【 摘   要 】 随着Linux网络操作系统的普及和发展，其已经在电力通信、金融证券、电子商务等领域得到了广泛的应用，取得了显著的效果。在Linux网络操作系统带来极大优势的同时，潜在的威胁也在加剧，因其自身具有的开放性特征，受到的潜在威胁更大。文章基于多年的Linux系统防御实践经验，详细地介绍了入侵检测技术的应用过程、方法及未来发展趋势，提高Linux网络操作系统的防御能力。 

　　【 关键词 】 Linux;入侵检测;网络攻击;智能化 

　　Application of Intrusion Detection Technology in Linux Network System 

　　Zhu  Na 

　　（Harbin Vocational & Technical College   HeilongjiangHarbin  150081） 

　　【 Abstract 】 With the development and popularization of Linux network operating system， which has been widely used in electric power communication， financial securities， e-commerce and other fields， and achieved significant results. Linux network operating system brings great advantage at the same time， the potential threats has intensified， openness has because of its potential threat， more. In this paper the author years of Linux defense system based on practice experience， detailed introduces the process， method of application and the future development trend of intrusion detection technology， improve the defense ability of Linux network operating system. 

　　【 Keywords 】 linux; intrusion detection; network attack; intelligent 

　　1    引言 

　　随着Linux用户的迅速上升，操作系统使用和管理水平不一，导致Linux操作系统存在潜在的威胁，北大核心期刊比如病毒、木马入侵，网络黑客攻击等。因此为了有效防御外界威胁，确保Linux网络操作系统正常使用，可以采用入侵检测技术，收集和分析网络数据中的用户行为、审计数据和安全日志，可以获取网络中是否存在违反网络安全规则的行为，及时发现网络攻击，提高防御能力。本文基于实践经历，详细地分析了入侵检测的过程和方法，阐述了入侵检测技术未来的发展趋势，提高入侵检测技术在Linux系统中应用的有效性。 

　　2    入侵检测过程 

　　在网络管理和服务中，Linux系统能够为用户提供高效稳定的防火墙、路由器、服务器解决方案，并且Linux系统提供了大量的网络管理、分析和安全控制软件，实时监测网络系统运行现状，应用优势非常突出。Linux网络操作系统应用过程中，入侵检测能够提高网络安全防御能力，确保系统正常运行。入侵检测主要包括三个关键步骤，分别是数据采集、数据分析和结果处理。 

　　2.1  数据采集 

　　入侵检测最为关键的工作是采集Linux网络操作系统中传输的数据，主要包括系统的日志文件、目录文件等。入侵检测通常在Linux网络操作系统中，构建不同位置的服务器节点，采集不同时段的数据信息，以便能够扩大检测方位，并且从多个数据源头发现某一种可疑的攻击行为或威胁。目前，入侵检测的数据来源主要包括四个方面，分别是Linux操作系统和网络的日志文件、操作系统中已经发生了意外改变的目录或文件、程序执行过程中不期望的行为、物理形式的入侵数据。 

　　2.2  数据分析 

　　数据分析是入侵检测最为重要的一个步骤，其可以针对数据采集到的操作系统和用户状态和行为采用智能化分析工具进行分析，以便能够及时地发现数据中潜在的攻击行为和威胁。数据分析的基本理论包括三种类别，分别是模式匹配、统计分析和完整性分析。模式匹配和统计分析可以应用到实时的入侵检测过程，完整性分析则主要用于事后数据分析过程。 

　　模式匹配与传统的防火墙防御措施类似，其首先建立一个网络入侵模式或系统误用数据库，然后将采集到的数据信息与数据库已知的攻击行为或威胁的特征进行匹配分析，发现数据中入侵行为。模式匹配的过程可以借助正则表达式或是字符串匹配等技术实现，该方法能够有效降低入侵检测系统负载，准确率和效率较高，但是其需要不断升级，以便应对新的入侵攻击或威胁。 

　　统计分析需要创建一个对象描述规则和相关的测量属性。使用测量属性的平均值与Linux网络系统进行分析和比较，发现网络观察值是否处于正常值的范围。统计分析的优势是能够检测到未知的入侵和复杂的入侵行为，缺点是误报率和漏报率都非常高，如果用户正常行为发生突变，可能也会将其误认为是攻击行为。 

　　完整性分析主要用于入侵事件发生后的数据分析，其关注某个使用对象或文件是否发生篡改。完整性分析可以使用数据加密机制（比如MD5、MDS加密算法）加密文件内容，只要文件发生非常微小的变化，就能够被发现。完整性分析可以很好地检测到文件是否发生了改变，准确地发现攻击，但是其不适用于实时的入侵检测，可以在特定的时间段进行扫描。

　　2.3  结果处理 

　　结果处理是入侵检测的响应功能，当系统检测到入侵发生时，可以根据预先定义的操作，采取终止进程、重新配置系统、改变文件属性或切断数据传输链接等措施进行处理，确保系统处于安全的状态。