网络安全中入侵检测系统的设计与实现

摘 要

随着全球信息化，计算机网络技术已经逐渐渗透到人们日常生活中。它给人们带来便利的同时，也带来了许多安全风险与隐患。而入侵检测技术能够及时的检测出计算机中出现的不安全因素，并且采取相应措施，有效的保障了网络的安全。因此，本文，首先对入侵检测系统的相关概念及其技术进行了阐述，分析了目前网络安全中使用入侵检测技术存在的问题，最后提出了网络安全中入侵检测系统的设计与实现。

【关键词】入侵检测系统 网络安全 设计与实现

随着计算机网络的广泛使用，不仅改变了人们工作、学习和生活的方式，更为重要的是改变了人们获取信息资源的方式与途径。它的出现给人们带来极大便利的同时，也带来了网络安全的隐患。一旦计算机系统的正常运行受到网络入侵，不仅降低了计算机的运行效率，而且也会造成保密信息的泄露，给人们带来不可估量的损失。因此，为了在不影响网络性能的前提下，有效的解决上述问题，就必须采用入侵检测系统，来弥补防火墙系统的不足，并且对系统的安全与操作进行实时的保护。

1 入侵检测系统概述

1.1 入侵检测系统概念

入侵检测系统，指的是对入侵计算机系统的恶意使用行为进行识别、诊断和处理的系统。当计算机处于网络环境中运行时，就会存在许多不安全因素，当受到病毒、蠕虫等之类的恶意攻击时，就会导致计算机的运行效率降低，甚至整个计算机网络瘫痪。因此，当入侵检测系统检测到系统异常时，会及时的采取相应保护措施，避免计算机受到干扰。网络安全中入侵检测系统是针对防火墙系统的不足而产生的。

1.2 入侵检测系统分类

根据数据的来源不同，我们通常将入侵检测系统分为两类：基于主机入侵检测系统与基于网络入侵检测系统。其中，基于主机入侵检测系统，指的是将主机作为重点检测的对象，通过对主机进行入侵检测设置，根据主机的运行状况来判断是否受到攻击。该系统能够全面、实时对计算机网络上用户操作行为进行监控，当出现网络异常时，及时进行预警，从而保护整个网络的安全。同时，该系统还能够对攻击行为是否有效进行判断，以此为主机的决策行为提供依据；基于网络入侵检测系统，指的是在无法给客户提供单独检测服务时，通过设置多个安全点，对多个网络的通信进行实时的检测。因此，该系统具有检测成本低、检测速度较快的特点。同时能够及时的发现计算机网络通信遭到恶意或病毒攻击，并且及时的向检测系统发送网络报告，并采取相应的措施来阻止入侵。由于基于网络的入侵检测系统，不需要对主机进行安装设置，而且不受时间与地点的影响，能够快速的做出反应及应对措施，大大的提高网络安全入侵的检测效率。

1.3 入侵检测技术方法

在传统上，通常将入侵检测技术方法分为误用入侵检测法、异常入侵检测法、混合型检测方法。其中，误用入侵检测指的是根据已知的攻击特征，直接检测出入侵行为，该方法需要及时的更新特征库，无法检测未知攻击；异常入侵检测法指的是通过建立目标系统与用户的模型，来检测系统用户的实际行为，从而判断用户行为是否对网络安全进行攻击，具有良好的检测未知攻击能力。因此，为了综合利用上述两种技术的优点，提高入侵检测系统的性能，从而提出了混合型检测方法。

1.4 入侵检测系统工作流程

入侵检测系统工作流程通常分为以下三步：

（1）对系统、网络、传输数据以及用户行为的信息收集；

（2）将收集到的信息，送到传感器中检测引擎进行分析，当检测到异常时，会发送预警信息给控制中心；

（3）控制中心收到预警后，会根据预警采取相应的处理措施。

2 网络安全系统中入侵检测系统的设计与实现

2.1 系统模型

本文所设计的是一种基于混合型检测技术、基于网络的分布式入侵检测系统。

2.2 功能模块

入侵检测系统由探测代理模块、监视代理模块和策略执行代理模块构成。其中：

探测代理模块是整个检测系统的基层模块，主要功能是对网络数据进行数据信息的获取，经过统一的预处理之后，采用基于特征匹配的误用检测技术进行数据分析是否存在入侵行为，如有入侵，及时的将预警信息发送给监视代理，然后从监视代理的指令中获取参数配置信息，调整参数后重新启动检测引擎。

监视代理模块是整个检测系统的高层检测组件，主要功能是对探测代理模块提供的预警信息进行有效识别，然后将不同的探测代理模块的预警信息综合起来，分析他们的关联度，以便有效的检测每个区域内的入侵事件。当预警信息确认后，监视代理将它和所有的响应措施进行匹配，确定相应措施后，将预警及措施发送给策略执行代理。

策略执行代理模块是整个检测系统中最重要的环节，没有它检测系统显得毫无意义。其主要功能是将收到的预警信息通过邮件发送给系统管理员，然后启动对探测代理指令的响应策略，如修改文件、连接复位、杀死异常进程等，并且对网络中的防火墙系统的设定进行重新配置。

2.3 工作流程

首先，入侵检测系统的探测代理模块设置系统工作初始值，并且确定系统工作的运行模式。在系统运行过程中，通过消息映射机制调用库函数，完成系统相应的操作。然后，在捕获与解析模块收到系统数据包的消息后，根据所设定的工作参数调用相关处理函数，不仅对网络数据进行实时采集，而且也对所读取的数据信息进行分析。接下来是调用解析进程，构造一个二维链表，最后主函数启动数据截获和处理进程，判断是否存在入侵行为。

3 结语

综上所述，入侵检测技术作为计算机网络防护的有效措施，在系统受到危害前及时的进行拦截，并且采取相应措施防止入侵行为。然而，我国的网络安全中入侵检测系统仍然存在很多的问题，因此，我们必须有针对性的进行深入研究，并且提出相应的解决措施，对其不断的进行完善与创新，促使入侵检测系统的检测性能得到提高。

参考文献

[1]刘成.试论入侵检测技术在网络安全中的应用与研究[J].网络安全技术与应用，2016（02）：16-16.

[2]吴卉男.计算机网络安全中入侵检测系统的研究与设计[J].通讯世界，2016（01）：182-182.

[3]杨培枝.网络安全中入侵检测技术的应用研究[J].中国新通信，2016（12）.

[4]王宇祥.入侵检测技术在计算机网络安全维护中运用探讨[J].网络安全技术与应用，2016（04）：22-22.

作者简介

张亮（1982-），女，江西省吉安市人。硕士学位。现为南昌大学人民武装学院讲师。研究方向为信息技术。

作者单位

南昌大学人民武装学院 江西省南昌市 330043