张楠

摘 要 近年来，计算机的网络安全技术得到了迅速发展，为了能够为自动化技术的功能发挥创造一个秩序化以及非常可靠的操作氛围，计算机网络安全技术的发展一定要与信息化计算机技术的发展步伐相一致。本文主要是以网络安全入侵检测为研究对象，之后通过异常性的检测技术、误用性的检测技术以及完整性的检测技术三大方面对研究对象进行进一步的探讨和分析。

关键词 网络安全；入侵；检测

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）13-0130-01

一般情况下，网络安全的入侵检测是通过系统来对数据进行审计的，主要包含系统程序、操作系统收集、应用程序以及网络包等数据信息，找出检测系统当中那些与网络安全策略相违背或者给系统的安全带来威胁的行为，对于准备入侵、正在入侵以及已经入侵的行为做出识别，同时采用相关保护策略的一种先进技术。有着入侵检测作用的系统一般把它称作入侵检测系统。入侵检测系统的核心是入侵检测技术。它会给检测的结果、检测的效率以及误报率带来直接的影响。入侵检测的技术一般分为三大类：异常性的检测技术，误用性的检测技术以及完整性的检测技术。详细的论述请见下文。

1 异常性的检测技术

异常性的检测技术也被称作为行为检测技术，它一般是按照应用者的具体行为以及资源的使用情况是否与正常的情况出现偏差来对入侵的行为进行判断的。在异常的检测过程中，所观测到的并不是一些已知的入侵行为，而是通信当中的一些不正常现象。这些不正常的现象一般可分为三种情况：一是内部的渗透；二是不恰当资源的使用；三是外部的闯入。

异常性检测的核心问题是正常使用模式的搭建以及怎样使用这个模式来对当前的用户行为和系统进行比较，进而对正常模式下的偏离情况进行准确的判断。而异常性的检测与系统一般是没有关系的，而且通用性一般都是比较强的，不会受到已知知识的局限，所以有些时候该技术还可以检测出一些未知的入侵行为。不过，异常性的检铡技术也有一些问题存在，主要体现在以下几方面的内容。

1）怎样才能相对有效的对用户的正常行为模式进行表示？也就是说选择哪些信息数据才能够对用户的行为进行有效的反馈，同时这些信息数据在收集以及处理的过程中更加的容易。因为用户以及系统的行为会不断的变化，所以正常的模式有着一定的时效性，并且还要不断的进行更新和修复，而当用户的行为突然间发生变化时，容易发生误报现象。

2）阐值的确定一般不是很容易。当阐值设定的比较高时，很容易发生漏报现象，而阐值设定相对比较低时，又很容易发生误报的现象。因为没有办法对系统的每一个用户行为都做出全方位的描述，在用户数量比较多、用户行为变化比较频繁时，就会提高系统的误报率。

3）异常性的检测技术训练的时间一般比较长。因为异常性的检测技术的判定标准不是很准确，并且有很高的误检率，所以很多异常性的入侵检测系统都长时间的停留在了分析以及研究领域。

2 误用性的检测技术

误用性的检测技术首先要做的就是给特定入侵的行为模式进行编码，搭建一个入侵的模式库。之后过滤检测中所采集到的审计事件信息数据，检查一下是否包括入侵模式来对攻击进行检测。误用性的检测技术也可以被称作知识性检测或者是特征性的检测。它一般是通过对攻击过程的具体条件、特点、排序以及事件之间具体关系的分析来对攻击行为的迹象进行描述。与异常性的入侵检测技术正好是相反的，误用性的入侵检测技术一般是按照之前定好的入侵方式对用户的活动行为做出模式匹配，之后对入侵的行为进行检测。

误用性检测技术的核心是怎样通过入侵的模式来对入侵的具体活动特征等进行准确的描述，进而对入侵进行有效的监测。因为误用性的检测技术一般是针对入侵的模式库来做出具体的判断，检测率一般是比较高的，另外，由于检测结果有比较明确的对照，为管理员的管理带来了很大的方便。不过，误用性的检测技术也有一些问题，主要体现在以下几个方面。

1）入侵模式库具有一定的局限性，一般只能对己知的入侵模式进行检测，对一些已知入侵的变形以及未知性的入侵就束手无策了。

2）入侵模式库在维护的过程中工作量比较大。必须具有完备的入侵模式库，大量的入侵行为才能被检测出来。伴随新入侵方法的逐步出现，入侵模式库也一定要逐步的更新才可以。

3）具体系统的依赖性比较强，移植性太差。因为误用性检测技术的原理比较容易，所以目前在入侵领域当中被广泛的应用，很多的商用系统都使用了误用性的入侵检测技术。

3 完整性的检测技术

完整性的检测技术是一种相对比较容易并且效率比较高的检测方法。它生成一个校验和为系统的各个文件，之后周期性的把检验和和源文件来做对比，目的是保证文件不被篡改。一旦文件未经过授权就被篡改，就会自动的报警。

每一个系统在正常运营的时候都会引起很多文件的规则发生一系列的变化。所以，一定要仔细的对完整性检验IDS进行调整，防止误报现象的发生。当合法变换发生的时候，一定要对校验和进行重置。

另外，完整性的检测技术还可以对网页的篡改进行检测。入侵者经常能够进入到没有打补丁的web服务器里面，对web服务器中的一些内容进行修改。完整性的检测技术还能对一些比较特别的web文件生成校验和，并对其进行监测。一旦入侵者将要对web页面的内容进行修改时，校验和的检测就会失败，这时相关的工作人员就会察觉到。网站发布的一些网页文件绝对不可以经常性的进行修改，要不然就会导致很多误报现象的发生。

4 结束语

综上所述，入侵检测系统一般会先通过对计算机主机系统以及网络当中的核心数据信息来进行实时的分析和收集，进而对一些合法用户对资源的滥用以及非法用户的入侵行为做出正确的判断，同时做出相应的反映。入侵检测系统在传统的网络安全技术基础之上，完成了响应和检测，起到了充分的防御功能，对网络安全事故的处理实现了事后发现到事前预警以及自动化响应的过渡，同时还能提供更多的有效证据来追究入侵者的法律责任。由此可以看出，该技术的出现意味着对网络安全领域方面的研究已经跨入了一个全新的时代。

参考文献

[l]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术，2012（11）.

[2]刘明.试析计算机网络入便检测技术及其安全防范[J].计算机与网络，2012（1）.

[3]崔炜.网络安全技术分析与探讨[J].科技信息，2012（24）.endprint