計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)現(xiàn)狀分析

林曉斌

引言

隨著云技術(shù)的不斷進(jìn)步，計(jì)算機(jī)技術(shù)以及互聯(lián)網(wǎng)得到了越來越廣泛的應(yīng)用與發(fā)展。然而，由于網(wǎng)絡(luò)入侵將導(dǎo)致計(jì)算機(jī)系統(tǒng)不能正常運(yùn)行，不僅影響工作，還泄漏隱私。因此，入侵檢測(cè)技術(shù)的應(yīng)用對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全就起到了十分重要的作用。

什么是計(jì)算機(jī)網(wǎng)絡(luò)安全入侵檢測(cè)

當(dāng)計(jì)算機(jī)處于網(wǎng)絡(luò)環(huán)境時(shí)，就存在外界與內(nèi)部的不安全因素，例如病毒、軟件的侵入而影響到計(jì)算機(jī)的運(yùn)行安全，那么就可以運(yùn)用入侵檢測(cè)技術(shù)來及時(shí)防御。當(dāng)計(jì)算機(jī)受到攻擊時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)能夠與防火墻相配合，使得計(jì)算機(jī)得到更好的保護(hù)，可以說計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)和防火墻就是一對(duì)“孿生兄弟”。

計(jì)算機(jī)網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)的類型

1.基于誤用檢測(cè)技術(shù)

誤用入侵檢測(cè)的主要功能是根據(jù)異常特征搜集影響計(jì)算機(jī)正常運(yùn)行的干擾因素等信息，并對(duì)其是否集中出現(xiàn)進(jìn)行劃斷并處理。誤用入侵檢測(cè)技術(shù)與殺毒軟件的操作方式相似，而該技術(shù)的優(yōu)勢(shì)在于其建立的入侵特點(diǎn)的模式庫，并根據(jù)相似特點(diǎn)進(jìn)行搜集，如此一來，檢測(cè)中不僅能夠搜集出有相似特征的入侵行為，而且又使得系統(tǒng)免于遭受同樣的入侵。然而有的入侵行為具有一定的特殊性，具有變異功能，即利用相同的功能缺陷與原理進(jìn)行變異，因此難以被檢測(cè)出來。誤用入侵技術(shù)在某些方面還是存在一定缺陷的，例如只能對(duì)已知序列和特點(diǎn)對(duì)有關(guān)入侵行為進(jìn)行判斷，而難 以及時(shí)檢測(cè)出一些新型的入侵攻擊行為，同時(shí)還有一些漏洞存在。

通?？梢詫⒄`用入侵檢測(cè)技術(shù)分為專家系統(tǒng)與狀態(tài)遷移分析技術(shù)兩種。其中專家系統(tǒng)在早期的入侵檢測(cè)系統(tǒng)中比較常用，主要是采用專家的入侵行為檢測(cè)系統(tǒng)，比如早期的NIDES和NADIR，這些都是具有獨(dú)立的專家系統(tǒng)模塊。一旦發(fā)現(xiàn)專家系統(tǒng)中的入侵行為，整個(gè)系統(tǒng)就會(huì)對(duì)其進(jìn)行編碼，將其編譯為一個(gè)IF語句 。其次是狀態(tài)遷移分析技術(shù)，其建立在異常檢測(cè)技術(shù)的基礎(chǔ)之上，對(duì)一組系統(tǒng)的“正?！鼻闆r下的值進(jìn)行定義，包括CPU利用率、內(nèi)存利用率以及文件校驗(yàn)等，然后與正常定義作對(duì)比。

2.基于異常的檢測(cè)技術(shù)

基于異常入侵的檢測(cè)技術(shù)需要對(duì)一組正常情況下內(nèi)存利用率、硬盤大小、文件檢驗(yàn)等值進(jìn)行定義。這些數(shù)據(jù)具有靈活性，人們可以方便自己統(tǒng)計(jì)而進(jìn)行自主定義，接著比較規(guī)定數(shù)值與系統(tǒng)正在運(yùn)行中的數(shù)值，進(jìn)而對(duì)被攻擊與否進(jìn)行檢驗(yàn)與判斷。該檢測(cè)方法是以對(duì)正常數(shù)值的定義為核心而進(jìn)行的，如此才能夠判 斷系統(tǒng)是否遭受到了攻擊。該檢測(cè)技術(shù)早在20多年前就有了一定的研究，有人以建立系統(tǒng)的審計(jì)跟蹤數(shù)據(jù)分析系統(tǒng)，主體正常行為的特征為大致方向，建立起一個(gè)大概的輪廓模型。在進(jìn)行檢測(cè)的過程中，被認(rèn)為是入侵行為的依據(jù)就是系統(tǒng)中的出現(xiàn)較大差異的數(shù)據(jù)，根據(jù)功能配置文件、登錄的時(shí)間與位置、CPU使用時(shí)間以及文件訪問屬性等對(duì)特點(diǎn)進(jìn)行描述，其對(duì)應(yīng)的功能配置文件會(huì)隨著主要行為特征的改變而改變，例如入侵檢測(cè)系統(tǒng)基于統(tǒng)計(jì)的使用或規(guī)律進(jìn)行描述，建立系統(tǒng)行為特征的基本輪廓。

入侵檢測(cè)系統(tǒng)的類型

1.基于主機(jī)的入侵檢測(cè)系統(tǒng)

基于主機(jī)的入侵檢測(cè)系統(tǒng)主要是對(duì)主機(jī)進(jìn)行重點(diǎn)檢測(cè)，通過在主機(jī)上設(shè)置入侵檢測(cè)，對(duì)其是否被攻擊進(jìn)行判斷。主機(jī)入侵檢測(cè)系統(tǒng)能夠較為全面動(dòng)態(tài)地監(jiān)控計(jì)算機(jī)網(wǎng)絡(luò)用戶的操作行為，一旦出現(xiàn)網(wǎng)絡(luò)異常情況就會(huì)進(jìn)行預(yù)警，能夠安全有效地保護(hù)網(wǎng)絡(luò)安全?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)能對(duì)攻擊行為是否有效果加以判斷，以此提供給主機(jī)充分的決策依據(jù)，并且還能監(jiān)控例如文件訪問、文件執(zhí)行等指定的系統(tǒng)部位的活動(dòng)。

2.基于行為的入侵檢測(cè)系統(tǒng)

基于行為的入侵檢測(cè)系統(tǒng)主要指基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，無法提供給客戶單獨(dú)的入侵檢測(cè)服務(wù)，然而該系統(tǒng)具有較快的檢測(cè)速度以及低廉的檢測(cè)成本的優(yōu)點(diǎn)?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)在設(shè)置檢測(cè)的過程中能夠進(jìn)行多個(gè)安全點(diǎn)的設(shè)置，并同時(shí)觀察多個(gè)系統(tǒng) 的網(wǎng)絡(luò)通信，這樣就省去了主機(jī)上的安裝，因此被認(rèn)為成本較低?；谥鳈C(jī)的入侵檢測(cè)無法安全有效地檢測(cè)數(shù)據(jù)包，因此在入侵檢測(cè)中時(shí)常出現(xiàn)漏洞。基于行為的檢測(cè)系統(tǒng)具有檢測(cè)對(duì)主機(jī)漏洞攻擊的功能，一旦發(fā)現(xiàn)惡意程序或者軟件，就會(huì)進(jìn)行及時(shí)的處理。在檢測(cè)過程中，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)能夠通過方便快捷的網(wǎng)絡(luò)通訊實(shí)現(xiàn)對(duì)系統(tǒng)的實(shí)時(shí)監(jiān)控，一旦發(fā)現(xiàn)問題，就會(huì)直接快速進(jìn)行網(wǎng)絡(luò)報(bào)告，以防止攻擊者轉(zhuǎn)移證據(jù)?；诰W(wǎng)絡(luò)的入侵檢測(cè)技術(shù)具有動(dòng)態(tài)檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的功能，一旦發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在入侵行為就會(huì)做出快速反應(yīng)，不會(huì)受到時(shí)間與地點(diǎn)的限制，并進(jìn)行預(yù)警，同時(shí)采取相應(yīng)的措施處理入侵行為。

計(jì)算機(jī)網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)存在的問題

1.入侵檢測(cè)技術(shù)不夠完善

與發(fā)達(dá)國家相比，我國計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的起步較晚，計(jì)算機(jī)網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)仍有待完善，有時(shí)面對(duì)相對(duì)復(fù)雜的計(jì)算機(jī)入侵行為是難以徹底清除的。當(dāng)計(jì)算機(jī)運(yùn)行處于不安全的網(wǎng)絡(luò)環(huán)境，一旦計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)處于不同的網(wǎng)段，其檢測(cè)的全面性與有效性是難以保證的。由此可見，計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)仍然不夠完善，需要不斷吸收先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)。

2.入侵檢測(cè)技術(shù)過于單一

除了技術(shù)水平有待提升之外，計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵技術(shù)還存在檢測(cè)方法單一性的問題。現(xiàn)階段，特征檢測(cè)是計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)的主要手段，其檢測(cè)范圍有限，主要是針對(duì)比較簡(jiǎn)單的網(wǎng)絡(luò)入侵行為進(jìn)行防御與處理，一旦出現(xiàn)比較復(fù)雜的網(wǎng)絡(luò)安全入侵行為，那么這一檢測(cè)技術(shù)的局限性就暴露了，難以實(shí)現(xiàn)有效的防御與解決，并且需要耗費(fèi)大量的時(shí)間與精力進(jìn)行計(jì)算，才能檢測(cè)出計(jì)算機(jī)存在的網(wǎng)絡(luò)安全問題。此外計(jì)算產(chǎn)生的龐大數(shù)據(jù)也使得計(jì)算機(jī)網(wǎng)絡(luò)安全檢測(cè)技術(shù)的效率大幅度降低，因此，難以為計(jì)算機(jī)網(wǎng)絡(luò)的安全性與可靠性提供快速有效的保障。

3.入侵檢測(cè)技術(shù)加密處理有待進(jìn)一步提升

在工作與生活中，計(jì)算機(jī)得到廣泛應(yīng)用，因此計(jì)算機(jī)儲(chǔ)存的網(wǎng)絡(luò)數(shù)據(jù)可能涉及隱私。在計(jì)算機(jī)網(wǎng)絡(luò)安全環(huán)境遭到攻擊時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的隱私性是難以通過檢測(cè)技術(shù)得到保護(hù)的，可見入侵檢測(cè)技術(shù)加密處理有待提升。計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)系統(tǒng)本身就難以全面地對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行檢測(cè)，需要與計(jì)算機(jī)內(nèi)部防火墻相配合，才能實(shí)現(xiàn)有效的入侵檢測(cè)，如此一來，計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)可能就會(huì)暴露，無法實(shí)現(xiàn)對(duì)其有效的加密處理，使得用戶的個(gè)人隱私受到了一定程度的威脅。

計(jì)算機(jī)網(wǎng)絡(luò)安全檢測(cè)技術(shù)的發(fā)展趨勢(shì)

在網(wǎng)絡(luò)安全防護(hù)中，計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)發(fā)揮著非常重要的作用，同時(shí)不同的安全檢測(cè)手段的應(yīng)用也具有重要意義，然而現(xiàn)階段這些檢測(cè)技術(shù)仍然存在不同程度的缺陷。隨著計(jì)算機(jī)技術(shù)的不斷進(jìn)步，在社會(huì)的各個(gè)領(lǐng)域中計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)必然得到越來越廣泛的應(yīng)用與發(fā)展，網(wǎng)絡(luò)入侵手法也在不斷更新和換代，網(wǎng)絡(luò)環(huán)境也更容易遭到攻擊。為此，計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)必須不斷提高檢測(cè)水平，建立在一般檢測(cè)技術(shù)的基礎(chǔ)之上，進(jìn)行更進(jìn)一步的發(fā)展與研究，并且還要以此為重點(diǎn)，加強(qiáng)對(duì)有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)分析方面的技術(shù)研究。

為了實(shí)現(xiàn)這一目標(biāo)，首先要對(duì)分布式入侵的檢測(cè)技術(shù)的研究與發(fā)展予以大力支持，一方面要實(shí)現(xiàn)對(duì)計(jì)算機(jī)分布式網(wǎng)絡(luò)攻擊的有效檢測(cè)，使計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問題得以全面有效的發(fā)現(xiàn)與解決，避免出現(xiàn)檢測(cè)漏洞。另一方面，還要實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)的分布式檢測(cè)方法的應(yīng)用，使計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境存在的問題得到及時(shí)發(fā)現(xiàn)，并對(duì)其進(jìn)行協(xié)同處理與解決，使網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)的資源優(yōu)勢(shì)得到最大限度的發(fā)揮，進(jìn)而為計(jì)算機(jī)網(wǎng)絡(luò)安全檢測(cè)技術(shù)水平與檢測(cè)效率提升提供強(qiáng)有力的支撐。

其次，還要注重智能化網(wǎng)絡(luò)安全檢測(cè)技術(shù)的發(fā)展，使入侵檢測(cè)技術(shù)更加靈活準(zhǔn)確，其中模糊處理、遺產(chǎn)算法、神經(jīng)網(wǎng)絡(luò)、免疫原理等是其主要檢測(cè)方式。實(shí)現(xiàn)對(duì)外界入侵軟件或程序的準(zhǔn)確識(shí)別與分析，提高網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)水平，并將智能化檢測(cè)技術(shù)融入到計(jì)算機(jī)網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)當(dāng)中，為計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的可靠性與安全性提供充分的保障。

再者，全面化發(fā)展也是計(jì)算機(jī)網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)的重要發(fā)展方向。應(yīng)嘗試建立網(wǎng)絡(luò)安全入侵全面檢測(cè)系統(tǒng)，并設(shè)定更加科學(xué)統(tǒng)一的評(píng)估標(biāo)準(zhǔn)，加強(qiáng)網(wǎng)絡(luò)安全檢測(cè)平臺(tái)建設(shè)，確保其更加科學(xué)、準(zhǔn)確。如此一來，計(jì)算機(jī)的檢測(cè)范圍才能夠得以擴(kuò)大，計(jì)算機(jī)資源也能得到充分的利用，同時(shí)檢測(cè)系統(tǒng)的可靠性也得到增強(qiáng)，全面提高計(jì)算機(jī)網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)的整體水平。

結(jié)束語

綜上所述，目前在我國計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)的應(yīng)用與研究方面仍然存在一定的不足，難以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)起到全面有效的保護(hù)。為此，我們必須針對(duì)其中存在的問題展開深入的研究，分析對(duì)比世界先進(jìn)的網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)手段，提出相應(yīng)的技術(shù)措施，以實(shí)現(xiàn)檢測(cè)技術(shù)的不斷完善，為計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行提供強(qiáng)有力的保障。