摘要：由于網(wǎng)絡(luò)具有較強的開放性特征，因此在實際使用計算機時，網(wǎng)絡(luò)系統(tǒng)常面臨各種入侵威脅，從而影響計算機網(wǎng)絡(luò)安全。然而，通過合理運用入侵檢測技術(shù)，可以有效解決這一問題。為此，文章首先對入侵檢測技術(shù)及其行業(yè)市場現(xiàn)狀進行簡要介紹，同時分析幾種常見的入侵檢測技術(shù)。并基于此，從入侵特征提取、入侵行為分析以及入侵防護等多個層面，深入探討入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全維護中的應(yīng)用與實踐，以期推動計算機網(wǎng)絡(luò)安全維護工作持續(xù)向好發(fā)展。

關(guān)鍵詞：入侵檢測技術(shù)；健康發(fā)展；計算機網(wǎng)絡(luò)安全維護；合理運用

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2024）32-0071-03 開放科學（資源服務(wù)）標識碼（OSID） ：

0 引言

現(xiàn)代化網(wǎng)絡(luò)信息技術(shù)的迅猛發(fā)展，使得計算機在人們的日常生活與工作中得到廣泛普及與應(yīng)用，顯著提升了人們的生活品質(zhì)與工作效率。然而，在實際使用計算機過程中，經(jīng)常會遭遇病毒入侵、黑客攻擊等網(wǎng)絡(luò)安全問題，這對個人或企業(yè)的信息安全構(gòu)成重大威脅。因此，深入研究計算機網(wǎng)絡(luò)安全維護中入侵檢測技術(shù)的應(yīng)用與實踐顯得尤為重要。這有助于進一步提升入侵檢測效果，更有效地防控各類惡意入侵，為人們安全使用計算機提供有力保障。

1 入侵檢測技術(shù)及其行業(yè)市場現(xiàn)狀概述

1.1 入侵檢測技術(shù)

對于入侵檢測技術(shù)而言，它主要是為了確保計算機網(wǎng)絡(luò)系統(tǒng)安全性而專門設(shè)計或配置的一系列技術(shù)。這些技術(shù)能夠及時發(fā)現(xiàn)并準確報告系統(tǒng)中存在的未授權(quán)或異?，F(xiàn)象。從本質(zhì)上看，入侵檢測技術(shù)是一種用于檢測計算機網(wǎng)絡(luò)中各種違反安全策略行為的技術(shù)。此技術(shù)主要用于對計算機網(wǎng)絡(luò)系統(tǒng)進行檢測，能夠監(jiān)控系統(tǒng)運行期間出現(xiàn)的各類異常數(shù)據(jù)或行為，并分析這些數(shù)據(jù)或行為是否會對計算機網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定正常運行造成影響。在此基礎(chǔ)上，判斷是否存在相應(yīng)的攻擊行為。如果檢測并判定為不安全行為，入侵檢測技術(shù)能夠及時采取一系列對應(yīng)的防護措施。其具體工作原理如圖1所示?，F(xiàn)階段，入侵檢測技術(shù)的主要檢測內(nèi)容包括試圖闖入、成功闖入以及惡意使用等多個方面。其做出的防護反應(yīng)大多為自動化，例如，可以通過控制臺或電子郵件等多種形式自動通知相關(guān)管理人員；可以自動終止入侵進程；可以自動關(guān)閉計算機系統(tǒng)或斷開計算機與互聯(lián)網(wǎng)的連接；也可以執(zhí)行預(yù)設(shè)的阻止、防范或反擊命令等。

1.2 入侵檢測行業(yè)市場現(xiàn)狀

近幾年，隨著現(xiàn)代化網(wǎng)絡(luò)信息技術(shù)的持續(xù)發(fā)展，數(shù)字經(jīng)濟時代加速到來。在這一時代背景下，社會各行各業(yè)均開始推進數(shù)字化發(fā)展進程。受此影響，網(wǎng)絡(luò)安全問題日益受到各領(lǐng)域的高度重視，這也為入侵檢測行業(yè)帶來了巨大的發(fā)展空間。根據(jù)有關(guān)部門統(tǒng)計的數(shù)據(jù)顯示，截至2022年，全球入侵檢測及防御市場規(guī)模已達到336.74億元，預(yù)計至2028年將達到446.19 億元，整個預(yù)測期間的年復合增長率接近4.70%。而我國入侵檢測行業(yè)市場規(guī)模約為25.48億元，相較于2021年增長了大約13.7%，預(yù)計到2023年市場規(guī)模將達到28.55億元左右。在國內(nèi)市場中，奇安信、綠盟科技、深信服科技以及安恒信息等企業(yè)占據(jù)著主導地位，具體市場份額如表1所示。從這些數(shù)據(jù)不難看出，無論是國內(nèi)還是國際，入侵檢測行業(yè)均呈現(xiàn)出持續(xù)向好的發(fā)展態(tài)勢，其未來發(fā)展前景十分廣闊[1]。

2 常見入侵檢測技術(shù)分析

2.1 基于主機的入侵檢測技術(shù)

對于此類入侵檢測技術(shù)而言，其主要針對主機進行檢測。需要將入侵檢測系統(tǒng)有效安裝在受保護的相應(yīng)主機中，從而使主機成為入侵情報的核心來源。入侵檢測系統(tǒng)能夠依據(jù)從主機中獲取的信息，有效判斷并分析系統(tǒng)當前是否存在漏洞、是否遭受非法攻擊等。一旦判定存在異常，能夠立即做出響應(yīng)，并向計算機的管理人員發(fā)出警報。此類入侵檢測技術(shù)在計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)用早期具有相對較高的性價比。然而，由于主機與檢測之間存在耦合關(guān)系，隨著主機占用資源的持續(xù)增加，入侵檢測性能可能會持續(xù)下降。此外，基于主機的入侵檢測技術(shù)對于拒絕服務(wù)攻擊的保護能力相對較弱，且存在軟件方面可移植性較差等缺陷。

2.2 基于網(wǎng)絡(luò)的入侵檢測技術(shù)

此種入侵檢測技術(shù)能夠?qū)W(wǎng)絡(luò)運行期間的一系列非法軟件或程序進行實時檢測，并將檢測狀態(tài)及分析結(jié)果實時報告，從而最大程度地降低網(wǎng)絡(luò)攻擊問題出現(xiàn)的概率。其主要工作原理是對獲取的一系列傳輸數(shù)據(jù)包進行全面細致的分析，以判定是否存在入侵行為。此種入侵檢測技術(shù)能夠同時對多個網(wǎng)絡(luò)安全節(jié)點進行監(jiān)督與檢測，且安裝方便，能夠獲得良好的檢測效果。一旦存在異常情況，入侵檢測系統(tǒng)能夠及時發(fā)出警報；若是存在嚴重安全威脅，此種技術(shù)還能夠直接斷開網(wǎng)絡(luò)連接，從而有效阻止繼續(xù)入侵。由于此種入侵檢測技術(shù)能夠?qū)W(wǎng)絡(luò)進行實時監(jiān)控，因此能夠關(guān)注更多細節(jié)，實現(xiàn)檢測、監(jiān)控的持續(xù)細化，呈現(xiàn)出防御能力強及網(wǎng)絡(luò)影響小的特點。然而，此項技術(shù)同樣存在一定弊端：由于此種入侵檢測技術(shù)對網(wǎng)絡(luò)存在較大依賴性，所以一旦網(wǎng)絡(luò)狀況不佳，在開展數(shù)據(jù)包分析活動時，容易出現(xiàn)數(shù)據(jù)丟包現(xiàn)象，這會提高檢測誤差率，進而對入侵判斷的精確性產(chǎn)生不利影響，從而限制入侵檢測技術(shù)價值和作用的發(fā)揮[2]。

2.3 混合式入侵檢測技術(shù)

對于混合式入侵檢測技術(shù)而言，它是為了解決上述技術(shù)存在的不足而誕生的。這種入侵檢測技術(shù)融合了基于主機和基于網(wǎng)絡(luò)入侵檢測技術(shù)的所有優(yōu)點，既能夠開展計算機系統(tǒng)日志分析活動，也能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)包進行分析工作，還可以將兩種數(shù)據(jù)進行融合分析，從而構(gòu)建出一套相對更為嚴謹、細致且高效的入侵檢測系統(tǒng)[3]。

3 入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全維護中的應(yīng)用實踐研究

3.1 入侵特征提取

對于入侵特征提取而言，它指的是從多種不同的數(shù)據(jù)來源中有效地挖掘出與網(wǎng)絡(luò)攻擊行為相關(guān)的各種信息，再對這些信息進行預(yù)處理，最終整合并歸納到一個統(tǒng)一的數(shù)據(jù)庫內(nèi)，用于開展攻擊行為分析。然而，由于基于網(wǎng)絡(luò)的入侵檢測技術(shù)的數(shù)據(jù)源和數(shù)據(jù)結(jié)構(gòu)具有較強的異構(gòu)性，加之計算機網(wǎng)絡(luò)系統(tǒng)中存在大量的無意義數(shù)據(jù)信息，這可能導致入侵檢測系統(tǒng)無法充分利用這些數(shù)據(jù)信息，進而影響最終檢測結(jié)果的準確性。因此，在進行入侵特征提取時，必須對一系列原始數(shù)據(jù)進行歸納和統(tǒng)一的預(yù)處理，以確保它們能夠滿足檢測系統(tǒng)的要求，從而進一步提高檢測工作的成效。

目前來看，數(shù)據(jù)預(yù)處理至少應(yīng)包含以下功能：

1） 數(shù)據(jù)整合。在當前的入侵檢測技術(shù)中，數(shù)據(jù)整合主要是指將多個檢測器有效獲取的結(jié)果及相應(yīng)的額外信息進行充分合并，這其中包括數(shù)據(jù)沖突等處理。由于入侵檢測活動需要使用多個不同的檢測器，因此需要為這些檢測器提供一個統(tǒng)一的資料接口，以確保不同檢測器獲取的分析結(jié)果和額外的判別信息能夠得到充分整合。此外，由于同一檢測機可以同時處理多個不同系統(tǒng)中的數(shù)據(jù)，這可能會導致名稱、結(jié)構(gòu)和計量單位等多種內(nèi)容的沖突，因此還必須進行資料格式的轉(zhuǎn)換工作，即統(tǒng)一原始資料中存在的各種沖突，包括名稱差異、單位差異和字長度差異等。

2） 數(shù)據(jù)清除。這種功能要求入侵檢測系統(tǒng)能夠自動清除原始數(shù)據(jù)集中存在的噪聲或不相關(guān)數(shù)據(jù)，以減少無用數(shù)據(jù)量，留下更多可靠有用的原始數(shù)據(jù)，從而進一步提高數(shù)據(jù)整合和歸納的效率，也可以提升入侵特征提取的準確性和有效性，為高效開展入侵行為分析奠定堅實基礎(chǔ)[4]。

另外為了保證入侵檢測的有效性，還需要測算出一系列可識別行為方面的實際入侵單元值，其計算公式如下：

式中：G 代表可識別行為方面的入侵單元值；m 代表入侵范圍；n 代表堆疊入侵區(qū)域；u 代表定向識別距離；γ代表入侵檢測偏差；i代表可識別次數(shù)。

3.2 入侵行為分析

在實際開展入侵檢測活動時，無論最終選擇哪一種入侵檢測技術(shù)，都必須進行模式匹配。借助模式匹配，可以對所有非正常進入計算機網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)信息進行簡要統(tǒng)計和分析，從而高效地發(fā)現(xiàn)違反安全要求的問題，并及時將數(shù)據(jù)信息共享給中央控制中心以完成告警工作，進而實現(xiàn)智能化、自動化的入侵檢測效果，這可以顯著提升計算機網(wǎng)絡(luò)安全維護的有效性和可靠性。在具體操作中，通過模式匹配器，能夠?qū)⑻崛〉囊幌盗腥肭痔卣髋c常規(guī)模式或異常模式進行充分的比較，以此對提取的入侵行為進行全面細致的分析，從而判斷這些入侵行為是否真正屬于入侵行為，并據(jù)此做出針對性的處理。這種技術(shù)操作的優(yōu)點在于，它僅需要收集大量的相關(guān)數(shù)據(jù)資料即可開展入侵行為判定，具有較高的檢測精度和檢測效率。然而，這種方法也存在一個較大的弊端，即相關(guān)管理人員需要持續(xù)不斷地對模式匹配器所需的常規(guī)模式和異常模式數(shù)據(jù)進行更新，才能應(yīng)對層出不窮的入侵行為進行檢測和判定。這也導致一些未曾被發(fā)現(xiàn)的入侵行為，如某種病毒或黑客攻擊行為從未出現(xiàn)過，那么相應(yīng)的模式數(shù)據(jù)就無法得到有效更新，當實際遇到此類入侵時，系統(tǒng)便很難將其檢測出來。

在實際開展入侵行為分析活動時，Snort是一種比較典型的模式匹配軟件。其運行時的主要流程為：首先進行初始化，然后在此基礎(chǔ)上對指令進行分析，實現(xiàn)系統(tǒng)規(guī)則的充分讀取，這樣軟件便可以自動構(gòu)建二維鏈表，并據(jù)此完成一系列入侵活動的檢測，同時再次執(zhí)行周期性檢測任務(wù)。在實際運用中，該軟件能夠充分利用libpcap接口，在網(wǎng)絡(luò)中高效地捕獲數(shù)據(jù)包，并立即對該數(shù)據(jù)包進行分析。這一過程相對復雜，涉及數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層等多個層面的處理。分析完成后，得到的結(jié)果可以直接存儲在Packet結(jié)構(gòu)中，為后續(xù)的一系列分析工作提供數(shù)據(jù)支持。在切實完成分組解析作業(yè)后，如果提前在指令中已經(jīng)構(gòu)建了“依規(guī)則庫完成分組分析”的指令，那么系統(tǒng)便可以自動開展檢測活動，將Packet結(jié)構(gòu)中當前已經(jīng)有效存儲的多個分組數(shù)據(jù)信息快速地與對應(yīng)的二維鏈表進行高效地逐個比較[5]。

3.3 入侵防護

在完成入侵行為分析及描述之后，入侵檢測系統(tǒng)能夠生成對應(yīng)的入侵樹，并據(jù)此開展防御或響應(yīng)活動。具體包括以下幾個方面：

1） 對于系統(tǒng)而言，其可以自動化地執(zhí)行相關(guān)響應(yīng)。具體操作方法是在不干擾系統(tǒng)正常運轉(zhuǎn)的前提下，自動化地構(gòu)建防火墻等防御措施，以實施入侵防范或規(guī)避。若這種自動化構(gòu)建活動未能實現(xiàn)，則可轉(zhuǎn)至人工免疫操作流程，通過人工操作完成構(gòu)建后，即可順利開展一系列相關(guān)測試活動。若系統(tǒng)自動化構(gòu)建防火墻成功，則無需再進行人工操作，能夠直接實施自動化免疫。但需要注意的是，如果相關(guān)測試活動未能成功，仍必須實施人工免疫[6]。

2） 在實際開展入侵防護活動期間，人工免疫是一個重點內(nèi)容。其本質(zhì)是指由相關(guān)工作人員通過人工操作的方式，針對系統(tǒng)當前已發(fā)現(xiàn)但無法自行處理的入侵行為進行分析，然后采取合理適宜的措施對該系統(tǒng)進行科學配置，以達到規(guī)避相同或相似入侵的效果。而在具體實施免疫期間，保護系統(tǒng)可長時間處于激活狀態(tài)，這樣便能夠高效地完成對類似入侵的快速檢測，并自動化地啟用一系列應(yīng)急措施，如直接斷網(wǎng)等，從而達到有效保護網(wǎng)絡(luò)系統(tǒng)安全的目的。需要注意的是，在完成免疫活動后，相關(guān)工作人員仍需落實好部分管理活動，如及時修改一系列密碼，或進一步完善防火墻的安裝等。

3） 在上述各項活動切實完成后，還應(yīng)該將構(gòu)建出的入侵樹進行刪除處理，這樣才能夠確保系統(tǒng)迅速恢復，實現(xiàn)穩(wěn)定正常運轉(zhuǎn)。

4 結(jié)束語

在網(wǎng)絡(luò)信息技術(shù)快速發(fā)展的背景下，計算機網(wǎng)絡(luò)安全問題也開始受到人們的廣泛關(guān)注和重視。入侵檢測技術(shù)能夠高效地對一系列入侵行為進行檢測、預(yù)警和處理，從而提高計算機網(wǎng)絡(luò)的安全性，避免由于病毒或黑客攻擊等引發(fā)重大損失。因此，無論是企業(yè)還是個人，都需要做好計算機網(wǎng)絡(luò)安全維護活動中入侵檢測技術(shù)運用方面的研究工作，以此進一步提高入侵檢測技術(shù)的運用水平，從而更好地維護計算機網(wǎng)絡(luò)安全，確保計算機網(wǎng)絡(luò)系統(tǒng)能夠充分發(fā)揮出應(yīng)有的效用。

參考文獻：

[1] 要麗娟，石峰.數(shù)據(jù)挖掘技術(shù)在計算機網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].集成電路應(yīng)用，2023，40（7）：222-223.

[2] 徐夢萍.探究入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用[J].電腦知識與技術(shù)，2022，18（36）：75-77.

[3] 潘力.入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全維護中的運用分析[J].信息記錄材料，2023，24（4）：125-127.

[4] 王文江，柏赫，劉鑫，等.計算機網(wǎng)絡(luò)安全入侵檢測技術(shù)研究[J].中國新通信，2023，25（4）：102-104.

[5] 王業(yè).入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用分析[J].無線互聯(lián)科技，2022，19（14）：99-101.

[6] 曲亮.計算機網(wǎng)絡(luò)安全的入侵檢測技術(shù)分析[J].集成電路應(yīng)用，2022，39（1）：132-133.

【通聯(lián)編輯：代影】