摘要：隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，計(jì)算機(jī)的使用也逐漸走進(jìn)了千家萬(wàn)戶。網(wǎng)絡(luò)技術(shù)在為人們帶來(lái)便利的同時(shí)其安全問(wèn)題也日益成為人們關(guān)注的焦點(diǎn)，如何最大限度的保障計(jì)算機(jī)網(wǎng)絡(luò)安全也已經(jīng)成為人們研究的重點(diǎn)和難點(diǎn)問(wèn)題。在提高計(jì)算機(jī)網(wǎng)絡(luò)安全方面存在著眾多的防范技術(shù)，在這眾多的技術(shù)中入侵檢測(cè)技術(shù)是十分重要的一種。本文就入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用進(jìn)行深入探討與分析，以期為相關(guān)研究提供參考。

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測(cè)技術(shù)；應(yīng)用

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 18-0000-02

在網(wǎng)絡(luò)信息技術(shù)的推動(dòng)下，當(dāng)今社會(huì)已經(jīng)進(jìn)入了信息高度發(fā)達(dá)的時(shí)代。網(wǎng)絡(luò)在為人們帶來(lái)巨大便利的同時(shí)，自身也存在很大的安全隱患。這些安全隱患對(duì)人們利用網(wǎng)絡(luò)信息技術(shù)造成了很大的困擾，同時(shí)也制約和限制了網(wǎng)絡(luò)信息技術(shù)朝著更加縱深的方向發(fā)展。正是在這一背景下，各種旨在保障計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)應(yīng)運(yùn)而生。其中，入侵檢測(cè)技術(shù)是應(yīng)用較廣也是效果較好的技術(shù)。

1 入侵檢測(cè)系統(tǒng)的具體分類

一般來(lái)講，應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全中的入侵檢測(cè)技術(shù)大致可以分為兩大類：一是入侵檢測(cè)，一是入侵防御。在這兩類技術(shù)中，入侵檢測(cè)系統(tǒng)的工作原理是根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)安全的特定安全策略，對(duì)網(wǎng)絡(luò)及整個(gè)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)的監(jiān)控，以此來(lái)在各種威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素對(duì)其發(fā)起入侵攻擊之前就能察覺(jué)和發(fā)現(xiàn)，通過(guò)這種入侵檢測(cè)來(lái)有效保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)資源的整體性和保密性。然而，在計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)不斷發(fā)展的同時(shí)，網(wǎng)絡(luò)攻擊技術(shù)也在相應(yīng)的發(fā)展。其中，只要網(wǎng)絡(luò)系統(tǒng)存在些許安全漏洞，就會(huì)為網(wǎng)絡(luò)攻擊創(chuàng)造條件。傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)以及防火墻技術(shù)無(wú)法完全應(yīng)對(duì)不斷出現(xiàn)且復(fù)雜多變的安全問(wèn)題。也正是在這背景下，計(jì)算機(jī)網(wǎng)絡(luò)入侵防御系統(tǒng)應(yīng)運(yùn)而生。自從有了入侵防御系統(tǒng)，計(jì)算機(jī)網(wǎng)絡(luò)在安全設(shè)置就可以對(duì)流經(jīng)它的數(shù)據(jù)流量進(jìn)行更為深度的感知與具體的檢測(cè)，從而丟棄網(wǎng)絡(luò)攻擊的種種惡意報(bào)文，阻斷其對(duì)網(wǎng)絡(luò)系統(tǒng)的惡意進(jìn)攻，同時(shí)最大限度的限制濫用報(bào)文，有效保護(hù)網(wǎng)絡(luò)帶寬資源。

計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)存在著很大的不同，其主要區(qū)別在于：前者只具備單純的預(yù)警功能，對(duì)網(wǎng)絡(luò)入侵無(wú)法及時(shí)做出有效地防御，而后者則在計(jì)算機(jī)網(wǎng)絡(luò)與防火墻的硬件設(shè)備之間搭起一座橋梁，一旦檢測(cè)到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)遭到惡意攻擊，入侵防御系統(tǒng)就會(huì)在這種攻擊擴(kuò)散之初就將其阻止在外；入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)在檢測(cè)攻擊的方法方面也并不相同。其中，入侵檢測(cè)系統(tǒng)是通過(guò)對(duì)入網(wǎng)的數(shù)據(jù)包進(jìn)行檢查，以此來(lái)在確定該數(shù)據(jù)包的真正用途的前提之下，再通過(guò)相應(yīng)的作用原理來(lái)對(duì)其是否進(jìn)入網(wǎng)絡(luò)進(jìn)行預(yù)判。

2 入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用主要體現(xiàn)在基于網(wǎng)絡(luò)的入侵檢測(cè)、對(duì)于主機(jī)的入侵檢測(cè)兩個(gè)方面。

2.1基于網(wǎng)絡(luò)的入侵檢測(cè)

基于網(wǎng)絡(luò)的入侵檢測(cè)在形式上進(jìn)行劃分，大致可以分為兩類：一是基于硬件的入侵檢測(cè)，一是基于軟件的入侵檢測(cè)。雖然二者的名稱并不相同，但是其工作流程卻是一樣的。二者都是以混雜模式來(lái)作為網(wǎng)絡(luò)接口的模式設(shè)置，通過(guò)這種設(shè)置來(lái)實(shí)現(xiàn)對(duì)全部流經(jīng)該網(wǎng)段的各種數(shù)據(jù)進(jìn)行實(shí)時(shí)的監(jiān)控，并且對(duì)這些監(jiān)控?cái)?shù)據(jù)做出具體的分析，進(jìn)而將其與數(shù)據(jù)庫(kù)中預(yù)定義的具備攻擊特征來(lái)進(jìn)行比較，從而將對(duì)計(jì)算機(jī)網(wǎng)絡(luò)具有潛在攻擊威脅的數(shù)據(jù)包識(shí)別出來(lái)，做出及時(shí)有效的響應(yīng)，并記錄日志。

2.2 入侵檢測(cè)技術(shù)的體系結(jié)構(gòu)

一般來(lái)講，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的體系結(jié)構(gòu)通常由Agent、Console、Manager三部分構(gòu)成。其中，Agent的作用在于對(duì)計(jì)算機(jī)網(wǎng)段內(nèi)的數(shù)據(jù)包進(jìn)行有效監(jiān)控，并且從中找出可能的攻擊信息，然后把相關(guān)的分析數(shù)據(jù)發(fā)送至計(jì)算機(jī)網(wǎng)絡(luò)管理器；Console的主要作用在于將代理處的信息收集起來(lái)，并且所受攻擊的信息進(jìn)行具體的顯示，然后將找出的攻擊信息以及相關(guān)分析數(shù)據(jù)發(fā)送至計(jì)算機(jī)網(wǎng)絡(luò)管理器；Manager的主要作用則在于在配置攻擊警告信息時(shí)進(jìn)行有效地響應(yīng)，同時(shí)網(wǎng)絡(luò)控制臺(tái)所發(fā)布的各種命令也是由Manager來(lái)進(jìn)行具體執(zhí)行，然后再將代理所發(fā)出的攻擊警告發(fā)送至計(jì)算機(jī)網(wǎng)絡(luò)控制臺(tái)。

2.3 入侵檢測(cè)技術(shù)的工作模式

基于計(jì)算機(jī)絡(luò)的入侵檢測(cè)，要在每個(gè)網(wǎng)段中部署多個(gè)入侵檢測(cè)代理，根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的不同，其代理的連接形式也相應(yīng)不同。其中，如果采用總線式的集線器作為網(wǎng)段的連接方式，那么只需將代理與集線器中的某個(gè)端口進(jìn)行連接即可；如果采用太網(wǎng)交換機(jī)作為連接方式，由于交換機(jī)自身無(wú)法實(shí)現(xiàn)媒介共享，因此只采用一個(gè)代理來(lái)對(duì)整個(gè)子網(wǎng)進(jìn)行有效監(jiān)聽(tīng)的辦法是無(wú)法實(shí)現(xiàn)的。也正是從這方面考慮，可以將交換機(jī)核心芯片運(yùn)用于調(diào)試的端口當(dāng)中，同時(shí)將該端口與入侵檢測(cè)系統(tǒng)進(jìn)行連接操作，或者是把該端口放置在數(shù)據(jù)流的關(guān)鍵出入口處，這樣就可以輕而易舉地獲取幾乎全部的關(guān)鍵數(shù)據(jù)。

2.4 攻擊響應(yīng)及升級(jí)攻擊特征庫(kù)、自定義攻擊特征

如果惡意攻擊信息被入侵檢測(cè)系統(tǒng)檢測(cè)出來(lái)，其所能產(chǎn)生的響應(yīng)方式就有許多種。例如，發(fā)送Email、通知管理員、記錄日志、切斷會(huì)話、查殺進(jìn)程、啟動(dòng)觸發(fā)器開始執(zhí)行預(yù)設(shè)命令、取消用戶的賬號(hào)以及創(chuàng)建一個(gè)報(bào)告等等。同時(shí)，升級(jí)攻擊特征庫(kù)可以把攻擊特征庫(kù)中的各類文件通過(guò)必要的形式（手動(dòng)或者自動(dòng)）從相關(guān)的站點(diǎn)中下載下來(lái)，然后再利用計(jì)算機(jī)網(wǎng)絡(luò)控制臺(tái)將其實(shí)時(shí)添加到網(wǎng)絡(luò)攻擊特征庫(kù)之中。在這一過(guò)程中，網(wǎng)絡(luò)管理員可以根據(jù)單位的資源狀況以及具體應(yīng)用情況，以入侵檢測(cè)系統(tǒng)特征庫(kù)為基礎(chǔ)來(lái)對(duì)攻擊特征進(jìn)行自定義，從而有效保護(hù)單位的特定資源與應(yīng)用。

2.5 對(duì)于主機(jī)的入侵檢測(cè)

通常在被重點(diǎn)檢測(cè)的主機(jī)上會(huì)設(shè)置對(duì)主機(jī)的入侵檢測(cè)，以此來(lái)對(duì)本主機(jī)的系統(tǒng)審計(jì)日志、網(wǎng)絡(luò)實(shí)時(shí)連接等信息進(jìn)行智能化的分析與判斷。在此過(guò)程中，一旦有可疑情況被發(fā)現(xiàn)，那么入侵檢測(cè)系統(tǒng)就會(huì)采取針對(duì)性的措施?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)可以具體實(shí)現(xiàn)以下五個(gè)方面的功能：一是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)用戶的操作系統(tǒng)以及所做的全部操作行為進(jìn)行全程實(shí)時(shí)監(jiān)控；二是保證持續(xù)評(píng)估系統(tǒng)、應(yīng)用以及數(shù)據(jù)等各個(gè)方面的完整性、系統(tǒng)性，并主動(dòng)對(duì)其進(jìn)行各種必要的維護(hù)；三是創(chuàng)建全新的安全監(jiān)控策略，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)更新；四是重點(diǎn)檢測(cè)未經(jīng)授權(quán)的網(wǎng)絡(luò)操作行為，并發(fā)出預(yù)警。在此期間，也可以執(zhí)行預(yù)設(shè)好的各種響應(yīng)措施；五是對(duì)全部日志進(jìn)行收集并加以有效保護(hù)，留待以后使用?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)可以從各個(gè)方面來(lái)對(duì)主機(jī)進(jìn)行實(shí)時(shí)有效的全方位保護(hù)，但是要實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)路中計(jì)算機(jī)監(jiān)測(cè)系統(tǒng)的全覆蓋則需要投入大量的成本，并且被保護(hù)主機(jī)的處理資源在基于主機(jī)的入侵檢測(cè)系統(tǒng)進(jìn)行工作時(shí)要被占用，而這也就會(huì)降低入侵檢測(cè)系統(tǒng)保護(hù)主機(jī)性能的發(fā)揮。

3 入侵檢測(cè)技術(shù)存在的問(wèn)題

盡管計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)具有明顯的優(yōu)越之處，但是就現(xiàn)階段該技術(shù)的應(yīng)用來(lái)看尚存在著一定的不足，這些不足也在一定程度上制約和限制了該技術(shù)的普及和應(yīng)用。大致來(lái)講，入侵檢測(cè)技術(shù)存在的主要問(wèn)題體現(xiàn)在以下五個(gè)方面：

第一，安全檢測(cè)的局限性。由于計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只是對(duì)與其直接連接的網(wǎng)段通信進(jìn)行檢測(cè)與分析，對(duì)不在同一網(wǎng)段的網(wǎng)絡(luò)包則無(wú)法進(jìn)行有效的檢測(cè)，這也就使得計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在其監(jiān)測(cè)范圍中總是會(huì)表現(xiàn)出一定的局限性，如果要消除這種局限，只有通過(guò)安裝多臺(tái)傳感器，而這又將增加系統(tǒng)的成本。

第二，就目前而言，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)一般以特征檢測(cè)的方法作為其基本檢測(cè)法，這種方法對(duì)一些普通的網(wǎng)絡(luò)攻擊來(lái)說(shuō)效果比較明顯。然而，一些較為復(fù)雜、計(jì)算量以及分析時(shí)間均相對(duì)較大的攻擊則無(wú)法進(jìn)行檢測(cè)。

第三，入侵檢測(cè)系統(tǒng)對(duì)某些特定的數(shù)據(jù)包進(jìn)行監(jiān)聽(tīng)時(shí)可能會(huì)產(chǎn)生大量的分析數(shù)據(jù)，而這則會(huì)對(duì)系統(tǒng)的性能造成很大的影響。

第四，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)在處理會(huì)話過(guò)程的加密問(wèn)題時(shí)較為困難。雖然現(xiàn)階段通過(guò)加密通道對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成的攻擊相對(duì)較少，但是在可以預(yù)見(jiàn)的時(shí)期內(nèi)這一問(wèn)題會(huì)越來(lái)越突出。

第五，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)自身并不具備阻斷和隔離網(wǎng)絡(luò)攻擊的能力，但是該系統(tǒng)可以通過(guò)與防火墻進(jìn)行有效聯(lián)動(dòng)來(lái)發(fā)現(xiàn)入侵行為后并將之通過(guò)聯(lián)動(dòng)協(xié)議及時(shí)通知到防火墻，從而讓防火墻采取相應(yīng)的隔離手段，以此來(lái)實(shí)現(xiàn)安全保護(hù)的目標(biāo)。

總之，入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中發(fā)揮著重要且難以替代的作用，這種作用雖然因某些技術(shù)層面的限制難以完全發(fā)揮出來(lái)，但是相信隨著計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，入侵檢測(cè)技術(shù)定能在保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全中發(fā)揮更大的作用。

參考文獻(xiàn)：

[1]胥瓊丹.入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2010，36.

[2]仇晶.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)[J].電腦知識(shí)與技術(shù)，2012，08.

[3]張晶，劉建輝.計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究[J].遼寧工程技術(shù)大學(xué)學(xué)報(bào)，2004，S1.

[4]耿麥香，郝桂芳.計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)探討[J].山西科技，2011，06.

[作者簡(jiǎn)介]

莫新菊（1978.09-），女，廣西桂林人；廣西大學(xué)計(jì)算機(jī)與電子信息學(xué)院在讀研究生，主要從事網(wǎng)絡(luò)與信息安全等問(wèn)題的研究。