网络安全中的入侵检测与防御技术研究

网络安全中的入侵检测与防御技术研究

廖婷婷

360732199012054121

摘要：针对计算机网络面临的威胁，必须采取有力的措施，来保证计算机网络的安全本文对网络安全及入侵防御技术进行初步的探讨。容忍入侵系统是高度可测的、可控的.能够承受各种恶意的入侵和攻击、环境变化以及软硬件故障是一个结合了容错及容忍入侵、并具有可生存性的系统。

关键词：网络安全；入侵防御；生存性

引言

随着Internet 技术在各个领域的日益发展信息全球化已成为发展大趋势由于计算机网络具有联结形式多样性、终端分布的不均匀性和开放、互连性等特征，计算机网络系统被用来提供各种及时、可靠的信息服务。与此同时，可靠资料显示，全球约 20秒就有一次计算机入侵事件发生，网络环境的安全性变得更加重要。针对计算机网络面临的威胁，必须采取有力的措施来保证计算机网络的安全，本文对网络安全及入侵防御技术进行初步的探讨。

一、入侵检测技术应用的必要性分析

互联网具有高度的开放性和自由性，而接入网络的计算机系统或软件不可能绝对安全，为保障计算机用户数据和系统的完整性、可用性以及保密性，就必须采用必要的安全防护措施。目前常用的安全防护措施有对系统进行完善、对数据进行加密、执行访问控制等。但是就目前技术发展来看，第一种措施在技术层面很难实现：第二种措施短期内可对数据进行保护，但是加密技术本身实现过程中存在一些问题，被破解的可能性相对较高：第三种措施会在一定程度上降低网络用户的使用效率。综合来看，可以应用较为容易实现的安全系统配合使用基于某些安全策略建立起来的安全辅助系统来提升网络用户的安全性能。

二、入侵技术分类

入侵检测按照系统的构成分为：集中式和分布式检测：按照时间分为：实时和事后检测：工作方式的不同分为：离线和在线检测；分析手段的不同分为：误用和异常检测：对于数据的来源不同分为：基于主机和基于网络两种方式。对于分类的不同其工作方式就不同，但是主要目的以及原理都相同。

三、工作原理及流程

入侵检测是网络安全防护的重要手段，属于主动的安全防护技术。入侵检测系统在计算机上安装一个监听端口，通过对信息的收集、分析，将信息中相应的流量统计特征值提取出来，系统将会自动的将先前设定好的入侵知识库与流量特征值进行对比分析，统计出来相应的结果。如果系统与提取的特征值匹配度很高，系统就认定为攻击行为，会作出相应的响应或者报警。

四、网络环境下的不安全因素

现阶段，网络环境下面临的不安全因素主要有下列几点

（1）软件自身的安全漏洞：无论多强大的软件在设计之初都难免存在缺陷或漏洞，操作系统软件也不例外。比如 Unix 的 Buffer溢出、windows的 BO等系统主机之间互异的操作系统具有相对的独立性，同样性质的漏洞，也会由于操作系统软件设计开发过程的不同而具有不一样的表现形式。攻击者可以很方便地通过漏洞对计算机系统进行破坏造成主机瘫痪、重要资料丢失等严重影响系统的正常运行。

（2）用户安全意识差：分设置过于简单，用户防范意识差，与他人共享使用计算机时个人信息无意泄露等，对信息安全产生不利影响。

（3）黑客攻击：这是一种最严重的网络安全威胁。攻击者通过各种方式寻找系统脆弱点，或系统漏洞，由于网络系统同构冗余环境的弱点是相同的多个系统同时故障的概率虽小但被攻破可能性却大，通过拦截、窃取等多种方式，向系统实施攻击，破坏系统重要数据，甚至系统瘫痪，给网络安全带来严重威胁。

五、网络安全中入侵检测方法的应用

异常检测是一种行为检测，当系统或者计算机有非正常行为出现时进行的一种检测手段。这种检测方式一般通用性较强，能够在各种领域中应用，而且能够将一些以前不识别的行为检测出来。不是利用知识库进行对比分析的方式，没有局限性。它是由收集器、分析器、报警器以及用户数据库构成的.

误用检测就是一种知识的监测，是利用知识库中与已知入侵模式来进行匹配的一种检测手段。如果入侵行为与系统建立的知识库大致相同，则能检测出攻击行为。（1）基于专家系统误用检测专家系统是利用专家在以前工作中的经验以及知识为基础的模式，是一种以知识库进行推理的智能软件系统，是一种入侵过程中检测的行为，在发现入侵后采取必要的响应或者报警。这种系统存在很大的局限性，对于一些新入侵行为不能够检测出来。（2）基于模型误用检测基于模型的误用检测就是建立一些证据模型，然后通过推理判断出是否属于入侵行为。是由攻击剧本、预警器以及规划者构成的，攻击剧本则是通过子集在任何时间段对于入侵系统的行为作出推断。规划者就是进行行为的匹配以及系统的审计跟踪，预警器就是根据以上的推断作出的反应。

入侵检测与防御技术在网络安全中扮演着重要的角色。它们能够帮助识别和应对各种恶意活动，确保网络的安全性和可靠性。以下是入侵检测与防御技术在实际应用中的几个方面：

基于特征的入侵检测：通过监视网络流量和系统日志，检测异常行为和特定攻击模式。这种方法基于已知的攻击特征进行匹配，如病毒、蠕虫、拒绝服务攻击等。一旦发现异常，系统会触发警报并采取相应的防御措施。

基于机器学习的入侵检测：利用机器学习算法从大量的数据中学习和识别异常模式。这种方法具有适应性和自主学习的特点，可以检测未知类型的攻击。通过建立模型和训练算法，系统可以自动识别潜在的威胁。

数据挖掘技术的应用：数据挖掘技术可以分析和挖掘网络流量、日志和其他相关数据，从中提取有价值的信息。通过对大规模数据集的分析，可以识别异常行为、频繁出现的攻击模式以及其他潜在的网络安全威胁。

行为分析与异常检测：通过对用户和系统行为进行分析，检测潜在的威胁。这种方法基于对正常行为的建模，当出现异常行为时，系统会触发警报并采取相应的措施。行为分析可以从网络流量、登录活动、文件访问等方面来识别异常行为。

对策措施的部署：一旦检测到入侵或威胁，系统需要立即采取对策措施来抵御攻击。这包括封锁攻击者的IP地址、隔离受感染的系统、修复漏洞以及更新防护软件等。

结束语

判断一个系统是否是安全的系统，至少应从是否机密、完整、可生存三方面来衡量。传统网络安全技术重在防用静态的防范方式来阻止网络攻击等入侵行为，保护系统不被侵犯。这种防御技术缺乏主动性，对系统潜在的威胁，比如系统漏洞、网络故障等，若不能及时发觉，一旦入侵发生，防御将失去意义。随着研究的深入，人们意识到再强大的系统也不能保证不受到攻击网络安全保障体系需要的是一种动态的、主动的防御思想，入侵来临时，应能采取有效措施主动保护受侵害系统继续为用户提供尽可能最大化的服务。面对网络安全行业的飞速发展以及整个社会越来越快的信息化进程，各种新技术将会不断出现和应用，相信未来网络安全技术将会取得更加长足的发展。

参考文献

[1]赵璞.入侵检测技术在煤矿网络安全中的应用与研究[J]煤炭技术，2019(9):111-112,127.

[2]温铂.煤矿网络安全中的入侵检测技术研究[J].煤炭技术,2022(12):86-88.

[3]邓小盾.入侵检测技术在煤矿网络安全中的应用研究[J]煤炭技术，2033(2):93-94.