在计算机快速发展的过程中，网络安全问题没有减少，但越来越复杂，问题越来越多，传统入侵检测技术难以实现复杂入侵事件的检测，传统入侵检测系统往往有针对性，只适用于特定网络环境的检测，缺乏可扩展性和灵活性，大大降低了检测系统的可用性，因此，混合入侵检测系统在安全网络中的设计尤为重要，利用各种检测方法打破传统检测的局限性，满足现代网络安全检测的需要，为网络的安全运行提供保障。

1网络安全中混合入侵检测系统设计中的关键模块

1.1异常模块

混合检测系统的异常模块主要负责输入网络数据中的流量信息的分析和处理。主要检测方法包括基于马尔可夫模型、基于自相似理论、基于小波、统计检测方法、阈值检测方法等。以下是通过统计检测方法进行的深入研究。由于网络流量数据的突然特点，基于统计检测方法的检测具有不稳定的特点。通过观察实际网络流量，可以发现工作和休息时间与网络流量之间的关系，因此在处理实际网络流量时采用方差分析方法。具体过程如图1所示。通过具体的数据计算，找出异常的网络流量，并在特定的模块中生成报警，然后通过报警设置异常值偏差的置信度。如果网络流量正常，请更新历史模型[1]。

1.2数据集成模块

数据集成可以实现各种信息与许多传感器之间的组合、相关性和组合，从而获得准确、完整的评价、身份估计和位置估计。混合入侵检测系统通常通过网络数据、主机资源信息、主机审计、系统日志获取入侵信息，该过程与数据集成过程相似，因此在混合入侵检测系统中设计数据集成模块，充分发挥行为估计、目标识别、状态估计、相关、校准、检测等功能，采用可信度方法，提高入侵检测系统的入侵信息获取效率，降低误警率。

1.3主动扫描模块

在网络安全混合入侵检测系统设计主动扫描模块中，主要是插件技术的设计、开放端口扫描、系统漏洞扫描、系统弱密码扫描的结合，在系统设计中难以形成，因此需要不断分发、编译、开发，插件技术可以很好地满足这一要求。通过COM组件和动态链接库技术，可以实现插件技术的使用。开放式端口扫描是在TCP/IP协议中进行的，可分为UDP端口扫描和TCP端口扫描，而UDP端口扫描包括socket函数扫描和UDPICMP端口扫描。TCP端口扫描包括XMAX扫描、NULL扫描、TCPACK扫描、TCPFIN扫描、TCPSYN扫描。通过具体的方法可以有效地实现网络安全问题的检测。系统漏洞扫描通常通过构建不同的数据包来确定不同系统返回值的类型。系统弱密码扫描的操作过程是读取用户名字典，如果用户读取，则表示扫描结束，无入侵。如果用户名没有读完，继续读密码字典，读完密码后返回用户名读取程序。如果读不完，构建登录数据包并发送数据。登录成功意味着入侵成功。这样，入侵用户系统的病毒检测就可以实现[2]。

2.网络安全中混合入侵检测系统的试验

2.1测试系统功能

网络安全入侵检测系统只有通过测试其功能，才能使其具有入侵分析能力。保证了检测能力的可靠性。测试系统功能数据能有效反映报警能力、审计能力、报告能力、攻击检测能力等，在应用环境中主动扫描模块、数据采集模块，输出相应的功能测试结果，分析系统设计的合理性、功能测试不合理模块，提高安全网络混合检测系统的检测能力，为网络安全提供保障[3]。

2.2测试系统的可用性

混合入侵检测系统在测试网络安全中的可用性主要是评估系统用户界面的稳定性、可扩展性、完整性和可用性。如果测试系统在测试网络下表现良好，则表明架构具有可扩展性和灵活性。如果还在进一步开发测试，则表明系统的可用性较低，需要进一步改进。

3结论

综上所述，加强网络安全混合入侵检测系统的设计，有利于实现网络安全的有效保障，促进网络安全运行，为大家创造良好的网络环境。