网络安全中入侵检测系统的设计与实现.docVIP

网络安全中入侵检测系统的设计与实现 　　摘 要 　　随着全球信息化，计算机网络技术已经逐渐渗透到人们日常生活中。它给人们带来便利的同时，也带来了许多安全风险与隐患。而入侵检测技术能够及时的检测出计算机中出现的不安全因素，并且采取相应措施，有效的保障了网络的安全。因此，本文，首先对入侵检测系统的相关概念及其技术进行了阐述，分析了目前网络安全中使用入侵检测技术存在的问题，最后提出了网络安全中入侵检测系统的设计与实现。 　　【关键词】入侵检测系统 网络安全 设计与实现 　　随着计算机网络的广泛使用，不仅改变了人们工作、学习和生活的方式，更为重要的是改变了人们获取信息资源的方式与途径。它的出现给人们带来极大便利的同时，也带来了网络安全的隐患。一旦计算机系统的正常运行受到网络入侵，不仅降低了计算机的运行效率，而且也会造成保密信息的泄露，给人们带来不可估量的损失。因此，为了在不影响网络性能的前提下，有效的解决上述问题，就必须采用入侵检测系统，来弥补防火墙系统的不足，并且对系统的安全与操作进行实时的保护。 　　1 入侵检测系统概述 　　1.1 入侵检测系统概念 　　入侵检测系统，指的是对入侵计算机系统的恶意使用行为进行识别、诊断和处理的系统。当计算机处于网络环境中运行时，就会存在许多不安全因素，当受到病毒、蠕虫等之类的恶意攻击时，就会导致计算机的运行效率降低，甚至整个计算机网络瘫痪。因此，当入侵检测系统检测到系统异常时，会及时的采取相应保护措施，避免计算机受到干扰。网络安全中入侵检测系统是针对防火墙系统的不足而产生的。 　　1.2 入侵检测系统分类 　　根据数据的来源不同，我们通常将入侵检测系统分为两类：基于主机入侵检测系统与基于网络入侵检测系统。其中，基于主机入侵检测系统，指的是将主机作为重点检测的对象，通过对主机进行入侵检测设置，根据主机的运行状况来判断是否受到攻击。该系统能够全面、实时对计算机网络上用户操作行为进行监控，当出现网络异常时，及时进行预警，从而保护整个网络的安全。同时，该系统还能够对攻击行为是否有效进行判断，以此为主机的决策行为提供依据；基于网络入侵检测系统，指的是在无法给客户提供单独检测服务时，通过设置多个安全点，对多个网络的通信进行实时的检测。因此，该系统具有检测成本低、检测速度较快的特点。同时能够及时的发现计算机网络通信遭到恶意或病毒攻击，并且及时的向检测系统发送网络报告，并采取相应的措施来阻止入侵。由于基于网络的入侵检测系统，不需要对主机进行安装设置，而且不受时间与地点的影响，能够快速的做出反应及应对措施，大大的提高网络安全入侵的检测效率。 　　1.3 入侵检测技术方法 　　在传统上，通常将入侵检测技术方法分为误用入侵检测法、异常入侵检测法、混合型检测方法。其中，误用入侵检测指的是根据已知的攻击特征，直接检测出入侵行为，该方法需要及时的更新特征库，无法检测未知攻击；异常入侵检测法指的是通过建立目标系统与用户的模型，来检测系统用户的实际行为，从而判断用户行为是否对网络安全进行攻击，具有良好的检测未知攻击能力。因此，为了综合利用上述两种技术的优点，提高入侵检测系统的性能，从而提出了混合型检测方法。 　　1.4 入侵检测系统工作流程 　　入侵检测系统工作流程通常分为以下三步： 　　（1）对系统、网络、传输数据以及用户行为的信息收集； 　　（2）将收集到的信息，送到传感器中检测引擎进行分析，当检测到异常时，会发送预警信息给控制中心； 　　（3）控制中心收到预警后，会根据预警采取相应的处理措施。 　　2 网络安全系统中入侵检测系统的设计与实现 　　2.1 系统模型 　　本文所设计的是一种基于混合型检测技术、基于网络的分布式入侵检测系统。 　　2.2 功能模块 　　入侵检测系统由探测代理模块、监视代理模块和策略执行代理模块构成。其中： 　　探测代理模块是整个检测系统的基层模块，主要功能是对网络数据进行数据信息的获取，经过统一的预处理之后，采用基于特征匹配的误用检测技术进行数据分析是否存在入侵行为，如有入侵，及时的将预警信息发送给监视代理，然后从监视代理的指令中获取参数配置信息，调整参数后重新启动检测引擎。 　　监视代理模块是整个检测系统的高层检测组件，主要功能是对探测代理模块提供的预警信息进行有效识别，然后将不同的探测代理模块的预警信息综合起来，分析他们的关联度，以便有效的检测每个区域内的入侵事件。当预警信息确认后，监视代理将它和所有的响应措施进行匹配，确定相应措施后，将预警及措施发送给策略执行代理。 　　策略执行代理模块是整个检测系统中最重要的环节，没有它检测系统显得毫无意义。其主要功能是将收到的预警信息通过邮件发送给系统管理员，然后启动对探测代理指令的响应策略，如修改文件、连