網(wǎng)絡安全中網(wǎng)絡入侵與檢測技術之我見

代瑤

【摘 要】網(wǎng)絡安全早已成為人們熱議的話題。網(wǎng)絡發(fā)展進入爆炸性的增長，無論是從網(wǎng)絡信息還是網(wǎng)絡金融等不同方面，都有巨大的發(fā)展。網(wǎng)絡安全技術也得到了很好的發(fā)展。常用手段有防火墻、加密密碼學、口令身份認證等多種手段。而伴隨網(wǎng)絡的發(fā)展，網(wǎng)絡的攻擊手段也層出不窮。而當今的網(wǎng)絡入侵與檢測手段正是提升網(wǎng)絡安全的有效手段。本文從入侵手段模式分析，對入侵的方式方法進行全面了解。詳細闡述了網(wǎng)絡入侵檢測技術的發(fā)展。

【關鍵詞】網(wǎng)絡入侵、防御技術、服務器、網(wǎng)關、入侵技術

一、網(wǎng)絡入侵簡介：

網(wǎng)絡入侵是指利用各種計算機技術手段，非法的侵入他人系統(tǒng)，在未經(jīng)他人允許的前提下，獲得訪問權限。進行數(shù)據(jù)的占有，修改甚至破壞。而為了達到這樣的目的，通常采用的入侵攻擊方式有很多。簡單介紹如下：破解口令密碼。口令密碼是用戶為了保護信息安全，設置的口令，破解了口令就擁有了用戶的相應權限。破解方式有：暴力數(shù)據(jù)字典破解、權限占有破解、肉鴿記錄密碼等多種方式。還可以利用計算機緩沖區(qū)的溢出、對計算機開放的端口進行不斷的掃描，占用破解。又或者繞過防范從后門進行網(wǎng)絡攻擊入侵?？梢哉f攻擊入侵技術積累至今已經(jīng)有眾多的方式和技術，無法用數(shù)字去具體統(tǒng)計。美國的專門機構曾經(jīng)將它分成了四大類。第一類，用試探掃描的芳芳去宣召漏洞；第二類，通過權限占有進行攻擊；第三類，利用木馬或者大量訪問的攻擊方式致使服務無法進行，令服務器癱瘓，第四類，我們常常說的反檢測入侵。逃過檢測手段獲得攻擊的機會。

二、網(wǎng)絡入侵檢測技術

（一）網(wǎng)絡入侵檢測技術簡介：網(wǎng)絡入侵檢測是通過動態(tài)實時的追蹤方法，及時對各種入侵做出反應。發(fā)現(xiàn)正在發(fā)生的危險，從而實現(xiàn)入侵防御或者入侵反攻擊的手段。技術多采用在網(wǎng)絡和服務器中各個斷電設置檢測，多路偵聽，一旦有設置好的類似網(wǎng)絡入侵的行為被發(fā)現(xiàn)，就發(fā)出警報。提示入侵及時做出防御措施。根據(jù)使用者要求追蹤入侵來源甚至反向攻擊。

網(wǎng)絡入侵檢測技術和防火墻技術能夠互相輔助。當入侵技術繞過或者通過技術手段越過了防火墻。那么入侵檢測技術就發(fā)揮了第二層次的保護作用。它在網(wǎng)絡環(huán)境內不斷監(jiān)聽，對事先設置好的各種危險入侵行為進行檢測，一旦發(fā)現(xiàn)就說明有黑客實現(xiàn)了入侵。這時候它可以切斷網(wǎng)絡，記錄攻擊行為，修改日志，及時發(fā)出警報等等操作。這種檢測雖然在不斷運行中，但是它并不會影響網(wǎng)絡運行的效率，是新興的網(wǎng)絡安全技術。

（二）網(wǎng)絡入侵檢測技術的分類方式：

網(wǎng)絡入侵檢測根據(jù)分類方法不同有不同的劃分。首先從作用劃分，可以劃分為檢測和防御兩大類。檢測是指利用實時監(jiān)聽的方式，在黑客的惡性攻擊出現(xiàn)時甚至將要出現(xiàn)時，及時的發(fā)現(xiàn)。而入侵防御是檢測發(fā)生后的第二階段。丟棄掉惡性攻擊的文件，切斷攻擊源。 根據(jù)檢測的數(shù)據(jù)來分：分為攻擊網(wǎng)絡主機、攻擊內網(wǎng)、同時攻擊網(wǎng)絡主機和內網(wǎng)三種不同方式。根據(jù)拓撲結構和網(wǎng)絡架構來劃分可以分為分布式攻擊、層次式攻擊。

（三）入侵檢測的體系結構

網(wǎng)絡入侵檢測的體系結構通常由三部分組成，分別為Agent、Console以及Manager。其中Agent的作用是對網(wǎng)段內的數(shù)據(jù)包進行監(jiān)視，找出攻擊信息并把相關的數(shù)據(jù)發(fā)送至管理器；Console的主要作用是負責收集代理處的信息，顯示出所受攻擊的信息，把找出的攻擊信息及相關數(shù)據(jù)發(fā)送至管理器；Manager的主要作用則是響應配置攻擊警告信息，控制臺所發(fā)布的命令也由Manager來執(zhí)行，再把代理所發(fā)出的攻擊警告發(fā)送至控制臺。

（四）入侵檢測系統(tǒng)的評估

對于入侵檢測系統(tǒng)的評估，主要的性能指標有：可靠性，系統(tǒng)具有容錯能力和可連續(xù)運行；可用性，系統(tǒng)開銷要最小，不會嚴重降低網(wǎng)絡系統(tǒng)性能；可測試，通過攻擊可以檢測系統(tǒng)運行；適應性，對系統(tǒng)來說必須是易于開發(fā)的，可添加新的功能，能隨時適應系統(tǒng)環(huán)境的改變；實時性，系統(tǒng)能盡快地察覺入侵企圖以便制止和限制破壞；準確性，檢測系統(tǒng)具有較低的誤警率和漏警率；安全性，檢測系統(tǒng)必須難于被欺騙和能夠保護自身安全

三、網(wǎng)絡入侵檢測方法介紹

異常入侵檢測的主要前提條件是將入侵性活動作為異?；顒拥淖蛹?，理想狀況是異常活動集與入侵性活動集等同，這樣，若能檢測所有的異?；顒?，則可檢測所有的入侵活動。但是，入侵性活動并不總是與異常活動相符合。。異常入侵要解決的問題是構造異?；顒蛹?，并從中發(fā)現(xiàn)入侵性活動子集。異常入侵檢測方法依賴于異常模型的建立。誤用入侵檢測是通過將預先設定的入侵模式與監(jiān)控到的入侵發(fā)生情況進行模式匹配來檢測。它假設能夠精確地將入侵攻擊按某種方式編碼，并可以通過捕獲入侵攻擊將其重新分析整理，確認該入侵行為是否為基于對同一弱點進行入侵攻擊方法的變種，入侵模式說明導致安全事件或誤用事件的特征、條件、排列和關系。根據(jù)匹配模式的構造和表達方式的不同，形成了不同的誤用檢測模型。

四、入侵檢測技術的不足之處

首先，入侵檢測通常式實現(xiàn)內網(wǎng)的監(jiān)控，所以只會對相同網(wǎng)段進行，不可以跨網(wǎng)段。如果使用硬件設備實現(xiàn)跨越網(wǎng)段檢測就會增加系統(tǒng)開支。檢測的內容需要進行預先設置，以匹配的方式進行尋找，如果遇到計算量大，或者剛剛出現(xiàn)的新攻擊手段，入侵檢測就很難發(fā)現(xiàn)入侵。雖然成為了防火墻技術的有效補充，但是并不能真正的實現(xiàn)互動。在通過防火墻后，檢測技術即使發(fā)現(xiàn)，防火墻也無法再次產生防范作用。浪費了防火墻的隔斷功能。

參考文獻：

[1]劉積芬，非負矩陣分解降維的入侵檢測方法[J]，計算機工程與應用，2012（30）.

[2]張雪芹，顧春華，吳吉義，異常檢測中支持向量機最優(yōu)模型選擇方法[J]，電子科技大學學報.2011（04）.

[3]梅海彬，龔儉，張明華，基于警報序列聚類的多步攻擊模式發(fā)現(xiàn)研究[J]，通信學報.2011（05）.

[4]熊偉，胡漢平，王祖喜，楊越，基于突變級數(shù)的網(wǎng)絡流量異常檢測[J]，華中科技大學學報（自然科學版），2011（01）.

[5]張雪芹，顧春華，吳吉義，基于約簡支持向量機的快速入侵檢測算法[J]，華南理工大學學報（自然科學版），2011（02）.

[6]張新有，曾華燊，賈磊，入侵檢測數(shù)據(jù)集KDD CUP99研究[J]，計算機工程與設計，2010（22）.