陳主峰

摘要：傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)措施主要是設(shè)置防火墻和使用數(shù)據(jù)加密等手段對(duì)信息和資料進(jìn)行保護(hù)，主要針對(duì)的是一些采用病毒等手段竊取數(shù)據(jù)和資料的網(wǎng)絡(luò)安全入侵。新型的信息保護(hù)技術(shù)主要包括智能性識(shí)別和分布式識(shí)別，本文主要探討的問(wèn)題是網(wǎng)絡(luò)安全的智能性識(shí)別技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全;智能識(shí)別;技術(shù)

網(wǎng)絡(luò)是一種互相關(guān)聯(lián)的開(kāi)放式的信息技術(shù)產(chǎn)品，雖然可以對(duì)自己重要的數(shù)據(jù)和資料等進(jìn)行數(shù)據(jù)加密和防火墻的設(shè)置，但是，一旦遇到黑客和一些惡意軟件，這些數(shù)據(jù)和資料等便會(huì)很容易被竊取。因此，網(wǎng)絡(luò)信息技術(shù)的安全方面一直都是備受關(guān)注的。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)是一項(xiàng)重要的，基于傳統(tǒng)的數(shù)據(jù)加密和防火墻之上的安全防護(hù)措施，比傳統(tǒng)的保護(hù)措施更具優(yōu)勢(shì)，是一項(xiàng)具有發(fā)展?jié)摿Φ膽?yīng)急處理的措施。

一、網(wǎng)絡(luò)入侵的概念

網(wǎng)絡(luò)入侵指的是網(wǎng)絡(luò)上的信息由于系統(tǒng)被破壞或者是以其他形式竊取等一系列活動(dòng)的集合。[1] 網(wǎng)絡(luò)信息系統(tǒng)被破壞，信息被竊取，與傳統(tǒng)的信息技術(shù)相比存在著比較大的區(qū)別，即網(wǎng)絡(luò)信息系統(tǒng)是一種跨時(shí)空的媒介。信息情報(bào)的竊取者無(wú)論何時(shí)何地，有的甚至是相隔萬(wàn)里也可以對(duì)對(duì)方的信息系統(tǒng)進(jìn)行破壞，從而竊取信息。網(wǎng)絡(luò)的特性使得這一種入侵方式變得更為隱蔽，竊取的人只需要?jiǎng)觿?dòng)鼠標(biāo)和鍵盤，很多的時(shí)候只是短短幾分鐘甚至是幾秒鐘的時(shí)間，信息就失竊了。

此外，對(duì)于具體的攻擊行為又分為兩大類別，一類是主動(dòng)型攻擊，另一類是被動(dòng)型攻擊。主動(dòng)型攻擊主要的入侵方式是對(duì)用戶的信息進(jìn)行更改和拒絕用戶使用資源，主要的破壞行為是攻擊信息系統(tǒng)。被動(dòng)型攻擊則并不對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行干預(yù)，而是通過(guò)觀察用戶的行為對(duì)用戶數(shù)據(jù)等進(jìn)行竊取。不難發(fā)現(xiàn)，主動(dòng)型攻擊主要是危害用戶信息的真實(shí)性和安全性，而被動(dòng)型攻擊則是危害用戶信息的保密性，雖然其影響是不一樣的，但是對(duì)于用戶來(lái)說(shuō)，都是危害其信息系統(tǒng)的，對(duì)于網(wǎng)絡(luò)安全入侵的防護(hù)也是非常有必要的。

二、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的基本原理

網(wǎng)絡(luò)入侵檢測(cè)技術(shù)主要指的是對(duì)用戶的信息系統(tǒng)中的信息進(jìn)行分析，研究信息系統(tǒng)中是否存在違反網(wǎng)絡(luò)安全條例的行為的技術(shù)。簡(jiǎn)單的解釋就是一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)，一般來(lái)說(shuō)都不會(huì)讓第三方或者是未經(jīng)授權(quán)的系統(tǒng)對(duì)本系統(tǒng)進(jìn)行訪問(wèn)，因此便會(huì)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行一定的防護(hù)措施，包括防火墻和數(shù)據(jù)加密等。

網(wǎng)絡(luò)安全入侵的檢測(cè)主要包括下面的原理：

（一）主動(dòng)響應(yīng)

用戶使用驅(qū)動(dòng)技術(shù)，使得用戶自身使用的系統(tǒng)自動(dòng)執(zhí)行命令，反擊攻擊者的行動(dòng)，并且進(jìn)行系統(tǒng)的修護(hù)，同時(shí)收集相關(guān)的信息。

（二）被動(dòng)響應(yīng)

被動(dòng)響應(yīng)則是入侵檢測(cè)系統(tǒng)的工作，其主要是對(duì)系統(tǒng)被入侵情況進(jìn)行檢測(cè)、記錄和報(bào)告，將被入侵的具體情況報(bào)告給用戶，下一步采取的行動(dòng)則需要用戶手動(dòng)進(jìn)行。被動(dòng)響應(yīng)僅僅起的是通知和警告的作用。

盡管網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)的工作原理只是對(duì)網(wǎng)絡(luò)信息系統(tǒng)中收集到的信息進(jìn)行分析，再利用自帶的數(shù)據(jù)庫(kù)進(jìn)行匹配，利用匹配到的數(shù)據(jù)來(lái)分析計(jì)算機(jī)系統(tǒng)是否被入侵和遭受攻擊，這其中入侵檢測(cè)系統(tǒng)僅僅是對(duì)判斷結(jié)果進(jìn)行警告，或者是進(jìn)行有限度的反擊。有人會(huì)質(zhì)疑入侵檢測(cè)系統(tǒng)的實(shí)用性，認(rèn)為在裝備了防火墻的系統(tǒng)之后，無(wú)需再使用網(wǎng)絡(luò)入侵識(shí)別系統(tǒng)。其實(shí)不然，安裝防火墻并不能使信息系統(tǒng)的安全性一勞永逸，防火墻只能阻止第三方的訪問(wèn)，對(duì)于內(nèi)部用戶的攻擊并不能起到防護(hù)作用，對(duì)于第三方的訪問(wèn)阻止力度也并不是很強(qiáng)。第三方完全可以繞過(guò)防火墻對(duì)系統(tǒng)進(jìn)行攻擊和破壞，并且防火墻不能防護(hù)利用服務(wù)器漏洞或者通訊協(xié)議漏洞進(jìn)行的破壞和攻擊。此外，防火墻本身也會(huì)存在漏洞，這也會(huì)出現(xiàn)信息安全隱患。因此，若要對(duì)用戶系統(tǒng)和信息安全進(jìn)行更加有效的防護(hù)，就要對(duì)在安裝防火墻的同時(shí)安裝入侵檢測(cè)系統(tǒng)。

三、網(wǎng)絡(luò)入侵智能識(shí)別的技術(shù)與方法

對(duì)于系統(tǒng)安全來(lái)說(shuō)，防火墻只是一道未經(jīng)上鎖的門，能夠?yàn)橛脩糇钃醯墓艉推茐谋容^有限，網(wǎng)絡(luò)入侵智能識(shí)別系統(tǒng)才是那一道有效防護(hù)的安全閘門。通過(guò)收集信息、分析信息對(duì)計(jì)算機(jī)的內(nèi)部系統(tǒng)安全進(jìn)行檢測(cè)，及時(shí)反饋網(wǎng)絡(luò)攻擊，提升系統(tǒng)的安全性。

（一）異常識(shí)別的特性

異常識(shí)別指的是對(duì)用戶遇到的攻擊行為進(jìn)行信息收集，再將信息與自帶的數(shù)據(jù)庫(kù)進(jìn)行對(duì)比，以此識(shí)別出對(duì)計(jì)算機(jī)的攻擊和破壞行為。因?yàn)橛脩舯旧淼男袨榕c攻擊行為之間是存在著一定的差異的，入侵檢測(cè)系統(tǒng)就可以將入侵行為檢測(cè)出來(lái)，從而阻止該攻擊行為的下一步動(dòng)作并且對(duì)系統(tǒng)進(jìn)行有效的修護(hù)。異常入侵檢測(cè)主要包含以下的模型：

1、基于統(tǒng)計(jì)模型的異常入侵檢測(cè)

該模型主要是利用統(tǒng)計(jì)學(xué)的相關(guān)知識(shí)，對(duì)用戶某個(gè)時(shí)間段的行為進(jìn)行一定的統(tǒng)計(jì)，并且設(shè)置一個(gè)閾值。一旦計(jì)算機(jī)的行為超過(guò)了這個(gè)閾值則會(huì)被認(rèn)定為異常，系統(tǒng)則會(huì)對(duì)該行為進(jìn)行阻止，用戶便可以根據(jù)相關(guān)的提示作出相應(yīng)的舉動(dòng)，以組織入侵和破壞行為。但這個(gè)模型存在著一定的不足，若是閾值設(shè)置過(guò)低，則會(huì)導(dǎo)致用戶的正常行為受限，反之若是閾值設(shè)置過(guò)高，則會(huì)使系統(tǒng)的安全性降低。

2、基于神經(jīng)網(wǎng)絡(luò)的異常入侵檢測(cè)

神經(jīng)網(wǎng)絡(luò)檢測(cè)技術(shù)是一項(xiàng)利于函數(shù)計(jì)算原理的技術(shù)，將很多計(jì)算單元的網(wǎng)絡(luò)組成復(fù)雜的函數(shù)計(jì)算，將這些數(shù)據(jù)組成一定的網(wǎng)絡(luò)結(jié)構(gòu)，通過(guò)一些正常的用戶行為對(duì)該結(jié)構(gòu)進(jìn)行訓(xùn)練，因此神經(jīng)網(wǎng)絡(luò)則會(huì)對(duì)正常行為產(chǎn)生記憶，并且只能識(shí)別出這些正常的用戶行為。以此判斷網(wǎng)絡(luò)行為是否異常，并且檢測(cè)出網(wǎng)絡(luò)是否被入侵。

3、基于文件檢查的異常入侵檢測(cè)

文件檢查系統(tǒng)是一項(xiàng)比較特殊的技術(shù)，其主要是通過(guò)系統(tǒng)敏感數(shù)據(jù)的加密檢驗(yàn)來(lái)檢測(cè)系統(tǒng)中的文件是否處于異常情況。這項(xiàng)技術(shù)雖然可行性較強(qiáng)，檢測(cè)的正確率也較高，但存在著一定的滯后性。需要在入侵之后才能開(kāi)始檢測(cè)到系統(tǒng)中的異常情況，從而作出防護(hù)反應(yīng)。這一項(xiàng)技術(shù)還存在著一個(gè)缺陷，即若是入侵者對(duì)文件進(jìn)行加密和改變，或是將該檢測(cè)方式的編程進(jìn)行修改，則會(huì)導(dǎo)致檢測(cè)不出入侵行為的狀況。

（二）誤用入侵的識(shí)別特性

誤用入侵識(shí)別技術(shù)使用的主要手段就是數(shù)據(jù)建模，通過(guò)對(duì)用戶的系統(tǒng)和使用的軟件等存在的缺點(diǎn)和漏洞等進(jìn)行檢測(cè)和數(shù)據(jù)的建模。從數(shù)據(jù)中觀察用戶的使用狀況和用戶行為與系統(tǒng)誤用之間存在的差異進(jìn)行對(duì)比，并且通過(guò)以往用戶的數(shù)據(jù)模型等進(jìn)行數(shù)據(jù)庫(kù)的建設(shè)，從而將系統(tǒng)行為模型與數(shù)據(jù)庫(kù)模型對(duì)比，分析出入侵和異常行為。包含以下幾種技術(shù)：

1、基于模式匹配的誤用入侵檢測(cè)

該技術(shù)是當(dāng)前網(wǎng)絡(luò)安全入侵檢測(cè)中最常用的技術(shù)，通過(guò)收集用戶系統(tǒng)中網(wǎng)絡(luò)行為的信息，再將其與數(shù)據(jù)庫(kù)中的信息對(duì)比，能夠快速準(zhǔn)確地識(shí)別數(shù)據(jù)庫(kù)中不存在的異常行為，完成系統(tǒng)的防護(hù)。但是，該項(xiàng)技術(shù)也存在著比較大的不足，就是盡管是用戶的正常行為，只要是不包含在數(shù)據(jù)庫(kù)中，也會(huì)被系統(tǒng)認(rèn)定為異常行為。這就需要相關(guān)的技術(shù)人員不斷對(duì)數(shù)據(jù)庫(kù)進(jìn)行更新，才能使得用戶的使用變得便利。

2、基于專家系統(tǒng)的誤用入侵檢測(cè)

這種方式在近年使用的范圍逐步擴(kuò)大，是將主動(dòng)入侵和被動(dòng)入侵行為進(jìn)行編碼，再制定相應(yīng)的專家系統(tǒng)規(guī)則，系統(tǒng)便會(huì)識(shí)別出異常行為并且進(jìn)行阻止。類似于專家在線解答用戶提出的技術(shù)問(wèn)題。

3、基于狀態(tài)轉(zhuǎn)換分析的誤用入侵檢測(cè)

該方式需要對(duì)入侵行為進(jìn)行模擬，讓系統(tǒng)對(duì)入侵行為進(jìn)行記憶。再通過(guò)系統(tǒng)的識(shí)別功能，將一些異常的行為報(bào)告給用戶，用戶再采取相應(yīng)的措施組織系統(tǒng)被入侵。

（三）免疫學(xué)運(yùn)用入侵識(shí)別技術(shù)

免疫學(xué)運(yùn)用入侵識(shí)別技術(shù)中的免疫與生物學(xué)中的免疫效果相似，計(jì)算機(jī)中的安全識(shí)別系統(tǒng)就相當(dāng)對(duì)抗體，對(duì)攻擊者進(jìn)行防御。該項(xiàng)技術(shù)的前景也是非常不錯(cuò)的，值得深入進(jìn)行研究。

四、結(jié)語(yǔ)

時(shí)下是一個(gè)網(wǎng)絡(luò)化的時(shí)代，網(wǎng)絡(luò)安全問(wèn)題是與國(guó)民生產(chǎn)生活息息相關(guān)的問(wèn)題，值得相關(guān)的部門和人員不斷地努力。通過(guò)不懈地努力和技術(shù)改進(jìn)，促進(jìn)網(wǎng)絡(luò)信息技術(shù)的不斷進(jìn)步。

參考文獻(xiàn)：

[1]鄒聰.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用思考[J].科技傳播，2020，12（01）：87-88.

[2]張永.交互式網(wǎng)絡(luò)惡意入侵?jǐn)?shù)據(jù)多狀態(tài)識(shí)別仿真[J].計(jì)算機(jī)仿真，2019，36（11）：272-275.

[3]楊瑞.入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究[J].數(shù)字技術(shù)與應(yīng)用，2016，（5）：216.