網(wǎng)絡(luò)安全混合型入侵檢測系統(tǒng)設(shè)計研究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡(luò)安全混合型入侵檢測系統(tǒng)設(shè)計研究范文，希望能給你帶來靈感和參考，敬請閱讀。

【摘要】隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的不斷發(fā)展，信息系統(tǒng)和計算機(jī)網(wǎng)絡(luò)也將面臨著嚴(yán)峻的安全問題。傳統(tǒng)的網(wǎng)絡(luò)技術(shù)由于自身靜態(tài)機(jī)制的局限性，難以適應(yīng)新時期網(wǎng)絡(luò)安全的需求，因此設(shè)計網(wǎng)絡(luò)安全的混合型入侵檢測系統(tǒng)極為重要，能夠有效的實(shí)現(xiàn)對系統(tǒng)內(nèi)部和外部入侵的檢測，為網(wǎng)絡(luò)安全提供保障。本文主要研究網(wǎng)絡(luò)安全中混合型入侵檢測系統(tǒng)設(shè)計中的關(guān)鍵模塊，探析網(wǎng)絡(luò)安全中混合型入侵檢測系統(tǒng)的測試。

【關(guān)鍵詞】入侵檢測系統(tǒng)設(shè)計；混合型；網(wǎng)絡(luò)安全

前言在計算機(jī)快速發(fā)展過程中，網(wǎng)絡(luò)安全問題并沒有得到減少反而越來越復(fù)雜、問題越來越多，傳統(tǒng)的入侵檢測技術(shù)難以實(shí)現(xiàn)對復(fù)雜入侵事件的檢測，另外傳統(tǒng)入侵檢測系統(tǒng)往往具有針對性，只適用某種特定網(wǎng)絡(luò)環(huán)境的檢測，擴(kuò)展性和靈活性不足，使檢測系統(tǒng)的可用性大大降低，因此，安全網(wǎng)絡(luò)中混合型入侵檢測系統(tǒng)的設(shè)計尤為重要，利用多種檢測方式打破傳統(tǒng)檢測的局限，適應(yīng)現(xiàn)代網(wǎng)絡(luò)安全檢測的需求，為網(wǎng)絡(luò)的安全運(yùn)行提供保障。

1網(wǎng)絡(luò)安全中混合型入侵檢測系統(tǒng)設(shè)計中的關(guān)鍵模塊

1.1異常模塊

混合型檢測系統(tǒng)的異常模塊主要是負(fù)責(zé)分析和處理輸入的網(wǎng)絡(luò)數(shù)據(jù)中的流量信息。主要的檢測方法有基于馬爾可夫模型的方法、基于自相似理論的方法、基于小波的檢測、統(tǒng)計檢測方法、閾值檢測方法等，下面通過統(tǒng)計檢測方法對其進(jìn)行深入研究。由于網(wǎng)絡(luò)流量數(shù)據(jù)具有突發(fā)性的特點(diǎn)，基于統(tǒng)計檢測方法對其進(jìn)行檢測存在不穩(wěn)定的特征。通過觀察實(shí)際網(wǎng)絡(luò)流量，可以發(fā)現(xiàn)作息時間與網(wǎng)絡(luò)流量的關(guān)系，所以在處理實(shí)際網(wǎng)絡(luò)流量時使用方差分析法。具體的流程如圖1所示。在通過具體的數(shù)據(jù)計算，找出出現(xiàn)異常的網(wǎng)絡(luò)流量，并在具體的模塊生成警報，再由警報設(shè)定異常值偏差的置信度。如果網(wǎng)絡(luò)流量正常則采取更新歷史模型的方式[1]。

1.2數(shù)據(jù)融合模塊

數(shù)據(jù)融合可以實(shí)現(xiàn)各種信息與許多傳感器之間的組合、相關(guān)、聯(lián)合，從而獲得精確的完整評價、身份估計、位置估計?；旌闲腿肭謾z測系統(tǒng)中在獲取入侵信息往往通過網(wǎng)絡(luò)數(shù)據(jù)、主機(jī)資源信息、主機(jī)審核、系統(tǒng)日志，這一過程與數(shù)據(jù)融合的過程相似，因此在混合型入侵檢測系統(tǒng)中設(shè)計數(shù)據(jù)融合模塊，充分發(fā)揮數(shù)據(jù)融合的行為估計、目標(biāo)識別、狀態(tài)估計、相關(guān)、校準(zhǔn)、檢測等功能，采取可信度方法等，以此提高入侵檢測系統(tǒng)的入侵信息獲取效率，降低誤警率。

1.3主動掃描模塊

在網(wǎng)絡(luò)安全中混合型入侵檢測系統(tǒng)設(shè)計的主動掃描模塊，主要是設(shè)計插件技術(shù)、開放端口的掃描、系統(tǒng)漏洞掃描、系統(tǒng)弱密碼掃描的結(jié)合運(yùn)用，在系統(tǒng)設(shè)計中很難實(shí)現(xiàn)以此成型，因此需要不斷的分發(fā)、編譯、開發(fā)，插件技術(shù)可以良好的滿足這一要求。使用插件技術(shù)的方法可以通過COM組件、動態(tài)鏈接庫技術(shù)等實(shí)現(xiàn)。開放端口掃描是在TCP/IP協(xié)議上進(jìn)行的，可以分為UDP端口掃描、TCP端口掃描，而UDP端口掃描包括socket函數(shù)掃描、UDPICMP端口不可達(dá)掃描。TCP端口掃描包括XMAX掃描、NULL掃描、TCPACK掃描、TCPFIN掃描、TCPSYN掃描。通過具體的方法可以有效的實(shí)現(xiàn)對網(wǎng)絡(luò)安全問題的檢測。系統(tǒng)漏洞掃描往往通過構(gòu)建不同的數(shù)據(jù)包通過不同系統(tǒng)的返回值不同的方法判定漏洞的類型。系統(tǒng)弱密碼掃描的操作流程為讀取用戶名字典，用戶若讀完則表示掃描結(jié)束，沒有入侵。若用戶名沒有讀完，則繼續(xù)讀取密碼詞典，密碼讀完則返回用戶名讀取程序，不能讀完則構(gòu)造登錄數(shù)據(jù)包，發(fā)送數(shù)據(jù)，登錄成功則代表入侵成功，通過這種方式能夠?qū)崿F(xiàn)對入侵用戶系統(tǒng)的病毒檢測[2]。

2網(wǎng)絡(luò)安全中混合型入侵檢測系統(tǒng)的測試

2.1測試系統(tǒng)功能

網(wǎng)絡(luò)安全的入侵檢測系統(tǒng)只有對其功能進(jìn)行測試，才能使其入侵分析能力。檢測能力的可靠性得到保障。測試出的系統(tǒng)功能數(shù)據(jù)可以有效的反映出IDS的報警能力、審計能力、報告能力、攻擊檢測能力等，在主動掃描模塊、數(shù)據(jù)獲取模塊等在應(yīng)用環(huán)境中的測試，輸出相應(yīng)的功能測試結(jié)果，從而對系統(tǒng)設(shè)計的合理性做出分析，功能測試不合理的模塊做出相應(yīng)的改變，提高安全網(wǎng)絡(luò)中混合型檢測系統(tǒng)的檢測能力，為網(wǎng)絡(luò)安全提供保障[3]。

2.2測試系統(tǒng)的可用性

測試網(wǎng)絡(luò)安全中的混合型入侵檢測系統(tǒng)的可用性，主要是對系統(tǒng)的用戶界面的穩(wěn)定性、擴(kuò)展性、完整性、可用性進(jìn)行評估，若是在試驗(yàn)網(wǎng)絡(luò)下該檢測系統(tǒng)的性能表現(xiàn)良好，則說明架構(gòu)上的具有可擴(kuò)展性和靈活性，若還在進(jìn)一步的進(jìn)行開發(fā)測試，則說明該系統(tǒng)的可用性較低，還需要進(jìn)一步完善。

3結(jié)論

綜上所述，加強(qiáng)對網(wǎng)絡(luò)安全中混合型入侵檢測系統(tǒng)的設(shè)計有利于實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效保障，促進(jìn)網(wǎng)絡(luò)的安全運(yùn)行，營造良好的網(wǎng)絡(luò)環(huán)境為大家服務(wù)。

參考文獻(xiàn)

[1]溫珊珊.混合入侵檢測在網(wǎng)絡(luò)風(fēng)險評估中的研究與應(yīng)用[D].華北電力大學(xué)，2011.

[2]張心凱.采用HIDS和NIDS混合的入侵檢測系統(tǒng)模型設(shè)計[J].電子技術(shù)與軟件工程，2015，18：209.

[3]郭武士，易欣.基于遺傳算法的煤炭企業(yè)網(wǎng)絡(luò)安全技術(shù)的研究[J].煤炭技術(shù)，2012，02：109~110+114.

作者：傅明麗 單位：貴州師范大學(xué)數(shù)學(xué)與計算機(jī)科學(xué)學(xué)院