入侵检测技术及应用.pdfVIP

9%1

第卷第期Vol.9No.1

20101Jan.2010

年月

关于入侵检测技术及其应用的研究

牛承珍

030027

（山西工程职业技术学院计算机工程系，山西太原）

摘要：分析了入侵检测技术的基本原理，阐述了入侵检测的基本知识与概念、功能与模型，在此基础上提出了一种

入侵检测系统在计算机网络中应用的基本方案。该方案介绍了一种多维入侵检测系统，它提高了网络入侵检测的准

确性，然而对计算机本身的性能几乎没有影响，从而有力地保障了计算机网络的安全与稳定。

IDS

关键词：入侵检测；入侵检测系统；

TP393.08A167201－0137－03

中图分类号：文献标识码：文章编号：（）

1入侵检测系统介绍

IntrusionDetectionID

入侵检测（，），顾名思义，是对入侵行

为的发觉。它通过对计算机系统或计算机网络中的若干关键点

收集信息并对其进行分析，从中发现网络或系统中是否有违反

安全策略的行为和被攻击的迹象。进行入侵检测的软件和硬件

IntrusionDetectionSystemIDS

的组合便是入侵检测系统（，）。在

本质上，入侵检测系统是一个典型的“窥探设备”。它不跨接多

个物理网段，无须转发任何流量，而只需在网络上被动的、无声

息的收集它所关心的报文即可。

1IDS

（）功能与模型

一个合格的入侵检测系统能大大简化安全管理员的工作，

保证网络安全地运行。具体讲，入侵检测的功能有如下5点：①

监视、分析用户及系统活动；②审计系统构造和弱点；③识别、

反映已知进攻的活动模式，向相关人员报警；④统计分析异常

行为模式；评估重要系统和数据文件的完整性；⑤审计、跟踪管

理操作系统，识别用户违反安全策略的行为。

入侵检测一般分为3个步骤：信息收集、数据分析、响应。

入侵检测的目的：①识别入侵者；②识别入侵行为；③检测

和监视以实施的入侵行为；④为对抗入侵提供信息，阻止入侵

的发生和事态的扩大。

1968－

作者简介：牛承珍（），女，山西太原人，硕士，山西工程职业技术学院计算机工程系讲师，研究方向为计算机安全。

··软件导刊

1382010年

整个网段的任务，它的攻击识别模块通常使用4种技术来识别检测时先将这些攻击脚本的子集看作系统正面临时攻击。然后

abc

攻击标志。它们是：模式、表达式或字节匹配；频率；次要通过一个称为预测器的程序模块根据当前行为模式产生下一

d②个需要验证的攻击脚本子集，并将它传给决策器。决策器收到

事件的相关性；统计学意义上的非常规现象检测；基于主

机的IDS：基于主机的入侵检测系统往往以系统日志、应用程