探究入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

徐夢(mèng)萍

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)安全；入侵檢測(cè)技術(shù)；應(yīng)用

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）36-0075-03

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展與應(yīng)用對(duì)于我國社會(huì)經(jīng)濟(jì)的發(fā)展有很大的促進(jìn)作用，提高了個(gè)人以及企業(yè)的工作、生產(chǎn)效率，但同時(shí)也帶來了嚴(yán)重的網(wǎng)絡(luò)安全問題，如病毒入侵、黑客攻擊等多種網(wǎng)絡(luò)安全事故頻頻發(fā)生。網(wǎng)絡(luò)安全問題不僅嚴(yán)重影響著個(gè)人以及企業(yè)的經(jīng)濟(jì)效益，更嚴(yán)重?cái)_亂網(wǎng)絡(luò)運(yùn)行環(huán)境，破壞網(wǎng)絡(luò)運(yùn)行秩序。隨著科技的進(jìn)步，各種入侵技術(shù)也在不斷更新，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，難以抵御當(dāng)前網(wǎng)絡(luò)新病毒的惡意入侵，很難滿足當(dāng)代社會(huì)發(fā)展需求，為進(jìn)一步保證網(wǎng)絡(luò)的正常運(yùn)行，更好地實(shí)現(xiàn)安全與穩(wěn)定，因此，必須完善計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)[1]。

1 入侵檢測(cè)技術(shù)簡介

入侵檢測(cè)技術(shù)主要應(yīng)用于對(duì)網(wǎng)絡(luò)系統(tǒng)的檢測(cè)，監(jiān)督其運(yùn)行過程中的異常數(shù)據(jù)和行為，其中包括軟硬件系統(tǒng)設(shè)備。其原理在于對(duì)于有效數(shù)據(jù)信息進(jìn)行篩選和分析，并分析這些數(shù)據(jù)是否影響到網(wǎng)絡(luò)正常運(yùn)行，進(jìn)而判斷是否存在攻擊行為，當(dāng)檢測(cè)到不安全行為時(shí)，則會(huì)做出相應(yīng)的保護(hù)措施。其檢測(cè)原理如圖1 所示。

入侵檢測(cè)在進(jìn)行攻擊行為的處理過程中，一般需要經(jīng)過三個(gè)過程：①對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)和信息進(jìn)行采集；②對(duì)所采集的信息進(jìn)行全面分析和整理；③通過分析結(jié)果做出適當(dāng)?shù)捻憫?yīng)，并反饋響應(yīng)的處理結(jié)果，即發(fā)出相應(yīng)的報(bào)警或阻止行為，以保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。通常情況下，入侵檢測(cè)威脅主要從以下幾方面進(jìn)行考慮。其中，外部滲透方面，主要是由于部分用戶未經(jīng)過授權(quán)對(duì)各種數(shù)據(jù)出現(xiàn)調(diào)用的情況發(fā)生；內(nèi)部滲透方面，主要為合法用戶對(duì)未授權(quán)數(shù)據(jù)進(jìn)行使用的現(xiàn)象；濫用則是合法用戶對(duì)數(shù)據(jù)和信息的不合理使用的情況。入侵檢測(cè)技術(shù)的工作流程如圖2所示。

2 入侵檢測(cè)技術(shù)的分類

2.1 立足于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)

立足于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)能夠?qū)W(wǎng)絡(luò)運(yùn)行過程中的非法軟件和程序進(jìn)行檢測(cè)，并將檢測(cè)狀態(tài)和檢測(cè)分析結(jié)果進(jìn)行實(shí)時(shí)報(bào)告，從而最大限度減少網(wǎng)絡(luò)攻擊情況的發(fā)生。這種檢測(cè)技術(shù)能夠?qū)τ?jì)算機(jī)系統(tǒng)的多個(gè)網(wǎng)絡(luò)安全節(jié)點(diǎn)進(jìn)行監(jiān)督和檢測(cè)，不僅安裝方便，而且檢測(cè)效果較好。當(dāng)檢測(cè)到有非法入侵或可能影響網(wǎng)絡(luò)安全的程序或操作時(shí)，便會(huì)進(jìn)行及時(shí)的處理，能夠有效提升網(wǎng)絡(luò)安全檢測(cè)的效率，維護(hù)網(wǎng)絡(luò)環(huán)境的安全性能。由此可見，立足于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)具有檢測(cè)速率高、安裝成本低、安裝便捷等優(yōu)點(diǎn)。

2.2 立足于主機(jī)的入侵檢測(cè)技術(shù)

立足于主機(jī)的入侵檢測(cè)技術(shù)就是對(duì)主機(jī)進(jìn)行檢測(cè)，根據(jù)主機(jī)的故障情況以及運(yùn)行速率等方面的信息來判斷是否遭受非法攻擊。在進(jìn)行檢測(cè)的過程中，該檢測(cè)系統(tǒng)能夠?qū)τ?jì)算機(jī)的使用狀況進(jìn)行全面，實(shí)時(shí)、科學(xué)地檢測(cè)監(jiān)控，使得非法入侵或威脅計(jì)算機(jī)系統(tǒng)安全的行為或操作能夠被及時(shí)檢測(cè)出來，并能夠在主機(jī)發(fā)生故障時(shí)進(jìn)行及時(shí)報(bào)警，并實(shí)施合理的防范措施，以此來保證計(jì)算機(jī)系統(tǒng)運(yùn)行的安全性。此種檢測(cè)技術(shù)能夠?yàn)楹罄m(xù)整個(gè)系統(tǒng)的建成提供基礎(chǔ)和便利，從而提高系統(tǒng)檢測(cè)效率[2]。

2.3 立足于行為的入侵檢測(cè)技術(shù)

立足于行為的入侵檢測(cè)技術(shù)，在計(jì)算機(jī)網(wǎng)絡(luò)安全方面發(fā)揮著至關(guān)重要的作用，通過對(duì)文件數(shù)量等問題進(jìn)行檢測(cè)，及時(shí)發(fā)現(xiàn)各個(gè)計(jì)算機(jī)硬件的異常情況，而且當(dāng)發(fā)現(xiàn)計(jì)算機(jī)硬件遭受攻擊或存在潛在威脅時(shí)，會(huì)及時(shí)實(shí)施合理的檢測(cè)方案，促進(jìn)計(jì)算機(jī)硬件的穩(wěn)定性，提高運(yùn)行環(huán)境的整體安全性能。

3 系統(tǒng)入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全方面的具體表現(xiàn)

3.1 部分入侵?jǐn)?shù)據(jù)有效收集

在技術(shù)使用中，最為重要的一個(gè)環(huán)節(jié)在于各種信息的有效收集，為保障網(wǎng)絡(luò)安全的穩(wěn)定性，各項(xiàng)設(shè)備的有效運(yùn)行，需要對(duì)以下幾方面著重把控：①侵入信息的真實(shí)詳情；②網(wǎng)絡(luò)運(yùn)行過程中有效信息的掌握；③文件內(nèi)容的變化信息；④系統(tǒng)以及網(wǎng)絡(luò)記錄信息。以上四個(gè)信息源的全部信息，都是入侵檢測(cè)技術(shù)使用中所必須關(guān)注，屬于重要的數(shù)據(jù)基礎(chǔ)，在端口測(cè)試工程中必須著重注意對(duì)相關(guān)信息的獲取。為計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行創(chuàng)造一個(gè)穩(wěn)定的環(huán)境，有很多檢測(cè)對(duì)象在技術(shù)使用中需要檢測(cè)次級(jí)再進(jìn)行確認(rèn)，以避免不良數(shù)據(jù)頻頻在互聯(lián)網(wǎng)中流竄的概率，減少因網(wǎng)絡(luò)環(huán)境混亂造成不必要的損失。因此，對(duì)于整個(gè)檢測(cè)流程，對(duì)于數(shù)據(jù)源信息進(jìn)行充分比較，從而對(duì)異常數(shù)據(jù)和問題信息加以深度發(fā)掘，并施以正確的處理策略，以提升數(shù)據(jù)采集的效果與品質(zhì)。

3.2 已收信息分析

相對(duì)于傳統(tǒng)TCP/IP網(wǎng)絡(luò)，網(wǎng)絡(luò)探測(cè)引擎在入侵探測(cè)方法中具有關(guān)鍵的作用。由于網(wǎng)絡(luò)探測(cè)引擎相當(dāng)于傳感器，因此其探測(cè)在互聯(lián)網(wǎng)上流動(dòng)的數(shù)據(jù)包的主要方式為旁路監(jiān)控。匹配模式法和異常發(fā)現(xiàn)法為所收數(shù)據(jù)的兩類統(tǒng)計(jì)分析法。利用上述二類方法，對(duì)所有非正常進(jìn)入計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)進(jìn)行簡要統(tǒng)計(jì)分析，以發(fā)現(xiàn)其違反安全要求的情況，并及時(shí)將數(shù)據(jù)傳送給中央控制中心發(fā)布警報(bào)，從而達(dá)到專門性、智能性、可用性的入侵檢查，以維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)和數(shù)據(jù)資料的安全性。

3.3 網(wǎng)絡(luò)信息響應(yīng)

在為網(wǎng)絡(luò)創(chuàng)造一個(gè)良好穩(wěn)定環(huán)境的基礎(chǔ)上，通過入侵檢測(cè)技術(shù)有利于更好地保證計(jì)算機(jī)免受入侵的危害，做出正確的處理。首先，需要將信號(hào)傳遞至控制臺(tái)，對(duì)其給出相應(yīng)的預(yù)警，利用電子郵件等形式與主管安全工作的管理者進(jìn)行有效聯(lián)系，保證之間的良好溝通，對(duì)于重要信息及時(shí)進(jìn)行傳達(dá)，如實(shí)時(shí)呼叫的方式，降低損害；其次，采用筆錄的方式，尤其是對(duì)于現(xiàn)場(chǎng)的一些重要情況及時(shí)記錄下來，進(jìn)行不斷分析，在現(xiàn)有的基礎(chǔ)上，更好地掌握此項(xiàng)技術(shù)，減少安全隱患；最后，對(duì)于安全問題，及時(shí)采取措施，通過應(yīng)答的方式，以及指定用戶應(yīng)答的嚴(yán)格程序，保障整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全。

3.4 對(duì)入侵的反擊

防火墻技術(shù)在處理周邊威脅方面，可以較好地發(fā)揮作用，但是在內(nèi)部網(wǎng)絡(luò)中卻并不能實(shí)現(xiàn)更有效的控制。其問題在于，攻擊行為能夠通過網(wǎng)絡(luò)協(xié)議隧道，在進(jìn)入時(shí)會(huì)采取躲避行為，通過各種方式必過防火墻的阻擋，從而嚴(yán)重威脅到計(jì)算機(jī)的網(wǎng)絡(luò)安全，基于此，需要加強(qiáng)防范措施，將入侵檢測(cè)系統(tǒng)與防火墻進(jìn)行有效連接，加強(qiáng)二者的聯(lián)系性，以充分地發(fā)揮雙方的最大長處，從而構(gòu)建成一個(gè)綜合防護(hù)體系。可從下述幾個(gè)角度進(jìn)行分析：①在發(fā)送過程中需要對(duì)侵入檢測(cè)系統(tǒng)的端口進(jìn)行控制，讓網(wǎng)絡(luò)防火墻技術(shù)加入進(jìn)來，二者也能夠彼此溝通；②防火墻配備有過濾機(jī)制，在其功能發(fā)揮作用時(shí)，需要將其分組進(jìn)行檢測(cè)，在發(fā)現(xiàn)有可疑數(shù)據(jù)后要及時(shí)加以辨別，并且進(jìn)行刪除；③防火墻的過濾機(jī)制能夠?qū)?shù)據(jù)進(jìn)行篩選，并且通過入侵監(jiān)測(cè)技術(shù)對(duì)所涉及的信息進(jìn)行檢測(cè)，對(duì)于檢測(cè)當(dāng)中有不合理的地方，需要將其錄入入侵信息樣本數(shù)據(jù)庫，同時(shí)做出適當(dāng)?shù)膱?bào)警反應(yīng)并告知用戶，用戶實(shí)施適當(dāng)?shù)姆雷o(hù)，進(jìn)而達(dá)到數(shù)據(jù)安全的綜合防護(hù)效果[3]。

4 基于入侵檢測(cè)技術(shù)的參數(shù)優(yōu)化

4.1 粒子群算法尋優(yōu)思想

現(xiàn)階段的入侵檢測(cè)技術(shù)往往存在數(shù)據(jù)收集難度高、網(wǎng)絡(luò)運(yùn)行時(shí)間長等問題，此類問題將直接影響到網(wǎng)絡(luò)負(fù)荷，易產(chǎn)生信息冗余現(xiàn)場(chǎng)，從而降低檢測(cè)效率、影響檢測(cè)精確度。而通過粒子群算法便能夠有效解決此問題。粒子群算法的結(jié)構(gòu)更加簡單，在系統(tǒng)中進(jìn)行深入搜索，而且更容易獲取最佳參數(shù)。在應(yīng)用粒子群算法過程中，往往會(huì)定義種群中每個(gè)成員為粒子，每個(gè)粒子表示不同的可行解，并在此范圍內(nèi)存在最優(yōu)解[4]。通過尋找的過程將粒子的函數(shù)進(jìn)行調(diào)節(jié)，并促使每個(gè)粒子的更新，完成位置和速度的不斷迭代，利用此過程促進(jìn)最優(yōu)解的產(chǎn)生。

4.2 粒子群算法流程與改進(jìn)

通過對(duì)粒子群算法尋優(yōu)思想的運(yùn)用，便能夠有效地識(shí)別并檢測(cè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行過程中的異?，F(xiàn)象，并根據(jù)數(shù)據(jù)分析結(jié)果制定相應(yīng)的措施，促進(jìn)網(wǎng)絡(luò)運(yùn)行環(huán)境的安全性的提升。應(yīng)用粒子群算法尋優(yōu)技能能夠有效提高檢測(cè)速度，但是在參數(shù)選定方面的智能化程度明顯不足，這就需要相關(guān)技術(shù)人員首先設(shè)定算法中的參數(shù)，并根據(jù)網(wǎng)絡(luò)實(shí)際運(yùn)行需求進(jìn)行算法優(yōu)化。在獲取最優(yōu)解過程中，若種群數(shù)量大，則很容易獲取到最優(yōu)解，但此時(shí)需要消耗較長的時(shí)間，這就需要根據(jù)實(shí)際的規(guī)模選擇適量的粒子。然后根據(jù)粒子數(shù)量設(shè)定尋找速度，并根據(jù)所收集到的信息進(jìn)行全面的分析，進(jìn)而判斷網(wǎng)絡(luò)系統(tǒng)中存在的具有安全隱患的行為，對(duì)此行為加以分析，確定是否存在攻擊性，進(jìn)而保證網(wǎng)絡(luò)運(yùn)行安全[5]。在進(jìn)行算法位置與速度確定過程中，可以設(shè)定其隨機(jī)搜索方式，并將搜索范圍擴(kuò)大，提高入侵檢測(cè)的精度。在蟻群算法的基礎(chǔ)之上，通過網(wǎng)格搜索算法獲得最合理的搜索速度和位置，將可能的組合應(yīng)用到檢測(cè)模型中，并進(jìn)行綜合分析，進(jìn)而得到優(yōu)化后的速度和位置，不僅提高了檢測(cè)的精度，更縮短了檢測(cè)的時(shí)間。

5 基于Snort 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

5.1 網(wǎng)絡(luò)入侵檢測(cè)層

網(wǎng)絡(luò)入侵檢測(cè)層，其又稱為傳感器層，其通過傳感器對(duì)被截獲的報(bào)文實(shí)施入侵檢測(cè)，其中，傳感器由信息采集端口和控制接口構(gòu)成，Capture端口不涉及IP 地址，將其設(shè)定為混合狀態(tài)，并接收所有報(bào)文。而管理端口也必須和數(shù)據(jù)庫層進(jìn)行直接性地通信，并將其傳送入侵報(bào)警數(shù)據(jù)中。

5.2 數(shù)據(jù)庫服務(wù)層

因?yàn)榫W(wǎng)絡(luò)入侵檢測(cè)層的端口將向傳感器發(fā)出入侵告警數(shù)據(jù)保存到數(shù)據(jù)信息庫中，并對(duì)數(shù)據(jù)庫中的相關(guān)信息實(shí)施檢索。管理接口傳感器有效鏈接到數(shù)據(jù)庫，并啟動(dòng)安全防火墻等接口，從而避免安全策略和網(wǎng)絡(luò)防火墻碰撞。

5.3 數(shù)據(jù)分析控制層

在數(shù)據(jù)分析控制層顯示數(shù)據(jù)，圖形化顯示需借助圖形類庫的實(shí)現(xiàn)，控制功能具有較為理想的全面性，在管理方面也會(huì)更加便捷。使用IE、GoogleChrome等瀏覽器，使用者能夠基于瀏覽器實(shí)現(xiàn)瀏覽管理功能。

5.4 軟件配置與安裝

對(duì)于WinPcap而言，其軟件配置與安裝較簡便。C：＼Snort目錄下應(yīng)放置編譯完成的Snort，接著將snortrules復(fù)制粘貼于C：＼Snort目錄中。適當(dāng)修改snor tu?les，并于C：＼Snort＼lib目錄下設(shè)置規(guī)則庫的位置等，此外創(chuàng)建一個(gè)新文件夾，將其命名為snort_dynami?crules，對(duì)其放置動(dòng)態(tài)規(guī)則。之后輸入C：＼Snort＼bin>snort.exe_W，并發(fā)送命令，從而驗(yàn)證安裝工作是否已經(jīng)成功完成。在這一系統(tǒng)中，數(shù)據(jù)庫采用的是MySQL，其具有多重優(yōu)勢(shì)，安裝時(shí)選擇常規(guī)方法，依照提示進(jìn)行操作便可，為了便利考慮，可以將用戶密碼設(shè)定為Snort。

5.5 系統(tǒng)實(shí)現(xiàn)配置

首先，系統(tǒng)采用BASE登錄方式，當(dāng)Snort的入侵檢測(cè)端口安裝完畢后，實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)；然后，向MySQL 數(shù)據(jù)庫經(jīng)數(shù)據(jù)庫系統(tǒng)的輸出端口發(fā)送攻擊日志；之后數(shù)據(jù)庫接口利用數(shù)據(jù)分析控制臺(tái)進(jìn)行加以讀寫，并表現(xiàn)在BASE上。其主要展示出每天新增的告警事件數(shù)量、當(dāng)前告警事件數(shù)量、攻擊源IP地址等相關(guān)信息，為此項(xiàng)技術(shù)的更好的應(yīng)用提供有利基礎(chǔ)，以方便網(wǎng)絡(luò)安全工作的順利開展，同時(shí)還可以查看特定的告警事件信息。

6 結(jié)束語

綜上所述，為了網(wǎng)絡(luò)信息的安全可靠性，需要充分應(yīng)用入侵檢測(cè)技術(shù)，提高入侵檢測(cè)的技術(shù)水平對(duì)當(dāng)代社會(huì)發(fā)展有著重要的意義。在未來發(fā)展中，將入侵檢測(cè)技術(shù)與數(shù)據(jù)挖掘技術(shù)進(jìn)行深度融合，使其能夠充分運(yùn)用于真實(shí)場(chǎng)景中，相關(guān)研究人員需繼續(xù)對(duì)IDS進(jìn)行研究，從而保證工作中展現(xiàn)出更為突出的效能，發(fā)揮此項(xiàng)技術(shù)的最大價(jià)值。