入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用

李麗姝

關(guān)鍵詞 入侵檢測(cè)技術(shù) 計(jì)算機(jī)網(wǎng)絡(luò)安全 應(yīng)用

1引言

在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)方面，系統(tǒng)存在的漏洞比較多，而且網(wǎng)絡(luò)協(xié)議也相對(duì)比較薄弱，很容易遭受到入侵，從而使得系統(tǒng)或者用戶的數(shù)據(jù)信息安全受到嚴(yán)重威脅。通過(guò)對(duì)入侵檢測(cè)技術(shù)的應(yīng)用，可以有效阻擋病毒和入侵，提升計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。所以，強(qiáng)化入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用研究，成為目前展開(kāi)網(wǎng)絡(luò)安全維護(hù)工作的重中之重[1] 。

2計(jì)算機(jī)網(wǎng)絡(luò)入侵的形式

網(wǎng)絡(luò)入侵主要指的是應(yīng)用十分熟練的編寫(xiě)、調(diào)試計(jì)算機(jī)程序的能力以及技巧獲取未經(jīng)允許或者是未經(jīng)授權(quán)的文件，抑或是訪問(wèn)未授權(quán)的網(wǎng)絡(luò)等。一般情況下，入侵便是進(jìn)入某一計(jì)算機(jī)內(nèi)部網(wǎng)的行為。

2.1病毒入侵

對(duì)于計(jì)算機(jī)程序來(lái)說(shuō)，病毒是可以進(jìn)行自我復(fù)制的程序，其主要通過(guò)拒絕服務(wù)或者破壞數(shù)據(jù)信息的完整性，進(jìn)而達(dá)到對(duì)特定系統(tǒng)、特定目標(biāo)進(jìn)行破壞的目的。病毒本身具有較高的傳染性、快速的繁殖性以及強(qiáng)大的隱蔽性、寄生性、潛伏性等特性。而且，現(xiàn)階段病毒主要是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)的電子郵件、瀏覽器以及文件下載等方式，對(duì)系統(tǒng)進(jìn)行入侵。

2.2身份入侵

一般情況下，計(jì)算機(jī)網(wǎng)絡(luò)所提供的服務(wù)需要確認(rèn)用戶身份，進(jìn)而為使用者提供相對(duì)應(yīng)的上網(wǎng)瀏覽權(quán)利。而利用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行詐騙，甚至通過(guò)信息竊取的方法冒充合法使用者進(jìn)入互聯(lián)網(wǎng)是一種十分常見(jiàn)的互聯(lián)網(wǎng)侵入方法。除此以外，利用口令、漏洞等信息也可以入侵互聯(lián)網(wǎng)。身份侵入主要是指入侵者通過(guò)對(duì)網(wǎng)絡(luò)進(jìn)行大量的檢測(cè)，以尋找其中存在的漏洞。甚至是通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)中獲得使用權(quán)限的賬戶以及對(duì)網(wǎng)絡(luò)系統(tǒng)中所提供的業(yè)務(wù)接口進(jìn)行掃描，以此發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中所存在的漏洞，進(jìn)而盜取用戶的真實(shí)用戶名或者口令。入侵者能夠利用公開(kāi)協(xié)議和工具，對(duì)計(jì)算機(jī)主機(jī)操作系統(tǒng)中一些有用的信息，實(shí)施非法獲取甚至修改系統(tǒng)等活動(dòng)。

2.3拒絕服務(wù)入侵

拒絕服務(wù)入侵簡(jiǎn)稱DoS（DenialofService），該入侵行為主要是將一部分序列、報(bào)文等發(fā)送到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，從而使得整個(gè)網(wǎng)絡(luò)服務(wù)器都被大量的要求回復(fù)的信息所霸占，進(jìn)而使大量的網(wǎng)絡(luò)資源、寬帶等被消耗，最終導(dǎo)致正在運(yùn)行的網(wǎng)絡(luò)或者系統(tǒng)不堪重負(fù)，出現(xiàn)癱瘓或者停止使用正常網(wǎng)絡(luò)服務(wù)的情況，嚴(yán)重時(shí)甚至?xí)霈F(xiàn)死機(jī)、沒(méi)有任何反應(yīng)等一系列現(xiàn)象[2] 。

2.4通過(guò)防火墻進(jìn)行入侵

一般情況下，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的防火墻具有較強(qiáng)的抗攻擊性，很難被攻破。但是，某些防火墻在設(shè)計(jì)和使用過(guò)程中存在一定的缺陷，因此不能始終有效抵擋攻擊，進(jìn)而使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或用戶的防火墻被攻破。

在互聯(lián)網(wǎng)發(fā)展和網(wǎng)絡(luò)信息技術(shù)日益成熟的今天，直接入侵和非法繞過(guò)防火墻的侵入行為已經(jīng)使計(jì)算機(jī)安全在每時(shí)每刻都面臨著考驗(yàn)。例如，入侵者在對(duì)地址進(jìn)行欺騙的同時(shí)，還可以對(duì)TCP 進(jìn)行入侵。

3入侵檢測(cè)技術(shù)概述

入侵檢測(cè)技術(shù)主要是指根據(jù)計(jì)算機(jī)系統(tǒng)的安全性所設(shè)定的一項(xiàng)計(jì)算機(jī)技術(shù)，這項(xiàng)技術(shù)手段通常能夠檢測(cè)到計(jì)算機(jī)系統(tǒng)存在的一些根本沒(méi)有進(jìn)行授權(quán)的現(xiàn)象，甚至是某些設(shè)備存在異常情況，這樣便可以高效配合計(jì)算機(jī)系統(tǒng)設(shè)計(jì)人員對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中帶有違規(guī)、安全等特性的各類情況進(jìn)行更加合理的檢查。在開(kāi)展入侵檢測(cè)關(guān)鍵技術(shù)研發(fā)工作時(shí)出現(xiàn)了很多方法，包括基于專家系統(tǒng)的入侵檢測(cè)、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)等。一般情況下，入侵檢測(cè)技術(shù)采用實(shí)施有關(guān)任務(wù)的模型得以實(shí)現(xiàn)。

入侵測(cè)試技術(shù)模型可分成兩類：一類為異常測(cè)試模式，其主要面對(duì)的是計(jì)算機(jī)本身所實(shí)施的行為及其與可接受行為間所產(chǎn)生的差異做出適當(dāng)?shù)臏y(cè)量。假如可以對(duì)任何一種可接受行為進(jìn)行界定，那么與其所對(duì)應(yīng)的任何不接受行為便是入侵行為。

在使用異常檢查模型的過(guò)程中，首先需要對(duì)各種正常操作中所存在的特點(diǎn)進(jìn)行總結(jié)，從而形成一定的規(guī)范架構(gòu)，如此才可以在發(fā)現(xiàn)用戶活動(dòng)和正常動(dòng)作間形成的巨大差異之際，確保計(jì)算機(jī)網(wǎng)絡(luò)遭到侵犯。該檢測(cè)模式對(duì)侵入的漏報(bào)概率相當(dāng)?shù)?，不過(guò)其誤報(bào)概率也相當(dāng)高。并且，在計(jì)算機(jī)安全應(yīng)用的工作流程中，基本上不需要對(duì)每一個(gè)侵入行為都給出具體的界定，所以異常監(jiān)測(cè)模式一般可以有效監(jiān)測(cè)未知入侵。

另一類是誤用監(jiān)測(cè)模式，其主要通過(guò)對(duì)計(jì)算機(jī)的正常行為和無(wú)法接受行為加以匹配。一旦賦予了任何無(wú)法接受的行為相應(yīng)的定義，則對(duì)于任何一個(gè)能夠與其進(jìn)行對(duì)應(yīng)的行為都會(huì)產(chǎn)生相應(yīng)的警告。而通過(guò)對(duì)各種非正常行為所產(chǎn)生的特性加以搜集，便能夠逐漸形成相關(guān)的具有特征屬性的數(shù)據(jù)庫(kù)。當(dāng)偵測(cè)到用戶或者是計(jì)算機(jī)系統(tǒng)行為時(shí)，便會(huì)主動(dòng)地與具有特征屬性的數(shù)據(jù)庫(kù)加以對(duì)應(yīng)，由此進(jìn)一步確定該行為是否屬于入侵行為。誤用檢測(cè)模型對(duì)入侵的誤報(bào)率較低，但是其漏報(bào)率非常高。不僅如此，在面對(duì)未知的攻擊時(shí)，其所發(fā)揮的效果有限，如果想要確保模型的應(yīng)用效果，那么便需要不斷對(duì)特征屬性的數(shù)據(jù)庫(kù)進(jìn)行更新。

4入侵檢測(cè)技術(shù)存在的問(wèn)題

第一，入侵檢測(cè)技術(shù)具有一定的局限性。由于網(wǎng)絡(luò)侵入檢測(cè)系統(tǒng)所面對(duì)的對(duì)象是在與其進(jìn)行直接聯(lián)系的交換網(wǎng)段中進(jìn)行傳輸，并提供了相對(duì)應(yīng)的檢測(cè)范圍，但并非整個(gè)網(wǎng)段，所以如果計(jì)算機(jī)的內(nèi)聯(lián)網(wǎng)環(huán)境中只有交換以太網(wǎng)，那么侵入檢測(cè)技術(shù)的檢測(cè)范圍便存在一定的局限。而一旦增加安裝的設(shè)備數(shù)量，則相對(duì)應(yīng)的系統(tǒng)成本便會(huì)提高。

第二，現(xiàn)階段網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所采用的基本上是具有特征屬性的檢測(cè)手段，雖然對(duì)于一些運(yùn)用普通手段進(jìn)行入侵檢測(cè)的效果十分明顯，但是對(duì)于一些比較復(fù)雜、計(jì)算量較大以及分析時(shí)間較長(zhǎng)的入侵檢測(cè)的效果則不明顯。

第三，入侵檢測(cè)技術(shù)在對(duì)一部分特定的數(shù)據(jù)包進(jìn)行監(jiān)測(cè)、監(jiān)聽(tīng)時(shí)會(huì)產(chǎn)生大量的分析數(shù)據(jù)，從而使得其性能下降或者不穩(wěn)定，而對(duì)一部分單位內(nèi)部文件共享情況的監(jiān)測(cè)、監(jiān)聽(tīng)是比較普遍的現(xiàn)象，這種情況下的監(jiān)測(cè)、監(jiān)聽(tīng)對(duì)于有效的授權(quán)訪問(wèn)機(jī)制是比較缺乏的。相反，對(duì)于內(nèi)部不設(shè)防的情況卻比較普遍。

第四，在使用入侵檢測(cè)技術(shù)對(duì)會(huì)計(jì)活動(dòng)進(jìn)行處理的過(guò)程中，檢測(cè)的結(jié)果相對(duì)準(zhǔn)確，主要是因?yàn)楝F(xiàn)階段通過(guò)加密通道進(jìn)行入侵的行為比較少。但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，這類問(wèn)題也會(huì)變得突出。gzslib202204021720

5入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用

5.1明確入侵檢測(cè)技術(shù)的應(yīng)用流程

計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)工作基本上采用的是被動(dòng)維護(hù)模式，即通常是在出現(xiàn)問(wèn)題之后再進(jìn)行分析、解決。而入侵檢測(cè)技術(shù)在進(jìn)行工作的過(guò)程中所消耗的時(shí)間較少，同時(shí)入侵檢測(cè)技術(shù)在大部分情況下只需要對(duì)單一數(shù)據(jù)進(jìn)行收集和整理，便可以確定計(jì)算機(jī)網(wǎng)絡(luò)是否出現(xiàn)被入侵的行為，并對(duì)其進(jìn)行解決。在此基礎(chǔ)上，有效提升了系統(tǒng)的安全性、完整性。除此之外，還可以與實(shí)際情況進(jìn)行有機(jī)結(jié)合，將入侵檢測(cè)技術(shù)引入計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)過(guò)程中時(shí)，需要建立完善的知識(shí)庫(kù)，并對(duì)計(jì)算機(jī)系統(tǒng)的歷史操作行為進(jìn)行分析，同時(shí)收集入侵操作的特定行為模式，根據(jù)有關(guān)因素再進(jìn)行入侵檢測(cè)分析，進(jìn)而給出明確且具體、有效的網(wǎng)絡(luò)安全對(duì)策。

計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)技術(shù)人員在進(jìn)行相關(guān)工作時(shí)，能夠利用侵入偵測(cè)技術(shù)對(duì)用戶或者系統(tǒng)做出檢查，并利用檢查結(jié)果和安全策略做出比較，由此判斷用戶和系統(tǒng)是否出現(xiàn)被侵犯的情況。一旦測(cè)試結(jié)論是不存在，就必須再進(jìn)行重復(fù)分析對(duì)比，為計(jì)算機(jī)網(wǎng)絡(luò)安全的工作打下強(qiáng)有力的理論基礎(chǔ)。在實(shí)際的操作過(guò)程中，工作人員還必須對(duì)所檢測(cè)到的入侵情況做出正確、準(zhǔn)確的信息記錄，并及時(shí)告知管理人員對(duì)其采取措施，盡可能確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和用戶的安全。

5.2入侵檢測(cè)技術(shù)的應(yīng)用要點(diǎn)

首先，需要做好信息收集工作。因?yàn)閿?shù)據(jù)信息的類型很多，所以技術(shù)人員在采集信息時(shí)必須保證數(shù)據(jù)的全面性、有效性以及完整性。同時(shí)，在對(duì)數(shù)據(jù)信息進(jìn)行分類時(shí)，必須選擇計(jì)算機(jī)網(wǎng)絡(luò)的日志數(shù)據(jù)或者系統(tǒng)文件變化數(shù)據(jù)，因?yàn)橹挥羞@一類數(shù)據(jù)才能成為入侵檢查的主要依據(jù)。除此以外，技術(shù)人員在使用入侵偵測(cè)技術(shù)時(shí)必須對(duì)IDS 代理進(jìn)行科學(xué)合理的設(shè)定，以有效提升數(shù)據(jù)信號(hào)的采集效率與采集效果。而當(dāng)計(jì)算機(jī)在同時(shí)進(jìn)行連接環(huán)節(jié)時(shí)，還可采用與交換機(jī)芯片連接的模式完成相關(guān)調(diào)試。同時(shí)，對(duì)一些較為關(guān)鍵的數(shù)據(jù)進(jìn)行輸入與輸出時(shí)，必須配置適當(dāng)?shù)娜肭謧蓽y(cè)設(shè)備，為數(shù)據(jù)采集的時(shí)效性提供保證。在計(jì)算機(jī)網(wǎng)絡(luò)工作流程中，往往具有特定的關(guān)鍵點(diǎn)，因此需要與具體的監(jiān)測(cè)目標(biāo)加以比較，并以此判斷入侵檢測(cè)的有效范圍等。在實(shí)際操作中，技術(shù)人員可使用孤立點(diǎn)挖掘算法，在大量的數(shù)據(jù)信息庫(kù)中甄選出不常用的數(shù)據(jù)信息，并對(duì)這些數(shù)據(jù)信息加以處理，從而進(jìn)一步為入侵檢測(cè)技術(shù)的高效應(yīng)用奠定良好的基礎(chǔ)[3] 。

其次，做好數(shù)據(jù)信息的分析工作。因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)傳輸采用的是TCP / IP 的協(xié)議，所以要求科技人員熟練掌握并使用這個(gè)協(xié)議。唯有如此，科學(xué)家才可以在數(shù)據(jù)發(fā)生問(wèn)題之時(shí)，及時(shí)正確地對(duì)問(wèn)題做出分析、處理，為數(shù)據(jù)的正確傳送提供保證。對(duì)技術(shù)人員而言，在對(duì)互聯(lián)網(wǎng)數(shù)據(jù)包實(shí)施檢測(cè)、監(jiān)控的過(guò)程中，必須明確入侵偵測(cè)引擎的主要功能，同時(shí)在必要時(shí)對(duì)數(shù)據(jù)旁路監(jiān)控采取相應(yīng)措施，如此才能在第一時(shí)間了解計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的異常，并對(duì)系統(tǒng)和使用者發(fā)出警告，同時(shí)指導(dǎo)安全保障技術(shù)人員有效解決問(wèn)題。技術(shù)人員在對(duì)數(shù)據(jù)信息進(jìn)行分類處理時(shí)，往往采取的是與異常發(fā)現(xiàn)模式相匹配等方法，利用這些技術(shù)可以找到網(wǎng)絡(luò)中出現(xiàn)的異常情況，從而及時(shí)正確地對(duì)異常數(shù)據(jù)信息進(jìn)行分類和處理。

再次，做好信息響應(yīng)工作。在計(jì)算機(jī)網(wǎng)絡(luò)中設(shè)置IDS 系統(tǒng)，主要針對(duì)本地網(wǎng)段進(jìn)行檢測(cè)，并根據(jù)數(shù)據(jù)對(duì)其進(jìn)行分析，同時(shí)查找和分析其中存在異常的數(shù)據(jù)信息，從而進(jìn)行正確處理。網(wǎng)絡(luò)系統(tǒng)可以做出信息響應(yīng)工作，主要包含網(wǎng)絡(luò)的引擎通知以及警告，如向控制中心、負(fù)責(zé)人通過(guò)電子郵件和實(shí)時(shí)通話等形式發(fā)出的警告信息。這樣便可以使控制中心的工作人員在第一時(shí)間掌握情況，并進(jìn)行現(xiàn)場(chǎng)數(shù)據(jù)信息的錄入工作，為保障計(jì)算機(jī)安全打下基礎(chǔ)。從實(shí)際操作方面來(lái)看，主要利用指定程序終止攻擊鏈接。所以，盡管技術(shù)人員能夠利用對(duì)等入侵檢測(cè)技術(shù)手段發(fā)現(xiàn)異常數(shù)據(jù)和行為，不過(guò)仍須提前編譯攻擊程序，并保證程序內(nèi)容可以和安全策略進(jìn)行一一對(duì)應(yīng)，以此為計(jì)算機(jī)安全打下堅(jiān)實(shí)基礎(chǔ)[4] 。

6結(jié)語(yǔ)