基于入侵檢測技術(shù)的網(wǎng)絡(luò)運行安全分析

李琰

【摘要】 最近幾年，在我國的各個行業(yè)、領(lǐng)域中已經(jīng)實現(xiàn)了計算機網(wǎng)絡(luò)管理模式，但是隨之而來的網(wǎng)絡(luò)運行安全問題逐漸成為人民關(guān)注的重點。入侵檢測技術(shù)是目前保護計算機網(wǎng)絡(luò)安全的新型網(wǎng)絡(luò)安全技術(shù)之一，不僅能夠?qū)θ肭中袨檫M行信息收集、分析檢測、及時響應(yīng)，還可以彌補防火墻的缺陷，確保計算機網(wǎng)絡(luò)的安全運行。本文將重點探討入侵檢測技術(shù)的概念以及在計算機網(wǎng)絡(luò)運行中的安全防護策略。

【關(guān)鍵詞】 網(wǎng)絡(luò)運行 安全 入侵檢測技術(shù)

隨著計算機網(wǎng)絡(luò)運行安全問題的日益凸顯，入侵檢測技術(shù)作為一個新型的主動防御網(wǎng)絡(luò)攻擊安全技術(shù)成為保護網(wǎng)絡(luò)運行安全的重要措施之一。入侵檢測技術(shù)雖然利用傳統(tǒng)手段訪問者進行檢查，但是可以進一步擴展系統(tǒng)管理員的安全管理能力，提高網(wǎng)絡(luò)系統(tǒng)安全基礎(chǔ)結(jié)構(gòu)的完整性，同時與防火墻合用還可彌補防火墻的缺陷，可共同抵御外網(wǎng)攻擊，保護網(wǎng)絡(luò)系統(tǒng)能夠正常運行。

一、入侵檢測技術(shù)基本概念

入侵檢測技術(shù)主要針對非法或者未授權(quán)情況下的入侵行為進行檢測，并對計算機網(wǎng)絡(luò)或者網(wǎng)絡(luò)系統(tǒng)中若干關(guān)鍵點的信息進行全面采集、分析，并對計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)中的違法安全策略行為或者被攻擊跡象進行全面檢查[1]。如果在一個計算機系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)中安裝了入侵檢測系統(tǒng)（IDS），便可對系統(tǒng)中某些特定范圍實現(xiàn)實時監(jiān)控，當(dāng)系統(tǒng)受到外網(wǎng)攻擊時可迅速檢測并作出響應(yīng)。具體的入侵檢測/響應(yīng)流程如圖1。

二、計算機網(wǎng)絡(luò)運行安全中入侵檢測技術(shù)應(yīng)用策略

2.1 采集入侵信息策略

數(shù)據(jù)是入侵檢測技術(shù)發(fā)揮作用的重要因素之一，常規(guī)情況下檢測數(shù)據(jù)源主要涵蓋：系統(tǒng)、網(wǎng)絡(luò)日志、文件以及目錄中保密事項、執(zhí)行程序中的限制操作行為、入侵物理形式信息等等。

在計算機網(wǎng)絡(luò)應(yīng)用進程中，入侵檢測技術(shù)若需要采集所有相關(guān)信息，則需要在每個網(wǎng)段中部署一個以上的IDS代理，并根據(jù)對應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)特征運用多樣連接形式的數(shù)據(jù)采集方式；同時，可在交換機內(nèi)部或者防火墻的數(shù)據(jù)流入口或者出口處設(shè)置入侵檢測系統(tǒng)，這樣便可以有效采集相應(yīng)的關(guān)鍵核心數(shù)據(jù)。

若需要采集網(wǎng)絡(luò)系統(tǒng)中不同類別的關(guān)鍵信息，一方面需要根據(jù)檢測對象合理擴大檢測的范圍、設(shè)置截取網(wǎng)絡(luò)數(shù)據(jù)包；另一方面則需要對網(wǎng)絡(luò)系統(tǒng)中的薄弱環(huán)節(jié)進行重點分析。而對于整個計算機網(wǎng)絡(luò)系統(tǒng)而言，產(chǎn)生入侵行為相對較少，只需要建一個數(shù)據(jù)群進行集中處理即可，重點應(yīng)加強對入侵行為的針對性分析能力。

2.2 分析、檢測入侵信息策略

在計算機網(wǎng)絡(luò)運行安全保護中，入侵檢測系統(tǒng)可對各類系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議等進行全面分析，且在安全策略、原則基礎(chǔ)上利用自身的異常檢測、濫用檢測模型進行分析過程模擬，科學(xué)辨識異常或者明顯的攻擊行為，最終構(gòu)建一個分析結(jié)果形成報警信息發(fā)送至管理控制中心。對于TCP/IP 協(xié)議網(wǎng)絡(luò)則運用探測引擎技術(shù)，利用旁路偵聽方式對流經(jīng)網(wǎng)絡(luò)的所有數(shù)據(jù)包實現(xiàn)動態(tài)監(jiān)測，并根據(jù)用戶設(shè)置的相關(guān)安全策略進行分析檢測，可有效辨識各類網(wǎng)絡(luò)安全事件，并將相關(guān)定位、報警信息發(fā)送至管理控制中心。

2.3 響應(yīng)入侵信息策略

對于入侵報警信息，入侵檢測系統(tǒng)將采取積極的響應(yīng)措施，主要操作包含：告警網(wǎng)絡(luò)引擎、告知管理控制平臺、給安全管理人員發(fā)生郵件、向控制中心通報實時對話情況，詳細(xì)記錄現(xiàn)場事件日志，并根據(jù)安全策略設(shè)置合理調(diào)整網(wǎng)絡(luò)配置，并終止不良入侵行為，對于部分特定用戶的相關(guān)程序仍然給予執(zhí)行[2]。同時，在防御外網(wǎng)攻擊中還可以結(jié)合防火墻的優(yōu)勢，構(gòu)建一個協(xié)調(diào)模型以及網(wǎng)絡(luò)完全防御體系。當(dāng)計算機網(wǎng)絡(luò)正常運行時，防火墻的過濾機制可對流經(jīng)的數(shù)據(jù)包進行對比，對非授信數(shù)據(jù)包采取過濾處理，而對于繞過防火墻的數(shù)據(jù)包則可以利用入侵檢測技術(shù)及時對網(wǎng)絡(luò)攻擊行為進行檢測并迅速作出響應(yīng)，從而實現(xiàn)有效防御各類網(wǎng)絡(luò)攻擊行為。

三、結(jié)語

計算機網(wǎng)絡(luò)運行安全防范屬于是一個整體的系統(tǒng)行為，其涉及多個層次的多項防御策略、技術(shù)，雖然入侵檢測技術(shù)作為現(xiàn)代計算機網(wǎng)絡(luò)安全的防御體系中一個重要的組成部分，但是其主要功能在于發(fā)現(xiàn)計算機網(wǎng)絡(luò)運行中的安全問題。因此，在計算機網(wǎng)絡(luò)運行安全保護中，入侵檢測技術(shù)仍然需要聯(lián)合其他安全技術(shù)，相互配合、協(xié)作，以此來增強自身的安全事件動態(tài)監(jiān)測與響應(yīng)能力，從而為企業(yè)提供一個更為安全的網(wǎng)絡(luò)運行環(huán)境。

參考文獻

[1] 趙偉艇，楊照峰.基于入侵檢測技術(shù)的網(wǎng)絡(luò)安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（8）：37-38

[2] 侯思佳.基于入侵檢測系統(tǒng)的計算機網(wǎng)絡(luò)安全技術(shù)分析[J].信息與電腦，2013（07）：144-145