鹿鳴

（陜西國防工業(yè)職業(yè)技術(shù)學院，陜西西安，710300）

1 入侵檢測技術(shù)

第一，入侵檢測技術(shù)的概念。計算機的運行前提是網(wǎng)絡(luò)安全環(huán)境，當計算機受到惡意攻擊、操作失誤等不安全因素時，可能會出現(xiàn)計算機程序運行異常、數(shù)據(jù)丟失等現(xiàn)象。而計算機網(wǎng)絡(luò)的入侵檢測技術(shù)就是指當受到不安全因素時能夠有效的隔離、刪除潛在的病毒及惡意攻擊代碼，進而提高計算機網(wǎng)絡(luò)系統(tǒng)抵御外來攻擊能力的相關(guān)技術(shù)。其能夠及時檢測出計算機網(wǎng)絡(luò)出現(xiàn)的安全問題,及時告知防火墻系統(tǒng)與其結(jié)合輔助抵抗入侵，總體上講，入侵檢測技術(shù)的應(yīng)用能夠彌補計算機防火墻技術(shù)工作中存在的不足問題。

第二，入侵檢測技術(shù)的原理。入侵檢測技術(shù)通過監(jiān)聽、識別、記錄、分析系統(tǒng)及用戶行為，將異常行為及問題向相關(guān)程序發(fā)出預(yù)警。計算機網(wǎng)絡(luò)的入侵檢測系統(tǒng)工作前會對其安全模式進行識別、掃描，在入侵檢測系統(tǒng)工作中可發(fā)揮有效的監(jiān)聽、記錄作用，不斷的積累所監(jiān)聽記錄到的信息，達到一定量時系統(tǒng)會對其數(shù)據(jù)進行自動分析，并與安全模式進行對比，進而可識別出可能存在的安全風險，并對異常問題發(fā)出預(yù)警。

2 入侵檢測技術(shù)的類型及存在問題

第一，異常檢測技術(shù)。異常檢測技術(shù)是一種基于行為進行檢測的方法，其通過付使用者使用的資源、行為進行分析，在通過與設(shè)置可保證計算機正常運行系統(tǒng)的硬盤空間、內(nèi)存利用率等數(shù)據(jù)進行比較，根據(jù)與正常數(shù)據(jù)的偏離情況做出判斷。異常檢測技術(shù)觀察的對象不是已知的入侵行為，而是對計算機運行中出現(xiàn)的異常狀況（常見的有外部闖入、內(nèi)部滲透、資源應(yīng)用不恰當）進行監(jiān)測分析。

異常檢測技術(shù)的檢測依據(jù)是網(wǎng)絡(luò)界定參考閾值及特征量，在其應(yīng)用前要對保證網(wǎng)絡(luò)安全正常行為的界定范圍、行為特點進行了解，在根據(jù)實際情況分析差別，因此網(wǎng)絡(luò)特征量、界定參考閾值的選擇是很關(guān)鍵的，確保代表性、價值性存在的同時要防止冗余特征量的發(fā)生；在界定參考閾值時要注意范圍大小的合理性，提網(wǎng)絡(luò)入侵檢測結(jié)果的準確性。

異常入侵檢測技術(shù)對檢測系統(tǒng)的要求較高，其需具備強大的處理功能，但是在使用中仍然存在著許多問題：首先是如何有效通過數(shù)據(jù)來表示用戶的正常行為的同時降低獲取、處理數(shù)據(jù)的難度，通過不斷對系統(tǒng)、用戶的行為進行改變可保證正常模式的時效性，因此其需要持續(xù)更新。但是當處在持續(xù)更新中，用戶行為突然發(fā)生改變時會增加誤報問題的發(fā)生，降低了監(jiān)測結(jié)果的準確性。其次存在問題較多的是網(wǎng)絡(luò)界定參考閾值的合理確定，當設(shè)定值過高時，其會增加漏報問題的發(fā)生，當設(shè)定值過低時，其會增加誤報問題的發(fā)生，導(dǎo)致不能全面的描述系統(tǒng)中所有用戶的行為，加上用戶頻繁的發(fā)生動態(tài)改變時，導(dǎo)致出現(xiàn)的系統(tǒng)誤報率較高。最后是體現(xiàn)在檢測時間上，其檢測方法的時間較長，且無法保證系統(tǒng)在訓(xùn)練中的正常運行。當系統(tǒng)處于訓(xùn)練狀態(tài)時，其通過對用戶模型的不斷更新來使入侵行為轉(zhuǎn)變成為正常行為，當其設(shè)定為正常模式時其會對降低對異常行為監(jiān)測的準確性。

第二，誤用入侵檢測技術(shù)。誤用入侵檢測技術(shù)是收集可干擾計算機正常運行的不安全因素，在出現(xiàn)入侵情況后將其與已收集的情況、行為進行分析，當入侵的情況與參照的情況相匹配時，可判斷計算機網(wǎng)絡(luò)受到安全入侵行為，反之不匹配時則在判斷計算機網(wǎng)絡(luò)處在安全的環(huán)境中，因此可以看出檢測結(jié)果、技術(shù)的準確性受到構(gòu)造模式的影響。

誤用入侵檢測技術(shù)分為基于鍵盤監(jiān)控、條件概率、狀態(tài)遷移分析的入侵檢測，其優(yōu)勢是能夠依據(jù)入侵特點來構(gòu)建模式庫，并對入侵特點進行發(fā)現(xiàn)、收集，實現(xiàn)檢測入侵行為的同時避免計算器網(wǎng)絡(luò)受到同樣的入侵攻擊。但是在實際誤用入侵檢測技術(shù)的應(yīng)用中仍然存在著不足之處，首先是該種檢測技術(shù)只能檢測已知的入侵行為，受到入侵模式庫的局限而不能檢測未知攻擊，同時也不能檢測已知攻擊形式的變化。其次是誤用入侵檢測技術(shù)的實施前提是具備完善的入侵模式庫，及時更新出現(xiàn)的新入侵方法，因此其維護的工作量也較大。

3 計算機網(wǎng)絡(luò)安全的入侵檢測技術(shù)的應(yīng)用及意見

第一，收集信息工作。在實際工作前應(yīng)該完成入侵檢測技術(shù)的信息收集工作，通常包括系統(tǒng)、網(wǎng)絡(luò)日志中的數(shù)據(jù)、文件中改變的數(shù)據(jù)、應(yīng)用程序執(zhí)行時產(chǎn)生的數(shù)據(jù)、物理形式侵入的數(shù)據(jù),其包含的四個數(shù)據(jù)源是入侵檢測技術(shù)在進行端口調(diào)試中要收集的內(nèi)容。為了保證計算機系統(tǒng)的安全，在收集數(shù)據(jù)源時需要對檢測對象進行反復(fù)確認,確保收集的數(shù)據(jù)源中無異常信息的出現(xiàn)。

第二，分析并處理信息工作。入侵檢測系統(tǒng)收集完信息數(shù)據(jù)后就需要進行數(shù)據(jù)的分析、處理工作，在實際工作中多應(yīng)用模式匹配模式、異常情況分析模式，識別、處理存在問題及安全隱患的數(shù)據(jù)源，并向信息管理器傳達處理后的結(jié)果,管理器進行最后的分析。信息的分析、處理具有規(guī)范化、標準化的特征,可妥善處理計算機網(wǎng)絡(luò)中存在的安全問題,網(wǎng)絡(luò)技術(shù)對問題進行自行分析后并傳達給控制器，進而可入侵檢測技術(shù)的智能化、專業(yè)化，保證計算器網(wǎng)絡(luò)的安全性。在信息數(shù)據(jù)處理問題的過程中,對信號的讀取、解析通常均是單一性質(zhì)的,但是在入侵檢測技術(shù)中的處理中，有異常問題的信息數(shù)據(jù)會在系統(tǒng)中及時告知,將處在實時監(jiān)控下的異常信息以日志的形式被記錄,直至存在的問題被入侵檢測系統(tǒng)處理排除。

第三，響應(yīng)信息及應(yīng)用于防火墻系統(tǒng)技術(shù)。響應(yīng)信息是指入侵檢測系統(tǒng)對異常信息及行為作出的合理化反應(yīng)，其會依據(jù)信息實時變化的狀態(tài)來查看會話記錄，并將信息上報給控制臺來對異常的信息進行優(yōu)化處理。防火墻技術(shù)是計算機中多用的一種應(yīng)用層、網(wǎng)絡(luò)層的控制技術(shù)，通過應(yīng)用防火墻技術(shù)能夠有效保護用戶電腦中的數(shù)據(jù)資源。在通常的情況下，網(wǎng)絡(luò)入侵進行的攻擊行均會被防火墻所阻擋。但是隨著科學技術(shù)的不斷進步，網(wǎng)絡(luò)入侵技術(shù)也在不斷的升級,應(yīng)用傳統(tǒng)、單一的防火墻技術(shù)已經(jīng)不能滿足計算機用戶的實際需求,因此在后期入侵檢測技術(shù)的應(yīng)用中應(yīng)當將其入侵檢測技術(shù)、防火墻技術(shù)進行實踐結(jié)合，確保防火墻發(fā)揮過濾機制的同時發(fā)揮人侵檢測技術(shù)清除攻擊性數(shù)據(jù)的能力。

第四，優(yōu)化入侵檢測技術(shù)，加深與其他新興技術(shù)的融合。舉例來說，大數(shù)據(jù)時代背景下，云計算、分布式計算、數(shù)據(jù)挖掘等智能化的計算、處理方式出現(xiàn)，將云計算技術(shù)與網(wǎng)絡(luò)入侵檢測技術(shù)結(jié)合可節(jié)約空間、降低檢測成本；將分布式計算技術(shù)與網(wǎng)絡(luò)入侵檢測技術(shù)結(jié)合可分解復(fù)雜的問題，提高檢測的全面性。

4 結(jié)語

隨著信息化網(wǎng)絡(luò)技術(shù)的不斷進步，大數(shù)據(jù)在我國各個領(lǐng)域中發(fā)揮重要的作用,在給人們帶給改變的同時計算機網(wǎng)絡(luò)安全問題也日益突出，因此深化入侵檢測技術(shù)的研究及技術(shù)，可有效保證數(shù)據(jù)庫中信息的安全性，進而促進我給計算機網(wǎng)絡(luò)事業(yè)的長期發(fā)展。