基于計算機網(wǎng)絡的入侵檢測與防御探討

任劍洪

摘 要：計算機網(wǎng)絡安全的重要技術手段是入侵檢測與防御系統(tǒng)，隨著互聯(lián)網(wǎng)技術的飛速發(fā)展，計算機網(wǎng)絡的入侵檢測與防御系統(tǒng)同樣需要快速發(fā)展。本文首先分析了當前計算機網(wǎng)絡安全隱患的主要來源，其次對入侵檢測技術的發(fā)展趨勢進行討論，最后對網(wǎng)絡安全技術和解決方案進行了研究與探討。

關鍵詞：計算機網(wǎng)絡；入侵檢測；防御

0.引言

隨著計算機網(wǎng)絡技術的迅速發(fā)展，計算機網(wǎng)絡逐漸成為人們?nèi)粘Ｉ钆c工作的重要組成部分，但是計算機網(wǎng)絡安全問題卻成了網(wǎng)絡發(fā)展的阻礙，很多計算機網(wǎng)絡的攻擊和犯罪正日益猖獗。入侵檢測系統(tǒng)能有效地發(fā)現(xiàn)網(wǎng)絡中的非法訪問行為，但是隨著網(wǎng)絡流量的不斷增大，給入侵檢測系統(tǒng)提出了十分嚴峻的挑戰(zhàn)。入侵檢測系統(tǒng)作為主動防御系統(tǒng)的最后一道防線，能夠監(jiān)控網(wǎng)絡或計算機系統(tǒng)的動態(tài)行為特征，采取主動防御的措施來抵御入侵的發(fā)生。

1.計算機網(wǎng)絡安全隱患的主要來源

來源一，計算機本身的缺陷[1]。例如操作系統(tǒng)的漏洞，應用程序中的缺陷等，這些漏洞給黑客的入侵攻擊提供了十分大的便利，比如常見的緩沖區(qū)溢出攻擊。

來源二，目前廣泛應用的TCP/IP通信協(xié)議族自身在安全設計方面的缺陷。此協(xié)議在創(chuàng)立時沒有考慮網(wǎng)絡信息傳輸?shù)陌踩砸?，因此給一些黑客的入侵攻擊提供了可能性。

來源三，主機系統(tǒng)或網(wǎng)絡系統(tǒng)的配置不當及計算機使用者無意間造成的系統(tǒng)安全漏洞。

2.入侵檢測技術的發(fā)展趨勢

近年來，計算機網(wǎng)絡的入侵無論從手段上還是規(guī)模上都發(fā)生了很大的變化，這些變化主要體現(xiàn)在以下幾個方面：

①入侵綜合化和復雜化[2]。黑客在入侵時通常會同時使用多種入侵手段，并能在入侵攻擊的初期隱藏其真實目的。

②入侵技術的分布化。最近幾年網(wǎng)絡入侵攻擊行為的一個重要特點是分布式入侵和網(wǎng)絡協(xié)同攻擊，這一攻擊相對于單一的個人網(wǎng)絡攻擊手段具有非常明顯的攻擊有效性和破壞性，同時針對入侵檢測系統(tǒng)的攻擊也越來越多。

③入侵主體間接化。入侵的主體通過技術手段掩蓋了攻擊主題的主機位置和源地址，導致受攻擊方無法直接確定攻擊者。

④入侵攻擊的規(guī)模擴大化。隨著信息戰(zhàn)時代的到來，個人網(wǎng)絡攻擊與入侵的行為正逐步發(fā)展為有組織有規(guī)模的網(wǎng)絡戰(zhàn)。

⑤入侵的容忍技術。目前大多的入侵檢測技術主要針對已知的攻擊類型，對未知的攻擊卻無法全部發(fā)現(xiàn)，入侵檢測系統(tǒng)的性能還有待提高。如何保持系統(tǒng)在受到攻擊和入侵時依然能提供服務就顯得十分重要，因此入侵容忍技術和理論的研究已經(jīng)成為入侵檢測研究的一個重要命題。

⑥與其他網(wǎng)絡安全技術相結(jié)合。結(jié)合防火墻系統(tǒng)、安全電子交易SET等全新的網(wǎng)絡安全與電子商務技術，提供完整的網(wǎng)絡安全保障。

3.網(wǎng)絡安全技術和解決方案

一，安全路由器實現(xiàn)簡單的基于端口、地址和網(wǎng)絡服務的過濾功能，從而禁止特定的網(wǎng)絡服務和地址通過路由器的請求。

二，信息加密認證通過加密技術使通過網(wǎng)絡傳輸或儲存在計算機內(nèi)的數(shù)據(jù)成為所有非授權人無法理解的信息，從而保證信息的安全。

三，授權與身份驗證系統(tǒng)通過密碼技術實現(xiàn)用戶身份鑒別、訪問控制、授權和抗抵賴功能。

四，防火墻系統(tǒng)實現(xiàn)基于端口、地址和網(wǎng)絡服務的過濾功能，禁止未授權的網(wǎng)絡服務和地址的通過防火墻請求，并通過應用代理和地址轉(zhuǎn)換隱蔽內(nèi)部網(wǎng)絡地址和結(jié)構(gòu)，隔絕未授權訪問。

4.網(wǎng)絡安全防御系統(tǒng)設計的原則

一，最小特權原則[3]。任何對象應只具備對其需要完成指定任務的特權，避免暴露在侵襲之下，以減少因入侵所造成的損失。

二，縱深防御原則。計算機網(wǎng)絡的安全不能只靠單一的安全機制，必須要多層安全機制，避免成為網(wǎng)絡中的“單失效點”。

三，阻塞點原則。理想的網(wǎng)絡安全防御系統(tǒng)應是互聯(lián)網(wǎng)中的安全控制點，稱為“阻塞點”，能簡化網(wǎng)絡的安全管理，方便對網(wǎng)絡通信進行監(jiān)控及審計。

四，最薄弱鏈接原則。安全鏈的強度在于其最薄弱鏈接，這是安全保護的基本原則，解決方法在于保持安全鏈的均衡性。

五，失效保護狀態(tài)原則。網(wǎng)絡安全防護系統(tǒng)失效模式應該是“失效一安全”型。

六，防御多樣化原則。如縱深防御可以得到額外的安全保護一樣，防御多樣化也可以通過使用不同類型的系統(tǒng)得到額外的安全保護。

5.結(jié)語

總而言之，隨著計算機網(wǎng)絡技術的發(fā)展，如今的計算機網(wǎng)絡已經(jīng)深入到了人們生活、工作的方方面面，所以計算機的網(wǎng)絡安全也顯得越來越重要。目前，我國信息化建設的步伐正在逐漸加大，對計算機網(wǎng)絡的依賴也在逐漸加深，計算機網(wǎng)絡的安全防御系統(tǒng)成為了信息化建設的重要方面?，F(xiàn)有成熟的IDS系統(tǒng)、病毒檢測技術、防火墻系統(tǒng)等是網(wǎng)絡防御的主要組成部分，但這些防御手段在某些方面都存在著一些缺陷，防御性能不能滿意現(xiàn)有的防護要求。因此，入侵檢測系統(tǒng)需要經(jīng)過不斷發(fā)展和完善，推出多樣化的網(wǎng)絡防御的手段和設施，實施綜合的網(wǎng)絡防護。

參考文獻

[1]魏欣杰，馬建峰，楊秀金等.入侵檢測原理及應用[J].信息安全與通信保密，2011，15（21）：11-12.

[2]龔儉，董慶，陸展等.網(wǎng)絡安全監(jiān)測實現(xiàn)模型[J].小型微型計算機系統(tǒng)，2012，12（38）：27-28.

[3] 劉衍珩，田大新，余雪崗等.基于分布式學習的大規(guī)模網(wǎng)絡入侵檢測算法[J]軟件學報，2012，19（14）：19-20.