入侵检测技术在计算机网络安全中应用研究.docVIP

入侵检测技术在计算机网络安全中应用研究 　　摘要：随着网络信息技术的不断发展，计算机的使用也逐渐走进了千家万户。网络技术在为人们带来便利的同时其安全问题也日益成为人们关注的焦点，如何最大限度的保障计算机网络安全也已经成为人们研究的重点和难点问题。在提高计算机网络安全方面存在着众多的防范技术，在这众多的技术中入侵检测技术是十分重要的一种。本文就入侵检测技术在计算机网络安全中的应用进行深入探讨与分析，以期为相关研究提供参考。 　　关键词：网络安全；入侵检测技术；应用 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599　（2012）　18-0000-02 　　在网络信息技术的推动下，当今社会已经进入了信息高度发达的时代。网络在为人们带来巨大便利的同时，自身也存在很大的安全隐患。这些安全隐患对人们利用网络信息技术造成了很大的困扰，同时也制约和限制了网络信息技术朝着更加纵深的方向发展。正是在这一背景下，各种旨在保障计算机网络安全的技术应运而生。其中，入侵检测技术是应用较广也是效果较好的技术。 　　1 入侵检测系统的具体分类 　　一般来讲，应用于计算机网络安全中的入侵检测技术大致可以分为两大类：一是入侵检测，一是入侵防御。在这两类技术中，入侵检测系统的工作原理是根据计算机网络安全的特定安全策略，对网络及整个系统的运行状态进行实时的监控，以此来在各种威胁计算机网络安全的因素对其发起入侵攻击之前就能察觉和发现，通过这种入侵检测来有效保障计算机网络系统资源的整体性和保密性。然而，在计算机网络安全技术不断发展的同时，网络攻击技术也在相应的发展。其中，只要网络系统存在些许安全漏洞，就会为网络攻击创造条件。传统的计算机网络入侵检测技术以及防火墙技术无法完全应对不断出现且复杂多变的安全问题。也正是在这背景下，计算机网络入侵防御系统应运而生。自从有了入侵防御系统，计算机网络在安全设置就可以对流经它的数据流量进行更为深度的感知与具体的检测，从而丢弃网络攻击的种种恶意报文，阻断其对网络系统的恶意进攻，同时最大限度的限制滥用报文，有效保护网络带宽资源。 　　计算机网络入侵检测系统与入侵防御系统存在着很大的不同，其主要区别在于：前者只具备单纯的预警功能，对网络入侵无法及时做出有效地防御，而后者则在计算机网络与防火墙的硬件设备之间搭起一座桥梁，一旦检测到计算机网络系统遭到恶意攻击，入侵防御系统就会在这种攻击扩散之初就将其阻止在外；入侵检测系统与入侵防御系统在检测攻击的方法方面也并不相同。其中，入侵检测系统是通过对入网的数据包进行检查，以此来在确定该数据包的真正用途的前提之下，再通过相应的作用原理来对其是否进入网络进行预判。 　　2 入侵检测技术在计算机网络安全中的应用 　　入侵检测技术在计算机网络安全中的应用主要体现在基于网络的入侵检测、对于主机的入侵检测两个方面。 　　2.1基于网络的入侵检测 　　基于网络的入侵检测在形式上进行划分，大致可以分为两类：一是基于硬件的入侵检测，一是基于软件的入侵检测。虽然二者的名称并不相同，但是其工作流程却是一样的。二者都是以混杂模式来作为网络接口的模式设置，通过这种设置来实现对全部流经该网段的各种数据进行实时的监控，并且对这些监控数据做出具体的分析，进而将其与数据库中预定义的具备攻击特征来进行比较，从而将对计算机网络具有潜在攻击威胁的数据包识别出来，做出及时有效的响应，并记录日志。 　　2.2 入侵检测技术的体系结构 　　一般来讲，网络入侵检测技术的体系结构通常由Agent、Console、Manager三部分构成。其中，Agent的作用在于对计算机网段内的数据包进行有效监控，并且从中找出可能的攻击信息，然后把相关的分析数据发送至计算机网络管理器；Console的主要作用在于将代理处的信息收集起来，并且所受攻击的信息进行具体的显示，然后将找出的攻击信息以及相关分析数据发送至计算机网络管理器；Manager的主要作用则在于在配置攻击警告信息时进行有效地响应，同时网络控制台所发布的各种命令也是由Manager来进行具体执行，然后再将代理所发出的攻击警告发送至计算机网络控制台。 　　2.3 入侵检测技术的工作模式 　　基于计算机络的入侵检测，要在每个网段中部署多个入侵检测代理，根据网络结构的不同，其代理的连接形式也相应不同。其中，如果采用总线式的集线器作为网段的连接方式，那么只需将代理与集线器中的某个端口进行连接即可；如果采用太网交换机作为连接方式，由于交换机自身无法实现媒介共享，因此只采用一个代理来对整个子网进行有效监听的办法是无法实现的。也正是从这方面考虑，可以将交换机核心芯片运用于调试的端口当中，同时将该端口与入侵检测系统进行连接操作，或者是把该端口放置在数据流的关键出