入侵检测技术范例6篇

入侵检测技术范文1

关键词：入侵检测系统；入侵检测技术；入侵检测方法

0 引言

随着计算机的普及和网络应用的日趋广泛，计算机网络己经进入政治、经济、军事、文化、教育等各个社会领域，给整个人类社会的发展影响深远。但是随之而来的网络安全问题变得日益复杂和突出。由于网络本身的开放性和网络系统内潜在的漏洞，使其受到威胁和攻击的可能性大大增加。因此，增强网络安全意识，防范不明身份的入侵者，保证网络信息安全，显得尤为重要。

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。

计算机网络安全技术简称网络安全技术，指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段，主要包括物理安全分析技术、网络结构安全分析技术、系统安全分析技术、管理安全分析技术及其它的安全服务和安全机制策略[1]。主要技术分类有：虚拟网技术；防火墙技术；病毒防护技术；入侵检测技术；安全扫描技术；认证和数字签名技术；vpn技术等等，其中入侵检测技术是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。

1 入侵检测原理

入侵检测系统（intrusion detection system，简称“ids”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。入侵（intrusion）是企图进入或滥用计算机系统的行为。入侵检测（intrusion detection）是对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。入侵检测系统（intrusion detection system）是进行入侵检测的软件与硬件的组合。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术[3]。

最早的入侵检测模型是由denning[6]给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为，如图1 所示。

图 1 ides入侵检测模型

2 入侵检测系统分类

入侵检测系统可分为以下两类：基于主机和基于网络的入侵检测系统

2.1 基于主机的入侵检测系统

一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件，对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠住，所能检测的攻击类型受限。不能检测网络攻击。

2.2 基于网络的入侵检测系统

通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统.

3 入侵检测方法

目前常见的入侵检测方法可分为三类：异常检测、误用检测、混合检测。

3.1 异常检测

异常检测也被称为基于行为的检测。这是对一些假定对象的违规操纵出现系统使用异常的入侵检测系统 ，通过对用户行为的比较，和正常的行为之间的不同差别来对客户做出正确的判断，对用户出现的细微行为的变化，对用户的动态的简介内容进行适当的调查，如果用户的行为发生了极大的变化，整个入侵检测系统就会出现报警

类的反应，这就是对固定用户异常行为入侵的检测。

1）专家系统：用专家系统对入侵进行检测， 经常是针对有特征的入侵行为。所谓的规则， 即是知识， 专家系统的建立依赖于知识库的完备性， 知识库的完备性又取决于审计记录的完备性与实时性.

2）基于模型：garvey和lunt[7]提出基于模型的入侵检测方法，通过建立入侵行为序列的响应模型，并采用证据推理和入侵模型相结合的方法检测入侵行为。该方法基于完善的不确定性推理数学理论，故不会出现专家系统那种放弃不确定的中间结论的问题。此外，它可以通过监测一些主要的审计事件，并在其发生后开始详细记录，从而减少审计事件处理的负荷。因此，早期采用基于规则的专家系统，后来都转而采用基于模型的方法。但该方法采用人工建模的方式，仅适用于入侵方式较简单的情况。此外，它要求入侵行为和正常行为是明显区分的，无法处理两者发生联系的情况。

3）模式匹配：基于模式匹配的入侵检测方法将已知的入侵特征编码成与审计记录相符合的模式。当新的审计事件产生时， 这一方法将寻找与它相匹配的已知入侵模式。

4）状态转换法：使用系统状态转换图和状态转换表达式检测和描述已知入侵，使用最优模式匹配来结构化误用检测问题。其最大优点是能检测出一些缓慢的协同攻击，处理一些已知攻击类型的变种行为，因效率较低而常与其他检测方法协同使用。 3.2 混合检测

单一的方法进行入侵检测受到一定的局限，不能检测未知入侵或检测率不高。因此，使用多种方法来检测入侵受到研究人员的关注，目前已提出多种混合检测方法。混合检测方法综合了滥用检测和异常检测的优点。由于滥用检测方法和异常检测方法存在互补性， 两者的结合可以取长补短， 能够有效提高整体检测性能。这种方法包括遗传算法、神经网络、生物免疫及数据挖掘等， 其性能分析如表1所示。

表1 混合检测方法性能分析

4 入侵检测技术未来发展方向

今后的入侵检测技术大致可朝下述三个方向发展

1）分布式入侵检测：第一层含义，即针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。

2）智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。

3）全面的安全防御方案：即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。自从ips面市之日起，围绕ips和ids之间关系的讨论就不断升温，成为安全业界的一大热点。从实际应用来说，ips既非ids的替代品，更非ids的延伸者，而是术业有专攻，侧重不同的方面，是为了满足企业风险管理需求的两种不同解决方案。由于各行业客户不同的应用环境和实际需求，ids和ips在国内都呈现出繁荣发展的景象，因此二者之间的关系并非简单的升级和替代，长期来看，ids和ips将出现共同发展、和平共存的局面。

5 结束语

目前， 我国信息网络安全研究历经了通信保密、数据保护两个阶段， 正在进入网络信息安全研究阶段， 现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等网络安全产品。但是我国的信息网络安全技术的研究和产品开发仍处于起步阶段， 想要在黑客猖獗、病毒肆虐的信息高速公路上保证数据的安全、有效、可用、保密、完整， 就只有不断探究、完善、创新网络安全防范技术。

入侵检测随着信息安全问题的日益突出越来越多地受到人们的关注，尽管在技术上仍有许多未克服的问题，但正如攻击技术不断发展一样，入侵检测技术也会不断更新，成

熟。可以展望，入侵检测技术的发展将对信息的安全保护产生深远的影响。

参考文献：

[1] 张超，霍红卫，钱秀槟等.入侵检测系统概述.计算机工程与应用，2008，3：116～119.

[2] 蒋建春，冯登国.网络入侵检测原理与技术[m].北京：国防工业出版社，2010.

[3] 胡昌振.完善ids自防护体系，http：//tech.ccidnet.com/pub /article/c231-a74458-p2.html，2003，12.

[4] 刘宏伟.ims 统一ids.中国计算机报，2004，（27）[8]唐正军.网络入侵检测系统的设计与实现[m].北京：电子工业出版社，2012.

[5]高永强，郭世泽.网络安全技术与应用大典[m].北京：人民邮电出版社，2009.

入侵检测技术范文2

关键词：入侵检测，方法，趋势

 

1 引言

入侵检测系统（Intrusion Detection System）是一种自动进行入侵检测和分析的软件或硬件系统，它能够帮助系统识别入侵、攻击以及异常数据流量，从而避免病毒、黑客的攻击。随着网络安全问题的日益突出，传统的防火墙技术暴露出明显的不足和缺点，比如，不能提供实时入侵检测能力；不能阻止网络内部攻击；无法解决安全后门问题等，入侵检测系统作为一种重要的动态安全技术，就成为防火墙的有益补充，扩展了系统管理员的安全管理、监视、防攻击的能力，从而提高了信息安全性。

2 入侵检测系统概述

入侵检测是对入侵行为的发觉，即对未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不可用的行为的检测、确认。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统需要很强的智能化，必须能将得到的数据进行分析，并得出有用的结果，一个合格的入侵检测系统能够大大的简化管理员的工作，保证网络安全的运行。

3 入侵检测系统的分类

根据检测系统的特性，可以从不同的角度，对入侵检测系统进行分类。比如，按照检测技术分类可以分为异常检测和滥用检测；根据检测数据的来源分类可以分为基于主机的入侵检测系统和基于网络的入侵检测系统；按照响应方式分类可以分为主动响应入侵检测和被动响应入侵检测；按照控制策略分类可以分为集中式入侵检测和部分分布式入侵检测以及全部分布式入侵检测等。基于网络流量的入侵检测是预防入侵的一个新的研究方向，特别针对网络扫描、DDos攻击以及蠕虫等较为有效，本文将做重点讨论。

4 基于网络的入侵检测系统

基于网络的入侵检测系统是通过连接在网络上的站点对报文进行捕获，根据网络的流量大小及其它有用数据的分析来判断入侵是否发生。基于网络的入侵检测的优点主要有两个：实时性和操作代价低。通过实时的观测网络流量，基于网络的入侵检测能够在入侵者实施入侵前做出反应，提供实时保护。由于基于网络的入侵检测实体安置在网络部门，而不是在用户桌面，所以安装快捷，对用户的要求不高，实现起来简单。

网络的流量行为具有长期特征和短期特征。网络流量长期特征表现为具有一定的规律性和稳定性。能够对局域网的流量或者某些关键主机的流量情况进行实时检测，并进行预测分析，有助于判断异常网络流量，及早发现和识别潜在的入侵攻击的发生。据研究，造成网络流量的异常，原因可能有：网络扫面、DDos攻击、蠕虫、恶意下载、用户对网络资源的不当使用以及物理链路或者设备不能正常运转等。

基于网络的入侵检测方法有：统计方法、神经网络、数据挖掘、免疫学方法等，以及一些新提出的基于网络的分析入侵检测方法。

统计方法通过分析大量的系统参数并生成系统的正常行为轮廓库，自适应地学习系统的正常行为模式。每个行为轮廓代表一个主体的正常行为，由一组入侵检测度量值来描述。统计方法的最大优点是它可以“学习”用户的行为习惯，具有较高的检测率和可用性。通过对一段时间网络安全状况下的数据包流量进行统计，从而从宏观上建立起网络在安全状况下的周期数据包流量轮廓，用于检测以拒绝服务攻击为主的入侵和网络扫描等异常行为。

神经网络是一个有简单处理单元构成的规模宏大的并行分布式处理器。具有存储经验知识和使之可用的特性。由于神经网络适合于学习比较复杂的非线性关系，而且它是数据驱动学习的，通过学习掌握数据间的依从关系，不需要对网络流量进行大量的数学建模工作。

数据挖掘是一种特定应用的数据分析过程，可以从包含大量冗余信息的数据中提取尽可能多的安全信息，抽象出有利于进行判断和比较的特征模型。这些特征模型可以是基于异常检测的特征量模型，也可以是基于异常检测的行为描述模型。数据分类的方法、关联分析的方法以及序列分析的方法等数据挖掘方法对入侵检测是非常有用的。

另外，借鉴免疫系统中蕴含的丰富且有效的信息处理机制，即通过产生抗体来消灭入侵，通过针对计算机系统和网络抵抗入侵的安全问题，可以发展为人工免疫模型和算法。基于网络的入侵检测系统正处于研究的初级阶段，还有其他一些方法如模式预测、遗传算法、序列匹配与学习方法等。

5 入侵检测存在的问题以及发展趋势

5.1 入侵检测存在的问题

尽管已经开发出很多入侵检测方法，但现在的入侵检测系统本身还存在不少问题。主要体现在以下几方面：

缺少有效性。入侵检测系统评价事件经常是实时的。它的代价因素有操作代价、破坏代价、响应代价等，这些代价在当今网络规模不断增大，带宽增加的情况下是非常可观的。

误警率高。入侵检测错误的判断率称为误警率。在追求高的检测率的同时也增加了误警率，影响了系统的精确性。

自身易受攻击。一般来说入侵检测系统是一个软件系统，其也有可能存在漏洞，由此一旦入侵检测系统受到攻击，它所检测的网络都将得不到保护。

自学能力弱。通常，入侵检测规则依赖于手工添加。更新缓慢，不及时，都限制了入侵检测系统的有用性。

各种安全技术协作不够。现在的安全技术，如防火墙、密码技术、身份识别和验证系统、网络安全管理等，相互间独立，缺少相互间的配合。

入侵检测判断标准缺少。入侵检测系统正处于研究的初级阶段，其方法手段缺少判断标准，同时缺少测试入侵检测系统的工具。

5.2 入侵检测系统的发展趋势

Internet技术在不断的发展，网络的速度也在不断提高，在这样的前提下，人们对安全性的要求也越来越高。这也要求入侵检测技术不断改进更新，近年来，入侵检测技术有新的发展趋势：网络检测点由个别点向面发展，即一个主要的发展趋势是采用分布式系统，在网络上放置多个检测器，共享信息，并通过信息的分发交流，协同工作，提高系统响应的实时性；入侵检测系统的数据库由手工方式向智能化、自动更新发展，智能化的入侵检测方法，使系统具有学习、更新的能力；将免疫机理应用到入侵检测系统的思想将得到大发展。经证明，基于免疫机理的入侵检测系统比传统的入侵检测系统具有更好的检测性能，能够有效降低误警率和提升检测率。

6 结束语

入侵检测在网络中起着越来越重要的作用，但目前尚处于研究的初级阶段，将面临许多挑战，但可以肯定的是入侵检测将迎来大发展。

参考文献

[1]戚玉娥.基于网络流量异常的入侵检测技术.网络安全技术与应用，2008

[2]入侵检测系统综述.谢根亮.网络安全技术与应用，2008

入侵检测技术范文3

关键词：计算机；数据库；入侵检测技术

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）24-5396-03

随着社会的高速发展和经济的不断进步，计算机技术的迅猛发展使得计算机网络更新换代的速度越来越快，计算机网络推动社会向前发展，改变了人们的生活模式，在人们的日常生活中具有不可或缺的作用和意义。随着计算机网络在人们日常生活中的不断深入，计算机网络的应用安全问题受到越来越多的关注，防火墙、黑客入侵检测等安全防范系统的应用也随之增多。计算机数据库入侵检测技术主要是针对计算机数据库而言的，其入侵检测技术主要是对计算机数据库在使用的过程中的非法攻击和一些安全问题进行检测和识别的一种技术[1]。

1 计算机数据库入侵检测技术的概述

在不断发展的科技推动下，计算机技术更新换代的速度越来越快，计算机网络技术已经渗透到人们日常生活的方方面面之中。计算机网络技术越来越广泛的应用在带来便利的同时也带来了一系列的问题，随着人们网络知识的丰富和提高，计算机网络技术的安全问题受到越来越多的关注，人们对计算机系统的安全防范问题也逐渐重视起来。计算机网络系统面临的两大威胁分别是计算机病毒和黑客的入侵，这些威胁对计算机数据库造成了巨大的影响。而计算机数据库入侵检测技术能够有效的避免一些黑客的攻击和病毒的入侵，能够有效降低计算机用户的损失。

计算机数据库的入侵检测技术主要是针对一些在计算机数据库在使用的过程中对非法攻击和其他安全问题进行识别和检测的一种技术。计算机数据库的入侵检测程序如下所示，入侵检测通过网络运行的环境和计算机系统对一些检测数据进行采集，然后再对所收集的数据进行分析，通过数据的分析找出非法攻击导弹行为和其他安全性问题等，最后入侵检测技术在根据具体的问题采取相对应的措施对其进行防范，计算机数据库入侵检测技术有效的降低了数据库的损失。这种检测技术在对数据进行安全指标的检测时，所采取的数据均经过专业的计算机算法进行分析。

2 计算机数据库入侵检测技术的现状

2.1计算机数据库入侵检测技术的现状

计算机数据库入侵检测技术自研发以来，发展到目前为止，计算机数据库的入侵检测技术已经走过了20多年的发展历程，该项技术在发展和改进的过程中，许多方面的技术已经日渐成熟起来。但是，由于计算机网络技术的不断更新和发展，计算机数据库也随之不断的发展，计算机数据库的入侵检测技术不断出现新的要求和新的情况，要能够积极应对不断出现的新情况和新需求，计算机数据库入侵检测技术就不能止步不前。

目前主要使用的数据库入侵检测系统主要包括基于主机的入侵检测系统和基于网络的入侵检测系统，这两种入侵检测系统的目的是保护某一台主机的资源或者是保护整个网络的资源。入侵检测的方法主要有两种，一种是异常检测，即对系统的正常行为建模和特征库中没有描述的行为进行检测；另一种是误用检测，这种检测对象主要是不正常的建模行为和符合特征库中所描述的行为。

计算机数据库入侵检测技术系统的组成模块包括三个部分，分别是采集模块、分析模块、管理模块三个部分。采集模块的主要功能是采集数据；分析模块的主要功能就是对采集模块中的数据进行解析和判断；管理模块的主要功能是对分析模块中的判断做出决策并响应。除了上述三个主要模块之外，计算机数据库入侵检测技术系统还包括了数据顶处理模块、通信模块、响应模块等。

随着计算机数据库和网络的发展，入侵检测技术的应用范围越来越大，已经从最开始保护某一单独的主机发展到现在对一定规模的网络进行保护，入侵检测技术的发展取得了巨大的成就。随着网络规模的不断扩展，入侵检测系统在一定的时间要分析处理的数据越来越多，数据容量越来越大，以及现代化高速化的要求，计算机数据库入侵检测技术需要不断完善和强化，未来入侵检测技术将朝更大规模的网络方向发展[2]。

2.2计算机数据库入侵检测技术的类型

目前比较常用的计算机数据库入侵检测技术主要有两种，一是误用检测技术，二是异常检测技术。

误用检测技术的检测对象主要是已知病毒、入侵活动、攻击模式三种，该检测技术的原理是将假设成特征模式的一切网络入侵活动以及异常行为与已经建立好的已知入侵活动特征模式的基础上进行相应的匹配的过程这种检测技术的准确度比较高，但是检测的范围受到限制。

异常检测技术是在数据库中建立用户平常的习惯行为模型，将行为模型中的行为与用户的操作行为进行对比分析，再通过计算用户的异常情况进行识别判断。这种检测技术不需要经验，与误用检测技术相比，具有检测效率较高、操作更为简便的优势。

3 计算机数据库入侵检测技术存在的问题

我国计算机数据库的入侵检测技术与国外发达国家的相比，还存在着较大的差距，我国目前的入侵检测技术主要还存在着以下四个方面的问题。

3.1检测的正确率不够高

首先是入侵检测技术所检测出的正确率不够高。计算机数据库入侵检测技术的主要目的是保护计算机的数据库，而在整个计算机数据库的信息中，信息内容比较复杂，既包括了用户个人信息，也包括了用户所在单位的单位信息，数据库中的信息一旦泄露，一方面严重影响了网络秩序和社会公共秩序，另一方面也给用户和用户单位带来了巨大的损失。入侵检测系统为了达到保护数据库安全的目的普遍出现“宁杀勿错”的情况，在网络的关键点验证十分严格，使得系统即便是在面对非攻击性的病毒时，也会采取强制性的措施，这些强制性的措施对数据库具有一定的影响，最终降低了检测的效率和正确率[3]。

3.2自身的防御能力比较差

其次是系统自身的防御能力方面，我国计算机数据库入侵检测技术在发展的过程中，受到我国设计人员的专业水平的限制和计算机系统自身问题的影响，使得我国计算机数据库入侵检测技术在具体的使用过程中自我防范的能力还不够，导致系统在外界病毒的威胁和攻击的情况下，不能及时防御病毒，最终倒是计算机数据库中信息的外泄和流失，严重情况下会导致整个计算机网络系统瘫痪。这种情况下的计算机数据库入侵检测技术没有起到任何作用，不仅无法抵御病毒的攻击和入侵，同时还严重影响了计算机。

3.3可拓展性差

结合我国当前计算机的发展趋势，有关部门进行了调查，结果表明，计算机数据库入侵检测技术在具体的应用过程中，在一台计算机上安装好入侵检测技术之后，会形成一个固定不变的模式。这种固定模式的形成和出现成为了入侵检测技术的最大弊端，导致检测系统不能根据数据库的实际需要和网络环境的更新升级一起更新。另外，这种固定的模式对在安装后的入侵检测技术后出现的新病毒无法进行检测处理，入侵检测技术在计算机网络的发展和病毒的发展面前，出现严重的滞后，入侵检测技术的可拓展性受到严重限制。

3.4检测的效率偏低

由于网络的虚拟性的特点的影响，在整个网络的运行当中，一些网络病毒和黑客的出现就严重威胁到网络的安全问题。更为严重的是，在计算机网络的正常使用过程中，受到任何一个恶意攻击病毒的侵害都严重威胁着数据库的安全。要完全保证数据库的安全，就需要入侵检测技术有足够的灵敏度，要提高入侵检测技术的灵敏度，需要投入较大的人力、物力和财力，但是诸多单位为了节约成本，没有提高系统的灵敏度，导致系统检测的效率偏低。

4 计算机数据库入侵检测技术的重要性

计算机数据库在应用的过程中受到多方面的威胁，包括了网络中设备的威胁和网络中信息的威胁。而计算机安全主要包括信息安全和物理安全，计算机信息安全为网络信息的可用性、完整性和保密性提供了保障。其中，数据库是计算机信息系统中最容易受到威胁的信息系统。这主要是因为数据库是信息系统中的关键部件之一，在信息系统中发挥着重要的作用。目前对计算机数据库造成威胁的主要包括了计算机病毒、黑客攻击等，这些威胁对计算机数据库产生了巨大的影响，给计算机用户带来了巨大的损失。保护计算机数据库受到越来越多的关注，计算机数据库入侵检测技术能够有效的识别和检测计算机数据库在使用的过程中的非法攻击和一些安全问题，在计算机数据库的运用中发挥了巨大的作用，完善和健全计算机数据库入侵检测技术亟不可待。

5 完善计算机数据库入侵检测技术的措施

5.1优化Apriori算法

Apriori算法是目前计算机数据库入侵检测技术中常用的一种算法，Apriori算法的关键部分在于对大项目集的数据和信息进行调查。把这种算法应用到计算机入侵检测系统当中，大大幅度减小了系统在运行中候选的项目，提高了数据库的检测效果。但是这种算法在综合能力较强的数据库中，需要耗费更多的时间和精力。因此，要提高Apriori算法，就要从减少项目数量和改进扫描控制的基础上对Apriori算法进行优化。

5.2建立统一的数据库知识标准

要加强计算机数据库入侵检测的效果就要研究并掌握数据库入侵的特点，数据库点库的覆盖面和特点的准确度对入侵检测系统具有一定的作用。相关研究是数据挖掘技术中比较常用的技能之一，通过相关研究对潜在的入侵行为进行研究整理，能够迅速发现数据库的潜在入侵行为。因此，有必要建立起统一的数据库知识标准，通过迭代技术和相关研究加强数据库的防御。

5.3构建入侵检测系统模型

构建入侵检测系统模型也是完善入侵检测技术的一项有效措施。构建这种能够对数据库中的异常进行检测的入侵检测系统模型主要包括了五个部分，分别是数据库的接口组件、采集数据、处理数据以及数据的挖掘和检测。这个入侵检测系统模型的主要检测程序包括采集数据、处理数据、挖掘数据、进行模式的调整、提取数据的特征、进行入侵检测等[4]。

6 结束语

不管是个人用户还是单位用户，不管是政府部门还是企业集团，数据库的安全都是十分重要的，计算机数据库入侵检测技术的发展和完善对加强数据库的安全具有重要的意义。随着计算机网络技术的不断发展和计算机数据库入侵检测技术的不断深入研究，未来计算机数据库入侵检测技术的发展方向将是朝着入侵检测技术的智能化方向发展，未来的数据库入侵技术必将是分布式与层次性两者相结合的入侵检测技术。只有不断的发展和完善入侵检测技术，才能使入侵检测技术发挥出更大的功能。

参考文献：

[1] 薛玉芳，路守克，李洁琼，等.入侵检测技术框架结构分析[J].中国新技术新产品，2011（13）：12-14.

[2] 周戈，范琴.基于数据挖掘的网络入侵检测系统[J].信息与电脑：理论版， 2011（8）：7-9.

入侵检测技术范文4

关键词：计算机技术；网络安全；入侵检测；概念；问题

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）19-0032-02

随着社会经济与科学技术的不断进步，计算机技术以及互联网得到了越来越广泛的应用与发展，对于人们的生活有着十分重要的意义。然而计算机与网络的普及也出现了一系列的问题，例如由于网络入侵导致计算机系统系统的正常运行受到影响，降低了计算机的工作效率，同时一些涉及个人隐私的信息也受到威胁。因此，入侵检测技术的应用对于计算机网络安全的防范就起到了十分重要的作用，然而由于我国计算机网络安全入侵检测技术的起步较晚，在许多方面存在一定的不足，难以保障计算机的网络安全，因此，加强计算机网络安全的入侵检测技术应用与研究势在必行。

1计算机网络安全入侵检测的概念

计算机在正常运行的过程中，当处于网络环境时，那么就存在外界与内部不安全因素，例如病毒、软件的侵入而影响到计算机的运行速度，进而造成计算机的工作效率降低。而一旦计算机运行状态出现异常，那么就可以运用入侵检测技术来及时防御计算机内部与外部的干扰因素，同时也使得计算机由于这些影响因素造成的干扰得以有效避免。当计算机受到意外攻击时，计算机网络安全的入侵检测技术能够与防火墙相配合，使得计算机得到更好的保护。鉴于此，可以说计算机网络安全的入侵检测技术就是以补充防火墙的不足而产生的。

2计算机网络安全入侵检测技术的类型

2.1基于误用检测技术

误用入侵检测的主要功能是根据特征搜集影响计算机的干扰因素，并对其是否集中出现进行判断并处理。误用入侵检测技术与杀毒软件的操作方式相似，而该技术的优势在于其建立的入侵特点的模式库，并根据此进行相似特点的搜集，如此一来检测中不仅能够搜集出有着相似特征的入侵行为，同时又使得系统的入侵与抑制系统免于遭受同样的入侵。然而有的入侵行为具有一定的特殊性，其具有变种功能，即利用相同的功能缺陷与原理进行变异，因此就难以被检测出来。误用入侵技术在某些方面还是存在一定的缺陷的，例如其只能对已知序列和特点对有关入侵行为进行判断，而难以及时检测出一些新型的入侵攻击行为，同时还有一些漏洞存在。

通常可以将误用入侵检测技术分为专家系统与状态迁移分析技术等两种。其中专家系统在早期的入侵检测系统中比较常用，主要是采用专家的入侵行为检测系统。比如早期的NIDES、NADIR，这些都是具有独立的专家系统模块。一旦发现专家系统中的入侵行为，整个系统就会对其进行编码，将其编译为一个IF语句。其次是状态迁移分析技术，建立在异常检测技术的基础之上，对一组系统的“正常”情况下的值进行定义，包括CPU利用率、内存利用率以及文件校验等等，然后与正常定义作对比。在该检测方法中，对“正常”情况的定义是最为关键的部分。

2.2基于异常的检测技术

基于异常入侵的检测技术需要对一组正常情况下内存利用率、硬盘大小、文件检验等值进行定义。这些数据是具有灵活性的，人们可以方便自己统计而进行自主定义，接着比较规定数值与系统正在运行中的数值，进而对被攻击与否进行检验与判断。该检测方法是以对正常数值的定义为核心而进行的，如此才能够判断系统是否遭受到了攻击。该检测技术早在1996年就有了一定的研究，有人以建立系统的审计跟踪数据分析系统，主体正常行为的特征为大致方向，建立起一个大概的轮廓模型。在进行检测的过程中，在审计系统中，被认为是入侵行为的依据就是系统中的出现较大差异的数据。根据功能配置文件、登录的时间与位置、CPU使用时间以及文件访问属性等对特点进行描述。其对应的功能配置文件会随着主要行为特征的改变而改变。例如入侵检测系统基于统计的使用或规则进行描述，对系统行为特征的基本轮廓进行建立。

3入侵检测系统的类型

3.1基于主机的入侵检测系统

基于主机的入侵检测系统主要对主机进行重点检测，通过在主机上设置入侵检测，对其是否被攻击进行判断。主机入侵检测系统能够较为全面动态的监控计算机网络用户的操作行为，一旦出现网络异常情况就会进行预警，能够安全有效的保护起网络的安全。基于主机的入侵检测系统能对攻击行为是否有效果加以判断，以此提供给主机充分的决策依据，并且还能监控例如文件访问、文件执行等指定的系统部位的活动。

3.2基于主机的入侵检测系统

基于行为的入侵检测系统主要指基于网络的入侵检测系统，其无法提供给客户单独的入侵检测服务，然而该系统的具有较快的检测速度以及低廉的检测成本。基于网络的入侵检测系统在设置检测的过程中能够进行多个安全点的设置，并同时观察多个系统的网络通信，同时也省去了主机上的安装，因此才被认为成本较低。基于主机的入侵检测无法安全有效的检测数据包，因此在入侵检测中时常出现漏洞，然而该检测系统具有检测对主机的漏洞攻击的功能，一旦发现恶意程序或者软件，就会进行及时的处理。在检测过程中，基于网络的入侵检测系统能够通过方便快捷的网络通讯实现对系统的实时监控，一旦发现问题，就会直接进行网络报告，以防止攻击者转移证据。基于网络的入侵检测技具有动态检测计算机网络系统的功能，一旦发现网络系统中存在入侵行为就会做出快速反应，不会受到时间与地点的限制，并进行预警，同时采取相应的措施处理入侵行为。

4计算机网络安全入侵检测技术存在的问题

入侵检测技术范文5

1网络信息管理中入侵检测技术概述

(1)入侵检测技术在网络信息管理之中的作用。如果说现代计算机作为系统,那么入侵检测技术就相当于保安系统,对于关键信息的储存位置进行定期检查和扫描,一旦发现外来不明用户杜宇关键信息进行查询,便对使用用户进行警告,帮助用户进行入侵行为的相关处理,保障关键的信息系统和数据信息不会收到损坏和盗窃。入侵检测技术同样会对系统之中存在的漏洞进行检查和通报,对于系统之中的漏洞而言,往往便是入侵行为发生的位置,所以针对于这些位置进行处理,更为良好的保证整个系统的安全,对于现代企业网络系统而言,入侵检测技术便是保障的第二道铁闸。(2)现阶段入侵检测技术的主要流程。通常情况下,入侵检测技主要可以分为两个阶段。第一个阶段便是信息采集,主要便是对于用户的各种信息使用行为和重要信息进行收集,这些信息的收集主要是通过对于重点信息部位的使用信息进行查询得出的,所以说在现代应用之中,入侵检测技术一方面应用了现代的检测技术,另外一方面也对于多种信息都进行了收集行为,保证了收集信息的准确性;第二个阶段便是处理相关信息,通过将收集的信息和过往的信息进行有效对比,然后如果对比出相关错误便进行判断,判断使用行为是否违背了网络安全管理规范,如果判断结果为肯定,那么便可以认定其属于入侵行为,对于使用用户进行提醒,帮助用户对于入侵行为进行清除。

2现阶段入侵检测技术的使用现状

(1)网络信息管理中入侵检测系统的问题。入侵检测技术作为一种网络辅助软件去,其本身在现阶段并不是完善的,自身也存在漏洞。所以说很多非法分子的入侵不仅仅是面对系统的,很多先通过入侵技术的漏洞来进行。针对现阶段的使用过程而言,入侵检测技术仍然存在自身的漏洞危险,也存在主要使用风险。在现阶段存在危险的方面主要有两个方面。一方面便是由于入侵检测系统存在漏洞;另外一方面便是现代计算机技术的发展。无论是相关的检测系统亦或是相关病毒,都是现代编程人员利用C语言进行编程,伴随着相关编程水平的不断提高,两种技术同样得到了自我发展,所以说很多黑客高手在现代的入侵行为之中,已经不能以旧有的眼光来进行相关分析。所以说新的时期,入侵检测技术也应该得到自我的发展,同样针对于应用网络的相关企业做好安全保证,保证信息技术在现代之中的发展。(2)现阶段网络信息管理之中入侵检测技术存在的问题。网络信息管理之中的入侵检测技术在现代之中仍然存在问题,同样是两个方面问题。一方面是由于入侵技术自身存在漏洞,在现阶段很多入侵检测技术是通过对于入侵行为进行有效的提取,将行为进行归纳,对于行为是否符合现代网络安全规范,然后判断结果是否为入侵。很多时候,入侵行为往往较为隐秘,所以说这就导致了相关的入侵检测技术不能对于入侵行为进行提取,更无从谈起其是否符合网络安全规范。另外一方面的问题便是检测速度明显小于入侵速度,这也是在现阶段常见的问题。随着现代网络技术的发展,网络速度已经得到了有效的自我发展,很多入侵检测过程之中,很多时候检测速度小于网络检测速度,这样的情况下,一些行为尚未进行阻拦,便已经达成入侵的目的了,进而导致了信息的丢失,所以说这方面的问题同样应该得到改善。企业在应用之中,也应该注意这种速度的问题,防止因为速度进而造成自身信息丢失等。

3网络信息管理之中入侵检测技术的具体分类

(1)异常检测,异常检测顾名思义,便是对于入侵行为进行检测,但是由于入侵的性质未定,这就导致很多时候入侵检测技术进行了无用功。现阶段往往入侵检测技术通过建立一个行为轮廓来进行限定,如果入侵行为已经超过了这个行为轮廓,便确定其为入侵行为。这种模式大大简化了行为判定的过程,但是由于过于简单的相应行为也容易出现相关漏洞。在实际工作之中,往往非入侵行为但是在行为轮廓行为之外的网络访问行为,但是在入侵检测技术之中被判断为入侵行为,造成了工作的重复。所以说在进行行为轮廓的确定时,同样应该由一些特征量来确定,减少检测工作可能出现的失误,进而可以提升检测工作的效率;另外一方面可以设置参考数值,通过参考数值的评定来进行评判,在入侵检测技术之中,参考数值非常重要。(2)误用检测,其应用前提便是所有的入侵行为进行识别并且进行标记。在一般情况下,误用检测便是通过攻击方法来进行攻击签名,然后再通过定义已经完成的攻击签名对于入侵行为进行相关判断。很多行为都是通过漏洞来进行,所以误用检测可以准确的判断出相应入侵行为,不仅预防了入侵行为,还可以对于其他入侵行为进行警示作用。这种技术在实际使用过程之中,提升了入侵检测数的效率和准确。

入侵检测技术范文6

［关键词］入侵检测入侵分析数据库系统

传统的数据库安全机制以身份认证和存取控制为重点，是一种以预防为主的被动安全机制，无法满足日益增长数据库对安全的需要。近年来对数据库入侵检测机制的研究受到了广泛关注和重视。通过建立异常检测机制，有效地发现用户在使用数据库过程中可能发生的入侵和攻击，以期达到保护数字图书馆数据库安全的目的。

1入侵检测简介

入侵检测是检测和识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击，或者违反安全策略事件的过程。它从计算机系统或者网络环境中采集数据，分析数据，发现可疑攻击行为或者异常事件，并采取一定的响应措施拦截攻击行为，降低可能的损失。在入侵检测系统中，系统将用户的当前操作所产生的数据同用户的 历史 操作数据根据一定的算法进行检测，从而判断用户的当前操作是否属于入侵行为，然后系统根据检测结果采取相应的行动。www.133229.coM入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足，从某种意义上说是防火墙的补充。入侵检测技术是计算机安全技术中的重要部分，它从计算机系统中的若干关键点收集信息，并分析这些信息，检测计算机系统中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统在几乎不影响计算机系统性能的情况下能对计算机系统进行实时监测，并对系统提供针对内部攻击、外部攻击和误操作的实时保护。入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应。入侵检测技术扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。

2入侵检测技术分类

（1）从数据的来源看

入侵检测通常可以分为两类:基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源，并辅之以主机上的其他信息，例如文件系统属性、进程状态等，在此基础上完成检测攻击行为的任务。基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源，并通过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。从数据分析手段来看，入侵检测通常又可以分为两类:误用入侵检测和异常入侵检测。误用检测的技术基础是分析各种类型的攻击手段，并找出可能的“攻击特征”集合。误入侵检测的定义为:识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。入侵检测系统则是完成如上功能的独立系统。入侵检测系统能够检测未授权对象，针对系统的入侵企图或行为，同时监控授权对象对系统资源的非法操作。

（2）从数据分析手段看

入侵检测通常可以两类：滥用入侵检测和异常入侵检测。滥用入侵检测的技术基础是分析各种类型的攻击手段，并找出可能的“攻击特征”集合形成特征库或者模式库，滥用入侵检测利用形成的特征库，对当前的数据来源进行各种分析处理后，再进行特征匹配或者规则匹配工作，如果发现满足条件的匹配，则指示已经发生了一次攻击行为然后入侵检测系统的响应单元做出相应的处理。异常入侵检测是通过观察当前活动与系统历史正常活动情况之间的差异来实现。这就需要异常入侵检测建立一个关于系统正常活动的状态模型并不断更新，然后将用户当前的活动情况与这个正常模型进行对比，如果发现了超过设定值的差异程度，则指示发现了非法攻击行为。

相比较而言，滥用入侵检测比异常入侵检测具备更好的确定解释能力，即明确指示当前发生的攻击手段类型，另外，滥用入侵检测具备较高的检测率和较低的虚警率，开发规则库和特征集合相对于建立系统正常模型而言，要更容易、更方便。但是，滥用入侵检测只能检测到已知的攻击模式，模式库只有不段更新才能检测到新的攻击类型。而异常检测的优点是可以检测到未知的入侵行为，尽管可能无法明确指示是何种类型。从现有的实际系统来看，大多数都是基于滥用入侵检测技术，同时也结合使用异常入侵检测技术，提高了检测率并降低了虚警率。

3数据库系统的安全

数据库系统的安全框架可分为三个层次: 网络 系统层次、宿主操作系统层次和数据库管理系统层次。由于数据库系统在操作系统下都是以文件形式进行管理的，因此入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用os工具来非法伪造、篡改数据库文件内容。因此，数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大，则数据库系统的安全性能就较好。根据数据库安全的三个层次，笔者提出了一个数据库入侵检测系统，其外层用基于网络的入侵检测，中间层用基于主机的入侵检测，内层采用入侵容忍。此系统采用系统整体安全策略，综合多种安全措施，实现了系统关键功能的安全性和健壮性。

4数据库入侵检测技术

数据库入侵检测系统的研究与设计借鉴了针对网络和针对主机的入侵检测技术，在此基础上，又考虑了数据库自身的特点。按照检测方法分为:误用检测和反常检测。

（1）数据库误用检测

误用检测是指将已知的攻击特征存储在误用特征知识库里面，然后根据用户的当前操作行为与知识库里的误用入侵规则进行匹配检验，如果符合知识库中的入侵特征，则说明发生了入侵。误用特征知识库中的入侵规则由安全专家定义，可以随时添加、修改，然后保存在知识库中，用来对审计数据进行匹配比较。误用检测的优点是检测的准确率高，缺点是只能对已知的攻击特征进行匹配检验，对未知的攻击类型无法发现，而对未知攻击类型的检测要依靠异常检测。所以，误用检测常常与异常检测结合起来使用。

（2）数据库反常入侵检测

反常检测是指将用户正常的习惯行为特征存储在特征数据库中，然后将用户当前行为特征与特征数据库中的特征进行比较，若两者偏差足够大，则说明发生了反常。这种方法的优势在于它能从大量数据中提取人们感兴趣的、事先未知的知识和 规律 ，而不依赖经验，应用在基于数据库的入侵检测系统中，可以从大量的数据中发现有助于检测的知识和规则。

参考 文献 ：

［1］唐正军.入侵检测技术导论［m］.机械 工业 出版社,2004.

［2］戴英侠,连一峰,王航.系统安全与入侵检测［m］.清华大学出版社,2002.

［3］玄加林,才书训.入侵监测系统现状与展望［j］. 计算 机时代,2005,8.