倪 立

南陽醫(yī)學(xué)高等專科學(xué)校，河南南陽 473000

隨著計算機和網(wǎng)絡(luò)通信技術(shù)的飛速發(fā)展，計算機通信網(wǎng)絡(luò)發(fā)揮了明顯的社會公共基礎(chǔ)設(shè)施功能，為人類社會生活的各個方面提供高效便利的服務(wù)。各種網(wǎng)絡(luò)安全社會問題與網(wǎng)絡(luò)犯罪現(xiàn)象日益嚴(yán)重，網(wǎng)絡(luò)安全技術(shù)隨之也得到了不斷發(fā)展。傳統(tǒng)的靜態(tài)防御技術(shù)，如系統(tǒng)加固技術(shù)、防火墻隔離技術(shù)、加密技術(shù)等，技術(shù)本身存在有防御被動、負(fù)載量大、效率低下、靈活性不強等缺點，已難以較好地保證網(wǎng)路信息的安全。

主動防御技術(shù)日趨成為人們研究的重點，入侵檢測須能夠積極主動的實施網(wǎng)絡(luò)動態(tài)安全防御，補充協(xié)助系統(tǒng)防御網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)資源占用較少，適時實現(xiàn)智能化信息采集與分析、檢測未經(jīng)授權(quán)對象入侵、系統(tǒng)資源非法占用等，提高了檢測效率，減少了錯報漏報，保護(hù)計算機網(wǎng)絡(luò)系統(tǒng)免受外部攻擊、內(nèi)部攻擊、錯誤操作的侵害，提高了網(wǎng)絡(luò)信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

1 常用網(wǎng)絡(luò)入侵檢測系統(tǒng)分析

網(wǎng)絡(luò)入侵檢測系統(tǒng)（Network Intrusion Detection System 簡稱NIDS），主要用于動態(tài)檢測防御網(wǎng)絡(luò)入侵行為。網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)運行狀態(tài)，在線采集并分析數(shù)據(jù)報文，及時發(fā)現(xiàn)和主動干預(yù)系統(tǒng)網(wǎng)絡(luò)的異常入侵行為。

入侵檢測系統(tǒng)（NIDS）的功能有：收集數(shù)據(jù)、事件響應(yīng)、事件分析、數(shù)據(jù)存儲、功能測評。可具備網(wǎng)絡(luò)引擎、數(shù)據(jù)庫、用戶賬戶的管理功能。

入侵檢測系統(tǒng)（NIDS）檢測的常見攻擊類型有：后門類、HTTP 類、DNS 類、FTP 類、ICMP 類、Mail 類、Finger 類、DoS 類、RPC 類等。

入侵檢測系統(tǒng)（NIDS）的主要模塊方式：網(wǎng)絡(luò)入侵檢測模塊和主機入侵檢模塊進(jìn)行互補式信息獲取。網(wǎng)絡(luò)入侵檢測模塊。在網(wǎng)絡(luò)中安裝放置網(wǎng)絡(luò)入侵檢測模塊，檢測保護(hù)該網(wǎng)段的數(shù)據(jù)報文；主機入侵檢模塊。專門收集安裝該模塊機器的信息，對本機實施保護(hù)。

入侵檢測系統(tǒng)（NIDS）的原理：采集分析網(wǎng)絡(luò)系統(tǒng)活動信息——系統(tǒng)結(jié)構(gòu)審計——辨別、響應(yīng)、報告異?；顒幽Ｊ健y(tǒng)計分析異常活動模式——評估數(shù)據(jù)文件、重要系統(tǒng)的完整性——審計、跟蹤、管理操作系統(tǒng)。

入侵檢測系統(tǒng)（NIDS）的信息來源：網(wǎng)絡(luò)信息和系統(tǒng)日志、系統(tǒng)文件異常信息、系統(tǒng)程序異常信息、入侵信息。

入侵檢測系統(tǒng)（NIDS）的規(guī)則分類：特征檢測技術(shù)規(guī)則和統(tǒng)計檢測技術(shù)規(guī)則的適用范圍不同。特征檢測技術(shù)規(guī)則使用特征碼進(jìn)行標(biāo)識，通過數(shù)據(jù)和特征碼的比較來辨別發(fā)現(xiàn)入侵行為；統(tǒng)計檢測技術(shù)規(guī)則使用統(tǒng)計規(guī)律為分析策略，檢測行為，統(tǒng)計數(shù)量，辨別發(fā)現(xiàn)入侵行為和錯誤操作。

深靜脈血栓的預(yù)防分為藥物預(yù)防和非藥物預(yù)防。藥物預(yù)防，包括肝素、低分子肝素、華法令等藥物使用，根據(jù)不同患者選擇合適藥物應(yīng)用。研究顯示，依諾肝素應(yīng)用使腹部大手術(shù)圍手術(shù)期血栓發(fā)生率更低[18] ，他汀類藥物可以有效預(yù)防血栓發(fā)生[19] 。但藥物使用存在出血風(fēng)險，有出血風(fēng)險和出血傾向患者則不能使用，尤其是部分危重病患者使用抗凝藥物存在禁忌癥。非藥物預(yù)防，包括早期活動[20] 、增加被動運動、壓力梯度長襪、氣壓泵應(yīng)用[21] 等，為避免出血風(fēng)險發(fā)生或存在藥物應(yīng)用禁忌癥，可選擇使用非藥物預(yù)防方法，聯(lián)合使用多種非藥物預(yù)防方法，亦可達(dá)到很好預(yù)防效果。

常用網(wǎng)絡(luò)入侵檢測技術(shù)分析：

統(tǒng)計方法檢測。優(yōu)點是比較成熟，應(yīng)用廣泛；缺點是不適合單獨使用，分析策略容易被適應(yīng)。

專家系統(tǒng)檢測。優(yōu)點是有較高的智能，檢測效率較高，對特定攻擊行為效果較強；缺點是檢測不全面。

數(shù)據(jù)挖掘檢測。優(yōu)點是數(shù)據(jù)處理和檢測預(yù)警能力強；缺點是技術(shù)實現(xiàn)難度大。

免疫學(xué)原理檢測。優(yōu)點是識別準(zhǔn)確，效率較高；缺點是數(shù)據(jù)負(fù)載量大，系統(tǒng)模型實現(xiàn)困難。

模型推理檢測：需要事先定義攻擊模式與特征參數(shù)，實現(xiàn)及更新檢測模型有較大的困難。

向量機檢測：用條件布爾表達(dá)式模擬對象行為過程，難以檢測形式較為復(fù)雜的攻擊模式。

2 構(gòu)建新型網(wǎng)絡(luò)入侵檢測系統(tǒng)

網(wǎng)絡(luò)入侵技術(shù)和網(wǎng)絡(luò)入侵檢測技術(shù)同時發(fā)展、同時更新。高速網(wǎng)絡(luò)交換技術(shù)、加密數(shù)據(jù)通信技術(shù)、大通信量數(shù)據(jù)分析技術(shù)也對網(wǎng)絡(luò)入侵檢測技術(shù)提出了新的更高要求。各種常用網(wǎng)絡(luò)入侵檢測技術(shù)都有其優(yōu)缺點或存在有設(shè)計的缺陷，單一型網(wǎng)絡(luò)入侵檢測技術(shù)難以滿足主動防御的需要，在實際應(yīng)用中，網(wǎng)絡(luò)結(jié)構(gòu)各有不同，需要我們結(jié)合實際，綜合完善，擴展開發(fā)各種網(wǎng)絡(luò)入侵檢測技術(shù)。

2.1 主要結(jié)構(gòu)

1）數(shù)據(jù)采集層。使用數(shù)據(jù)采集器進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)報文采集，采集后向分析層輸出。

2）分析層。使用數(shù)據(jù)分析引擎收處理數(shù)據(jù)報文，辨識發(fā)現(xiàn)異常行為和攻擊入侵，將異常事件上報至管理層，響應(yīng)處理異常事件。

3）管理層。優(yōu)管理機制、對抗機制和存儲機制構(gòu)成，處理響應(yīng)入侵檢測結(jié)果，最終將相關(guān)安全事件進(jìn)行存儲。

分析傳統(tǒng)型網(wǎng)絡(luò)入侵檢測技術(shù)的主要組成結(jié)構(gòu)和處理模型，在三個層次部分中，整個網(wǎng)絡(luò)入侵檢測系統(tǒng)的核心是數(shù)據(jù)分析引擎，負(fù)責(zé)數(shù)據(jù)的接收、分析、辨識、上報、響應(yīng)、處理等多項內(nèi)容。由于網(wǎng)絡(luò)的不斷提速，傳統(tǒng)檢測技術(shù)的簡單層次式處理模型設(shè)計難以勝任，待處理數(shù)據(jù)報文的負(fù)載量大，嚴(yán)重堆積，入侵檢測的效果較差。

2.2 新型體系構(gòu)建

構(gòu)建新型的網(wǎng)絡(luò)入侵檢測體系，可從以下幾方面入手。

1）可擴展多級并行處理結(jié)構(gòu)。擴展檢測探針達(dá)到合適的規(guī)模，不斷提升檢測的性能和效果；將傳統(tǒng)型網(wǎng)絡(luò)入侵檢測技術(shù)的層次式處理模型拓展為四層，在采集層與分析層間增加負(fù)載分配層，既，數(shù)據(jù)采集層、負(fù)載分配層、分析層和管理層，提升檢測系統(tǒng)的總體處理能力和檢測效果。

2）分布式入侵檢測。采取分布式入侵檢測技術(shù)與通用入侵檢測技術(shù)相結(jié)合的方法，使入侵檢測不再局限于網(wǎng)絡(luò)架構(gòu)或單一主機，能較好地解決特定系統(tǒng)檢測、大規(guī)模網(wǎng)絡(luò)檢測和IDS 系統(tǒng)協(xié)同等問題。

3）應(yīng)用層入侵檢測。拓展和開發(fā)應(yīng)用層，應(yīng)對處理其他應(yīng)用系統(tǒng)，對客戶終端、服務(wù)器結(jié)構(gòu)、對象技術(shù)等進(jìn)行保護(hù)。

4）智能入侵檢測。研究提升檢測系統(tǒng)的自主學(xué)習(xí)和訓(xùn)練適應(yīng)能力，加強遺傳算法、神經(jīng)網(wǎng)絡(luò)模型、智能體系在入侵檢測技術(shù)領(lǐng)域的應(yīng)用和研究。

5）結(jié)合網(wǎng)絡(luò)安全技術(shù)。將入侵檢測技術(shù)與防毒軟件、防火墻技術(shù)、SET、PKIX 等新型網(wǎng)絡(luò)安全技術(shù)相結(jié)合，形成較為完整的網(wǎng)絡(luò)安全保障體系。

6）測評與評價方法。研究設(shè)計適用于網(wǎng)絡(luò)入侵檢測技術(shù)的測評方法和評價平臺，重點測評檢測技術(shù)的系統(tǒng)適用性、技術(shù)適用范圍、資源占用等方面。

[1]陳一驕.網(wǎng)絡(luò)入侵檢測系統(tǒng)高速處理技術(shù)研究[J].國防科學(xué)技術(shù)大學(xué)學(xué)報，2007.

[2]姚文斌，王樅，劉建毅.高速網(wǎng)絡(luò)入侵檢測系統(tǒng)體系結(jié)構(gòu)的設(shè)計[J].全國容錯計算學(xué)術(shù)會議，2009.

[3]張明，郭小燕.分布式入侵檢測系統(tǒng)在校園網(wǎng)安全中的應(yīng)用研究[J].自動化與儀器儀表，2013.

[4]劉世江.分布式入侵檢測系統(tǒng)研究[J].山西電子技術(shù)，2014.