代瑤

【摘 要】網(wǎng)絡(luò)安全早已成為人們熱議的話題。網(wǎng)絡(luò)發(fā)展進(jìn)入爆炸性的增長(zhǎng)，無(wú)論是從網(wǎng)絡(luò)信息還是網(wǎng)絡(luò)金融等不同方面，都有巨大的發(fā)展。網(wǎng)絡(luò)安全技術(shù)也得到了很好的發(fā)展。常用手段有防火墻、加密密碼學(xué)、口令身份認(rèn)證等多種手段。而伴隨網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)的攻擊手段也層出不窮。而當(dāng)今的網(wǎng)絡(luò)入侵與檢測(cè)手段正是提升網(wǎng)絡(luò)安全的有效手段。本文從入侵手段模式分析，對(duì)入侵的方式方法進(jìn)行全面了解。詳細(xì)闡述了網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的發(fā)展。

【關(guān)鍵詞】網(wǎng)絡(luò)入侵、防御技術(shù)、服務(wù)器、網(wǎng)關(guān)、入侵技術(shù)

一、網(wǎng)絡(luò)入侵簡(jiǎn)介：

網(wǎng)絡(luò)入侵是指利用各種計(jì)算機(jī)技術(shù)手段，非法的侵入他人系統(tǒng)，在未經(jīng)他人允許的前提下，獲得訪問(wèn)權(quán)限。進(jìn)行數(shù)據(jù)的占有，修改甚至破壞。而為了達(dá)到這樣的目的，通常采用的入侵攻擊方式有很多。簡(jiǎn)單介紹如下：破解口令密碼。口令密碼是用戶為了保護(hù)信息安全，設(shè)置的口令，破解了口令就擁有了用戶的相應(yīng)權(quán)限。破解方式有：暴力數(shù)據(jù)字典破解、權(quán)限占有破解、肉鴿記錄密碼等多種方式。還可以利用計(jì)算機(jī)緩沖區(qū)的溢出、對(duì)計(jì)算機(jī)開(kāi)放的端口進(jìn)行不斷的掃描，占用破解。又或者繞過(guò)防范從后門(mén)進(jìn)行網(wǎng)絡(luò)攻擊入侵。可以說(shuō)攻擊入侵技術(shù)積累至今已經(jīng)有眾多的方式和技術(shù)，無(wú)法用數(shù)字去具體統(tǒng)計(jì)。美國(guó)的專(zhuān)門(mén)機(jī)構(gòu)曾經(jīng)將它分成了四大類(lèi)。第一類(lèi)，用試探掃描的芳芳去宣召漏洞；第二類(lèi)，通過(guò)權(quán)限占有進(jìn)行攻擊；第三類(lèi)，利用木馬或者大量訪問(wèn)的攻擊方式致使服務(wù)無(wú)法進(jìn)行，令服務(wù)器癱瘓，第四類(lèi)，我們常常說(shuō)的反檢測(cè)入侵。逃過(guò)檢測(cè)手段獲得攻擊的機(jī)會(huì)。

二、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)

（一）網(wǎng)絡(luò)入侵檢測(cè)技術(shù)簡(jiǎn)介：網(wǎng)絡(luò)入侵檢測(cè)是通過(guò)動(dòng)態(tài)實(shí)時(shí)的追蹤方法，及時(shí)對(duì)各種入侵做出反應(yīng)。發(fā)現(xiàn)正在發(fā)生的危險(xiǎn)，從而實(shí)現(xiàn)入侵防御或者入侵反攻擊的手段。技術(shù)多采用在網(wǎng)絡(luò)和服務(wù)器中各個(gè)斷電設(shè)置檢測(cè)，多路偵聽(tīng)，一旦有設(shè)置好的類(lèi)似網(wǎng)絡(luò)入侵的行為被發(fā)現(xiàn)，就發(fā)出警報(bào)。提示入侵及時(shí)做出防御措施。根據(jù)使用者要求追蹤入侵來(lái)源甚至反向攻擊。

網(wǎng)絡(luò)入侵檢測(cè)技術(shù)和防火墻技術(shù)能夠互相輔助。當(dāng)入侵技術(shù)繞過(guò)或者通過(guò)技術(shù)手段越過(guò)了防火墻。那么入侵檢測(cè)技術(shù)就發(fā)揮了第二層次的保護(hù)作用。它在網(wǎng)絡(luò)環(huán)境內(nèi)不斷監(jiān)聽(tīng)，對(duì)事先設(shè)置好的各種危險(xiǎn)入侵行為進(jìn)行檢測(cè)，一旦發(fā)現(xiàn)就說(shuō)明有黑客實(shí)現(xiàn)了入侵。這時(shí)候它可以切斷網(wǎng)絡(luò)，記錄攻擊行為，修改日志，及時(shí)發(fā)出警報(bào)等等操作。這種檢測(cè)雖然在不斷運(yùn)行中，但是它并不會(huì)影響網(wǎng)絡(luò)運(yùn)行的效率，是新興的網(wǎng)絡(luò)安全技術(shù)。

（二）網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的分類(lèi)方式：

網(wǎng)絡(luò)入侵檢測(cè)根據(jù)分類(lèi)方法不同有不同的劃分。首先從作用劃分，可以劃分為檢測(cè)和防御兩大類(lèi)。檢測(cè)是指利用實(shí)時(shí)監(jiān)聽(tīng)的方式，在黑客的惡性攻擊出現(xiàn)時(shí)甚至將要出現(xiàn)時(shí)，及時(shí)的發(fā)現(xiàn)。而入侵防御是檢測(cè)發(fā)生后的第二階段。丟棄掉惡性攻擊的文件，切斷攻擊源。 根據(jù)檢測(cè)的數(shù)據(jù)來(lái)分：分為攻擊網(wǎng)絡(luò)主機(jī)、攻擊內(nèi)網(wǎng)、同時(shí)攻擊網(wǎng)絡(luò)主機(jī)和內(nèi)網(wǎng)三種不同方式。根據(jù)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)架構(gòu)來(lái)劃分可以分為分布式攻擊、層次式攻擊。

（三）入侵檢測(cè)的體系結(jié)構(gòu)

網(wǎng)絡(luò)入侵檢測(cè)的體系結(jié)構(gòu)通常由三部分組成，分別為Agent、Console以及Manager。其中Agent的作用是對(duì)網(wǎng)段內(nèi)的數(shù)據(jù)包進(jìn)行監(jiān)視，找出攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送至管理器；Console的主要作用是負(fù)責(zé)收集代理處的信息，顯示出所受攻擊的信息，把找出的攻擊信息及相關(guān)數(shù)據(jù)發(fā)送至管理器；Manager的主要作用則是響應(yīng)配置攻擊警告信息，控制臺(tái)所發(fā)布的命令也由Manager來(lái)執(zhí)行，再把代理所發(fā)出的攻擊警告發(fā)送至控制臺(tái)。

（四）入侵檢測(cè)系統(tǒng)的評(píng)估

對(duì)于入侵檢測(cè)系統(tǒng)的評(píng)估，主要的性能指標(biāo)有：可靠性，系統(tǒng)具有容錯(cuò)能力和可連續(xù)運(yùn)行；可用性，系統(tǒng)開(kāi)銷(xiāo)要最小，不會(huì)嚴(yán)重降低網(wǎng)絡(luò)系統(tǒng)性能；可測(cè)試，通過(guò)攻擊可以檢測(cè)系統(tǒng)運(yùn)行；適應(yīng)性，對(duì)系統(tǒng)來(lái)說(shuō)必須是易于開(kāi)發(fā)的，可添加新的功能，能隨時(shí)適應(yīng)系統(tǒng)環(huán)境的改變；實(shí)時(shí)性，系統(tǒng)能盡快地察覺(jué)入侵企圖以便制止和限制破壞；準(zhǔn)確性，檢測(cè)系統(tǒng)具有較低的誤警率和漏警率；安全性，檢測(cè)系統(tǒng)必須難于被欺騙和能夠保護(hù)自身安全

三、網(wǎng)絡(luò)入侵檢測(cè)方法介紹

異常入侵檢測(cè)的主要前提條件是將入侵性活動(dòng)作為異?；顒?dòng)的子集，理想狀況是異?；顒?dòng)集與入侵性活動(dòng)集等同，這樣，若能檢測(cè)所有的異?；顒?dòng)，則可檢測(cè)所有的入侵活動(dòng)。但是，入侵性活動(dòng)并不總是與異?；顒?dòng)相符合。。異常入侵要解決的問(wèn)題是構(gòu)造異?；顒?dòng)集，并從中發(fā)現(xiàn)入侵性活動(dòng)子集。異常入侵檢測(cè)方法依賴于異常模型的建立。誤用入侵檢測(cè)是通過(guò)將預(yù)先設(shè)定的入侵模式與監(jiān)控到的入侵發(fā)生情況進(jìn)行模式匹配來(lái)檢測(cè)。它假設(shè)能夠精確地將入侵攻擊按某種方式編碼，并可以通過(guò)捕獲入侵攻擊將其重新分析整理，確認(rèn)該入侵行為是否為基于對(duì)同一弱點(diǎn)進(jìn)行入侵攻擊方法的變種，入侵模式說(shuō)明導(dǎo)致安全事件或誤用事件的特征、條件、排列和關(guān)系。根據(jù)匹配模式的構(gòu)造和表達(dá)方式的不同，形成了不同的誤用檢測(cè)模型。

四、入侵檢測(cè)技術(shù)的不足之處

首先，入侵檢測(cè)通常式實(shí)現(xiàn)內(nèi)網(wǎng)的監(jiān)控，所以只會(huì)對(duì)相同網(wǎng)段進(jìn)行，不可以跨網(wǎng)段。如果使用硬件設(shè)備實(shí)現(xiàn)跨越網(wǎng)段檢測(cè)就會(huì)增加系統(tǒng)開(kāi)支。檢測(cè)的內(nèi)容需要進(jìn)行預(yù)先設(shè)置，以匹配的方式進(jìn)行尋找，如果遇到計(jì)算量大，或者剛剛出現(xiàn)的新攻擊手段，入侵檢測(cè)就很難發(fā)現(xiàn)入侵。雖然成為了防火墻技術(shù)的有效補(bǔ)充，但是并不能真正的實(shí)現(xiàn)互動(dòng)。在通過(guò)防火墻后，檢測(cè)技術(shù)即使發(fā)現(xiàn)，防火墻也無(wú)法再次產(chǎn)生防范作用。浪費(fèi)了防火墻的隔斷功能。

參考文獻(xiàn)：

[1]劉積芬，非負(fù)矩陣分解降維的入侵檢測(cè)方法[J]，計(jì)算機(jī)工程與應(yīng)用，2012（30）.

[2]張雪芹，顧春華，吳吉義，異常檢測(cè)中支持向量機(jī)最優(yōu)模型選擇方法[J]，電子科技大學(xué)學(xué)報(bào).2011（04）.

[3]梅海彬，龔儉，張明華，基于警報(bào)序列聚類(lèi)的多步攻擊模式發(fā)現(xiàn)研究[J]，通信學(xué)報(bào).2011（05）.

[4]熊偉，胡漢平，王祖喜，楊越，基于突變級(jí)數(shù)的網(wǎng)絡(luò)流量異常檢測(cè)[J]，華中科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2011（01）.

[5]張雪芹，顧春華，吳吉義，基于約簡(jiǎn)支持向量機(jī)的快速入侵檢測(cè)算法[J]，華南理工大學(xué)學(xué)報(bào)（自然科學(xué)版），2011（02）.

[6]張新有，曾華燊，賈磊，入侵檢測(cè)數(shù)據(jù)集KDD CUP99研究[J]，計(jì)算機(jī)工程與設(shè)計(jì)，2010（22）.