◆凌天斌

?

網(wǎng)絡(luò)安全和入侵檢測(cè)技術(shù)研究

◆凌天斌

(解放軍外國語學(xué)院 河南 471003)

我國近年來計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，人們生活以及各行各業(yè)在工作中都能用到計(jì)算機(jī)，那么這樣一來，計(jì)算機(jī)網(wǎng)絡(luò)安全就非常重要了，以往為了保證網(wǎng)絡(luò)的安全性，一般使用網(wǎng)絡(luò)防護(hù)技術(shù)對(duì)來對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù)，比如防火墻、病毒防護(hù)技術(shù)等，但是使用這種防護(hù)技術(shù)只能被動(dòng)的對(duì)網(wǎng)絡(luò)進(jìn)行防護(hù)而無法檢測(cè)網(wǎng)絡(luò)的安全性能，僅僅只能防護(hù)已經(jīng)不能滿足網(wǎng)絡(luò)安全的需求，如今計(jì)算機(jī)廣泛應(yīng)用于人們的生活以及工作中，網(wǎng)絡(luò)日益復(fù)雜，保護(hù)網(wǎng)絡(luò)的安全性，除了防護(hù)系統(tǒng)之外還要主動(dòng)對(duì)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)。本文將主要針對(duì)入侵檢測(cè)技術(shù)來對(duì)網(wǎng)絡(luò)安全中入侵檢測(cè)技術(shù)的應(yīng)用進(jìn)行分析。

網(wǎng)絡(luò)安全，入侵檢測(cè)技術(shù)，應(yīng)用

0 引言

隨著計(jì)算機(jī)的廣泛應(yīng)用，在這個(gè)高度發(fā)達(dá)的信息時(shí)代，網(wǎng)絡(luò)是信息傳遞的基礎(chǔ)，它作為人們之間交流的工具有著不可替代的作用，推動(dòng)了國家的經(jīng)濟(jì)發(fā)展，網(wǎng)絡(luò)的應(yīng)用改變了人們傳統(tǒng)的生活方式，對(duì)國家在政治、軍事、經(jīng)濟(jì)方面的政策決定非常重要。信息網(wǎng)絡(luò)的各種特點(diǎn)，比如開放化、國際化、社會(huì)化等，使國家之間的傳統(tǒng)戰(zhàn)爭(zhēng)變?yōu)樾畔?zhàn)，國家之間關(guān)于信息的獲取、使用以及信息的控制等的戰(zhàn)爭(zhēng)愈演愈烈，“信息邊疆”一直在延伸。而這些信息的獲取都源自于網(wǎng)絡(luò)，所以網(wǎng)絡(luò)信息的安全現(xiàn)在關(guān)系著國家系統(tǒng)的安全，保證著社會(huì)的正常發(fā)展，對(duì)于我們個(gè)體而言也是保護(hù)著我們的隱私及一些其他利益。

1 入侵檢測(cè)的含義以及檢測(cè)手段

入侵檢測(cè)是現(xiàn)在網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全審核的一個(gè)重要的環(huán)節(jié)，入侵檢測(cè)系統(tǒng)是一種對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)被非法入侵或出現(xiàn)的異?，F(xiàn)象時(shí)及時(shí)進(jìn)行捕捉的網(wǎng)絡(luò)檢測(cè)技術(shù)，一般主要通過網(wǎng)絡(luò)行為、對(duì)數(shù)據(jù)進(jìn)行審計(jì)和分析安全策略日志來管理網(wǎng)絡(luò)安全系統(tǒng)，入侵檢測(cè)技術(shù)可以在異常因子攻擊計(jì)算機(jī)之前進(jìn)行高效的預(yù)知與攔截，對(duì)內(nèi)部保護(hù)、外部防御等進(jìn)行有效保護(hù)，在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù)的時(shí)候具有更強(qiáng)的主動(dòng)性[1]。入侵檢測(cè)技術(shù)具有三種防護(hù)手段：（1）模式匹配，模式匹配主要檢測(cè)分析計(jì)算機(jī)的數(shù)據(jù)，對(duì)網(wǎng)絡(luò)攻擊特征進(jìn)行確認(rèn)；（2）異常檢測(cè)，異常檢測(cè)是對(duì)網(wǎng)絡(luò)歷史數(shù)據(jù)進(jìn)行收集，并在這個(gè)過程中確定網(wǎng)絡(luò)正常數(shù)據(jù)檔案，對(duì)實(shí)時(shí)活動(dòng)和歷史活動(dòng)檔案進(jìn)行比較，判斷活動(dòng)是否正常，是否是病毒入侵；（3）完整性分析，完整性分析對(duì)網(wǎng)絡(luò)中的文件和目錄進(jìn)行檢測(cè)，檢查是否正常，完整性分析具有一個(gè)非常大的優(yōu)勢(shì)，每一個(gè)入侵的地方完整性分析都可以檢測(cè)出來。

2 入侵檢測(cè)技術(shù)使用要點(diǎn)

入侵檢測(cè)技術(shù)具有很強(qiáng)的網(wǎng)絡(luò)安全檢測(cè)性能，但是想要充分發(fā)揮該技術(shù)的作用，對(duì)網(wǎng)絡(luò)安全問題有效解決，就要對(duì)入侵檢測(cè)技術(shù)的要點(diǎn)非常了解，在使用時(shí)根據(jù)其要點(diǎn)對(duì)網(wǎng)絡(luò)安全進(jìn)行有效檢測(cè)。

2.1實(shí)時(shí)檢測(cè)與控制

在利用網(wǎng)絡(luò)檢測(cè)技術(shù)實(shí)時(shí)入侵檢測(cè)網(wǎng)絡(luò)時(shí)，一旦發(fā)現(xiàn)異常攻擊行為或者攻擊企圖，就要及時(shí)對(duì)入侵者的位置進(jìn)行鎖定，并對(duì)其攻擊行為進(jìn)行破壞，避免后期網(wǎng)絡(luò)攻擊行為再次出現(xiàn)，有效解除攻擊危機(jī)。

2.2根據(jù)情況合理檢測(cè)

在使用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)來對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)的時(shí)候，要根據(jù)網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)連接主機(jī)數(shù)量以及連接計(jì)算機(jī)類型等進(jìn)行了解，根據(jù)具體情況對(duì)入侵檢測(cè)技術(shù)進(jìn)行科學(xué)的設(shè)計(jì)，以達(dá)到技術(shù)的有效實(shí)施，達(dá)到保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全的目的[2]。

2.3入侵檢測(cè)技術(shù)的擴(kuò)展

計(jì)算機(jī)網(wǎng)絡(luò)安全中，不同的攻擊行為有著不同的破壞程度，為了能夠有效對(duì)各種攻擊行為產(chǎn)生預(yù)防作用，要對(duì)入侵檢測(cè)技術(shù)進(jìn)行擴(kuò)展，使之在網(wǎng)絡(luò)安全保護(hù)中，能夠有效防御各種危險(xiǎn)因素產(chǎn)生的破壞。

3 入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用

3.1對(duì)信息進(jìn)行收集

在入侵檢測(cè)當(dāng)中，數(shù)據(jù)有著非常重要的作用，對(duì)檢測(cè)有著舉足輕重的影響。數(shù)據(jù)源大致可分為四種：程序執(zhí)行中不想要出現(xiàn)的行為、物理形態(tài)的入侵、有關(guān)系統(tǒng)和網(wǎng)絡(luò)日志的文件、文件以及目錄中不想要的改變。信息采集的時(shí)候要把單個(gè)或多個(gè)IDS代理布置在每個(gè)網(wǎng)段上，不同的網(wǎng)絡(luò)構(gòu)成導(dǎo)致有不同的數(shù)據(jù)收集連接方式，如若用集線器連接網(wǎng)段，那么交換機(jī)上一般都會(huì)有端口在芯片上，可以把網(wǎng)絡(luò)從端口接入，把入侵檢測(cè)系統(tǒng)安置在較重要的數(shù)據(jù)必須經(jīng)過的出入口也是可以的，基本上得到的數(shù)據(jù)很全面[3]。除此之外，如果分布在網(wǎng)絡(luò)中的信息具有不同關(guān)鍵點(diǎn)，對(duì)這些信息進(jìn)行采集的時(shí)候，要根據(jù)收集信息目標(biāo)擴(kuò)大檢測(cè)范圍，檢測(cè)中欠缺環(huán)節(jié)可能會(huì)出現(xiàn)相同地方檢測(cè)不到異?，F(xiàn)象，這就需要在采集信息中注意并記錄不同目標(biāo)擁有的不同特點(diǎn)，以此，來作為系統(tǒng)判斷是否屬于異常現(xiàn)象的依據(jù)。

3.2對(duì)收集到的信息進(jìn)行分析

收集到的信息要對(duì)信息數(shù)據(jù)進(jìn)行分析，通過分析，發(fā)現(xiàn)是否具有異?；顒?dòng)以及異?；顒?dòng)的特點(diǎn)，并把它發(fā)送給管理器，工作人員要清楚了解各種系統(tǒng)漏洞以及網(wǎng)絡(luò)規(guī)定，從而對(duì)網(wǎng)絡(luò)安全措施以及網(wǎng)絡(luò)安全信息庫進(jìn)行完善，之后再創(chuàng)建各種檢測(cè)模型，使計(jì)算機(jī)能夠進(jìn)行模擬分析并把分析結(jié)果自動(dòng)編制成警示語發(fā)給管理控制中心，此外，IP/TCP網(wǎng)絡(luò)中，網(wǎng)絡(luò)探測(cè)引擎在檢測(cè)技術(shù)中也有著舉足輕重的地位，我們可以把網(wǎng)絡(luò)探測(cè)引擎看成一個(gè)傳感器，它主要是通過旁路監(jiān)聽的方式來檢測(cè)數(shù)據(jù)包，并最終對(duì)檢測(cè)到的異常編制成警告語發(fā)送到控制中心。

3.3信息有關(guān)響應(yīng)

IDS的作用就是有入侵情況能夠及時(shí)做出一定的反應(yīng)，它有一定的工作過程：對(duì)數(shù)據(jù)做出最起碼的分析，對(duì)本地網(wǎng)段進(jìn)行檢測(cè)，搜索出隱藏在數(shù)據(jù)包中的危險(xiǎn)因素，最后對(duì)危險(xiǎn)因素做出相應(yīng)反應(yīng)，這種反應(yīng)主要是警告或者網(wǎng)絡(luò)引擎通知，如給網(wǎng)絡(luò)安全負(fù)責(zé)人發(fā)送Email或者SNMP strap、對(duì)控制臺(tái)提出警示消息等等。記錄現(xiàn)場(chǎng)，對(duì)整個(gè)的事件進(jìn)行詳細(xì)記錄，可采取事件日志形式，采取一定行為進(jìn)行安全響應(yīng)，如執(zhí)行指定用戶的的響應(yīng)程序等。

3.4入侵檢測(cè)技術(shù)與防火墻的結(jié)合

防火墻技術(shù)相對(duì)而言算是比較成熟了，它能很好的對(duì)多種入侵行為進(jìn)行有效的防御，對(duì)控制網(wǎng)絡(luò)層以及應(yīng)用層的訪問起到了非常大的作用，但是防火墻的缺點(diǎn)是無法較好地監(jiān)視并控制內(nèi)部網(wǎng)絡(luò)，那么這樣就容易產(chǎn)生入侵者利用協(xié)議隧道來繞開防火墻進(jìn)行入侵，這樣就對(duì)網(wǎng)絡(luò)安全造成了很大的威脅，所以，防火墻的防御能力雖強(qiáng)，但是也并不能完全阻擋入侵行為[4]。防火墻和入侵檢測(cè)技術(shù)的結(jié)合，能夠發(fā)揮雙方不同的優(yōu)勢(shì)，從而對(duì)網(wǎng)絡(luò)安全進(jìn)行保護(hù)，二者結(jié)合的工作流程是這樣的：首先，防火墻或者入侵檢測(cè)系統(tǒng)這兩者中的其中一個(gè)為另一個(gè)開放一個(gè)接口，二者信息交流之前約定并設(shè)計(jì)信息交流端口，然后遵守約定規(guī)則進(jìn)行信息交流；其次，防火墻需要檢測(cè)經(jīng)過的數(shù)據(jù)包，將經(jīng)過的數(shù)據(jù)包進(jìn)行分析對(duì)比，對(duì)沒有經(jīng)過授權(quán)或者不符合規(guī)定的數(shù)據(jù)包過濾掉；最后，入侵檢測(cè)技術(shù)來對(duì)繞過防火墻的入侵行為進(jìn)行逮捕，利用建立完善的信息數(shù)據(jù)庫，對(duì)不符合規(guī)則的入侵行為進(jìn)行警告，從而達(dá)到網(wǎng)絡(luò)安全的有效防護(hù)。

4 結(jié)束語

網(wǎng)絡(luò)廣泛的使用使得網(wǎng)絡(luò)攻擊行為增多，網(wǎng)絡(luò)安全問題也變?cè)絹碓絿?yán)峻，如果沒辦法及時(shí)解決問題，將會(huì)造成網(wǎng)絡(luò)的癱瘓，從而影響人們的正常生活和正常工作，也會(huì)帶來很大的損失，為了避免網(wǎng)絡(luò)安全問題產(chǎn)生的影響，應(yīng)當(dāng)正確設(shè)計(jì)入侵檢測(cè)技術(shù)來對(duì)網(wǎng)絡(luò)安全進(jìn)行防護(hù)，構(gòu)建科學(xué)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，實(shí)時(shí)對(duì)網(wǎng)絡(luò)安全與否進(jìn)行檢測(cè)，避免系統(tǒng)內(nèi)部出現(xiàn)攻擊情況，同時(shí)對(duì)主動(dòng)防御進(jìn)行加強(qiáng)，將網(wǎng)絡(luò)入侵檢測(cè)技術(shù)合理的應(yīng)用在網(wǎng)絡(luò)安全檢測(cè)中，從而對(duì)網(wǎng)絡(luò)的安全運(yùn)行進(jìn)行保護(hù)。

[1]袁沛沛.網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)[D].西安建筑科技大學(xué)，2008.

[2]王瑤.基于Agent的分布式入侵檢測(cè)系統(tǒng)的研究及實(shí)現(xiàn)[D].昆明理工大學(xué)，2002.

[3]范晨.IPv4/IPv6過渡階段網(wǎng)絡(luò)安全工具的實(shí)現(xiàn)與研究[D].山東科技大學(xué)，2003.

[4]胡佳明.網(wǎng)絡(luò)安全中混合型入侵檢測(cè)系統(tǒng)設(shè)計(jì)[D].浙江大學(xué)，2006.