鹿鳴

（陜西國(guó)防工業(yè)職業(yè)技術(shù)學(xué)院，陜西西安，710300）

1 入侵檢測(cè)技術(shù)

第一，入侵檢測(cè)技術(shù)的概念。計(jì)算機(jī)的運(yùn)行前提是網(wǎng)絡(luò)安全環(huán)境，當(dāng)計(jì)算機(jī)受到惡意攻擊、操作失誤等不安全因素時(shí)，可能會(huì)出現(xiàn)計(jì)算機(jī)程序運(yùn)行異常、數(shù)據(jù)丟失等現(xiàn)象。而計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)就是指當(dāng)受到不安全因素時(shí)能夠有效的隔離、刪除潛在的病毒及惡意攻擊代碼，進(jìn)而提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)抵御外來(lái)攻擊能力的相關(guān)技術(shù)。其能夠及時(shí)檢測(cè)出計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)的安全問題,及時(shí)告知防火墻系統(tǒng)與其結(jié)合輔助抵抗入侵，總體上講，入侵檢測(cè)技術(shù)的應(yīng)用能夠彌補(bǔ)計(jì)算機(jī)防火墻技術(shù)工作中存在的不足問題。

第二，入侵檢測(cè)技術(shù)的原理。入侵檢測(cè)技術(shù)通過監(jiān)聽、識(shí)別、記錄、分析系統(tǒng)及用戶行為，將異常行為及問題向相關(guān)程序發(fā)出預(yù)警。計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)工作前會(huì)對(duì)其安全模式進(jìn)行識(shí)別、掃描，在入侵檢測(cè)系統(tǒng)工作中可發(fā)揮有效的監(jiān)聽、記錄作用，不斷的積累所監(jiān)聽記錄到的信息，達(dá)到一定量時(shí)系統(tǒng)會(huì)對(duì)其數(shù)據(jù)進(jìn)行自動(dòng)分析，并與安全模式進(jìn)行對(duì)比，進(jìn)而可識(shí)別出可能存在的安全風(fēng)險(xiǎn)，并對(duì)異常問題發(fā)出預(yù)警。

2 入侵檢測(cè)技術(shù)的類型及存在問題

第一，異常檢測(cè)技術(shù)。異常檢測(cè)技術(shù)是一種基于行為進(jìn)行檢測(cè)的方法，其通過付使用者使用的資源、行為進(jìn)行分析，在通過與設(shè)置可保證計(jì)算機(jī)正常運(yùn)行系統(tǒng)的硬盤空間、內(nèi)存利用率等數(shù)據(jù)進(jìn)行比較，根據(jù)與正常數(shù)據(jù)的偏離情況做出判斷。異常檢測(cè)技術(shù)觀察的對(duì)象不是已知的入侵行為，而是對(duì)計(jì)算機(jī)運(yùn)行中出現(xiàn)的異常狀況（常見的有外部闖入、內(nèi)部滲透、資源應(yīng)用不恰當(dāng)）進(jìn)行監(jiān)測(cè)分析。

異常檢測(cè)技術(shù)的檢測(cè)依據(jù)是網(wǎng)絡(luò)界定參考閾值及特征量，在其應(yīng)用前要對(duì)保證網(wǎng)絡(luò)安全正常行為的界定范圍、行為特點(diǎn)進(jìn)行了解，在根據(jù)實(shí)際情況分析差別，因此網(wǎng)絡(luò)特征量、界定參考閾值的選擇是很關(guān)鍵的，確保代表性、價(jià)值性存在的同時(shí)要防止冗余特征量的發(fā)生；在界定參考閾值時(shí)要注意范圍大小的合理性，提網(wǎng)絡(luò)入侵檢測(cè)結(jié)果的準(zhǔn)確性。

異常入侵檢測(cè)技術(shù)對(duì)檢測(cè)系統(tǒng)的要求較高，其需具備強(qiáng)大的處理功能，但是在使用中仍然存在著許多問題：首先是如何有效通過數(shù)據(jù)來(lái)表示用戶的正常行為的同時(shí)降低獲取、處理數(shù)據(jù)的難度，通過不斷對(duì)系統(tǒng)、用戶的行為進(jìn)行改變可保證正常模式的時(shí)效性，因此其需要持續(xù)更新。但是當(dāng)處在持續(xù)更新中，用戶行為突然發(fā)生改變時(shí)會(huì)增加誤報(bào)問題的發(fā)生，降低了監(jiān)測(cè)結(jié)果的準(zhǔn)確性。其次存在問題較多的是網(wǎng)絡(luò)界定參考閾值的合理確定，當(dāng)設(shè)定值過高時(shí)，其會(huì)增加漏報(bào)問題的發(fā)生，當(dāng)設(shè)定值過低時(shí)，其會(huì)增加誤報(bào)問題的發(fā)生，導(dǎo)致不能全面的描述系統(tǒng)中所有用戶的行為，加上用戶頻繁的發(fā)生動(dòng)態(tài)改變時(shí)，導(dǎo)致出現(xiàn)的系統(tǒng)誤報(bào)率較高。最后是體現(xiàn)在檢測(cè)時(shí)間上，其檢測(cè)方法的時(shí)間較長(zhǎng)，且無(wú)法保證系統(tǒng)在訓(xùn)練中的正常運(yùn)行。當(dāng)系統(tǒng)處于訓(xùn)練狀態(tài)時(shí)，其通過對(duì)用戶模型的不斷更新來(lái)使入侵行為轉(zhuǎn)變成為正常行為，當(dāng)其設(shè)定為正常模式時(shí)其會(huì)對(duì)降低對(duì)異常行為監(jiān)測(cè)的準(zhǔn)確性。

第二，誤用入侵檢測(cè)技術(shù)。誤用入侵檢測(cè)技術(shù)是收集可干擾計(jì)算機(jī)正常運(yùn)行的不安全因素，在出現(xiàn)入侵情況后將其與已收集的情況、行為進(jìn)行分析，當(dāng)入侵的情況與參照的情況相匹配時(shí)，可判斷計(jì)算機(jī)網(wǎng)絡(luò)受到安全入侵行為，反之不匹配時(shí)則在判斷計(jì)算機(jī)網(wǎng)絡(luò)處在安全的環(huán)境中，因此可以看出檢測(cè)結(jié)果、技術(shù)的準(zhǔn)確性受到構(gòu)造模式的影響。

誤用入侵檢測(cè)技術(shù)分為基于鍵盤監(jiān)控、條件概率、狀態(tài)遷移分析的入侵檢測(cè)，其優(yōu)勢(shì)是能夠依據(jù)入侵特點(diǎn)來(lái)構(gòu)建模式庫(kù)，并對(duì)入侵特點(diǎn)進(jìn)行發(fā)現(xiàn)、收集，實(shí)現(xiàn)檢測(cè)入侵行為的同時(shí)避免計(jì)算器網(wǎng)絡(luò)受到同樣的入侵攻擊。但是在實(shí)際誤用入侵檢測(cè)技術(shù)的應(yīng)用中仍然存在著不足之處，首先是該種檢測(cè)技術(shù)只能檢測(cè)已知的入侵行為，受到入侵模式庫(kù)的局限而不能檢測(cè)未知攻擊，同時(shí)也不能檢測(cè)已知攻擊形式的變化。其次是誤用入侵檢測(cè)技術(shù)的實(shí)施前提是具備完善的入侵模式庫(kù)，及時(shí)更新出現(xiàn)的新入侵方法，因此其維護(hù)的工作量也較大。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)的應(yīng)用及意見

第一，收集信息工作。在實(shí)際工作前應(yīng)該完成入侵檢測(cè)技術(shù)的信息收集工作，通常包括系統(tǒng)、網(wǎng)絡(luò)日志中的數(shù)據(jù)、文件中改變的數(shù)據(jù)、應(yīng)用程序執(zhí)行時(shí)產(chǎn)生的數(shù)據(jù)、物理形式侵入的數(shù)據(jù),其包含的四個(gè)數(shù)據(jù)源是入侵檢測(cè)技術(shù)在進(jìn)行端口調(diào)試中要收集的內(nèi)容。為了保證計(jì)算機(jī)系統(tǒng)的安全，在收集數(shù)據(jù)源時(shí)需要對(duì)檢測(cè)對(duì)象進(jìn)行反復(fù)確認(rèn),確保收集的數(shù)據(jù)源中無(wú)異常信息的出現(xiàn)。

第二，分析并處理信息工作。入侵檢測(cè)系統(tǒng)收集完信息數(shù)據(jù)后就需要進(jìn)行數(shù)據(jù)的分析、處理工作，在實(shí)際工作中多應(yīng)用模式匹配模式、異常情況分析模式，識(shí)別、處理存在問題及安全隱患的數(shù)據(jù)源，并向信息管理器傳達(dá)處理后的結(jié)果,管理器進(jìn)行最后的分析。信息的分析、處理具有規(guī)范化、標(biāo)準(zhǔn)化的特征,可妥善處理計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全問題,網(wǎng)絡(luò)技術(shù)對(duì)問題進(jìn)行自行分析后并傳達(dá)給控制器，進(jìn)而可入侵檢測(cè)技術(shù)的智能化、專業(yè)化，保證計(jì)算器網(wǎng)絡(luò)的安全性。在信息數(shù)據(jù)處理問題的過程中,對(duì)信號(hào)的讀取、解析通常均是單一性質(zhì)的,但是在入侵檢測(cè)技術(shù)中的處理中，有異常問題的信息數(shù)據(jù)會(huì)在系統(tǒng)中及時(shí)告知,將處在實(shí)時(shí)監(jiān)控下的異常信息以日志的形式被記錄,直至存在的問題被入侵檢測(cè)系統(tǒng)處理排除。

第三，響應(yīng)信息及應(yīng)用于防火墻系統(tǒng)技術(shù)。響應(yīng)信息是指入侵檢測(cè)系統(tǒng)對(duì)異常信息及行為作出的合理化反應(yīng)，其會(huì)依據(jù)信息實(shí)時(shí)變化的狀態(tài)來(lái)查看會(huì)話記錄，并將信息上報(bào)給控制臺(tái)來(lái)對(duì)異常的信息進(jìn)行優(yōu)化處理。防火墻技術(shù)是計(jì)算機(jī)中多用的一種應(yīng)用層、網(wǎng)絡(luò)層的控制技術(shù)，通過應(yīng)用防火墻技術(shù)能夠有效保護(hù)用戶電腦中的數(shù)據(jù)資源。在通常的情況下，網(wǎng)絡(luò)入侵進(jìn)行的攻擊行均會(huì)被防火墻所阻擋。但是隨著科學(xué)技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)入侵技術(shù)也在不斷的升級(jí),應(yīng)用傳統(tǒng)、單一的防火墻技術(shù)已經(jīng)不能滿足計(jì)算機(jī)用戶的實(shí)際需求,因此在后期入侵檢測(cè)技術(shù)的應(yīng)用中應(yīng)當(dāng)將其入侵檢測(cè)技術(shù)、防火墻技術(shù)進(jìn)行實(shí)踐結(jié)合，確保防火墻發(fā)揮過濾機(jī)制的同時(shí)發(fā)揮人侵檢測(cè)技術(shù)清除攻擊性數(shù)據(jù)的能力。

第四，優(yōu)化入侵檢測(cè)技術(shù)，加深與其他新興技術(shù)的融合。舉例來(lái)說(shuō)，大數(shù)據(jù)時(shí)代背景下，云計(jì)算、分布式計(jì)算、數(shù)據(jù)挖掘等智能化的計(jì)算、處理方式出現(xiàn)，將云計(jì)算技術(shù)與網(wǎng)絡(luò)入侵檢測(cè)技術(shù)結(jié)合可節(jié)約空間、降低檢測(cè)成本；將分布式計(jì)算技術(shù)與網(wǎng)絡(luò)入侵檢測(cè)技術(shù)結(jié)合可分解復(fù)雜的問題，提高檢測(cè)的全面性。

4 結(jié)語(yǔ)

隨著信息化網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，大數(shù)據(jù)在我國(guó)各個(gè)領(lǐng)域中發(fā)揮重要的作用,在給人們帶給改變的同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)安全問題也日益突出，因此深化入侵檢測(cè)技術(shù)的研究及技術(shù)，可有效保證數(shù)據(jù)庫(kù)中信息的安全性，進(jìn)而促進(jìn)我給計(jì)算機(jī)網(wǎng)絡(luò)事業(yè)的長(zhǎng)期發(fā)展。