解析計算機網絡信息管理系統(tǒng)中的入侵檢測技術

吳月紅

摘要：木馬、病毒的入侵會帶來很多數據信息安全問題，給用戶造成經濟損失，因此對入侵檢測技術進行分析和研究具有現實意義。根據多年工作實踐經驗，認為現階段計算機網絡信息管理系統(tǒng)中的入侵檢測技術上存在一定問題，文章深入分析入侵檢測技術現狀，并在此基礎上對入侵檢測技術實施步驟、分類進行分析，同時以某校園網絡信息管理為例，探討入侵檢測技術的實際應用。

關鍵詞：計算機網絡；信息管理系統(tǒng)；入侵檢測技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）11-0062-02

The Information Management System of Computer Network Intrusion Detection Technology

WU Yue-hong

（Changsha Aeronautical Vocational and Technical College， Changsha 410124， China）

Abstract： the Trojan virus invasion， will bring a lot of information and data security issues， causing economic losses to the user， so it has practical significance to analyze and study the technology of intrusion detection. According to many years of work experience， there are some problems intrusion of computer network information management system in the current detection technology， this paper analyses the present situation of intrusion detection technology， and based on the intrusion detection technology， implementation steps， classification analysis， at the same time in a campus network information management as an example， to explore the application of intrusion detection technology.

Key words： computer network； information management system； intrusion detection technology

現階段，電子商務、網絡銀行以及數字貨幣等新興網絡業(yè)務已經全面覆蓋大眾，很多企事業(yè)單位、科研機構、金融服務單位為了提升工作效率，常常將自身數據庫系統(tǒng)于互聯網進行聯通。這種做法雖然能夠進一步提高辦公效果，但系統(tǒng)數據安全卻無法得到保障。目前，基礎性防火墻技術很難滿足數據安全需求，一些非法訪問、SQL注入及腳本攻擊等行為，均能夠避開安全系統(tǒng)，進而對數據來源進行攻擊?；谝陨戏治?，認為研究入侵檢測技術在網絡信息管理系統(tǒng)中的應用，對保護數據安全具有推動作用。

1 入侵檢測技術現狀

計算機網絡信息技術的發(fā)展和進步在為人們帶來了更多便利條件的同時，也存在很多網絡安全管理問題，網絡入侵行為就是其中之一?，F階段，網絡入侵和攻擊方式具有較強隱蔽性，也呈現出多樣化特點，網絡安全的主要危險因素包括黑客攻擊、隱蔽通道、計算機病毒、特洛伊木馬、信息丟失、邏輯炸彈、內外部泄密等，嚴重威脅到網絡用戶數據的安全性。入侵檢測的作用與防火墻類似，能夠對計算機應用程序、關鍵數據進行檢測，并對入侵和攻擊行為進行攔截，并向用戶發(fā)出警告，發(fā)揮保護系統(tǒng)、數據和信息的作用。但是，入侵檢測技術在應用過程中也存在很多問題，主要體現在兩個方面：

1）入侵檢測系統(tǒng)存在的問題實際上，入侵檢測軟件本身就屬于一種系統(tǒng)，一定會存在漏洞，因此也會在檢測系統(tǒng)中出現入侵行為。現階段，隨著入侵和攻擊技術的不斷提高，很多入侵檢測系統(tǒng)均有被攻擊的危險，給系統(tǒng)構件帶來嚴重損害。

2）入侵檢測技術存在的問題入侵檢測技術本身存在的問題主要體現在兩個方面，一是提取入侵模式存在缺陷，目前多數檢測技術只能夠對已知入侵模式進行提取和檢驗，針對很多隱秘性較強的入侵行為則無所適從，也就是常說的“漏警問題”。二是網速高于檢測速度，導致很多攻擊行為在沒有被攔截的情況下就已經實現了攻擊目的，給信息管理安全帶來隱患。

2 入侵檢測技術

入侵檢測技術（IDS）可根據特定安全策略，利用硬件、軟件對計算機網絡信息系統(tǒng)運行情況進行監(jiān)督，發(fā)現和識別具有攻擊行為的不良因素，保證網絡系統(tǒng)的安全性和完整性。入侵檢測技術是對防火墻缺點的補充，不僅可以對用戶網絡系統(tǒng)開展監(jiān)督和維護，也可審計系統(tǒng)的可靠配置，同時識別攻擊行為，并做到有效跟蹤，最后向用戶發(fā)出警告。入侵檢測技術（IDS）通用模型如圖1所示。

圖1 入侵檢測技術（IDS）通用模型

2.1 入侵檢測技術實施步驟

1）收集信息。入侵檢測技術在網絡信息管理系統(tǒng)中應用時，首先要對用戶網絡系統(tǒng)主要活動、日常行為及配置狀態(tài)等信息進行收集。收集這些信息主要依靠分析信息關鍵點，進而拓展檢測范圍，同時根據多種信息收集渠道斷定攻擊行為存在的真實性。

2）分析信息。通常情況下，入侵檢測技術在對信息數據進行分析時，均是采取“模型匹配”方式，并將收集到的信息與數據庫中原始數據進行比較，進而找出入侵和攻擊行為。

3）分析方法。對收集到的數據信息進行分析通常需要用到特定方法，其中完整分析法和統(tǒng)計分析法比較常用。根據實際情況，將不同分析方法應用在入侵檢測活動中，能夠保證入侵檢測技術識別攻擊行為的實現。

2.2 入侵檢測技術主要分類

根據入侵檢測技術的檢測目標、原理，可將現階段網絡信息管理入侵檢測技術主要兩大類，一類是異常檢測，另外一種是誤用檢測。

1）異常檢測：①特征量選擇。在開展異常檢測時，為了對異常入侵行為進行有效判斷，通常需要以正常狀態(tài)下系統(tǒng)行為特點為基礎，建立相應的輪廓，并在該檢測系統(tǒng)中對其進行有效記憶，當出現異常攻擊時，系統(tǒng)能夠及時將其發(fā)現。在建立輪廓和模型時，需要正確選擇與用戶系統(tǒng)特相關的特征量，進而最大程度發(fā)揮入侵檢測系統(tǒng)應有效果，進一步減少檢測阻力；②參考閾值選擇。在模擬正常情況下系統(tǒng)特征后，為提高入侵檢測的正確性和可靠性，通常要對參考閾值進行選擇。實踐過程中發(fā)現，當參考閾值設置過大時，會相應增加“漏警”率。而當閾值參考值過小時，則會導致檢測系統(tǒng)出現更多“虛警”率。因此，應在維持異常檢查進程合理性的基礎上，選擇適宜的參考閾值，保證異常檢測發(fā)揮自身最大效果。

2）誤用檢測：應用誤用檢測方法的前提是保證所有攻擊行為和入侵行為均能夠被有效標記，也就是通過對攻擊行為實施簽名，進而根據標記后的簽名判斷攻擊行為。多數攻擊、入侵行為均是在網絡漏洞中形成的，應用誤用檢測方法不僅可以完整無誤的界定相關網絡行為，還能準確找出這些網絡行為中的攻擊行為，進而形成良好的預警機制，為識別入侵和攻擊行為奠定基礎。同時，誤用檢測方法僅需完成數據采集即可實現入侵檢測，進而減少應用幅度，可提升入侵檢測技術整體應用效果。

3 入侵檢測技術實際應用案例

3.1 校園網絡主要安全問題分析

網絡安全不斷受到各種不良因素的沖擊，高校也逐漸成為重災區(qū)。通常，高校校園網基礎架構是為了實現學術研究，并為學校內部通信提供方便。但隨著高校的發(fā)展，校園網絡系統(tǒng)除了要承擔常規(guī)服務外，還要兼顧到教學管理和網絡教學。以某高校校園網絡信息管理系統(tǒng)為例，探討入侵檢測技術的實際應用。

本校校園網絡是從局域網發(fā)展而來的，基本不存在網絡安全防護，而是僅僅在網絡系統(tǒng)安裝防病毒相關軟件和防火墻，這種防護措施顯然無法滿足目前校園網絡安全的需要。若系統(tǒng)遭到黑客攻擊，或存在大量病毒，將會給校園網絡系統(tǒng)帶來很大威脅。通過檢查發(fā)現，本校校園網存在以下幾點安全隱患：

1）缺乏網絡安全管理專用設備本校存在網絡經費不足現象，因此將多數經費用在關鍵性設施建設中，導致校園網絡長期處于比較開放的環(huán)境中，且無安全預警防范措施。

2）上網場所管理混亂本校網絡管理存在各自為政的現狀，突出體現在未設置同意網絡出口及網絡監(jiān)控，導致無法對上網用戶的身份進行唯一識別，因此存在一定安全隱患。

3）網絡系統(tǒng)中大量病毒泛濫調查發(fā)現，本校網絡系統(tǒng)中存在大量病毒，不僅會消耗有限的校園網絡資源，也會導致網絡系統(tǒng)功能下降，進而導致重要數據丟失。該校網絡中單機殺毒軟件已經無法滿足校園網建設需要，需要進行集中管理。

4）缺少系統(tǒng)的安全管理制度本校網絡用戶安全意識比較匱乏，且每天均會產生大量非正常訪問，不僅浪費網絡資源，更給網絡系統(tǒng)管理安全性帶來重大隱患。

3.2 入侵檢測技術在校園網絡信息管理中的應用

本高校是由兩所大專院校組成，具有綜合性，且校園分布比較分散，兩個校區(qū)處于不同地理位置。另外，本高校還包括5個分院校和1個行政管理學院。因此，需要對校園網絡系統(tǒng)防護措施進行調整。為此，設計出分布式網絡入侵檢測系統(tǒng)，主要以總校區(qū)作為網絡管理核心，其他分校區(qū)行使二級網絡管理，各工作站負責各自網絡管理，形成“三級集中、分散管理”的大型網絡部署系統(tǒng)，如圖2所示。

圖2 本高校三級入侵管理系統(tǒng)圖

最后，確定本高校網絡安全防護系統(tǒng)以入侵檢測為主，以防火墻和抗病毒軟件為輔助措施，并在此體系中建設傳輸層防護措施和邊界防護措施，整個入侵檢測系統(tǒng)層次較深，進而為保證校園網絡系統(tǒng)安全性和有效性奠定基礎。

3.3 網絡安全隱患具體解決辦法

1）部署防火墻：防火墻是保證網絡安全的基礎性屏障，將防火墻作為控制點后，能夠提高校園內部網絡系統(tǒng)的安全性。鑒于本高校網絡建設的特殊性，防火墻配置應該遵循以下幾點原則：①設置安全過濾規(guī)則，對協議、源地址、端口及流向進行 （下轉第73頁）

（上接第63頁）

數據審核，禁止公網非法訪問；②建立內部網絡IP地址；③在局域網的入口設置防火墻（千兆），實現VPN功能；④防火墻訪問日志要定時進行查看，方便發(fā)現攻擊、入侵行為。

2）架設入侵監(jiān)測系統(tǒng)：在防火墻后架設IDS，能夠對校園網絡信息管理進行實時監(jiān)控。多數情況下，入侵監(jiān)測系統(tǒng)能夠對網絡系統(tǒng)活動進行記錄，因此可以和路由器、防火墻進行配合。入侵監(jiān)測系統(tǒng)可以對當前網絡系統(tǒng)活動進行監(jiān)控，并準確記錄上網流量變化情況，根據相關規(guī)則對主機流量進行過濾，實現實時監(jiān)控和報警。但是，由于入侵監(jiān)測系統(tǒng)是通過指定規(guī)則進行檢測，具有被動性。因此，需要根據本高校校園網絡實際情況制定適宜規(guī)則，并對其進行科學合理的配置。

3）布置網絡版殺毒軟件：為了有效減少校園局域網病毒感染和傳播，應采取措施應對網絡系統(tǒng)病毒。因此，我們在本高校校園網絡服務器（Windows2000）中配置了網絡版本殺毒系統(tǒng)，并在各主機節(jié)點中設置網絡版本殺毒軟件客戶端。為進一步保證網絡安全，應及時對殺毒軟件進行更新。

這種全面入侵檢測技術可以使該高校校園網絡更加安全，且具備完善的抗病毒能力，并對網絡信息管理系統(tǒng)產生保護作用。

4 結束語

計算機網絡信息技術日新月異，極大的豐富了人們的日常生活。網絡信息具有開放性，一定程度上也增加了人們對計算機的依賴性。目前，雖然入侵檢測技術尚存在一定局限性，例如無法對所有入侵、攻擊行為進行檢測。但是，入侵檢測技術仍然在網絡信息安全管理中發(fā)揮重要作用，且能夠在很大程度上減少網絡入侵對企事業(yè)單位造成的損失。相信隨著科學技術的不斷進步，入侵檢測技術必然會得到更加深層次的發(fā)展，使網絡信息管理更具安全性。

參考文獻：

[1] 魏茂剛.山東?；瘓F網絡信息安全系統(tǒng)設計與實現[J].電子科技大學學報，2013，09（25）.

[2] 劉丹婷.基于聯動機制的蜜網主機入侵檢測系統(tǒng)的研究[J].北京郵電大學學報，2013，03（07）.

[3] 張偉.計算機網絡信息管理系統(tǒng)中的入侵檢測技術[J].計算機光盤軟件與應用，2014，06（01）.

[4] 鄔書躍.于支持向量機和貝葉斯分析技術的入侵檢測方法研究[J].中南大學學報，2012，17（05）.

[5] 尹文婷.網絡信息管理中入侵檢測技術分析[J].信息安全與技術，2012，18（23）.