任劍洪

摘 要：計(jì)算機(jī)網(wǎng)絡(luò)安全的重要技術(shù)手段是入侵檢測與防御系統(tǒng)，隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測與防御系統(tǒng)同樣需要快速發(fā)展。本文首先分析了當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的主要來源，其次對入侵檢測技術(shù)的發(fā)展趨勢進(jìn)行討論，最后對網(wǎng)絡(luò)安全技術(shù)和解決方案進(jìn)行了研究與探討。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；入侵檢測；防御

0.引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)逐漸成為人們?nèi)粘Ｉ钆c工作的重要組成部分，但是計(jì)算機(jī)網(wǎng)絡(luò)安全問題卻成了網(wǎng)絡(luò)發(fā)展的阻礙，很多計(jì)算機(jī)網(wǎng)絡(luò)的攻擊和犯罪正日益猖獗。入侵檢測系統(tǒng)能有效地發(fā)現(xiàn)網(wǎng)絡(luò)中的非法訪問行為，但是隨著網(wǎng)絡(luò)流量的不斷增大，給入侵檢測系統(tǒng)提出了十分嚴(yán)峻的挑戰(zhàn)。入侵檢測系統(tǒng)作為主動防御系統(tǒng)的最后一道防線，能夠監(jiān)控網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的動態(tài)行為特征，采取主動防御的措施來抵御入侵的發(fā)生。

1.計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的主要來源

來源一，計(jì)算機(jī)本身的缺陷[1]。例如操作系統(tǒng)的漏洞，應(yīng)用程序中的缺陷等，這些漏洞給黑客的入侵攻擊提供了十分大的便利，比如常見的緩沖區(qū)溢出攻擊。

來源二，目前廣泛應(yīng)用的TCP/IP通信協(xié)議族自身在安全設(shè)計(jì)方面的缺陷。此協(xié)議在創(chuàng)立時沒有考慮網(wǎng)絡(luò)信息傳輸?shù)陌踩砸?，因此給一些黑客的入侵攻擊提供了可能性。

來源三，主機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的配置不當(dāng)及計(jì)算機(jī)使用者無意間造成的系統(tǒng)安全漏洞。

2.入侵檢測技術(shù)的發(fā)展趨勢

近年來，計(jì)算機(jī)網(wǎng)絡(luò)的入侵無論從手段上還是規(guī)模上都發(fā)生了很大的變化，這些變化主要體現(xiàn)在以下幾個方面：

①入侵綜合化和復(fù)雜化[2]。黑客在入侵時通常會同時使用多種入侵手段，并能在入侵攻擊的初期隱藏其真實(shí)目的。

②入侵技術(shù)的分布化。最近幾年網(wǎng)絡(luò)入侵攻擊行為的一個重要特點(diǎn)是分布式入侵和網(wǎng)絡(luò)協(xié)同攻擊，這一攻擊相對于單一的個人網(wǎng)絡(luò)攻擊手段具有非常明顯的攻擊有效性和破壞性，同時針對入侵檢測系統(tǒng)的攻擊也越來越多。

③入侵主體間接化。入侵的主體通過技術(shù)手段掩蓋了攻擊主題的主機(jī)位置和源地址，導(dǎo)致受攻擊方無法直接確定攻擊者。

④入侵攻擊的規(guī)模擴(kuò)大化。隨著信息戰(zhàn)時代的到來，個人網(wǎng)絡(luò)攻擊與入侵的行為正逐步發(fā)展為有組織有規(guī)模的網(wǎng)絡(luò)戰(zhàn)。

⑤入侵的容忍技術(shù)。目前大多的入侵檢測技術(shù)主要針對已知的攻擊類型，對未知的攻擊卻無法全部發(fā)現(xiàn)，入侵檢測系統(tǒng)的性能還有待提高。如何保持系統(tǒng)在受到攻擊和入侵時依然能提供服務(wù)就顯得十分重要，因此入侵容忍技術(shù)和理論的研究已經(jīng)成為入侵檢測研究的一個重要命題。

⑥與其他網(wǎng)絡(luò)安全技術(shù)相結(jié)合。結(jié)合防火墻系統(tǒng)、安全電子交易SET等全新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安全保障。

3.網(wǎng)絡(luò)安全技術(shù)和解決方案

一，安全路由器實(shí)現(xiàn)簡單的基于端口、地址和網(wǎng)絡(luò)服務(wù)的過濾功能，從而禁止特定的網(wǎng)絡(luò)服務(wù)和地址通過路由器的請求。

二，信息加密認(rèn)證通過加密技術(shù)使通過網(wǎng)絡(luò)傳輸或儲存在計(jì)算機(jī)內(nèi)的數(shù)據(jù)成為所有非授權(quán)人無法理解的信息，從而保證信息的安全。

三，授權(quán)與身份驗(yàn)證系統(tǒng)通過密碼技術(shù)實(shí)現(xiàn)用戶身份鑒別、訪問控制、授權(quán)和抗抵賴功能。

四，防火墻系統(tǒng)實(shí)現(xiàn)基于端口、地址和網(wǎng)絡(luò)服務(wù)的過濾功能，禁止未授權(quán)的網(wǎng)絡(luò)服務(wù)和地址的通過防火墻請求，并通過應(yīng)用代理和地址轉(zhuǎn)換隱蔽內(nèi)部網(wǎng)絡(luò)地址和結(jié)構(gòu)，隔絕未授權(quán)訪問。

4.網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)的原則

一，最小特權(quán)原則[3]。任何對象應(yīng)只具備對其需要完成指定任務(wù)的特權(quán)，避免暴露在侵襲之下，以減少因入侵所造成的損失。

二，縱深防御原則。計(jì)算機(jī)網(wǎng)絡(luò)的安全不能只靠單一的安全機(jī)制，必須要多層安全機(jī)制，避免成為網(wǎng)絡(luò)中的“單失效點(diǎn)”。

三，阻塞點(diǎn)原則。理想的網(wǎng)絡(luò)安全防御系統(tǒng)應(yīng)是互聯(lián)網(wǎng)中的安全控制點(diǎn)，稱為“阻塞點(diǎn)”，能簡化網(wǎng)絡(luò)的安全管理，方便對網(wǎng)絡(luò)通信進(jìn)行監(jiān)控及審計(jì)。

四，最薄弱鏈接原則。安全鏈的強(qiáng)度在于其最薄弱鏈接，這是安全保護(hù)的基本原則，解決方法在于保持安全鏈的均衡性。

五，失效保護(hù)狀態(tài)原則。網(wǎng)絡(luò)安全防護(hù)系統(tǒng)失效模式應(yīng)該是“失效一安全”型。

六，防御多樣化原則。如縱深防御可以得到額外的安全保護(hù)一樣，防御多樣化也可以通過使用不同類型的系統(tǒng)得到額外的安全保護(hù)。

5.結(jié)語

總而言之，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，如今的計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入到了人們生活、工作的方方面面，所以計(jì)算機(jī)的網(wǎng)絡(luò)安全也顯得越來越重要。目前，我國信息化建設(shè)的步伐正在逐漸加大，對計(jì)算機(jī)網(wǎng)絡(luò)的依賴也在逐漸加深，計(jì)算機(jī)網(wǎng)絡(luò)的安全防御系統(tǒng)成為了信息化建設(shè)的重要方面?，F(xiàn)有成熟的IDS系統(tǒng)、病毒檢測技術(shù)、防火墻系統(tǒng)等是網(wǎng)絡(luò)防御的主要組成部分，但這些防御手段在某些方面都存在著一些缺陷，防御性能不能滿意現(xiàn)有的防護(hù)要求。因此，入侵檢測系統(tǒng)需要經(jīng)過不斷發(fā)展和完善，推出多樣化的網(wǎng)絡(luò)防御的手段和設(shè)施，實(shí)施綜合的網(wǎng)絡(luò)防護(hù)。

參考文獻(xiàn)

[1]魏欣杰，馬建峰，楊秀金等.入侵檢測原理及應(yīng)用[J].信息安全與通信保密，2011，15（21）：11-12.

[2]龔儉，董慶，陸展等.網(wǎng)絡(luò)安全監(jiān)測實(shí)現(xiàn)模型[J].小型微型計(jì)算機(jī)系統(tǒng)，2012，12（38）：27-28.

[3] 劉衍珩，田大新，余雪崗等.基于分布式學(xué)習(xí)的大規(guī)模網(wǎng)絡(luò)入侵檢測算法[J]軟件學(xué)報(bào)，2012，19（14）：19-20.