入侵檢測技術在計算機網(wǎng)絡安全維護中的應用

馬小雨

摘要：隨著信息技術的突飛猛進，因此計算機也成為大眾用品，逐漸走入人們的日常生活當中。網(wǎng)絡技術在給人們帶來方便的時候，它的安全問題也逐漸成為了人們的關注焦點，怎樣最大限度地確保計算機網(wǎng)絡安全，日益成為人們研究難點和研究重點問題。眾多的提高網(wǎng)絡安全的防范技術也應運而生，而入侵檢測技術就是這眾多檢測技術中特別重要的一種。該篇文章就入侵檢測技術的定義以及其在計算機網(wǎng)絡安全中的應用進行了深入分析與探討。

關鍵詞：入侵檢測技術；計算機網(wǎng)絡安全；應用

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）33-0043-02

隨著計算機網(wǎng)絡技術的發(fā)展，計算機也被應用于各個行業(yè)當中，為我國的經(jīng)濟建設提供了重要的技術支持。在我國大量企業(yè)的發(fā)展與運營過程中，完成優(yōu)質化的網(wǎng)絡安全管理與維護工作，具有十分明顯的現(xiàn)實意義，其能夠使我國計算機服務行業(yè)網(wǎng)絡的管理質量得到極大提升，使我國人力資源優(yōu)勢得到充分的發(fā)揮，也使我國信息化技術整體發(fā)展得到極大的促進。

1 網(wǎng)絡的入侵形式

網(wǎng)絡入侵就是指具有純熟調試和編寫計算機程序的技能，并且通過利用這些技能來獲取未授權或非法文件或網(wǎng)絡訪問，入侵到內部網(wǎng)絡的行為。當前，主要包括以下幾種網(wǎng)絡入侵的形式：

1）病毒入侵

病毒是一種被用來破壞特定系統(tǒng)資源目標，能夠破壞完整數(shù)據(jù)或者是拒絕執(zhí)行，能夠自我進行復制的一種程序[1]。能夠進行繁殖、隱匿、傳播、潛伏、寄生。當下，E-mail、WWW、BBS等瀏覽器是病毒最先攻擊的。

2）身份入侵

網(wǎng)絡服務一般來說需要對使用者特征進行確認，從而給予用戶對應的訪問權限，最普遍的網(wǎng)絡攻擊形式包括利用竊取或欺騙系統(tǒng)的手段來冒充合法使用者而進入網(wǎng)絡。主要包括漏洞攻擊、口令攻擊以及信息收集攻擊等。身份入侵一般來說是攻擊者對網(wǎng)絡系統(tǒng)中，一些微不足道缺陷通過不斷的探測性掃描形式。也可以不斷地掃描賬戶與系統(tǒng)，運用能夠運用權限來實現(xiàn)端口的掃描形式。這就使系統(tǒng)存在了缺陷，也可以通過不法搜集來的賬號和密碼來盜取。通常對其相關信息挪用竄改，進行這種偷取行為一般是運用相關的盜取軟件與在系統(tǒng)中的公開協(xié)議。

3）拒絕服務的入侵

DoS（Denial of Service）是拒絕服務入侵的簡稱，這種入侵行為其實是將一定數(shù)量和一定的序列信息發(fā)送到網(wǎng)絡系統(tǒng)中去[2]，致使很多需要回復的消息充盈在網(wǎng)絡系統(tǒng)的服務器當中，耗費了很多網(wǎng)絡寬帶或網(wǎng)絡系統(tǒng)的資源，從而促使計算機或者是網(wǎng)絡系統(tǒng)在運作過程當中因為不堪重負而導致了癱瘓，使正常網(wǎng)絡服務無法運行，導致計算機網(wǎng)絡無響應或者是死機等類似現(xiàn)象的入侵。

4）對于網(wǎng)絡防火墻的入侵

通常來講，網(wǎng)絡防火墻都具有非常強的進攻性，一般是不會被打破的。但在現(xiàn)實當中，總不會盡如人愿，總會在網(wǎng)絡防火墻當中存在一些缺陷，致使網(wǎng)絡防火墻被打破入侵。

當今時代，計算機網(wǎng)絡得到飛速的發(fā)展，人們進入了大數(shù)據(jù)時代，但也正因為網(wǎng)絡的發(fā)展，致使計算機極易遭受到入侵[2]。

2 關于入侵檢測技術的介紹

入侵檢測技術就是通過對收集到的信息和資料進行分析，從而發(fā)現(xiàn)在網(wǎng)絡系統(tǒng)當中有風險的行為以及發(fā)現(xiàn)計算機網(wǎng)絡系統(tǒng)當中有沒有被入侵，并且對計算機網(wǎng)絡系統(tǒng)完整和可用性產(chǎn)生威脅的操作進行阻止并對使用者進行警報技術。

常見入侵檢測技術形式有針對完整性的具體分析、對異常情況發(fā)現(xiàn)和相應模式的適當匹配：相應模式之間進行匹配是對網(wǎng)絡當中的每一個數(shù)據(jù)包都進行試探與檢測，看一看是否具有被入侵的特征，在發(fā)現(xiàn)有可能被入侵的數(shù)據(jù)包當中，把具有跟入侵特性一樣長度的字節(jié)提取出來，并進行字節(jié)之間的互相比較；如果檢測結果發(fā)現(xiàn)，提取出來的跟入侵字節(jié)一樣，那么就說明系統(tǒng)被入侵了，對每一個網(wǎng)絡片段都進行這種抽取比對檢查，直到所有都被檢查完畢為止。異常檢測就是采集過去網(wǎng)絡操作的數(shù)據(jù)，構建有關計算機網(wǎng)絡正?；顒拥臋n案。把目前網(wǎng)絡運作狀況跟建立正常的活動檔案進行比較，檢查一下看看有沒有脫離正規(guī)的運作軌道，從而能夠判斷計算機網(wǎng)絡有沒有被入侵。完整性分析就是對計算機網(wǎng)絡里文件屬性，目錄和內容進行檢測，看看有沒有被更改，有沒有處于錯誤的狀態(tài)。這種檢測技術，能夠及時發(fā)現(xiàn)計算機網(wǎng)絡系統(tǒng)當中的任何輕微變化，能夠及時發(fā)現(xiàn)入侵的行為[3]。

入侵檢測的形式有基于網(wǎng)絡的，還有針對于主機的：針對于主機的入侵檢測方式就是對端口和系統(tǒng)的調用進行安全的審計，對應用程序和計算機操作系統(tǒng)的具體使用情況進行記錄，把它們跟已經(jīng)掌握攻擊內部的數(shù)據(jù)庫進行比較，再把它們都記錄到特別的日志中給管理員使用。針對于網(wǎng)絡的入侵檢測方式，就是對網(wǎng)絡當中的各種行為進行分組，并且把那些非?？梢傻姆纸M都記錄在一個特別日志里。有了這些分組，入侵檢測通過對已經(jīng)掌握的入侵數(shù)據(jù)庫進行掃描，從而對每一個分組進行嚴重級別的分級，這樣能夠方便工作人員對這些不正常的地方進行更深層次調查。

3 在計算機網(wǎng)絡安全維護中入侵檢測技術的應用

入侵檢測技術主要是通過以下方法來維護計算機的網(wǎng)絡安全：對系統(tǒng)活動和用戶進行分析和監(jiān)視；對薄弱點和系統(tǒng)的構造方式進行審計；對掌握了的入侵方式進行偵測并且做出反應，對相關人員進行警示；統(tǒng)計并且分析具有異常特征的網(wǎng)絡行為。針對于網(wǎng)絡入侵檢測系統(tǒng)（IDS）的體系結構基本上都是多層的，包含ManagerAgent和Console三個部分。它們的工作原理就是 Console從代理那里把信息搜集起來，并且把自己受到的攻擊信息公布出來，讓你能夠管理或者是配置某一個代理。Agent就來監(jiān)視它所在網(wǎng)絡段的數(shù)據(jù)包。把自己檢測到的結果發(fā)送給管理器。Manager隨其進行統(tǒng)一管理，整理成日志。除此之外，它還要顯示檢測到的入侵信息與安全信息，對攻擊報警消息和配置進行回應，完成控制臺發(fā)布的命令，把代理所傳遞過來的安全警告信息發(fā)送給控制臺，從而完成全部的入侵檢測。具體操作如下：

1）信息的收集

數(shù)據(jù)占據(jù)了非常重要的位置在入侵檢測當中。數(shù)據(jù)源大體上有這四種：以物理形態(tài)進行入侵；在程序的執(zhí)行過程中不希望出現(xiàn)的行為；在文件和目錄當中不希望出現(xiàn)的改變；網(wǎng)絡日志與系統(tǒng)的文件。在應用的時候，進行信息采集時要在每一個網(wǎng)段上都布置單個或者更多的IDS代理，因為網(wǎng)絡的構成都不一樣，所以它的數(shù)據(jù)收集也就被分成了不一樣的接連方式，如果把網(wǎng)段用集線器接連起來，在交換機的芯片上大多都有一個端口，它是用來調試的，使用者可以把網(wǎng)絡從這里接入，也可以將入侵檢測系統(tǒng)安置在一些重要數(shù)據(jù)的出入口當中，差不多能夠得到全部的數(shù)據(jù)。與此同時，對于一些在計算機網(wǎng)絡系統(tǒng)中不同關鍵點的信息進行采集，除了要根據(jù)目標來檢測，使檢測的范圍盡可能地大，還有一個相對欠缺的環(huán)節(jié)，有可能對來自同一個地方信息檢測不出來一丁點可疑的地方。這就需要我們在對入侵信息進行采集時，著重探析來自不同目標之間不同的特性，以此來作為系統(tǒng)判別是否屬于可疑的行為或者是入侵的最好標志。針對于當今的網(wǎng)絡時代，入侵的行為還是比較少見的，對于那些不常見的數(shù)據(jù)可以進行單獨處理，加強入侵分析的針對性。因此，對于孤立點的挖掘在入侵的檢測技術當中是信息搜集的基礎手段，它的操作原理就是把那些不一樣的，不常見的，部分的數(shù)據(jù)從復雜的大量數(shù)據(jù)當中抽取出來進行單獨的處理。這就大大的克服里之前所說的，因為訓練樣本當中的正常的模式不健全而帶來的失誤率高的問題。

2）對信息進行分析

對于上述所收集到的有關信息，通過對數(shù)據(jù)的分析，從而發(fā)現(xiàn)當中的違反了安全規(guī)定的活動，而且把它發(fā)送給了管理器。設計人員應該對于各種系統(tǒng)的漏洞和網(wǎng)絡的協(xié)議等具有非常深刻清醒地認識，然后完善關于計算機網(wǎng)絡的安全措施并健全安全信息庫。然后再分別建立異常檢測模型和濫用檢測模型，能夠使機器對自己進行模擬分析，最后再把分析得到的最后結果匯聚成報警提示，對控制中心盡心警告。與此同時，相對于TCP/IP的這個網(wǎng)絡來說，網(wǎng)絡探測引擎在入侵的檢測手段中也占據(jù)著重要的位置。網(wǎng)絡探測引擎就相當于是1個傳感器，它對網(wǎng)絡上流通的數(shù)據(jù)包進行檢測的方式主要是旁路監(jiān)聽，對于檢測到異常事件形成警示，并且最終整合成警示消息，傳遞給控制臺。

3）關于信息的響應

遇到入侵時候能夠做出相應的反應是IDS使命。它運作過程是，對數(shù)據(jù)進行基本的分析，然后檢測本地的網(wǎng)段，把藏匿在數(shù)據(jù)包當中入侵行為搜尋出來，并及時對探測到的入侵行為做出相應的反應。大體上就包含網(wǎng)絡引擎通知或者是告警，比方說對控制臺給出警示、發(fā)送 E-mail或者是SNMP trap給負責安全的管理人員、對其他控制臺進行通報和對實時通話查看等；對現(xiàn)場進行記錄，比方說對整個會話進行記錄以及事件日志等；采取安全響應行動，比方說對指定用戶響應程序進行執(zhí)行、對入侵的接連進行終止等等[4]。

4）把防火墻和入侵檢測技術進行結合應用

防火墻可以很好地對周邊的危機起到防御作用，能夠非常好控制網(wǎng)絡層或應用層的訪問，但是，不能夠對內部網(wǎng)絡進行非常好的監(jiān)視和控制。那么，就很容易導致利用協(xié)議隧道來避繞開防火墻進行網(wǎng)絡入侵行為，給計算機網(wǎng)絡造成了嚴重的威脅，也就是說，防火墻不能完全保證計算機網(wǎng)絡安全。那么，我們就可以把防火墻和入侵檢測的級數(shù)結合起來，發(fā)揮雙方的優(yōu)秀特性，以達到對計算機網(wǎng)絡安全防護[5]。第一步，入侵檢測系統(tǒng)或者是防火墻為對方開放一個借口，防火墻和入侵檢測系統(tǒng)按照約定好的規(guī)則來進行信息交流，進行信息交流的兩方，事先互相約定，設定互相交流的端口。第二步，防火墻對經(jīng)過其數(shù)據(jù)包進行檢測，把經(jīng)過的數(shù)據(jù)包與其制定好規(guī)則進行對比，最終過濾掉那些不符合規(guī)則和沒有經(jīng)過授權的數(shù)據(jù)包。最后，關于那些在防火墻處得“漏網(wǎng)之魚”，入侵檢測技術就利用已經(jīng)建立起來的入侵信息樣本數(shù)據(jù)庫，對那些不符合規(guī)則的數(shù)據(jù)包進行相應的警示響應，以使用戶進行相應的防護措施。

4 總結

入侵檢測的技術具有強烈主動性和積極性，對于網(wǎng)絡安全的維護具有非常非常重要的作用，特別是在當今這個網(wǎng)絡大爆炸的時代。家家戶戶都在使用計算機，每個人都接觸網(wǎng)絡，帶來了很多不穩(wěn)定性，也為計算機網(wǎng)絡帶來了各種不安全性，因此，在今后的發(fā)展過程中，我們更應該加強入侵檢測技術的發(fā)展，使其不斷地完善，使其在網(wǎng)絡安全的維護中起到積極的作用。

參考文獻：

[1] 溫捷.入侵檢測技術在計算機網(wǎng)絡安全維護中的應用[J].華東科技，2016（4）：15-15.

[2] 王宇祥.入侵檢測技術在計算機網(wǎng)絡安全維護中運用探討[J].網(wǎng)絡安全技術與應用，2016（4）：22-22.

[3] 莫新菊.入侵檢測技術在計算機網(wǎng)絡安全維護中的應用研究[J].計算機光盤軟件與應用，2012（18）：68-69.

[4] 廉星.計算機網(wǎng)絡安全維護中入侵檢測技術的有效應用[J]. 計算機光盤軟件與應用，2011（8）：58-58.

[5] 李文強.計算機網(wǎng)絡安全中入侵檢測技術應用分析[J].電腦編程技巧與維護，2016（6）：99-100.