入侵检测技术
入侵检测技术范文第1篇
摘要:入侵检测技术是对计算机和网络进行动态防护的多种技术的结合体。从入侵检测基本概念开始,阐述了入侵检测的原理、过程、性能指标和技术等问题。
关键词:入侵检测;入侵检测系统;动态防护
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)36-pppp-0c
On the Intrusion Detection Technology
FANG A-li,YIN Mei-gui
(HeYuan Polytechnic Electronic and Information Engineering ,HeYuan 517000, China)
Abstract:Intrusion detection technology is a dynamic combination of multiple technologies for the computer and network protection . Starting from the basic concepts of intrusion detection, expounded the principles ,process, performance indicators and technical issues of intrusion detection.
Key words :intrusion detection;intrusion detection systems;dynamic protection
在信息网络普及的时代,计算机和网络安全显得直观重要,防火墙技术,通常能够在内网和外网之间提供安全的网络保护,但是这是远远不够的。入侵检测技术是对防火墙技术的有效补充,为计算机和网络安全增加了又一道阀门。
1 基本概念
入侵检测是指对计算机或网络资源的恶意企图和行为进行识别,并对此做出响应和处理的过程。
入侵检测技术是一种对计算机网络中违反安全策略行为进行检测和对计算机系统进行实时检测,发现其中未授权或异常现象进行报告的技术。
入侵检测系统是指进行入侵检测的软件和软件配置环境相关硬件的集合。
入侵检测技术是一种动态安全防御技术,入侵检测系统的功能是在对网络性能不影响的情况下,对网络活动进行检测,从而对来自网络的内外部攻击和人员的误操作提供实时保护,并在系统受到危害之前对可能得入侵进行拦截和响应。
2 入侵检测原理
入侵检测一般分为实时入侵检测和事后入侵检测。
实时入侵检测原理:在网络连接的条件下,入侵检测系统首先根据用户的历史行为模型、神经网络模型以及存储在计算机中的专家知识对当前的系统进行判断,如果发现可疑,立马断开可疑对象发出者与主机的连接;紧接着,收集相关证据并实施数据恢复。
事后入侵检测原理:网络管理人员定期或不定期根据计算机系统对于用户操作的历史审计记录进行判断用户事后是否具有入侵行为,如果有就断开连接,并记录入侵证据,然后对数据进行恢复。
3 入侵检测过程
入侵检测的一般过程分为三个步:信息收集、数据分析和事件响应。
第一步为信息收集,信息收集由不同主机的或放置在不同网段的传感器来完成。收集的信息包括系统和网络日志文件、网络流量、异常的目录和文件改变、异常的程序执行等。
第二步为数据分析,数据分析通过模式匹配、统计分析和完整性分析等技术,对收集到的数据进行深入分析(其中,数据包括网络、系统、数据及用户活动的状态和行为等),发现攻击,然后根据分析的结果产生事件,并将事件传递给事件响应模块等待处理。
第三步为事件处理,事件处理是由控制台依据告警产生预先定义的响应(分主动响应和被动响应),并进行重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,或者只是简单的告警。
4 入侵检测的主要性能指标
入侵检测的主要性能指标包括:准确性指标、效率指标和系统指标。
4.1准确性指标
准确性指标主要包括检测率、误报率和漏报率等指标。检测率是指系统在所监视网络在受到攻击时能正确报警的概率。检测率=入侵报警数/入侵攻击数。误报率是指系统把正常的行为误报为入侵攻击而进行报警的概率和把一种攻击错报为另一种攻击的概率。误报率=错误报警数 /(正常行为数+攻击数)漏报率是指所检测网络受到入侵攻击时,系统不能正确报警的概率。漏报率=不能正确报警的数量/入侵攻击的总量。
4.2效率指标
效率指标主要是根据用户系统的实际需求,以保证检测质量为准,同时取决于不同的硬件设备级别。效率指标主要包括最大处理能力、每秒并发TCP会话数、最大并发TCP会话数等。最大处理能力是指在指定检测率范围内,系统没有漏报的最大处理能力。每秒并发TCP会话数是指系统每秒最大可以增加的TCP连接数。最大并发TCP会话数是指系统最大限度范围内,可以同时支持的TCP连接数。
4.3系统指标
系统指标是衡量系统运行的稳定性和使用的方便性的参考。衡量指标只要包括最大规则数、平均无故障时间等。最大规则数是指系统允许配置的最大入侵检测规则条目数。平均无故障时间是指系统无故障连续工作的时间。
5 入侵检测技术
入侵检测技术的关键技术是异常检测技术和误用检测技术。
5.1异常检测技术
异常检测技术是依据用户的行为和系统资源的使用状况来判断是否存在网络入侵的技术,也称为基于行为的检测技术。
异常检测技术原理:首先假设网络攻击行为是不常见的或是异常的,然后将当前捕获的网络行为与行为模型进行对比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。
异常检测技术分类:异常检测技术分为统计分析异常检测、贝叶斯推理异常检测、神经网络异常检测、模式预测异常检测、数据采掘异常检测、文件完整性异常检测、免疫系统异常检测和机器学习异常检测。
异常检测技术优缺点:异常检测技术具有能够检测出新的网络入侵方法攻击、较少依赖于特定的主机操作系统、对于内部合法用户的越权违法行为的检测能力较强等优点。但存在误报率高、行为模型建立困难、难以对入侵行为进行分类和命名等不足。
5.2误用检测技术
误用检测技术是指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。也称为基于知识或模式匹配的检测技术。
误用检测技术原理:首先假设所有的网络攻击行为和方法都具有一定的模式或特征,然后将当前捕获的网络行为特征与入侵信息库中的特征信息进行比较,如果匹配,则当前行为就被认定为入侵行为。
误用检测技术分类:误用检测技术专家系统误用检测、特征分析误用检测、模式推理误用检测、条件概率误用检测、状态转换误用检测、键盘监控误用检测等检测技术。
误用检测技术优缺点:误用检测技术检测准确度高、技术相对成熟,便于进行系统维护,但其对具体系统依赖性太强,可移植性差、维护特征库的工作量大、不能检测出新的入侵行为、难以检测来自系统内部的攻击。
其它入侵检测技术包括基于数据挖掘、遗传算法和免疫技术的入侵检测技术等。
6 入侵检测系统
入侵检测系统的分类依据不同,分类也不同,依据系统所检测的对象是主机或网络包,入侵检测系统的分为:基于主机的入侵检测系统和基于网络包分析的入侵检测系统。
6.1基于主机的入侵检测系统
基于主机的入侵检测系统需要安装在被保护的主机上,通过监视和分析主机的审计记录及日志文件来检测入侵行为,通常用来保护运行关键应用的服务器。OSSEC HIDS就是一个典型的基于主机的开源入侵检测系统。
基于主机的入侵检测系统的优点是能够校验出攻击是否成功;可使特定的系统行为受到严密监控等。缺点是会占用主机的资源,对操作系统的依赖性强。
6.2基于网络包分析的入侵检测系统
基于网络包分析的入侵检测系统需要安装在受护的网段中,利用网络监听技术实时监视网段中传输的各种数据包,并对这些数据包的内容以及数据来源和传输目的地等进行分析和检测。一旦发现可疑事件或入侵行为,系统就会发出警报,在严重时切断网络连接。
基于网络包分析的入侵检测系统的优点是购买成本低,对识别出来的攻击能进行实时检测和响应。缺点是防欺骗能力差、交互环境下难以配置等。Sguil是一款典型的被称为网络安全专家监视网络活动的控制台工具。
基于网络和基于主机的IDS在功能上各有优势,又互为补充。对于对方无法检测到的一些入侵行为都能及时发现。但对于从某个重要服务器的键盘发出的攻击就无法通过基于网络的IDS检测到,相反,对于涉及检查包首标(header)来进行得检测只能通过基于网络的IDS来完成。
7 结束语
随着用户对于网络安全意识的提高,以及入侵检测技术的发展日趋成熟,相信不久的将来,人们对于危险四伏的网络环境将不再恐惧。
参考文献:
入侵检测技术范文第2篇
关键词:入侵检测;滥用监测;异常检测;分布式检测
近年来,随着网络技术的发展和广泛应用,网络安全问题日益突出。而传统的基于防火墙、身份认证以及加密技术等的网络安全防御体系主要是采用禁止策略来进行防御,从网络安全的角度来讲,仅有防御是不够的,还应该采取主动策略,入侵检测技术应运而生,并成为当前网络安全方面研究的热点和重要方向。它改变了以往的被动防御的特点,能够主动实时地跟踪各种危害系统安全的行为,并做出及时的响应。尤其在抵御网络内部的攻击方面,更有独到的特点,成为防火墙之后的又一道安全防线,它主要是根据使用者或资源使用状况来判断是否存在入侵。异常检测首先建立一个对应“正常的系统轮廓”的特征原型,然后把与所建立的特征原型中差别“很大”的行为标志为异常行为。异常检测的模型如图2-1.
异常检测与系统相对无关,通用性较强。并且有可能检测出以前未出现过的新型攻击。但因为不可能对整个系统内的所有用户行为进行全面的描述,况且每一个用户的行为是经常变化的,所以它的主要缺陷在于误报率很高(False Positive Rate)。其次由于统计简表要不断更新,入侵者如果知道某系统在检测器的监视之下,他们能慢慢地训练检测系统,以至于最初认为是异常的行为,经一段时间训练后也认为是正常的行为。所以对于什么是“异常”的判断是异常检测中最大的问题。
B、特征检测(Signature-based Detection)
特征检测又称误用检测(Misuse Detection),是指将已知的攻击方式以某种形式存储在知识库中,通过判断知识库中的入侵模式是否出现来检测,如果出现,说明发生了入侵。这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。可以检测已有的攻击,对未知的攻击无法检测。
滥用检测依据具体特征库进行判断 ,所以检测率(detection rate)很高,能够准确有效的识别出大部分网络攻击,是目前发展比较成熟且普遍使用的入侵检测技术。但缺陷在于:模式匹配算法的计算代价非常大;只能检测出一些攻击特征明显且唯一的攻击,如果攻击特征字符串稍稍发生改变,就可能发生漏检;即只能对己知攻击进行检测,对那些变种的和新的攻击却无能为力;所以漏警率(false negative rate)也较高。
(3)异常检测和滥用检测的比较
比较而言,异常检测试图发现一些未知的入侵行为,而滥用监测则是标识一些已知的入侵行为。异常检测的主要缺陷是误报率太高,例如:将一些正常的行为误报为异常;而滥用监测正好相反,它检测不出新型的攻击类型,必须不断地更新规则库。滥用监测比异常检测具备更好的确定解释能力,开发规则库和特征集合相对于建立系统正常模型而言,也更方便,更容易。
所以滥用检测和异常检测各有长处,而从实际商用系统来看,大多数都是采用滥用入侵检测技术,但在许多优秀的入侵检测系统中,也采用了不同形式的异常入侵检测模块。如早期的IDES和NIDES系统同时采用统计分析的异常检测和基于专家系统规则的滥用入侵检测技术。从最终的需求来看,联合使用两种技术势在必行。多种检测技术的结合使用,可以有效提高入侵检测系统的性能,更有效的实现入侵检测功能。
三、目前入侵检测系统存在的问题
入侵检测经过近几十年来的发展,仍有许多地方需要提高。根据国外权威机构近来的入侵检测产品评测报告,目前主流的入侵检测系统存在的问题表现在以下几个方面:
(1)高速交换网络环境下的检测问题。
(2)恶意数据采用加密方式传输。网络上传输的数据进行了加密之后会大大影响特征检测的规则匹配能力,从而极大影响到网络入侵检测的正常工作。
(3)存在过多的误报和漏报信息。缺乏检测高水平新型攻击的有效手段。
(4)入侵检测系统自身的抗强力攻击能力差。
分析以上问题,不具备检测新攻击类型的能力,是因为以往的检测方法常常使用滥用检测技术,滥用检测的本质决定了它检测不到新型攻击类型。而异常检测就可以很好地解决这个问题,但是异常检测会导致第二个问题,就是误报率比较高。降低误报率同时具备检测新类型攻击的能力对异常检测系统来说是一个很大的挑战。
入侵检测技术范文第3篇
【关键词】网络入侵检测 实现过程 防治技术
计算机网络技术的迅速发展,改变了人们的生活生产方式,既为人们带来了众多便利,又提高了科技向生产力的转化效率,已经渗透到了各个行业和领域。但是,在计算机网络技术的实际应用过程中,网络安全容易受到众多因素的影响,如黑客攻击、病毒入侵、操作失误等,不利于网络技术应用优势的充分发挥,所以就需要加大对网络安全防护技术的研究力度,不断开发新的网络安全保障系统,提高计算机网络运行的安全系数。
1 网j入侵检测概念及重要作用
网络入侵检测是指通过对计算机运行情况进行时时监控,及时发觉入侵行为,并做出相应的反应动作,进而来保证网络安全。网络入侵检测的本质是一种安全管理技术,将其应用于计算机网络中,可以对不同系统源的重要节点信息进行收集分析,包括网络行为、安全日志、审计数据及外部信息等,以此作为依据,判断计算机是否处于稳定运行状态,并识别其中是否存在被攻击现象,在作出自动反应后生成检测记录和检测报告。
网络入侵检测技术对于提高计算机运行的安全性具有重要意义。网络入侵检测系统相当于计算机的第二道安全闸门,补充完善了防火墙安全防护技术缺陷,在对计算机运行动态情况进行检测的同时,不会对网络性能造成影响。同时,当网络系统出现变更调整时,可以快速将变更信息及时、准确、全面的传递给网络安全管理人员,尽快实现网络系统漏洞的修补,为网络安全防护方案的制定提供可靠依据。
2 网络入侵检测的分类
根据网络入侵检测依据的不同,可以将其分为误用检测和异常检测两种。
2.1 误用检测
误用检测是以攻击签名作为主要依据,通过对网络入侵行为进行假定,将其表示为具体的网络语言,实现攻击签名与入侵行为特点的相照应,来判断是否存在网络入侵现象。保证攻击签名的准确性是确保误用检测有效性的首要前提,并且在对入侵行为进行网络语言设定时,必须将非入侵行为排除在外,才能对是否存在网络入侵现象进行准确判断。以攻击签名为基础的网络入侵误用检测,可以对网络入侵行为的特点、发生条件、排列关系等要素进行总结归纳,以此作为理论依据,对网络入侵行为进行预防。采用误用检测方法,可以有效提升网络安全性,但是该检测方法也存在一定的局限性,无法对未知的网络入侵行为进行准确检测。
2.2 异常检测
异常检测是一种以网络网络特征量和参考阈值为主要依据的网络入侵检测方法,在应用方法的时候,先对网络行为的正常安全范围进行界定,明确其行为特点,然后将用户行为和计算机实际运行情况与之进行比较,分析两者之间的差异性,来判断是否发生网络入侵现象。网络行为特征量的选择和参考阈值的界定,是异常检测方法中的关键问题,在选择网络行为特征量的时候,既要保证其价值性和代表性,又要避免出现冗余特征量;在设定参考阈值的时候,应该保证阈值范围的合理性,避免阈值过大或者过小,提高网络入侵检测的准确率。相比于误用检测方法,异常检测可以对未知网络入侵行为进行准确检测,但是要求检测系统具有较强的处理性能,并且可以进行实时更新。
3 网络入侵检测防治技术
经过长期的研究与实践应用,现阶段已经形成了多种网络入侵检测防治技术,其中应用比较广泛的主要包括以下几种类型。
3.1 基于主机的入侵检测防治技术
基于主机的入侵检测防治技术,在计算机网络中的应用是比较早的,在判断是否存在网络入侵现象时,所使用的参考数据主要是计算机系统的审计、跟踪日志,对其进行分析之后生成报告,将具体网络行为表示出来。在利用该项网络入侵技术时,可根据主机数量而定,如果主机数量较少,则不需要增加专门的硬件平台,技术成本较低,同时,能够明确区分每个主机,对存在于主机系统中的网络入侵行为进行集中检测,并且可以根据网络协议,及时发现网络入侵迹象。
3.2 基于网络的入侵检测防治技术
以网络为基础发展而来的入侵检测技术,是利用嗅探器等专业工具软件,来监听网络传输流量,对截获、采集得到的网络数据进行分析,结合已知网络入侵行为特征或者正常网络行为特征,来判断是否出现网络入侵现象。同时,还可以通过在重要网络节点上安装入侵检测工具,便可以对数据包载荷进行分析,准确识别网络入侵行为,并做出防御反应。该网络入侵检测防治技术具有适用性强、配置简单、检测类型多等优点,不必从操作系统中获取数据源,但是无法实现对主机系统的入侵检测,只能够进行网段检测,很难保证网络入侵检测的精准性。
3.3 分布式网络入侵防治技术
随着网络入侵检测防治技术的不断发展,以分布式结构为基础形成的入侵检测防治技术应用越来越广泛,有效提高了入侵检测系统的协调性,解决了传统入侵检测防治技术在异构系统和大规模网络中应用的局限性。分布式网络入侵防治技术是基于主机和网络的入侵检测防治技术的融合,即主机上采用主机入侵检测,重要网络节点上采用网络入侵检测,然后利用所得网络数据的分析结果,判断是否出现网络入侵行为,进而采取相应的预防措施,提高网络安全系数。
4 结束语
网络入侵检测技术是网络安全防护技术发展的必然产物,在加强网络安全防护力度、提高网络安全系数方面发挥着越来越重要的作用,对构建更加健康、稳定、安全的网络环境意义重大。随着对网络入侵检测与防治技术研究力度的不断增强,出现了更多形式的技术,网络入侵检测与防治技术变得更加完善和成熟,具有更加广阔的应用空间和应用前景。
参考文献
[1]刘恩军.网络入侵检测技术的研究[J].齐齐哈尔大学学报(自然科学版),2013(04):52-55.
[2]莫新菊.入侵检测技术在计算机网络安全中的应用研究[J].计算机光盘软件与应用,2012(18):68-69.
[3]杨菲.入侵检测技术在网络安全中的应用[J].数字化用户,2013(03):49-50.
入侵检测技术范文第4篇
关键词:计算机技术;网络安全;入侵检测;概念;问题
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)19-0032-02
随着社会经济与科学技术的不断进步,计算机技术以及互联网得到了越来越广泛的应用与发展,对于人们的生活有着十分重要的意义。然而计算机与网络的普及也出现了一系列的问题,例如由于网络入侵导致计算机系统系统的正常运行受到影响,降低了计算机的工作效率,同时一些涉及个人隐私的信息也受到威胁。因此,入侵检测技术的应用对于计算机网络安全的防范就起到了十分重要的作用,然而由于我国计算机网络安全入侵检测技术的起步较晚,在许多方面存在一定的不足,难以保障计算机的网络安全,因此,加强计算机网络安全的入侵检测技术应用与研究势在必行。
1计算机网络安全入侵检测的概念
计算机在正常运行的过程中,当处于网络环境时,那么就存在外界与内部不安全因素,例如病毒、软件的侵入而影响到计算机的运行速度,进而造成计算机的工作效率降低。而一旦计算机运行状态出现异常,那么就可以运用入侵检测技术来及时防御计算机内部与外部的干扰因素,同时也使得计算机由于这些影响因素造成的干扰得以有效避免。当计算机受到意外攻击时,计算机网络安全的入侵检测技术能够与防火墙相配合,使得计算机得到更好的保护。鉴于此,可以说计算机网络安全的入侵检测技术就是以补充防火墙的不足而产生的。
2计算机网络安全入侵检测技术的类型
2.1基于误用检测技术
误用入侵检测的主要功能是根据特征搜集影响计算机的干扰因素,并对其是否集中出现进行判断并处理。误用入侵检测技术与杀毒软件的操作方式相似,而该技术的优势在于其建立的入侵特点的模式库,并根据此进行相似特点的搜集,如此一来检测中不仅能够搜集出有着相似特征的入侵行为,同时又使得系统的入侵与抑制系统免于遭受同样的入侵。然而有的入侵行为具有一定的特殊性,其具有变种功能,即利用相同的功能缺陷与原理进行变异,因此就难以被检测出来。误用入侵技术在某些方面还是存在一定的缺陷的,例如其只能对已知序列和特点对有关入侵行为进行判断,而难以及时检测出一些新型的入侵攻击行为,同时还有一些漏洞存在。
通常可以将误用入侵检测技术分为专家系统与状态迁移分析技术等两种。其中专家系统在早期的入侵检测系统中比较常用,主要是采用专家的入侵行为检测系统。比如早期的NIDES、NADIR,这些都是具有独立的专家系统模块。一旦发现专家系统中的入侵行为,整个系统就会对其进行编码,将其编译为一个IF语句。其次是状态迁移分析技术,建立在异常检测技术的基础之上,对一组系统的“正常”情况下的值进行定义,包括CPU利用率、内存利用率以及文件校验等等,然后与正常定义作对比。在该检测方法中,对“正常”情况的定义是最为关键的部分。
2.2基于异常的检测技术
基于异常入侵的检测技术需要对一组正常情况下内存利用率、硬盘大小、文件检验等值进行定义。这些数据是具有灵活性的,人们可以方便自己统计而进行自主定义,接着比较规定数值与系统正在运行中的数值,进而对被攻击与否进行检验与判断。该检测方法是以对正常数值的定义为核心而进行的,如此才能够判断系统是否遭受到了攻击。该检测技术早在1996年就有了一定的研究,有人以建立系统的审计跟踪数据分析系统,主体正常行为的特征为大致方向,建立起一个大概的轮廓模型。在进行检测的过程中,在审计系统中,被认为是入侵行为的依据就是系统中的出现较大差异的数据。根据功能配置文件、登录的时间与位置、CPU使用时间以及文件访问属性等对特点进行描述。其对应的功能配置文件会随着主要行为特征的改变而改变。例如入侵检测系统基于统计的使用或规则进行描述,对系统行为特征的基本轮廓进行建立。
3入侵检测系统的类型
3.1基于主机的入侵检测系统
基于主机的入侵检测系统主要对主机进行重点检测,通过在主机上设置入侵检测,对其是否被攻击进行判断。主机入侵检测系统能够较为全面动态的监控计算机网络用户的操作行为,一旦出现网络异常情况就会进行预警,能够安全有效的保护起网络的安全。基于主机的入侵检测系统能对攻击行为是否有效果加以判断,以此提供给主机充分的决策依据,并且还能监控例如文件访问、文件执行等指定的系统部位的活动。
3.2基于主机的入侵检测系统
基于行为的入侵检测系统主要指基于网络的入侵检测系统,其无法提供给客户单独的入侵检测服务,然而该系统的具有较快的检测速度以及低廉的检测成本。基于网络的入侵检测系统在设置检测的过程中能够进行多个安全点的设置,并同时观察多个系统的网络通信,同时也省去了主机上的安装,因此才被认为成本较低。基于主机的入侵检测无法安全有效的检测数据包,因此在入侵检测中时常出现漏洞,然而该检测系统具有检测对主机的漏洞攻击的功能,一旦发现恶意程序或者软件,就会进行及时的处理。在检测过程中,基于网络的入侵检测系统能够通过方便快捷的网络通讯实现对系统的实时监控,一旦发现问题,就会直接进行网络报告,以防止攻击者转移证据。基于网络的入侵检测技具有动态检测计算机网络系统的功能,一旦发现网络系统中存在入侵行为就会做出快速反应,不会受到时间与地点的限制,并进行预警,同时采取相应的措施处理入侵行为。
4计算机网络安全入侵检测技术存在的问题
入侵检测技术范文第5篇
1网络信息管理中入侵检测技术概述
(1)入侵检测技术在网络信息管理之中的作用。如果说现代计算机作为系统,那么入侵检测技术就相当于保安系统,对于关键信息的储存位置进行定期检查和扫描,一旦发现外来不明用户杜宇关键信息进行查询,便对使用用户进行警告,帮助用户进行入侵行为的相关处理,保障关键的信息系统和数据信息不会收到损坏和盗窃。入侵检测技术同样会对系统之中存在的漏洞进行检查和通报,对于系统之中的漏洞而言,往往便是入侵行为发生的位置,所以针对于这些位置进行处理,更为良好的保证整个系统的安全,对于现代企业网络系统而言,入侵检测技术便是保障的第二道铁闸。(2)现阶段入侵检测技术的主要流程。通常情况下,入侵检测技主要可以分为两个阶段。第一个阶段便是信息采集,主要便是对于用户的各种信息使用行为和重要信息进行收集,这些信息的收集主要是通过对于重点信息部位的使用信息进行查询得出的,所以说在现代应用之中,入侵检测技术一方面应用了现代的检测技术,另外一方面也对于多种信息都进行了收集行为,保证了收集信息的准确性;第二个阶段便是处理相关信息,通过将收集的信息和过往的信息进行有效对比,然后如果对比出相关错误便进行判断,判断使用行为是否违背了网络安全管理规范,如果判断结果为肯定,那么便可以认定其属于入侵行为,对于使用用户进行提醒,帮助用户对于入侵行为进行清除。
2现阶段入侵检测技术的使用现状
(1)网络信息管理中入侵检测系统的问题。入侵检测技术作为一种网络辅助软件去,其本身在现阶段并不是完善的,自身也存在漏洞。所以说很多非法分子的入侵不仅仅是面对系统的,很多先通过入侵技术的漏洞来进行。针对现阶段的使用过程而言,入侵检测技术仍然存在自身的漏洞危险,也存在主要使用风险。在现阶段存在危险的方面主要有两个方面。一方面便是由于入侵检测系统存在漏洞;另外一方面便是现代计算机技术的发展。无论是相关的检测系统亦或是相关病毒,都是现代编程人员利用C语言进行编程,伴随着相关编程水平的不断提高,两种技术同样得到了自我发展,所以说很多黑客高手在现代的入侵行为之中,已经不能以旧有的眼光来进行相关分析。所以说新的时期,入侵检测技术也应该得到自我的发展,同样针对于应用网络的相关企业做好安全保证,保证信息技术在现代之中的发展。(2)现阶段网络信息管理之中入侵检测技术存在的问题。网络信息管理之中的入侵检测技术在现代之中仍然存在问题,同样是两个方面问题。一方面是由于入侵技术自身存在漏洞,在现阶段很多入侵检测技术是通过对于入侵行为进行有效的提取,将行为进行归纳,对于行为是否符合现代网络安全规范,然后判断结果是否为入侵。很多时候,入侵行为往往较为隐秘,所以说这就导致了相关的入侵检测技术不能对于入侵行为进行提取,更无从谈起其是否符合网络安全规范。另外一方面的问题便是检测速度明显小于入侵速度,这也是在现阶段常见的问题。随着现代网络技术的发展,网络速度已经得到了有效的自我发展,很多入侵检测过程之中,很多时候检测速度小于网络检测速度,这样的情况下,一些行为尚未进行阻拦,便已经达成入侵的目的了,进而导致了信息的丢失,所以说这方面的问题同样应该得到改善。企业在应用之中,也应该注意这种速度的问题,防止因为速度进而造成自身信息丢失等。
3网络信息管理之中入侵检测技术的具体分类
(1)异常检测,异常检测顾名思义,便是对于入侵行为进行检测,但是由于入侵的性质未定,这就导致很多时候入侵检测技术进行了无用功。现阶段往往入侵检测技术通过建立一个行为轮廓来进行限定,如果入侵行为已经超过了这个行为轮廓,便确定其为入侵行为。这种模式大大简化了行为判定的过程,但是由于过于简单的相应行为也容易出现相关漏洞。在实际工作之中,往往非入侵行为但是在行为轮廓行为之外的网络访问行为,但是在入侵检测技术之中被判断为入侵行为,造成了工作的重复。所以说在进行行为轮廓的确定时,同样应该由一些特征量来确定,减少检测工作可能出现的失误,进而可以提升检测工作的效率;另外一方面可以设置参考数值,通过参考数值的评定来进行评判,在入侵检测技术之中,参考数值非常重要。(2)误用检测,其应用前提便是所有的入侵行为进行识别并且进行标记。在一般情况下,误用检测便是通过攻击方法来进行攻击签名,然后再通过定义已经完成的攻击签名对于入侵行为进行相关判断。很多行为都是通过漏洞来进行,所以误用检测可以准确的判断出相应入侵行为,不仅预防了入侵行为,还可以对于其他入侵行为进行警示作用。这种技术在实际使用过程之中,提升了入侵检测数的效率和准确。
