劉陽哈爾濱職業(yè)技術(shù)學院

入侵檢測及防御方法的研究與應用

劉陽
哈爾濱職業(yè)技術(shù)學院

網(wǎng)絡給人們的工作和生活帶來了便利。但同時也帶來了威脅。人們在習慣于網(wǎng)上獲取知識，網(wǎng)絡信息交流、網(wǎng)絡商品購買等活動的時候，一些對應的網(wǎng)絡侵害，甚至網(wǎng)絡犯罪也隨之而來。利用黑客工具，進行網(wǎng)絡攻擊非法的入侵他人網(wǎng)絡，從而獲得他人的通訊信息、他人隱私。甚至利用網(wǎng)絡工具對網(wǎng)站進行攻擊、通過電子銀行非法轉(zhuǎn)賬，獲得非法收入。保障網(wǎng)絡安全，防治網(wǎng)絡入侵，是一個亟待解決的問題。本文從網(wǎng)絡入侵的概念入手，對網(wǎng)絡入侵的常見手段，如何利用技術(shù)手段進行檢測，采取可行的網(wǎng)絡防御介紹等方面進行了詳細的闡述。

檢測技術(shù) 防火墻 信息安全 防御協(xié)同 電子商務

1 網(wǎng)絡安全問題簡介

網(wǎng)絡安全早就收到人們的關(guān)注，人們希望獲得一個真正安全的網(wǎng)絡環(huán)境。這既包含了網(wǎng)絡中硬件設(shè)備的安全，也包含軟件應用的安全。但是在實際的工作生活中，仍然存在很多的網(wǎng)絡安全問題。這是多方面原因構(gòu)成的。一方面存在著網(wǎng)絡使用者，對網(wǎng)絡操作不夠規(guī)范，或者說沒有專業(yè)的知識，沒有經(jīng)驗豐富的網(wǎng)絡管理人員造成了網(wǎng)絡中存在許多問題與漏洞。另一方面，黑客的刻意攻擊，使得網(wǎng)絡安全收到了巨大的威脅。這些攻擊網(wǎng)絡的黑客，有的是出于非法獲取利益和他人隱私的心態(tài)，有的是出于在虛擬世界證明自己的目的，但都對網(wǎng)絡安全造成了侵害。

2 黑客網(wǎng)絡入侵的常用手段

政府網(wǎng)站、銀行網(wǎng)站每年其實都經(jīng)受著黑客的攻擊。要想全面的做好防御與反向檢測，就必須對黑客的攻擊手段進行了解?，F(xiàn)下很多黑客是在一些黑客網(wǎng)站中進行交流，下載一些成型的黑客軟件進行攻擊。并不具備較高的計算機知識和網(wǎng)絡知識。這些黑客的攻擊，方式相對單一、攻擊方式有典型性，比較容易防御。但也存在一些黑客，喜歡研究計算機與網(wǎng)絡知識，這些黑客在攻擊軟件的源碼基礎(chǔ)上進行一些嘗試與創(chuàng)新，容易造成較大的傷害，增加防御難度。例如對計算機匯編語言熟悉，可以加深對低層硬件攻擊的理解。對于操作系統(tǒng)原理的掌握，能夠?qū)W(wǎng)絡后門的尋找更加方便，也加大了防御的難度。以上都是抽象具體而言。但從總體上來說，黑客的攻擊主要是通過病毒與木馬或者惡意代碼來實現(xiàn)的。

可能有些對計算機知識了解不深的會感到疑惑，三者是不是相同的？答案當然是否定的。三者各有不同，這里不過多介紹。簡單說明不同之處。病毒的特性在于類似于生物學上的病毒。具有不同時期的不同特性，能夠潛伏，然后爆發(fā)。同時病毒具有復制性。木馬，我們首先想到的是電影中特洛伊木馬的形象，的確，木馬的特性主要是隱蔽，通過后門非法侵入的作用。而惡意代碼則更是廣義的概念。是起到一定破壞作用的計算機編碼。

3 常用入侵檢測技術(shù)的介紹

首先，異常入侵檢測技術(shù)異常檢測 （Anomaly detection）的假設(shè)是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正?；顒拥摹盎顒雍啓n”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統(tǒng)計規(guī)律時，認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。其次，誤用入侵檢測技術(shù)又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。第一步，對已知的攻擊方法進行攻擊簽名（攻擊簽名是指用一種特定的方式來表示已知的攻擊模式）表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為，是一種直接的方法常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示。誤用檢測是根據(jù)攻擊簽名來判斷入侵的，根據(jù)對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關(guān)系，就可具體描述入侵行為的跡象。

4 入侵防御方案

首先，可以使用入侵檢測系統(tǒng)。它的作用就是通過不同節(jié)點的信息收集，來判斷是否存在網(wǎng)絡入侵現(xiàn)象。曾經(jīng)一度被認為是防火墻的進化產(chǎn)品，可以替代防火墻。但是在使用過程中發(fā)現(xiàn)，入侵檢測系統(tǒng)也存在著問題。經(jīng)常會出現(xiàn)誤判操作。影響了網(wǎng)絡的正常使用。當然在入侵檢測系統(tǒng)不斷的發(fā)展完善過程中，這一現(xiàn)象也逐漸減少。而防火墻能夠起到門衛(wèi)的作用。隔斷不信任網(wǎng)絡與自身網(wǎng)絡的連接。同時殺毒軟件針對不同的木馬和病毒，給出查殺方案，三者合作，是不錯的解決黑客入侵攻擊的方案。

［1］魏宇欣，武穆清.智能網(wǎng)格入侵檢測系統(tǒng)［J］.軟件學報. 2006（11）

［2］周鳴爭.基于核函數(shù)Fisher鑒別的異常入侵檢測［J］.電子與信息學報. 2006（09）