1、入侵检测相关概述

所谓入侵，指的是一切试图对资源的可用性、完整性和机密性等产生危害行为的统称。它既包括发起恶意攻击行为的人(恶意黑客)，也包括对计算机网络与系统造成危害的各种行为(计算机病毒、木马等)。而入侵检测则指对所有入侵行为的识别与诊断。其具体操作是对计算机网络等中的若干关键点的数据信息进行收集与分析．通过该分析结果对网络中是否存在攻击对象或违反网络安全行为的迹象进行判断入侵检测所使用的软件与硬件组成了入侵检测系统。它具有必须对采集的数据进行安全分析，并从中得出有用的结果和采取相应的保护措施的功能。比其他网络安全工具具有更多的智能”。

2、入侵检测的主要方法

2．1异常检测法
异常检测法主要用于检测用户的异常行为及其对计算机资源的异常使用。使用这种检测方法需要建立相应的目标系统和用户活动模型．以便通过该模型对系统与用户的实际行为进行检测，从而对用户行为是否对计算机网络和系统具有攻击性进行判断。它具有良好的适应性和检测未知攻击模式的能力，但误报率高、检测结果准确性差，使得其应用受到了一定限制。此外，必须对计算机网络与系统中合法授权用户的行为等正常特征进行精确的定义、对非法与合法代码与数据之间的界限进行精确的划分，是当前异常检测技术所面临的主要技术难点。

2．2混合检测法
混合检测法是对异常检测法与滥用检测法两者优点的综合利用。由于这两种方法在实际应用过程中呈现出一定的互补关系，因而两者的有机结合可以达到取长补短、相互弥补的检测效果，可以在很大程度上提高整体入侵检测的性能与效。

3、基于计算机网络安全入侵检测系统的设计

3．1网络入侵检测系统的设计
将网络入侵检测系统装在被保护的计算机网络中，将原始网络报文作为数据源对入侵对象进行分析。在网络入侵检测系统的设计当中．对于所有通过网络传榆数据的实时监控与分析通常采用一个网络适配器即可：对于数据采集模块的设计，需要配备有过滤器、探测器、网络接口引擎等元器件。数据采集模块主要实现的功能是．按照一定网络协议从网络上获取与入侵事件有关的全部数据信息，获取后将其传送至入侵检测系统分析引擎模块，对其安全性进行详细全面的分析，以判断其是否存在攻击性。入侵分析引擎模块的主要功能是，结合计算机网络安全数据库．对从数据采集模块传送来的数据信息进行安全分析．并将分析结果传送至配置与管理模块配置与管理模块实现的主要功能是．对其他功能模块的配置工作进行管理，并将从入侵分析引擎模块传送来的安全分析结果以有效的方式向网络管理员告知．从而为网络管理员及时做出入侵应对措施提供依据和支持当网络入侵系统检测到攻击时，相应的功能模块会立刻以报警、广播、中断连接等方式来对入侵者做出反应，向人们发出提示信息。

3．2主机入侵检测系统的设计
主机入侵检测系统的数据源通常包括应用程序日志、系统日志等。其入侵检测功能的实现主要是通过对这些审计记录文件所记录的内容与攻击内容进行匹配若不匹配说明该入侵对象不具有攻击性．若匹配则入侵检测系统及时向网络管理员发出警报，同时做出相应的保护行为。审计数据记录的是系统用户行为信息．在系统运行过程中必须要保证其不会被修改或泄露。然而当系统遭受攻击时．这些数据很可能发生修改或泄露．因此主机入侵检测系统的设计必须要具备一项功能．即检测系统在完全被攻击者控制之前。完成对审计数据的分析，并及时发出警报采取一定防护手段。主机入侵检测系统具有精确判断入侵事件、针对不同操作系统的特点准确判断出计算机网络应用层的入侵事件等优点。