本站小編為你精心準備了網絡安全的入侵檢測技術研究參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：

雖然防火墻和入侵檢測技術在網絡安全領域中占著舉足輕重的地位，但由于它們自身存在的一些不足，導致其無法滿足網絡安全整體化的需求。通過分析比較兩者的優缺點，提出將入侵檢測技術與防火墻緊密結合，二者之間進行聯動，從而實現對網絡系統的即時保護。

關鍵詞：

防火墻；入侵檢測；聯動；網絡安全

隨著互聯網的深入發展，網絡攻擊方式層出不窮，令人防不勝防；而防火墻和入侵檢測作為防護網絡安全的兩種重要技術手段，雖被廣泛采用，但由于自身缺陷，使得兩者的防范內容不盡相同。比如防火墻只能防范來自外部的攻擊而無法解決來自網絡內部的攻擊；入侵檢測只能識別攻擊發出報警卻不能自動產生適當的響應去阻止攻擊等等，為了滿足網絡安全整體化的要求，提出將防火墻和入侵檢測這兩種具有較強互補性的技術整合在一起進行聯動，揚長避短，充分發揮各自的優勢，提高網絡安全防護水平，最大程度的保障網絡及信息的安全。

1防火墻技術

防火墻[1]指的是一個由軟件和硬件組合而成的高級訪問控制設備，是置于不同網絡安全域之間執行訪問控制策略的一種或一系列部件的組合。防火墻位于網絡安全防護體系的最外一層，通常會被放置在外網與內網之間的出入口處。作為不同網絡安全域之間通信流的唯一通道，它為實現網絡安全起到了把關的作用。防火墻技術實際上是一種隔離技術,通過制訂安全策略（允許、拒絕、監視、記錄），將內部信任區域與外部不安全區域（如因特網）或內部網不同可信區域有效隔離,最大限度的對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全防護。雖然防火墻能在網關級進行保護，但只提供靜態防御，防御規則事先就已經設置完畢，一旦規則設置有誤或者安全形勢發生變化，防火墻就失去了即時應變的能力，因此它是一種被動的安全防護技術，存在一定的局限性，主要表現為：1）防火墻默認內部網絡都是可信的，如果內部網絡中存在后門，那些不經過防火墻的攻擊數據包進入到內網時防火墻無法防范和響應。2）防火墻的訪問控制策略需事先設置，不能實時調整策略規則來阻止正在進行的攻擊，缺少應變性無法主動防范新的安全威脅。3）防火墻既不能防止受病毒感染的文件或程序的傳輸也不能防止基于某些標準網絡協議的攻擊。

2入侵檢測技術

入侵檢測[2]是對計算機網絡系統中入侵行為的檢測。它通過收集和分析網絡行為、日志數據以及網絡系統中若干關鍵點信息，檢查網絡系統中是否存在入侵或違反規則的行為并及時做出響應，例如斷網、報警、記錄事件信息等。入侵檢測系統簡稱IDS(IntrusionDetectiveSystem)由進行入侵檢測的軟件和硬件所構成。與防火墻的被動防御不同，入侵檢測采取的是一種積極主動地安全防護手段，能在不影響網絡性能的前提下通過旁路監聽方式不間斷地收取網絡數據，主動尋找入侵信號，對系統中的異常現象或未授權的訪問、活動等事件進行審計、追蹤、識別和檢測。入侵檢測不僅能察覺到來自系統外部的入侵，同時也能發現系統內部用戶未經授權的活動，主動保護自己免受網絡攻擊，因此被認為是防火墻之后的第二道安全閘門。盡管如此，入侵檢測技術還是存在一些局限性：1）由于入侵檢測通常依賴特征匹配，每截獲一個數據包都要分析和匹配，檢測其中的數據是否具備攻擊特征，因此會耗費大量的時間和系統資源，使得入侵檢測的檢測速度跟不上網絡數據的傳輸速度，通常在數據包巨多的流量面前它會迅速失效。2）入侵檢測的漏報率和誤報率都比較高，產生漏報的一大原因是攻擊特征數據庫不能及時更新；另外一些舊式的攻擊對已更新的操作系統不起作用，如果模式庫中還存有這些攻擊特征，就會導致入侵檢測頻繁報警，這些無效報警很大程度上無疑加大了入侵檢測的誤報率。3）入侵檢測往往重點都放在對網絡中入侵攻擊行為的識別上，所以即使檢測到攻擊也很難采取有效的保護措施去阻止攻擊。

3防火墻與入侵檢測的聯動

通過以上的分析對比可以看出兩者在網絡安全防護方面都存在一定的缺陷，防火墻側重于提供靜態訪問控制、入侵檢測側重于主動發現入侵。如果把這兩種技術結合在一起，集中二者的長處，形成互補，建立緊密的聯動關系，相互提供保護屏障，既可以提升防火墻的機動性也能增強入侵檢測系統的阻斷能力。

所謂聯動[3]是指通過一種組合的方式，將不同的安全技術進行整合，由其他安全技術彌補某一安全技術自身功能和性能的缺陷，以適應網絡安全立體化、整體化的要求。本文提出的防火墻與入侵檢測系統聯動的方式是指將防火墻和入侵檢測劃分為兩個獨立的子系統，單獨完成各自的任務，兩者之間通過相應的通信接口和協議進行信息共享和互動，實現一體化的主動防御；同時為了防止交互信息被黑客竊取和攻擊，相互間的通信需要進行認證和加密。防火墻與入侵檢測系統之間的聯動協作流程如圖1所示。聯動實現過程如下：1)首先防火墻安置于Internet與內部網絡的連接處，這樣當外網中的數據包要進入內網時就需經過它預先設定的訪問規則控制鏈表，通過篩選過濾數據包可以阻擋一部分攻擊。2)經過防火墻篩選過濾后的數據包以及繞過防火墻沒有經過篩選的數據包都進入到內網中，這時部署在內網中的入侵檢測系統不間斷的提取這些數據包依據自身的規則庫對它們進行分析比對，一旦發現入侵企圖立即報警并將報警信息[4]（包括事件入侵類型，源地址，目的地址，源端口，目的端口及阻斷時間等）轉換成統一的報警格式，通過加密、認證后發送給防火墻。3)防火墻收到入侵檢測的通知后立刻做出針對性的改進，動態修改相應的安全策略完善其訪問控制規則，從而避免該攻擊行為的再次發生。4)入侵檢測系統每隔一段時間自動升級入侵特征庫防止當新的攻擊類型出現時，不能及時做出響應。

4結束語

本文根據防火墻和入侵檢測的特點，提出建立防火墻與入侵檢測系統的聯動，這是目前網絡安全產品的發展趨勢；但由于防火墻和入侵檢測本身都是比較復雜的系統，若將兩者結合勢必要對各自的硬件進行升級同時聯動中多了認證和加密，如果在數據傳輸中被假冒和竊聽則防火墻和入侵檢測的性能都會受到影響，今后還需在這方面展開研究，力爭創造一個更加智能、穩固的安全防護系統。

參考文獻:

[1]曲朝陽,崔洪杰,王敬東,等.防火墻與入侵檢測系統聯動的研究與設計[J].微型機與應用,2012(5):48-50.

[2]江保利.防火墻與入侵檢測聯動防御系統研究[J].信息技術,2013(10):28-29.

[3]桂春梅,鐘求喜,王懷民.基于UML的防火墻和入侵檢測聯動模型的研究[J].計算機工程與科學,2004,26(11):25-26.

[4]瞿江.基于SNMP的校園Web網絡安全的研究[J].計算機安全,2009(7):85-87.

作者：唐曉東 唐偉 單位：解放軍 95007 部隊 南航天合信息科技有限公司