网络安全混合型入侵检测系统设计研究.docxVIP

网络安全混合型入侵检测系统设计研究 　　【摘要】随着互联网技术和信息技术的不断发展，信息系统和计算机网络也将面临着严峻的安全问题。传统的网络技术由于自身静态机制的局限性，难以适应新时期网络安全的需求，因此设计网络安全的混合型入侵检测系统极为重要，能够有效的实现对系统内部和外部入侵的检测，为网络安全提供保障。本文主要研究网络安全中混合型入侵检测系统设计中的关键模块，探析网络安全中混合型入侵检测系统的测试。　　【关键词】入侵检测系统设计；混合型；网络安全　　前言在计算机快速发展过程中，网络安全问题并没有得到减少反而越来越复杂、问题越来越多，传统的入侵检测技术难以实现对复杂入侵事件的检测，另外传统入侵检测系统往往具有针对性，只适用某种特定网络环境的检测，扩展性和灵活性不足，使检测系统的可用性大大降低，因此，安全网络中混合型入侵检测系统的设计尤为重要，利用多种检测方式打破传统检测的局限，适应现代网络安全检测的需求，为网络的安全运行提供保障。　　1网络安全中混合型入侵检测系统设计中的关键模块　　异常模块　　混合型检测系统的异常模块主要是负责分析和处理输入的网络数据中的流量信息。主要的检测方法有基于马尔可夫模型的方法、基于自相似理论的方法、基于小波的检测、统计检测方法、阈值检测方法等，下面通过统计检测方法对其进行深入研究。由于网络流量数据具有突发性的特点，基于统计检测方法对其进行检测存在不稳定的特征。通过观察实际网络流量，可以发现作息时间与网络流量的关系，所以在处理实际网络流量时使用方差分析法。具体的流程如图1所示。在通过具体的数据计算，找出出现异常的网络流量，并在具体的模块生成警报，再由警报设定异常值偏差的置信度。如果网络流量正常则采取更新历史模型的方式[1]。　　数据融合模块　　数据融合可以实现各种信息与许多传感器之间的组合、相关、联合，从而获得精确的完整评价、身份估计、位置估计。混合型入侵检测系统中在获取入侵信息往往通过网络数据、主机资源信息、主机审核、系统日志，这一过程与数据融合的过程相似，因此在混合型入侵检测系统中设计数据融合模块，充分发挥数据融合的行为估计、目标识别、状态估计、相关、校准、检测等功能，采取可信度方法等，以此提高入侵检测系统的入侵信息获取效率，降低误警率。　　主动扫描模块　　在网络安全中混合型入侵检测系统设计的主动扫描模块，主要是设计插件技术、开放端口的扫描、系统漏洞扫描、系统弱密码扫描的结合运用，在系统设计中很难实现以此成型，因此需要不断的分发、编译、开发，插件技术可以良好的满足这一要求。使用插件技术的方法可以通过COM组件、动态链接库技术等实现。开放端口扫描是在TCP/IP协议上进行的，可以分为UDP端口扫描、TCP端口扫描，而UDP端口扫描包括socket函数扫描、UDPICMP端口不可达扫描。TCP端口扫描包括XMAX扫描、NULL扫描、TCPACK扫描、TCPFIN扫描、TCPSYN扫描。通过具体的方法可以有效的实现对网络安全问题的检测。系统漏洞扫描往往通过构建不同的数据包通过不同系统的返回值不同的方法判定漏洞的类型。系统弱密码扫描的操作流程为读取用户名字典，用户若读完则表示扫描结束，没有入侵。若用户名没有读完，则继续读取密码词典，密码读完则返回用户名读取程序，不能读完则构造登录数据包，发送数据，登录成功则代表入侵成功，通过这种方式能够实现对入侵用户系统的病毒检测[2]。　　2网络安全中混合型入侵检测系统的测试　　测试系统功能　　网络安全的入侵检测系统只有对其功能进行测试，才能使其入侵分析能力。检测能力的可靠性得到保障。测试出的系统功能数据可以有效的反映出IDS的报警能力、审计能力、报告能力、攻击检测能力等，在主动扫描模块、数据获取模块等在应用环境中的测试，输出相应的功能测试结果，从而对系统设计的合理性做出分析，功能测试不合理的模块做出相应的改变，提高安全网络中混合型检测系统的检测能力，为网络安全提供保障[3]。　　测试系统的可用性　　测试网络安全中的混合型入侵检测系统的可用性，主要是对系统的用户界面的稳定性、扩展性、完整性、可用性进行评估，若是在试验网络下该检测系统的性能表现良好，则说明架构上的具有可扩展性和灵活性，若还在进一步的进行开发测试，则说明该系统的可用性较低，还需要进一步完善。　　3结论　　综上所述，加强对网络安全中混合型入侵检测系统的设计有利于实现对网络安全的有效保障，促进网络的安全运行，营造良好的网络环境为大家服务。　　参考文献　　[1]温珊珊.混合入侵检测在网络风险评估中的研究与应用[D].华北电力大学，XX.　　[2]张心凯.采用HIDS和NIDS混合的入侵检测系统模型设计[J].电子技术与软件工程，XX，18：209.　　[3]郭武士，易欣