◆胡嘉俊 張勇 胡國(guó)良

入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的運(yùn)用研究

◆胡嘉俊 張勇 胡國(guó)良

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心湖南分中心 湖南 410001）

現(xiàn)階段網(wǎng)絡(luò)環(huán)境成了人們關(guān)注的重點(diǎn)，計(jì)算機(jī)網(wǎng)絡(luò)安全成為人們使用計(jì)算機(jī)網(wǎng)絡(luò)時(shí)首先考慮的重點(diǎn)，由此也說(shuō)明了有效運(yùn)用入侵檢測(cè)技術(shù)的必要性與重要性。本文分析了該技術(shù)在運(yùn)用過(guò)程中出現(xiàn)的主要問(wèn)題，并在入侵檢測(cè)系統(tǒng)選擇、加密流量處理、入侵檢測(cè)能力提升等三個(gè)方面提出了切實(shí)可行的運(yùn)用策略，旨在為用戶加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)提供有益的參考。

計(jì)算機(jī)網(wǎng)絡(luò)；入侵檢測(cè)技術(shù)；安全維護(hù)；運(yùn)用策略

我國(guó)經(jīng)濟(jì)近幾年一直處于飛速增長(zhǎng)階段，社會(huì)信息化也逐漸趨于完善，計(jì)算機(jī)技術(shù)在人群中得到普及和推廣，人們利用互聯(lián)網(wǎng)能夠更為便捷地從事各種活動(dòng)，如購(gòu)物、學(xué)習(xí)、瀏覽新聞等等，能夠在足不出戶的情況下獲取豐富的信息。在網(wǎng)絡(luò)環(huán)境中，每一天都會(huì)產(chǎn)生大量的互聯(lián)網(wǎng)信息，眾多的應(yīng)用、存儲(chǔ)和數(shù)據(jù)計(jì)算等成了人們生活中的?？汀Ｔ诰W(wǎng)絡(luò)為人們帶來(lái)方便的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也值得我們每個(gè)人關(guān)注。由于不同用戶所掌握的網(wǎng)絡(luò)知識(shí)不完全相同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)也具有差異性，當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)的安全級(jí)別較低時(shí)，網(wǎng)絡(luò)漏洞就會(huì)被別有用心的人所利用，這種情況下垃圾郵件發(fā)送、木馬篡改數(shù)據(jù)、DDoS攻擊等非法入侵行為將會(huì)不可避免地出現(xiàn)，并有可能致使個(gè)人、機(jī)構(gòu)或國(guó)家遭受難以挽回的損失。傳統(tǒng)的安全防護(hù)手段如防火墻、信息加密等已經(jīng)滿足不了當(dāng)前的需求。入侵檢測(cè)作為一項(xiàng)重要的動(dòng)態(tài)安全防護(hù)手段應(yīng)運(yùn)而生，有效地填補(bǔ)了之前安全防護(hù)技術(shù)的不足之處，開(kāi)啟了防火墻之后的第二道防火線，各種規(guī)模的入侵檢測(cè)系統(tǒng)廣泛應(yīng)用于企業(yè)和政府中，入侵檢測(cè)技術(shù)已成為一個(gè)重要的課題，成為抵御網(wǎng)絡(luò)入侵的重要手段。

1 入侵檢測(cè)技術(shù)的概述

從本質(zhì)上來(lái)說(shuō)，入侵檢測(cè)系統(tǒng)就是一種安全防護(hù)系統(tǒng)，它能夠?qū)Ψ欠ㄊ褂糜?jì)算機(jī)與網(wǎng)絡(luò)資源的意圖進(jìn)行識(shí)破，繼而采取有效的干預(yù)措施，以阻止一些惡意行為的發(fā)生。入侵檢測(cè)技術(shù)所發(fā)揮的作用主要有以下幾種，一是判斷計(jì)算機(jī)系統(tǒng)是否會(huì)受到外部威脅，對(duì)某種行為是否得到用戶授權(quán)進(jìn)行識(shí)別；二是對(duì)未授權(quán)或其他非法行為進(jìn)行檢測(cè)與報(bào)告，從而構(gòu)建一道牢固的安全屏障，讓用戶較為放心地利用網(wǎng)絡(luò)資源開(kāi)展各種活動(dòng)。入侵檢測(cè)系統(tǒng)主要由兩大部分構(gòu)成，其一是計(jì)算機(jī)硬件，其二為入侵檢測(cè)軟件。

異常入侵與誤用入侵是入侵檢測(cè)技術(shù)的主要檢測(cè)對(duì)象，這兩者都屬于行為范疇。在識(shí)別異常入侵與誤用入侵之前，入侵檢測(cè)系統(tǒng)需要充分明確異常行為的判斷依據(jù)，以及如何區(qū)分正常行為與異常行為。異常檢測(cè)首先為對(duì)象的正常行為創(chuàng)立行為輪廓，一旦系統(tǒng)發(fā)現(xiàn)某種行為明顯不同于正常行為，即可將其判定為入侵行為。異常入侵檢測(cè)能夠?qū)τ?jì)算機(jī)可能遭受的攻擊進(jìn)行預(yù)測(cè)，但該技術(shù)在異?；鶞?zhǔn)值確定、正常行為輪廓模型建立等方面具有較大難度，因而產(chǎn)生了不低的誤報(bào)率。在檢測(cè)誤用入侵行為之前，入侵檢測(cè)系統(tǒng)應(yīng)當(dāng)明確一些規(guī)則，也就是說(shuō)所有的入侵都能夠被表達(dá)為模式或特征，若判定審計(jì)數(shù)據(jù)中出現(xiàn)了這些被定義好的模式則將其視為入侵。誤用入侵檢測(cè)主要在于如何表示入侵的特征以準(zhǔn)確無(wú)誤地區(qū)分入侵行為和正常行為，該方法的亮點(diǎn)是能夠明確地標(biāo)出入侵的類型，而且正確率較高，誤報(bào)的概率明顯偏低。但其突出的弊端是漏報(bào)率往往居高不下，因?yàn)樗荒馨l(fā)現(xiàn)已有的攻擊，對(duì)系統(tǒng)中的未知攻擊卻束手無(wú)策；實(shí)時(shí)更新與維護(hù)特征庫(kù)也比較困難。異常入侵檢測(cè)和誤用入侵檢測(cè)這兩種檢測(cè)各有其優(yōu)點(diǎn)和不足之處，因此，在實(shí)際使用中往往聯(lián)合使用這兩種方法。

2 入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用中出現(xiàn)的問(wèn)題

（1）應(yīng)用方式較單調(diào)

這一問(wèn)題容易導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)的安全性能明顯降低。就現(xiàn)階段而言，應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)中的入侵檢測(cè)技術(shù)以檢測(cè)相關(guān)特征為主，其防御及時(shí)性有所不足，這種單調(diào)的應(yīng)用方式往往對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全性造成了不利影響。另外，該技術(shù)僅只能分析與檢測(cè)與其直接相連的網(wǎng)段，不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)信息，所以它真正檢測(cè)的網(wǎng)段是很有限的，這就導(dǎo)致入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全監(jiān)測(cè)中有很大的局限性。再者，入侵檢測(cè)技術(shù)在實(shí)際應(yīng)用過(guò)程中所產(chǎn)生的誤報(bào)率也是無(wú)法得到有效控制的。所謂誤報(bào)，是指該技術(shù)將一些特征不太明顯但卻經(jīng)過(guò)用戶授權(quán)的行為判定為非法行為或異常行為。實(shí)際上，任何一種入侵檢測(cè)系統(tǒng)都會(huì)誤報(bào)，這是由多種因素導(dǎo)致的，如集中協(xié)調(diào)機(jī)制不健全、主機(jī)安全級(jí)別較低、網(wǎng)絡(luò)漏洞較多、信息共享標(biāo)準(zhǔn)機(jī)制缺失、系統(tǒng)跟蹤分析數(shù)據(jù)信息的能力不強(qiáng)等等。

（2）數(shù)據(jù)處理能力不足

一般來(lái)說(shuō)，用戶在利用計(jì)算機(jī)和網(wǎng)絡(luò)資源開(kāi)展各種活動(dòng)的過(guò)程中，定然會(huì)產(chǎn)生多樣而繁雜的數(shù)據(jù)信息，為避免其中一些重要的數(shù)據(jù)信息遭到篡改、泄露或丟失，有必要應(yīng)用有效的加密處理技術(shù)。然而從現(xiàn)實(shí)中不難發(fā)現(xiàn)，在構(gòu)建入侵檢測(cè)系統(tǒng)以后，計(jì)算機(jī)網(wǎng)絡(luò)的安全性能并未得到顯著提升。由于入侵檢測(cè)技術(shù)表現(xiàn)出較低的數(shù)據(jù)處理能力，大量數(shù)據(jù)信息難以得到加密處理，從而增加了用戶隱私暴露的可能性，甚至?xí)?dǎo)致其關(guān)鍵數(shù)據(jù)被非法竊取。當(dāng)前，上網(wǎng)已經(jīng)成為我國(guó)居民的普遍行為，很多活動(dòng)都需要在網(wǎng)絡(luò)環(huán)境中開(kāi)展，這必然會(huì)導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)越積越多。因此，入侵檢測(cè)技術(shù)只有注重提高識(shí)別與判斷入侵行為的速度與正確率，才能充分滿足用戶對(duì)海量信息進(jìn)行加密處理的需求。

（3）檢測(cè)技術(shù)有待提高

與歐美等發(fā)達(dá)國(guó)家相比，我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展相對(duì)滯后，因受到多種因素的影響，該領(lǐng)域尚未能保持最快的發(fā)展速度。因計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)本身還不夠成熟，而入侵檢測(cè)系統(tǒng)的管理人員往往也不具備豐富的計(jì)算機(jī)知識(shí)，當(dāng)一些特殊問(wèn)題出現(xiàn)時(shí)，系統(tǒng)便難以充分發(fā)揮其防御作用，這種狀況不僅會(huì)導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)的安全級(jí)別明顯下降，而且對(duì)我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)的良性發(fā)展產(chǎn)生了極為不利的影響。由此說(shuō)明，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)有待于進(jìn)一步提高。通過(guò)深入分析可知，當(dāng)前偏低的入侵檢測(cè)技術(shù)與多種因素相關(guān)，比如檢測(cè)方法的自適應(yīng)能力不強(qiáng)，入侵檢測(cè)算法不能有效阻止ATP攻擊行為，未能考慮到協(xié)同攻擊行為的發(fā)生，識(shí)別攻擊行為時(shí)僅僅以規(guī)則庫(kù)為依據(jù)，等等。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全中應(yīng)用入侵檢測(cè)技術(shù)的相關(guān)對(duì)策

（1）采用分布式部署入侵檢測(cè)系統(tǒng)

網(wǎng)絡(luò)技術(shù)的發(fā)展致使網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)與規(guī)模均出現(xiàn)了非常大的變化，在這種狀況下，若要提高入侵檢測(cè)技術(shù)的應(yīng)用效率，必須積極應(yīng)對(duì)新的問(wèn)題與挑戰(zhàn)。當(dāng)前，協(xié)同攻擊、共同攻擊等現(xiàn)象越來(lái)越突出，而網(wǎng)絡(luò)環(huán)境中的攻擊數(shù)據(jù)源又具有明顯的分散性。無(wú)論是針對(duì)協(xié)同式攻擊還是分布式攻擊，入侵檢測(cè)技術(shù)都應(yīng)當(dāng)快速檢測(cè)攻擊數(shù)據(jù)源，并基于深入分析，對(duì)攻擊信息進(jìn)行準(zhǔn)確定位。單個(gè)主機(jī)所安裝的入侵檢測(cè)系統(tǒng)通常具有獨(dú)立性，但在主機(jī)性能與系統(tǒng)自身結(jié)構(gòu)的限制下，系統(tǒng)很難對(duì)協(xié)同式攻擊行為和分布式攻擊行為進(jìn)行有效阻止。在分布式入侵檢測(cè)系統(tǒng)中，管理器、分析器、數(shù)據(jù)采集器等是主要的構(gòu)成部件，這些部件通過(guò)遵從協(xié)同規(guī)則從而順利完成了入侵檢測(cè)任務(wù)。從整個(gè)運(yùn)行過(guò)程來(lái)看，該系統(tǒng)首先采集來(lái)自不同網(wǎng)段的入侵信息，然后對(duì)其進(jìn)行關(guān)聯(lián)分析，最后確定攻擊數(shù)據(jù)源并采取切實(shí)有效的處理方式。分布式入侵檢測(cè)系統(tǒng)表現(xiàn)出以下幾種優(yōu)勢(shì)。一是明顯擴(kuò)大了檢測(cè)范圍；二是檢測(cè)水平高于獨(dú)立的入侵檢測(cè)系統(tǒng)；三是具有良好的可擴(kuò)展性，能夠滿足網(wǎng)絡(luò)發(fā)展需求；四是可分析檢測(cè)數(shù)據(jù)的關(guān)聯(lián)性，并且提高了檢測(cè)精度；五是在個(gè)別檢測(cè)部件失效的前提下，仍然能夠針對(duì)分布式協(xié)同攻擊完成檢測(cè)工作。

（2）利用機(jī)器學(xué)習(xí)人工智能技術(shù)處理加密流量

在傳統(tǒng)模式下，入侵檢測(cè)技術(shù)的應(yīng)用與流量分類均需要掌握用戶的隱私信息以及提取復(fù)雜的特征。最近幾年，由于網(wǎng)絡(luò)帶寬得到了改善，應(yīng)用層協(xié)議更加復(fù)雜，而且加密技術(shù)也在不斷提高，用戶更為注重保護(hù)自己的隱私信息，如果在此背景下入侵檢測(cè)技術(shù)未能得到及時(shí)更新，必然不利于對(duì)加密流量的有效處理。雖然流量加密能夠使用戶隱私得到保護(hù)，但卻給不法分子實(shí)施入侵行為提供了機(jī)會(huì)。這些人員在傳輸網(wǎng)絡(luò)數(shù)據(jù)時(shí)，通過(guò)利用HTTPS等加密流量即可防止遭到系統(tǒng)的檢測(cè)。很多特意軟件借助HTTPS來(lái)破壞正常的網(wǎng)絡(luò)環(huán)境，而大部分勒索軟件家族則使用HTTPS進(jìn)行傳播。因此，對(duì)加密的惡意流量進(jìn)行檢測(cè)刻不容緩。

（3）利用數(shù)據(jù)挖掘技術(shù)提升入侵檢測(cè)能力

當(dāng)前，網(wǎng)絡(luò)寬帶速度在大幅度提升，與此同時(shí)大數(shù)據(jù)存儲(chǔ)技術(shù)在眾多領(lǐng)域得到了良好應(yīng)用，基于網(wǎng)民不斷增加，產(chǎn)生了越來(lái)越復(fù)雜的網(wǎng)絡(luò)環(huán)境與難以計(jì)數(shù)的網(wǎng)絡(luò)流量數(shù)據(jù)，因而只有提高入侵檢測(cè)技術(shù)的檢測(cè)能力，才能獲得較為理想的用戶滿意度。在這方面，很多學(xué)者開(kāi)展了大量的研究工作，并通過(guò)深入分析指出，引入數(shù)據(jù)挖掘技術(shù)有助于改善入侵檢測(cè)系統(tǒng)的數(shù)據(jù)處理效果。具體而言，入侵檢測(cè)系統(tǒng)應(yīng)當(dāng)利用大數(shù)據(jù)技術(shù)對(duì)海量的、不確定的、不精細(xì)的歷史數(shù)據(jù)進(jìn)行全面分析，然后再對(duì)某些行為特征進(jìn)行提取，繼而實(shí)現(xiàn)對(duì)流量規(guī)則庫(kù)的完善。

計(jì)算機(jī)網(wǎng)絡(luò)安全在當(dāng)今社會(huì)是非常重要的，網(wǎng)絡(luò)信息數(shù)據(jù)龐大，加強(qiáng)入侵檢測(cè)技術(shù)才能最大程度地保障網(wǎng)絡(luò)安全，通過(guò)加強(qiáng)研發(fā)和應(yīng)用，既能夠增強(qiáng)工作人員的業(yè)務(wù)素質(zhì)，又能夠提高入侵檢測(cè)技術(shù)的智能化水平，可為構(gòu)建安全級(jí)別較高的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)奠定牢固的基礎(chǔ)，以使我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)行業(yè)實(shí)現(xiàn)快速、穩(wěn)定而健康的發(fā)展。

[1]趙勇. 計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)分析[J].電腦編程技巧與維護(hù)，2021（05）：159-160.

[2]鹿鳴. 探析計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)[J].電子測(cè)試，2021（10）：54-55.

[3]陸艷芳. 淺談入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用路徑[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（03）：20-21.

[4]桂江明. 探析計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測(cè)技術(shù)[J].信息與電腦（理論版），2020，32（01）：174-175.

[5]趙華. 入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用研究[J].信息與電腦（理論版），2020，32（01）：209-210.