與效率[3]。

3基于計算機網(wǎng)絡(luò)安全入侵檢測系統(tǒng)的設(shè)計

3.1網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計

將網(wǎng)絡(luò)入侵檢測系統(tǒng)裝在被保護的計算機網(wǎng)絡(luò)中，將原始網(wǎng)絡(luò)報文作為數(shù)據(jù)源對入侵對象進行分析。在網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計當中，對于所有通過網(wǎng)絡(luò)傳輸數(shù)據(jù)的實時監(jiān)控與分析通常采用一個網(wǎng)絡(luò)適配器即可；對于數(shù)據(jù)采集模塊的設(shè)計，需要配備有過濾器、探測器、網(wǎng)絡(luò)接口引擎等元器件。數(shù)據(jù)采集模塊主要實現(xiàn)的功能是，按照一定網(wǎng)絡(luò)協(xié)議從網(wǎng)絡(luò)上獲取與入侵事件有關(guān)的全部數(shù)據(jù)信息，獲取后將其傳送至入侵檢測系統(tǒng)分析引擎模塊，對其安全性進行詳細全面的分析，以判斷其是否存在攻擊性。入侵分析引擎模塊的主要功能是，結(jié)合計算機網(wǎng)絡(luò)安全數(shù)據(jù)庫，對從數(shù)據(jù)采集模塊傳送來的數(shù)據(jù)信息進行安全分析，并將分析結(jié)果傳送至配置與管理模塊。配置與管理模塊實現(xiàn)的主要功能是，對其他功能模塊的配置工作進行管理，并將從入侵分析引擎模塊傳送來的安全分析結(jié)果以有效的方式向網(wǎng)絡(luò)管理員告知，從而為網(wǎng)絡(luò)管理員及時做出入侵應(yīng)對措施提供依據(jù)和支持。當網(wǎng)絡(luò)入侵系統(tǒng)檢測到攻擊時，相應(yīng)的功能模塊會立刻以報警、廣播、中斷連接等方式來對入侵者做出反應(yīng)，向人們發(fā)出提示信息。

3.2主機入侵檢測系統(tǒng)的設(shè)計

主機入侵檢測系統(tǒng)的數(shù)據(jù)源通常包括應(yīng)用程序日志、系統(tǒng)日志等。其入侵檢測功能的實現(xiàn)主要是通過對這些審計記錄文件所記錄的內(nèi)容與攻擊內(nèi)容進行匹配。若不匹配說明該入侵對象不具有攻擊性，若匹配則入侵檢測系統(tǒng)及時向網(wǎng)絡(luò)管理員發(fā)出警報，同時做出相應(yīng)的保護行為。審計數(shù)據(jù)記錄的是系統(tǒng)用戶行為信息，在系統(tǒng)運行過程中必須要保證其不會被修改或泄露。然而當系統(tǒng)遭受攻擊時，這些數(shù)據(jù)很可能發(fā)生修改或泄露，因此主機入侵檢測系統(tǒng)的設(shè)計必須要具備一項功能，即檢測系統(tǒng)在完全被攻擊者控制之前，完成對審計數(shù)據(jù)的分析，并及時發(fā)出警報采取一定防護手段。主機入侵檢測系統(tǒng)具有精確判斷入侵事件、針對不同操作系統(tǒng)的特點準確判斷出計算機網(wǎng)絡(luò)應(yīng)用層的入侵事件等優(yōu)點。

4總結(jié)

總之，在計算機網(wǎng)絡(luò)安全問題的處理過程中，入侵檢測系統(tǒng)的研究與設(shè)計是非常關(guān)鍵的一個環(huán)節(jié)。一個性能良好的入侵檢測系統(tǒng)可以有效彌補防火墻存在的不足，可以為計算機網(wǎng)絡(luò)的安全提供可靠的保障，是現(xiàn)代網(wǎng)絡(luò)安全措施中一種較為有效的防護技術(shù)。雖然，現(xiàn)階段入侵檢測技術(shù)仍處于發(fā)展階段，但隨著社會各界對計算機網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計的越來越高度重視，入侵檢測系統(tǒng)的應(yīng)用范圍和檢測性能必將會上升到一個新的臺階。

參考文獻

[1]唐靜.計算機網(wǎng)絡(luò)安全中入侵檢測系統(tǒng)的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，08：21~22.

[2]庫宇.高速網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究與設(shè)計[D].吉林大學，2008.

[3]鄭關(guān)勝，李含光.基于動態(tài)網(wǎng)絡(luò)安全模型的入侵檢測系統(tǒng)的研究[J].計算機應(yīng)用，2006（S1）：160~161+185.

作者：吳卉男 單位：貴州師范大學數(shù)學與計算機科學學院