摘要：随着计算机网络技术的飞速发展，计算机网络的应用变得非常广泛，因此，计算机网路的安全问题也就成为了当前网络管理者们最为关注的问题。该文主要分析了目前运用比较广泛的一种计算机网络安全技术—入侵检测技术，并将其与防火墙技术的有效结合，大大提高了网络安全的防御能力。

　　关键词：计算机网络；网路安全；入侵检测；防火墙

　　中图分类号：TP393.08文献标识码：A文章编号：1009-3044（2012）08-1749-03

　　Discussion on Computer Network Intrusion Detection Technology

　　QIU Jing

　　（Hunan Communication Polytechnic, Changsha 410004, China）

　　Abstract: With the rapid development of computer network technology, the application of computer network has been very widespread. Therefore, the computer network security has become the major concern of current network managers. This paper mainly analyzes a widely used computer network security technology-intrusion detection technology and effectively incorporates it with firewall technology, which greatly improves the network security defense ability.

　　Key words: computer network; Network security; intrusion detection; firewall

　　随着计算机网络技术的飞速发展，其应用领域也变得越来越广泛，几乎渗透到了人们的工作和日常生活当中，给人类的生活带来了重大的改变。但飞速的网络发展给人类带来方便的同时，也带来了很大的网络安全隐患。网络安全问题也变得日益严重，每年因网络安全问题带来的损失巨大，网络病毒的传播、网络钓鱼网站的诱导以及黑客的木马攻击等给广大的网民带来了很大的困扰。因此，网络安全技术成为了当前必须引起重视的问题。传统的网络安全技术主要有防火墙技术、数据加密技术等，这些网络安全技术是一种基于被动的网络安全技术，主要阻止一些来自外部的网络攻击。而入侵检测技术是一种基于主动防御的网络安全技术，能有效的阻止来自网络内部的攻击，有效弥补了传统网络安全技术的不足。

　　1计算机网络入侵检测概述

　　1.1入侵检测定义

　　入侵检测（IDS），是通过监控和收集计算机网络系统中的某些关键点信息，并对这些信息进行归纳分析来检测入侵者的企图。直观的说，就是通过识别入侵行为，了解入侵者的意图和目的，网络管理员根据这些入侵信息做出相应的防范措施，从而免受系统遭受到不必要的损失。因此，它是一种主动防御的安全措施，能够有效的减少系统被入侵的可能性。

　　1.2入侵检测分类

　　目前的入侵检测系统主要有两类：基于误用的入侵检测和基于异常的入侵检测。基于误用的入侵检测主要是通过模式匹配方法来检测入侵行为。基于异常的入侵检测主要是通过检测系统当前行为与正常行为存在一定程度的偏差时，就判断系统已受到了攻击。基于误用的入侵检测的优点是检测出已知的攻击准确率高，缺点是不能发现未知攻击。异常检测的优点是可以检测到未知攻击，缺点是误报率较高。

　　2入侵检测系统结构分析

　　入侵检测系统的结构主要由四大部分组成：数据收集装置、检测器、知识库、控制器。如图1所示。

　　数据收集装置主要负责收集系统状态信息的相关数据，收集完成后传递给检测器；检测器主要检测和分析入侵的企图和目的，并发出警报信号；知识库主要提供一些数据信息的支持；控制器通过接收到的警报信号，对其进行分析和研究，做出自动或人工的反应动作，即根据入侵信息来做出相应的防范措施。

　　3入侵检测系统存在的问题

　　入侵系统技术虽然是目前应用比较广泛的网络安全防范技术，但还存在着一些问题，主要体现在以下几个方面：

　　图1入侵检测系统结构示意图

　　3.1误报和漏报率比较高

　　当前入侵检测系统的主要问题就是误报和漏报，由于入侵检测系统的检测精度不高，从而增大了误报率和漏报率。基于误用的入侵检测的误报和漏报率虽然相对较低，但它又不能完成对未知攻击的检测；基于异常的入侵检测虽然能够解决对未知攻击的检测这一问题，但它的误报和漏报率比较高，所以都存在着一些不足之处。

　　3.2准确定位和处理机制存在不足

　　入侵检测系统只能识别IP地址，并不能对IP地址定位，也就不能识别入侵数据信息的来源。一旦检测出攻击事件，入侵检测系统就通过关闭网络出口以及服务器的某些端口，这样虽然能有效的阻止入侵者的攻击，但同样会影响到其他正常用户的访问，从而缺乏有效的处理机制。

　　3.3系统性能存在不足

　　如果服务器在大流量访问的冲击或多IP分片的情况下，很有可能造成入侵检测系统的丢包甚至瘫痪。由于入侵检测主要依赖于已有的一些经验，所以与理想的效果还存在着一些差距。尽管目前的入侵检测方法繁多，但如何将它们成熟的运用起来还是一个很大的挑战，也是需要当前网络安全工作者们深入研究和探讨的重要课题。根据网络安全技术发展的需要，主要研究的方向应当是：入侵检测系统的标准化、各种入侵检测系统的构架、入侵检测系统的智能化以及与其他网络安全技术相结合的运用等。除了完善这些传统的技术参数以外，还需要加强新技术的开发和研究，才能使得该产品保持长久的市场竞争力。

　　4入侵检测与防火墙结合的应用研究

　　4.1入侵检测与防火墙的互动运行

　　设计一个有效的安全系统，至少需要防护、检测和响应三个部分。这三个部分需要实现基于时间的简单关系。也就是要求检测系统在入侵者尚未突破防御阶段就能检测出入侵者的攻击企图，一旦检测成功，响应部分作出相应的处理。这种模式虽然不能确保有效率达到百分之百，但如果检测足够快，响应足够及时准确，防护系统就能在攻击者入侵系统之前，及时发现并作出相应的保护措施，这样就能做到对整个系统安全的有效防御。我们可以通过防火墙一类的手段来做防护，入侵检测手段来做检测，当网络系统得知入侵检测系统检测到有攻击者入侵时，便会作出相应的反应，这时可以由系统自动或网络管理员手动的方式来针对入侵信息作出有效的防御。也就是说，入侵检测与防火墙的互动

　　运行，可以实现一个比较理想的安全防范体系，有效弥补了传统安全技术不足。其互动逻辑图如2所示。

　　www.17net.net 发表

　　4.2入侵检测与防火墙结合的设计框架

　　首先，我们来设计检测器设置的位置，入侵检测既可以放在防火墙之外也可以放在防火墙之内。例如图3给出了将IDS放在防火墙之内的设置。

　　在设计的过程当中，并不只是将入侵检测系统和防火墙系统进行简单的叠加，而是结合两者的功能和特点来建立一个有效的网络安全防范系统。可以通过结合两者功能的优点，互相弥补其不足，由入侵检测系统来辅助防火墙系

　　5总结

　　入侵检测技术虽然在网路安全技术中是一项非常重要的技术手段，但将其单独的运用在网络安全防范系统当中，存在着很多的不足之处。因此，应当将防火墙技术与入侵检测系统结合互动的使用，这样的组合比以前单一的技术都有了较大的提高，网络的防御安全能力大大提高，防御系统才能成为一道更加坚固的围墙。

　　参考文献：

　　[1]胡振昌。网络入侵检测原理与技术[M].北京：北京理工大学出版社，2005.

　　[2]郑晓霞。 BP网络安全技术的研究[J].电脑知识与技术，2009,5（35）：9947-9951.

　　[3]李旺。分布式网络入侵检测系统Neptune的设计与实现[J].软件学报，2009,（16）：5-7.

　　[4]董辉。浅析网络入侵与攻击类型[J].电脑知识与技术，2010,06（33）：9231-9234.