吳玉強(qiáng)，田素誠

（南京森林警察學(xué)院，江蘇 南京 210023）

網(wǎng)絡(luò)入侵檢測技術(shù)探析

吳玉強(qiáng)，田素誠

（南京森林警察學(xué)院，江蘇 南京 210023）

隨著現(xiàn)代化科技信息技術(shù)的到來，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在各個行業(yè)中的應(yīng)用越來越廣泛，而網(wǎng)絡(luò)安全的保護(hù)措施就顯得極其重要.網(wǎng)絡(luò)安全性傳統(tǒng)提高的方式通常是施加病毒防護(hù)技術(shù)、加密技術(shù)和防火墻技術(shù)等網(wǎng)絡(luò)安全檢測技術(shù)，這些技術(shù)只能進(jìn)行被動防護(hù)，無法達(dá)到網(wǎng)絡(luò)安全的要求.在現(xiàn)代化科技信息背景下，應(yīng)對網(wǎng)絡(luò)入侵檢測技術(shù)科學(xué)合理的應(yīng)用，實(shí)時進(jìn)行網(wǎng)絡(luò)系統(tǒng)的入侵檢測，能夠使網(wǎng)絡(luò)安全程度得到很大的提升.因此，對于網(wǎng)絡(luò)入侵檢測技術(shù)的科學(xué)合理的應(yīng)用顯得極其重要.本文對網(wǎng)絡(luò)入侵檢測技術(shù)和防治要點(diǎn)進(jìn)行分析，探討如何有效的提高網(wǎng)絡(luò)安全程度.

網(wǎng)絡(luò)入侵；檢測技術(shù)；分析探討

在現(xiàn)代化科技信息技術(shù)的時代背景下，全球經(jīng)濟(jì)得到了很大的發(fā)展，信息產(chǎn)業(yè)的發(fā)展也得到了很大的推動.當(dāng)今社會的主要生產(chǎn)力基本已經(jīng)更換成計(jì)算機(jī)智能化工具，社會的發(fā)展腳步在計(jì)算機(jī)網(wǎng)絡(luò)的推進(jìn)下不斷加快，各類技術(shù)產(chǎn)業(yè)的產(chǎn)物得以盛行.然而在各個行業(yè)領(lǐng)域加強(qiáng)應(yīng)用計(jì)算機(jī)產(chǎn)業(yè)技術(shù)手段時，各類網(wǎng)絡(luò)安全問題也不斷浮出水面.加強(qiáng)對網(wǎng)絡(luò)入侵檢測技術(shù)的應(yīng)用能夠使用戶使用權(quán)益在一定程度上得到安全保障，在此趨勢下，網(wǎng)絡(luò)入侵檢測技術(shù)的發(fā)展也得到了很大的推動，對網(wǎng)絡(luò)入侵檢測技術(shù)的研究、創(chuàng)新，能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)的使用提供安全保障，推動社會經(jīng)濟(jì)的穩(wěn)定發(fā)展.

1 網(wǎng)絡(luò)入侵檢測技術(shù)的重要性

網(wǎng)絡(luò)入侵檢測指的是實(shí)時監(jiān)控計(jì)算機(jī)的運(yùn)行情況，對入侵行為及時了解并采取相對的防治措施，為網(wǎng)絡(luò)安全提供保障.安全管理技術(shù)是網(wǎng)絡(luò)入侵檢測的本質(zhì)，在計(jì)算機(jī)網(wǎng)絡(luò)中應(yīng)用能夠收集分析不同系統(tǒng)源的重要節(jié)點(diǎn)信息，例如安全日志、外部信息、網(wǎng)絡(luò)行為和審計(jì)數(shù)據(jù)等，并根據(jù)這些信息對計(jì)算機(jī)運(yùn)行狀態(tài)是否穩(wěn)定進(jìn)行判斷，對被攻擊現(xiàn)象是否存在進(jìn)行識別，并在自動反應(yīng)后將檢測記錄和報(bào)告生成.

網(wǎng)絡(luò)入侵檢測系統(tǒng)等同于保護(hù)計(jì)算機(jī)安全的第二道閘門，對于計(jì)算機(jī)運(yùn)行安全性的提高有著重要的意義，能夠?qū)⒎阑饓Φ劝踩雷o(hù)措施存在的技術(shù)缺陷補(bǔ)充完善[1]，并且在檢測計(jì)算機(jī)運(yùn)行動態(tài)的過程中不會使網(wǎng)絡(luò)性能受到任何影響.網(wǎng)絡(luò)入侵檢測技術(shù)能夠在網(wǎng)絡(luò)系統(tǒng)發(fā)生更改變換時，及時的將更全面、更準(zhǔn)確的更改變換信息提供給網(wǎng)絡(luò)安全管理人員，便于對網(wǎng)絡(luò)系統(tǒng)漏洞的及時補(bǔ)充，并提供合理有效的依據(jù)便于制定網(wǎng)絡(luò)安全防護(hù)方案.

2 網(wǎng)絡(luò)入侵檢測技術(shù)分類

在網(wǎng)絡(luò)入侵檢測中使用較為普遍的技術(shù)可分為兩種類型：異常入侵檢測和誤用入侵檢測.異常入侵檢測是實(shí)時監(jiān)控使用者所用計(jì)算機(jī)對資源的利用情況和所在網(wǎng)絡(luò)中存在的異常行為，并將檢測的行為根據(jù)一定的描述方式分類，將網(wǎng)絡(luò)行為的正常和入侵區(qū)分開，然后按照分析結(jié)果考慮是否采取安全防護(hù)相關(guān)措施；誤用入侵檢測是對網(wǎng)絡(luò)行為借助已經(jīng)系統(tǒng)、軟件的弱點(diǎn)攻擊方法進(jìn)行入侵檢測，將不利于使用者的不當(dāng)行為篩選出，并采取安全防護(hù)相關(guān)措施為使用者提供安全保障.

2.1 異常檢測

異常入侵檢測也可以稱作基于行為的檢測，該方法是分析使用者對資源的使用情況和行為，并根據(jù)是否與正常偏離的情況對入侵行為進(jìn)行判斷.異常檢測中，所觀察的并非已知行為入侵，而應(yīng)是出現(xiàn)在通信中的異常狀況.該異常狀況通常分成內(nèi)部滲透、外部闖入和資源使用不恰當(dāng).異常入侵檢測主要是根據(jù)網(wǎng)絡(luò)參考閾值和網(wǎng)絡(luò)特征量進(jìn)行檢測，在使用該方法前，首先要界定正常的網(wǎng)絡(luò)安全行為范圍，了解行為特點(diǎn)，然后根據(jù)計(jì)算機(jī)實(shí)際運(yùn)行狀況分析用戶行為，對兩者的差別進(jìn)行分析，從而對網(wǎng)絡(luò)入侵行為的發(fā)生進(jìn)行判斷.在異常檢測方法中，選擇特征量和界定參考閾值極其重要，在對特征量進(jìn)行選擇時[2]，不僅要確保代表性和價值性的存在，同時還要防止冗余特征量的出現(xiàn)；而對參考閾值進(jìn)行界定時，必須確保界定范圍的合理性，防止出現(xiàn)過大或過小的情況，以免影響網(wǎng)絡(luò)入侵檢測結(jié)果的精確性.和誤用入侵檢測技術(shù)不同，異常入侵檢測能夠準(zhǔn)確的對為止入侵行為進(jìn)行檢測，但是對檢測系統(tǒng)要求具備較強(qiáng)的處理功能，同時能夠?qū)崟r進(jìn)行更新.然而在異常檢測技術(shù)中有以下幾個問題存在：

（1）對用戶的正常行為如何有效進(jìn)行表示，也就是說通過哪些數(shù)據(jù)對用戶行為進(jìn)行有效反應(yīng)，而且還能很容易獲取、處理這些數(shù)據(jù).在不斷改變的系統(tǒng)、用戶的行為下，正常模式擁有了時效性，必須持續(xù)進(jìn)行更新，而出現(xiàn)突發(fā)改變的用戶行為時，很可能出現(xiàn)誤報(bào)的情況.

（2）無法確定合理的閾值會造成很多問題.設(shè)定值較高會有漏報(bào)的情況出現(xiàn)，而設(shè)定值偏低會出現(xiàn)誤報(bào)的情況.由于無法全面的對系統(tǒng)內(nèi)所有用戶行為進(jìn)行描述，因此在眾多用戶經(jīng)常出現(xiàn)行為動態(tài)改變時，會出現(xiàn)較高的系統(tǒng)誤報(bào)率.

（3）訓(xùn)練異常檢測方法的時間普遍較長，并且系統(tǒng)在訓(xùn)練時無法正常運(yùn)行，被入侵者了解到處于訓(xùn)練的系統(tǒng)，便能通過對用戶模型的逐步更新將入侵行為轉(zhuǎn)變?yōu)檎Ｐ袨閺亩⒄ＤＪ?異常檢測判定標(biāo)準(zhǔn)缺乏精確性以及較高的誤檢率，導(dǎo)致該技術(shù)方法的研究得不到很大的改善.

2.2 誤用入侵檢測技術(shù)

誤用入侵檢測技術(shù)是將入侵情況對比已知入侵情況和入侵行為并進(jìn)行分析，如果入侵行為能夠和參照行為匹配說明該網(wǎng)絡(luò)中有誤用入侵行為存在，如果無法匹配則說明該網(wǎng)絡(luò)中沒有誤用入侵行為的存在.由此可見，檢測結(jié)果的準(zhǔn)確性與檢測技術(shù)能否準(zhǔn)確構(gòu)造模式有著緊密的聯(lián)系.誤用入侵檢測技術(shù)通?？梢苑譃榛阪I盤監(jiān)控的入侵檢測、基于條件概率的入侵檢測和基于狀態(tài)遷移分析的入侵檢測等，這幾種技術(shù)都擁有相同的核心思想，不同在建立模式的方法、手段.但是在誤用入侵檢測技術(shù)中，有以下幾個問題存在：

（1）由于該技術(shù)只能對已知入侵行為進(jìn)行檢測，局限于入侵模式庫，無法針對未知攻擊進(jìn)行檢測，對于已知攻擊的形式變化也無法檢測.

（2）使用誤用入侵檢測技術(shù)進(jìn)行檢測，要求入侵模式庫必須完備，針對于新入侵方法的大量出現(xiàn)，必須不斷對入侵模式庫進(jìn)行及時更新，維護(hù)的工作量很大.

3 網(wǎng)絡(luò)入侵檢測防治技術(shù)

3.1 基于主機(jī)的入侵檢測防治技術(shù)

在計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行網(wǎng)絡(luò)安全保護(hù)的方法中，以主機(jī)為發(fā)展基礎(chǔ)的入侵檢測防治技術(shù)的應(yīng)用屬于較早的存在.該方法在對網(wǎng)絡(luò)是否存在入侵現(xiàn)象時，通常是以計(jì)算機(jī)系統(tǒng)的測評和跟蹤日志作為參考數(shù)據(jù)，并通過分析以報(bào)告的形式表示出網(wǎng)絡(luò)具體行為.在使用該技術(shù)時，按照主機(jī)的數(shù)量而定，主機(jī)數(shù)量不多時，無需添加專門的硬件平臺，沒有較高的技術(shù)成本，而且對每個主機(jī)都能明確的區(qū)分，可以集中檢測在主機(jī)系統(tǒng)中存在的網(wǎng)絡(luò)入侵行為，并參考網(wǎng)絡(luò)協(xié)議能對網(wǎng)絡(luò)入侵情況及時發(fā)現(xiàn).

3.2 基于網(wǎng)絡(luò)的入侵檢測防治技術(shù)

以網(wǎng)絡(luò)為發(fā)展基礎(chǔ)的入侵檢測防治技術(shù)，是通過專業(yè)工具軟件如嗅探器等，對網(wǎng)絡(luò)傳輸流量進(jìn)行監(jiān)控，并分析截獲采集后的網(wǎng)絡(luò)數(shù)據(jù)，與網(wǎng)絡(luò)正常行為特征或是網(wǎng)絡(luò)入侵已知行為特征作比較，對網(wǎng)絡(luò)是否出現(xiàn)入侵現(xiàn)象進(jìn)行判斷.同時，也能夠?qū)⑷肭謾z測工具安裝在網(wǎng)絡(luò)重要節(jié)點(diǎn)上，有利于分析數(shù)據(jù)包載荷，提高對網(wǎng)絡(luò)入侵行為識別的準(zhǔn)確性[3]，并采取相應(yīng)的防備措施.該方法包含高實(shí)用性、多種檢測類型以及配置簡單等優(yōu)點(diǎn)，不需要在操作系統(tǒng)中采集數(shù)據(jù)源，不過該方法對主機(jī)系統(tǒng)的入侵檢測無法實(shí)現(xiàn)，僅僅能對網(wǎng)段進(jìn)行檢測，無法確保網(wǎng)絡(luò)入侵檢測結(jié)果的準(zhǔn)確性.

3.3 分布式網(wǎng)絡(luò)入侵防治技術(shù)

通過對網(wǎng)絡(luò)入侵檢測防治技術(shù)的不斷研究、創(chuàng)新，以分布式結(jié)構(gòu)為基礎(chǔ)的網(wǎng)絡(luò)入侵防治技術(shù)也得到了廣泛應(yīng)用，使對系統(tǒng)入侵檢測的協(xié)調(diào)性得到了良好的提高，并將傳統(tǒng)的入侵檢測防治技術(shù)存在于大規(guī)模網(wǎng)絡(luò)和異構(gòu)系統(tǒng)中的局限性解決.分布式網(wǎng)絡(luò)入侵是融合了基于主機(jī)與網(wǎng)絡(luò)入侵檢測防治技術(shù)的方法，使用主機(jī)入侵檢測技術(shù)對主機(jī)進(jìn)行檢測，利用網(wǎng)絡(luò)入侵檢測對網(wǎng)絡(luò)重要節(jié)點(diǎn)進(jìn)行檢測，隨后根據(jù)分析網(wǎng)絡(luò)數(shù)據(jù)的結(jié)果，對網(wǎng)絡(luò)中是否存在入侵行為進(jìn)行判斷，并實(shí)施對應(yīng)的方法進(jìn)行防治，有效提高網(wǎng)絡(luò)使用的安全.

4 網(wǎng)絡(luò)入侵檢測技術(shù)要點(diǎn)

根據(jù)以上入侵檢測技術(shù)的分析，可以得知在網(wǎng)絡(luò)安全防護(hù)中應(yīng)用網(wǎng)絡(luò)入侵檢測技術(shù)能夠有效的對網(wǎng)絡(luò)安全進(jìn)行保護(hù)，解決網(wǎng)絡(luò)中存在的安全問題.而在使用這些技術(shù)的過程中，必須對各類檢測技術(shù)的要點(diǎn)進(jìn)行科學(xué)合理的應(yīng)用.

4.1 注意實(shí)時性的體現(xiàn)

在對網(wǎng)絡(luò)進(jìn)行入侵檢測時，發(fā)現(xiàn)存在入侵攻擊或有攻擊企圖時，必須對入侵者進(jìn)行及時追蹤，并對入侵者給予破壞，以免網(wǎng)絡(luò)在后續(xù)中再次發(fā)生被攻擊的情況.

4.2 注意適用性的體現(xiàn)

必須對網(wǎng)絡(luò)的環(huán)境、主機(jī)的數(shù)量以及計(jì)算機(jī)系統(tǒng)的類型的信息進(jìn)行詳細(xì)了解，并根據(jù)這些信息采用合理有效的網(wǎng)絡(luò)入侵檢測技術(shù)[4]，便于該技術(shù)在對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行檢測中能夠充分發(fā)揮出技術(shù)的作用，有效提高入侵檢測結(jié)果的準(zhǔn)確性，確保網(wǎng)絡(luò)的運(yùn)行安全.

4.3 注意可擴(kuò)展性的體現(xiàn)

由于對網(wǎng)絡(luò)進(jìn)行攻擊的行為存在多樣性，因此計(jì)算機(jī)網(wǎng)絡(luò)受到的破環(huán)也存在區(qū)別.便于對各種網(wǎng)絡(luò)攻擊行為進(jìn)行有效的防御，應(yīng)注意對網(wǎng)絡(luò)入侵檢測系統(tǒng)的擴(kuò)展，提高檢測防治力度.

5 結(jié)語

網(wǎng)絡(luò)入侵檢測技術(shù)是根據(jù)實(shí)時采集到的計(jì)算機(jī)主機(jī)和網(wǎng)絡(luò)中的關(guān)鍵信息并進(jìn)行分析，從而對是否出現(xiàn)合法用戶對資源的濫用或非法用戶入侵的行為進(jìn)行判斷，并采取對應(yīng)措施進(jìn)行處理.該方法是以傳統(tǒng)的網(wǎng)絡(luò)安全防治技術(shù)為基礎(chǔ)，結(jié)合檢測技術(shù)開展的主動防御，將以往網(wǎng)絡(luò)安全事故被動處理的方式轉(zhuǎn)變?yōu)閷W(wǎng)絡(luò)入侵行為的提前防治和自動處理，并將有效證據(jù)提供于對入侵者法律責(zé)任的追究.隨著對網(wǎng)絡(luò)安全防護(hù)技術(shù)的重視，對網(wǎng)絡(luò)入侵檢測技術(shù)的研究不斷加大，這對于網(wǎng)絡(luò)環(huán)境的安全、穩(wěn)定和健康的構(gòu)建有著重大的意義.而由于加大了網(wǎng)絡(luò)入侵檢測防治技術(shù)的研究力度，該檢測防治技術(shù)也得到了改進(jìn)、完善，同時更多形式、種類的檢測防治技術(shù)不斷出現(xiàn)，使網(wǎng)絡(luò)環(huán)境的安全得到了很大的提升，為網(wǎng)絡(luò)使用者提供了網(wǎng)絡(luò)安全的保障.

〔1〕黃少文.網(wǎng)絡(luò)入侵檢測技術(shù)的要點(diǎn)[J].電子技術(shù)與軟件工程，2016(22)：228.

〔2〕郝炳潔.入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].信息系統(tǒng)工程，2016(10)：72.

〔3〕韓樹軍.計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測技術(shù)探析[J].現(xiàn)代商業(yè)，2016(14)：181-182.

〔4〕王宇祥.入侵檢測技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中運(yùn)用探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016(04)：22，24.

TP393.08

A

1673-260X（2017）09-0020-02

2017-06-06

中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金項(xiàng)目（LGYB201605）