２０１０年第１期　计算机光盘软件与应用　

Ｃｏｍｐｕｔｅｒ　ＣＤ　Ｓｏｆｔｗａｒｅ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ　工程技　

浅谈网络入侵检测技术　

周　娜（海口经济学院应用技术学院海口　５７０２０３）　

摘要：本文主要阐述了网络入侵检测技术的定义，以及主机的入侵检测系统、基于网络的入侵检测系统、混合入侵监测系　统的三种入侵检测系统的分类；接着探讨了网络入侵检测的过程；最后分析了网络入侵检测技术方法。例如：遗传算法、数据挖　掘、聚类算法、行为模式、神经网络、智能分布等。　

关链词：网络入侵检测技术；分类；方法　中图分类号：ＴＰ３９３　文献标识码：Ａ　文章编号：１００７．９５９９（２０１０）０１—００１７．０１　

一、入侵检测系统的定义　

网络安全是一个系统的概念，有效的安全策略或方案的制定，是　

网络信息安全的首要目标。网络安全技术主要有认证授权、数据加密、　

访问控制、安全审计等。入侵检测技术是安全审计中的核心技术之一，　

是网络安全防护的重要组成部分。　

二、入侵检测系统的分类　

入侵检测系统从不同角度可以分为不同的类别，按照数据来源的　

不同一般分为基于主机的入侵检测系统和基于网络的入侵检测系统，　

以及混合入侵监测系统。　

（一）基于主机的入侵检测系统。基于主机的入侵检测系统用于　保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机　

上。它一般以系统日志、应用程序日志等作为数据源，从所在的主机　

收集信息进行分析。基于主机的入侵检测系统可以确保操作系统不受　

到侵害，并且由于它保存一定的校验信息和所有系统文件的变更记　

录，在一定程度上可以实现安全恢复机制　

（二）基于网络的入侵检测系统。基于网络的入侵检测系统通常是　

作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数　

据包作为进行攻击分析的数据源，—般利用一个网络适配器来实时监视　

和分析所有通过网络进行传输的通信。一旦检测到攻击，入侵检测系统　

应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。　

（三）混合入侵检测系统。它是当前应用最为广泛的入侵检测系　

统。主机型和网络型入侵检测系统都有各自的优缺点，混合入侵检测　

系统是基于主机和基于网络的入侵检测系统的结合，两者相互补充，　

在很大幅度上提升了网络和系统面对攻击和错误时的抵抗力，提供了　

更加有效的入侵检测和保护措施，既可发现网络中的攻击信息，也可　

从系统日志中发现异常情况。　

三、入侵检测过程　

入侵检测—般分为２个步骤，即入侵相关信息收集和相关信息分析。　

（一）相关信息收集。相关信息收集的内容包括系统、网络、数　

据收发及用户活动的状态、行为和特点。这种信息的收集需要在网络　

系统中的多个不同关键点，如在不同网段和不同主机收集信息，使用　

这种收集方法可以扩大信息检测范围，同时还可以根据多个不同源发　

来的信息进行综合比对以提高检测的效果。入侵检测利用的信息一般　

包括４个方面。即系统和网络日志、目录和文件中的不期望改变、程　

序执行中的不期望行为、物理形式的入侵信息。　

（二）相关信息分析。对上述４类收集到的相关信息，一般通过　

３种技术手段进行分析，即模式匹配、统计分析和完整性分析。其中　

前２种方法用于实时的入侵检测，而完整性分析则用于事后分析。　

１．模式匹配。模式匹配就是将收集到的相关信息与已知的网络入　

侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。　

该方法的优点是只需收集相关的数据集合，可显著减少系统负担，且　

技术已相当成熟。　２．统计分析。统计分析方法首先给系统对象如用户、文件、目录　

和设备等刨建一个统计描述，统计正常使用时的一些测量属性。以测　

一】７一　量属性的平均值作为标准与网络、系统的行为进行比较，当检测到行　

为值在标准之外时，就认为有入侵事件发生。　

３．完整性分析。完整性分析主要关注某些用户、文件、目录、设　

备对象的相关属性是否被更改，它能够发现被更改的或被种植木马的　

应用程序，能识别极其微小的变化。　

四、入侵检测方法　

（一）遗传算法。基于遗传算法的最大优点就是高效率地解决非　

线形的检测数据，而入侵检测目前最大的困难就是数据量大，用户行　

为特征的准确描述比较困难。而遗传算法不同于数据挖掘，不需要对　

用户行为进行学习，而且使用遗传算法进行模式库的构建，在整个系　

统运行一段时间后，可以根据已有的参数决定是否再次运行该算法。　

来进行模式库的构建，从而提高对新的入侵方式的有效检测。　

（二）数据挖掘。基于数据挖掘的人侵检测方法，是通过对网络　

数据和主机系统调用数据的分析挖掘，发现误用检测规则或异常检测　

模型。具体实现方法是利用数据挖掘中的关联算法和序列挖掘算法提　

取用户的行为模式，利用分类算法对用户行为和特权程序的系统调用　

进行分类预测，利用聚类算法，通过计算和比较记录间的矢量距离，　对网络连接记录、用户登录记录进行自动聚类，从而完成对审计记录　

是否正常的判断工作。　

（三）聚类算法。基于聚类方法的入侵检测是一种无需指导的异　

常检测技术，它在未标记的数据上进行并将相似的数据划分到同一个　

聚类中，而将相异的数据划分到不同的聚类中，从而达到判断网络中　

的数据是否异常的效果。　（四）行为模式。行为模式的入侵检测技术的思想基于大多数网　

上操作表现为一组行为序列，通过对网上操作的频繁的行为序列的分　

析，可以得到这种操作的模式，这些模式有正常的，也有非正常包含　

攻击行为的，它们为建立行为规则数据库提供了基础。　

（五）神经网络。基于神经网络的入侵检测技术能够很好地解决　

正确识别那些与过去观测到的行为不一样但正常的行为，从而降低异　

常入侵检测系统的误报率。在入侵检测系统中把神经网络方法作为异　

常检测统计分析部分的一种替代方法，用来识别系统用户的典型特　

征，对用户既定行为的重大变化进行鉴别。　

五、结束语　

入侵检测系统作为防火墙之后的第二道安全闸门，能有效地发现　

非法用户入侵行为和合法用户滥用特权行为，是保护网络信息安全的　

重要组成部分。本文重点介绍了当前主要的几种入侵检测技术，并进　

一步指出了入侵检测技术的未来发展方向，虽然ＩＤＳ及其相关技术　

在近几年已得到了很大发展，但ＩＤＳ技术还存在很多问题，有待于　

进一步完善。　

参考文献：　

川谢勃．计算机网络人侵检测技术探讨［Ｊ】．科学技术与工　

程，２００８，１：２２９￣３２　

［２】李玮，范九伦．基于新的聚类算法的入侵检测【Ｊ】．计算机工　

程，２００６，

７：１４９．１５３