检测|入侵检测技术在网络安全中的具体应用有哪些方面( 二 )_首尔大学|韩国|信息安全|钓鱼

2.3分析协议技术和移动代理技术
（1）协议分析是一种新型的网络入侵检测技术，具有较强的便利性优势，处理效率比较高，不会浪费较多的系统资源，及时发现网络攻击行为。分析协议在具体应用中，首先，要对协议与捕捉碎片攻击分析协议加以确认，深入剖析所有协议。如果存在IP碎片设置，要对数据包进行重新装置，使系统能够用最快的速度检测出通过IDS躲避的攻击手段，确保协议的完整性。其次，在模式匹配入侵检测系统中，可以将发生解析协议的误报率降至最低，借助命令解析器，可以做到正确理解所有特征串的内涵，及时辨识出特征串的攻击性因素。

（3）移动代理技术，可以代替客户或代替其他检测程序来进行安全检测，实现在主机之间的自由转换，打破时间和地域的限制，第一时间向客户进行信息结果的反馈。对于移动代理技术来说，其优点主要表现为：具有可以支持离线计算的强大功能，在网络资源缺失的情况下，也可以确保网络安全，降低破坏行为的发生；可以在不同主机上进行运作，无需将正在运行的程序终止，在不同主机上自由切换。

2.4基于主机的入侵检测系统
该系统简称为HIDS，HIDS安装代理处于系统保护范围之内，将操作系统内核与服务结合在一起，判断主机系统审计日志与网络连接的实际情况，度所有系统事件实施全方位、多角度领域地监督与控制。比如启动内核与API，以此来作为抵抗攻击的重要手段，将系统事件日志化，对重要文件加以严格的监督与控制。通过HIDS，有效检测出类似像切断连接和封杀账户等存在的入侵行为。但是对于该系统来说，也存在着一定的弊端，所需成本比较高昂，与操作系统和主机代理存在着较大的不同。主机代理要随着系统的升级而升级，影响着相应的安装与维护工作。

2.5入侵信息的收集与处理
入侵检测技术往往通过数据的收集来对网络系统的安全性加以判断，系统日志和网络日志等保密事宜、执行程序中的限制操作行为等，要及时纳入到网络检测数据中。计算机在网络实际应用中，要在相应的网段中设置IDS代理，最少为一个，做好信息的收集工作。入侵检测系统，要设置交换机构内部或者防火墙数据的出口和入口，为核心数据的采集提供一定的便利性。此外，在计算机系统入侵行为较少的情况下，要构建集中处理的数据群，体现出入侵行为检测的可针对性。
同时，在入侵信息收集之后，要采用模式匹配和异常情况分析等模式来进行信息处理，再由管理器进行统一解析。入侵检测技术要及时将问题信息反映出来，并传达给控制器，保证计算机系统和数据信息的完好无损。