当前位置：首页 > 实用文档 > 其他范文> 网络入侵检测方法

网络入侵检测方法

时间：2023-04-17 07:37:34 其他范文收藏本文下载本文

网络入侵检测方法（锦集6篇）由网友“榴莲好好好好吃”投稿提供，下面是小编帮大家整理后的网络入侵检测方法，希望对大家有所帮助。

网络入侵检测方法

篇1：网络入侵――入侵方法

网络安全从其本质上来讲就是网络上的信息安全，从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。确保网络系统的信息安全是网络安全的目标，信息安全包括两个方面：信息的存储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全，如是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全。为了确保网络信息的传输安全，有以下几个问题：

（1）对网络上信息的监听

（2）对用户身份的仿冒

（3）对网络上信息的篡改

（4）对发出的信息予以否认

（5）对信息进行重发

对于一般的常用入侵方法主要有

1.口令入侵

所谓口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传，使得入侵电脑网络系统有时变得相当简单，一般不需要很深入了解系统的内部结构，是初学者的好方法。

2.特洛伊木马术

说到特洛伊木马，只要知道这个故事的人就不难理解，它最典型的做法可能就是把一个能帮助完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已被该变，

一旦用户触发该程序，那么依附在内的指令代码同时被激活，这些代码往往能完成指定的任务。由于这种入侵法需要有很好的编程经验，且要更改代码、要一定的权限，所以较难掌握。但正因为它的复杂性，一般的系统管理员很难发现。

3.监听法

这是一个很实用但风险也很大的入侵方法，但还是有很多入侵系统的采用此类方法，正所谓艺高人胆大。

网络节点或工作站之间的交流是通过信息流的转送得以实现，而当在一个没有集线器的网络中，数据的传输并没有指明特定的方向，这时每一个网络节点或工作站都是一个接口。这就好比某一节点说：“嗨！你们中有谁是我要发信息的工作站。”

此时，所有的系统接口都收到了这个信息，一旦某个工作站说：“嗨！那是我，请把数据传过来。”联接就马上完成。

有一种叫sniffer的软件，它可以截获口令，可以截获秘密的信息，可以用来攻击相邻的网络。

4.E-mail技术

5.病毒技术

6.隐藏技术

篇2：网络入侵检测初步探测的方法！

正文：经过精心配置的Win服务器可以防御90%以上的入侵和渗透，但是，就象上一章结束时所提到的:系统安全是一个连续的过程，随着新漏洞的出现和服务器应用的变化，系统的安全状况也在不断变化着;同时由于攻防是矛盾的统一体，道消魔长和魔消道长也在不断的转换中，因此，再高明的系统管理员也不能保证一台正在提供服务的服务器长时间绝对不被入侵。

所以，安全配置服务器并不是安全工作的[/size]结束，相反却是漫长乏味的安全工作的开始，本文我们将初步探讨Win2000服务器入侵检测的初步技巧，希望能帮助您长期维护服务器的安全。

入侵的检测主要还是根据应用来进行，提供了相应的服务就应该有相应的检测分析系统来进行保护，对于一般的主机来说，主要应该注意以下几个方面:

1.基于80端口入侵的检测

WWW服务大概是最常见的服务之一了，而且由于这个服务面对广大用户，服务的流量和复杂度都很高，所以针对这个服务的漏洞和入侵技巧也最多，

对于NT来说，IIS一直是系统管理员比较头疼的一部分，不过好在IIS自带的日志功能从某种程度上可以成为入侵检测的得力帮手。IIS自带的日志文件默认存放在System32/LogFiles目录下，一般是按24小时滚动的，在IIS管理器中可以对它进行详细的配置。

我们假设一台WEB服务器，开放了WWW服务，你是这台服务器的系统管理员，已经小心地配置了IIS，使用W3C扩展的日志格式，并至少记录了时间(Time)、客户端IP(Client IP)、方法(Method)、URI资源(URI Stem)、URI查询(URI Query)，协议状态(Protocol Status)，我们用最近比较[/size]流行的Unicode漏洞来进行分析:打开IE的窗口，在地址栏输入:127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir默认的情况下你可以看到目录列表，让我们来看看IIS的日志都记录了些什么，打开Ex010318.log(Ex代表W3C扩展格式，后面的一串数字代表日志的记录日期):07:42:58 127.0.0.1 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200上面这行日志表示在格林威治时间07:42:58(就是北京时间23:42:58)，有一个家伙(入侵者)从127.0.0.1的IP在你的机器上利用Unicode漏洞(%c1%1c被解码为“/”，实际的情况会因为Windows版本的不同而有略微的差别)运行了cmd.exe，参数是/c dir，运行结果成功(HTTP 200代表正确返回)。

篇3：作业：网络入侵检测初步探测方法

经过精心配置的Win2000服务器可以防御90%以上的入侵和渗透，但是，就象上一章结束时所提到的:系统安全是一个连续的过程，随着新漏洞的出现和服务器应用的变化，系统的安全状况也在不断变化着;同时由于攻防是矛盾的统一体，道消魔长和魔消道长也在不断的转换中，因此，再高明的系统管理员也不能保证一台正在提供服务的服务器长时间绝对不被入侵，

作业：网络入侵检测初步探测方法

。

入侵的检测主要还是根据应用来进行，提供了相应的服务就应该有相应的检测分析系统来进行保护，对于一般的主机来说，主要应该注意以下几个方面:

1.基于80端口入侵的检测

WWW服务大概是最常见的服务之一了，而且由于这个服务面对广大用户，服务的流量和复杂度都很高，所以针对这个服务的漏洞和入侵技巧也最多。对于NT来说，IIS一直是系统管理员比较头疼的一部分，不过好在IIS自带的日志功能从某种程度上可以成为入侵检测的得力帮手。IIS自带的日志文件默认存放在System32/LogFiles目录下，一般是按24小时滚动的，在IIS管理器中可以对它进行详细的配置。

我们假设一台WEB服务器，开放了WWW服务，你是这台服务器的系统管理员，已经小心地配置了IIS，使用W3C扩展的日志格式，并至少记录了时间(Time)、客户端IP(Client IP)、方法(Method)、URI资源(URI Stem)、URI查询(URI Query)，协议状态(Protocol Status)，我们用最近比较[/size]流行的Unicode漏洞来进行分析:打开IE的窗口，在地址栏输入:127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir默认的情况下你可以看到目录列表，让我们来看看IIS的日志都记录了些什么，打开Ex010318.log(Ex代表W3C扩展格式，后面的一串数字代表日志的记录日期):07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200上面这行日志表示在格林威治时间07:42:58(就是北京时间23:42:58)，有一个家伙(入侵者)从127.0.0.1的IP在你的机器上利用Unicode漏洞(%c1%1c被解码为“”，实际的情况会因为Windows版本的不同而有略微的差别)运行了cmd.exe，参数是/c dir，运行结果成功(HTTP 200代表正确返回)。

大多数情况下，IIS的日志会忠实地记录它接收到的任何请求(也有特殊的不被IIS记录的攻击，这个我们以后再讨论)。但是，IIS的日志动辄数十兆、流量大的网站甚至数十G，人工检查几乎没有可能，唯一的选择就是使用日志分析软件，用任何语言编写一个日志分析软件(其实就是文本过滤器)都非常简单。

告诉大家一个简单的方法，比方说你想知道有没有人从80端口上试图取得你的Global.asa文件，可以使用以下的命令:find “Global.asa” ex010318.log /i。这个命令使用的是NT自带的find.exe工具，可以轻松的从文本文件中找到你想过滤的字符串，“Global.asa”是需要查询的字符串，ex010318.log是待过滤的文本文件，/i代表忽略大小写。因为我无意把这篇文章写成微软的Help文档，所以关于这个命令的其他参数以及它的增强版FindStr.exe的用法请去查看Win2000的帮助文件。

无论是基于日志分析软件或者是Find命令，你都可以建立一张敏感字符串列表，包含已有的IIS漏洞(比如“+.htr”)以及未来将要出现的漏洞可能会调用的资源(比如Global.asa或者cmd.exe)，通过过滤这张不断更新的字符串表，一定可以尽早了解入侵者的行动。

需要提醒的是，使用任何日志分析软件都会占用一定的系统资源，因此，对于IIS日志分析这样低优先级的任务，放在夜里空闲时自动执行会比较合适，如果再写一段脚本把过滤后的可疑文本发送给系统管理员，那就更加完美了。同时，如果敏感字符串表较大，过滤策略复杂，我建议还是用C写一个专用程序会比较合算。

2.基于安全日志的检测

通过基于IIS日志的入侵监测，我们能提前知道窥伺者的行踪(如果你处理失当，窥伺者随时会变成入侵者)，但是IIS日志不是万能的，它在某种情况下甚至不能记录来自80端口的入侵，根据我对IIS日志系统的分析，IIS只有在一个请求完成后才会写入日志，换言之，如果一个请求中途失败，日志文件中是不会有它的踪影的(这里的中途失败并不是指发生HTTP400错误这样的情况，而是从TCP层上没有完成HTTP请求，例如在POST大量数据时异常中断)，对于入侵者来说，就有可能绕过日志系统完成大量的活动。

而且，对于非80 Only的主机，入侵者也可以从其它的服务进入服务器，因此，建立一套完整的安全监测系统是非常必要的。

Win2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录，可惜的是，默认安装下安全审核是关闭的，以至于一些主机被黑后根本没法追踪入侵者。所以，我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略中打开必要的审核，一般来说，登录事件与账户管理是我们最关心的事件，同时打开成功和失败审核非常必要，其他的审核也要打开失败审核，这样可以使得入侵者步步维艰，一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题，如果没有很好的配置安全日志的大小及覆盖方式，一个老练的入侵者就能够通过洪水般的伪造入侵请求覆盖掉他真正的行踪。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的日志可以避免上述情况的出现。

除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具，一般来说，入侵者除了在安全日志中留下痕迹(如果他拿到了Admin权限，那么他一定会去清除痕迹的)，在系统和应用程序日志中也会留下蛛丝马迹，作为系统管理员，要有不放过任何异常的态度，这样入侵者就很难隐藏他们的行踪。

3.文件访问日志与关键文件保护

除了系统默认的安全审核外，对于关键的文件，我们还要加设文件访问日志，记录对它们的访问。

文件访问有很多的选项:访问、修改、执行、新建、属性更改……一般来说，关注访问和修改就能起到很大的监视作用。

例如，如果我们监视了系统目录的修改、创建，甚至部分重要文件的访问(例如cmd.exe，net.exe，system32目录)，那么，入侵者就很难在不引起我们注意的情况下安放后门。要注意的是，监视的关键文件和项目不能太多，否则不仅增加系统负担，还会扰乱日常的日志监测工作。关键文件不仅仅指的是系统文件，还包括有可能对系统管理员和其他用户构成危害的任何文件，例如系统管理员的配置、桌面文件等等，这些都是有可能被用来窃取系统管理员资料和密码的。

4.进程监控

进程监控技术是追踪木马后门的另一个有力武器，90%以上的木马和后门是以进程的形式存在的。作为系统管理员，了解服务器上运行的每个进程是职责之一(否则不要说安全，连系统优化都没有办法做)。做一份每台服务器运行进程的列表非常必要，能帮助管理员一眼就发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外，dll也是危险的东西，例如把原本是exe类型的木马改写为dll后，使用rundll32运行就比较具有迷惑性，

5.注册表校验

一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。一般来说，如果一个入侵者只懂得使用流行的木马，那么由于普通木马只能写入特定的几个键值(比如Run、Runonce等等)，查找起来是相对容易的，但是对于可以自己编写或改写木马的人来说，注册表的任何地方都可以藏身，靠手工查找就没有可能了。应对的方法是监控注册表的任何改动，这样改写注册表的木马就没有办法遁形了。监控注册表的软件非常多，很多追查木马的软件都带有这样的功能，一个监控软件加上定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复。

6.端口监控

虽然说不使用端口的木马已经出现，但是大部分的后门和木马还是使用TCP连接的，监控端口的状况对于由于种种原因不能封锁端口的主机来说就是非常重要的了。对于系统管理员来说，了解自己服务器上开放的端口甚至比对进程的监控更加重要，常常使用netstat查看服务器的端口状况是一个良好的习惯，但是并不能24小时这样做，而且NT的安全日志有一个缺陷，喜欢记录机器名而不是IP，如果你既没有防火墙又没有入侵检测软件，倒是可以用脚本来进行IP日志记录的，看着这个命令:netstat -n -p tcp 10>>Netstat.log，这个命令每10秒钟自动查看一次TCP的连接状况，基于这个命令我们做一个Netlog.bat文件:time /t>>Netstat.log Netstat -n -p tcp 10>>Netstat.log。这个脚本将会自动记录时间和TCP连接状态，需要注意的是:如果网站访问量比较大，这样的操作是需要消耗一定的CPU时间的，而且日志文件将越来越大，所以请慎之又慎。

一旦发现异常的端口，可以使用特殊的程序来关联端口、可执行文件和进程(如inzider就有这样的功能，它可以发现服务器监听的端口并找出与该端口关联的文件，inzider可以从www.nttoolbox.com下载)，这样无论是使用TCP还是UDP的木马都无处藏身。

7.终端服务的日志监控

单独将终端服务(Terminal Service)的日志监控分列出来是有原因的，微软Win2000服务器版中自带的终端服务Terminal Service是一个基于远程桌面协议(RDP)的工具，它的速度非常快，也很稳定，可以成为一个很好的远程管理软件，但是因为这个软件功能强大而且只受到密码的保护，所以也非常的危险，一旦入侵者拥有了管理员密码，就能够像本机一样操作远程服务器。虽然很多人都在使用终端服务来进行远程管理，但是，并不是人人都知道如何对终端服务进行审核。大多数的终端服务器上并没有打开终端登录的日志。其实打开日志审核是很容易的，在管理工具中打开远程控制服务配置(Terminal Service Configration)，点击“连接”，右击你想配置的RDP服务(比如RDP-TCP Microsoft RDP 5.0)，选中书签“权限”，点击左下角的“高级”，看见上面那个“审核”了么?我们来加入一个Everyone组，这代表所有的用户，然后审核它的“连接”、“断开”、“注销”的成功和“登录”的成功和失败就足够了。审核太多了反而不好，这个审核是记录在安全日志中的，可以从“管理工具”→“日志查看器”中查看。现在什么人什么时候登录我都一清二楚了，可是美中不足的是:这个破烂玩艺居然不记录客户端的IP(只能查看在线用户的IP)，而是华而不实地记录什么机器名，倒!要是别人起个PIG的机器名你只好受他的嘲弄了，不知道微软是怎么想的，看来还是不能完全依赖微软呀，我们自己来吧，写个程序，一切搞定，你会C么?不会?VB呢?也不会?Delphi?……什么?你什么编程语言都不会?我倒，毕竟系统管理员不是程序员呀，别急别急，我给你想办法，我们来建立一个bat文件，叫做TSLog.bat。这个文件用来记录登录者的IP，内容如下:time /t >>TSLog.log netstat -n -p tcp | find “:3389”>>TSLog.logstart Explorer。我来解释一下这个文件的含义:第一行是记录用户登录的时间，time /t的意思是直接返回系统时间(如果不加/t，系统会等待你输入新的时间)，然后我们用追加符号“>>”把这个时间记入TSLog.log作为日志的时间字段;第二行是记录用户的IP地址，netstat是用来显示当前网络连接状况的命令，-n表示显示IP和端口而不是域名、协议，-ptcp是只显示tcp协议，然后我们用管道符号“|”把这个命令的结果输出给find命令，从输出结果中查找包含“3389”的行(这就是我们要的客户的IP所在的行，如果你更改了终端服务的端口，这个数值也要作相应的更改)。最后我们同样把这个结果重定向到日志文件TSLog.log中去，于是在TSLog.log文件中，记录格式如下:

22:40 TCP 192.168.12.28:3389

192.168.10.123:4903 ESTABLISHED 22:54 TCP 192.168.12.28:338

192.168.12.29:1039 ESTABLISHED也就是说只要这个TSLog.bat文件一运行，所有连在3389端口上的IP都会被记录，那么如何让这个批处理文件自动运行呢?我们知道，终端服务允许我们为用户自定义起始的程序，在终端服务配置中，我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本，这样每个用户登录后都必须执行这个脚本，因为默认的脚本(相当于shell环境)是Explorer(资源管理器)，所以我在TSLog.bat的最后一行加上了启动Explorer的命令start Explorer。如果不加这一行命令，用户是没有办法进入桌面的!当然，如果你只需要给用户特定的shell，例如:cmd.exe或者word.exe你也可以把start Explorer替换成任意的shell。这个脚本也可以有其他的写法，作为系统管理员，你完全可以自由发挥你的想象力、自由利用自己的资源，例如，写一个脚本把每个登录用户的IP发送到自己的信箱，对于重要的服务器也是一个很好的方法。正常情况下一般的用户没有查看终端服务设置的权限，所以他不会知道你对登录进行了IP审核，只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了。不过，需要注意的是这只是一个简单的终端服务日志策略，并没有太多的安全保障措施和权限机制。如果服务器有更高的安全要求，那还是需要通过编程或购买入侵监测软件来完成的。

8.陷阱技术

早期的陷阱技术只是一个伪装的端口服务用来监测扫描，随着“矛”和“盾”的不断升级，现在的陷阱服务或者陷阱主机已经越来越完善，越来越像真正的服务，不仅能截获半开式扫描，还能伪装服务器一端的回应并记录入侵者的行为，从而帮助判断入侵者的身份。我本人对于陷阱技术并不是非常感兴趣，一来从技术人员角度来说，低调行事更符合安全的原则;二来陷阱主机反而成为入侵者跳板的情况并不仅仅出现在小说中，在现实生活中也屡见不鲜。如果架设了陷阱反而被用来入侵，那真是偷鸡不成了蚀把米。记得CoolFire说过一句话，可以用来作为对陷阱技术介绍的一个总结:在不了解情况时，不要随便进入别人的系统，因为你永远不能事先知道系统管理员是真的白痴或者是伪装成白痴的天才……

入侵监测的初步介绍就到这里，在实际运用中，系统管理员对基础知识掌握的情况直接关系到他的安全敏感度，只有身经百战知识丰富，仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子，未雨绸缪，阻止入侵的行动。

篇4：必学：网络入侵检测初步探测方法

正文：

经过精心配置的Win服务器可以防御90%以上的入侵和渗透，但是，就象上一章结束时所提到的:系统安全是一个连续的过程，随着新漏洞的出现和服务器应用的变化，系统的安全状况也在不断变化着;同时由于攻防是矛盾的统一体，道消魔长和魔消道长也在不断的转换中，因此，再高明的系统管理员也不能保证一台正在提供服务的服务器长时间绝对不被入侵。

所以，安全配置服务器并不是安全工作的结束，相反却是漫长乏味的安全工作的开始，本文我们将初步探讨Win2000服务器入侵检测的初步技巧，希望能帮助您长期维护服务器的安全。

入侵的检测主要还是根据应用来进行，提供了相应的服务就应该有相应的检测分析系统来进行保护，对于一般的主机来说，主要应该注意以下几个方面:

1.基于80端口入侵的检测

篇5：网络入侵检测初步探测的方法

入侵的检测主要还是根据应用来进行，提供了相应的服务就应该有相应的检测分析系统来进行保护，对于一般的主机来说，主要应该注意以下几个方面：

1.基于80端口入侵的检测

我们假设一台WEB服务器，开放了WWW服务，你是这台服务器的系统管理员，已经小心地配置了IIS，使用W3C扩展的日志格式，并至少记录了时间(Time)、客户端IP(ClientIP)、方法(Method)、URI资源(URIStem)、URI查询(URIQuery)，协议状态(ProtocolStatus)，我们用最近比较[/size]流行的Unicode漏洞来进行分析:打开IE的窗口，在地址栏输入:127.0.0.1/scripts/..%c1%1cwinnt/system32/cmd.exe?/c+dir默认的情况下你可以看到目录列表，让我们来看看IIS的日志都记录了些什么，打开Ex010318.log(Ex代表W3C扩展格式，后面的一串数字代表日志的记录日期):07:42:58127.0.0.1GET/scripts/..\winnt/system32\cmd.exe/c+dir200上面这行日志表示在格林威治时间07:42:58(就是北京时间23:42:58)，有一个家伙(入侵者)从127.0.0.1的IP在你的机器上利用Unicode漏洞(%c1%1c被解码为\，实际的情况会因为Windows版本的不同而有略微的差别)运行了cmd.exe，参数是/cdir，运行结果成功(HTTP200代表正确返回)。！

告诉大家一个简单的方法，比方说你想知道有没有人从80端口上试图取得你的Global.asa文件，可以使用以下的命令:findGlobal.asaex010318.log/i。这个命令使用的是NT自带的find.exe工具，可以轻松的从文本文件中找到你想过滤的字符串，Global.asa是需要查询的字符串，ex010318.log是待过滤的文本文件，/i代表忽略大小写，

因为我无意把这篇文章写成微软的Help文档，所以关于这个命令的其他参数以及它的增强版FindStr.exe的用法请去查看Win2000的帮助文件。

无论是基于日志分析软件或者是Find命令，你都可以建立一张敏感字符串列表，包含已有的IIS漏洞(比如+.htr)以及未来将要出现的漏洞可能会调用的资源(比如Global.asa或者cmd.exe)，通过过滤这张不断更新的字符串表，一定可以尽早了解入侵者的行动。

2.基于安全日志的检测

而且，对于非80Only的主机，入侵者也可以从其它的服务进入服务器，因此，建立一套完整的安全监测系统是非常必要的。

3.文件访问日志与关键文件保护

除了系统默认的安全审核外，对于关键的文件，我们还要加设文件访问日志，记录对它们的访问。

文件访问有很多的选项:访问、修改、执行、新建、属性更改hellip;hellip;一般来说，关注访问和修改就能起到很大的监视作用。

篇6：网络入侵检测系统研究论文

网络入侵检测系统研究论文

1网络信息安全技术的发展

1.1加密

对于计算机网络中的加密，其实就是比较基本的一种安全机制，是使用数学函数来处理不加密的一些关键信息，并且完成信息加密的这样过程。依据不一样的密钥分发方法，还有达成加密机制分为两种类型，其中包括有私钥加密以及公钥加密。这是能够用来数据传输以及存储中，还能够避免一些不授权者的非法读取的信息。然而，它无法在前面的信息加密之前或者是之后来加密保护，而是要依赖于密钥的一个管理技术。

1.2数字签名

数字前面关键就在于可以提供拒绝识别功能，也就是说，第三方没有办法去伪造发件人去完成数据的发送，所以说发送方在发送具体数据之后没法否认。数字签名一般来说使用公钥来完成，对于签名者来说可以通过用密钥加密，并且验证方能够用签名者的公钥来完成解密签名数据操作，并且能够确定接收到的信息是否是错误的。

1.3防火墙系统

防火墙系统也就是把安全战略转化为安全控制操作，对于不一样的信任级别或者是不一样的安全级别网络设置具体安全边界，检查网络数据包或者是具体服务的一些请求，可以较为有效地控制内部网络或者是外部网络间访问或者是数据的传输，进而能够完成保护内部网络信息不会因未经授权的用户限制了内部这些用户的访问限制。不过对于防火墙系统来说，也是有局限性：诸如防火墙无法在没有经过防火墙入侵，也就是系统可以绕过性攻击。防火墙很难实现防范恶意攻击或者是一些内部用户的误操作行为发生。对于防火墙的配置和管理等等都比较复杂，容易导致安全漏洞的发生。

2入侵检侧系统的分类

2.1基于主机的入侵检测系统及特点

对于主机的入侵检测系统能够把一个主机上面得到数据作为计算机网络安全中入侵系统分析的数据源，另外基于网络的入侵检测系统能够从互联网中得到一些数据来当成是数据源。一般来说基于主机的这样入侵检测系统只可以检测到一个主机的系统，但是基于网络的入侵检测系统能够检测多个主机系统，对于较多分布在不同网段的基于网络的入侵检测系统能够一起工作，从而实现更加强大的入侵检测的效果。计算机网络安全系统中，对于主机的入侵检测系统检测模块位于被保护系统，利用提取这些运行数据且对入侵分析来完成入侵检测的具体功能。主机的入侵检测系统现在的不足有，这个入侵检测取决于整个系统的可靠性，它需要系统本身有基本的安全特性，然后你可以提取这些入侵信息。

2.2基于网络的入侵检测系统

计算机网络的入侵检测系统可以利用网络监视来完成数据的提取。在工作中，局域网通常使用以太网协议。对于这个协议期间主机子网无线的数据传输方法，没一台的主机能够发送数据包，还可以通过子网完成广播，其实就是说，对于每一台主机发送以及接收数据能够收到同一子网内的其他主机数据。在通常的环境中，每个到来的主机网卡的`数据包会先完成过滤，一般到目标地址是本机或者是广播地址的数据包接收缓冲区，把其他的这些数据包丢弃，所以说，在通常的情况下，主机的网络性能就是关心和自己有关的一些数据包，不过设置网卡接收模式正确过滤策略能够完成网卡过滤方式的变动，使网卡再接收所有的数据包这一时期之后，不管这些包的最后目标是否是主机。对于卡的接收模式被叫做混合模式，大多数卡将提供这些设置，所以说，必要时，合理设置网卡可以通过这段时间的所有信息的交流，完成网络监控的效果。

3网络入侵检测系统需要解决的关键技术

3.1入侵检测模块间的协作

入侵检测模块的合作关键就是对不同检测模块之间数据共享的解析，同时对模块间增强功能，利用合作可以达成工作时无法实现的具体功能。分布式网络入侵检测系统的框架结构、功能模块的异构性，数据检测系统还有探测器分布在网络的情况，同时继承这些不同的开发人员研制，用不同的具体检测机制，还有入侵检测功能模块运行在各异的系统以及不一样的检测子系统，还要去考虑它们之间的这些数据共享以及协作等等，还需要去提供分布式数据采集、并且利用数据接口来完成不一样的检测器之间的互操作性，考虑分布在整个组织在分布式入侵检测系统和探测器测试结果融合技术。对于分布式数据共享也应该是对收集到的数据格式完成一个转换，从而能够保证这些数据的可用性。这些关键是涉及到网络入侵检测系统的一些功能模块之间的合作机制还有技术，其中包括计算机网络安全中入侵检测系统的具体通信机制，数据预处理和数据融合技术以及功能模块间的协作机制等等。

3.2入侵检测数据分析的层次性

即使对于各种入侵检测系统概念是一样的：不过整体来说都是通过探测器还有分析仪和用户界面来构成的。入侵检测系统在特定方法的基础上，通过分析数据和收集数据，这些方面是非常不同的。每一种的入侵检测系统的分析数据源上有水平，从入侵检测系统基于应用程序跨多个网络入侵检测系统，来完成这些分析数据以及监控的能力逐渐增强，范围也不断地扩大，并且这入侵检测系统数据可以是源于水平不高于它的入侵检测系统的输出。其实就是代表，入侵检测系统检测的具体结果以及输出能够在水平不低于其入侵检测系统使用和进一步的具体分析。

4结语

计算机网络安全中的入侵检测系统是非常关键的环节，能够有效弥补防火墙存在的不足，是有效的防护技术，在对计算机网络以及计算机系统中的一些关键点收集信息并解析。通过监视主机系统或者是网络上每个用户活动，进而去发现网络或者是系统中存在的违反安全策略入侵行为。通常来说入侵检测系统是根据数据源分为基于主机和网络这两种形式，本课题探究的入侵检测技术关键是误用入侵检测和异常检测。计算机入侵检测系统已经收到了广泛的重视，不过入侵检测技术现在还是在发展过程。所以本课题中对计算机网络安全中入侵检测技术进行了全面多角度探究。

★ 网络论文

★ 建材检测中之混凝土钢筋锈蚀检测要点研究的论文