网络入侵检测技术的研究与实现摘要：随着Internet的普及和快速发展，网络在带给我们方便的同时，也给我们带来了安全问题，这就是网络入侵。本文首先介绍了网络入侵分类与方式，针对网络的实际状况，对典型的入侵检测技术和入侵方式进行了分析和比较，提出了基于网络进行实时监测的入侵检测系统的设计思想，在实践中对系统设计框架进行了部分实现，其具备基本的入侵检测功能。关键词：计算机安全；网络安全；入侵检测中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)32-1096-03TheResearchandTheRealizationofTheNetworkInvasionDetectionSystemZHAOZhuan-zheng,TIANWang-lan(HunanCityUniversity,Yiyang413000,China)Abstrac:WiththeInternetpopularizingandrapidlydevelopment,thenetworkbroughttousinconvenient,alsobroughtaboutsafeproblemforus,whichisthenetwork'sinvasion.Thispaperfirstintroducedtheclassificationandnetworkintrusion,fortheactualnetworkconditions,thenanalyzedandcomparedthetypicalintrusiondetectiontechnologyandthewayoftheinvasion.itputouttheintrusiondetectionsystemdesignideabasedonthenetworkinreal-timemonitoring.Atlastithasdesignedtorealizationpartlyintheframeworkofsystem,whichhasbasicintrusiondetectioncapacityinpractice.Keywords:computersecurity;networksecurity;intrusiondetection1前言1.1入侵检测技术概述入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。具体来说，入侵检测就是对网络系统的运行状态进行监视，检测发现各种攻击企图、攻击行为和攻击或攻击结果，以保证系统资源的机密性、完整性和可用性。入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全策略的行为、使用诱骗服务器记录黑客行为等功能，使系统管理员可以较有效地监视、审计、评估自己的系统。1.2入侵检测的功能及原理一个入侵检测系统，至少应该能够完成以下五个功能：监控、分析用户和系统的活动；检查系统配置和漏洞；评估系统关键资源和数据文件的完整性；发现入侵企图或异常现象；记录、报警和主动响应。因此，入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、入侵识别和响应），提高了信息安全基础结构的完整性。它能够从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统在发现入侵后，会及时做出响应，包括切断网络连接、记录事件和报警等。所以，入侵检测系统的原理就是通过收集网络中的有关信息和数据，对其进行分析发现隐藏在其中的攻击者的足迹，并获取攻击证据和制止攻击者的行为，最后进行数据恢复，从而达到保护用户网络资源的目的。1.3入侵检测系统的分类根据信息源的不同，入侵检测系统分为基于主机型和基于网络型两大类。基于主机的入侵检测系统（Host-basedIntrusionDetectionSystem，HIDS）通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。基于网络的入侵检测系统（Network-basedIntrusionDetectionSystem，NIDS）通常放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包进行特征分析。如果数据包