互联网入侵检测技术初探

符小明

摘 要：随着互联网信息技术的高速发展，入侵检测技术也随着网络技术的高速发展而日新月异，互联网遭受的入侵风险日渐凸显，维护网络信息安全也成为社会稳定和国家安全的一个重点、难点问题，这个问题亟待解决。以往的防范策略对安全高度敏感的部门工作需要已经显得力不从心。计算机信息网络入侵检测技术可以作为网络的传统防御的有效补充，在网络安全中起到举足轻重的作用。

关键词：入侵检测；异常检测；阈值；技术分类

随着互联网的高速发展，为了资源共享及迅速获取前沿信

息。各级政府机构、各类单位及个人都加入Internet中，全球信息共享的雏形已经初步形成。网络的高速发展，互联网中黑客的攻击活动也以每年10倍的速度激增。所以，在网络信息技术高度发展的今天，如何有效地保证计算机系统、信息网络系统以及信息基础设施的安全已成为我们现阶段研究的重点工作。

一、网络防火墙

防范计算机网络攻击最常用的方法是构建网络防火墙。

防火墙指的是一个由软件系统和硬件设备有效组合而成，在专用网与公共网之间、内外网之间的界面构建的一道安全防御“门”，是一种保证网络安全的有效措施。防火墙由计算机硬件和软件系统结合使用，这样防火墙就可以在Internet与Intranet之间构建安全“门”，进而达到非法用户不能侵入内部网的目的，并通过限制、监视、更改通过网络的数据流，尽可能防范对内网的非法访问与入侵。

二、网络防火墙的局限性

1.防火墙对不经过防火墙的攻击无计可施

如果用户允许从受保护的内部网络向外拨号连接，这样就给一些非法用户甚至是黑客制造了与Internet的直接连接的机会和条件。另外，防火墙对于网络内部的攻击或是病毒威胁也显得力不从心。

2.任何防火墙都可能在不经意间留下“敞开的后门”

由于防火墙的局限性，一般不能提供实时有效的入侵检测防御。所以，单纯在网络入口处部署防火墙是不能在源头上确保网络信息安全的。在信息技术高度发达的今天，对网络安全要求极高的敏感企业或单位，防火墙已经显得十分苍白无力，计算机信息网络的防卫技术必须采用一种纵深的、多样化的手段。

由于防火墙存在着某些方面的致命缺陷，入侵检测在这时候就显得十分重要，入侵检测作为防火墙后面的一道安全“门”，是防火墙的有效补充，入侵检测技术的使用，有效地提高了网络的安全性能。随着网络的高度发展，入侵检测技术越来越凸显出重要性。现阶段，入侵检测已经成为网络安全中一个重要的研究方向，并在不同的网络环境中发挥着重要作用。

三、入侵检测

入侵检测是对互联网数据传输进行实时检测与监视，发现可疑或异常传输时发出警报及警告，并立即采取主动防御，避免非法数据的传输或无授权访问。入侵检测技术区别于其他的网络设备的主要表现是：入侵检测是一种积极被动的安全防护技术。入侵检测有三种类型：基于网络型、基于主机型、基于代理型等。

从20世纪90年代至今，各网络公司陆续开发出一些入侵检测的网络产品，这其中比较有代表性的是ISS公司的Realsecure，NAI公司的Cybercop和Cisco公司的NetRanger。

四、入侵检测技术分类

入侵检测技术系统分为两种：特征检测与异常检测。

1.特征检测

特征检测：将入侵者活动特征当做一种特定模式来表示，入

侵检测系统会自动检测该活动是否符合这个特定的模式。假如符合这个特定模式，系统将自动启动入侵检测系统进行有效拦截处理，由此来防止非法访问。但是，这类技术也有其致命的弱点，它只对特定模式的入侵起到作用，对于新的入侵却是无能为力。入侵检测的关键在于如何设计特定模式防御“入侵”活动，这类活动又不会将正常的通讯活动包含进来。

2.异常检测

异常检测在基于行为基础上的检测。异常检测其中一个重要的基本前提是：将通讯过程中所有的入侵行为都当做异常处理。并由此建立系统或是用户的“正常”行为特征轮廓，将信息通讯之间的主体活动情况与“活动简档”作为比较，当主体活动违反统计规律时，入侵检测系统认定该活动可能是“入侵”行为。通过比较当前系统或用户的具体行为是否不在正常的行为特征轮廓内来判断是否发生入侵行为，此方法不依赖于是否表现出具体行为来进行检测。

五、入侵检测阈值

一个领域或一个系统的界限称为阈，其数值称为阈值，异常检测是以正常的网络特征轮廓作为比较的参考阈值来进行异常检测，所以，如何选定阈值是十分关键的。如果阈值设定较大，漏警率就会提高；阈值设定较小，虚警率就会上升。适中的阈值选择是决定检测方法准确率的关键因素。

参考文献：

乐瑞卿.计算机数据库入侵检测技术的探讨[J].硅谷，2011（22）.

（作者单位 海南职业技术学院）

编辑 王振德