网络入侵检测系统的设计与实验

陆泉名

（常州大学，江苏 常州 213000）

0 引言

信息技术的飞速发展，网络自身的开放性、交互性和共享性等特点，导致网络在进行数据的快速传播时，易受系统内外因素的干扰，造成网络漏洞迭出，留下难以及时发现的安全隐患。信息技术的不断发展，衍生出了多种不同技术类型，例如数据分析技术与数据入侵术等。互联网生态环境的变化，不仅没有减少数据传输中的安全风险，反而从侧面加剧了入侵技术的发展。入侵检测系统能够及时发现网络中的入侵行为，并加以干预，降低数据安全风险。随着网络技术的更新迭代，传统的网络入侵检测技术已不适应时代的发展要求。

传统的入侵检测系统程序多为手动编写，工作量大，本身也存在一定的局限性，检测方法有限，无法及时发现规则库之外的攻击，难以实现实时、高效地检测。与此同时，入侵检测系统(Intrusion Detection System，IDS）本身也可能成为攻击目标。对此，本文以网络入侵检测系统的设计为论点，分析其中的概念行内容，并设计了一种网络入侵检测系统，该系统通过对已有入侵数据进行检测和分析，利用关联规则，建立检测系统规则库，使系统具有良好的扩展性，并通过实验结果分析防御外部入侵检测的措施。

1 网络入侵检测的概述

1.1 网络入侵检测

顾名思义，网络入侵检测只有同时具备网络入侵行为与入侵检测行为两部分动作，方可完成对检测闭环的干预。为第一时间发现外界对网络安全系统的入侵行为，该检测系统需要实时、稳定运行，能实时对访问者DNS码等数据进行检测，一旦发现存在异常行为，应能第一时间加以干预或禁止访问。

IDS是一种兼具个安全软件和硬件功能的独立系统。能够对生产过程进行自动监测分析［1］。这一系统能够探测未经许可的物体(人或程序）的入侵企图或行为，同时监测授权物体对系统资源的非法操作。IDS检测到的入侵行为通常包括如下几个方面：(1）从系统的各个环节收集信息，对信息进行分析，试图发现入侵行为的特点。(2）通过自动响应检测到的行为，记录和报告检查结果。(3）该技术具有实时响应特点，能够通过对信息的监测，分析指令行为，及时发现入侵动作，减少指令对内外部数据的入侵行为，同时也可通过监测自身数据行为是否正确，在规范自身操作指令的同时，防止外界数据入侵，从而达到保障网络系统安全运行的效能。这套IDS系统在一定程度上弥补了防火墙的缺陷。

1.2 网络入侵检测的重要性

计算机网络安全运行需要多种内外部条件支持，在保证系统提供安全服务的前提下，也需要保证数据的安全性特点。随着世界互联网技术水平的整体发展，连接进入网络的用户也在不断增加，巨大用户需求与安全信息防护需求背景，衍生出入侵检测这一技术。如何寻求信息安全与网络服务间的平衡，减少系统受到的外来入侵者的攻击成为目前网络安全领域亟待解决的问题之一。若单一应用防火墙技术，将会出现部分入侵行为难以被识别的问题。入侵检测技术作为对网络防火墙技术的有益补充，能够提升信息传输过程中的安全防护水平，保证网络系统运行机制的安全性。

该技术在进行网络入侵检测时，具有五大安全防护行为：第一，能识别入侵行为；第二，能确定入侵数据的来源；第三，能有效对数据的行为倾向进行监测与预判；第四，能对入侵信息及时响应并发送报告给网络安全管理人员，将网络入侵行为的危害降到最低；第五，能识别出防火墙技术无法识别的网络入侵行为。可见，开展网络入侵检测，能够为网络数据安全提供一条有力的实践路径。

目前的网络入侵检测产品大多采用单数据包模式匹配检测方法，如何提高这种方法在处理大规模模式集时的检测效率和整体性能已经成为研究的焦点［2］。有必要对现有的网络入侵检测技术进行检测与深入分析，分析其中存在的问题，并针对性地设计出实用性强、防护性高、响应快的入侵检测系统，为我国的网络数据安全保护提供研究数据支持。

1.3 网络入侵检测的工作流程

入侵检测的工作流程可以大致分为以下几个步骤：(1）从系统的不同环节收集信息；(2）分析该信息，试图寻找入侵活动的特征；(3）自动对检测到的行为做出响应；(4）纪录并报告检测过程结果。

1.4 入侵检测方法和技术

当前，各地安全部门常用的入侵检测方式可归纳为如下4种：(1）移动代理型：适合大规模信息数据的收集与处理；(2）软件计算方法型：主要以神经网络检测为代表，具备深度学习机制，是日后网络入侵检测的主流技术；(3）统计方法性：通过将数据指令的行为与日常行为发生的概率作比较，若两者差异较大，则被定性为异常活动；(4）专家系统型：以“智库”为支持，网络安全防护人员通过定时更新专家系统数据库，保障知识库内数据的完备性，以便灵敏识别最新的入侵行为，并做出响应。

但是仍需注意的是，在网络安全技术发展的同时，网络入侵技术也在不断发展。唯有网络安全技术发展优于网络入侵技术时，才能保证数据的安全。上文中所提及的4种安全检测方式，并不能一劳永逸，检测出所有的数据入侵行为。故网络安全技术人员在开展安防工作时，应根据自身处理数据类型的不同，选取合适的入侵检测方式。从国内外入侵检测技术最新发展的情况来看，异常发现技术＋发现技术仍为入侵检测技术发展的主流，在人工智能的不断发展下，一种基于深度学习的神经网络安全入侵检测技术，将广泛地应用于数据安全防护领域中。

2 网络入侵检测的分类

2.1 根据其所采用的分析方法进行分类

以分析方法不同为归类准则，可将其分为两类：(1）误用检测：较为依赖数据库中所积累的已知攻击行为数据，对于最新的并未纳入数据库中的攻击行为则不能灵敏响应。同时，若入侵数据代码存在伪装机制，那么误用检测则可能出现错误识别，将入侵行为错误地认为是正确行为，从而影响安全防护的可靠性。(2）异常检测：可作为误用检测的一种补充技术，能够对新型的、从未见过的入侵行为进行响应。其数据监测的原理是给予统计学分析技术，但缺点在于，针对非常规的正常指令，该系统也能进行拦截，从而出现误报的现象。因此在应用该技术时，需要配备专业的数据安全专家，以人工角度再次对数据的行为所属进行定性，确保系统的安全运行。

2.2 根据其检测对象进行分类

2.2.1 主机型入侵检测

该检测方式常应用于UNIS系统中，能够执对数据的行为进行安全检测、对不同事件的行为进行定性，并对系统中的指令进行实时监测。例如，在修改文件时，利用HIDS比较新纪录项和已知攻击特征，以判断它们是否匹配。如果匹配，则通知系统管理员。该系统还将基于主机的入侵检测技术引入开发，通过预先输入定期定时检测代码，在一定时间间隔内对数据库中重要的内容进行安全核查，检查是否有木马入侵或病毒感染现象。一旦发现异常情况，可及时通知技术人员。此外，在检测过程中，该检测方式经常应用到统计学分析，通过系统对指令的响应时间进行计算，在访问特定端口时，访问时间出现异常变化，系统也将及时响应［2］。

2.2.2 网络型入侵检测

IDS以数据包为分析数据源，通常用一块网卡在混合模式下工作，通过网络对数据流进行实时监测和分析。当入侵行为发生时，该系统的安全检测模块将快速做出响应，并将数据上报给网络安全管理人员。同时第一时间做干预，例如中止用户的访问权限、停止系统服务等。分析当前各大安防中心常用的网络安全入侵检方式，结果表明，基于网络的入侵检测系统最为常见［3］，而且在互联网之外，可以用防火墙之外的探测器进行检测。因为E-mail和Web服务器通常是攻击的目标，但是它们需要与外部网络进行交互，并且不能完全屏蔽，所以基于主机的入侵检测系统应该安装在不同的服务器上，并向分析人员发送报告。

2.2.3 基于多个网络/基础设施的入侵检测

在该模式下，入侵检测系统做出的行为响应模式与上述两类方式有显著差别，其主要方式为紧急事件反应。因为该系统在运行时，需要与多个网络基站间建立联系，若想要充分发挥每个监控实体的监测效能，则需要建立顺畅的信息沟通机制，保证各个IDS模块间的输出数据均能被有效传递、有效分析、有效利用［4］。

对上述3种入侵检测技术进行研究能够发现，任何一种技术都有其适用面，但同时也存在一定的不足。一套完善的网络安全检测系统绝对不是基于单一一种组织架构的，而是多种组织架构的融合，各数据处理技术间呈间断分布式分布，同时兼具网络检测与主机检测两种技术［5］。目前仍存在的问题是，相关匹配技术的发展与日俱增，IDS系统模型的安全可靠性水平却是随着时间的延长而抵减的，目前并没有一种可以一劳永逸的IDS技术能够完全实现自动检测并阻止攻击，一般都需要进行实时更新，方可满足某一时期的信息安全检测需求。

3 入侵检测设计与实验

3.1 整体设计思路

随着5G技术的不断发展，云化架构在网络安全管理中应用范围愈发广泛。在虚拟机的安全防护方面，应重点在其中安排编排组件、应用组件、虚拟机监测及入侵监测系统。其中，入侵检测系统为网络安全防护第一步。为进一步减少网络入侵对数据安全造成的影响，当前的网络入侵检测系统一旦检测出异常情况，将立即启动隔离应用程序，并对进入系统的各个用户处理权限及行为进行足迹追踪，甚至确定目标IP。若发现某一用户当天或当月试图高频访问时，入侵检测系统应及时向管理人员发送入侵检测预警信号，并在近阶段由人工授权方式决定用户能否访问本端口。

3.2 入侵检测系统设计

整个IDS系统设计的核心内容是：挖掘数据间的关联规则，挖掘数据间的序列规则，根据规则定义进行分类识别，以便对网络数据进行及时、有效的分析。因为不同的系统模型对应不同的数据挖掘算法，IDS放源代码能够有效地应对大多数网络攻击［6］。但Snort检测模型效率不高，且存在误报、漏报现象，由于不能实现实时动态检测，需要对Snort检测模型进行改进，本文的总体设计思路如下：(1）在Snort检测模型中加入正常行为模块，对网络行为进行有针对性的规则关联分析和聚类分析，根据规则过滤出已知行为信息，从而获取异常数据；(2）通过增加规则匹配模块，提高系统的动态生成效果；(3）采用动态扩展机制，及时有效地对规则库进行更新迭代，提高规则库的完整性［7］。

本设计选取了一个网络适配器对所有网络传输数据进行实时监控与分析，选用网络接口引擎、探测器、过滤器对元器件做网络数据的采集一分析，其中入侵分析模块为核心。当确保各项软硬件及元件配备完善后，即可进行系统软件设计。首先为设计snort页面，一个IP地址仅对应一个页面。当系统检测出页面数据发生改变时，则重新依照规则文件流程开展检测。检测流程可按照如下流程开展：分析传输文件存储数量级水平，并对检测文件中是否含有危险入侵信息进行判断。若入侵信息监测异常，则终止后续操作。若信息监测安全，应等待规则文件展示数量增加时，按照实际信息比例扩大snort页面数据展示范围，并总结规则文件，结束整个流程。在分析信息危险水平时，应对访问端口的入侵行为过滤系数进行整体分析，在分析过程中，应注意收集如下数据：规格文件的平均数量级水平、微信入侵信息相关量化差、单位时间内数据信息输入量、系统数据访问识别权限等数据精确参数，最终代入如下公式：构建出过滤系数计算结果。

3.2 网络入侵检测实验

本文使用KDDCUP99典型数据集，这是一个信息丰富且包含非训练网络数据的测试集，它通过具有识别特征的训练模拟真实的网络攻击环境［8］。前提是构建硬件和软件环境，本文所用的主机服务器是Intel7处理器，32 G内存，1T硬盘，基于VC＋＋6.0开发环境，利用KDDCUP99测试数据集，MySQL8.0.11版数据库，Windows7操作系统，通过分析网络入侵检测系统的误报、漏报和检测时间，本研究对该方法的有效性进行了评价。实验结果表明，不同算法和软件系统的搭配会造成大约5%的检测差距［9］。

4 结语

当下社会进入信息时代，网络技术迅猛发展，在给人们的生活带来便利的同时，也会发生一定程度的信息泄露。网络入侵检测是否能保障个人隐私和财产安全已成为亟待解决的问题。为了更好地应对人为入侵，网络入侵检测技术需要进行多种调整，应用层检测和自适应检测将会是今后的发展方向。