计算机网络入侵检测

计算机网络入侵检测（共12篇）

计算机网络入侵检测 篇1

一、引言

随着计算机技术的深入发展, 互联网络已经成为重要的信息传播方式[1]。数据信息高度共享的同时, 网络入侵手段技术也越来越复杂, 计算机信息被破坏, 数据被篡改[2]。为了防御网络入侵, 对计算机检测系统系统提出了更高要求。

计算机网络入侵检测系统是一种智能的数据分析技术, 通过从大量的网络数据挖掘中找到入侵数据, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象, 对入侵数据特征进行维度简化, 基于异常离散点进行检测[3]。传统的计算机网络入侵检测手段误报率高, 系统检测时间较长, 易造成检测系统的死循环。

针对上述问题的产生, 设计并实现了基于神经网络入侵检测系统的设计, 仿真实验表明, 改进的入侵检测系统具有较高容错能力, 检测率高, 为计算机网络提供了保障。

二、入侵检测概述

2.1入侵检测的过程与基本原理:

网络入侵是指网络传输的数据信息在没有经过网络授权情况下进行传输的过程, 该过程对计算机网络存在较大隐患危及系统安全。网络入侵检测的过程主要是针对网络中数据信息的分析、处理的过程, 根据提前制定的网络安全策略和检测方法对网络数据进行最基本的响应, 其过程如图1所示。

2.2网络入侵检测方法描述

在计算机网络中存在输入和输出数据信息, 将输入信息多个单元关联取其权值。从网络数据的大量数据中提取入侵行为特征, 对数据处理检测过程进行记录。以入侵数据检测采用的中心点进行分析, 将入侵行为的攻击方法和计算机制进行处理。

网络数据入侵行为检测根据其中数据挖掘的分析与处理方式进行, 分为误用检测模型和异常数据检测模型。

在进行入侵数据分类处理过程中, 需要建立类别标签, 通过对分类算法进行建模学习, 对该类数据信息进行预测, 用以判断网络数据是否具有入侵行为。在入侵检测过程中, 通常是先运用制定的检测规则进行网络数据大量分析找到其关联性, 将关联性用于检测分析入侵行为, 建立关联规则的分析模型。建立模型后, 对采集到的大量网络数据信息进行降噪处理, 简化数据信息。

2.3入侵检测的特征降维

计算机网络入侵检测的过程, 是将待检测的网络数据信息进行分类, 标记为正常和入侵两种行为。入侵数据信息行为主要取决于数据的规模和算法。

入侵数据特征降维主要是为也简化入侵数据表征, 通过简单的方式将多余的数据信息进行剔除。降维后的数据能够获得更好的检测效果。是因为降维数据可将不必要或不重要的数据信息进行有效删除, 避免运算复杂性, 另一方面降维后数据涉及的数据特征更加简洁, 易于分析建模。还可降低数据运算时间和维度复杂性, 提高检测效率。

三、基于神经网络入侵检测系统

在对计算机网络入侵数据完成聚类阶段后, 可以得到网络数据集合, 各集合间相似程度系数在神经检测入侵行为过程中十分重要, 对入侵数据检测结果影响较大。在NIDBGC算法中, 设置固定预设值能够确保在检测过程中聚类有较好的集合效果。

在计算机网络中引入遗传算法进行入侵数据检测是自适应全局优化概率算法。是利用编码与解码来实现网络空间与解间映射, 通过交叉变异和选择对检测数据进行优化。

四、结论

针对传统的入侵检测系统存在的问题, 提出并实现了基于神经网络入侵检测系统的设计, 仿真实验结果表明, 提出的计算机网络入侵检测系统设计具有较高容错能力, 检测率高, 为计算机网络提供了保障。

参考文献

[1]Zainal A, Maaror M.A, Shamsuddin S.M.Ensemble Classifiers for Network Intrusion Detection System[J].J Inf Secur 4:217-225.2009.

[2]杨雅辉, 姜电波, 沈晴霓, 等.基于改进的GHSo M的入侵检测研究[J].通讯学报, 2011, 32 (1) :121-126.

[3]张新有, 曾华榮, 贾磊.入侵检测数据集KDD Cup 99研究[J].计算机工程与设计, 2012, 31 (22) :4809-4812.

计算机网络入侵检测 篇2

（1）对网络上信息的监听

（2）对用户身份的仿冒

（3）对网络上信息的篡改

（4）对发出的信息予以否认

（5）对信息进行重发

对于一般的常用入侵方法主要有

1.口令入侵

所谓口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多 已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传，使得入侵电脑网络系统有时变得相当简单，一般不需要很深入了解系统的内部结构，是初学者的好方法。

2.特洛伊木马术

说到特洛伊木马，只要知道这个故事的人就不难理解，它最典型的做法可能就是把一个能帮助 完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已被该变，

一旦用户触发该程序，那么依附在内的 指令代码同时被激活，这些代码往往能完成 指定的任务。由于这种入侵法需要 有很好的编程经验，且要更改代码、要一定的权限，所以较难掌握。但正因为它的复杂性，一般的系统管理员很难发现。

3.监听法

这是一个很实用但风险也很大的 入侵方法，但还是有很多入侵系统的 采用此类方法，正所谓艺高人胆大。

网络节点或工作站之间的交流是通过信息流的转送得以实现，而当在一个没有集线器的网络中，数据的传输并没有指明特定的方向，这时每一个网络节点或工作站都是一个接口。这就好比某一节点说：“嗨！你们中有谁是我要发信息的工作站。”

此时，所有的系统接口都收到了这个信息，一旦某个工作站说：“嗨！那是我，请把数据传过来。”联接就马上完成。

有一种叫sniffer的软件，它可以截获口令，可以截获秘密的信息，可以用来攻击相邻的网络。

4.E-mail技术

5.病毒技术

浅谈网络入侵检测系统 篇3

【关键词】网络安全；入侵检测系统

Abstract：with the rapid development of computer technology and Internet，network in bring convenience to our daily life at the same time，its security problem also appears very important.In this paper，the definition of intrusion detection system，the system classification and the future development trend has made the simple elaboration.

Key words：network security；Intrusion detection system

一、前言

计算机网络的出现改变了人们传统的生活方式，同时也改变着社会的发展规模和速度。可以说网络已经深入到我们日常生活的各个方面。网络的安全是伴随着网络一同产生的，传统的杀毒软件和防火墙技术已经不能完全满足网络安全的需要，网络入侵检测技术作为一种积极主动的新的安全手段已显得十分重要。

二、入侵检测系统的定义

入侵检测是对入侵者行为的检测，入侵检测系统是为保障计算机系统的安全而设计的，它通过收集和分析网络行为、安全日志、等其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的和被攻击的迹象，它对系统中未授权用户的攻击、外部攻击和异常现象的操作有实时的保护作用，能在网络系统受到危害之前进行检测和拦截。在不影响网络性能的情况下能对网络时行监测，入侵检测是防火墙的合理补充，帮助系统对付网络攻击。扩展了系统管理员的安全管理能力。

三、入侵检测系统的分类

1.按照分析方法分

（1）异常检测：该检测方法是总结正常操作所具有的特征并用定量的方法加以描述，当用户的活动与正常行为有很大的偏差时就认为是入侵。该方法的优点是不需要保存各种攻击特征的数据库，随着统计数据的增加，其检测的准确性也增高，由于用户的行为不容易在范围内，当出错的概率比较大时，它只能说明系统有可能发生了异常的情况，不一定是受到了攻击，这给管理带来了很大的困难。

（2）误用检测：该检测方法是收集整理非正常操作的行为特征，并建立特征库，当检测的系统行为与库中的记录相匹配时，就认为是入侵。

2.按照数据来源分

（1）基于主机的入侵检测系统

系统的数据主要来自操作系统跟踪日志、审计记录和主动与主机系统进行交互而获得不存在于系统日志中的信息。它通过监视系统运行情况来检测入侵。这种类型的检测系统不需要额外的硬件。对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但能检测到的攻击类型有限，且占用主机资源，依赖于主机的可靠住，不能检测网络攻击。

（2）基于网络的入侵检系统

网络入侵检测系统的数据来源为原始的网络分组数据包。它通过在计算机网络中的某些点被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。它的优势在于它的实时性，当检测到攻击时，就能很快做出反应。另外它可以通过在一个点上监测整个网络中的数据包，并且它在检测网络包时并不依靠操作系统来提供数据。但它的缺点是只能检测经过本网段的数据流，无法了解主机内部的安全情况，而且网络传输的速度快，流量大，从而导致检测的精确度较差，以致于漏检。

3.按照体系结构分

（1）集中式：它只有一个中央入侵检测服务器，多个分布于不同主机上的审计程序把当地收集到的数据发给这个入侵检测服务器，服务器对发来的数据进行分析并处理。它伸缩性强，但是配置性较差。

（2）分布式：它将中央检测服务器的任务分配给多个主机入侵检测系统，负责监视当地主机的一切活动。但是它的维护成本较高，主机的工作负担较重。

4.按照工作方式分

（1）离线检测：是在行为发生后，对产生的数据进行分析，这种检测方式不能及时的保护系统，但是成本低，能对大量的事件做长期的分析。

（2）在线检测：在监测数据产生的同时数据进行分析，这种检测方式能及时保护系统，反应灵敏。

四、入侵检测系统存在的问题及发展趋势

1.存在的问题

（1）误报和漏报率较高：入侵检测系统在分析检测到的数据包时，由于新的攻击没有相应的规则，再加上分析的准确性不够，经过产生误报和漏报的现象。

（2）报警消息较多：有时在没有直接针对入侵检测系统本身的恶意攻击时，入侵检测系统也会发出大量报警。

（3）阻断入侵能力较低：入侵检测的重点工作主要是放在了识别入侵者的行为上，为了能有效的防止内部和外部的攻击玫提高网络的安全，必须提高它的阻断入侵能力。

（4）抗攻击能力较差：入侵检测系统虽然能分析和处理复杂的数据，但抗攻击能力差。

（5）主动防御能力较差：现在网络攻击已经非常频繁，对于放置在防火墙外面的入侵检测系统它只是建立一个完整的信息保护体系，使各种虚假信息和真实信息混于一体，从而达到信息保护的目的。

2.入侵检测技术的发展趋势

（1）改善与提高分析处理技术：入侵检测主要是分析和处理检测到的数据，由于技术原因经常出现误报和漏报的现象，为了防止这种现象，可以将网络数据报文直接传递到系统提前分配的地址空间中，同时将系统内核中存储数据报文的内存映射到检测的应用空间当中，使其可以直接访问内存，减少系统空间的调用。

（2）与传统网络安全技术相结合：传统的网络安全技术有防病毒软件、防火墙等，防火墙是网络的第一道屏障，主要用来禁止可能的攻击信息进入网络，但是防火墙本身也存在着很大的局限性和脆弱性。而入侵檢测系统是一种对网络传输进行即时监视，在发现可疑问题时能发出警报或者采取措施的一种安全设备。是一种积极主动的安全防护技术，由于网络攻击的提升，单一的安全技术已经不能满足我们的需要，在现实应用中，入侵检测一般是作为防火墙的合理补充，帮助系统对付网络的攻击，来提升信息安全的完整性。

（3）入侵管理系统：它是通过一个统一的平台进行统一管理，从系统的层次来解决入侵行为。入侵管理技术是一个过程，在行为未发生前要考虑网络中有什么漏洞，或者面临怎样的入侵危险。不仅要检测出入侵行为，还要主动阻断，终止入侵行为；在入侵行为发生后，还要深层次分析入侵行为，通过分析来判断是否还有下一个攻击的出现。

五、结束语

入侵检测系统能够快速发现网络的攻击行为，扩展了系统管理员的安全管理能力，它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护，但目前入侵检测技术还存在着一定的缺陷，总之，用户要提高计算机网络的安全性，不仅要靠技术的支持，还要依靠自身对计算机网络的维护与管理。

参考文献：

[1]吴晓葵.计算机网络基础[M].北京理工大学出版社，2011，7.

[2]薛静锋.入侵检测技术[M].机械工业出版社，2004.

[3]胡昌振.网络入侵检测原理与技术[M].北京理工大学出版社，2006.

[4]唐正军，李建华.入侵检测技术[M].清华大学出版社，2004.

作者简介：

徐铭洋（1981—），女，河南商丘人，商丘职业技术学院助教，研究方向：计算机技术。

计算机网络入侵检测 篇4

一、免疫机制应用于计算机网络入侵检测的可行性分析

网络入侵行为主要是针对网络中具有重要价值的信息进行的入侵窃取或破坏行为, 大多数网络入侵行为是为了不正当牟利或恶意竞争, 这也是网络犯罪中的一种。为确保网络信息安全, 现阶段常用的方法是建立网络防火墙和利用计算机网络入侵检测系统对网络数据信息进行防护与监控, 当发现系统异常状况时, 及时作出报警反应, 并自动采取相应的防护措施, 对入侵数据进行拦截, 从而防止数据信息受到损害。网络入侵检测系统对免疫机制的应用可以很好地实现对计算机中未知病毒的防御, 而且能够为计算机网络系统提供稳定和安全的运行环境, 这些都是传统防御技术无法做到的。另外, 计算网络系统的免疫机制不单单为网络入侵检测系统提供了坚实的防御能力, 同时在解决计算机病毒入侵问题上也发挥着很大作用。

二、计算机网络入侵检测中免疫机制应用的研究现状

免疫机制在计算机网络入侵检测中的应用是现代计算机安全防护技术发展的产物, 虽然其发展的时间仍相对较短, 但在军事、国防、航空等领域的网络信息安全防护工作中已经发挥了十分重要的作用, 并且在许多安全部门中也受到了高度的重视, 现在该技术在更多领域的应用研究也在不断推进, 相信在不久的将来, 免疫机制能够在更多领域的信息安全防护中产生更加巨大的价值。

目前国际上对于计算机系统的免疫机制研究已经取得了一定的成果, 在计算机免疫系统模型的开发与设计方面也不断趋于成熟, 同时对于免疫系统的功能性也进行了相应的扩展, 使之能够更好地实现自动对入侵行为及网络病毒作出反应, 对病毒进行清除, 并能够一定程度上实现对计算机系统感染后的有效恢复。我国在计算机网络入侵检测免疫机制的研究方面起步较晚, 研究发展也相对较为滞后, 但目前为止也取得了一定的研究成果, 目前为止, 我国已有多所大学成功开发出了可行的计算机网络入侵检测免疫系统, 随着更多大学这一技术的相关研究项目的开展, 我国的计算机免疫系统的研究也将逐步走向成熟。

三、计算机网络入侵检测对免疫机制的应用

(一) 免疫机制产生的背景。现代社会中计算机网络的应用十分普遍, 网络技术的发展也逐渐改变了人们生产生活的方式, 如电子商务的发展、信息化管理的普及、网络通讯技术的不断革新等, 在许多重要的领域中, 计算机网络也发挥着十分重要的作用, 如国防、军事等领域, 在这些领域中, 网络信息往往具有着重要的价值, 甚至关系到国家的安全, 因此, 也成为了一些敌对势力攻击的目标。计算机网络技术的不断发展, 也使针对网络信息的病毒攻击手段不断翻新, 病毒种类繁杂多样, 入侵方式也越来越难以捉摸, 对于网络病毒的预测与防治难度也不断加大, 传统的计算机网络入侵检测技术已经不满足现阶段网络安全防护的需求, 基于此, 有效的免疫机制的开发与应用呈现出了极大的必要性。

(二) 免疫机制的产生原理。计算机系统免疫机制的原理和大自然的生物免疫系统是一样的, 其产生的灵感来源于人们对多年生物免疫系统的探讨和研究。一是人们通过对生物免疫机制对微生物的辨别模式发现了计算机病毒的存在, 我们知道免疫系统对外界都有一定的排斥性, 对不属于自己体内的细胞都有很强的免疫作用, 而计算机网络的完全系统就是依据自然免疫系统的原理来进行研究的。计算机软件一直都具有多样化的特点, 而且功能繁多、杂乱, 比较缺乏安全性, 这样用户在计算机上运行软件时很容易在不自知的情况下被计算机病毒感染;二是现在社会上大量的盗版软件横行市场, 这样就为计算机病毒的入侵创造了更有利的条件, 计算机免疫系统的开发正是将计算机病毒作为异类的细胞, 通过模拟系统本身对外界细胞的排斥性, 实现入侵检测与防治的目的。

(三) 免疫机制的功能目标。计算机网络技术发展时间相较于其他领域的技术仍较为短暂, 虽然目前的计算机网络技术已经达到了相当先进的水平, 但总体来看还很不成熟, 在网络技术体系中仍存在着诸多的漏洞, 这也使许多应用技术存在着缺陷。这些缺陷的存在也给计算机病毒的入侵以及其它一系列非法网络入侵行为提供了可乘之机, 加之黑客技术的不断发展, 网络入侵手段的不断翻新, 计算机网络数据信息的安全始终面临着威胁与挑战。免疫机制开发的功能目标, 从根本上说, 就是通过计算机免疫系统的应用, 对计算机网络系统完全技术进行不断的完善, 增强计算机网络系统对网络入侵的抵御能力, 提高系统的整体安全性与可靠性, 将入侵病毒完全屏蔽于系统之外, 不给病毒可乘之机, 从而充分保障计算机系统数据信息的安全。

(四) 免疫机制功能的完善。计算机网络入侵检测系统对免疫机制的应用, 是提高计算机网络安全防护能力的重要途径, 但由于计算机系统免疫机制的应用技术仍不够成熟, 要想充分实现计算机网络入侵检测系统安全保障的功能, 还要对免疫机制功能进行进一步的完善。当前免疫机制的应用中存在的主要问题有:误报率较高, 异常情况预警后的自动防御与病毒处理功能仍不够完善, 在一定程度上影响着系统安全防护的有效性。因此, 还要通过对免疫机制的深入研究, 进行不断完善, 并通过计算机网络入侵检测系统的不断改进, 使之与免疫机制更加契合, 从而有效降低误报率, 提高系统自动防护与病毒处理能力。

(五) 免疫机制未来的发展趋势。由于计算机系统免疫机制的研发灵感来源于对自然界的生物免疫机制的研究成果, 因此, 在未来的计算机系统免疫机制的开发过程中, 可以考虑模拟生物基因技术的研究方向, 对网络数据信息进行数据基因的编组, 形成网络数据信息的基因序列, 以此为基础, 形成相应的数据基因库, 通过对网络数据的基因序列的比对, 确定数据的安全级别, 对于基因序列不匹配的数据病毒, 进行屏蔽或自动清除处理, 从而提高免疫机制的安全性能。此外, 还可以通过现代智能技术的引用, 并结合计算机丰富的数据算法, 将现有的人工免疫机制融入其它智能技术中, 研究出更先进的计算机网络入侵检测系统。

四、结语

计算机网络入侵对免疫机制的应用是现代网络安全防护技术发展的一个重要方向, 通过对生物免疫机制的模拟, 可以有效提升计算机网络入侵检测系统的可靠性, 虽然免疫机制的应用技术仍不够完善, 但随着研究的不断深入, 以及网络安全防护技术的不断发展, 计算机系统免疫机制将不断得到完善, 并将在未来的网络安全防护领域发挥出更加强大的作用。

参考文献

[1]高小虎.计算机网络入侵检测中免疫机制的应用分析[J].计算机光盘软件与应用, 2015

[2]刘欢笑.免疫机制在计算机网络入侵检测中的应用研究[J].电脑知识与技术, 2014

正确区分网络及主机入侵检测系统 篇5

先来回顾一下IDS的定义：所谓入侵检测，就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象，并对此做出适当反应的过程。而入侵检测系统则是实现这些功能的系统。

这个定义是ICSA入侵检测系统论坛给出的。不难看出，IDS应该是包含了收集信息、分析信息、给出结论、做出反应四个过程。在IDS发展初期，想要全部实现这些功能在技术上是很难办到的，所以大家都从不同的出发点，开发了不同的IDS。

一般情况下，我们都按照“审计来源”将IDS分成基于网络的NIDS和基于主机的HIDS，这也是目前应用最普遍的两种IDS，尤以NIDS应用最为广泛。大部分IDS都采用“信息收集系统-分析控制系统”结构，即由安装在被监控信息源的探头(或代理)来收集相关的信息，然后按照一定方式传输给分析机，经过对相关信息的分析，按照事先设定的规则、策略等给出反应。

核心技术有差别

HIDS将探头(代理)安装在受保护系统中，它要求与操作系统内核和服务紧密捆绑在一起，监控各种系统事件，如对内核或API的调用，以此来防御攻击并对这些事件进行日志;还可以监测特定的系统文件和可执行文件调用，以及Windows NT下的安全记录和Unix环境下的系统记录。对于特别设定的关键文件和文件夹也可以进行适时轮询的监控。HIDS能对检测的入侵行为、事件给予积极的反应，比如断开连接、封掉用户账号、杀死进程、提交警报等等。如果某用户在系统中植入了一个未知的木马病毒，可能所有的杀病毒软件、IDS等等的病毒库、攻击库中都没有记载，但只要这个木马程序开始工作，如提升用户权限、非法修改系统文件、调用被监控文件和文件夹等，就会立即被HIDS的发现，并采取杀死进程、封掉账号，甚至断开网络连接。现在的某些HIDS甚至吸取了部分网管、访问控制等方面的技术，能够很好地与系统，甚至系统上的应用紧密结合。

HIDS技术要求非常高，要求开发HIDS的企业对相关的操作系统非常了解，而且安装在主机上的探头(代理)必须非常可靠，系统占用小，自身安全性要好，否则将会对系统产生负面影响。HIDS关注的是到达主机的各种安全威胁，并不关注网络的安全。

因为HIDS与操作系统紧密相联，美国等发达国家对于HIDS技术都是严格控制的，而独自进行有关HIDS系统的研发，成本非常高，所以国内专业从事HIDS的企业非常少。国内市场上能见到的HIDS产品只有：理工先河的“金海豚”、CA的eTrust(包含类似于HIDS的功能模块)、东方龙马HIDS(纯软件的)、曙光GodEye等屈指可数的几个产品,而且能支持的操作系统也基本上都是Solaris、Linux、Wondows 2000非常少的几个。

NIDS则是以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流，其分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，IDS的响应模块就作出适当的响应，比如报警、切断相关用户的网络连接等。与SCANER收集网络中的漏洞不同，NIDS收集的是网络中的动态流量信息，

因此，攻击特征库数目多少以及数据处理能力，就决定了NIDS识别入侵行为的能力。大部分NIDS的处理能力还是100兆级的，部分NIDS已经达到1000兆级。NIDS设在防火墙后一个流动岗哨，能够适时发觉在网络中的攻击行为，并采取相应的响应措施。

目前市场上最常见的入侵检测系统，绝大多数大都是NIDS，比如东软NetEye、联想网御、上海金诺KIDS、启明星辰天阗、NAI McAfee IntruShied、安氏LinkTrust等等。

HIDS与NIDS虽然基本原理一样，但实现入侵检测的方法、过程和起到的作用都是不相同的，他们区别主要如上表所示。

性能和效能标准不同

在衡量IDS性能和效能的有关标准方面，HIDS和NIDS也有很大的不同。

HIDS由于采取的是对事件和系统调用的监控，衡量它的技术指标非常少，一般用户需要考虑的是，该HIDS能够同时支持的操作系统数、能够同时监控的主机数、探头(代理)对主机系统的资源占用率、可以分析的协议数，另外更需要关注的是分析能力、数据传输方式、主机事件类的数目、响应的方式和速度、自身的抗攻击性、日志能力等等，一般我们采购HIDS需要看的是研发企业的背景、该产品的应用情况和实际的攻击测试。

而NIDS就相对比较简单。NIDS采取的基本上都是模式匹配的形式，所以衡量NIDS的技术指标可以数量化。对于NIDS，我们要考察的是：支持的网络类型、IP碎片重组能力、可以分析的协议数、攻击特征库的数目、特征库的更新频率、日志能力、数据处理能力、自身抗攻击性等等。尤其要关注的是数据处理能力，一般的企业100兆级的足以应付;还有攻击特征库和更新频率，国内市场常见的NIDS的攻击特征数大概都在1200个以上，更新也基本上都是每月，甚至每周更新。采购NIDS需要注意的是漏报和误报，这是NIDS应用的大敌，也会因各开发企业的技术不同有所不同，所以，在采购时最好要做实际的洪水攻击测试。

HIDS和NIDS这两个系统在很大程度上是互补的，许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统。实际上，许多用户在使用IDS时都配置了基于网络的入侵检测，但不能保证检测并能防止所有的攻击，特别是一些加密包的攻击，而网络中的DNS、Email和Web服务器经常是攻击的目标，但是，它们又必须与外部网络交互，不可能对其进行全部屏蔽，所以，应当在各个服务器上安装基于主机的入侵检测系统。因此，即便是小规模的网络结构，也常常需要基于主机和基于网络的两种入侵检测能力。

应用领域分化明显

在应用领域上，HIDS和NIDS有明显的分化。NIDS的应用行业比较广，现在的电信、银行、金融、电子政务等领域应用得最好。由于我国的主要电信骨干网都部署了NIDS，所以的大规模DoS攻击时，我们的骨干网并没有遭到破坏，而且以此为契机，NIDS迅速地推广到各个应用领域，甚至可以说，“NIDS的应用是沿着防火墙走的”。

计算机网络入侵检测 篇6

【关键词】网络入侵、防御技术、服务器、网关、入侵技术

一、网络入侵简介：

网络入侵是指利用各种计算机技术手段，非法的侵入他人系统，在未经他人允许的前提下，获得访问权限。进行数据的占有，修改甚至破坏。而为了达到这样的目的，通常采用的入侵攻击方式有很多。简单介绍如下：破解口令密码。口令密码是用户为了保护信息安全，设置的口令，破解了口令就拥有了用户的相应权限。破解方式有：暴力数据字典破解、权限占有破解、肉鸽记录密码等多种方式。还可以利用计算机缓冲区的溢出、对计算机开放的端口进行不断的扫描，占用破解。又或者绕过防范从后门进行网络攻击入侵。可以说攻击入侵技术积累至今已经有众多的方式和技术，无法用数字去具体统计。美国的专门机构曾经将它分成了四大类。第一类，用试探扫描的芳芳去宣召漏洞；第二类，通过权限占有进行攻击；第三类，利用木马或者大量访问的攻击方式致使服务无法进行，令服务器瘫痪，第四类，我们常常说的反检测入侵。逃过检测手段获得攻击的机会。

二、网络入侵检测技术

（一）网络入侵检测技术简介：网络入侵检测是通过动态实时的追踪方法，及时对各种入侵做出反应。发现正在发生的危险，从而实现入侵防御或者入侵反攻击的手段。技术多采用在网络和服务器中各个断电设置检测，多路侦聽，一旦有设置好的类似网络入侵的行为被发现，就发出警报。提示入侵及时做出防御措施。根据使用者要求追踪入侵来源甚至反向攻击。

网络入侵检测技术和防火墙技术能够互相辅助。当入侵技术绕过或者通过技术手段越过了防火墙。那么入侵检测技术就发挥了第二层次的保护作用。它在网络环境内不断监听，对事先设置好的各种危险入侵行为进行检测，一旦发现就说明有黑客实现了入侵。这时候它可以切断网络，记录攻击行为，修改日志，及时发出警报等等操作。这种检测虽然在不断运行中，但是它并不会影响网络运行的效率，是新兴的网络安全技术。

（二）网络入侵检测技术的分类方式：

网络入侵检测根据分类方法不同有不同的划分。首先从作用划分，可以划分为检测和防御两大类。检测是指利用实时监听的方式，在黑客的恶性攻击出现时甚至将要出现时，及时的发现。而入侵防御是检测发生后的第二阶段。丢弃掉恶性攻击的文件，切断攻击源。 根据检测的数据来分：分为攻击网络主机、攻击内网、同时攻击网络主机和内网三种不同方式。根据拓扑结构和网络架构来划分可以分为分布式攻击、层次式攻击。

（三）入侵检测的体系结构

网络入侵检测的体系结构通常由三部分组成，分别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包进行监视，找出攻击信息并把相关的数据发送至管理器；Console的主要作用是负责收集代理处的信息，显示出所受攻击的信息，把找出的攻击信息及相关数据发送至管理器；Manager的主要作用则是响应配置攻击警告信息，控制台所发布的命令也由Manager来执行，再把代理所发出的攻击警告发送至控制台。

（四）入侵检测系统的评估

对于入侵检测系统的评估，主要的性能指标有：可靠性，系统具有容错能力和可连续运行；可用性，系统开销要最小，不会严重降低网络系统性能；可测试，通过攻击可以检测系统运行；适应性，对系统来说必须是易于开发的，可添加新的功能，能随时适应系统环境的改变；实时性，系统能尽快地察觉入侵企图以便制止和限制破坏；准确性，检测系统具有较低的误警率和漏警率；安全性，检测系统必须难于被欺骗和能够保护自身安全

三、网络入侵检测方法介绍

异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集，理想状况是异常活动集与入侵性活动集等同，这样，若能检测所有的异常活动，则可检测所有的入侵活动。但是，入侵性活动并不总是与异常活动相符合。。异常入侵要解决的问题是构造异常活动集，并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立。误用入侵检测是通过将预先设定的入侵模式与监控到的入侵发生情况进行模式匹配来检测。它假设能够精确地将入侵攻击按某种方式编码，并可以通过捕获入侵攻击将其重新分析整理，确认该入侵行为是否为基于对同一弱点进行入侵攻击方法的变种，入侵模式说明导致安全事件或误用事件的特征、条件、排列和关系。根据匹配模式的构造和表达方式的不同，形成了不同的误用检测模型。

四、入侵检测技术的不足之处

首先，入侵检测通常式实现内网的监控，所以只会对相同网段进行，不可以跨网段。如果使用硬件设备实现跨越网段检测就会增加系统开支。检测的内容需要进行预先设置，以匹配的方式进行寻找，如果遇到计算量大，或者刚刚出现的新攻击手段，入侵检测就很难发现入侵。虽然成为了防火墙技术的有效补充，但是并不能真正的实现互动。在通过防火墙后，检测技术即使发现，防火墙也无法再次产生防范作用。浪费了防火墙的隔断功能。

参考文献：

[1]刘积芬，非负矩阵分解降维的入侵检测方法[J]，计算机工程与应用，2012（30）.

[2]张雪芹，顾春华，吴吉义，异常检测中支持向量机最优模型选择方法[J]，电子科技大学学报.2011（04）.

[3]梅海彬，龚俭，张明华，基于警报序列聚类的多步攻击模式发现研究[J]，通信学报.2011（05）.

[4]熊伟，胡汉平，王祖喜，杨越，基于突变级数的网络流量异常检测[J]，华中科技大学学报（自然科学版），2011（01）.

[5]张雪芹，顾春华，吴吉义，基于约简支持向量机的快速入侵检测算法[J]，华南理工大学学报（自然科学版），2011（02）.

计算机网络入侵检测 篇7

关键词：网络入侵检测,工作模块,问题,防范

1 引言

2011年上半年, 据国家网络安全检测中心调研报告显示, 网页挂马数量达到3.5亿个, 半年就有13.8亿人次遭受过木马攻击, 平均每日访问挂马网站的网民就达756万余人次。这些数据清晰可见、大型恶意攻击事件历历在目, 如何及时准确发现网络中病毒、蠕虫、木马、垃圾邮件以及黑客攻击, 并及时、有效地处理, 成为广大网络安全人员和研究机构共同探讨的课题。

计算机网络入侵检测系统 (Net Intrusion Detection System, 以下简称NIDS) 是继网络防火墙、数据加密技术后又一项新型的网络安全保障技术, 是对网络防火墙的有效补充, 可以实时检测网络流量, 监控各种网络资源的各种行为, 对违反安全策略的流量及时报警和防护, 实现事前警告、事中防护到事后取证的一体化计算机网络安全防范解决方案。

2 NIDS工作模块

要想使NIDS实现网络事件入侵的事前警告、事中防御、事后取证三个过程, 至少要有四个模块, 分别为:数据采集模块, 入侵分析比对模块, 安全策略定义模块, 入侵事件处理模块。

2.1 数据采集模块

数据信息采集模块是NIDS的基础, 为第二步入侵分析引擎模块提供用于分析的数据。通常采集的信息包括有操作系统的审计日志、应用程序日志、系统生成的校验和数据、系统、网络、数据收发及用户活动的状态、行为和特点。为了防止数据采集中数据的准确性, 应该扩大数据采集范围, 考虑在网络拓扑结构中的不同网段选取多个点进行采集, 通过不同点取得的数据进行比对来提升数据的准确性。

2.2 入侵分析比对模块

对采集到的信息通过智能决策算法与入侵分析系统中已有的入侵信息特征库进行信息模式匹配, 从中找出有违背安全策略规则的行为, 对入侵行为进行报警, 并写入日志。该模块是入侵检测系统中入侵的发现模块, 也是整个NIDS的核心板块。

入侵分析还包括两种常用的分析手段, 分别为完整性分析和统计分析。完整性分析是对NIDS定义对象的改动进行检测, 该方法能够很好的检测来自病毒、木马攻击。

统计分析是对检测对象建立一个参数阈值, 当比对的数据超过阈值者就被认定为是带有入侵行为的事件, 但这种分析方法阈值的取得相当困难。

2.3 安全策略定义模块

安全策略定义模块是NIDS中用户可见的接口模块, 在这里, 网络安全管理人员进行定义对象、服务, 最后再将对象、服务定义相应的策略 (禁止、允许或透明等) 。这些对象和方法可以通过事先预置于NIDS系统中, 也可通过用户自己定义实现。

2.4 入侵处理模块

入侵响应处理模块也可称为NIDS的保护模块, 当入侵发生时, 启动NIDS中的保护策略, 对网络服务进行关闭或中断网络, 再对设备、网络状态进行备份。

3 NIDS设计缺陷引发的常见问题

3.1 NIDS被动防范

NIDS的防范是在发现入侵后才采取的方式, 缺乏主动性, 并且这种阻断防范是建立在TCP协议基础上, 监听TCP数据包, 倘若攻击行为是来自UDP或ICMP, 则NIDS就显得无能为力了。

3.2 入侵漏报或误报率高

由于入侵分析比对模块中的模式匹配、完整性分析和统计分析三种分析方法各有缺陷, 导致NIDS检测的效果不理解, 出现大量的漏报或误报。并且对检测报告的分析需要专业的、有经验的网络安全研究人员才能进行分析。

4 NIDS防范优化策略

为了克服NIDS在设计过程中的缺陷, 需要采用特殊的方法进行策略的优化, 以期达到入侵准确检测并有效阻断的作用。

4.1 NIDS与防火墙联动防御模式

NIDS和防火墙在网络安全防御方面各有优缺点, 联动防御模式就是通过NIDS和防火墙两个设备之间通过IP建立一体系防御系统, 利用他们各自的优势, 并将各自的性能最大的发挥。

NIDS负责主动网络行为的检测, 当它检测到网络中有可能的入侵行为时, 将入侵攻击行为自动发送给防火墙, 防火墙首先通过验证接受的信息是否来自联动防御系统, 确定无误后, 根据联动防御模式下定义的安全规则阻止入侵行为。并将处理阻止结果通过通信端口传回NIDS记录下入侵日志。

4.2 数据挖掘改进NIDS检测算法

对采集来的数据信息按照数据挖掘所需格式统一表达进行预处理, 去除噪音。然后通过K-Means聚类分析, 挖掘出数据特征与数据特征之间的关联规则, 从这些关联中产生频繁序列模式。

根据网络实际情况, 分别采用了轴属性、参考属性、层次宽度近似挖掘及相关支持度等扩展算法。对产生的相似模式进行合并, 以确保模式的概括性。通过分析比较模式, 找出纯攻击模式。通过数据挖掘改进NIDS检测分析模块可以在效的减少漏报、误报, 提高分析检测的正确率。

参考文献

[1]夏炎, 殷慧文.网络入侵检测技术研究[J].沈阳工程学院学报 (自然科学版) .2008, 4 (4) .[1]夏炎, 殷慧文.网络入侵检测技术研究[J].沈阳工程学院学报 (自然科学版) .2008, 4 (4) .

计算机网络入侵检测 篇8

入侵, 从计算机安全角度来看, 是指能够破坏计算机网络系统中的资源和计算机的保密性、完整性、有效性等的行为, 以及违反计算机网络系统的安全策略事件。从入侵策略的角度看, 入侵可分为:企图或成功进入、违反安全策略、冒充其他用户、泄漏合法用户以及恶意使用和独占资源等六大方面。

入侵检测系统就是入侵检测的实现, 它是由计算机网络硬件和软件组合的计算机安全系统。入侵检测系统会对系统进行实时的监控, 获取系统中的网络数据和审计数据, 将得到后的数据再进行分析, 从而判断出系统或网络中是否出现异常或入侵的行为, 一旦发现了异常或入侵行为, 则会发出报警, 采取应对的保护措施。

计算机网络系统中的免疫机制, 是指能克服在传统技术中所存在的缺陷, 能够对未知病毒的攻击进行实时防御, 并且能够对系统环境作出相应变化的机制。

2、为什么要引入免疫机制

计算机中的免疫机制是从生物免疫机制的启发中提出的。计算机中的免疫机制除了具有一般免疫机制的特征, 还具有一些特别的特征, 包括:学习与认知能力、分布性、适应性、多样性与自组织性等。根据这些特征能对计算机网络的入侵检测系统提供更为安全的防御特性, 能够更好的处理计算机网络中的病毒入侵, 保证计算机网络的安全。

3、免疫机制目前的研究状况

目前, 免疫机制在国际上的研究主要集中在国防、军事、安全部门的上, 比较有代表性的有:

3.1 美国新墨西哥大学的FORREST研究小组在深入分析生物免疫与机制的基础上, 提出了一种计算机免疫系统模型, 并给出了相应算法——否定选择算法。其实验结果显示, 这种方法能够很容易地发现未知病毒感染, 进一步提高计算机系统的安全性。

3.2 IBM研究中心的Kephart等人通过模拟生物免疫系统的各个功能部件以及对外来抗原的识别、分析和清除过程, 设计了一种计算机免疫模型和系统, 该系统主要是设计“饵”程序来捕获病毒样本, 提取病毒特征, 并设计相应的病毒清除程序。

3.3 日本丰桥科学技术大学的Ishida也对基于免疫系统的计算机病毒防御技术进行了深入地研究, 并应用多Agent技术与实现方法, 在计算机网络中进行计算机病毒的监测和清除工作, 同时给出了针对网络特点将被病毒感染的文件和系统修复的方法。

3.4 普度大学的Spafford和Wright-Pafferson AFB空军技术学院的Marmelstein都深入分析了计算机病毒的研究意义、研究方法和安全性要求, 并给出了相应计算机免疫系统模型。

在国内, 免疫机制的研究刚刚起步。武汉大学提出了基于多代理的计算机安全免疫系统检测模型及对Self集构造和演化方法, 并在“Self”、“Nonself”的识别规则上进行研究, 提出用演化挖掘的方法提取规则, 在基于系统调用的基础上建立了位串识别器, 借鉴食物链的一些特征, 建立一种多识别器协同识别模型;武汉大学与北方交通大学合作, 提出了基于主机安全扫描的计算机免疫系统检测;北方交通大学提出了一种基于免疫入侵检测模型, 并将随机过程引入计算机免疫研究;南京航空航天大学对利用免疫机理进行抗病毒技术进行了研究;北京理工大学自动控制系从控制论的角度论述了计算机免疫和生物免疫的相似性, 提出计算机防病毒领域中应用多代理控制技术构筑计算机仿生物免疫系统的可行性和实用性。

4、免疫机制在当前现实中应用的不足

为了保证网络的安全, 从威胁的角度出发, 研究人员研制并实施了诸多的防御措施来抵制病毒的攻击。但是一般的免疫系统却都只能提供一定的防范和保护措施, 而且大多数都只是侧重在被动地防护、保护网络方面, 不能主动地检测到攻击和入侵事件。

4.1 目前的免疫机制已不能抵御日益复杂的病毒攻击。从长远角度看, 我国的免疫机制在入侵检测的未来发展趋势上还需要不断的加强, 要在最终达到:在相同的系统中同时使用不同的分析方法达到相同的效果。

4.2 入侵检测在检测数据包时, 目前计算机中免疫机制的抵抗能力不能与网络的高速发展达到同步。

4.3 目前免疫机制存在着滞后性。目前绝大部分的入侵检测都采用模式匹配的方法。如果特征库里的数据没有进行及时更新, 那么就不能在最短的时间内检测出最新的入侵者, 所以, 免疫机制的功能就不能满足用户的安全需要。将来只有加强改善特征库的及时更新策略, 才能提高免疫机制的抵抗力。

5、免疫机制在计算机网络入侵检测中的发展趋势

计算机网络安全是一个立体纵深、多层次防御的综合体系, 对于异常入侵、病毒等都可以从自然免疫机制中获得不少启发。未来值得关注的研究方向将有以下方面:

5.1 针对目前基于免疫机制的入侵检测系统, 存在着较高的误报率, 当发现了入侵者进入后都只能采用简单的报警方式, 却无法对它安全产品联系起来等的缺点。将来免疫机制的首要任务就是要降低误报率, 开发出准确高效的检测系统, 从而增强计算机网络的免疫机制。

5.2 由于当前的计算机网络入侵检测系统中对免疫机制的研究, 只借鉴了免疫机制某方面的特征, 功能还很局限。那么就可以, 也应该开发出更加深入的新型的免疫机制算法与模型。

5.3 要继续对免疫系统进行研究, 试图通过生物免疫系统寻找解决入侵检测与网络安全的新型免疫机制。人工的免疫系统机制具有更强大的特性, 那么, 就可以通过对人工免疫系统进行计算机模型的研究, 来提高计算机网络的入侵检测的安全性和计算机网络的响应速度。

5.4 在当前, 免疫机制在入侵检测系统的研究中还应融入一些现代化智能的方法。通过结合各种算法的优点, 采用不同方法, 有效的将人工免疫系统的模型与其他的计算智能方法相结合, 从而达到更满意的检测结果;也可以把多种方法结合来开发出高效的智能检测法。比如, 将进化计算与DNA计算相结合, 就可以取得很好的研究成果。

5.5 基于免疫原理的基因计算机系统有更强的辨别和保护能力, 它通过对基因码的检测来判断数据的合法性, 只有与基因码相吻合的收发端才能操纵数据, 基因码是自动生成的, 不能人为进行干预, 具有很好的安全性能。所以将来基因免疫机制也是一个非常重要的发展趋势。

6、结束语

综上所述, 免疫机制在计算机网络的入侵系统检测中, 虽然在其开发过程中已建立了很多的算法与模型, 也实现了计算机网络的免疫机制与入侵检测的完美结合。但由于免疫机制在入侵检测系统中存在着较高的错误率, 从而使得网络管理人员变得力不从心, 所以只有不断地对其改进, 才能够更好地将免疫机制运用到计算机网络的入侵检测之中, 让免疫机制能对一些不为知的病毒攻击问题作出较好解决, 从而实现网络安全的理想性。对于免疫机制还要结合当代更多的现代智能方法, 需要不断探索与研究来提高免疫机制在计算机网络入侵检测中的安全性, 才能真正地达到较高的检测率与准确性, 为今后的网络安全提供保障。

摘要：如今, 人类已进入了网络时代, 网络规模的迅速扩大导致其在很短的时间内变得相当复杂。由于非法入侵者不断的增多, 信息的安全已就面临着严峻的考验。目前, 传统方式的权限管理与防火墙等防御技术都不再能够满足网络安全的需要。最近, 一种不同于传统的信息安全保障措施的新型主动入侵检测系统——免疫机制, 能够有效地弥补被动防护技术上的不足。本文将对免疫机制在网络入侵检测中的研究现状、免疫机制目前的不足以及发展趋势等方面进行分析。

关键词：免疫机制,计算机网络,入侵检测

参考文献

[1]罗雄昌.基于免疫进化计算的网络入侵检测技术研究[D].广东工业大学, 2007.

[2]张永宾, 刘建辉.基于计算机免疫技术的入侵检测系统研究[J].中国数据通信, 2005, 7 (5) :22-25.

[3]杨志彬.试论计算机网络入侵检测中对免疫机制的有效应用[J].电脑编程技巧与维护, 2010, (24) :131-132.

[4]赵俊忠, 黄厚宽, 田盛丰等.免疫机制在计算机网络入侵检测中的应用研究

[5]尹述峰.基于免疫机制的入侵检测系统研究[D].太原科技大学, 2009.

计算机网络入侵检测 篇9

Snort是一个开放源代码的网络安全解决方案, 是一个多功能的轻量级网络入侵检测系统。Snort是由Sourcefire公司Mar2ty Roesch等人开发的, 用C语言编写的符合GPL规范的开放源代码软件。Snort是一个基于Libpcap的轻量级入侵检测系统, 所谓轻量级有两层含义:不会对网络运行产生太大的影响;其次是它具有跨平台操作的能力, 并且管理员能够用它在短时间内通过修改配置进行实时的安全响应。Snort系统由四个基本模块组成:数据包嗅探器、预处理器、检测引擎和报警输出模块。

2 入侵检测平台安装设置

2.1 安装my sql-5.1.35

这里就不再累述, 一般系统都会有安装。唯一要说明的是系统需要安装ncursesdevel, 否则在./configure时会提示configure:error:No curses/termcap library found。简单的验证你的系统是否已安装ncruses-devel的步骤如下:rpm–qa|grep ncurses, 如果有则跳过下面的安装步骤, 否则安装, 具体为:yum list ncurses (验证有关ncurses可安装的包) , 然后安装yum y install ncurses-devel。

2.2 安装httpd-2.2.11

新增apache2用户, groupadd apache2;useradd–g apache2 apache2, 此用户为运行httpd创建。解压缩包tar–zxvf httpd;配置./co nf ig ur e–p r e f i x=/u sr/l oc al/apache2.2–enable-module=so–enablemodule=rewrite–enable-shared=max;编译make, 安装make install。

2.3 安装PHP

解压缩包tar xzvf php;配置./configure prefix=/usr/local/php5 with-mysql=/u sr/l oc al/m ysq l wi th-a px s2=/u sr/l oc al/ap ac he2.2/bi n/a px s w it h-g d w it h-z li b;编译make;安装make install。在配置过程中需要用到libxml2-devel这个包, 如果没有安装将无法进行下面的安装操作。可以用yum y install libxml2-devel安装该包。安装还需要GD库, 先安装libpn-devel, yum y install libpng-devel, 否则配置时会通不过。

2.4 安装snort

在安装过程中, 配置程序会依次检查libpcap, libpcrc, flex, bison是否已经安装, 只需执行yum–y install libpcap*, libpcrc, flex, bison*即可。解压缩tar xzvf snort;配置./configure–prefix=/usr/local/snort–with-mysql=/usr/local/mysql enable-dynamicplugin–enable-targetbased;编译make;安装make install;后安装Snort。安装完成后, 需要对Snort设置运行环境和编辑snort.conf文件。

2.5 设置mysql

登录数据库mysql–u root–p;创建snort数据库mysql>create database snort;mysql>grant create, i nsert, delete, select, update on snort.*to snort@localhost;set password for snort@localhost=password (‘snort’) ;mysql>flush privileges;cd/root/snort-2.8.5/schemas, mysql–u snort–p

2.6 安装PEAR包

安装PEAR包主要是为了后面安装BASE的需要, 具体安装过程如下:在浏览器中输入http://pear.php.net/go-pear, 将网页显示的内容拷贝并保存文件为gopear.php, 然后执行该文件/usr/local/php5/bin/phpgo-pear.php, 在此过程中会提示安装设置, 其中有一项$prefix默认为/root, 根据情况修改为/usr/local/php5, 顺利安装完成。

2.7 安装BASE

确定BASE的安装目录, 本人将BASE安装在/usr/local/apache2.2/htdocs/下面。cd/usr/local/apache 2.2/htdocs, tar xzvf base-1.4.4.tar.gz, mv base-1.4.4 bass。由于本人安装的BASE版本是1.4.4的较新版本, 期间会需要两个PEAR组件, 分别为Mail, Mail_Mime, 否则接下去的设置过程会提示警告错误, 所以需要将其安装上去。具体为pear install Mail;pera install Mail_Mime。安装完之后两个组件都在/usr/local/php5/PEAR下面, 拷贝Mail.php文件和Mail目录至BASE下面。Chown–R apache2:apache2 base, 这样apache就可以访问该BASE目录。解压缩adodb4991.gz包, 并拷贝至/usr/local/apache2.2/htdocs/。

2.8 对BASE做最后的设置

设置共分五步, 在设置之前需要启动以下进程:mysql;apache;snort。然后访问http://IP_ADDRESS_OF_YOUR_SERVER/base。出现的页面会将几个检测参数显示出来, 如配置文件的读写状态、PHP的版本信等, 继续请点击“continue”。出现的页面为设置步骤的第一步, 选择适当的语言及ADODB的安装目录, 在语言栏请选择English, 因为虽然支持中文, 却是繁体的, 感觉看起来很不习惯。ADODB的安装目录为/usr/local/apache2.2/htdocs/adodb。此页面为设置步骤的第二步, 要求选择数据库类型以及输入访问数据库需要的相关信息, 以备BASE访问数据库。此时, 要求设定BASE管理员的帐号信息, 点击下一步即可。出现的页面将增加BASE的表至SNORT数据库, 点击“Create BASE AG”。该页面请红体字显示一些创建表的信息, 到此base设置完成, 直接在浏览器中就可以访问SNORT记录的入侵检测信息。

3 关于入侵检测系统的一些思考

未来的入侵检测系统将会结合其他网络管理软件, 形成入侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测软件的出现极大方便了网络的管理, 其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题, 但正如攻击技术不断发展一样, 入侵的检测也会不断更新、成熟。

摘要：本文在实践的基础上, 采用LINUX平台下开放源代码软件SNORT构建一个网络入侵检测系统, 初步实现对网络的入侵检测及预警系统, 帮助网管人员对网络日常运行维护中出现的网络安全问题进行分析。

关键词：IDS,LINUX,SNORT,RULESET,入侵检测

参考文献

计算机网络安全入侵检测技术分析 篇10

关键词：计算机网络安全,网络入侵,入侵检测技术

网络已经在人们的生活中占据相当重要的地位, 而那些高薪技术产业的工作者, 几乎每天都在接触计算机。另外计算机网络技术已经在生活方式中各方面都有体现, 例如学习, 娱乐及出行都与计算机息息相关。因此人们有大量的有用信息和私人信息都与计算机或者高科技设备关联着, 如今对于计算机网络安全的要求比以往的要求更高, 因此入侵检测技术对用户的隐私和财产的保护尤为重要, 是重要的防范手段。

1 入侵检测技术的概念

网络入侵是指通过熟练的编写和调试计算机程序的技巧, 来获得非法或未授权的网络或文件访问, 入侵进入公司内部网的行为。入侵检测技术就是针对于这种行为采取相应的程序和算法编写, 从而防范这种行为达到保护计算机网络安全和信息安全的目的。

这种技术会搜索网络行为、审计数据、安全日志等, 并对其分析以检测是否存在异常行为, 如果存在异常行为, 将警示用户或者直接进行拦截和采取应对方法。因此若想保证入侵检测技术具有准确性、可行性和适应性应当及时的对计算机系统的各部分进行升级和维护, 并对采用的入侵的检测技术的软件更新。

2 入侵检测的过程简析

入侵检测的过程简单来说分为三部分:

2.1 有效信息收集整理

入侵检测首先要信息的收集, 其中含有几类信息网络行为、审计数据、安全日志等。对于收集到的信息要根据不同的重要部分来进行 (分为不同的网段和不同的主机) , 因此尽可能的拓广检测范围是可疑的入侵行为的主要标识, 也可以从几个来源信息的不一致方面判断。另外有几个部分的信息对于入侵检测来说非常关键, 目录和文件中可疑的改变;网络和系统的日志;物理性的入侵信息;程序运行中可疑的行为。

2.2 信息合理化分析

对于收集到信息进行分析时, 可以通过完整性分析、统计分析和模式匹配等方法, 其中后两种手段可以应用于遭受到网络入侵时, 而第一种手段, 则要在遭受网络入侵后才能进行分析。

2.3 反映结果

检测系统中预先设定好的响应会在检测到入侵时及时的提醒用户, 并采取应对办法, 例如重置防火墙或者终止正在进行的程序等。

3 入侵检测系统的分类

3.1 主机入侵检测系统

在主机层面的检测时, 首先要检查主机的设置, 主机入侵监测系统将用户对计算机的操作的可疑行为的信息可以进行实时分析和检查 (除了入侵者的危险行为, 还能检查出入侵者都运行了哪些程序、软件、文件、指令等) , 以判断是否出现了攻击行为, 这对于保护计算机网络安全非常重要, 尤其是在网络出现可疑和异常的行为时能够进行提醒和防范。不仅能够对计算机和网络进行全面的保护, 并对下一步的措施提供数据支持;还能监控系统某一特殊部分或者活动。相对于网络入侵检测系统来说运行机制比较简单, 所以主机入侵检测系统的误报率要低很多。

3.2 网络入侵检测系统

网络入侵检测系统的优点是价格低、速度快, 但是提供的服务不具备单独性。其中价格低的原因是在入侵检测设置中可以有很多安全点, 因此这将实现同时对多个网络系统进行检测, 并且不占主机内存。相对于主机入侵检测系统来说, 这不仅不需要安装、不会影响机器的CPU、I/O与磁盘等资源的使用, 还能安全检测网络中的数据包, 避免了入侵检测的漏洞, 这将有效的发现具有可疑行为的程序。另外速度快的原因是该系统在网络环境中进行 (没有时间和地点的限制) , 所以在检测到可疑行为时, 可以直接报告并实施应对政策。

4 入侵检测技术的发展趋势

防范性技术相对于其他的技术来说是相对被动的, 在入侵检测技术发展到某一水平时, 黑客们为了达到自己的目的就会革新网络入侵技术和手段以绕开现有的入侵检测技术。总的来说, 这就预示着计算机网络入侵检测技术需要与时俱进, 如果能够实现预测出可能出现的可疑性行为以及即使对漏洞进行实时检查, 会减少被入侵的几率。入侵检测技术的发展方向可以分为一下三个方面内容。

4.1 分布式协同防范网络入侵

现如今传统的入侵检测技术过于单一并且缺乏协同不能为高速发展的信息网络时代提供有效的保护和防范, 因此分布式的协作机制具有特殊的优势。其中核心的技术为检测信息的协同处理与全局的入侵信息提取, 这将是现在主要发展的方向之一。它在系统资源方面的优势远大于别的方式, 主要体现在收集数据、入侵信息的分析和及时的自动响应等方面。

4.2 智能化入侵检测技术

该方向包含了神经网络、遗传算法、模糊技术、免疫原理等方法, 现在对于智能化检测技术普遍认同的方法是需要结合两方使用, 既需要高效的入侵监测系统又需要配合智能检测软件或者模块, 此方向目前还在为提高智能化入侵检测技术的可实施性和适应性进行研究。智能化可以将入侵的特点更具有辨识性和广泛识别性, 是未来发展趋势中最值得期待的有效形式之一。这也许可以解决在出现故障时, 不会出现干涉别的正在正常运行的程序, 以确保大多数的工作能有序的进行, 隔离可疑程序。

4.3 全面整体的构架

在未来, 针对网络问题出现的各种措施和风险评估机制的思想将有可能实现一体化的发展, 如果将这些方面放在一个整体里, 将可以节省很多时间。 (可以结合在一起的技术防火墙、电子商务、管理等级、SET等技术) 网络安全防范技术的集成化全方位的确保了为计算机的网络安全。

5 结束语

高速发展的信息时代和日益崛起的电子商务将对计算机的网络安全提出更高的要求, 这也是挑战和机会并存的时代。计算机的网络安全在新时期将会越来越收到重视, 为了更好的维护计算机网络安全, 入侵检测技术将会得到更充足的发展。

参考文献

[1]甘宏, 潘丹.基于网络安全入侵检测技术与防火墙结合的应用研究[J].科技广场, 2011 (01) :45-47.

计算机数据库入侵检测技术分析 篇11

关键词：计算机数据库；入侵检测技术；网络安全

中图分类号：TP309.2 文献标识码：A

计算机数据库普遍受到网络与设备的威胁。计算机安全主要是指物理安全与信息安全（网络安全），其中信息安全主要是指保护网络信息的完整性、可用性、保密性。据调查数据表明，信息系统的整体安全方面，数据库是最容易受到攻击的部件。计算机数据库主要受到计算机病毒或黑客的攻击，其中与计算机病毒的种类相比较，黑客对计算机数据库的攻击方法更多、更致命。美国FBI调查数据显示，网络安全导致每年美国承受超出170亿美元的经济损失，其中每天被黑客攻击或病害感染的网页达到15000个。据国家计算机网络应急技术处理协调中心的评估数据表明，2012年中国“僵尸”电脑数量已超过全球“僵尸”电脑总数的58%。由此可见，必须加强对计算机数据库安全保护的研究。

1 计算机数据库入侵检测技术的现状问题

经过20余年的发展，计算机数据库入侵检测技术已相当成熟，但不断出现的新需求及新情况势必要求不断推进入侵检测技术。目前主流入侵检测系统包括基于主机的入侵检测系统及基于网络的入侵检测系统；主流入侵检测方法包括误用检测及异常检测，其中误用检测要求对异常行为进行建模，把符合特征库描述的行为视为攻击；异常检测要求对正常行为进行建模，把不符合特征库描述的行为视为攻击。总体而言，计算机数据库入侵检测技术发展的现状尚不能完全满足系统安全的要求，同时仍存有一些问题亟待解决。

（1）计算机入侵检测误报漏报率高：数据库信息主要由个人信息及企业信息组成，因此信息的安全性普遍受到社会个体及组织的广泛关注，同时计算机入侵检测技术的研发过程，研究人员对某些关键点设置的要求相当高。但此种情况极易受到大量病毒或黑客的入侵，由此导致入侵检测结果的准确率大幅度下降，同时某些暂时提高入侵检测结果准确率的做法反过来亦会影响到数据库安全。

（2）计算机入侵检测的效率较低：任何数据入侵或反入侵皆需进行大量的二进制数据计算，以提高数据运行的有效性。但庞大的计算势必造成大量的时间及财力浪费，由此阻碍着入侵检测效率的提高，同时也与当今网络环境极不相称。

（3）计算机入侵检测技术的自我防御能力较弱：计算机入侵检测技术发展尚不完善，加上设计人员的专业知识欠缺，因此势必影响到计算机入侵检测技术自我防御能力的提高。若入侵检测技术被黑客或病毒入侵，有限的防御能力势必难以完成入侵检测，由此必然威胁到数据库的安全。

（4）计算机入侵检测技术的可扩展性差：计算机入侵检测技术无自动更新功能，因此不能对新的异常行为或病毒进行有效判别，进而造成病毒肆意，甚至破坏数据库的安全防线。

2 计算机数据库入侵检测技术的发展方向

计算机入侵检测系统具备网络管理、网络监视及入侵检测功能，其主要采用先进的分布式架构（表1）。入侵检测系统包含2300多种规则，能够借助智能分析与模式相结合的方法对网内外传输的所有数据进行实时捕获，进而实现对网络领域存在的入侵行为或异常现象进行检测，同时借助内置的攻击特征库把相关事件录入数据库，以便为事后分析提供参考依据。此外，计算机入侵检测系统是高效的数据采集技术，与内容恢复、状态协议分析、行为分析、异常分析、网络审计等入侵分析技术具有非常好的兼容性，同时能够检测到网络、端口探察、应用层及底层活动的扫描攻击。

结合表1内容及计算机入侵检测技术存在的问题，本文认为计算机数据库入侵检测技术应坚持“分布型、层次化、智能化检测及反术测评标准化”的发展道路。

（1）分布型检测。传统的入侵检测大多被局限到单一网络结构，主要完成单一网络结构的数据库检测，此种检测方法根本没有能力应对大规模的异构体系数据库。此外，数据库检测体系间的协同性较弱。针对此类问题，最有效的办法是采用分布式数据库入侵检测手段。

（2）层次化检测。就检测范围而言，传统的入侵检测技术具有相当大的局限性，尤其对某些高端数据库系统，入侵检测技术尚存在诸多盲点。目前多数服务器结构系统皆需多层次的入侵检测保护功能，由此保障网络安全。针对此类问题，最有效的办法是采用层次化的检测方式，区别对待普通系统与高端数据库系统，由此提高入侵检测技术的作用力。

（3）智能化检测。虽然目前使用的计算机入侵检测技术已经应用到遗传算法及神经网络等，但应用水平尚处在初级阶段或尝试性阶段，因此有必要把智能化入侵检测列入专项课题进行研究，由此提高计算机入侵检测的自我适应能力。

（4）应用入侵检测技术过程，用户有必要不定期对技术系统进行测评，其中测评的内容应涉及到资源占用比、检测范围、检测可靠程度，同时充分利用测评数据对检测系统实施评估，然后再结合评估情况对检测系统进行完善。总体而言，依托入侵检测技术，计算机数据库系统的安全性势必大大增强，即入侵检测系统通过化解计算机数据库系统外部的攻击及排除系统内部的潜在威胁，进而对计算机数据库系统实施有效保护。

（5）计算机数据库入侵检测技术的强化措施除采取分布型检测、层次化检测及智能化检测外，笔者认为创建新型系统模型、建立数据库知识标准、减少入侵检测的计算量等皆可加强计算机入侵检测技术，其中优化Apriori算法是一种由Apriori算法改进而来的计算方法，其对减少入侵检测的计算量至关重要，此外优化Apriori算法的剪枝候选集功能是显示入侵检测计算量减少的主要工作。

3 结束语

综上所述，入侵检测技术是一种保障计算机数据库免受黑客或病毒入侵的安全防护高新技术，其不仅能够化解来自外界的攻击（黑客），同时也能够排查出内部潜在的病毒，进而实现对计算机数据库的实时性保护。随着网络技术更新周期的缩短，网络安全问题越来越引起社会的关注。数据库是最容易受到黑客与病毒攻击的部件，加上数据库存储有数以亿计用户的信息，因此必须采取措施确保计算机数据率的网络安全。尽管入侵检测技术的应用已相当成熟，但仍然存在诸多问题亟待解决，其中包括入侵检测误报漏报率高、入侵检测的效率较低、入侵检测技术的自我防御能力较弱及入侵检测技术的可扩展性差等。基于此，本文提出计算机数据库入侵检测技术应该坚持“分布型、层次化、智能化检测及反术测评标准化”的发展道路，由此提高网络安全及维护社会的安定和谐。

参考文献

[1] 秋瑜.计算机数据库入侵检测技术分析研究[J].硅谷，2012，（6）：79-79.

[2] 王素香.计算机数据库的入侵检测技术分析[J].计算机光盘软件与应用，2013，（1）：101.

[3] 李媛媛.计算机数据库的入侵检测技术分析[J].中国信息化，2013，（14）：137-137.

[4] 肖大薇.计算机数据库入侵检测技术分析研究[J].信息系统工程，2012，（4）：54-55.

[5] 王世轶.基于数据库的入侵检测技术分析[J].科技风，2012，（14）：52.

[6] 高超，王丽君.数据挖掘技术在基于系统调用的入侵检测中的应用[J].鞍山科技大学学报，2006，29（1）：45-49.

作者简介：

计算机网络入侵检测 篇12

一、理解计算机网络安全的入侵检测技术的概念

(一) 网络安全的入侵检测技术是什么

安全的网络环境下, 电脑处于正常的工作状态, 而当电脑受到或是人为恶意攻击或是操作失误引发网络安全问题时, 就会导致电脑出现程序运行异常、数据丢失、效率低下, 甚至是无法工作的地步。而所谓的入侵技术就是指可发现潜藏的恶意攻击程序或病毒, 可对计算机网络系统外来攻击实行强有力的防御, 可帮助计算机抵御未知攻击的相关技术的统称。通俗来讲, 入侵检测技术就像是作战时竖起的防护屏障, 可以将网络出现的安全入侵问题高效及时地检测出来, 并告知计算机的防火墙系统, 它的出现, 一定程度上完善了计算机防火墙工作的不足。

(二) 网络安全的入侵检测原理

为了更好地理解入侵检测方法的原理及过程, 读者应首先对网络安全的入侵检测的工作流程有简单的认识。具体说来, 入侵检测一般要经历的过程为:监听、识别并记录系统或用户的行为、分析潜在入侵异常、向相关程序预警。进一步说, 入侵检测系统在工作启动前, 会对计算机网络安全的模式以及策略有所“学习”, 即该系统具备辨别异常的能力。所以在监听开始后, 系统对用户的行为以及本机运行程序进行实时监听并采取一定策略进行有效记录, 信息积累到一定量时, 系统开始分析所收集到的数据, 即与安全模式对比, 得出可能存在的风险并及时预警。

(三) 网络安全的入侵检测的有效方法

从不同的关注点出发, 对网络安全进行的入侵检测方法可以有多种。其中, 比较基本的是从行为、主机或网络环境出发这三种基于不同原理的方法。首先, 从行为出发是最简单也最常用的检测方法。它主要将重心放在对电脑硬件的监测上。例如, 通过获取程序运行时电脑内存的使用是否合理、用户存储的文件数量是否异常、是否存在硬件故障等作为衡量指标, 若超出可接受的安全范围的阈值, 则断定网络安全已遭受入侵需要预警。其次, 从主机出发使得检测主体十分明朗, 系统只需时刻盯紧主机程序运行情况好坏以及运行速度快慢就可以了, 对主机环境有整体把握就可以保证及时发现主机所处网络环境的安全问题, 并帮助采取一定措施提高主机的防御性能。最后, 从网络环境出发虽然需要监听的范围是最广的, 但它具有监听速度快且成本低廉的优点, 并且易于安装和使用, 因此也是比较常用的入侵检测方法。许多计算机系统借助对全局网络环境的入侵检测, 及时发现并排除了隐性的木马病毒。综上, 网络安全的入侵检测方法还是比较多的, 但由于各自针对主体不同, 各有长短, 因此应用层次也有所差异。

二、网络安全的入侵检测技术的现状分析

(一) 入侵检测技术发展尚处于初期, 检测机制不完善

不可否认, 我国计算机事业起步晚, 发展慢, 尤其是计算机网络安全的入侵检测技术的普及和研发相较许多发达国家更是落后。所以, 对于网络安全的入侵检测这一重要的领域性问题, 我们仍旧处于初期。这种初期体现在我们对网络安全问题的意识薄弱, 技术发展滞后, 创新匮乏等。换句话说, 我们像初生儿, 整个检测机制是不够完善的, 对比英美等国家成熟的入侵检测机制还有一段距离。简言之, 我们还在探索更适合于中国互联网环境下的网络安全的入侵检测技术。

(二) 对网络安全问题的入侵检测手段及方式缺乏针对性

当前, 我国对网络安全问题的检测采取的方式方法是统一并且单一化的, 即不区分实际网络环境以及不同主机系统的差异性, 总体采用基本相同的检测手法。显然, 这样是极其不科学的。试想, 不同网络的复杂程度, 所带来的检测负担以及数据级上就存在很大的不同, 而现阶段的检测系统, 在技术上无法达到将其区分对待, 因地制宜地启动适应性和效率都更高的检测机制。概括地说就是检测方法的选择性不多且针对性过低, 这是仍然需要不断改进的。

(三) 效率低且风险高, 影响用户体验

人类对计算机的依赖性很大一部分原因是由于其高效性和可靠性。然而, 令人失望的是, 纵观现行的入侵检测系统, 大部分运行效率极低, 无法及时监听到网络异常, 预警滞后, 导致用户遭受网络安全问题, 影响用户工作。更重要的是, 许多安全入侵检测机制都不具备有效的保密机制, 使得用户的个人使用数据有外泄的风险, 影响用户生活。所有这些, 都不同程度地影响了用户体验, 没有真正符合对网络安全进行入侵检测的初衷。

三、对现有网络安全的入侵检测技术的改进建议

(一) 明确未来网络安全的入侵检测技术的发展方向

方向问题是根本问题, 所以, 在具体行动前我们首先要明确未来入侵检测技术的发展方向。众所周知, 随着计算机相关技术的不断进步, 网民对计算机的要求也越来越高。互联网加的时代, 计算机网络安全问题会变得更多样复杂。全民入网, 潜藏的网络安全问题会更层出不穷, 这会为网络带来超大数据量以及无法预估的工作负荷, 如何应对大数据时代的网络安全检测是我们无法逃避的难题。其次, 随着机器学习的深入, 人工智能得到进一步的发展, 相信这对网络安全检测也会是一种挑战和机遇。因此, 未来的入侵检测技术, 其大方向是高效性、安全性以及智能化。

(二) 注重网络安全入侵检测与新兴技术的结合

网络安全作为计算机技术连接及使用的桥梁, 其自身的发展一定离不开大环境的发展和进步。从这一方面来说, 从事入侵检测的人员就应树立时代意识, 要学会将不同技术进行融合创新。例如, 针对大数据时代, 领域专家提出了各种智能计算的方法和处理方式, 比如云计算技术、分布式计算技术以及数据挖掘方面的一些先进技术。如果能将云计算技术用于网络安全问题的入侵检测, 就可以更好地节约存储空间, 降低安全检测的成本, 同时可以加快检测网络中存在的安全问题, 提高检测的效率。如果能将分布式计算技术应用于网络安全问题的入侵检测中, 将复杂的问题分解, 就能使得多个分布子系统协同工作, 这不仅可以对检测问题进行更全面的检测, 还能发现更多高危漏洞, 对安全入侵检测的水平提高是十分有益的。又或者可以尝试将数据挖掘中常用的孤立点挖掘技术应用到检测中, 可以在高维度数据集中更可靠地发掘出异样数据点, 就是看似被“孤立”, 不符合常规的数据点, 从而更快速发现网络安全异常。

(三) 加快检测系统的自发性, 减少人为操控

时下备受追捧的电子产品无一例外全都是高智能的“懒人产品”。同理, 对网络安全问题的入侵检测, 也要紧跟时代潮流, 改变传统的检测模式。人工智能的快速发展, 已经造就了能战胜专业棋手的智能程序。而网络安全问题需要得到时时刻刻的关注, 若采用人工操作的方式, 那将是很大规模的工作量, 在可预见的将来也许会超出人工可操作的承受范围。所以, 最明智的做法是赋予检测系统人工智能, 使其具有强自发性, 可以自行收集、分析、给出判断、进行预警并自动帮助主机对病毒以及木马进行防御。只有使检测技术朝着智能化的方向前进, 才能使人类在网络安全问题的检测中解放双手, 静观结果即可。

(四) 丰富网络安全的入侵检测技术的功能, 提升用户体验

为了对网络安全问题的入侵检测更具全面性和科学性, 开发者应注重丰富检测系统的功能。这要求研发者从不同角度出发, 综合考虑预测过程中可能出现的各种问题, 应积极思考应对方案, 确保在发生安全问题时系统的工作是及时有效的, 系统不能只是摆设。功能的丰富也要求研发研究者对不同问题进行有针对性且深入的思考, 这样, 就可以确保检测系统有应对不同网络环境不同安全问题的能力。此外, 注重用户体验和反馈, 因为用户站在与研发人员不同的角度, 用户的建议也是需要多听的。

总而言之, 要想维持良好的网络秩序, 为网民提供安全可靠的网络连接, 有关部门及相关人员应不遗余力, 加大对网络安全问题的入侵检测技术的人力及物力的投入, 才能使网络安全切实得到保障。如此, 计算机网络也才能真正成为人民生活、工作的好助手。

参考文献

[1]刘彦戎.浅谈计算机网络安全的入侵检测[J].网友世界·云教育, 2014, (20)

[2]刘珊珊, 李根, 彭浩等.计算机网络安全的入侵检测技术研究[J].福建电脑, 2013, 29 (3)