周璟　顧宇明

摘要：計算機網(wǎng)絡(luò)系統(tǒng)在信息管理和保存方面都有著不可忽視的作用，但是近幾年隨著網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)技術(shù)地不斷發(fā)展，網(wǎng)絡(luò)安全成為計算技術(shù)發(fā)展過程中面臨的問題和挑戰(zhàn)。而維護計算機網(wǎng)絡(luò)安全首先就要解決計算機網(wǎng)絡(luò)入侵檢測系統(tǒng)問題，入侵檢測系統(tǒng)作為時下網(wǎng)絡(luò)信息安全的一門新型技術(shù)，在保障網(wǎng)絡(luò)安全中起著非常重要的作用，本文將再次基礎(chǔ)上，對計算機網(wǎng)絡(luò)入侵檢測系統(tǒng)及其技術(shù)進行探究，希望對促進我國網(wǎng)絡(luò)安全有所幫助。

關(guān)鍵詞：計算機網(wǎng)絡(luò) 入侵檢測系統(tǒng) 檢測方法

計算機技術(shù)和網(wǎng)絡(luò)技術(shù)逐漸成為人們生活中不可或缺的一部分，不斷改變著人們的生活方式和交流方式，使得人們的生活充滿變化，同時為人們創(chuàng)造更多獲取信息的途徑，為人們提供了很大方便。在這個信息時代，也有很多人表示并不適應，因為自身信息泄露的比較嚴重，這無異于是給網(wǎng)絡(luò)時代發(fā)展帶來很多阻礙，網(wǎng)絡(luò)安全問題成為時下人們最關(guān)心的話題和焦點。因此必須采取必要的措施防止這種網(wǎng)絡(luò)安全問題蔓延，入侵檢測法是近年來計算機技術(shù)研發(fā)人員關(guān)注的焦點。

一、入侵檢測系統(tǒng)工作步驟和原理

（一）收集信息。入侵檢測系統(tǒng)工作的第一個步驟就是收集信息，通過網(wǎng)絡(luò)和計算機系統(tǒng)對用戶信息進行搜集、處理和識別，并能夠在關(guān)鍵節(jié)點上，對入侵信息進行搜集和處理，對其收集的所有信息進行識別和分類，從而尋找到入侵信息。這種工作模式量比較大，但是能夠比較有效的找到入侵信息，能夠保證計算機系統(tǒng)的安全，從而為用戶提供更好的使用環(huán)境。

（二）分析信息。當入侵系統(tǒng)對網(wǎng)絡(luò)、系統(tǒng)以及用戶信息搜集完畢之后，就要對搜集到的信息進行處理和分析，從而找到對計算機系統(tǒng)不利的信息來源，及時阻止對計算機不利的信息。對破壞信息地分析是入侵檢測系統(tǒng)最基本的功能之一，工作人員需要事先對正常信息檢測進行編碼，當入侵系統(tǒng)檢測到與正常信息編碼不一致的信息，能夠及時發(fā)出警示和提醒，并作出相應的防護措施。

（三）保存信息。入侵系統(tǒng)在檢測到入侵信息之后，既要作出及時處理，同時還要將這些入侵信息進行保存，一方面為了方便計算機網(wǎng)絡(luò)管理人員進行實時查看，另一方面可以將保存的入侵信息作為入侵證據(jù)。另外將這些信息進行保存還有一個非常重要目的，可以方便以后建立新型防護措施。

（四）響應攻擊。計算機入侵檢測系統(tǒng)在對入侵信息進行分析和保存之后，就要對入侵信息作出及時響應，處理的方式有手動和自動兩種，手動響應是指計算機系統(tǒng)在檢測到入侵信息之后通過郵件和警報的方式向網(wǎng)絡(luò)管理人員報告工作狀態(tài)，管理人員根據(jù)檢測結(jié)果采取一定措施，自動響應是指通過入侵檢測系統(tǒng)的后續(xù)防御系統(tǒng)對外來攻擊信息作出處理措施。

二、入侵系統(tǒng)的檢測方法

（一）異常檢測法。入侵系統(tǒng)異常檢測法主要用于檢測用戶的異常行為及其對計算機資源的異常使用，防止由于用戶的不恰當行為對計算機入侵系統(tǒng)造成損害。采取異常檢測法首先需要根據(jù)相應用戶的日常活動建立模型，通過模型對系統(tǒng)與用戶的實際行為進行對比，從而對用戶行為是否會對計算機系統(tǒng)造成攻擊的可能性進行判斷。這種檢測方法有比較好的適應性和檢測未知攻擊模式的能力，但同時具有很嚴重的缺點，誤報率和檢測結(jié)果的準確性差，這也是入侵檢測系統(tǒng)在發(fā)展過程中需要解決的技術(shù)難題。

（二）混合檢測法?；旌蠙z測法包含異常檢測法和濫用檢測法的優(yōu)點，形成一種很好的互補模式，對計算機系統(tǒng)安全維護起到很好的全方位保護效果。是目前應用最為廣泛的一種入侵系統(tǒng)檢測方法，提高入侵系統(tǒng)整體檢測性能和效率。

三、計算機網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計

（一）網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計。在需要保護的計算機網(wǎng)絡(luò)中安裝功能齊全的網(wǎng)絡(luò)入侵檢測系統(tǒng)，將原始正常值與入侵信息進行對比，從而迅速找到異常信息的蹤跡。在網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計中，要將所有與網(wǎng)絡(luò)行為有關(guān)的原始信息進行輸入，同時要對實時生成的網(wǎng)絡(luò)行為信息進行監(jiān)控和處理，通過過濾器、探測器、網(wǎng)絡(luò)接口引擎等元件對網(wǎng)絡(luò)行為信息進行識別和處理。網(wǎng)絡(luò)入侵檢測系統(tǒng)中數(shù)據(jù)采集模塊主要功能是按照一定網(wǎng)絡(luò)協(xié)議從網(wǎng)絡(luò)上獲取與入侵事件有關(guān)的全部數(shù)據(jù)信息，獲取后將其傳輸?shù)饺肭謾z測系統(tǒng)中，對其安全性進行全面細致的分析，從而更加準確判斷其是否具有攻擊性。入侵分析模塊主要功能是結(jié)合計算機網(wǎng)絡(luò)安全數(shù)據(jù)庫，對數(shù)據(jù)采集模塊傳輸?shù)臄?shù)據(jù)信息進行安全分析和保存，并將分析結(jié)果傳送至配置與管理模塊上，配置與管理模塊可以對分析結(jié)果進行適配，并將結(jié)果傳送給計算機網(wǎng)絡(luò)管理人員。每一個模塊都有其獨立的功能和作用，當外來信息對計算機網(wǎng)絡(luò)系統(tǒng)有攻擊行為時，各個功能將發(fā)揮各自作用，對計算機系統(tǒng)采取及時保護并作出響應。

（二）主機入侵檢測系統(tǒng)設(shè)計。主機入侵檢測系統(tǒng)數(shù)據(jù)通常包括應用程序日志和系統(tǒng)日志，主要是針對審計記錄文件內(nèi)容與攻擊內(nèi)容進行匹配和對比，如果檢測到的信息與系統(tǒng)檢測信息進行對比之后不匹配，說明該信息不具有攻擊性，匹配則具有攻擊性。主機入侵檢測系統(tǒng)設(shè)計之時，還要注意在檢測系統(tǒng)在完全被攻擊者控制之前完成對審計數(shù)據(jù)的分析，并能夠及時發(fā)出警報采取一定防護措施，從而減小對主體系統(tǒng)的損害程度。

四、結(jié)語

在計算機網(wǎng)絡(luò)系統(tǒng)安全問題處理中，入侵檢測系統(tǒng)的研究和應用是非常重要的，是計算機網(wǎng)絡(luò)系統(tǒng)維護的重要環(huán)節(jié)，性能良好的入侵檢測系統(tǒng)能夠有效防止計算機病毒對計算機系統(tǒng)的毒害，能夠有效彌補防火墻的不足之處，為計算機提供更加有效的安全防護保障。進入21世紀，計算機技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展處于一個全新階段，未來技術(shù)的發(fā)展將更加完善和科學，為用戶帶來更多安全保障，入侵檢測系統(tǒng)的持續(xù)研究和發(fā)展，將為計算機技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展奠定堅實的基礎(chǔ)，促進我國科學技術(shù)不斷進步和發(fā)展。endprint