入侵检测系统论文入侵检测技术论文
摘要：入侵检测技术是保证计算机网络安全的核心技术之一，在保护计算机安全方面起着越来越重要的作用。

本文从介绍入侵检测系统的概念入手，对入侵检测系统的功能、分类以及入侵检测技术这三个方面进行了讨论。

关键词：入侵检测系统；入侵检测技术
brief overview of intrusion detection system
chen jing
(air force 95259 troops,guangzhou510500,china)
abstract:intrusion detection technology is to ensure that the core technology of computer network security is one aspect in the protection of computer security is playing an increasingly important
role.intrusion detection system.this paper describes the concept,the function of intrusion detection systems,classification and intrusion detection technologies are discussed in three areas.
keywords:intrusion detection system;intrusion detection technology
随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动，计算机和网络基础设施，特别是各种官方机
构的网站，成为黑客攻击的热门目标。

由于防火墙只防外不防内，并且很容易被绕过，所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为，对付入侵行为的第二道防线——入侵检测系统就被启用了。

一、入侵检测系统（ids）概念
入侵检测（intrusion detection）是对入侵行为的检测。

它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。

一般我们可以将入侵检测系统粗略的分为三个大的模块：即入侵数据提取模块、入侵数据分析模块和入侵事件相应模块。

根据这三个模块我们就可以看出入侵检测的三个步骤了，即入侵数据提取、入侵数据分析、入侵事件相应。

二、入侵检测系统的主要功能
对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统的任何变更，还能给网络安全策略的制
订提供指南。

更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。

入侵检测系统在发现入侵后，会及时做出响应，包括切断网络连接、记录事件和报警等。

具体来说，入侵检测系统的主要功能有：
（一）监测并分析用户和系统的活动。

（二）核查系统配置和漏洞。

（三）评估系统关键资源和数据文件的完整性。

（四）识别已知的攻击行为。

（五）统计分析异常行为。

（六）操作系统日志管理，并识别违反安全策略的用户活动。

三、入侵检测系统的分类
根据系统所检测的对象分类，主要包括以下三大类：基于应用的入侵检测系统，其中常用的是基于主机和基于网络的这两种入侵检测系统。

（一）基于主机的入侵检测系统：主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。

主机型入侵检测系统保护的一般是所在的系统。

（二）基于网络的入侵检测系统：网络型入侵检测系统的数据源则是网络上的数据包。

往往将一台机子的网卡设于混杂模式（promisc mode），监听所有本网段内的数据包并进行判断。

一般网络型入侵检测系统担负着保护整个网段的
任务。

四、入侵检测技术
入侵检测技术是为了保证计算机系统的安全而设计与配置的一种能够及时发现并且报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

（一）从时间上分。

可分为实时入侵检测和事后入侵检测两种：
1.实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。

这个检测过程是不断循环进行的。

2.事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。

事后入侵检测是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。

（二）从技术上分。

可分为两类：一种基于标志（signature-based），另一种基于异常情况
（anomaly-based）：
1.基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。

检测主要判别这类特征是否在所收集到的数据中出现。

此方法非常类似杀毒软件。

2.基于异常的检测技术则是先定义一组系统“正常”情况的数值，如cpu利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。

这种检测方式的核心在于如何定义所谓的“正常”情况。

两种检测技术的方法、所得出的结论有非常大的差异。

基于异常的检测技术的核心是维护一个知识库。

对于已知得攻击，它可以详细、准确的报告报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。

基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。

如果条件允许，两者结合的检测会达到更好的效果。

五、结束语
入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到
危害之前拦截和响应入侵。

强大的入侵检测软件的出现极大的方便了网络的管理，其实时报警为网络安全增加了又一道保障。

尽管在技术上仍有许多未克服的问题，但正如攻击技术不断发展一样，入侵的检测也会不断更新、成熟。

同时，网络安全需要纵深的、多样的防护，即使拥有当前最强大的入侵检测系统，如果不及时修补网络中的安全漏洞的话，安全也无从谈起。

参考文献：
[1]步山岳，张有东计算机信息安全技术.高等教育出版社,2005,9
[2]陈明.信息安全技术.清华大学出版社,2007,4。