互聯(lián)網(wǎng)入侵檢測技術(shù)初探

符小明

摘 要：隨著互聯(lián)網(wǎng)信息技術(shù)的高速發(fā)展，入侵檢測技術(shù)也隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展而日新月異，互聯(lián)網(wǎng)遭受的入侵風(fēng)險(xiǎn)日漸凸顯，維護(hù)網(wǎng)絡(luò)信息安全也成為社會(huì)穩(wěn)定和國家安全的一個(gè)重點(diǎn)、難點(diǎn)問題，這個(gè)問題亟待解決。以往的防范策略對(duì)安全高度敏感的部門工作需要已經(jīng)顯得力不從心。計(jì)算機(jī)信息網(wǎng)絡(luò)入侵檢測技術(shù)可以作為網(wǎng)絡(luò)的傳統(tǒng)防御的有效補(bǔ)充，在網(wǎng)絡(luò)安全中起到舉足輕重的作用。

關(guān)鍵詞：入侵檢測；異常檢測；閾值；技術(shù)分類

隨著互聯(lián)網(wǎng)的高速發(fā)展，為了資源共享及迅速獲取前沿信

息。各級(jí)政府機(jī)構(gòu)、各類單位及個(gè)人都加入Internet中，全球信息共享的雛形已經(jīng)初步形成。網(wǎng)絡(luò)的高速發(fā)展，互聯(lián)網(wǎng)中黑客的攻擊活動(dòng)也以每年10倍的速度激增。所以，在網(wǎng)絡(luò)信息技術(shù)高度發(fā)展的今天，如何有效地保證計(jì)算機(jī)系統(tǒng)、信息網(wǎng)絡(luò)系統(tǒng)以及信息基礎(chǔ)設(shè)施的安全已成為我們現(xiàn)階段研究的重點(diǎn)工作。

一、網(wǎng)絡(luò)防火墻

防范計(jì)算機(jī)網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建網(wǎng)絡(luò)防火墻。

防火墻指的是一個(gè)由軟件系統(tǒng)和硬件設(shè)備有效組合而成，在專用網(wǎng)與公共網(wǎng)之間、內(nèi)外網(wǎng)之間的界面構(gòu)建的一道安全防御“門”，是一種保證網(wǎng)絡(luò)安全的有效措施。防火墻由計(jì)算機(jī)硬件和軟件系統(tǒng)結(jié)合使用，這樣防火墻就可以在Internet與Intranet之間構(gòu)建安全“門”，進(jìn)而達(dá)到非法用戶不能侵入內(nèi)部網(wǎng)的目的，并通過限制、監(jiān)視、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，盡可能防范對(duì)內(nèi)網(wǎng)的非法訪問與入侵。

二、網(wǎng)絡(luò)防火墻的局限性

1.防火墻對(duì)不經(jīng)過防火墻的攻擊無計(jì)可施

如果用戶允許從受保護(hù)的內(nèi)部網(wǎng)絡(luò)向外撥號(hào)連接，這樣就給一些非法用戶甚至是黑客制造了與Internet的直接連接的機(jī)會(huì)和條件。另外，防火墻對(duì)于網(wǎng)絡(luò)內(nèi)部的攻擊或是病毒威脅也顯得力不從心。

2.任何防火墻都可能在不經(jīng)意間留下“敞開的后門”

由于防火墻的局限性，一般不能提供實(shí)時(shí)有效的入侵檢測防御。所以，單純?cè)诰W(wǎng)絡(luò)入口處部署防火墻是不能在源頭上確保網(wǎng)絡(luò)信息安全的。在信息技術(shù)高度發(fā)達(dá)的今天，對(duì)網(wǎng)絡(luò)安全要求極高的敏感企業(yè)或單位，防火墻已經(jīng)顯得十分蒼白無力，計(jì)算機(jī)信息網(wǎng)絡(luò)的防衛(wèi)技術(shù)必須采用一種縱深的、多樣化的手段。

由于防火墻存在著某些方面的致命缺陷，入侵檢測在這時(shí)候就顯得十分重要，入侵檢測作為防火墻后面的一道安全“門”，是防火墻的有效補(bǔ)充，入侵檢測技術(shù)的使用，有效地提高了網(wǎng)絡(luò)的安全性能。隨著網(wǎng)絡(luò)的高度發(fā)展，入侵檢測技術(shù)越來越凸顯出重要性?，F(xiàn)階段，入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向，并在不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮著重要作用。

三、入侵檢測

入侵檢測是對(duì)互聯(lián)網(wǎng)數(shù)據(jù)傳輸進(jìn)行實(shí)時(shí)檢測與監(jiān)視，發(fā)現(xiàn)可疑或異常傳輸時(shí)發(fā)出警報(bào)及警告，并立即采取主動(dòng)防御，避免非法數(shù)據(jù)的傳輸或無授權(quán)訪問。入侵檢測技術(shù)區(qū)別于其他的網(wǎng)絡(luò)設(shè)備的主要表現(xiàn)是：入侵檢測是一種積極被動(dòng)的安全防護(hù)技術(shù)。入侵檢測有三種類型：基于網(wǎng)絡(luò)型、基于主機(jī)型、基于代理型等。

從20世紀(jì)90年代至今，各網(wǎng)絡(luò)公司陸續(xù)開發(fā)出一些入侵檢測的網(wǎng)絡(luò)產(chǎn)品，這其中比較有代表性的是ISS公司的Realsecure，NAI公司的Cybercop和Cisco公司的NetRanger。

四、入侵檢測技術(shù)分類

入侵檢測技術(shù)系統(tǒng)分為兩種：特征檢測與異常檢測。

1.特征檢測

特征檢測：將入侵者活動(dòng)特征當(dāng)做一種特定模式來表示，入

侵檢測系統(tǒng)會(huì)自動(dòng)檢測該活動(dòng)是否符合這個(gè)特定的模式。假如符合這個(gè)特定模式，系統(tǒng)將自動(dòng)啟動(dòng)入侵檢測系統(tǒng)進(jìn)行有效攔截處理，由此來防止非法訪問。但是，這類技術(shù)也有其致命的弱點(diǎn)，它只對(duì)特定模式的入侵起到作用，對(duì)于新的入侵卻是無能為力。入侵檢測的關(guān)鍵在于如何設(shè)計(jì)特定模式防御“入侵”活動(dòng)，這類活動(dòng)又不會(huì)將正常的通訊活動(dòng)包含進(jìn)來。

2.異常檢測

異常檢測在基于行為基礎(chǔ)上的檢測。異常檢測其中一個(gè)重要的基本前提是：將通訊過程中所有的入侵行為都當(dāng)做異常處理。并由此建立系統(tǒng)或是用戶的“正?！毙袨樘卣鬏喞瑢⑿畔⑼ㄓ嵵g的主體活動(dòng)情況與“活動(dòng)簡檔”作為比較，當(dāng)主體活動(dòng)違反統(tǒng)計(jì)規(guī)律時(shí)，入侵檢測系統(tǒng)認(rèn)定該活動(dòng)可能是“入侵”行為。通過比較當(dāng)前系統(tǒng)或用戶的具體行為是否不在正常的行為特征輪廓內(nèi)來判斷是否發(fā)生入侵行為，此方法不依賴于是否表現(xiàn)出具體行為來進(jìn)行檢測。

五、入侵檢測閾值

一個(gè)領(lǐng)域或一個(gè)系統(tǒng)的界限稱為閾，其數(shù)值稱為閾值，異常檢測是以正常的網(wǎng)絡(luò)特征輪廓作為比較的參考閾值來進(jìn)行異常檢測，所以，如何選定閾值是十分關(guān)鍵的。如果閾值設(shè)定較大，漏警率就會(huì)提高；閾值設(shè)定較小，虛警率就會(huì)上升。適中的閾值選擇是決定檢測方法準(zhǔn)確率的關(guān)鍵因素。

參考文獻(xiàn)：

樂瑞卿.計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)的探討[J].硅谷，2011（22）.

（作者單位 海南職業(yè)技術(shù)學(xué)院）

編輯 王振德