第五章  大数据背景下的网络安全技术研究



             与拦截，为计算机的安全稳定运行提供个保障。入侵检测技术的手段主要包括模
             式匹配、异常检测与完整性分析。入侵检测系统的主要组成部分为相关功能软件
             与硬件，是一种针对网络恶性入侵行为进行处理与识别的系统，包括非授权行为

             以及内部用户的非授权行为，通过该项技术检测不符合安全策略行为时，能够及
             时做出保护措施。相关学者对入侵检测的概念进行明确，将其分为外部渗透、内
             部渗透与滥用，外部渗透主要指未经授权用户使用系统；内部渗透指合法用户使
             用未经授权数据；滥用主要指用户对相关数据资源的滥用。

                 （二）入侵检测技术的分类
                 入侵检测技术的类型主要包括误用检测技术和异常检测技术。误用检测技术
             能够全面收集对计算机稳定运行造成影响的不安全因素，在发生入侵情况后将完
             成收集的情况、行为展开分析，如果入侵情况与参照情况相符，那么便可确定计

             算机网络受到安全入侵，如果两者不符，那么可明确计算机网络仍处于安全的运
             行环境下，因此构造模式对检测结果及技术的准确性影响较大。该项技术的内容
             主要包括键盘监控、条件概率以及状态迁移分析，其优势体现在能够根据入侵特
             征建立模式库，及时发现、收集入侵特点，对入侵行为进行检测的过程中能够避

             免计算机网络受到相同的入侵攻击。
                 异常检测技术也是一种应用较为广泛的入侵检测技术，该项技术是相较于正
             常行为而言的，以异常情况为基础的一项检测技术。通过对用户使用资源、行为
             的分析，与能够确保计算机稳定运行的硬盘空间、内存利用率等数据进行对比，

             结合与正常数据的偏离情况进行有效判断。异常检测技术的观察对象并未已知的
             入侵行为，其重点在于计算机运行阶段存在的异常问题，如资源应用不合理、外
             部入侵以及内部渗透等，对相关情况进行监测。采用该项技术进行监测需要以网
             络界定参考阈值以及特征量作为主要依据，使用前需要做好准备工作，充分掌握

             网络安全正常行为界定范围以及行为特征，结合具体情况分析差异性，所以合理
             选择网络特征量、界定参考阈值具有重要的意义，保证其具备典型性的同时还需
             要避免出现冗余特征量情况。明确参考阈值的过程中需要保证其范围的合理性，
             有效提高检测结果的准确性。

                 （三）入侵检测技术的原理
                 通过收集安全日志、行为、审核、其他可用信息以及系统的关键信息，入侵
             检测技术能够检测到计算机网络中违反安全策略的行为和被攻击对象的行为。其



                                                                                 ·121·