基于网络安全背景下的入侵检测防御技术研究

文章编号：1008-8717（2018）11-0122-03

基于网络安全背景下的入侵检测防御技术研究

徐 亚 凤

（牡丹江大学， 黑龙江， 牡丹江 157011）

摘 要：随着“互联网+”快速发展和应用，网络环境中的恶意入侵和攻击行为也在日益增加，实施入侵检测防御策略已经成为保障网络安全有序运行的必要手段。本文对网络入侵检测防御技术的技术特点和检测防御方法进行分析，力求为网络入侵行为搭建有效的检测防御体系。

关键词：入侵；防御； 网络安全

中图分类号： TP30 文献标识码：A

Research on Intrusion Detection and Defense Technology

Based on Network Security

XU Ya-feng(Mudanjiang University , Mudanjiang , Heilongjiang 157011)Abstract: With the rapid development and application of \"Internet +\" ,malicious invasion and attack in the network environment are also increasing. The intrusion detection defense strategy has become the essential means to guarantee the safe and orderly operation. This paper analyzes the technical characteristics and detection and defense methods of network intrusion detection and defense technology, and tries to build an effective detection and defense system for network intrusion.

Key words: intrusion; prevention; network security入侵检测防御技术是在防火墙技术、信息加密技术等传统安全技术的基础上发展起来的一种新的安全有效的网络安全保障技术，能针对网络资源或网络设备的恶意企图和行为进行识别并做出相应处理。入侵检测防御技术通过对计算机系统或网络系统中发生的入侵行为的监视和分析，发现危及系统安全性或绕过安全机制的入侵行为，并对检测出的网络攻击进行响应（告警、中断等）。一般来讲，把能够完成入侵检测的软、硬件的组合称为入侵检测防御系统。入侵检测响应技术流程如图1所示。

过滤规则可疑行为检测入侵检测入侵响应图1 入侵检测/响应流程图

入侵检测防御技术是网络安全体系中的重要一环，如果说网络安全的第一道有效保障是防火墙，那么网络安全的第二道有效保障就是入侵检测防御技术，是防火墙必不可少的补充条件，一个完整的

收稿日期：2018-06-08作者简介：徐亚凤（1979 --），女，黑龙江巴彦人，牡丹江大学信息与电气工程学院副教授，从事计算机相

122

关专业的教学及科研工作。

网络安全解决方案必定是两者的有机结合。

一、入侵检测技术1.入侵检测系统

目前，典型的入侵检测系统一般包括基于主机的IDS（Host IDS）、基于网络的IDS（Network IDS）和混合IDS三种。其中基于主机的IDS用于保护所在的主机系统的安全。对操作系统和应用程序的事件日志进行分析，同时监测端口调用、系统调用和审计记录的安全性。一般通过代理完成主机系统上的信息收集和报警通讯工作；基于网络的IDS通过遍及网络的探头（sensor）收集网络传输的数据包，并对所收集的数据包进行分析，以此来保证整个网段的安全运行；混合IDS弥补了以上两种入侵检测系统的防御体系不全面的缺点，既可以检测到系统日志的异常情况，又能检测到网络的入侵行为。

2.入侵检测技术分析方法

随着网络安全技术的发展，入侵检测技术分析方法主要有异常检测型和误用检测型两种。异常检测型（Anomaly Detection）通过对与可接受行为之间的偏差的检测来发现网络入侵。即通过对网络中的各项可接受行为的定义，来分离每项不可接受的行为，即入侵行为。异常检测模型能有效地检测出网络中的未知入侵行为，具有漏报率低，误报率高的特点。误用检测型（Misuse Detection）与异常检测型的检测方法不同，主要通过对与已知的不可接受的行为之间的匹配程度的检查来发现网络入侵。即通过对网络中的各项不可接受行为的定义，以此来对所有匹配行为的告警。通过建立非正常操作行为的相关特征库来发现网络入侵行为。误用检测型模型能有效检测已知的入侵行为，但要通过对特征库的不断更新才能完成对未知入侵行为的检测，具有误报率低、漏报率高的特点。

3.入侵检测过程分析

一般来讲，入侵检测过程主要由收集信息、分析信息和处理分析结果三个部分组成。收集信息是指对网络或系统中的数据、用户的活动状态及行为进行收集的过程。入侵检测信息收集主要针对网络和系统的日志文件、非正常的程序执行及非正常的目录及文件修改等。这就要求尽可能扩大检测范围，在网络系统中布置若干关键监测点，并通过对不同检测源的信息进行特征分析，从而发现入侵来源。

信息分析是指对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析，一般通过三种技术手段进行分析：模式匹配、统计分析

和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。分析信息是入侵检测过程的关键。可以通过统计分析、模式分析及完整性分析等技术手段完成实时入侵检测和事后分析。处理分析结果是根据告警机制所产生的系统预定义的响应，控制台来采取相应的处理措施。通过防火墙、路由器的配置优化、切断网络终端或设备的连接、问题进程终止等方法实现结果处理。

二、入侵防御技术

入侵防御技术 （IPS，Intrusion Prevention System）是针对检测到的网络中的攻击进行主动防御，在IPS设备上对攻击流进行处理。

从对攻击流的识别技术来看，IPS和IDS采用相同的识别技术，IPS设备接收数据流，以存储转发的方式来进行检测，如：碎片重组、流重组、协议分析，状态检测等深度分析检测，对存在攻击的数据流进行实时处理。典型IPS组网如图2所示。

图2 IPS网络结构示意图

IPS和IDS最大的不同是两者的部署方式不同，IDS为旁挂方式，对网络影响比较小，而IPS采用直路的方式，加入了单点故障，同时IPS设备的性能对网络也有较大的影响。IPS与IDS的对比如表1所示。

表1 IPS与IDS的对比表

IDS

IPS

部署方式旁路部署

工作无延时直路部署

不增加单点故障

储存转发，增进网络延迟增加单点故障

阻断方式

使用话，只能针对TCPRSTTCP切断回连接

实时防御，阻断攻击流量

误报、漏报率取决于检查手段和特征库检查技术同检测会增加设备开销，降

IDS，但深入

低设备性能监控范围支持全网监控监控流经要在每个出口部署一台IPS的流量，需价格

相对较低

比较高

三、入侵检测防御系统问题分析及未来发展趋势随着互联网技术的发展，入侵检测防御系统已经广泛应用到各领域的网络系统中，但目前的入侵检测产品还存在一些亟需解决的问题，具体分析如下：

1.解决误报与漏报的问题。如果入侵检测防御系统企图对所有网络上的疑似攻击行为进行报警，即会产生大量的误报信息，扰乱网络管理员的判断，

123

分散管理员的精力，从而导致真正的攻击系统没能做出正确反应。同样的道理，随着网络攻击的形式不断趋于多样化，入侵检测防御系统能否准确检测网络系统中的每一个入侵行为也是系统需要进一步解决的技术问题。

2.协调系统安全与用户隐私的问题。为了达到网络系统安全，入侵检测防御系统将网络中传输的所有数据进行检测和分析，但同时也会增加用户隐私泄露的风险，如何协调取舍也是需要继续研究和解决的问题。

为了有效解决入侵检测防御系统中存在的问题，改善系统性能，未来的入侵检测防御系统将在原有已经成熟的技术的基础上，继续研发新的检测防御方法，例如：实现大规模的分布式入侵检测技

术；实现高速网络下的实时入侵检测防御策略；实现将入侵检测防御系统与其他网络安全产品有机结合，达到网络管理、网络监控及入侵检测有效结合等。未来的入侵检测技术将向着数据融合、智能技术及免疫学原理的应用等方向继续发展，从而有效保障网络系统的安全运行。参考文献：

[1] 邱浩. 带入侵检测的Linux个人防火墙的研究与实现[D]. 贵阳：贵州大学,2006.

[2]董明,胡孝昌. 基于入侵检测的网络安全体系研究[J]. 福建电脑,2009,(12).

[3]李波. 入侵检测系统的分析与研究 [J]. 重庆教育学院学报,2005,(12).

（上接第118页）

与“甘”相对。如：甘苦、苦瓜、苦胆等。但随着社会和语言的不断发展，人们给“苦”逐渐赋予了隐喻意义，使其用法更为泛化。

（1）“清苦”（bitter）,原意是守贫刻苦；贫苦。“苦”（bitter）被映射到生活域，引申为：悲惨的生活或经历是痛苦的。

例7：原文：日子是那么的清苦，他们又是那么的忙碌，很少有时间顾及儿子。

译文：But life was hard , and they were always so busy that they seldom had any time to spend with him.

例8：原文：“日子过得苦死了，可是再苦，也没有苦了这闺女。”

译文：“They’ve had a hard time, but no matter how hard it’s been , they’ve never made it hard for her.”

以上所有例句中“酸”“甜”“苦”的引申义都是隐喻化了的用法。像这些味觉隐喻词的隐喻化意义，在翻译过程中如果不加去隐喻化的处理，而直接译为“sour”“sweet”“bitter”,则很难使外国读者明白作者想要表达的情感及意图。也无法实现各民族之间的文化共同与语言共同，从而阻碍了中国文化走向世界。因此，在英译过程中必须做到去隐喻化。

三、结语

世界上每个民族及国家都有他们自己独特的文化。儿童文学作品的隐喻作为日常生活隐喻的一种延伸，更是反映了民族文化的一面镜子。不同语言

与文化之间存在着认知差异。因此，在翻译实践过程中我们就必须采用去隐喻化手段，用非隐喻的方式在目标语中表达源语言中的隐喻内容，这就是翻译过程中的“去隐喻化”现象。通过对《青铜葵花》基本味觉词的去隐喻化例析，使读者能够更加深刻地领会到青铜与葵花在那个时代所经历的苦难、甜蜜与辛酸，以及作品所表现出来的至爱与大美，将爱写的充满生机与情意。经过去隐喻化翻译后，译本不仅便于英语读者正确理解，也能变成各国文化互通的窗口，加速了中国迈向国际轨道的进程。参考文献:

[1] 郭敏.去隐喻化的主体：理查兹互动论的再探讨[J].外语研究, 2003,（5）:81

[2] Halliday，M. A. K. An Introduction to Functional Grammar[M]. London: Arnold，1985.

[3] Nesfield, J. A. Idiom, Grammar and Synthesis[M].New York: St. Martin’s Press, 1974.

[4] Nilsen, D.L.F.＆A.P.Nilsen. Language Play. [M].Toronto: Holt, Rinehart and Winston, Inc,1987.[5] Wen Jun(文军). “死的比喻”与“比喻的复活”[J]. 外语学刊,1990,(2):44

[6] 董伟娟，黄小苹.英汉基本味觉形容词隐喻对比分析[J].黑龙江教育学院学报,2010,(10):158

[7] 曹文轩.青铜葵花[M].徐州:江苏少年儿童出版社,2005.

[8] Helen Wang .Bronzen and Sunflower [M]. London: Walker Books Ltd , 2015.

124