摘要：21 世纪是网络时代，网络让人们的生活变的信息化智能化。随着计算机技术的迅猛发展，计算机的应用日趋广泛，同时也使计算机网络信息系统安全的问题日益突出和复杂。现有的各种网络安全技术和产品可以保证信息系统具有一定的安全性，但由于它们自身的不完善性和脆弱性，无法保证绝对的安全。入侵检测技术就这样应运而生，在技术、管理、使用等许多方面它对于个人隐私的保护有重要意义。

关键词：入侵检测技术；黑客；木马

1 关于入侵检测技术

入侵检测技术则是保护信息安全的重要途径，是一种新的动态安全防御技术，它是继防火墙之后能够保障网络信息安全的第二道防线。入侵检测与防御技术可以主动地对网络信息系统中的恶意侵入行为进行辨识与响应，不但能够检测与抵御来自于计算机网络外部的入侵行为，同时也能够监测与避免内部用户产生误操作行为或者未授权活动。人们生活的今天，网络安全问题日已经成为人们最关心的问题，人们希望可以掌握网络安全知识并应用这些知识来保护自己。入侵检测技术能够检测危害计算机系统安全的因素及时发现并报告给系统的技术，有了入侵检测技术可以监测计算机网络中违反安全策略行为，保护计算机的网络环境。黑客入侵则是网络安全问题中的重要部分，想要了解入侵检测技术是怎样解决黑客入侵问题的，首先要知道黑客主要入侵手段。入侵检测的基本概念是指“通过对行为、审计数据、安全日志或其它网络上可以获得的信息进行操作检索，检测到对入侵者对系统的闯入或闯入的企图。”它主要是检验和响应计算机误用的学科，是通过对计算机网络系统中的各个关键点所搜集到的数据信息进行相应的具体分析，从中可以发现计算机系统网络中是否存在违反安全策略的非法行为与受到入侵的攻击现象，同时做出相应的反应和防护。入侵检测是我们在常规电脑防御当中所关键的重要技术部分，也是最有效的电脑防御措施之一，尤其在整个防御过程当中，检测数据是木马漏洞控制的第一步，只有检测出信息源的所在，才能够解决整个系统的入侵问题。

2 黑客主要入侵手段

2.1 常规性木马入侵行为

木马与病毒非是同一个概念，由于木马不属于病毒，其是设计隐藏在计算机系统中实行特殊性工作或者根据黑客的操作步骤来实现某些功能的应用程序，然而病毒一般是用于对计算机系统中的各部分软硬件进行相应破坏的执行程序。黑客通过植入木马的方式来入侵到计算机系统中，木马属于一个C/S 结构系统的程序，其主要运行在黑客计算机系统的Client 端与目标计算机系统的Server 端。如果目标计算机连接到互联网之后，Client 端会发送相应的信息到Server 端，这样目标计算机系统可以根据信息执行黑客的操作指令。黑客控制目标电脑后可以自由查看目标电脑里的各类文件或私人邮件，或者是监控被黑者的计算机屏幕画面，通过控制键盘操作来取得各种密码，比如进入到各种会员网站的密码、网上银行的密码与邮件密码等方面，可能会带来很大的财产危害。所以为了避免，人们需要做的就是及时为系统安装补丁，不可以随意打开来源不明的邮件，不可以随意下载与运作不明软件，打开杀毒软件的即时监控功能。然而对于简易的操作还是无法有效地控制木马的入侵行为，木马能够盗取的隐蔽信息非常广泛，并控制用户电脑。

2.2 系统性漏洞入侵行为

漏洞表示为存在缺陷的地方，然而系统漏洞一般是指在程序设计中出现的问题或者考虑缺乏严密，提供黑客机会通过这些漏洞实行入侵、攻击或者其它黑客任务，比如微软的windows 系统、IE 等各种产品，存在着多方面的漏洞。黑客一般情况下是在有漏洞的软件中下达命令、使用针对这种漏洞的工具或者自己设定的针对这种漏洞的工具等各种方式来入侵漏洞或攻击或目标计算机等其他黑客行为。其实各种不同的漏洞形成原因也各不相同，有些漏洞会对计算机系统造成很大的危害，有些则没有威胁性， 如何根据漏洞的特性直接取决于漏洞的本身。所以为了避免黑客通过电脑或软件的漏洞窃取私人信息，及时升级你的系统，及时更新系统的补丁包，如果不放心，就把电脑上的全部漏洞修复，这样不但可以预防黑客入侵，还可以阻止病毒入侵。一般的系统性入侵会影响电脑速率和功能丧失，在这点上防控上，漏洞存在的问题是逐渐性的，它不会像木马入侵一样的快速控制电脑，但是久而久之就会产生防御性问题的产生，让系统软件处于瘫痪状态。

2.3 侵犯性提权入侵行为

这种入侵方式与木马入侵有一定的关联性，通过提取系统权限来对目标电脑进行控制。备份入侵是指黑客应用数据库相应的备份功能，将一部分木马通过数据库备份到一个指定位置的目录中，然后通过C/S 木马的作用上传到Web 木马中，然后使用Web 木马进行提权处理，得到系统相应的权限，最后这个PUBLIC 有可能会被黑客所利用，黑客提供这种权限只可以列举数据库，因此这种方式黑客会列举出后台相应的帐号与密码，然后使用后台上传到Web 木马中。防止提权入侵的最重要一点就是不要给自己的电脑过多的权限，可以只访问基本的数据库。在这点上，主要涉及的防御管理特征很多，为了防止侵犯性提权入侵，层层防御系统的产生也不能绝对性阻止，所以在一定程度上要进行全面控制，我们所常见的C/S 木马上传到Web 木马后，然后使用Web 木马来进行提权就是运用这个概念，黑客利用权限来盗窃数据，让电脑处于危机状态。

3 入侵检测技术手段的运用

3.1 基于行为的入侵检测技术及具体运用

基于行为的入侵检测技术通常是依赖统计数字的形式来达到对入侵行为的检测目的。其原理在于通过统计计算机网络的日常行为构建一个实际的数据模型，这个模型由各种表示正常行为的统计数字所构成，例如某一时间内登录计算机的失败次数或者网页账号异常登录次数。符合建立模型数据的计算机网络行为即可以视为正常的，不符合条件的即为入侵行为。入侵检测系统不但可以检测到来自于外部的入侵行为，同时可以监督内部系统用户的未授权活动，其通过对计算机网络或者系统中的各个关键点收集信息而且对其进行相关性分析，从中可以发现是否存在违反安全策略的非法行为与被入侵的攻击现象。现在入侵检测系统已经成为继防病毒与防火墙之后另一个受到广泛关注与备受期待的计算机网络安全设备。入侵检测技术属于一种集中了检测、记录、报警与响应的动态特性安全技术，其已经逐渐地由“入侵检测”发展到“入侵防御”的阶段。在入侵检测系统能够检测到计算机网络中的攻击或者未授权行为时，传统模式的响应方式是显示消息弹窗、形成日志记录、报警或者应用E-mail 等各种方式通知计算机系统管理员，然后由计算机系统管理员手动实施相应的具体措施来抵御入侵行为。这在很大程度上给计算机网络的信息安全管理过程增加了许多的工作量与难度，也会让安全系统的维护有所延迟。不仅如此还增大系统的安全维护费用，所以计算机系统需要更多具备主动响应行为的入侵检测系统，现阶段的入侵检测系统能够通过发送复位包的形式，或者运行一段用户编写的操作程序，自动切断危险的连接。

3.2 基于知识的入侵检测技术及具体运用

 　基于知识的入侵检测技术一般是指通过运用已有的计算机系统知识对入侵行为的标记进行有效的识别，从而判断分析计算机网络中是否存在入侵行为。这一系列标记主要包含了一个敏感主机登录失败的次数；某部分数据的一些标记位的设定是否满足RFC 标准，或者数据包的实际内容能否和某个已知攻击方法的特殊代码相符合等。基于知识的入侵检侧技术具有一定的准确度，由于其存在着一定程度的科学性与有效性，然而其缺点在于对计算机系统的性能要求标准十分高，而且只可以检测到目前阶段已知的攻击方法，检测范围显得比较狭窄，对于未知的攻击方法缺乏相应的检测能力。所以我们可以在很多黑客防御的系统中看到入侵检测技术RFC 标准的实现上具有一定的困难，导致对于入侵行为的敏感度逐渐降低，在整个控制的过程中，系统漏洞问题的存在很容易增加入侵行为，甚至导致病毒控制等情况的产生，所以，入侵检测技术的实现必须在高标准的情况下进行，这样对于整体的检测和病毒预防就会起到很好的作用。只有在入侵行为的早期识别危险信号，才能查出危险信号的具体来源，在这点上，入侵检测技术的应用就非常重要。

3.3 基于其它方法的入侵检测技术及具体运用

计算机网络安全领域的专业人员经过相关研究后发现，目前阶段任意一种安全技术都无法确保达到真正意义上的计算机网络完全。因此相关人员提出了关于下一代入侵防御系统的发展方向-- 基于时间线的入侵防御系统。时间线一般是指时间次序，是经过辨认时间次序对计算机网络的入侵行为进行相应分析的工具。其通常分成三个部分，其一为入侵前期；其二为入侵时间零点；其三为入侵后处理，其各个部分的下面又可以相应地分为多个子部，基于时间线的入侵防御研究是通过对各种计算机网络安全技术分析，分析其在时间线上所处的位置与相对应效果的线性关系，从而从宏观把握各项安全技术的作用范围及相互之间的关联和影响。时间线对各项安全技术的划可以分成三个部分：第一部分是针对入侵前期，这类技术主要分为三个类，一类是安全规章制度，安全策略的配置等，第二类是对网络进行当前已知的各项漏洞进行检测，第三类则是通过专人对网络进行实际的入侵检测，这部分技术的主要目的是预先评估和增强网络的安全性，从而减少被入侵的可能性。第二部分是针对入侵时间零点，这部分主要针对的是在进行中的入侵活动，它也分成二类：一类是诸如防火墙的访问控制技术，另一类是IDS 和IPS 系统。当入侵活动发生时，它们可以及时检测和阻止入侵活动。第三部分就指是入侵后处理技术，这一部分主要由安全事件管理系统、安全信息管理技术、对入侵造成的破坏的恢复技术构成。基于时间线的入侵防御技术的主要的目的就是将目前在时间线上离散的各项安全技术综合起来，构建一种新的安全系统，该系统使用的安全技术在时间线上的作用范围是连续的，相当于将各种安全技术在时间线上进行叠加，这样安全防御效果也是一加一大于二的。

4 结语

在入侵检测技术的实现当中，只有准确的把控黑客意图与入侵手段，才能够检索控制病毒漏洞，在网络上要时时刻刻的对信息进行操作检索，入侵检测技术就是对计算机网络和系统当中的一切问题进行把控进而产生绝对性的预防作用。

参考文献

[1] 董元方. 机器学习中的模型选择问题研究[D]. 吉林大学 2011

[2] 史旭华. 基于多Agent 系统的人工免疫网络及其应用研究[D]. 华东理工大学 2011

[3] 谷方明. 支持向量数据描述的若干问题及应用研究[D]. 吉林大学 2010

[4] 努尔布力. 基于数据挖掘的异常检测和多步入侵警报关联方法研究[D]. 吉林大学 2010