网络安全入侵检测系统设计思路.docxVIP

网络安全入侵检测系统设计思路 　　【摘要】随着计算机病毒、黑客入侵等网络信息安全事件发生频率的逐渐增高，人们越来越意识到网络安全的重要性。网络安全已成为当前计算机网络领域所面临的一个最为主要的问题。入侵检测系统作为时下IT领域内网络信息安全的一门新型热门技术，在保障网络安全方面占有举足轻重的地位。本文主要介绍了入侵检测有关内容，入侵检测的主要方法，以及基于计算机网络安全入侵检测系统的设计。　　【关键词】计算机网络；安全；入侵检测系统；研究；设计　　前言　　计算机网络在人们生活中的渗透，不仅改变了人类具体的生活方式，更重要的是改变了人类获取信息的方式。它的出现在给人们带来巨大方便的同时，也给人们的信息安全带来了诸多隐患和威胁。一旦计算机网络发生安全问题，势必会造成信息泄露，给人们带来不同程度的经济损失，尤其是企业内部重要的信息，且情况严重时将很可能导致整个计算机系统崩溃。因此，为避免病毒等入侵到计算机网络系统中，就必须采取有效的入侵检测方法，设计出相应的入侵检测系统。　　1入侵检测相关概述　　所谓入侵，指的是一切试图对资源的可用性、完整性和机密性等产生危害行为的统称。它既包括发起恶意攻击行为的人（恶意黑客），也包括对计算机网络与系统造成危害的各种行为（计算机病毒、木马等）。而入侵检测则指对所有入侵行为的识别与诊断。其具体操作是对计算机网络等中的若干关键点的数据信息进行收集与分析，通过该分析结果对网络中是否存在攻击对象或违反网络安全行为的迹象进行判断。入侵检测所使用的软件与硬件组成了入侵检测系统。它具有必须对采集的数据进行安全分析，并从中得出有用的结果和采取相应的保护措施的功能，比其他网络安全工具具有更多的智能[1]。　　2入侵检测的主要方法　　异常检测法　　异常检测法主要用于检测用户的异常行为及其对计算机资源的异常使用。使用这种检测方法需要建立相应的目标系统和用户活动模型，以便通过该模型对系统与用户的实际行为进行检测，从而对用户行为是否对计算机网络和系统具有攻击性进行判断。它具有良好的适应性和检测未知攻击模式的能力，但误报率高、检测结果准确性差，使得其应用受到了一定限制[2]。此外，必须对计算机网络与系统中合法授权用户的行为等正常特征进行精确的定义、对非法与合法代码与数据之间的界限进行精确的划分，是当前异常检测技术所面临的主要技术难点。　　混合检测法　　混合检测法是对异常检测法与滥用检测法两者优点的综合利用。由于这两种方法在实际应用过程中呈现出一定的互补关系，因而两者的有机结合可以达到取长补短、相互弥补的检测效果，可以在很大程度上提高整体入侵检测的性能与效率[3]。　　3基于计算机网络安全入侵检测系统的设计　　网络入侵检测系统的设计　　将网络入侵检测系统装在被保护的计算机网络中，将原始网络报文作为数据源对入侵对象进行分析。在网络入侵检测系统的设计当中，对于所有通过网络传输数据的实时监控与分析通常采用一个网络适配器即可；对于数据采集模块的设计，需要配备有过滤器、探测器、网络接口引擎等元器件。数据采集模块主要实现的功能是，按照一定网络协议从网络上获取与入侵事件有关的全部数据信息，获取后将其传送至入侵检测系统分析引擎模块，对其安全性进行详细全面的分析，以判断其是否存在攻击性。入侵分析引擎模块的主要功能是，结合计算机网络安全数据库，对从数据采集模块传送来的数据信息进行安全分析，并将分析结果传送至配置与管理模块。配置与管理模块实现的主要功能是，对其他功能模块的配置工作进行管理，并将从入侵分析引擎模块传送来的安全分析结果以有效的方式向网络管理员告知，从而为网络管理员及时做出入侵应对措施提供依据和支持。当网络入侵系统检测到攻击时，相应的功能模块会立刻以报警、广播、中断连接等方式来对入侵者做出反应，向人们发出提示信息。　　主机入侵检测系统的设计　　主机入侵检测系统的数据源通常包括应用程序日志、系统日志等。其入侵检测功能的实现主要是通过对这些审计记录文件所记录的内容与攻击内容进行匹配。若不匹配说明该入侵对象不具有攻击性，若匹配则入侵检测系统及时向网络管理员发出警报，同时做出相应的保护行为。审计数据记录的是系统用户行为信息，在系统运行过程中必须要保证其不会被修改或泄露。然而当系统遭受攻击时，这些数据很可能发生修改或泄露，因此主机入侵检测系统的设计必须要具备一项功能，即检测系统在完全被攻击者控制之前，完成对审计数据的分析，并及时发出警报采取一定防护手段。主机入侵检测系统具有精确判断入侵事件、针对不同操作系统的特点准确判断出计算机网络应用层的入侵事件等优点。　　4总结　　总之，在计算机网络安全问题的处理过程中，入侵检测系统的研究与设计是非常关键的一个环节。一个性能良好的入侵检测系统可以有效弥补防火墙存在的不足，可以为