万方数据 入侵检测技术在煤矿网络安全中的应用与研究赵璞Mine0前言1入侵检测技术CoalSafetyApplicationandStudyofIntrusionDetectionTechnologyNetwork煤炭技术toZHAOPu方法分可分为误用检测和异常检测2大类；如依据待分析的模式的统计分析；五是评估重要系统和数据文件的完整性；(河北大学，河北保定071000)摘要：计算机网络技术飞速发展，网络安全成为网络管理的一个突出问题。本文重点讨了入侵检测技术，对该技术的概念、分类和主要技术方法进行了分析，并给出了入侵检测系统的概念及工作流程。关键词：网络安全；入侵检测技术；数据挖掘；孤立点挖掘中图分类号：TD76文献标识码：A文章编号：1008—8725(2010)09--0111．03(Hebei07100，China)Abstract：Withbecometechnology，makesKey网络与信息安全问题与经济发展和社会稳定密切相关。随着全球信息化时代的来临，网络安全变得越来越重要。开发出高效实用的信息安全技术产品应对网络安全已迫在眉睫，入侵检测技术便是其中一种，它能有效弥补信息加密、防火墙等不能阻止内部攻击、不能提供实时检测等不足，有效提高安全防范能力，是目前常用的信息加密、防火墙等安全工具的合理补充。(1)入侵检测系统的定义人侵检测系统(IntrusionSystem，简称IDS)，即对各种入侵行为进行检测的系统。它是通过对网络和计算机系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，然后及时地发出报警或做出相应的响应，以保证系统资源的完整性，防止资料被盗或系统瘫痪。(2)入侵检测的分类按系统结构可分为集中式入侵检测和分布式入侵检测2种；按照工作方式上可分为离线检测和在线检测；按检测的时间可分为实时入侵检测和事后入侵检测2种；按照分析数据来源将入侵检测分为基于主机和基于网络的2类。(3)入侵检测系统的工作原理入侵检测系统通常只有一个监听端口，无需转发任何流量，而只需要在网络上主动、无声息的收集它所关心的报文，是一个典型的“窥探设备”。收集到报文后，入侵检测系统将从报文中提取相应的流量统计特征值，并利用内置的入侵知识库与这些流量特征进行智能分析、比较、匹配，，根据预设的阈值，匹配耦合度较高的报文流量将被认为是进攻而发出相应的报警信号或自动进行有限度的反击。(4)入侵检测系统的工作流程人侵检测的第一步是信息收集，包括网络流量的内容、用户连接活动的状态和行为。接下来是信号分析，系统将对上述收集到的信息通过模式匹配，统计分析和完整性3种技术手段进行分析。对于通过分析被认为有人侵行为的就实时记录、报警或有限度反击，作出适当的反应包括详细日志记录、实时报警和有限度的反击攻击源。(5)入侵检测任务的实现入侵检测(IntrusionDetection)技术是网络安全防护的重要组成部分，是安全审核中的核心技术之一。作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，它通过收集和分析信息，包括网络行为、安全日志：审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息来检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象，在网络系统受到危害之前拦截和响应入侵。入侵检测通过执行以下6项任务来实现：一是监视、分析用户及系统活动；二是系统构造和弱点的审计；三是识别反映已知进攻的活动模式并向相关人士报警；四是异常行为六是操作系统的审计跟踪管理，并识别用户违反安全策略的行为。入侵检测技术是一种用于检测计算机网络中违反安全策略行为、为保证计算机系统的安全而设计与配置的一种能收稿日期：2009—10-30；修订日期：2010---02-04作者简介：赵璞(1983一)，男，河北保定人，河北大学电子信息工程学院工作，研究方向：软件工程，模糊识别和图像处理。第29卷第9期2010年q期、叩，2010rapiddevelopmentcomputernetworktechnology，networksafetyhaskeyproblemmanagement．Thispaperchieflydiscussestheintrusiondetectionanalysisconcept，classificationitgivesconceptworkprocessdetecionsystem．words：network；intrusiondetection；datadig；isoluteddigv01．29，N。．09TPchn01()gYUniversity，Baodingwayoutaanon 万方数据 2入侵检测系统的结构3建立入侵检测的必要性4入侵检测的发展方向技第29卷煤炭术动以保护系统安