高云

摘 要 在信息化和網(wǎng)絡(luò)化時(shí)代，網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越重要，已經(jīng)成為影響計(jì)算機(jī)技術(shù)發(fā)展的主要因素，受到了人們的廣泛關(guān)注。在網(wǎng)絡(luò)環(huán)境復(fù)雜程度不斷提高的背景下，傳統(tǒng)防火墻技術(shù)、數(shù)據(jù)加密技術(shù)等安全防護(hù)技術(shù)，已經(jīng)無(wú)法滿足網(wǎng)絡(luò)安全需求，網(wǎng)絡(luò)信息安全面臨著較大的威脅，而網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的出現(xiàn)與應(yīng)用，是對(duì)傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)的補(bǔ)充，有效增強(qiáng)了網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全性，在促進(jìn)計(jì)算機(jī)技術(shù)健康、穩(wěn)定發(fā)展方面發(fā)揮著重要作用。

【關(guān)鍵詞】網(wǎng)絡(luò)入侵檢測(cè) 實(shí)現(xiàn)過(guò)程 防治技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，改變了人們的生活生產(chǎn)方式，既為人們帶來(lái)了眾多便利，又提高了科技向生產(chǎn)力的轉(zhuǎn)化效率，已經(jīng)滲透到了各個(gè)行業(yè)和領(lǐng)域。但是，在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的實(shí)際應(yīng)用過(guò)程中，網(wǎng)絡(luò)安全容易受到眾多因素的影響，如黑客攻擊、病毒入侵、操作失誤等，不利于網(wǎng)絡(luò)技術(shù)應(yīng)用優(yōu)勢(shì)的充分發(fā)揮，所以就需要加大對(duì)網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究力度，不斷開(kāi)發(fā)新的網(wǎng)絡(luò)安全保障系統(tǒng)，提高計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全系數(shù)。

1 網(wǎng)絡(luò)入侵檢測(cè)概念及重要作用

網(wǎng)絡(luò)入侵檢測(cè)是指通過(guò)對(duì)計(jì)算機(jī)運(yùn)行情況進(jìn)行時(shí)時(shí)監(jiān)控，及時(shí)發(fā)覺(jué)入侵行為，并做出相應(yīng)的反應(yīng)動(dòng)作，進(jìn)而來(lái)保證網(wǎng)絡(luò)安全。網(wǎng)絡(luò)入侵檢測(cè)的本質(zhì)是一種安全管理技術(shù)，將其應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)中，可以對(duì)不同系統(tǒng)源的重要節(jié)點(diǎn)信息進(jìn)行收集分析，包括網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)及外部信息等，以此作為依據(jù)，判斷計(jì)算機(jī)是否處于穩(wěn)定運(yùn)行狀態(tài)，并識(shí)別其中是否存在被攻擊現(xiàn)象，在作出自動(dòng)反應(yīng)后生成檢測(cè)記錄和檢測(cè)報(bào)告。

網(wǎng)絡(luò)入侵檢測(cè)技術(shù)對(duì)于提高計(jì)算機(jī)運(yùn)行的安全性具有重要意義。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)相當(dāng)于計(jì)算機(jī)的第二道安全閘門，補(bǔ)充完善了防火墻安全防護(hù)技術(shù)缺陷，在對(duì)計(jì)算機(jī)運(yùn)行動(dòng)態(tài)情況進(jìn)行檢測(cè)的同時(shí)，不會(huì)對(duì)網(wǎng)絡(luò)性能造成影響。同時(shí)，當(dāng)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)變更調(diào)整時(shí)，可以快速將變更信息及時(shí)、準(zhǔn)確、全面的傳遞給網(wǎng)絡(luò)安全管理人員，盡快實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)漏洞的修補(bǔ)，為網(wǎng)絡(luò)安全防護(hù)方案的制定提供可靠依據(jù)。

2 網(wǎng)絡(luò)入侵檢測(cè)的分類

根據(jù)網(wǎng)絡(luò)入侵檢測(cè)依據(jù)的不同，可以將其分為誤用檢測(cè)和異常檢測(cè)兩種。

2.1 誤用檢測(cè)

誤用檢測(cè)是以攻擊簽名作為主要依據(jù)，通過(guò)對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行假定，將其表示為具體的網(wǎng)絡(luò)語(yǔ)言，實(shí)現(xiàn)攻擊簽名與入侵行為特點(diǎn)的相照應(yīng)，來(lái)判斷是否存在網(wǎng)絡(luò)入侵現(xiàn)象。保證攻擊簽名的準(zhǔn)確性是確保誤用檢測(cè)有效性的首要前提，并且在對(duì)入侵行為進(jìn)行網(wǎng)絡(luò)語(yǔ)言設(shè)定時(shí)，必須將非入侵行為排除在外，才能對(duì)是否存在網(wǎng)絡(luò)入侵現(xiàn)象進(jìn)行準(zhǔn)確判斷。以攻擊簽名為基礎(chǔ)的網(wǎng)絡(luò)入侵誤用檢測(cè)，可以對(duì)網(wǎng)絡(luò)入侵行為的特點(diǎn)、發(fā)生條件、排列關(guān)系等要素進(jìn)行總結(jié)歸納，以此作為理論依據(jù)，對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行預(yù)防。采用誤用檢測(cè)方法，可以有效提升網(wǎng)絡(luò)安全性，但是該檢測(cè)方法也存在一定的局限性，無(wú)法對(duì)未知的網(wǎng)絡(luò)入侵行為進(jìn)行準(zhǔn)確檢測(cè)。

2.2 異常檢測(cè)

異常檢測(cè)是一種以網(wǎng)絡(luò)網(wǎng)絡(luò)特征量和參考閾值為主要依據(jù)的網(wǎng)絡(luò)入侵檢測(cè)方法，在應(yīng)用方法的時(shí)候，先對(duì)網(wǎng)絡(luò)行為的正常安全范圍進(jìn)行界定，明確其行為特點(diǎn)，然后將用戶行為和計(jì)算機(jī)實(shí)際運(yùn)行情況與之進(jìn)行比較，分析兩者之間的差異性，來(lái)判斷是否發(fā)生網(wǎng)絡(luò)入侵現(xiàn)象。網(wǎng)絡(luò)行為特征量的選擇和參考閾值的界定，是異常檢測(cè)方法中的關(guān)鍵問(wèn)題，在選擇網(wǎng)絡(luò)行為特征量的時(shí)候，既要保證其價(jià)值性和代表性，又要避免出現(xiàn)冗余特征量；在設(shè)定參考閾值的時(shí)候，應(yīng)該保證閾值范圍的合理性，避免閾值過(guò)大或者過(guò)小，提高網(wǎng)絡(luò)入侵檢測(cè)的準(zhǔn)確率。相比于誤用檢測(cè)方法，異常檢測(cè)可以對(duì)未知網(wǎng)絡(luò)入侵行為進(jìn)行準(zhǔn)確檢測(cè)，但是要求檢測(cè)系統(tǒng)具有較強(qiáng)的處理性能，并且可以進(jìn)行實(shí)時(shí)更新。

3 網(wǎng)絡(luò)入侵檢測(cè)防治技術(shù)

經(jīng)過(guò)長(zhǎng)期的研究與實(shí)踐應(yīng)用，現(xiàn)階段已經(jīng)形成了多種網(wǎng)絡(luò)入侵檢測(cè)防治技術(shù)，其中應(yīng)用比較廣泛的主要包括以下幾種類型。

3.1 基于主機(jī)的入侵檢測(cè)防治技術(shù)

基于主機(jī)的入侵檢測(cè)防治技術(shù)，在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用是比較早的，在判斷是否存在網(wǎng)絡(luò)入侵現(xiàn)象時(shí)，所使用的參考數(shù)據(jù)主要是計(jì)算機(jī)系統(tǒng)的審計(jì)、跟蹤日志，對(duì)其進(jìn)行分析之后生成報(bào)告，將具體網(wǎng)絡(luò)行為表示出來(lái)。在利用該項(xiàng)網(wǎng)絡(luò)入侵技術(shù)時(shí)，可根據(jù)主機(jī)數(shù)量而定，如果主機(jī)數(shù)量較少，則不需要增加專門的硬件平臺(tái)，技術(shù)成本較低，同時(shí)，能夠明確區(qū)分每個(gè)主機(jī)，對(duì)存在于主機(jī)系統(tǒng)中的網(wǎng)絡(luò)入侵行為進(jìn)行集中檢測(cè)，并且可以根據(jù)網(wǎng)絡(luò)協(xié)議，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵跡象。

3.2 基于網(wǎng)絡(luò)的入侵檢測(cè)防治技術(shù)

以網(wǎng)絡(luò)為基礎(chǔ)發(fā)展而來(lái)的入侵檢測(cè)技術(shù)，是利用嗅探器等專業(yè)工具軟件，來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)傳輸流量，對(duì)截獲、采集得到的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析，結(jié)合已知網(wǎng)絡(luò)入侵行為特征或者正常網(wǎng)絡(luò)行為特征，來(lái)判斷是否出現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象。同時(shí)，還可以通過(guò)在重要網(wǎng)絡(luò)節(jié)點(diǎn)上安裝入侵檢測(cè)工具，便可以對(duì)數(shù)據(jù)包載荷進(jìn)行分析，準(zhǔn)確識(shí)別網(wǎng)絡(luò)入侵行為，并做出防御反應(yīng)。該網(wǎng)絡(luò)入侵檢測(cè)防治技術(shù)具有適用性強(qiáng)、配置簡(jiǎn)單、檢測(cè)類型多等優(yōu)點(diǎn)，不必從操作系統(tǒng)中獲取數(shù)據(jù)源，但是無(wú)法實(shí)現(xiàn)對(duì)主機(jī)系統(tǒng)的入侵檢測(cè)，只能夠進(jìn)行網(wǎng)段檢測(cè)，很難保證網(wǎng)絡(luò)入侵檢測(cè)的精準(zhǔn)性。

3.3 分布式網(wǎng)絡(luò)入侵防治技術(shù)

隨著網(wǎng)絡(luò)入侵檢測(cè)防治技術(shù)的不斷發(fā)展，以分布式結(jié)構(gòu)為基礎(chǔ)形成的入侵檢測(cè)防治技術(shù)應(yīng)用越來(lái)越廣泛，有效提高了入侵檢測(cè)系統(tǒng)的協(xié)調(diào)性，解決了傳統(tǒng)入侵檢測(cè)防治技術(shù)在異構(gòu)系統(tǒng)和大規(guī)模網(wǎng)絡(luò)中應(yīng)用的局限性。分布式網(wǎng)絡(luò)入侵防治技術(shù)是基于主機(jī)和網(wǎng)絡(luò)的入侵檢測(cè)防治技術(shù)的融合，即主機(jī)上采用主機(jī)入侵檢測(cè)，重要網(wǎng)絡(luò)節(jié)點(diǎn)上采用網(wǎng)絡(luò)入侵檢測(cè)，然后利用所得網(wǎng)絡(luò)數(shù)據(jù)的分析結(jié)果，判斷是否出現(xiàn)網(wǎng)絡(luò)入侵行為，進(jìn)而采取相應(yīng)的預(yù)防措施，提高網(wǎng)絡(luò)安全系數(shù)。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全防護(hù)技術(shù)發(fā)展的必然產(chǎn)物，在加強(qiáng)網(wǎng)絡(luò)安全防護(hù)力度、提高網(wǎng)絡(luò)安全系數(shù)方面發(fā)揮著越來(lái)越重要的作用，對(duì)構(gòu)建更加健康、穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境意義重大。隨著對(duì)網(wǎng)絡(luò)入侵檢測(cè)與防治技術(shù)研究力度的不斷增強(qiáng)，出現(xiàn)了更多形式的技術(shù)，網(wǎng)絡(luò)入侵檢測(cè)與防治技術(shù)變得更加完善和成熟，具有更加廣闊的應(yīng)用空間和應(yīng)用前景。

參考文獻(xiàn)

[1]劉恩軍.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究[J].齊齊哈爾大學(xué)學(xué)報(bào)（自然科學(xué)版），2013（04）：52-55.

[2]莫新菊.入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（18）：68-69.

[3]楊菲.入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].數(shù)字化用戶，2013（03）：49-50.

作者單位

鄭州鐵路公安局鄭州公安處網(wǎng)絡(luò)安全保衛(wèi)支隊(duì) 河南省鄭州市 450000