万方数据 基于入侵检测技术的网络安全研究囡黑2∞7．8髓各安宝技7It与应用37在信息社会中信息已成为人类宝贵的资源。近年来In啪et摘要：本文首先概括了网络信息安全的概念和当前网络安全解决方案的局熙壤攀ii熊；藤搓醵糍叁侵检测概惫翰基础上，对l网络安全技其现状1．I网络安伞的概念1．2网络安伞的现状2当前网络安全解决方案的局限性3入侵检测技术慨述关键词卜网络安垒l网络攻击}入侵检测J!；l言l除I作者简介：赵伟艇(1赵伟艇杨照峰平顶山学院河南467002入侵检测的方法进行了系统分析，提出了入侵检测技术的发展趋势。正以惊人的速度在全球发展，Intemet技术已经广泛渗透到各个领域。然而，由于Inn：met的发展而带来的网络系统的安全问题，正变得日益突出，受到越来越多的关注。因此网络安全已成为关系国家安全的重大战略问题。计算机网络安全包括物理安全和信息安全，我们常说的网络安全，主要是指网络信息安全，是指利用网络管理控制技术防止网络本身及网上传输的信息被故意的或偶然的非授权泄露、更改、破坏，或使信息被非法系统辨认、控制，从而确保信息的保密性、完整性、可用性、可控性。近年来大规模的网络安全事件接连发生，互联网上蠕虫、拒绝服务攻击、网络欺诈等新的攻击手段层出不穷，导致泄密、数据破坏、业务无法正常进行等事件屡屡发生，甚至导致世界性的互联网瘫痪，造成的经济损失无法估量，网络安全问题不容忽视。因此必须针对性地采取必要的安全措施，使网络安全问题所造成的影响降到最低。网络安全防范措施主要有防火墙、口令验证系统、加密系统等，应用最广泛的是防火墙技术。防火墙技术是内部网最重要的安全技术之一，其主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点。但也有其明显的局限性，如：(1)防火墙难于防内。防火墙的安全控制只能作用于外对内或内对外，而据权威部门统计结果表明，网络上的安全攻击事件有70％以上来自内部攻击。(2)防火墙难于管理和配置，易造成安全漏洞。防火墙的管理及配置相当复杂，一般来说，由多个系统(路由器、过滤器、代理服务器、网关、堡垒主机)组成的防火墙，管理上有所疏忽是在所难免的。根据美国财经杂志统计资料表明，30％的入侵发生在有防火墙的情况下。(3)防火墙的安全控制主要是基于IP地址的，难以为用户在防火墙内外提供一致的安全策略。许多防火墙对用户的安全控制主要是基于用户所用机器的IP地址而不是用户身份，这样就很难为同一用户在防火墙内外提供一致的安全控制策略，限制了企业网的物理范围。(4)防火墙只实现了粗粒度的访问控制。基于这个原因，导致其不能与企业内部使用的其他安全机制(如访问控制)集成使用。这样，企业就必须为内部的身份验证和访问控制管理维护单独的数据库。入侵检测，是对入侵行为的检测，它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵枪测的软件与硬件的组合便是入侵检测系统。如果一个系统的计算机或者网络安装了入侵检测系统，它会监视系统的某些范围，当系统受到攻击的时侯，它可以检测出来并做出响应。入侵检测／响应流程如图1所示。入侵检测是对防火墙的合理补充，可以帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，审查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。0图1入侵检测／响应流程图968-)，男，平顶山学院软件学院高级讲师，主要从事计算机网络安令和网络管理方向的研究。 万方数据 塑囡黑透4网络入侵检测办法4．1异常检测4，2误用捡测5入侵检测技术的发展趋势38陬理各安茔技7It与应用2∞7．8异常检测也被称为基于行为的检测，是根据系统或用户非正常行为和使用计算机资源非正常情况检测出入侵行为。异常检测与系统相对无关，通用性较强。它的最大优点足有可能检测出从前从未出现过的攻击方法，不像基于知识的检测那样受已知脆弱性的限制。异常检测丰要包括以下几种：(1)统计异常检测统计异常检测方法根据异常检测器观察主体的活动，产生刻画这砦活动的行为轮廓。每一个轮廓保存记录丰体当前行为，并定时地将当前的轮廓与存储的轮廓合并。通过比较当前轮廓与存储的轮廓来判断异常行为，从而检测出网络入侵。统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高的检出率和可用性。但它的“学习”能力也给入侵者以机会，通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。另