在网络安全中IDS技术的应用

摘 要：随着计算机网络技术的迅猛发展，网络的安全问题就成了全球的一个突出问题。而入侵检测是网络安全和信息系统安全当中最重要的技术手段本文介绍了网络安全的一些问题，并且分析了网络安全的防范技术，并着重探讨了入侵检测技术，给出了入侵检测系统的概念以及工作流程。

关键词：网络安全 入侵检测系统 入侵检测技术 网络安全

中图分类号：TP393.18 文献标识码：A 文章编号：1672-3791（2012）11（b）-0004-01

1 关于入侵检测技术

目前计算机网络面临着很大的威胁，其构成的因素是多方面的。这种威胁将不断给社会带来巨大的损失。网络安全已被信息社会的各个领域所重视。随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势；给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。

winCE操作从最初发展至今，其版本主要有1.0、2.0、3.0、4.0、5.0和6.0，作为业内领先的软件工具，其区别于桌面操作系统的最本质的特点，一是可裁减性；二是可移植性。winCE具有可靠性好、实时性高、内核体积小的特点，被广泛应用于各种嵌入式智能设备的开发中，从手持电脑到专门的工业控制器及消费电子产品中等，如：互联网协议（IP）机顶盒、全球定位系统（GPS）、无线投影仪，以及各种工业自动化、消费电子以及医疗设备等。

IDS是英文“Intrusion Detection Systems”的缩写，意思就是入侵检测系统。入侵检测技术是网络安全防护的一个重要组成部分，它是安全审核中的核心技术。所谓的入侵检测就是对入侵行为的检测，是一种用来检测违规的一种机制。通过对网络行为、审计数据和安全日志、计算机系统中若干关键点的信息以及其他网络上可以获得的信息的收集和分析，以此来检查网络或系统是否存在被攻击的迹象和违反安全策略的行为。作为一种主动地安全防护技术，入侵检测系统提供了对于内部和外部的攻击以及误操作的实时性保护，以便在网络系统受到危害之前能够及时的拦截和响应入侵。

入侵检测是通过对监视、分析用户以及系统的活动、异常行为模式的统计分析、系统构造及弱点的审计、操作系统审计跟踪和管理，并且识别用户违反安全策略的行为等任务来实现的。入侵检测技术是一种用于检测计算机网络中违反安全策略行为的技术，为了保证计算机系统的安全而精心设计和配置的能够及时发现和报告系统异常和未授权现象的技术。违反安全策略的行为通常有入侵和滥用，入侵指的是非法用户的违规行为，滥用指的是合法用户的违规行为。入侵检测系统利用审核记录能够识别出任何不希望有的活动，以达到系统安全的目的。如果能够较好地应用入侵检测系统，就能使在系统被入侵和攻击产生危害之前，检测到入侵攻击，并且利用报警和防护系统对入侵攻击进行驱逐。在入侵攻击的过程中能够减少所造成的损失。在被入侵攻击之后，通过对相关信息的收集，填入知识库作为防范系统的知识，可以增强系统的防范能力。

2 入侵检测的技术方法

目前，数据的挖掘技术已经广泛地在各个领域内发展应用。数据挖掘通过挖掘提取大量数据中的知识，应用于入侵检测系统，可以从大的审计数据提取入侵行为模式。将数据挖掘技术应用于入侵检测当中可以广泛地通过审计数据来得到模型，从而精确地获得正常的行为模式和实际的入侵。这种方法极其自动化，不需要再手工分析和编码入侵模式，而且在创建数据库时不需要像以前一样凭借经验来选择统计方法。而且它还可以把相同的数据挖掘工具应用在多个数据流中从而更有利于构建适应性强的入侵检测系统。

3 网络安全问题分析

在一些单位的局域网中往往都存在这一些网络安全的问题，这其中最主要面临的还是网络中数据信息的危害和网络设备的危害。比如说：病毒的破坏，病毒的形式多种多样，主要有蠕虫、木马程序以及恶意的脚本等等；还有操作系统的安全问题；遭受非法入侵以及恶意的破坏；不良信息的传播；以及技术之外的问题等等。面对这些问题，一般要从一下的几个方面来应对：第一是对于网络病毒的防范；第二是网络安全的隔离；除以上两点还有要采取的相应安全监控措施；修补网络安全漏洞；数据的备份和恢复；对于有害信息的过滤等等。

4 入侵检测的分类

入侵检测的分类有几种不同的形式，按照检测的时间我们可以把它分为实时入侵检测和事后入侵检测这两种。如果按照分析方法来分通常可以分为误用检测和异常检测这两大类型。一般一句带分析的数据来源会把入侵检测分为基于网络和基于主机的两大类。按照系统的结构又可以分为分布式入侵检测和集中式入侵检测这两种。还有一种是按照工作方式来进行分类的，可以分为离线检测和在线检测。

5 入侵检测系统的工作原理

其实这个系统是一个典型的“窥探设备”。它并不跨接多个物理网段，只需要在网络上被动地收集报文即可。在此基础上，入侵检测系统通过对收集来的报文提取相应的流量统计特征值，然后利用内置的入侵知识库和这些特征进行智能分析比较匹配。最后根据预设好的阈值，如果这些报文流量匹配耦合度比较高则会被认为是进攻，那么入侵检测系统将会根据相应的配置警报或者进行一定限度的反击。而入侵系统工作的流程大概分为三个步骤：第一是信息收集；第二是信号分析；第三是实时记录。

6 结论

网络安全问题的日益突出，使得入侵检测技术的研究备受人们的关注。基于此，人们对数据挖掘入侵检测技术进行了大量深入的研究。IDS的应用已经全面深入到网络安全当中。网络安全的问题虽然已经得到了改善和发展，但是网络今后的进一步发展势必会给黑客攻击手段再次提供新的手段，所以大量的研究工作和挑战仍然需要去解决。

参考文献

[1]张兴东，胡华平，况晓辉，等.防火墙与入侵检测系统联动的研究与发现[J].计算机工程与科学，2009，26（4）：23-24.

[2]James Stanger， Patrick T Lane. Linux钟日红，宋建才[译].黑客防范开放源代码安全指南[M].北京：机械工业出版社，2011：132-174.

[3]费洪晓，戴宏伟.基于协议分析的入侵检测系统设计与实现[J].信息技术，2007，3.

[4]孙伟平，顾恩超.一种基于关联规则的分布式入侵检测模型[J].微处理机，2008（1）.

[5]刘国军，梁声灼.基于数据挖掘的入侵检测技术[J].计算机与现代化，2007（9）.