入侵檢測技術范例6篇

前言：中文期刊網精心挑選了入侵檢測技術范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

入侵檢測技術范文1

【關鍵詞】網絡安全；入侵檢測；技術

隨著互聯網使用在我們日常工作生活中的使用日益頻繁以及相關網絡技術的飛速發展，網絡入侵技術已經得到了相當程度的普及，越來越多的人使用黑客工具對網絡上的其他用戶進行攻擊，由此引發的網絡安全問題也隨之越來越嚴重，很多組織正在致力于提出更多的更強大的主動策略和方案來增強網絡的安全性，傳統的各種靜態安全防御體系，如防火墻、身份認證及數據加密技術雖然已經比較成熟，但這些技術并不能夠組建成完整的安全防御體系。因此，入侵檢測技術就應運而生，在入侵檢測之前，大量的安全機制都是根據從主觀的角度設計的，他們沒有根據網絡攻擊的具體行為來決定安全對策。因此，它們對入侵行為的反應非常遲鈍，很難發現未知的攻擊行為，不能根據網絡行為的變化來及時地調整系統的安全策略。而入侵檢測能夠根據網絡攻擊行為的蹤跡和規律發現入侵行為，是一種動態的網絡安全系統，它不僅可以發現已知入侵行為，還能夠發現未知的入侵行為，并可以通過自我學習和分析入侵手段，及時地調整系統策略以加強系統的安全性。

一、入侵檢測的定義

入侵檢測是對防火墻的合理補充或補償，處于防火墻之后對網絡活動進行實時檢測，從系統（網絡）的關鍵點采集信息并分析信息，察看系統（網絡）中是否有違法安全策略的行為，保證系統（網絡）的安全性，完整性和可用性。[1]它是幫助系統對付網絡攻擊的積極防御技術，擴展系統管理員的安全管理能力，提高信息安全基礎架構的完整性。

二、入侵檢測的系統功能構成

一個入侵檢測系統的功能結構至少包含事件提取、入侵分析、入侵響應和遠程管理四部分功能。

入侵分析的任務就是在提取到的運行數據中找出入侵的痕跡，將授權的正常訪問行為和非授權的不正常訪問行為區分開，分析出入侵行為并對入侵者進行定位。入侵響應功能在分析出入侵行為后被觸發，根據入侵行為產生響應。由于單個入侵檢測系統的檢測能力和檢測范圍的限制，入侵檢測系統一般采用分布監視集中管理的結構，多個檢測單元運行于網絡中的各個網段或系統上，通過遠程管理功能在一臺管理站點上實現統一的管理和監控。[2]

三、入侵檢測的技術分類

入侵檢測系統按照數據來源收集方式的不同，分為基于網絡的入侵檢測系統和基于主機的入侵檢測系統兩種。

1.基于網絡的入侵檢測系統

基于網絡的入侵檢測系統通過分析主機之間網線上傳輸的信息來工作的，它一般是利用一個工作在“混雜模式”下的網卡來實時監視并分析通過網絡的數據流。在Internet中，任何一臺主機發送的數據包，都會在所經過的網絡中進行廣播，也就是說，任何一臺主機接收和發送的數據都可以被同一網絡內的其他主機接收。在正常設置下，主機的網卡對每一個到達的數據包進行過濾，只將目的地址是本機的或廣播地址的數據包放入接收緩沖區，而將其他數據包丟棄，因此，正常情況下網絡上的主機表現為只關心與本機有關的數據包，但是將網卡的接收模式進行適當的設置后就可以改變網卡的過濾策略，使網卡能夠接收經過本網段的所有數據包，無論這些數據包的目的地是否是該主機。網卡的這種接收模式被稱為混雜模式，目前絕大部分網卡都提供這種設置，因此，在需要的時候，對網卡進行合理的設置就能獲得經過本網段的所有通信信息，從而實現網絡監視的功能。在其他網絡環境下，雖然可能不采用廣播的方式傳送報文，但目前很多路由設備或交換機都提供數據報文監視功能。

2.基于主機的入侵檢測系統

基于主機的入侵檢測系統是比較早期的入侵檢測系統結構，它的檢測目的主要是主機系統和系統本地用戶，檢測原理是根據主機的審計日志信息發現不正常的事件，檢測系統可以運行在被檢測的主機上，還可以運行在單獨的主機上。

檢測系統設置以發現不正當的系統設置和系統設置的不正當更改對系統安全狀態進行定期檢查以發現不正常的安全狀態。

基于主機日志的安全審計，通過分析主機日志來發現入侵行為?；谥鳈C的入侵檢測系統具有檢測效率高，分析代價小，分析速度快的特點，能夠迅速并準確地定位入侵者，并可以結合操作系統和應用程序的行為特征對入侵進行進一步分析。[3]目前很多是基于主機日志分析的入侵檢測系統?；谥鳈C的入侵檢測系統存在的問題是：首先它在一定程度上依賴于系統的可靠性，它要求系統本身應該具備基本的安全功能并具有合理的設置，然后才能提取入侵信息；即使進行了正確的設置，對操作系統熟悉的攻擊者仍然有可能在入侵行為完成后及時地將系統日志抹去，從而不被發覺；并且主機的日志能夠提供的信息有限，有的入侵手段和途徑不會在日志中有所反映，日志系統對有的入侵行為不能做出正確的響應，例如利用網絡協議棧的漏洞進行的攻擊，通過ping命令發送大數據包，造成系統協議棧溢出而死機，或是利用ARP欺騙來偽裝成其他主機進行通信，這些手段都不會被高層的日志記錄下來。在數據提取的實時性、充分性、可靠性方面基于主機日志的入侵檢測系統不如基于網絡的入侵檢測系統。[4]

四、入侵檢測的技術發展方向

如今，入侵檢測系統的技術發展方向有以下幾個：

1.分布式入侵檢測與通用入侵檢測架構

傳統的IDS一般局限于單一的主機或網絡架構，對異構系統及大規模的網絡的監測明顯不足。同時不同的IDS系統之間不能協同工作能力，為解決這一問題，需要分布式入侵檢測技術與通用入侵檢測架構。[5]

2.應用層入侵檢測

許多入侵的語義只有在應用層才能理解，而目前的IDS僅能檢測如WEB之類的通用協議，而不能處理如Lotus Notes、數據庫系統等其他的應用系統。[6]許多基于客戶、服務器結構與中間件技術及對象技術的大型應用，需要應用層的入侵檢測保護。

3.智能的入侵檢測

入侵方法越來越多樣化與綜合化，盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究，但是這只是一些嘗試性的研究工作，需要對智能化的IDS加以進一步的研究以解決其自學習與自適應能力。

入侵檢測技術作為一種主動的安全防護技術，對網絡系統的安全提供全方位的保護。但是，由于網絡技術的快速發展以及目前檢測方法還不是十分有效，因此，在以后相當長的一個時期內，入侵檢測系統仍會是網絡信息安全領域內的一個相當重要的研究課題，其主要目標還是盡量降低以至消除誤報和漏報。

參考文獻：

[1]劉奇有，程思遠.淺談網絡入侵檢測技術[J].電信工程技術與標準化，2000（1）：65-68.

[2]王玉梅，張常有，尹士閃.網絡入侵檢測技術研究[J].軟件導刊，2007（10）：117-118.

[3][美]Rebecca Gurley Bace.入侵檢測[M].人民郵電出版社，1991.

[4]王鳳英，程震.網絡與信息安全[M].北京：中國鐵道出版社，2006.

[5]朱艷萍，楊意飛.基于人工免疫的入侵檢測技術研究[J].軟件導刊，2008（4）：75-76.

入侵檢測技術范文2

入侵檢測是檢測和識別針對計算機系統和網絡系統，或者更廣泛意義上的信息系統的非法攻擊，或者違反安全策略事件的過程。它從計算機系統或者網絡環境中采集數據，分析數據，發現可疑攻擊行為或者異常事件，并采取一定的響應措施攔截攻擊行為，降低可能的損失。在入侵檢測系統中，系統將用戶的當前操作所產生的數據同用戶的歷史操作數據根據一定的算法進行檢測，從而判斷用戶的當前操作是否屬于入侵行為，然后系統根據檢測結果采取相應的行動。入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。入侵檢測系統能很好地彌補防火墻的不足，從某種意義上說是防火墻的補充。入侵檢測技術是計算機安全技術中的重要部分，它從計算機系統中的若干關鍵點收集信息，并分析這些信息，檢測計算機系統中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測系統在幾乎不影響計算機系統性能的情況下能對計算機系統進行實時監測，并對系統提供針對內部攻擊、外部攻擊和誤操作的實時保護。入侵檢測技術通過對入侵行為的過程與特征的研究，使安全系統對入侵事件和入侵過程能做出實時響應。入侵檢測技術擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性。

2入侵檢測技術分類

（1）從數據的來源看

入侵檢測通常可以分為兩類:基于主機的入侵檢測和基于網絡的入侵檢測?；谥鳈C的入侵檢測通常從主機的審計記錄和日志文件中獲得所需的主要數據源，并輔之以主機上的其他信息，例如文件系統屬性、進程狀態等，在此基礎上完成檢測攻擊行為的任務。基于網絡的入侵檢測通過監聽網絡中的數據包來獲得必要的數據來源，并通過協議分析、特征匹配、統計分析等手段發現當前發生的攻擊行為。從數據分析手段來看，入侵檢測通常又可以分為兩類:誤用入侵檢測和異常入侵檢測。誤用檢測的技術基礎是分析各種類型的攻擊手段，并找出可能的“攻擊特征”集合。誤入侵檢測的定義為:識別針對計算機或網絡資源的惡意企圖和行為，并對此做出反應的過程。入侵檢測系統則是完成如上功能的獨立系統。入侵檢測系統能夠檢測未授權對象，針對系統的入侵企圖或行為，同時監控授權對象對系統資源的非法操作。

（2）從數據分析手段看

入侵檢測通常可以兩類：濫用入侵檢測和異常入侵檢測。濫用入侵檢測的技術基礎是分析各種類型的攻擊手段，并找出可能的“攻擊特征”集合形成特征庫或者模式庫，濫用入侵檢測利用形成的特征庫，對當前的數據來源進行各種分析處理后，再進行特征匹配或者規則匹配工作，如果發現滿足條件的匹配，則指示已經發生了一次攻擊行為然后入侵檢測系統的響應單元做出相應的處理。異常入侵檢測是通過觀察當前活動與系統歷史正常活動情況之間的差異來實現。這就需要異常入侵檢測建立一個關于系統正?；顒拥臓顟B模型并不斷更新，然后將用戶當前的活動情況與這個正常模型進行對比，如果發現了超過設定值的差異程度，則指示發現了非法攻擊行為。

相比較而言，濫用入侵檢測比異常入侵檢測具備更好的確定解釋能力，即明確指示當前發生的攻擊手段類型，另外，濫用入侵檢測具備較高的檢測率和較低的虛警率，開發規則庫和特征集合相對于建立系統正常模型而言，要更容易、更方便。但是，濫用入侵檢測只能檢測到已知的攻擊模式，模式庫只有不段更新才能檢測到新的攻擊類型。而異常檢測的優點是可以檢測到未知的入侵行為，盡管可能無法明確指示是何種類型。從現有的實際系統來看，大多數都是基于濫用入侵檢測技術，同時也結合使用異常入侵檢測技術，提高了檢測率并降低了虛警率。

3數據庫系統的安全

數據庫系統的安全框架可分為三個層次:網絡系統層次、宿主操作系統層次和數據庫管理系統層次。由于數據庫系統在操作系統下都是以文件形式進行管理的，因此入侵者可以直接利用操作系統的漏洞竊取數據庫文件，或者直接利用OS工具來非法偽造、篡改數據庫文件內容。因此，數據庫系統的安全性很大程度上依賴于數據庫管理系統。如果數據庫管理系統安全機制非常強大，則數據庫系統的安全性能就較好。根據數據庫安全的三個層次，筆者提出了一個數據庫入侵檢測系統，其外層用基于網絡的入侵檢測，中間層用基于主機的入侵檢測，內層采用入侵容忍。此系統采用系統整體安全策略，綜合多種安全措施，實現了系統關鍵功能的安全性和健壯性。

4數據庫入侵檢測技術

數據庫入侵檢測系統的研究與設計借鑒了針對網絡和針對主機的入侵檢測技術，在此基礎上，又考慮了數據庫自身的特點。按照檢測方法分為:誤用檢測和反常檢測。

（1）數據庫誤用檢測

誤用檢測是指將已知的攻擊特征存儲在誤用特征知識庫里面，然后根據用戶的當前操作行為與知識庫里的誤用入侵規則進行匹配檢驗，如果符合知識庫中的入侵特征，則說明發生了入侵。誤用特征知識庫中的入侵規則由安全專家定義，可以隨時添加、修改，然后保存在知識庫中，用來對審計數據進行匹配比較。誤用檢測的優點是檢測的準確率高，缺點是只能對已知的攻擊特征進行匹配檢驗，對未知的攻擊類型無法發現，而對未知攻擊類型的檢測要依靠異常檢測。所以，誤用檢測常常與異常檢測結合起來使用。

（2）數據庫反常入侵檢測

反常檢測是指將用戶正常的習慣行為特征存儲在特征數據庫中，然后將用戶當前行為特征與特征數據庫中的特征進行比較，若兩者偏差足夠大，則說明發生了反常。這種方法的優勢在于它能從大量數據中提取人們感興趣的、事先未知的知識和規律，而不依賴經驗，應用在基于數據庫的入侵檢測系統中，可以從大量的數據中發現有助于檢測的知識和規則。

參考文獻：

［1］唐正軍.入侵檢測技術導論［M］.機械工業出版社,2004.

［2］戴英俠,連一峰,王航.系統安全與入侵檢測［M］.清華大學出版社,2002.

［3］玄加林,才書訓.入侵監測系統現狀與展望［J］.計算機時代,2005,8.

［4］李新遠,吳宇紅,狄文遠.基于數據發掘的入侵檢測建模［J］.計算機工程,2002,2.

［5］胡昌振.網絡入侵檢測原理與技術［M］.北京理工大學出版社,1996.

入侵檢測技術范文3

第三次科技革命開展以來，世界越來越被連成一個整體，信息技術的高速發展使得信息的傳遞和使用常態化，作為當今最大的發展中國家，計算機數據庫系統的安全與穩定關系到國家安全和人民生活的隱私保護。由于人們對使用網絡技術的追求不斷提高，當前如何保護計算機數據庫問題成了社會各界關注的重點，本文以計算機數據庫入手，分析如何通過計算機數據庫入侵檢測技術以保護計算機數據庫。

關鍵詞：

計算機數據庫；入侵檢測技術；分析

隨著當前互聯網技術的不斷發展，人們的生活已經進入到計算機時代，各種信息的傳遞和應用，凸顯了網絡技術無可比擬的優越性。但是，任何事物都有優缺點，互聯網技術也存在安全問題。由于計算機網絡是一個開放的、自由的平臺，其在使用過程中也存在巨大的安全隱患，黑客的存在使得計算機數據庫的安全問題成為當前保護計算機網絡安全急需解決的首要問題。

一、防范計算機數據庫入侵的重要性

所謂的計算機數據庫保護，就是通過建立一種入侵檢測技術，及時發現系統可能存在的漏洞，然后針對這些漏洞查明原因，再根據具體的問題提出解決的措施，以及時應對出現的問題。數據庫作為計算機系統的核心部位，關系到對整個信息的保護與整理，關系到國家、集體和個人的利益問題。當前，由于黑客的存在使得計算機信息的保密性、安全性、可靠性問題受到巨大的挑戰，如果計算機數據庫遭到黑客入侵，將會帶來巨大的損失。所以，在經濟、科技高速發展的今天，隨著社會各方面競爭的不斷加劇，如何盡最大可能保護整個信息系統的安全，關系到一個社會文化、經濟等的健康、快速發展。

二、計算機數據庫入侵檢測技術的功能

計算機數據庫入侵檢測技術按照檢測方法的不同可以分成兩種類型，分別為反常檢測和誤用檢測，下文將對此進行詳細介紹。1.反常入侵檢測。反常入侵檢測就是指計算機數據庫中會存儲用戶平時習慣性的行為特征，將用戶本次的操作行為特征和數據庫中存儲的行為特征進行比較，如果二者之間的差距比較大，就說明此次操作出現了反常。這種入侵檢測方法的優點就是可以掌握用戶的操作習慣，當發生問題時可以不依靠經驗而從大量的數據信息中找出有用的信息。2.誤用入侵檢測。所謂誤用入侵檢測就是指知識庫中會存儲一些已經知道了的入侵行為特征，將用戶此次的行為特征和知識庫中已經儲存的入侵行為特征進行比對，如果二者之間沒有差別，則說明出現了誤用入侵行為。知識庫中所存儲的入侵信息是由專業的人員進行設定的，相關負責人員可以對知識庫中存儲的信息進行修改、編輯。這種入侵檢測方法最大的優點就是準確性比較高。但也存在一定的局限性，即只能對已知的入侵行為進行檢測，如果出現未知的入侵行為則無法使用這種方法。通常情況下，會將反常入侵檢測和誤用入侵檢測結合在一起使用。

三、計算機數據庫入侵檢測技術存在的問題

相比于國外發達國家而言，我國在計算機數據庫入侵檢測技術領域的研究起步比較晚，現階段我國的計算機數據庫入侵檢測技術研究仍處于初始階段，發展速度比較緩慢，檢測系統也不完善，很多高新技術還處于理論研究階段，難以發揮實際的作用。目前，我國計算機數據庫入侵檢測技術還存下述幾個方面的問題。

1.誤報率比較高。計算機數據庫作為計算機系統的核心部位，包含了大量的計算機信息資源，不僅信息量巨大，而且內容復雜、分類繁瑣。在對這些信息進行保護或者是檢測的過程中，僅僅是單純依靠防火墻將很難達到理想的效果?，F有的檢測技術不能正確的將可能出現的問題完全檢測出來，例如對于一些比較隱蔽的問題，沒有通過檢測技術找出來；對于一些正確的、安全的信息被認為是具有攻擊性的、來自外部的信息，這些都有可能影響檢測系統的正常運行，從而降低檢測效率，誤報可能性高，大大降低了數據庫的質量。

2.檢測效率低。計算機數據庫入侵檢測系統的存在就是為了能及時發現可能出現的信息入侵，及時識別并生成數據，做出對攻擊行為的判斷，以此保護計算機數據庫的安全。但是，由于網絡攻擊行為是將二進制碼轉換后完成的，所以檢測系統還需要先匹配大量二進制碼，將其編碼后才能做出是否攻擊的行為判斷。這些過程和步驟都需要有高效率的計算量做保障，因此，由于當前的檢測技術存在問題，導致檢測效率低，不僅浪費時間，而且浪費檢測費用，使得計算機數據庫的安全問題得不到及時、有效的保障。

3.入侵檢測系統自身防護能力差。計算機技術本就是與相關專業知識、理論體系緊密結合的專業技術，其在發展過程中需要大量具有專業素質的人才。然而在檢測技術發展過程中，由于我國起步較晚，檢測技術發展存在一些無法忽視的漏洞和安全隱患，同時，相關專業知識儲備的人才較少，導致檢測技術本身就存在大量的問題。檢測技術的存在本就是為了保護計算機數據庫，但是如果有專業的外部攻擊或者是病毒入侵，檢測技術很難自保，極易出現檢測系統不能正常運轉或者是崩潰的局面。

四、計算機數據庫入侵檢測技術的應用分析

1.計算機數據庫系統。在對計算機數據庫系統進行保護的過程中，利用入侵檢測技術及時發現此系統下可能出現的問題的一個重要方法就是針對計算機數據庫本身的結構，將計算機數據庫合理劃分成不同的層次，然后對其進行分類別保護。我們知道，計算機數據庫的管理系統層、宿主的操作系統層和網絡系統層是計算機數據庫系統的三個重要組成層次，因此，計算機數據庫的入侵檢測技術可以從這三個層面進行分析，并通過研究不同層面的技術以保護計算機數據庫系統。例如，對于其外層來說，利用基于網絡系統的入侵檢測技術；針對中層來說，主要是利用主機系統，通過制訂路徑檢測技術以實現對數據庫的檢測；針對內層來說，通過建立入侵容忍技術以不斷完善檢測技術。

2.建立計算機數據庫入侵檢測系統模型。對于計算機數據庫入侵檢測系統來說，其對入侵系統和攻擊行為的檢測不是單一的過程，需要各個步驟之間相互配合，通過采集數據、處理數據、挖掘數據、知識的規則庫、提取特征、入侵檢測六個方面以實現對數據庫的檢測與分析。從這六個過程的本質可以看出其包含三個板塊，包括采集數據模塊、檢測分析數據模塊和報警響應模塊，通過這三個模塊的應用，可以根據收集到的原有數據了解正常模式下的操作數據，從而與現有的數據相對比，檢測計算機數據庫是否遭到不合理入侵，是否需要出具警示標志，是否需要做出行動阻止這些行為。因此通過規范的檢測步驟和條理清晰的模塊組織以實現對計算機數據庫的保護。

3.建立統一的數據庫知識標準。掌握計算機數據庫入侵的特點對于實施計算機數據庫入侵檢測技術具有一定的幫助，因此要重視計算機數據庫入侵特點的分析和研究。在數據挖掘領域比較常用的一種方法就是相關研究。通過相關研究可以將潛在入侵行為進行整理研究，從而加快對潛在入侵行為的處理速度。此外，采用這種方法主要包括兩個方面的內容。第一，就是檢查數據庫復雜項集，一般都是通過迭代技術完成檢查任務。在檢查數據庫復雜項集時需要重新掃描數據庫，以確保其準確性；第二，要采用一定的方法將復雜項集轉換成相關的規定，完成這個轉換過程就會生產另一種規則，系統會按照新的規則繼續運行。因此，為了防止計算機數據庫入侵行為的發生，要建立統一的數據庫知識標準，加強計算機數據庫的防御性。

五、總結

依靠科技技術、知識的發展，進入信息時代的今天，國家經濟的發展、人民的生活已經離不開計算機網絡系統。針對信息系統出現的一系列安全問題，為保障國家安全與維護集體利益，通過研發與利用新的計算機數據庫入侵檢測技術，及時發現可能出現的攻擊行為和信息入侵，通過提高檢測效率和增加檢測識別的準確性以實現對計算機數據庫的保護，維護計算機數據庫的安全。

參考文獻：

[1]樂瑞卿.計算機數據庫入侵檢測技術的探討[J].計算機光盤軟件與應用，2011

[2]馬黎.王化喆.試析計算機數據庫入侵檢測技術的應用[J].商丘職業技術學院學報，2015

入侵檢測技術范文4

關鍵詞:入侵檢測;網絡安全;計算機應用;信息;程序設計;VC

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2010) 03-0026-01

Network Intrusion Detection Technology Analysis and Applied Research

Lu Li,Lu Yi

(Changsha City Health School,Changsha 410100,China)

Abstract:Firstly thesis analyse the concept of intrusion detection, pointing out the development of intrusion detection, with data analysis view, point out its basic classification. As a practice,finally gives a basic network intrusion detection program implementation, in order to play a reference role in program development

Keywords:Intrusion detection;Network security;Computer applications;Information;Program design;VC

一、入侵檢測技術綜述

(一)入侵檢測的技術分類

當前入侵檢測技術,從數據分析角度不同,可以分為誤用模型的入侵檢測以及異常入侵檢測系統兩種。前者做一個基本假設:一切來自網絡及本地的安全入侵都可以按某種方式被精確地編碼,并通過對已知的各種入侵形式進行相應的編碼,來構成入侵模式庫。這種方式通過采樣網絡安全相關的特征數據,而且與入侵模式庫中的模式進行匹配來實現。異常檢測系統首先通過對宿主計算機系統中的一組與安全相關的特征屬性的取值進行統計和分析,為系統正常運行狀態下的行為建立起一個特征輪廓印。然后不斷監測這些安全相關特征屬性的實時取值,與正常行為特征輪廓出現大的差異時檢測入侵。

二、入侵檢測的程序實踐

(一)系統總體設計

本系統將實現為一個基于網絡的入侵檢測系統,本系統采用誤用檢測技術。與普通的采用誤用檢測技術的入侵檢測系統相比,該系統內部并沒有設置復雜的特征庫,所有的入侵模式都要用戶自己設置,然后依據這些模式對入侵行為進行攔截或放行。

(二)系統功能模塊

1.網絡數據收集及檢測引擎

本部分采用應用層截包方案,即在驅動程序中截包,然后送到應用層處理的工作模式。在應用層工作,改變了工作模式,每當驅動程序截到數據,送到應用層處理后再次送回內核,再向上傳遞到IP協議。綜合考慮各種因素,本部分決定采用應用層的截包方案。

2.驅動程序攔截網絡數據包的方式

利用驅動程序攔截網絡數據包的方式很多,本系統采用Win2k Filter-Hook Driver攔截數據包。在win2000設備程序開發包(DDK)中,微軟包含一個新的命名為Filter-Hook Driver的網絡驅動程序。本程序采用 DrvFltIp.sys 驅動程序實現IP協議過濾。其中回調函數是這類驅程的主體部分。DrvFltIp.sys IP過濾驅動程序使用這個過濾鉤子來判斷IP數據包的處理方式。所注冊的過濾鉤子是用PacketFilterExtensionPtr數據類型定義的。Filter-Hook使用該I/O控制碼建立一個IRP,并將其提交給IP過濾驅動程序。該控制碼向IP過濾驅動程序注冊過濾鉤子回調函數,當有數據包發送或者接收時,IP過濾驅動程序調用這些回調函數。在本系統中定義了四種設備控制代碼。分別是開始過濾、停止過濾、添加過濾規則、清除過濾規則:

#define START_IP_HOOK CTL_CODE(FILE_DEVICE_DRVFLTIP,

DRVFLTIP_IOCTL_INDEX,METHOD_BUFFERED, FILE_ANY_ACCESS)

#define STOP_IP_HOOK CTL_CODE(FILE_DEVICE_DRVFLTIP,

DRVFLTIP_IOCTL_INDEX+1,METHOD_BUFFERED,FILE_ANY_ACCE SS)

#define ADD_FILTER CTL_CODE(FILE_DEVICE_DRVFLTIP,

DRVFLTIP_IOCTL_INDEX+2,METHOD_BUFFERED,FILE_WRITE_ACC ESS)

#define CLEAR_FILTER CTL_CODE(FILE_DEVICE_DRVFLTIP,

DRVFLTIP_IOCTL_INDEX+3,METHOD_BUFFERED,FILE_ANY_ACCES S)

3.SCM管理器

程序通過SCM管理器創建或打開服務。首先通過語句OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);打開SCM管理器,然后通過CreateService(m_hSCM, IpFltDrv,SERVIC E_AL L_ACCESS,SERVICE_KERNEL_DRIVER,SERVICE_DEMAND_START, SERVIC E_ERROR_NORMAL, IpFltDrv.sys, NULL, 0, NULL, NULL, NULL)啟動IP過濾驅動;啟動IP過濾驅動后,要啟動IP過濾鉤子驅動,其中驅動程序收到上層發過來的控制代碼后即按照注冊的鉤子函數進行入侵檢測。

4.攻擊模式庫

該部分由用戶自己設置。針對特定的攻擊,設置攻擊的源IP,端口,及子網掩碼,目的IP,端口,及子網掩碼,然后選擇要攔截或放行的協議類型。每一次設置相當于一條記錄,可以設置多條記錄,攻擊模式庫即由這些記錄共同構成。

三、總結

驅動程序會按照用戶的選擇對攔截的數據包進行處理,在報警及響應過程完畢后,點擊菜單項的ShowReport選項,會對遭受的攻擊及處理的結果作出響應。該系統可以較好的完成入侵檢測的功能,保證網絡的安全。

參考文獻:

入侵檢測技術范文5

關鍵詞：計算機網絡；網路安全；入侵檢測；防火墻

中圖分類號：TP393.08文獻標識碼：A文章編號：1009-3044(2012)08-1749-03

Discussion on Computer Network Intrusion Detection Technology

QIU Jing

(Hunan Communication Polytechnic, Changsha 410004, China)

Abstract: With the rapid development of computer network technology, the application of computer network has been very widespread. Therefore, the computer network security has become the major concern of current network managers. This paper mainly analyzes a widely used computer network security technology-intrusion detection technology and effectively incorporates it with firewall technology, which greatly improves the network security defense ability.

Key words: computer network; Network security; intrusion detection; firewall

隨著計算機網絡技術的飛速發展，其應用領域也變得越來越廣泛，幾乎滲透到了人們的工作和日常生活當中，給人類的生活帶來了重大的改變。但飛速的網絡發展給人類帶來方便的同時，也帶來了很大的網絡安全隱患。網絡安全問題也變得日益嚴重，每年因網絡安全問題帶來的損失巨大，網絡病毒的傳播、網絡釣魚網站的誘導以及黑客的木馬攻擊等給廣大的網民帶來了很大的困擾。因此，網絡安全技術成為了當前必須引起重視的問題。傳統的網絡安全技術主要有防火墻技術、數據加密技術等，這些網絡安全技術是一種基于被動的網絡安全技術，主要阻止一些來自外部的網絡攻擊。而入侵檢測技術是一種基于主動防御的網絡安全技術，能有效的阻止來自網絡內部的攻擊，有效彌補了傳統網絡安全技術的不足。

1計算機網絡入侵檢測概述

1.1入侵檢測定義

入侵檢測（IDS），是通過監控和收集計算機網絡系統中的某些關鍵點信息，并對這些信息進行歸納分析來檢測入侵者的企圖。直觀的說，就是通過識別入侵行為，了解入侵者的意圖和目的，網絡管理員根據這些入侵信息做出相應的防范措施，從而免受系統遭受到不必要的損失。因此，它是一種主動防御的安全措施，能夠有效的減少系統被入侵的可能性。

1.2入侵檢測分類

目前的入侵檢測系統主要有兩類：基于誤用的入侵檢測和基于異常的入侵檢測?；谡`用的入侵檢測主要是通過模式匹配方法來檢測入侵行為?；诋惓５娜肭謾z測主要是通過檢測系統當前行為與正常行為存在一定程度的偏差時，就判斷系統已受到了攻擊?；谡`用的入侵檢測的優點是檢測出已知的攻擊準確率高，缺點是不能發現未知攻擊。異常檢測的優點是可以檢測到未知攻擊，缺點是誤報率較高。

2入侵檢測系統結構分析

入侵檢測系統的結構主要由四大部分組成：數據收集裝置、檢測器、知識庫、控制器。如圖1所示。

數據收集裝置主要負責收集系統狀態信息的相關數據，收集完成后傳遞給檢測器；檢測器主要檢測和分析入侵的企圖和目的，并發出警報信號；知識庫主要提供一些數據信息的支持；控制器通過接收到的警報信號，對其進行分析和研究，做出自動或人工的反應動作，即根據入侵信息來做出相應的防范措施。

3入侵檢測系統存在的問題

入侵系統技術雖然是目前應用比較廣泛的網絡安全防范技術，但還存在著一些問題，主要體現在以下幾個方面：

圖1入侵檢測系統結構示意圖

3.1誤報和漏報率比較高

當前入侵檢測系統的主要問題就是誤報和漏報，由于入侵檢測系統的檢測精度不高，從而增大了誤報率和漏報率?；谡`用的入侵檢測的誤報和漏報率雖然相對較低，但它又不能完成對未知攻擊的檢測；基于異常的入侵檢測雖然能夠解決對未知攻擊的檢測這一問題，但它的誤報和漏報率比較高，所以都存在著一些不足之處。

3.2準確定位和處理機制存在不足

入侵檢測系統只能識別IP地址，并不能對IP地址定位，也就不能識別入侵數據信息的來源。一旦檢測出攻擊事件，入侵檢測系統就通過關閉網絡出口以及服務器的某些端口，這樣雖然能有效的阻止入侵者的攻擊，但同樣會影響到其他正常用戶的訪問，從而缺乏有效的處理機制。

3.3系統性能存在不足

如果服務器在大流量訪問的沖擊或多IP分片的情況下，很有可能造成入侵檢測系統的丟包甚至癱瘓。由于入侵檢測主要依賴于已有的一些經驗，所以與理想的效果還存在著一些差距。盡管目前的入侵檢測方法繁多，但如何將它們成熟的運用起來還是一個很大的挑戰，也是需要當前網絡安全工作者們深入研究和探討的重要課題。根據網絡安全技術發展的需要，主要研究的方向應當是：入侵檢測系統的標準化、各種入侵檢測系統的構架、入侵檢測系統的智能化以及與其他網絡安全技術相結合的運用等。除了完善這些傳統的技術參數以外，還需要加強新技術的開發和研究，才能使得該產品保持長久的市場競爭力。

4入侵檢測與防火墻結合的應用研究

4.1入侵檢測與防火墻的互動運行

設計一個有效的安全系統，至少需要防護、檢測和響應三個部分。這三個部分需要實現基于時間的簡單關系。也就是要求檢測系統在入侵者尚未突破防御階段就能檢測出入侵者的攻擊企圖，一旦檢測成功，響應部分作出相應的處理。這種模式雖然不能確保有效率達到百分之百，但如果檢測足夠快，響應足夠及時準確，防護系統就能在攻擊者入侵系統之前，及時發現并作出相應的保護措施，這樣就能做到對整個系統安全的有效防御。我們可以通過防火墻一類的手段來做防護，入侵檢測手段來做檢測，當網絡系統得知入侵檢測系統檢測到有攻擊者入侵時，便會作出相應的反應，這時可以由系統自動或網絡管理員手動的方式來針對入侵信息作出有效的防御。也就是說，入侵檢測與防火墻的互動運行，可以實現一個比較理想的安全防范體系，有效彌補了傳統安全技術不足。其互動邏輯圖如2所示。

圖2互動邏輯示意圖

4.2入侵檢測與防火墻結合的設計框架

首先，我們來設計檢測器設置的位置，入侵檢測既可以放在防火墻之外也可以放在防火墻之內。例如圖3給出了將IDS放在防火墻之內的設置。

圖3 IDS置于防火墻之內示意圖

在設計的過程當中，并不只是將入侵檢測系統和防火墻系統進行簡單的疊加，而是結合兩者的功能和特點來建立一個有效的網絡安全防范系統?？梢酝ㄟ^結合兩者功能的優點，互相彌補其不足，由入侵檢測系統來輔助防火墻系統，具體設計如圖4所示。

圖4 IDS與防火墻結合設計示意圖

5總結

入侵檢測技術雖然在網路安全技術中是一項非常重要的技術手段，但將其單獨的運用在網絡安全防范系統當中，存在著很多的不足之處。因此，應當將防火墻技術與入侵檢測系統結合互動的使用，這樣的組合比以前單一的技術都有了較大的提高，網絡的防御安全能力大大提高，防御系統才能成為一道更加堅固的圍墻。

參考文獻：

[1]胡振昌.網絡入侵檢測原理與技術[M].北京:北京理工大學出版社,2005.

[2]鄭曉霞. BP網絡安全技術的研究[J].電腦知識與技術,2009,5(35):9947-9951.

入侵檢測技術范文6

關鍵詞：云計算；病毒入侵；構建

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2013）32-7205-03

病毒防護是計算機技術中一項重要技術，計算機在運行過程中會遇到各種各樣的病毒，這些病毒會影響到計算機的運行嚴重情況下甚至會導致計算機系統癱瘓，從而造成不可估量的損害。因此病毒防護歷來是計算機技術中一項重要技術。傳統的病毒防護技術主要指的是防火墻、殺毒軟件、網絡入侵檢測等技術。這些病毒防護技術雖然在一定程度上滿足了計算機的基本功能，但是隨著信息技術的不斷發展，傳統的防護技術已經不能夠適應快速地、日益增長的安全問題了。因此病毒防護技術亟待創新。

云計算是當今一個新興概念，云計算本身具有綜合性、容低性、高容錯性等性能，這些性能正好能夠更好地處理計算機病毒。加強云計算技術在病毒檢測技術中的應用是未來發展的必然趨勢。

1 云計算在病毒入侵檢測技術中的具體應用

云計算技術本身是一種新型技術，云計算在計算機中的應用主要體現在通過通過云計算技術對龐大的侵入計算機行為數據進行分析，而后再通過其他平臺通過網頁形式報告給計算機用戶，從而使用戶能夠及時了解計算機本身的安全狀況。

在新形勢下入侵計算機的行為數據量是非常大的，采用傳統的病毒防護技術不能實現快速地分析檢測，而采用云計算技術則可以在短時間內實現對大數據的處理。與傳統病毒防護技術相比，云計算技術有著無可比擬的優勢。該文就以snort網絡病毒入侵檢測系統為例來詳細說明云計算技術在病毒入侵檢測技術中的應用。

2 Snort網絡入侵檢測系統的構建

Snort網絡入侵檢測系統本身是一項復雜的網絡檢驗系統，該系統的構建是需要多個步驟才能實現的。該系統的構建主要包括以下幾個步驟：

一是云的構建。云計算應用關鍵就在于構建云，當前在構建云的過程中主要是通過在多臺Linux中安裝Hadoop來實現的。二是設計程序。程序的設計是系統構建的關鍵步驟，對于snort網絡主要是設計Map-Reduce程序。通過設計完整的程序來實現對警報信息的有效整合。三是構建Hbase分布式數據庫。該數據庫主要是用來存儲經過整合后的數據的。四是利用Map-Reduce來對數據進行分析處理，最終以web服務器和PHP網頁腳本語言呈現給用戶。

3 病毒入侵檢測系統的具體實施

上文只是把系統構建的步驟進行了介紹，下面我們就來探討病毒入侵檢測系統的具體實施。對于該系統的構建我們主要是在綜合機房中實現的，該系統對硬件配置的要求較高，因此采用校內網速IG、網速達到100M的快帶網絡來構建起云計算實驗平臺。該系統需要6臺普通PC機來進行構建，在這6臺PC中有一臺作為主節點，另外5臺作為從節點來使用。在這些電腦中還需要安裝zookeeprer。

該系統的具體實施是按照以下步驟來實施的：首先是對6臺計算機安裝linux并分別命名。對于主節點要命名為hadoop，其余五臺則分別命名為hadoop1、hadoop2、hadoop3、hadoop4、hadoop5.命名之后就要把五臺計算機連接在一起。其次是要生成PCI秘鑰對，最終保證各臺計算機ash實現無密碼登陸。第三步是安裝jdk文件，jdk在安裝完成之后還要專門進行調試。只有經過專門調試才能保證正常工作。第四步就是配置相關文件。對于hadoop中hadoop-env.sh要修改其jdk路徑，對于slaves文件的修改要把其變為hadoop1-hadoop5.做好這些配置后，還要對core-site.xml文件進行配置，該文件是hadoop的主要文件，我們必須要對此保持高度重視。最后就是要配置mapred—site.xml文件。在完成以上步驟之后就可以啟動云了。最后一步是安裝apache服務器。針對這服務器的安裝需要從以下幾步來做：安裝woke目錄；下載并解壓apache文件；建立makefile；編譯make；安裝Apache。至此該網絡病毒入侵檢測系統算是構建完成。在完成系統構建之后，我們就可以通過專門實驗來觀察其效果了。

4 系統效果分析

通過專門實驗之后，我們發現該系統本身有效地檢測出了計算機的病毒。在云計算環境下的病毒入侵檢測系統實現了從病毒防護平臺就可以查出惡意入侵的源IP、攻擊的起始時間、結束時間等內容。通過這一系統基本上實現了對網絡系統的病毒檢測。

通過云計算技術病毒網絡入侵檢測系統實現了對警訊來源、目的等的綜合分析。采用云計算技術可以使得用戶能夠迅速掌握計算機所遭受到的攻擊，對于快速處理計算機病毒具有至關重要的問題。在病毒入侵檢測系統中應用云計算技術改變了傳統的處理警報的形勢，提高了云端安全問題解決效率。采用項技術基本上能夠有效解決病毒入侵檢測。

上文詳細分析了云計算技術所取得的明顯效果。但是我們在實驗過程中也出現了一些問題，這些問題的出現最終會影響到病毒入侵檢測效果，因此在這樣的背景下我們除了要掌握其效果之外，還要對實驗過程中出現的問題進行詳細處理。當前在實驗過程中出現的問題主要表現在以下幾個方面：

4.1 產生錯誤代碼

在實驗過程中我們發現網絡系統本身出現了錯誤代碼。經過詳細分析我們發現之所以會出現錯誤代碼主要原因是因為dfs.name.dir路徑設置有問題，該文件并所有權發生混亂，最終使得主節點檢查不到子節點。針對這個問題我們通過修改子節點的文件夾權限，最終有效解決了這個問題。

4.2 數據處理方法有待深化

在數據處理過程中算法Merge Extended Alert job處理過后的數據與之前數據相比并沒有明顯區別?？梢姰斍暗臄祿幚砑夹g還有待深化。

4.3 程序問題

所謂程序問題主要指的是兩方面的問題：一是出現了數據重復處理的現象。之所以會出現遮掩高度問題主要是因為沒有將原來的hdfs移除造成的。在意識到這個問題之后工作人員及時移除數據，數據重復處理的現象得以避免。二是runjob程序仍然存在。在實驗過程中使用Kill命令本身不足以停止Hadoop。這對數據處理造成了很大影響。在這方面必須要引起我們的高度重視。在今后的病毒防護過程中必須要不斷改善這種現象。

5 云計算技術安全性分析

云計算技術在計算機病毒入侵檢測系統中雖然得到有效應用，但是正如上文所說云計算技術在實驗過程中還存在一些問題，因此加強對云計算技術安全性的詳細分析具有重要意義。該文就以PCShare為例來詳細對云計算技術的安全性進行分析。通過觀察我們發現云計算技術在應用過程中存在著以下安全性問題：

5.1 文件路徑欺騙

在計算機運行過程中云計算技術本身存在著文件路徑被欺騙的隱患。木馬程序通過構建沒有實際內容的文件可以改變實際存在的文件目錄。這樣的木馬程序會對計算機的自動運行造成巨大影響。該木馬程序首先是通過創建虛擬目錄，而后讓木馬程序在虛擬目錄中運行，最后再刪除虛擬目錄。通過這種方法最終嚴重影響到了計算機性能。

這個問題的具體步驟，首先是利用subst命令對惡意程序賦驅動符。在實際運行過程中用磁盤驅動器符來代替惡意程序創建的目錄；之后就是要在虛擬驅動器中運行惡意程序，最后就是刪除虛擬驅動器。

5.2 云查殺欺騙。云查殺過程中存在的欺騙主要指的是通信欺騙。通信欺騙也是云計算技術運行過程中遇到的主要問題

上述兩個問題是云計算過程中常見的問題，針對這兩個問題的處理，我們需要采取專門措施來予以預防。對于文件路徑欺騙的行為，工作人員要運用殺毒軟件來獲得木馬程序本身的虛擬目錄，然后進一步獲取物理路徑。如果殺毒軟件本身不能夠找到物理路徑的時候，就需要采用其他方法對木馬程序進行定位。對于云查殺過程中通信欺騙行為。在實際應用過程中可以通過殺毒軟件對數據進行加密，對數據包進行檢驗等方法來有效防止惡意程序的破壞。

云計算技術是當前IT技術中一項新興技術，該技術在病毒入侵檢測系統中的應用能夠有效提升病毒入侵檢測能力，對于保證計算機安全具有重要意義。在病毒防治形勢日益復雜的背景下加強對云計算技術的研究具有重要意義。該文詳細分析了云計算技術的優勢，而后以sonrt網絡病毒入侵檢測系統構建為例詳細說明了云計算技術在病毒入侵檢測系統中的應用，最后對云計算技術的安全性進行了分析。在今后的實際工作過程中必須要不斷加強對云計算技術的研究。

參考文獻：

[1] 蔣曉峰.面向開源程序的特征碼免殺與主動防御突破研究[D].上海：上海交通大學，2011.