入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全維護中的應(yīng)用

李麗姝

關(guān)鍵詞 入侵檢測技術(shù) 計算機網(wǎng)絡(luò)安全 應(yīng)用

1引言

在計算機網(wǎng)絡(luò)安全維護方面，系統(tǒng)存在的漏洞比較多，而且網(wǎng)絡(luò)協(xié)議也相對比較薄弱，很容易遭受到入侵，從而使得系統(tǒng)或者用戶的數(shù)據(jù)信息安全受到嚴重威脅。通過對入侵檢測技術(shù)的應(yīng)用，可以有效阻擋病毒和入侵，提升計算機網(wǎng)絡(luò)系統(tǒng)的安全。所以，強化入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全維護中的應(yīng)用研究，成為目前展開網(wǎng)絡(luò)安全維護工作的重中之重[1] 。

2計算機網(wǎng)絡(luò)入侵的形式

網(wǎng)絡(luò)入侵主要指的是應(yīng)用十分熟練的編寫、調(diào)試計算機程序的能力以及技巧獲取未經(jīng)允許或者是未經(jīng)授權(quán)的文件，抑或是訪問未授權(quán)的網(wǎng)絡(luò)等。一般情況下，入侵便是進入某一計算機內(nèi)部網(wǎng)的行為。

2.1病毒入侵

對于計算機程序來說，病毒是可以進行自我復(fù)制的程序，其主要通過拒絕服務(wù)或者破壞數(shù)據(jù)信息的完整性，進而達到對特定系統(tǒng)、特定目標進行破壞的目的。病毒本身具有較高的傳染性、快速的繁殖性以及強大的隱蔽性、寄生性、潛伏性等特性。而且，現(xiàn)階段病毒主要是通過計算機網(wǎng)絡(luò)的電子郵件、瀏覽器以及文件下載等方式，對系統(tǒng)進行入侵。

2.2身份入侵

一般情況下，計算機網(wǎng)絡(luò)所提供的服務(wù)需要確認用戶身份，進而為使用者提供相對應(yīng)的上網(wǎng)瀏覽權(quán)利。而利用計算機網(wǎng)絡(luò)系統(tǒng)進行詐騙，甚至通過信息竊取的方法冒充合法使用者進入互聯(lián)網(wǎng)是一種十分常見的互聯(lián)網(wǎng)侵入方法。除此以外，利用口令、漏洞等信息也可以入侵互聯(lián)網(wǎng)。身份侵入主要是指入侵者通過對網(wǎng)絡(luò)進行大量的檢測，以尋找其中存在的漏洞。甚至是通過對網(wǎng)絡(luò)系統(tǒng)中獲得使用權(quán)限的賬戶以及對網(wǎng)絡(luò)系統(tǒng)中所提供的業(yè)務(wù)接口進行掃描，以此發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中所存在的漏洞，進而盜取用戶的真實用戶名或者口令。入侵者能夠利用公開協(xié)議和工具，對計算機主機操作系統(tǒng)中一些有用的信息，實施非法獲取甚至修改系統(tǒng)等活動。

2.3拒絕服務(wù)入侵

拒絕服務(wù)入侵簡稱DoS（DenialofService），該入侵行為主要是將一部分序列、報文等發(fā)送到計算機網(wǎng)絡(luò)系統(tǒng)，從而使得整個網(wǎng)絡(luò)服務(wù)器都被大量的要求回復(fù)的信息所霸占，進而使大量的網(wǎng)絡(luò)資源、寬帶等被消耗，最終導(dǎo)致正在運行的網(wǎng)絡(luò)或者系統(tǒng)不堪重負，出現(xiàn)癱瘓或者停止使用正常網(wǎng)絡(luò)服務(wù)的情況，嚴重時甚至?xí)霈F(xiàn)死機、沒有任何反應(yīng)等一系列現(xiàn)象[2] 。

2.4通過防火墻進行入侵

一般情況下，計算機網(wǎng)絡(luò)系統(tǒng)的防火墻具有較強的抗攻擊性，很難被攻破。但是，某些防火墻在設(shè)計和使用過程中存在一定的缺陷，因此不能始終有效抵擋攻擊，進而使得計算機網(wǎng)絡(luò)系統(tǒng)或用戶的防火墻被攻破。

在互聯(lián)網(wǎng)發(fā)展和網(wǎng)絡(luò)信息技術(shù)日益成熟的今天，直接入侵和非法繞過防火墻的侵入行為已經(jīng)使計算機安全在每時每刻都面臨著考驗。例如，入侵者在對地址進行欺騙的同時，還可以對TCP 進行入侵。

3入侵檢測技術(shù)概述

入侵檢測技術(shù)主要是指根據(jù)計算機系統(tǒng)的安全性所設(shè)定的一項計算機技術(shù)，這項技術(shù)手段通常能夠檢測到計算機系統(tǒng)存在的一些根本沒有進行授權(quán)的現(xiàn)象，甚至是某些設(shè)備存在異常情況，這樣便可以高效配合計算機系統(tǒng)設(shè)計人員對計算機網(wǎng)絡(luò)中帶有違規(guī)、安全等特性的各類情況進行更加合理的檢查。在開展入侵檢測關(guān)鍵技術(shù)研發(fā)工作時出現(xiàn)了很多方法，包括基于專家系統(tǒng)的入侵檢測、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測等。一般情況下，入侵檢測技術(shù)采用實施有關(guān)任務(wù)的模型得以實現(xiàn)。

入侵測試技術(shù)模型可分成兩類：一類為異常測試模式，其主要面對的是計算機本身所實施的行為及其與可接受行為間所產(chǎn)生的差異做出適當?shù)臏y量。假如可以對任何一種可接受行為進行界定，那么與其所對應(yīng)的任何不接受行為便是入侵行為。

在使用異常檢查模型的過程中，首先需要對各種正常操作中所存在的特點進行總結(jié)，從而形成一定的規(guī)范架構(gòu)，如此才可以在發(fā)現(xiàn)用戶活動和正常動作間形成的巨大差異之際，確保計算機網(wǎng)絡(luò)遭到侵犯。該檢測模式對侵入的漏報概率相當?shù)?，不過其誤報概率也相當高。并且，在計算機安全應(yīng)用的工作流程中，基本上不需要對每一個侵入行為都給出具體的界定，所以異常監(jiān)測模式一般可以有效監(jiān)測未知入侵。

另一類是誤用監(jiān)測模式，其主要通過對計算機的正常行為和無法接受行為加以匹配。一旦賦予了任何無法接受的行為相應(yīng)的定義，則對于任何一個能夠與其進行對應(yīng)的行為都會產(chǎn)生相應(yīng)的警告。而通過對各種非正常行為所產(chǎn)生的特性加以搜集，便能夠逐漸形成相關(guān)的具有特征屬性的數(shù)據(jù)庫。當偵測到用戶或者是計算機系統(tǒng)行為時，便會主動地與具有特征屬性的數(shù)據(jù)庫加以對應(yīng)，由此進一步確定該行為是否屬于入侵行為。誤用檢測模型對入侵的誤報率較低，但是其漏報率非常高。不僅如此，在面對未知的攻擊時，其所發(fā)揮的效果有限，如果想要確保模型的應(yīng)用效果，那么便需要不斷對特征屬性的數(shù)據(jù)庫進行更新。

4入侵檢測技術(shù)存在的問題

第一，入侵檢測技術(shù)具有一定的局限性。由于網(wǎng)絡(luò)侵入檢測系統(tǒng)所面對的對象是在與其進行直接聯(lián)系的交換網(wǎng)段中進行傳輸，并提供了相對應(yīng)的檢測范圍，但并非整個網(wǎng)段，所以如果計算機的內(nèi)聯(lián)網(wǎng)環(huán)境中只有交換以太網(wǎng)，那么侵入檢測技術(shù)的檢測范圍便存在一定的局限。而一旦增加安裝的設(shè)備數(shù)量，則相對應(yīng)的系統(tǒng)成本便會提高。

第二，現(xiàn)階段網(wǎng)絡(luò)入侵檢測系統(tǒng)所采用的基本上是具有特征屬性的檢測手段，雖然對于一些運用普通手段進行入侵檢測的效果十分明顯，但是對于一些比較復(fù)雜、計算量較大以及分析時間較長的入侵檢測的效果則不明顯。

第三，入侵檢測技術(shù)在對一部分特定的數(shù)據(jù)包進行監(jiān)測、監(jiān)聽時會產(chǎn)生大量的分析數(shù)據(jù)，從而使得其性能下降或者不穩(wěn)定，而對一部分單位內(nèi)部文件共享情況的監(jiān)測、監(jiān)聽是比較普遍的現(xiàn)象，這種情況下的監(jiān)測、監(jiān)聽對于有效的授權(quán)訪問機制是比較缺乏的。相反，對于內(nèi)部不設(shè)防的情況卻比較普遍。

第四，在使用入侵檢測技術(shù)對會計活動進行處理的過程中，檢測的結(jié)果相對準確，主要是因為現(xiàn)階段通過加密通道進行入侵的行為比較少。但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，這類問題也會變得突出。

5入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全維護中的應(yīng)用

5.1明確入侵檢測技術(shù)的應(yīng)用流程

計算機網(wǎng)絡(luò)安全維護工作基本上采用的是被動維護模式，即通常是在出現(xiàn)問題之后再進行分析、解決。而入侵檢測技術(shù)在進行工作的過程中所消耗的時間較少，同時入侵檢測技術(shù)在大部分情況下只需要對單一數(shù)據(jù)進行收集和整理，便可以確定計算機網(wǎng)絡(luò)是否出現(xiàn)被入侵的行為，并對其進行解決。在此基礎(chǔ)上，有效提升了系統(tǒng)的安全性、完整性。除此之外，還可以與實際情況進行有機結(jié)合，將入侵檢測技術(shù)引入計算機網(wǎng)絡(luò)安全維護過程中時，需要建立完善的知識庫，并對計算機系統(tǒng)的歷史操作行為進行分析，同時收集入侵操作的特定行為模式，根據(jù)有關(guān)因素再進行入侵檢測分析，進而給出明確且具體、有效的網(wǎng)絡(luò)安全對策。

計算機網(wǎng)絡(luò)安全維護技術(shù)人員在進行相關(guān)工作時，能夠利用侵入偵測技術(shù)對用戶或者系統(tǒng)做出檢查，并利用檢查結(jié)果和安全策略做出比較，由此判斷用戶和系統(tǒng)是否出現(xiàn)被侵犯的情況。一旦測試結(jié)論是不存在，就必須再進行重復(fù)分析對比，為計算機網(wǎng)絡(luò)安全的工作打下強有力的理論基礎(chǔ)。在實際的操作過程中，工作人員還必須對所檢測到的入侵情況做出正確、準確的信息記錄，并及時告知管理人員對其采取措施，盡可能確保計算機網(wǎng)絡(luò)系統(tǒng)和用戶的安全。

5.2入侵檢測技術(shù)的應(yīng)用要點

首先，需要做好信息收集工作。因為數(shù)據(jù)信息的類型很多，所以技術(shù)人員在采集信息時必須保證數(shù)據(jù)的全面性、有效性以及完整性。同時，在對數(shù)據(jù)信息進行分類時，必須選擇計算機網(wǎng)絡(luò)的日志數(shù)據(jù)或者系統(tǒng)文件變化數(shù)據(jù)，因為只有這一類數(shù)據(jù)才能成為入侵檢查的主要依據(jù)。除此以外，技術(shù)人員在使用入侵偵測技術(shù)時必須對IDS 代理進行科學(xué)合理的設(shè)定，以有效提升數(shù)據(jù)信號的采集效率與采集效果。而當計算機在同時進行連接環(huán)節(jié)時，還可采用與交換機芯片連接的模式完成相關(guān)調(diào)試。同時，對一些較為關(guān)鍵的數(shù)據(jù)進行輸入與輸出時，必須配置適當?shù)娜肭謧蓽y設(shè)備，為數(shù)據(jù)采集的時效性提供保證。在計算機網(wǎng)絡(luò)工作流程中，往往具有特定的關(guān)鍵點，因此需要與具體的監(jiān)測目標加以比較，并以此判斷入侵檢測的有效范圍等。在實際操作中，技術(shù)人員可使用孤立點挖掘算法，在大量的數(shù)據(jù)信息庫中甄選出不常用的數(shù)據(jù)信息，并對這些數(shù)據(jù)信息加以處理，從而進一步為入侵檢測技術(shù)的高效應(yīng)用奠定良好的基礎(chǔ)[3] 。

其次，做好數(shù)據(jù)信息的分析工作。因為計算機網(wǎng)絡(luò)傳輸采用的是TCP / IP 的協(xié)議，所以要求科技人員熟練掌握并使用這個協(xié)議。唯有如此，科學(xué)家才可以在數(shù)據(jù)發(fā)生問題之時，及時正確地對問題做出分析、處理，為數(shù)據(jù)的正確傳送提供保證。對技術(shù)人員而言，在對互聯(lián)網(wǎng)數(shù)據(jù)包實施檢測、監(jiān)控的過程中，必須明確入侵偵測引擎的主要功能，同時在必要時對數(shù)據(jù)旁路監(jiān)控采取相應(yīng)措施，如此才能在第一時間了解計算機網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的異常，并對系統(tǒng)和使用者發(fā)出警告，同時指導(dǎo)安全保障技術(shù)人員有效解決問題。技術(shù)人員在對數(shù)據(jù)信息進行分類處理時，往往采取的是與異常發(fā)現(xiàn)模式相匹配等方法，利用這些技術(shù)可以找到網(wǎng)絡(luò)中出現(xiàn)的異常情況，從而及時正確地對異常數(shù)據(jù)信息進行分類和處理。

再次，做好信息響應(yīng)工作。在計算機網(wǎng)絡(luò)中設(shè)置IDS 系統(tǒng)，主要針對本地網(wǎng)段進行檢測，并根據(jù)數(shù)據(jù)對其進行分析，同時查找和分析其中存在異常的數(shù)據(jù)信息，從而進行正確處理。網(wǎng)絡(luò)系統(tǒng)可以做出信息響應(yīng)工作，主要包含網(wǎng)絡(luò)的引擎通知以及警告，如向控制中心、負責(zé)人通過電子郵件和實時通話等形式發(fā)出的警告信息。這樣便可以使控制中心的工作人員在第一時間掌握情況，并進行現(xiàn)場數(shù)據(jù)信息的錄入工作，為保障計算機安全打下基礎(chǔ)。從實際操作方面來看，主要利用指定程序終止攻擊鏈接。所以，盡管技術(shù)人員能夠利用對等入侵檢測技術(shù)手段發(fā)現(xiàn)異常數(shù)據(jù)和行為，不過仍須提前編譯攻擊程序，并保證程序內(nèi)容可以和安全策略進行一一對應(yīng)，以此為計算機安全打下堅實基礎(chǔ)[4] 。

6結(jié)語

在網(wǎng)絡(luò)信息技術(shù)快速發(fā)展的背景之下，計算機網(wǎng)絡(luò)安全維護工作變得越來越重要。但是由于現(xiàn)階段的入侵檢測技術(shù)依舊存在一定的不足，進而使得大部分單位在解決與網(wǎng)絡(luò)入侵有關(guān)的問題時，通常都會采用主機與網(wǎng)絡(luò)有機結(jié)合的入侵檢測系統(tǒng)。當然，入侵檢測技術(shù)也在隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展而不斷變化，進而使得關(guān)于數(shù)據(jù)信息、神經(jīng)網(wǎng)絡(luò)等一系列異常行為的入侵檢測技術(shù)也逐漸成熟和完善。與此同時，計算機網(wǎng)絡(luò)用戶要想提升網(wǎng)絡(luò)系統(tǒng)的安全性、可靠性，不僅需要應(yīng)用可靠、成熟的技術(shù)，還需要對其進行維護以及管理。