云 亮

海南師范大學(xué)信息科學(xué)技術(shù)學(xué)院，海南海口 570100

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展其廣泛應(yīng)用于我國各項(xiàng)社會服務(wù)、經(jīng)濟(jì)金融、政治軍事、教育國防事業(yè)中，令企事業(yè)單位生產(chǎn)運(yùn)營效率全面提升，可以說計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)真正給人們的生活創(chuàng)設(shè)了便利，構(gòu)建了共享化、高效化、現(xiàn)代化的社會發(fā)展環(huán)境。同時網(wǎng)絡(luò)系統(tǒng)由于自身建設(shè)、程序設(shè)計(jì)、操作失誤等因素不可避免的包含許多病毒或漏洞，給黑客入侵者以可乘之機(jī)，并給重要數(shù)據(jù)信息的安全引入了諸多不可預(yù)測的復(fù)雜風(fēng)險，動輒令企事業(yè)單位機(jī)密文件丟失、個人信息被不良竊取，造成了嚴(yán)重的經(jīng)濟(jì)損失。

1 計(jì)算機(jī)網(wǎng)絡(luò)常見入侵方式

針對計(jì)算機(jī)網(wǎng)絡(luò)的入侵主要指應(yīng)用相應(yīng)計(jì)算機(jī)程序調(diào)試技巧、編寫技巧實(shí)現(xiàn)對未授權(quán)文件或網(wǎng)絡(luò)的非法訪問，并入侵至網(wǎng)絡(luò)中的不良行為。當(dāng)前常見的計(jì)算機(jī)網(wǎng)絡(luò)入侵包括病毒攻擊、身份攻擊、拒絕服務(wù)、防火墻攻擊、網(wǎng)絡(luò)欺騙、木馬攻擊、后門入侵、惡意程序攻擊、入侵撥號程序、邏輯炸彈攻擊、破解密碼、垃圾搜尋、社交工程攻擊等。所謂病毒攻擊即利用其自我復(fù)制特性進(jìn)行系統(tǒng)資源的破壞、侵襲，對其數(shù)據(jù)完整性進(jìn)行不良破壞或竊取、令系統(tǒng)拒絕服務(wù)，該攻擊入侵方式具有隱蔽性、傳播性、繁殖性、潛伏性與寄生性等特征。身份攻擊則利用網(wǎng)絡(luò)服務(wù)對用戶身份的確認(rèn)進(jìn)而通過竊取、欺騙手段對合法用戶身份進(jìn)行冒充以實(shí)現(xiàn)網(wǎng)絡(luò)攻擊目標(biāo)，該類攻擊包含漏洞攻擊、收集信息攻擊與口令攻擊等。其中獲取與收集信息主要采用試探方式，例如掃描賬戶、ping、掃描漏洞、端口與嗅探網(wǎng)絡(luò)方式進(jìn)而對系統(tǒng)漏洞、服務(wù)、權(quán)限進(jìn)行探測，采用工具與公開協(xié)議對網(wǎng)絡(luò)中各主機(jī)存儲的有用信息進(jìn)行獲取與收集，并捕捉到其存在的漏洞，進(jìn)而為后續(xù)攻擊做準(zhǔn)備。針對防火墻進(jìn)行攻擊具有一定難度，然而一旦攻擊得手將造成網(wǎng)絡(luò)系統(tǒng)的崩潰、癱瘓，令用戶蒙受較大損失。拒絕服務(wù)攻擊主體將一定數(shù)量與序列的報文傳送至網(wǎng)絡(luò)中令大量的恢復(fù)要求信息運(yùn)行充斥于服務(wù)器中，導(dǎo)致網(wǎng)絡(luò)帶寬與系統(tǒng)資源被不良消耗，進(jìn)而令其無法正常的服務(wù)運(yùn)行、甚至不勝負(fù)荷而引發(fā)系統(tǒng)死機(jī)、癱瘓現(xiàn)象。網(wǎng)絡(luò)欺騙主要通過對電子郵件、網(wǎng)頁的偽造誘導(dǎo)用戶錄入關(guān)鍵隱私信息，例如密碼、銀行賬戶、登錄賬戶、信用卡信息等進(jìn)而實(shí)現(xiàn)竊取入侵目標(biāo)。對撥號程序的攻擊通過自動撥號進(jìn)行調(diào)制解調(diào)器連接通道的搜尋，以實(shí)現(xiàn)入侵目標(biāo)。邏輯炸彈則是計(jì)算機(jī)軟件中嵌入的一類指令，可通過觸發(fā)進(jìn)而實(shí)現(xiàn)惡意的系統(tǒng)操作。

2 入侵檢測技術(shù)內(nèi)涵

入侵檢測技術(shù)通過對安全日志、人們行為與數(shù)據(jù)的審計(jì)、可獲取信息展開操作進(jìn)而檢測到企圖闖入系統(tǒng)的信息，包含檢測、威懾、評估損失狀況、預(yù)測攻擊與起訴支持等。該技術(shù)可以說是防火墻系統(tǒng)技術(shù)的良好補(bǔ)充，可有效輔助系統(tǒng)強(qiáng)化其應(yīng)對異常狀況、非授權(quán)、入侵行為能力，通過實(shí)時檢測提供對外部、內(nèi)部攻擊與誤操作的動態(tài)實(shí)時保護(hù)，是一種安全有效的防護(hù)策略技術(shù)，入侵檢測硬件與軟件的完善結(jié)合便構(gòu)成了入侵檢測系統(tǒng)。合理應(yīng)用該技術(shù)可令不良入侵攻擊行為在危害系統(tǒng)之前便被準(zhǔn)確的檢測到，進(jìn)而利用防護(hù)與報警系統(tǒng)將入侵攻擊驅(qū)逐，降低其造成的不良損失。當(dāng)系統(tǒng)被攻擊入侵后我們則應(yīng)通過對入侵信息的全面收集構(gòu)建防范知識系統(tǒng)，進(jìn)而提升網(wǎng)絡(luò)系統(tǒng)綜合防范能效。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全中科學(xué)應(yīng)用入侵檢測技術(shù)

入侵檢測技術(shù)主要通過對維護(hù)網(wǎng)絡(luò)安全、分析、監(jiān)視系統(tǒng)與用戶活動、審計(jì)系統(tǒng)弱點(diǎn)與構(gòu)造、對已知進(jìn)攻模式活動進(jìn)行反應(yīng)識別并報備、分析統(tǒng)計(jì)異常行為、對數(shù)據(jù)文件與重要系統(tǒng)完整性進(jìn)行評估、跟蹤審計(jì)操作系統(tǒng)實(shí)施管理、識別違反安全的活動等行為進(jìn)而確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠安全。一般來講網(wǎng)絡(luò)檢測入侵系統(tǒng)包含多層次體系結(jié)構(gòu)，即代理、控制與管理層等，控制層承擔(dān)由代理獲取收集信息職能，并對所受攻擊事項(xiàng)進(jìn)行顯示，進(jìn)而實(shí)現(xiàn)對代理的管理與配置。代理承擔(dān)對網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)視職能，并將檢測的數(shù)據(jù)信息、攻擊行為發(fā)送至管理層。管理器承擔(dān)對各類報警與日志的管理，以及對檢測到的攻擊信息與安全信息進(jìn)行顯示，響應(yīng)攻擊警告與配置信息，對控制臺發(fā)布的各類命令進(jìn)行有效執(zhí)行，并令由代理發(fā)布的警告攻擊信息傳輸至控制臺，最終完成了整體入侵檢測過程。依據(jù)該過程我們制定科學(xué)的入侵檢測技術(shù)應(yīng)用策略。

3.1 收集信息策略

應(yīng)用入侵檢測技術(shù)的首要關(guān)鍵因素在于數(shù)據(jù)，我們可將檢測數(shù)據(jù)源分為網(wǎng)絡(luò)、系統(tǒng)日志、文件與目錄中不期望更改事項(xiàng)、執(zhí)行程序中不期望各項(xiàng)行為、入侵的物理形式信息等。在應(yīng)用進(jìn)程中對信息的收集應(yīng)位于每一網(wǎng)段之中科學(xué)部署至少一個IDS代理，依據(jù)相應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)特征，采集數(shù)據(jù)部分由多樣連接形式構(gòu)成，倘若位于網(wǎng)段中應(yīng)用交換集線器連接，其核心交換機(jī)芯片一般會設(shè)有調(diào)試端口，我們可連接IDS系統(tǒng)于該端口之中。同時設(shè)置入侵檢測系統(tǒng)于防火墻或交換機(jī)內(nèi)部的數(shù)據(jù)流出口或入口，進(jìn)而獲取所有核心關(guān)鍵數(shù)據(jù)。對于網(wǎng)絡(luò)系統(tǒng)中不同類別的信息關(guān)鍵點(diǎn)收集我們不僅應(yīng)依據(jù)檢測對象擴(kuò)充檢測范疇、對網(wǎng)絡(luò)包截取進(jìn)行設(shè)置，同時還需要應(yīng)對薄弱環(huán)節(jié)，即來源于統(tǒng)一對象的各項(xiàng)信息可能無法發(fā)掘疑點(diǎn)，因而需要我們在收集入侵信息時，應(yīng)對幾個來源對象信息包含的不一致性展開重點(diǎn)分析，令其作為對可疑、入侵行為科學(xué)判斷的有效標(biāo)識。對于整體計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)來講，入侵行為相對有限，因此對各類少數(shù)的數(shù)據(jù)異常，我們可令其孤立，進(jìn)而構(gòu)建而成數(shù)據(jù)群展開集中性處理，強(qiáng)化分析入侵行為的針對性。

3.2 分析檢測入侵信息

完成收集的信息我們可利用異常分析發(fā)現(xiàn)與匹配模式進(jìn)行綜合數(shù)據(jù)分析，進(jìn)而發(fā)掘與安全策略違背的行為，將其合理發(fā)送至管理器。實(shí)踐應(yīng)用中我們應(yīng)對各類系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議進(jìn)行清醒深刻認(rèn)識，遵循制定的安全策略與規(guī)則，利用異常檢測與濫用檢測模型進(jìn)行分析過程模擬，合理確認(rèn)識別異常與特征攻擊行為，最終令分析結(jié)構(gòu)構(gòu)建成為報警信息并發(fā)送至管理控制中心。對于TCP/IP協(xié)議網(wǎng)絡(luò)，我們還可采用探測引擎技術(shù)，應(yīng)用旁路偵聽對網(wǎng)絡(luò)流經(jīng)的所有數(shù)據(jù)包進(jìn)行動態(tài)監(jiān)視，并依據(jù)用戶定義相關(guān)策略展開檢測，有效識別各類網(wǎng)絡(luò)事件并告知控制中心，令其進(jìn)行定位與報警顯示。

3.3 響應(yīng)入侵信息

針對入侵信息我們應(yīng)作出準(zhǔn)確反應(yīng)，基于數(shù)據(jù)分析基礎(chǔ)檢測本地網(wǎng)段，令數(shù)據(jù)包中隱藏的惡意入侵準(zhǔn)確發(fā)掘出來，并及時作出響應(yīng)。該環(huán)節(jié)涵蓋告警網(wǎng)絡(luò)引擎、通知控制臺、發(fā)送郵件于安全管理人員、對實(shí)時會話進(jìn)行查看并通報制控制臺，對現(xiàn)場事件如實(shí)記錄日志，并采取相應(yīng)安全行為進(jìn)行網(wǎng)絡(luò)配置的合理調(diào)整、終止不良入侵，對特定用戶相應(yīng)程序進(jìn)行合理執(zhí)行。另外我們可促進(jìn)防火墻與入侵檢測技術(shù)的優(yōu)勢結(jié)合應(yīng)用，創(chuàng)設(shè)兩者的協(xié)同模型及安全網(wǎng)絡(luò)防護(hù)體系。令兩者共同開放接口并依據(jù)固定協(xié)議展開通信，實(shí)現(xiàn)對端口進(jìn)行約定。防火墻應(yīng)用過濾機(jī)制對流經(jīng)數(shù)據(jù)包展開解析并令其同事先完成定義的規(guī)則展開對比，進(jìn)而令非授信數(shù)據(jù)包準(zhǔn)確過濾。對于繞過防火墻的數(shù)據(jù)包我們可利用入侵檢測技術(shù)依據(jù)一致特征規(guī)則集進(jìn)行網(wǎng)絡(luò)攻擊檢測并做出及時響應(yīng)，確保對各類入侵攻擊的有效防御。

4 結(jié)論

總之，基于網(wǎng)絡(luò)入侵不良影響我們只有主力研究如何有效防范網(wǎng)絡(luò)入侵，科學(xué)檢查、預(yù)測攻擊行為，基于入侵檢測思想進(jìn)行實(shí)時動態(tài)監(jiān)控，才能防患于未然令攻擊影響消失在萌芽狀態(tài)，進(jìn)一步阻礙不良攻擊事件的發(fā)生及擴(kuò)大，進(jìn)而真正創(chuàng)設(shè)優(yōu)質(zhì)、高效可靠的網(wǎng)絡(luò)運(yùn)行環(huán)境。

[1]王池華.入侵檢測技術(shù)在網(wǎng)絡(luò)安個中的應(yīng)用與研究[J].計(jì)算機(jī)安全，2009(6).

[2]王德勇.城市應(yīng)急系統(tǒng)網(wǎng)絡(luò)安權(quán)設(shè)計(jì)與探討[J].中國公共安全，2010(3).