摘要：随着全球信息化时代的到来，计算机网络已经深入到人们日常生活中的方方面面，成为人们日常生活和工作中不可或缺的一部分，但同时计算机网络安全问题也越来越突出。目前入侵检测技术是保护计算机网络安全的重要手段。通过对入侵检测技术的相关理论进行了探讨，分析了入侵检测技术存在的问题，并展望了入侵检测技术的未来发展趋势。

关键词：计算机；网络安全；入侵检测技术

1引言

当今世界计算机网络的运用十分广泛，人们通过互联网进行商品买卖、社交以及娱乐，企业利用互联网进行交易，甚至能够危及到国家安全的机密信息也在计算机网络中沟通流动，因此计算机网络安全影响着社会各个层次、各个方面。计算机网络安全问题成为全世界共同关注的问题，如果不能有效地解决，将会严重制约信息化的发展进程。随着网络专家的不懈努力，找到了一个有效的解决途径就是入侵检测技术。入侵检测系统可以弥补防火墙的不足，在不影响网络性能的情况下对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。

2入侵检测技术相关理论概述

2.1定义

入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术，是一种为保证计算机系统的安全而设计与配置的技术。入侵检测系统(IntrusionDetectionSystem，简称IDS)是进行入侵检测的软件与硬件的组合。入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。入侵检测技术从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

2.2分类

（1）按照检测时间分类：入侵检测按检测的时间可分为实时入侵检测和事后入侵检测两种；（2）按照分析方法分类：入侵检测按照检测分析方法一般被分为误用检测和异常检测两大类；（3）按照数据来源分类：入侵检测依据待分析的数据来源通常可分为基于主机的检测系统和基于网络的检测系统两类；（4）按照系统结构分类：入侵检测按系统结构的划分可分为集中式入侵检测和分布式入侵检测两种；（5）按照工作方式分类：入侵检测按照工作方式的区别可分为离线检测和在线检测两种。

2.3工作流程

入侵检测技术的工作流程基本上可以归纳为以下3个步骤：（1）信息收集：信息收集是入侵检测的第一步，信息收集的内容主要包括系统、网络、数据及用户活动的行为和状态。收集信息的工作是由放置在不同网段的传感器或不同主机的来完成，包括非正常的目录和文件改变、非正常的程序执行以及系统和网络日志文件、网络流量的信息。（2）信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过3种技术手段进行分析：统计分析、完整性分析和模式匹配。其中模式匹配和统计分析用于实时的入侵检测，而完整性分析则用于事后的检测分析。当检测到某种误用模式时，就会产生一个告警并发送给控制台。（3）问题处理：控制台收到告警后，会按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。识别告警的方法主要有：活动特征、告警特征和用户特征。

3应用安全

入侵检测技术在计算机网络安全中的应用主要体现在基于主机的入侵检测系统和基于网络的入侵检测系统两个方面。

3.1基于主机的入侵检测系统

基于主机的入侵检测系统是把主机作为对计算机的重点检测对象，对主机进行入侵检测的设置，根据主机的运行情况来判断并检测主机是否出现了受到攻击的行为。主机入侵检测系统能够全面实时地监控计算机网络用户的操作行为，当网络出现网络异常情况时会进行预警，全面及时地保护网络安全。基于主机的入侵检测系统能够对攻击行为是否成功进行判断，并为主机作出决策提供充足的依据。基于主机分入侵检测系统还可以对文件访问、文件执行等指定的特定的系统部位进行监控。

3.2基于网络的入侵检测系统

基于网络的入侵检测系统又被称为基于行为的入侵检测系统，它在检测设置时无需在主机上进行安装，并且可以设置多个安全点，能够同时对多个网络通信进行监控，因此有着检测成本相对较低、检测速度快的优点。基于网络的入侵检测系统能够及时发现计算机在网络运行过程中受到的攻击，并及时向检测系统发送检测结果报告，提高发现计算机网络安全入侵的速度，方便快捷，并且大大缩短了计算机受到网络攻击的时间。基于网络的入侵检测系统由于采取对计算机的多处网络安全点和网络通信进行监控和观察，并且安装方便，因此检测效果高；监测系统一旦发现问题之后，可以直接利用网络进行报告，无论何时何地，都能做出快捷地反应和解决措施，提高了计算机网络安全检测技术的水平和检测效率，确保了计算机在安全网络环境下的正常运行，为计算机用户带来了便利。

4存在问题

4.1入侵检测技术相对落后

目前国内在入侵检测技术的研究起步比较晚，与发达国家相比差距还比较大。在网络安全技术发展的同时，网络入侵技术也在不断地升级，如果计算机网络安全入侵检测技术相对落后的话，当比较复杂高级的计算机网络入侵行为发生时，入侵检测技术是难以有效地解决威胁网络安全的因素的。在网络环境下，计算机对于网络安全的依赖性比较高，网络安全的入侵检测技术也存在一定的缺陷，安全检测存在局限性，在相同的网段能够进行计算机网络系统的局部检测与分析，一旦计算机网络系统处于不同的网段，其检测的全面性与有效性是难以保证的，由此可见，计算机网络安全的检测技术仍然有待提高，其存在的局限性与不完整性是非常明显。

4.2入侵检测技术方式单一

计算机网络安全的入侵检测系统主要采取的方式是特征检测，特征检测的适用范围是那些比较简单的入侵攻击行为，在单一的主机或网络构架下的检测效果很好，对异构系统以及大规模的网络监控就显得力不从心。当出现比较复杂的入侵行为时，入侵检测需要大量的计算和分析时间，这时入侵特征检测就无法发挥作用。另外，当入侵检测系统对网络系统进行监控时，会产生数量巨大的分析数据，分析数据会对系统性能造成较大压力。

4.3入侵检测技术加密处理困难

（1）计算机网络安全入侵检测技术在处理会话过程的加密问题上有很大的困难，就目前的发展趋势来看，这个问题会越来越突出。（2）入侵检测系统自身无法对网络攻击行为进行阻断，必须通过计算机内部防火墙的联合机制才能更好地完成入侵检测，自身的功能存在缺陷明显，作用也无法得到充分的发挥。（3）人们在日常生活中对计算机的广泛应用，计算机触及到用户越来越多的隐私，因而计算机内存储的网络数据也具有一定的隐私性，在计算机受到网络安全的威胁后，计算机网络安全的入侵检测系统自身无法完成对计算机系统的全面检测，检测技术并不能保证计算机网络数据的安全性和隐私性，加之网络检测需要同计算机内部防火墙联合，这样便会对计算机内部网络数据造成一定的暴露，不能对其做到科学全面的加密处理，在一定程度上对用户的个人隐私造成威胁。

5发展趋势

5.1分布式入侵检测

在如今高速发展的信息网络时代，传统的入侵检测技术缺乏协同并且过于单一，在应对高级复杂的网络安全入侵时显得力不从心，因此分布式的协作机制就显得更有优势。分布式入侵检测核心的技术体现在全局的入侵信息提取与多个入侵检测协同处理，主要体现在收集数据、入侵信息的分析和及时的自动响应等方面。它在系统资源方面的优势远大于别的方式，将是将来主要的发展方向之一。

5.2智能化入侵检测

目前的安全入侵方式越来越智能化和多样化，因此入侵技术的智能化发展也变得顺理成章。智能化入侵检测技术包含了模糊技术、神经网络、遗传算法、免疫原理等方法，能够更有效地识别与分析入侵威胁因素，提高网络安全入侵检测技术水平。智能化入侵检测可以将入侵的特点更具有广泛识别性和辨识性，因此可以在解决出现的故障时，识别和隔离可疑攻击，并不干涉正常运行的程序，以确保计算机的运行效率。

5.3一体化全方位防御方案

根据目前的网络安全入侵情况来看，入侵方式越来越智能化和多样化，仅仅某一方面的入侵检测方式很难应对，因此针对这种情况，网络安全入侵检测系统很可能实现一体化的发展趋势，这样入侵检测的结果将会更加全面和科学准确，打造网络安全入侵检测平台，最大化地利用计算机资源，增强入侵检测的可靠性，全方位地确保计算机的网络安全。

6结语

作为一种积极主动地计算机网络安全防护技术，入侵检测为计算机网络安全提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和解决入侵威胁，对保护网络安全的作用十分重要。面对日益复杂的网络安全形势，必需正视自己在入侵检测技术上与发达国家的差距，加大研究力度，提升我国计算机网络安全的入侵检测技术水平，为计算机网络安全提供有力保障。

参考文献

[1]毛晓仙.试论计算机网络安全的入侵检测技术[J].网络安全技术与应用,2014,08:63+65.

[2]唐锐.基于频繁模式的离群点挖掘在入侵检测中的应用[D].重庆大学,2013.

[3]宋彦京.计算机网络入侵检测系统与技术措施分析[J].网络安全技术与应用,2014,11:51-52.

[4]董芳.入侵技术在数据网络安全中的应用分析[J].赤峰学院学报(自然科学版)，2012,06:27-28.

作者：李文强 单位：武汉轻工大学数学与计算机学院