网络安全入侵检测阐述

摘要：网络安全问题已经成为当今社会人们最为关注的问题之一，一旦网络受到恶意入侵，很有可能会造成电脑系统瘫痪或储存信息泄露等问题，对人们的工作以及信息安全造成了一定的影响，因此相关人员一直极为重视对网络安全防范技术的研究，并对入侵检测技术进行着不断的优化，本文将对这一技术的概念、工作原理和流程、分类、运用实践以及发展趋势五个方面进行阐述，希望能够为入侵检测技术的运用带来一定的启示。

关键词：网络安全；入侵检测；工作原理；发展趋势

对电脑系统进行破坏操作，以非法获得他人信息资料的行为，就可以视为是入侵行为。目前，网络安全的主要防范技术就是防火墙技术，虽然这种技术具有一定的防范优势，但较为被动，并不能自动对电脑进行检测，而入侵检测技术较为主动，能够对电脑系统进行实时的监控和防护，可以及时发现对电脑进行入侵的操作，并予以制止，既能够阻止外来的恶意侵入，同时还能对用户的操作进行监管，一旦用户出现违规操作就会发出警报，提升了信息资料的安全系数。

1入侵检测技术

入侵，英文为“Intrusion”，是指企图入侵计算机系统，对其可用性、保密性以及完整性进行破坏的一系列操作行为，而入侵检测就是指对企图进行入侵的行为进行检测的一项技术。主要是通过将计算机网络以及计算机系统中的重要结点信息收集起来，并对其进行分析和判断，一旦出现有违规操作或者有恶意攻击的情况，就会立即将这一情况反映到系统管理人员处，对入侵行为进行检测的硬件以及软件被称为入侵检测系统。入侵检测系统在电脑运转时，该系统会进行如下几点操作：（1）对用户和系统的活动进行监视和分析；（2）对系统的构造以及不足之处进行审计；（3）对入侵行动进行识别，将异常的行为进行统计和分析，并上报到后台系统中；（4）对重要系统以及数据文件是否完整进行评估，并会对系统的操作进行跟踪和审计。该系统具有识别出黑客入侵和攻击的惯用方式；对网络的异常通信行为进行监控；对系统漏洞进行识别；对网络安全管理水平进行提升。

2工作原理及流程

2．1工作原理。1）对异常行为进行检测在使用异常检测这项技术时，会假定系统中存在的入侵行为都属于异常，所以想要在系统中建立正常活动专属的文件，就要对非正常的文件的系统状态数量进行全面的统计，进而对入侵行为进行有效的鉴别。比如，电脑程序员的日常正规操作和编辑人员的日常正规操作具有一定的差别，这时就应对工作人员的日常操作进行记录，并设立用户专属的正常活动文件。这样操作之后，即使入侵者盗窃了用户的账号进行操作，也会因为与专属文件中的活动不符而被视为是入侵行为，系统会做出相应的反应。但值得注意的是，入侵行为与非日常行为操作并不相同，通常会存在两种可能：一种是用户自己的异常操作被系统视为是入侵，即“伪肯定”警报真实性不足；另一种是恶意入侵的操作因为与用户的正常操作极为相符，导致系统将入侵行为默认为是正常行为，即“伪否定”，这种错误行为造成的后果较为严重。因此，进行异常检测的重点问题就是要能选择出正确的“阈值”，进而保证两种问题能够得到有效的控制，并能够实际的管理需要系统进行有区域性的重点监视。现在异常检测所使用的方法主要有预测模式生成法、统计法以及神经网络法三种。2）基于相关知识对特征进行检测所谓特征检测，也被称之为Misusedeteciton，能够通过一种模式将假设的入侵人员操作行为表示出来，目的就是为了找出与这些操作行为相符的模式，保护网络系统安全。不过这种检测方式也存在一定的弊端，它只能检测出已经存在的入侵行为，并不能将新型的入侵行为检测出来。对入侵行为的判断只能基于电脑系统中已经建立的模式之上，而特征检测系统目前的关键问题就是对攻击模式能够涉及和实际攻击有所关联的全部要素的确定问题以及对入侵活动进行特征匹配的问题。就理论层面而言，想要使检测系统能够将入侵的活动完全检测出啦，就必须要确保能够运用数学语言将所有的入侵行为全面描述出来，从此可以看出，该检测方式最大的问题就是独立性不足，不仅系统的移植性较差，维护工作的任务量过重，同时还无法将入侵行为变为抽象性的知识，在对已知知识的检测也受到了一定的限制，特别是内部人员如果进行违规操作时，很难将其检测出来。现行使用的违规检测方式主要有神经网络、基本规则以及状态转换分析三种方式。2．2工作流程。在对电脑进行入侵检测时，系统的工作流程主要分为三个步骤：第一步，要对信息进行统计。在进行检测之前，首先就要对网络流量内容以及用户接连活动等方面的信息进行收集和统计；第二步，对信息进行分析。在对需要的信息进行收集和统计之后，相关技术人员就应对这些信息进行分析，目前常用的分析方式为完整性分析、模式匹配以及统计分析三种，模糊匹配与统计分析会在电脑运转过程中对系统进行实时监测，而在事后分析时多使用完整性分析法；最后一步就是对电脑系统的操作进行实时登记和报警，同时对入侵行为进行一定程度的反击处理。入侵检测系统的主要目标就是为了对入侵的行为做出相应的处理，即对入侵行为进行详细的日志记录和实时报警以及进行一定程度的回击入侵源。现在鉴别入侵活动的技术方式有基本活动、用户特征以及入侵者特征三种。

3入侵检测系统分类

按照检测数据的来源，入侵检测系统可以分为主机方面的检测系统以及网络方面的检测系统两种，下面我们来分别了解一下：3．1主机方面的检测系统。这种检测系统的数据源是由系统日志以及应用程序日志等组成的，同时也可以使用像监督系统调用等方式对主机的信息进行分析和收集。在对主机进行检测时，一般会在主要检测的主机上安装入侵检测系统，这样能够对检测对象的系统审计日志和网络连接情况主动进行科学的分析和评定。当出现与特征或统计规律不同的操作时，还系统就会将其视为是入侵行为，并会自动进行相应的处理。如果主机设定的文件发生变化，在主机检测系统就会对新操作与记录的入侵行为进行对比，如果对比度较高，检测系统就会将对这一操作进行报警，并自动进行相应的处理。3．2网络方面的检测系统。在网络系统的基础上进行检测时，系统的数据源则是由原始网络包组成的。检测系统此时会在运转系统的随机模式中任意选择一个网络适配器来对网络中的通信业务实施全面的监视与分析。当该系统检测到有入侵的行为时，系统就会进行一系列的反应，不同的检测系统做出的反应也会不同，但主要措施基本相同，像通知以及反击等等。

4入侵检测系统的运用实践

4．1贝叶斯聚类。以贝叶斯聚类为基础对入侵行为进行检测的方法，是对电脑的数据进行分析，并从中找出不同的数据集合，从而将异常用户区分出来。在二十世纪九十年代，相关学者研发出了自动分类程序，属于无监督的数据分类技术，这种技术的研发成功为贝叶斯统计技术运用的实施奠定了良好地基础。这种检测的方式具有两方面的优势：一方面，以提供的数据为依据，这种检测方式能够自动对类型数目进行断定；另一方面，对于聚类准确、相似测量以及停顿规则，并没有过多的要求。一般检测的技术基本都是以监督分类的形式为主，是通过对用户行为的检测设定出用户的常规操作的范围，但贝叶斯的分类与其有所不同，能够将分类数以及具有相似操作用户自然分成一类，较为理想化。不够由于这种检测方式的使用时间较短，还没有在入侵检测系统中进行实验，所以一些细节方面的问题，像自动分类程度的处理以及审计跟踪等方面的具体操作没有明确，导致在使用时无法将这一优势无法充分发挥出来。4．2模式匹配。在入侵检测中，模式匹配这一方式最为简单、传统。在使用这种检测方式时，首先要在系统中设置入侵特征库，之后，检测系统会对收集的数据进行检测，一旦数据与库中的入侵特征不符时，检测系统就会自动将其视为是入侵行为。虽然这种检测方式具有计算简便以及准确率较高等优势，但也存在一定的缺点，这种检测方式只能对库中的入侵形式进行检测，一旦入侵者对操作进行修改，检测系统就很难将其识别出来。相关人员虽然也会对库内特征不断进行更新，但由于网络发展速度过快的特性，更新的速度相对较难，直接增加了检测的难度。4．3特征选择。特征选择的检测方式是挑选出检测性能较好度量构成子集，并以此作为主要的检测手段对已经检测出的入侵行为进行预测、分类。这种检测方式的不足之处在于无法对用户的异常活动以及恶意入侵行为作出准备的判定，而且这种进行断定的过程也较为复杂，在对度量子集进行选择时，主要的参考依据就是入侵类别，且一个度量子集并不能对所有的入侵行为进行检测，如果仅使用一种子集，很有可能会出现检测遗漏的现象，从而使网络安全受到威胁。最佳的子集检测入侵方式就是能够自动进行子集的选择，从而实现对入侵行为的全面检测。该行业的学者提出了利用遗传方式来对所有的子集进行搜寻，并自动找出适合的子集对操作行为进行检测，这种方法主要是运用了学习分离器的方式形成了基因突变算子以及遗传交叉算子，将测量性能较低的子集筛除之后，使用遗传算子生成的子集再次进行测量，并将这样的测量方式和测量性能较高的子集有机结合在一起，检测的效果会更加明显、高效。4．4神经网络。由于神经网络的检测方式具有较强的自学习、自适应以及自组织能力的优势，因此多在环境信息以及背景知识较为不利的环境中使用。使用这种检测对入侵行为进行检测，能够将未知的入侵行为检测出来。数据信息预处理功能会将审计日志以及网络访问行为等信息进行处理，获得输入向量，之后神经网络会对向量展开分析，进而得到用户常规的操作方式，并进行记录，以此判断出操作与之不符的入侵活动。

5入侵检测系统的发展趋势

随着人们对于网络安全重视的程度越来越高，入侵检测技术水平也得到了显著的提升，已经开始朝向更加智能化、自动化的方向发展，尤其是以孤立点挖掘为基础的检测技术更是今后入侵检测系统的主要发展趋势。所谓孤立点挖掘就是指对大量的信息数据进行筛选，找出其中与常规数据有着明显不同的，且较为小众、较为新颖的数据检测方式。使用这种方式能够将大规模数据中的异常数据挖掘出来，从而有效避免因这些数据的异常而带来的负面影响。虽然入侵的手段也在不断进行着变化，但就整体的网络行为而言，入侵行为还是会产生小部分的异常数据，而使用这一技术能够准确找出这些数据，并对其进行适当的处理，可以更好地将入侵行为的本质呈现出来，所以在今后进行入侵行为检测时，可以使用这种技术将入侵检测转变为孤立点数据发掘行为。与其他的入侵检测技术相比，孤立点挖掘检测技术并不需要进行训练，可以直接进行使用，有效避免了因训练模式不完善而造成的检测遗漏等情况。就实践消耗的角度而言，是以进行距离对比为主的，虽然相对于其他入侵检测的方式，这种方式的检测需要大量的时间和空间，但其算法性能较高，对于入侵的阻击效率也较为理想，值得进行大面积推广。

6结束语

由于现在网络病毒以及黑客等恶意入侵手段越来越复杂，对网络的安全使用造成了极大的影响，为了应对这一问题相关技术人员必须要加强对安全防范技术的研发，尤其是要对入侵检测技术进行强化，不断优化检测技术水平，保证电脑系统能够有效检测出非法入侵行为，并自动对其进行一系列的反击，从而确保网络信息的安全。通过本文对入侵检测技术的运用以及相关问题的介绍使我们认识到现在使用的检测技术多少还存在一定的问题，需要技术人员对其不断进行研发和改进，为人们带来更加安全、快捷的网络使用环境。

作者:孔政 单位:长江水利委员会人才资源开发中心

参考文献：

［1］蒋建春，马恒太，任党恩，卿斯汉．网络安全入侵检测：研究综述［J］．软件学报，2000（11）．

［2］王艳华，马志强，臧露．入侵检测技术在网络安全中的应用与研究［J］．信息技术，2009（6）．

［3］姚玉献．网络安全与入侵检测［J］．计算机安全，2007（5）．

［4］周碧英．入侵检测技术及网络安全的探讨［J］．电脑知识与技术（学术交流），2007（23）．

［5］付卫红．计算机网络安全入侵检测技术的研究［J］．科技信息，2010（3）．

［6］王艳．网络安全与入侵检测技术［J］．和田师范专科学校学报，2008（3）．

［7］李阳，刘广，杜为民．入侵检测系统在网络安全中面临的挑战及对策［J］．网络安全技术与应用，2005（11）．