網(wǎng)絡(luò)入侵檢測與防治技術(shù)

高云

摘 要 在信息化和網(wǎng)絡(luò)化時代，網(wǎng)絡(luò)安全問題變得越來越重要，已經(jīng)成為影響計算機技術(shù)發(fā)展的主要因素，受到了人們的廣泛關(guān)注。在網(wǎng)絡(luò)環(huán)境復(fù)雜程度不斷提高的背景下，傳統(tǒng)防火墻技術(shù)、數(shù)據(jù)加密技術(shù)等安全防護技術(shù)，已經(jīng)無法滿足網(wǎng)絡(luò)安全需求，網(wǎng)絡(luò)信息安全面臨著較大的威脅，而網(wǎng)絡(luò)入侵檢測技術(shù)的出現(xiàn)與應(yīng)用，是對傳統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)的補充，有效增強了網(wǎng)絡(luò)系統(tǒng)的運行安全性，在促進計算機技術(shù)健康、穩(wěn)定發(fā)展方面發(fā)揮著重要作用。

【關(guān)鍵詞】網(wǎng)絡(luò)入侵檢測 實現(xiàn)過程 防治技術(shù)

計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，改變了人們的生活生產(chǎn)方式，既為人們帶來了眾多便利，又提高了科技向生產(chǎn)力的轉(zhuǎn)化效率，已經(jīng)滲透到了各個行業(yè)和領(lǐng)域。但是，在計算機網(wǎng)絡(luò)技術(shù)的實際應(yīng)用過程中，網(wǎng)絡(luò)安全容易受到眾多因素的影響，如黑客攻擊、病毒入侵、操作失誤等，不利于網(wǎng)絡(luò)技術(shù)應(yīng)用優(yōu)勢的充分發(fā)揮，所以就需要加大對網(wǎng)絡(luò)安全防護技術(shù)的研究力度，不斷開發(fā)新的網(wǎng)絡(luò)安全保障系統(tǒng)，提高計算機網(wǎng)絡(luò)運行的安全系數(shù)。

1 網(wǎng)絡(luò)入侵檢測概念及重要作用

網(wǎng)絡(luò)入侵檢測是指通過對計算機運行情況進行時時監(jiān)控，及時發(fā)覺入侵行為，并做出相應(yīng)的反應(yīng)動作，進而來保證網(wǎng)絡(luò)安全。網(wǎng)絡(luò)入侵檢測的本質(zhì)是一種安全管理技術(shù)，將其應(yīng)用于計算機網(wǎng)絡(luò)中，可以對不同系統(tǒng)源的重要節(jié)點信息進行收集分析，包括網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)及外部信息等，以此作為依據(jù)，判斷計算機是否處于穩(wěn)定運行狀態(tài)，并識別其中是否存在被攻擊現(xiàn)象，在作出自動反應(yīng)后生成檢測記錄和檢測報告。

網(wǎng)絡(luò)入侵檢測技術(shù)對于提高計算機運行的安全性具有重要意義。網(wǎng)絡(luò)入侵檢測系統(tǒng)相當(dāng)于計算機的第二道安全閘門，補充完善了防火墻安全防護技術(shù)缺陷，在對計算機運行動態(tài)情況進行檢測的同時，不會對網(wǎng)絡(luò)性能造成影響。同時，當(dāng)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)變更調(diào)整時，可以快速將變更信息及時、準確、全面的傳遞給網(wǎng)絡(luò)安全管理人員，盡快實現(xiàn)網(wǎng)絡(luò)系統(tǒng)漏洞的修補，為網(wǎng)絡(luò)安全防護方案的制定提供可靠依據(jù)。

2 網(wǎng)絡(luò)入侵檢測的分類

根據(jù)網(wǎng)絡(luò)入侵檢測依據(jù)的不同，可以將其分為誤用檢測和異常檢測兩種。

2.1 誤用檢測

誤用檢測是以攻擊簽名作為主要依據(jù)，通過對網(wǎng)絡(luò)入侵行為進行假定，將其表示為具體的網(wǎng)絡(luò)語言，實現(xiàn)攻擊簽名與入侵行為特點的相照應(yīng)，來判斷是否存在網(wǎng)絡(luò)入侵現(xiàn)象。保證攻擊簽名的準確性是確保誤用檢測有效性的首要前提，并且在對入侵行為進行網(wǎng)絡(luò)語言設(shè)定時，必須將非入侵行為排除在外，才能對是否存在網(wǎng)絡(luò)入侵現(xiàn)象進行準確判斷。以攻擊簽名為基礎(chǔ)的網(wǎng)絡(luò)入侵誤用檢測，可以對網(wǎng)絡(luò)入侵行為的特點、發(fā)生條件、排列關(guān)系等要素進行總結(jié)歸納，以此作為理論依據(jù)，對網(wǎng)絡(luò)入侵行為進行預(yù)防。采用誤用檢測方法，可以有效提升網(wǎng)絡(luò)安全性，但是該檢測方法也存在一定的局限性，無法對未知的網(wǎng)絡(luò)入侵行為進行準確檢測。

2.2 異常檢測

異常檢測是一種以網(wǎng)絡(luò)網(wǎng)絡(luò)特征量和參考閾值為主要依據(jù)的網(wǎng)絡(luò)入侵檢測方法，在應(yīng)用方法的時候，先對網(wǎng)絡(luò)行為的正常安全范圍進行界定，明確其行為特點，然后將用戶行為和計算機實際運行情況與之進行比較，分析兩者之間的差異性，來判斷是否發(fā)生網(wǎng)絡(luò)入侵現(xiàn)象。網(wǎng)絡(luò)行為特征量的選擇和參考閾值的界定，是異常檢測方法中的關(guān)鍵問題，在選擇網(wǎng)絡(luò)行為特征量的時候，既要保證其價值性和代表性，又要避免出現(xiàn)冗余特征量；在設(shè)定參考閾值的時候，應(yīng)該保證閾值范圍的合理性，避免閾值過大或者過小，提高網(wǎng)絡(luò)入侵檢測的準確率。相比于誤用檢測方法，異常檢測可以對未知網(wǎng)絡(luò)入侵行為進行準確檢測，但是要求檢測系統(tǒng)具有較強的處理性能，并且可以進行實時更新。

3 網(wǎng)絡(luò)入侵檢測防治技術(shù)

經(jīng)過長期的研究與實踐應(yīng)用，現(xiàn)階段已經(jīng)形成了多種網(wǎng)絡(luò)入侵檢測防治技術(shù)，其中應(yīng)用比較廣泛的主要包括以下幾種類型。

3.1 基于主機的入侵檢測防治技術(shù)

基于主機的入侵檢測防治技術(shù)，在計算機網(wǎng)絡(luò)中的應(yīng)用是比較早的，在判斷是否存在網(wǎng)絡(luò)入侵現(xiàn)象時，所使用的參考數(shù)據(jù)主要是計算機系統(tǒng)的審計、跟蹤日志，對其進行分析之后生成報告，將具體網(wǎng)絡(luò)行為表示出來。在利用該項網(wǎng)絡(luò)入侵技術(shù)時，可根據(jù)主機數(shù)量而定，如果主機數(shù)量較少，則不需要增加專門的硬件平臺，技術(shù)成本較低，同時，能夠明確區(qū)分每個主機，對存在于主機系統(tǒng)中的網(wǎng)絡(luò)入侵行為進行集中檢測，并且可以根據(jù)網(wǎng)絡(luò)協(xié)議，及時發(fā)現(xiàn)網(wǎng)絡(luò)入侵跡象。

3.2 基于網(wǎng)絡(luò)的入侵檢測防治技術(shù)

以網(wǎng)絡(luò)為基礎(chǔ)發(fā)展而來的入侵檢測技術(shù)，是利用嗅探器等專業(yè)工具軟件，來監(jiān)聽網(wǎng)絡(luò)傳輸流量，對截獲、采集得到的網(wǎng)絡(luò)數(shù)據(jù)進行分析，結(jié)合已知網(wǎng)絡(luò)入侵行為特征或者正常網(wǎng)絡(luò)行為特征，來判斷是否出現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象。同時，還可以通過在重要網(wǎng)絡(luò)節(jié)點上安裝入侵檢測工具，便可以對數(shù)據(jù)包載荷進行分析，準確識別網(wǎng)絡(luò)入侵行為，并做出防御反應(yīng)。該網(wǎng)絡(luò)入侵檢測防治技術(shù)具有適用性強、配置簡單、檢測類型多等優(yōu)點，不必從操作系統(tǒng)中獲取數(shù)據(jù)源，但是無法實現(xiàn)對主機系統(tǒng)的入侵檢測，只能夠進行網(wǎng)段檢測，很難保證網(wǎng)絡(luò)入侵檢測的精準性。

3.3 分布式網(wǎng)絡(luò)入侵防治技術(shù)

隨著網(wǎng)絡(luò)入侵檢測防治技術(shù)的不斷發(fā)展，以分布式結(jié)構(gòu)為基礎(chǔ)形成的入侵檢測防治技術(shù)應(yīng)用越來越廣泛，有效提高了入侵檢測系統(tǒng)的協(xié)調(diào)性，解決了傳統(tǒng)入侵檢測防治技術(shù)在異構(gòu)系統(tǒng)和大規(guī)模網(wǎng)絡(luò)中應(yīng)用的局限性。分布式網(wǎng)絡(luò)入侵防治技術(shù)是基于主機和網(wǎng)絡(luò)的入侵檢測防治技術(shù)的融合，即主機上采用主機入侵檢測，重要網(wǎng)絡(luò)節(jié)點上采用網(wǎng)絡(luò)入侵檢測，然后利用所得網(wǎng)絡(luò)數(shù)據(jù)的分析結(jié)果，判斷是否出現(xiàn)網(wǎng)絡(luò)入侵行為，進而采取相應(yīng)的預(yù)防措施，提高網(wǎng)絡(luò)安全系數(shù)。

4 結(jié)束語

網(wǎng)絡(luò)入侵檢測技術(shù)是網(wǎng)絡(luò)安全防護技術(shù)發(fā)展的必然產(chǎn)物，在加強網(wǎng)絡(luò)安全防護力度、提高網(wǎng)絡(luò)安全系數(shù)方面發(fā)揮著越來越重要的作用，對構(gòu)建更加健康、穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境意義重大。隨著對網(wǎng)絡(luò)入侵檢測與防治技術(shù)研究力度的不斷增強，出現(xiàn)了更多形式的技術(shù)，網(wǎng)絡(luò)入侵檢測與防治技術(shù)變得更加完善和成熟，具有更加廣闊的應(yīng)用空間和應(yīng)用前景。

參考文獻

[1]劉恩軍.網(wǎng)絡(luò)入侵檢測技術(shù)的研究[J].齊齊哈爾大學(xué)學(xué)報（自然科學(xué)版），2013（04）：52-55.

[2]莫新菊.入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用研究[J].計算機光盤軟件與應(yīng)用，2012（18）：68-69.

[3]楊菲.入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].數(shù)字化用戶，2013（03）：49-50.

作者單位

鄭州鐵路公安局鄭州公安處網(wǎng)絡(luò)安全保衛(wèi)支隊 河南省鄭州市 450000