入侵检测技术在网络安全中的应用

2024年6月10日发(作者：)

第一章 绪论

1．1入侵检测和网络安全研究现状

网络技术给生产和生活带来了方便，人们之间的距离也因网络的存在而变得

更近。同时，计算机系统和网络也面临着日益严重的安全问题。利用漏洞，攻击

者可能简单地得到系统的控制权；利用病毒、蠕虫或木马，攻击者可以让攻击自

动进行，控制数量众 多的主机；甚至发起拒绝服务(DoS)或分布式拒绝服务

(DDoS)攻击。不少攻击工具功能比过去完善，攻击者在使用时不需要编程知识，

使得网络攻击的门槛变低。攻击者 的目的性比过去更为明确，经济利益驱使他

们在网络中进行诈骗、盗窃、获取秘密等犯罪行为。面对网络中海量的、转瞬即

逝的数据，发现攻击并对其取证的工作十分困难。

目前，网络安全设备种类繁多，功能强大，但配置仍然相对复杂。常见的安

全设备有防火墙、反病毒设备、入侵检测／防御、虚拟专用网及与审计相关的认

证、授权系统。只有建立完整的网络安全系统，才有可能保证网络的安全。如果

网络安全体系没有在网 络建设的开始就加以考虑，而是在完成网络结构的设计

后再向网络中添加安全设备，可能会造成更大的安全漏洞和隐患。

入侵检测作为网络安全技术中最重要的分支之一，入侵检测系统能够及时发

现攻击并采取相应措施，它有着传统的防火墙、安全审计工具所没有的特点。通

过对网络关键 节点中的数据进行收集和分析检测，发现可能的攻击行为。

1．2本课题的研究意义

网络安全关乎国家安全，建立网络安全体系结构需要可靠的入侵检测系统。

对国外优秀的开源入侵检测系统进行分析和研究，并对其加以改进，对开发拥有

自主知识产权的入侵检测系统有着积极的意义。

第二章 入侵检测和网络安全概述

2．1入侵检测系统概述

2．1．1入侵和入侵检测的概念

入侵是所有试图破坏网络信息的完整性、保密性、可用性、可信任性的行为。

入侵是一个广义的概念，不仅包括发起攻击的人取得超出合法范围的系统控制

权，也包括收集漏洞信息，造成拒绝服务等危害计算机和网络的行为。入侵行为

主要有以下几种：

①外部渗透指既未被授权使用计算机，又未被授权使用数据或程序资源的渗

透；

②内部渗透指虽被授权使用计算机，但是未被授权使用数据或程序资源的渗

透；

③不法使用指利用授权使用计算机、数据和程序资源的合法用户身份的渗

透。这几种入侵行为是可以相互转变，互为因果的。例如，入侵者通过外部渗透

获取了某用户的账号和密码，然后利用该用户的账号进行内部渗透；最后，内部

渗透也可以转变为不法使用。

入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信

息进行操作，检测到对系统的闯入或闯入的企图。

2．1．2入侵检测系统的分类

不同的入侵检测系统有着技术、系统结构、实现方式、检测方法和检测对象

等方面的差别。从这些角度，可以将入侵检测系统大致分为以下几类：

2．1．2．1根据所检测的对象分类

(1)基于网络的IDS(NIDS)

通过将网卡置于混杂模式，IDS可以被动地监听网络中的所有原始流量，并

对获取的数据进行处理，再与已知攻击特征相匹配或与正常网络行为原型相比较

来识别攻击事件。

此类IDS通常放置于网络中的关键位置，如内部网与外部网相连的边界上。

使用多个传感器的分布式NIDS，它能够实时地监测网络中的所有数据，且不需

要在每台服务器上安装和配置，部署成本较低，使用相当广泛。另外，除非入侵

者攻陷IDS，否则即使能成功清除被攻击主机的日志也无济于事。

目前，大多数企业将交换机和路由器作为主要的网络设备，HUB已渐渐退

出历史舞台。交换网络的普及给HIDS的监听带来了一定的困难。虽然某些型号

的交换机支持将所有数据包发送到镜像端口，但这会牺牲一些性能。此外，这类

IDS对加密后的数据流通常无能为力。

(2)基于主机的IDS(HIDS)

这类IDS试图从操作系统的审计跟踪日志判断入侵事件的线索。一方面它