大连市第七十七中学车馨瑞入侵检测技术在计算机网络安全管理中的应用[摘要]随着网络安全问题不断增加，入侵检测技术也成为网络安全领域研究的焦点，本文通过分析在网络中应用入侵检测技术，最终实现网络安全管理。[关键词]网络安全；入侵检测；NIDS一、前言伴随着计算机网络技术和互联网的飞速发展，网络攻击和入侵事件与日俱增，攻击和入侵事件给这些机构和企业带来了巨大的经济损失和形象的损害。目前，解决网络信息安全问题的主要技术手段有：防火墙技术、加解密技术、漏洞扫描技术、身份认证技术、防病毒技术，入侵检测技术等。网络安全是一个系统的概念，任何一种技术都不能保证网络信息系统的足够安全。为了构建一个足够强健的网络安全防护体系，必须采用多种技术结合的方案。入侵检测系统是动态防护技术的核心，是整个安全系统中非常重要的组成部分。二、入侵检测系统的概念（一）入侵检测系统的定义；入侵检测系统（英文简称IDS：IntrusionDetectionSystem）是从多种计算机系统及网络中收集信息，再通过这些信息分析入侵特征的网络安全系统。技术层面上讲，它通过共享网段对通信数据进行侦听和流量过滤，从而发现可疑的网络行为，及时发出警报。入侵检测技术是伴随着入侵技术发展起来的，入侵是对信息系统的非授权访问及（或）未经许可在信息系统中进行操作,威胁计算机或网络的安全机制（包括机密性、完整性、可用性）的行为。入侵可能是来自互联网的攻击者对系统的非法访问，也可能是系统的授权用户对未授权的内容进行非法访问。入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。（二）入侵检测系统的分类；对入侵检测系统可按照入侵检测系统的数据来源进行分类。按此方法划分，入侵检测系统可以分为2类：基于主机的入侵检测系统与基于网络的入侵检测系统。1、基于主机的入侵检测系统（HIDS）。基于主机的入侵检测系统部署在主机上，其体系结构一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件，对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限，不能检测网络攻击。2、基于网络的入侵检测系统（NIDS）。基于网络的入侵检测系统部署在网络设备节点上，其体系结构是通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。在实际网络应用中，基于网络的入侵检测系统被广泛使用。它能够实时监控网络传输，自动检测可疑行为，及时发现来自网络外部或内部的攻击，并可以实时响应，切断攻击方的连接，并且能够与防火墙紧密结合，弥补了传统防火墙的访问控制不严密的问题。在内部网络控制方面，可以交换机以及终端客户进行联动，全面解决内网安全问题。三、通过基于网络的入侵检测系统的应用分析工作原理（一）分析网络拓扑图结构攻击者可能会对我们的网络中的任何可用资源发起攻击。分析我们的网络拓扑结构对于定义我们的所有资源是至关重要的。而且，定义我们想要保护的信息和资源，是创建一个传感器部署计划的第一步。除非我们对我们的网络拓扑结构有非常透彻的理解，否则我们不可能全面地识别出需要保护的所有网络资源。数据通过网络入口点进入我们的网络，所有这些点都可能被攻击者利用，在这些潜在位置获取我们网络的访问权限。我们需要验证每一个入口点都得到了严密的监视。如果没有对进入我们网络的入口点进行监视，就会允许攻击者穿透我们未被IDS保护的网络。大多数网络的常见入口点包括互联网接入点、内部网接入点等。(二)掌控关键网络组件确定我们网络上的关键组件，这对于综合分析我们的网络拓扑来讲是非常关键的。黑客通常将查看到我们的关键网络组件作为胜利。如果关键组件的安全受到威胁，就将为整个网络带来巨大的威胁。需要在整个网络中采用传感器，来确保可以检测到对这些关键组件发动的攻击，并在一定条件下，通过阻塞（也被称为设备管理）来中止这些攻击。注意：阻塞，或设备管理，是指IDS传感器可以动态更新路由器上的访问控制列表，来阻塞来自一台攻击主机的当前和未来的数据流，防止这些数据流进入到路由器中。关键组件分为：服务器、基础设施与安全组