吳月紅

摘要：木馬、病毒的入侵會(huì)帶來(lái)很多數(shù)據(jù)信息安全問(wèn)題，給用戶造成經(jīng)濟(jì)損失，因此對(duì)入侵檢測(cè)技術(shù)進(jìn)行分析和研究具有現(xiàn)實(shí)意義。根據(jù)多年工作實(shí)踐經(jīng)驗(yàn)，認(rèn)為現(xiàn)階段計(jì)算機(jī)網(wǎng)絡(luò)信息管理系統(tǒng)中的入侵檢測(cè)技術(shù)上存在一定問(wèn)題，文章深入分析入侵檢測(cè)技術(shù)現(xiàn)狀，并在此基礎(chǔ)上對(duì)入侵檢測(cè)技術(shù)實(shí)施步驟、分類進(jìn)行分析，同時(shí)以某校園網(wǎng)絡(luò)信息管理為例，探討入侵檢測(cè)技術(shù)的實(shí)際應(yīng)用。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；信息管理系統(tǒng)；入侵檢測(cè)技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）11-0062-02

The Information Management System of Computer Network Intrusion Detection Technology

WU Yue-hong

（Changsha Aeronautical Vocational and Technical College， Changsha 410124， China）

Abstract： the Trojan virus invasion， will bring a lot of information and data security issues， causing economic losses to the user， so it has practical significance to analyze and study the technology of intrusion detection. According to many years of work experience， there are some problems intrusion of computer network information management system in the current detection technology， this paper analyses the present situation of intrusion detection technology， and based on the intrusion detection technology， implementation steps， classification analysis， at the same time in a campus network information management as an example， to explore the application of intrusion detection technology.

Key words： computer network； information management system； intrusion detection technology

現(xiàn)階段，電子商務(wù)、網(wǎng)絡(luò)銀行以及數(shù)字貨幣等新興網(wǎng)絡(luò)業(yè)務(wù)已經(jīng)全面覆蓋大眾，很多企事業(yè)單位、科研機(jī)構(gòu)、金融服務(wù)單位為了提升工作效率，常常將自身數(shù)據(jù)庫(kù)系統(tǒng)于互聯(lián)網(wǎng)進(jìn)行聯(lián)通。這種做法雖然能夠進(jìn)一步提高辦公效果，但系統(tǒng)數(shù)據(jù)安全卻無(wú)法得到保障。目前，基礎(chǔ)性防火墻技術(shù)很難滿足數(shù)據(jù)安全需求，一些非法訪問(wèn)、SQL注入及腳本攻擊等行為，均能夠避開(kāi)安全系統(tǒng)，進(jìn)而對(duì)數(shù)據(jù)來(lái)源進(jìn)行攻擊?；谝陨戏治?，認(rèn)為研究入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)信息管理系統(tǒng)中的應(yīng)用，對(duì)保護(hù)數(shù)據(jù)安全具有推動(dòng)作用。

1 入侵檢測(cè)技術(shù)現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的發(fā)展和進(jìn)步在為人們帶來(lái)了更多便利條件的同時(shí)，也存在很多網(wǎng)絡(luò)安全管理問(wèn)題，網(wǎng)絡(luò)入侵行為就是其中之一?，F(xiàn)階段，網(wǎng)絡(luò)入侵和攻擊方式具有較強(qiáng)隱蔽性，也呈現(xiàn)出多樣化特點(diǎn)，網(wǎng)絡(luò)安全的主要危險(xiǎn)因素包括黑客攻擊、隱蔽通道、計(jì)算機(jī)病毒、特洛伊木馬、信息丟失、邏輯炸彈、內(nèi)外部泄密等，嚴(yán)重威脅到網(wǎng)絡(luò)用戶數(shù)據(jù)的安全性。入侵檢測(cè)的作用與防火墻類似，能夠?qū)τ?jì)算機(jī)應(yīng)用程序、關(guān)鍵數(shù)據(jù)進(jìn)行檢測(cè)，并對(duì)入侵和攻擊行為進(jìn)行攔截，并向用戶發(fā)出警告，發(fā)揮保護(hù)系統(tǒng)、數(shù)據(jù)和信息的作用。但是，入侵檢測(cè)技術(shù)在應(yīng)用過(guò)程中也存在很多問(wèn)題，主要體現(xiàn)在兩個(gè)方面：

1）入侵檢測(cè)系統(tǒng)存在的問(wèn)題實(shí)際上，入侵檢測(cè)軟件本身就屬于一種系統(tǒng)，一定會(huì)存在漏洞，因此也會(huì)在檢測(cè)系統(tǒng)中出現(xiàn)入侵行為?，F(xiàn)階段，隨著入侵和攻擊技術(shù)的不斷提高，很多入侵檢測(cè)系統(tǒng)均有被攻擊的危險(xiǎn)，給系統(tǒng)構(gòu)件帶來(lái)嚴(yán)重?fù)p害。

2）入侵檢測(cè)技術(shù)存在的問(wèn)題入侵檢測(cè)技術(shù)本身存在的問(wèn)題主要體現(xiàn)在兩個(gè)方面，一是提取入侵模式存在缺陷，目前多數(shù)檢測(cè)技術(shù)只能夠?qū)σ阎肭帜Ｊ竭M(jìn)行提取和檢驗(yàn)，針對(duì)很多隱秘性較強(qiáng)的入侵行為則無(wú)所適從，也就是常說(shuō)的“漏警問(wèn)題”。二是網(wǎng)速高于檢測(cè)速度，導(dǎo)致很多攻擊行為在沒(méi)有被攔截的情況下就已經(jīng)實(shí)現(xiàn)了攻擊目的，給信息管理安全帶來(lái)隱患。

2 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)（IDS）可根據(jù)特定安全策略，利用硬件、軟件對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行情況進(jìn)行監(jiān)督，發(fā)現(xiàn)和識(shí)別具有攻擊行為的不良因素，保證網(wǎng)絡(luò)系統(tǒng)的安全性和完整性。入侵檢測(cè)技術(shù)是對(duì)防火墻缺點(diǎn)的補(bǔ)充，不僅可以對(duì)用戶網(wǎng)絡(luò)系統(tǒng)開(kāi)展監(jiān)督和維護(hù)，也可審計(jì)系統(tǒng)的可靠配置，同時(shí)識(shí)別攻擊行為，并做到有效跟蹤，最后向用戶發(fā)出警告。入侵檢測(cè)技術(shù)（IDS）通用模型如圖1所示。

圖1 入侵檢測(cè)技術(shù)（IDS）通用模型

2.1 入侵檢測(cè)技術(shù)實(shí)施步驟

1）收集信息。入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)信息管理系統(tǒng)中應(yīng)用時(shí)，首先要對(duì)用戶網(wǎng)絡(luò)系統(tǒng)主要活動(dòng)、日常行為及配置狀態(tài)等信息進(jìn)行收集。收集這些信息主要依靠分析信息關(guān)鍵點(diǎn)，進(jìn)而拓展檢測(cè)范圍，同時(shí)根據(jù)多種信息收集渠道斷定攻擊行為存在的真實(shí)性。

2）分析信息。通常情況下，入侵檢測(cè)技術(shù)在對(duì)信息數(shù)據(jù)進(jìn)行分析時(shí)，均是采取“模型匹配”方式，并將收集到的信息與數(shù)據(jù)庫(kù)中原始數(shù)據(jù)進(jìn)行比較，進(jìn)而找出入侵和攻擊行為。

3）分析方法。對(duì)收集到的數(shù)據(jù)信息進(jìn)行分析通常需要用到特定方法，其中完整分析法和統(tǒng)計(jì)分析法比較常用。根據(jù)實(shí)際情況，將不同分析方法應(yīng)用在入侵檢測(cè)活動(dòng)中，能夠保證入侵檢測(cè)技術(shù)識(shí)別攻擊行為的實(shí)現(xiàn)。

2.2 入侵檢測(cè)技術(shù)主要分類

根據(jù)入侵檢測(cè)技術(shù)的檢測(cè)目標(biāo)、原理，可將現(xiàn)階段網(wǎng)絡(luò)信息管理入侵檢測(cè)技術(shù)主要兩大類，一類是異常檢測(cè)，另外一種是誤用檢測(cè)。

1）異常檢測(cè)：①特征量選擇。在開(kāi)展異常檢測(cè)時(shí)，為了對(duì)異常入侵行為進(jìn)行有效判斷，通常需要以正常狀態(tài)下系統(tǒng)行為特點(diǎn)為基礎(chǔ)，建立相應(yīng)的輪廓，并在該檢測(cè)系統(tǒng)中對(duì)其進(jìn)行有效記憶，當(dāng)出現(xiàn)異常攻擊時(shí)，系統(tǒng)能夠及時(shí)將其發(fā)現(xiàn)。在建立輪廓和模型時(shí)，需要正確選擇與用戶系統(tǒng)特相關(guān)的特征量，進(jìn)而最大程度發(fā)揮入侵檢測(cè)系統(tǒng)應(yīng)有效果，進(jìn)一步減少檢測(cè)阻力；②參考閾值選擇。在模擬正常情況下系統(tǒng)特征后，為提高入侵檢測(cè)的正確性和可靠性，通常要對(duì)參考閾值進(jìn)行選擇。實(shí)踐過(guò)程中發(fā)現(xiàn)，當(dāng)參考閾值設(shè)置過(guò)大時(shí)，會(huì)相應(yīng)增加“漏警”率。而當(dāng)閾值參考值過(guò)小時(shí)，則會(huì)導(dǎo)致檢測(cè)系統(tǒng)出現(xiàn)更多“虛警”率。因此，應(yīng)在維持異常檢查進(jìn)程合理性的基礎(chǔ)上，選擇適宜的參考閾值，保證異常檢測(cè)發(fā)揮自身最大效果。

2）誤用檢測(cè)：應(yīng)用誤用檢測(cè)方法的前提是保證所有攻擊行為和入侵行為均能夠被有效標(biāo)記，也就是通過(guò)對(duì)攻擊行為實(shí)施簽名，進(jìn)而根據(jù)標(biāo)記后的簽名判斷攻擊行為。多數(shù)攻擊、入侵行為均是在網(wǎng)絡(luò)漏洞中形成的，應(yīng)用誤用檢測(cè)方法不僅可以完整無(wú)誤的界定相關(guān)網(wǎng)絡(luò)行為，還能準(zhǔn)確找出這些網(wǎng)絡(luò)行為中的攻擊行為，進(jìn)而形成良好的預(yù)警機(jī)制，為識(shí)別入侵和攻擊行為奠定基礎(chǔ)。同時(shí)，誤用檢測(cè)方法僅需完成數(shù)據(jù)采集即可實(shí)現(xiàn)入侵檢測(cè)，進(jìn)而減少應(yīng)用幅度，可提升入侵檢測(cè)技術(shù)整體應(yīng)用效果。

3 入侵檢測(cè)技術(shù)實(shí)際應(yīng)用案例

3.1 校園網(wǎng)絡(luò)主要安全問(wèn)題分析

網(wǎng)絡(luò)安全不斷受到各種不良因素的沖擊，高校也逐漸成為重災(zāi)區(qū)。通常，高校校園網(wǎng)基礎(chǔ)架構(gòu)是為了實(shí)現(xiàn)學(xué)術(shù)研究，并為學(xué)校內(nèi)部通信提供方便。但隨著高校的發(fā)展，校園網(wǎng)絡(luò)系統(tǒng)除了要承擔(dān)常規(guī)服務(wù)外，還要兼顧到教學(xué)管理和網(wǎng)絡(luò)教學(xué)。以某高校校園網(wǎng)絡(luò)信息管理系統(tǒng)為例，探討入侵檢測(cè)技術(shù)的實(shí)際應(yīng)用。

本校校園網(wǎng)絡(luò)是從局域網(wǎng)發(fā)展而來(lái)的，基本不存在網(wǎng)絡(luò)安全防護(hù)，而是僅僅在網(wǎng)絡(luò)系統(tǒng)安裝防病毒相關(guān)軟件和防火墻，這種防護(hù)措施顯然無(wú)法滿足目前校園網(wǎng)絡(luò)安全的需要。若系統(tǒng)遭到黑客攻擊，或存在大量病毒，將會(huì)給校園網(wǎng)絡(luò)系統(tǒng)帶來(lái)很大威脅。通過(guò)檢查發(fā)現(xiàn)，本校校園網(wǎng)存在以下幾點(diǎn)安全隱患：

1）缺乏網(wǎng)絡(luò)安全管理專用設(shè)備本校存在網(wǎng)絡(luò)經(jīng)費(fèi)不足現(xiàn)象，因此將多數(shù)經(jīng)費(fèi)用在關(guān)鍵性設(shè)施建設(shè)中，導(dǎo)致校園網(wǎng)絡(luò)長(zhǎng)期處于比較開(kāi)放的環(huán)境中，且無(wú)安全預(yù)警防范措施。

2）上網(wǎng)場(chǎng)所管理混亂本校網(wǎng)絡(luò)管理存在各自為政的現(xiàn)狀，突出體現(xiàn)在未設(shè)置同意網(wǎng)絡(luò)出口及網(wǎng)絡(luò)監(jiān)控，導(dǎo)致無(wú)法對(duì)上網(wǎng)用戶的身份進(jìn)行唯一識(shí)別，因此存在一定安全隱患。

3）網(wǎng)絡(luò)系統(tǒng)中大量病毒泛濫調(diào)查發(fā)現(xiàn)，本校網(wǎng)絡(luò)系統(tǒng)中存在大量病毒，不僅會(huì)消耗有限的校園網(wǎng)絡(luò)資源，也會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)功能下降，進(jìn)而導(dǎo)致重要數(shù)據(jù)丟失。該校網(wǎng)絡(luò)中單機(jī)殺毒軟件已經(jīng)無(wú)法滿足校園網(wǎng)建設(shè)需要，需要進(jìn)行集中管理。

4）缺少系統(tǒng)的安全管理制度本校網(wǎng)絡(luò)用戶安全意識(shí)比較匱乏，且每天均會(huì)產(chǎn)生大量非正常訪問(wèn)，不僅浪費(fèi)網(wǎng)絡(luò)資源，更給網(wǎng)絡(luò)系統(tǒng)管理安全性帶來(lái)重大隱患。

3.2 入侵檢測(cè)技術(shù)在校園網(wǎng)絡(luò)信息管理中的應(yīng)用

本高校是由兩所大專院校組成，具有綜合性，且校園分布比較分散，兩個(gè)校區(qū)處于不同地理位置。另外，本高校還包括5個(gè)分院校和1個(gè)行政管理學(xué)院。因此，需要對(duì)校園網(wǎng)絡(luò)系統(tǒng)防護(hù)措施進(jìn)行調(diào)整。為此，設(shè)計(jì)出分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，主要以總校區(qū)作為網(wǎng)絡(luò)管理核心，其他分校區(qū)行使二級(jí)網(wǎng)絡(luò)管理，各工作站負(fù)責(zé)各自網(wǎng)絡(luò)管理，形成“三級(jí)集中、分散管理”的大型網(wǎng)絡(luò)部署系統(tǒng)，如圖2所示。

圖2 本高校三級(jí)入侵管理系統(tǒng)圖

最后，確定本高校網(wǎng)絡(luò)安全防護(hù)系統(tǒng)以入侵檢測(cè)為主，以防火墻和抗病毒軟件為輔助措施，并在此體系中建設(shè)傳輸層防護(hù)措施和邊界防護(hù)措施，整個(gè)入侵檢測(cè)系統(tǒng)層次較深，進(jìn)而為保證校園網(wǎng)絡(luò)系統(tǒng)安全性和有效性奠定基礎(chǔ)。

3.3 網(wǎng)絡(luò)安全隱患具體解決辦法

1）部署防火墻：防火墻是保證網(wǎng)絡(luò)安全的基礎(chǔ)性屏障，將防火墻作為控制點(diǎn)后，能夠提高校園內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性。鑒于本高校網(wǎng)絡(luò)建設(shè)的特殊性，防火墻配置應(yīng)該遵循以下幾點(diǎn)原則：①設(shè)置安全過(guò)濾規(guī)則，對(duì)協(xié)議、源地址、端口及流向進(jìn)行 （下轉(zhuǎn)第73頁(yè)）

（上接第63頁(yè)）

數(shù)據(jù)審核，禁止公網(wǎng)非法訪問(wèn)；②建立內(nèi)部網(wǎng)絡(luò)IP地址；③在局域網(wǎng)的入口設(shè)置防火墻（千兆），實(shí)現(xiàn)VPN功能；④防火墻訪問(wèn)日志要定時(shí)進(jìn)行查看，方便發(fā)現(xiàn)攻擊、入侵行為。

2）架設(shè)入侵監(jiān)測(cè)系統(tǒng)：在防火墻后架設(shè)IDS，能夠?qū)π@網(wǎng)絡(luò)信息管理進(jìn)行實(shí)時(shí)監(jiān)控。多數(shù)情況下，入侵監(jiān)測(cè)系統(tǒng)能夠?qū)W(wǎng)絡(luò)系統(tǒng)活動(dòng)進(jìn)行記錄，因此可以和路由器、防火墻進(jìn)行配合。入侵監(jiān)測(cè)系統(tǒng)可以對(duì)當(dāng)前網(wǎng)絡(luò)系統(tǒng)活動(dòng)進(jìn)行監(jiān)控，并準(zhǔn)確記錄上網(wǎng)流量變化情況，根據(jù)相關(guān)規(guī)則對(duì)主機(jī)流量進(jìn)行過(guò)濾，實(shí)現(xiàn)實(shí)時(shí)監(jiān)控和報(bào)警。但是，由于入侵監(jiān)測(cè)系統(tǒng)是通過(guò)指定規(guī)則進(jìn)行檢測(cè)，具有被動(dòng)性。因此，需要根據(jù)本高校校園網(wǎng)絡(luò)實(shí)際情況制定適宜規(guī)則，并對(duì)其進(jìn)行科學(xué)合理的配置。

3）布置網(wǎng)絡(luò)版殺毒軟件：為了有效減少校園局域網(wǎng)病毒感染和傳播，應(yīng)采取措施應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)病毒。因此，我們?cè)诒靖咝Ｐ@網(wǎng)絡(luò)服務(wù)器（Windows2000）中配置了網(wǎng)絡(luò)版本殺毒系統(tǒng)，并在各主機(jī)節(jié)點(diǎn)中設(shè)置網(wǎng)絡(luò)版本殺毒軟件客戶端。為進(jìn)一步保證網(wǎng)絡(luò)安全，應(yīng)及時(shí)對(duì)殺毒軟件進(jìn)行更新。

這種全面入侵檢測(cè)技術(shù)可以使該高校校園網(wǎng)絡(luò)更加安全，且具備完善的抗病毒能力，并對(duì)網(wǎng)絡(luò)信息管理系統(tǒng)產(chǎn)生保護(hù)作用。

4 結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)日新月異，極大的豐富了人們的日常生活。網(wǎng)絡(luò)信息具有開(kāi)放性，一定程度上也增加了人們對(duì)計(jì)算機(jī)的依賴性。目前，雖然入侵檢測(cè)技術(shù)尚存在一定局限性，例如無(wú)法對(duì)所有入侵、攻擊行為進(jìn)行檢測(cè)。但是，入侵檢測(cè)技術(shù)仍然在網(wǎng)絡(luò)信息安全管理中發(fā)揮重要作用，且能夠在很大程度上減少網(wǎng)絡(luò)入侵對(duì)企事業(yè)單位造成的損失。相信隨著科學(xué)技術(shù)的不斷進(jìn)步，入侵檢測(cè)技術(shù)必然會(huì)得到更加深層次的發(fā)展，使網(wǎng)絡(luò)信息管理更具安全性。

參考文獻(xiàn)：

[1] 魏茂剛.山東?；瘓F(tuán)網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].電子科技大學(xué)學(xué)報(bào)，2013，09（25）.

[2] 劉丹婷.基于聯(lián)動(dòng)機(jī)制的蜜網(wǎng)主機(jī)入侵檢測(cè)系統(tǒng)的研究[J].北京郵電大學(xué)學(xué)報(bào)，2013，03（07）.

[3] 張偉.計(jì)算機(jī)網(wǎng)絡(luò)信息管理系統(tǒng)中的入侵檢測(cè)技術(shù)[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2014，06（01）.

[4] 鄔書(shū)躍.于支持向量機(jī)和貝葉斯分析技術(shù)的入侵檢測(cè)方法研究[J].中南大學(xué)學(xué)報(bào)，2012，17（05）.

[5] 尹文婷.網(wǎng)絡(luò)信息管理中入侵檢測(cè)技術(shù)分析[J].信息安全與技術(shù)，2012，18（23）.