劉靜

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)的入侵檢測技術(shù)也在不斷的發(fā)展和升級(jí)中。網(wǎng)絡(luò)安全包含許多方面。計(jì)算機(jī)入侵檢測可以識(shí)別不法分子的非正常訪問以及惡意的計(jì)算機(jī)攻擊行為，為系統(tǒng)的進(jìn)一步安全保護(hù)提供了寶貴的反應(yīng)時(shí)間。

關(guān)鍵詞：入侵檢測;計(jì)算機(jī)安全;網(wǎng)絡(luò)安全

中圖分類號(hào)：TP311 ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）34-0042-02

1 入侵檢測系統(tǒng)的組成

整體來說，入侵檢測系統(tǒng)分為兩個(gè)大類，第一類主要是用于實(shí)時(shí)檢測計(jì)算機(jī)的運(yùn)行情況和外來訪問情況。通過對(duì)于計(jì)算機(jī)的實(shí)時(shí)檢測，可以及時(shí)的發(fā)現(xiàn)是否有外來非正常訪問，在發(fā)現(xiàn)其蹤跡之后以便于計(jì)算機(jī)自主防御系統(tǒng)或者是安全維護(hù)人員及時(shí)地對(duì)非正常訪問進(jìn)行處理。第二類是主動(dòng)防御入侵檢測系統(tǒng)，對(duì)比于檢測系統(tǒng)來說，防御系統(tǒng)對(duì)安全檢測機(jī)制有著更高的要求，往往主動(dòng)防御入侵檢測系統(tǒng)會(huì)有著更高的靈敏度，在外來攻擊到來時(shí)，可以主動(dòng)對(duì)這些攻擊進(jìn)行攔截。入侵檢測系統(tǒng)的設(shè)計(jì)目的都是為了保證計(jì)算機(jī)的安全性，但是每一個(gè)入侵檢測系統(tǒng)都有著不同的職能，在外來入侵發(fā)生時(shí)，入侵檢測并不能有效處理掉這些威脅，它們能做的只能是發(fā)生威脅并且對(duì)外來攻擊進(jìn)行報(bào)警。在入侵檢測系統(tǒng)檢測到惡意攻擊時(shí)，入侵防御系統(tǒng)才會(huì)采取相應(yīng)的措施來對(duì)惡意攻擊進(jìn)行處理并行使維護(hù)計(jì)算機(jī)安全的責(zé)任。

2 入侵檢測的系統(tǒng)的工作過程

按照入侵檢測系統(tǒng)的工作流程可以將其劃分為三個(gè)主要的工作階段，第一階段是信息收集過程，第二階段是信息分析過程，第三階段是信息處理過程。計(jì)算機(jī)的入侵通常是指的在網(wǎng)絡(luò)環(huán)境中外來訪問對(duì)于計(jì)算機(jī)安全的威脅，所以入侵檢測系統(tǒng)主要是對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的檢測，實(shí)時(shí)的檢測計(jì)算機(jī)當(dāng)前的網(wǎng)絡(luò)狀態(tài)以及用戶的操作行為。在這些數(shù)據(jù)信息收集完畢之后，再根據(jù)不同的指標(biāo)和算法對(duì)這些訪問信息和用戶行為進(jìn)行數(shù)據(jù)分析，分析過程比較復(fù)雜，由智能算法控制，在信息分析完成之后，針對(duì)得到的不同結(jié)果采取不同的措施。比如入侵檢測系統(tǒng)在截獲了一個(gè)可疑的ARP報(bào)文之后就會(huì)通過智能算法來判斷此報(bào)文是否具有破壞性和攻擊性，如果發(fā)現(xiàn)其具有破壞性和攻擊性就會(huì)及時(shí)的切斷與之有關(guān)的數(shù)據(jù)連接或者重新設(shè)置防火墻等。

3 計(jì)算機(jī)的安全維護(hù)

3.1 計(jì)算機(jī)安全維護(hù)概述

計(jì)算機(jī)安全包括很多方面，具有來講有網(wǎng)絡(luò)安全、使用安全、數(shù)據(jù)安全等各個(gè)方面。在使用互聯(lián)網(wǎng)的過程中，計(jì)算機(jī)會(huì)受到來自很多方面的威脅。計(jì)算機(jī)的主要使用者是人，在使用的過程中，要注意不在公共場合使用支付相關(guān)的軟件，防止財(cái)產(chǎn)受到損失。在下載軟件的時(shí)候要避免從不安全的網(wǎng)址進(jìn)行下載，接收郵件的時(shí)候要辨明是否為安全郵件，尤其是含有附件的郵件更好注意甄別。

3.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)在計(jì)算機(jī)安全維護(hù)中的應(yīng)用

網(wǎng)絡(luò)檢測系統(tǒng)從本質(zhì)上來說可以劃分為硬件檢測系統(tǒng)和軟件檢測系統(tǒng)，兩種檢測系統(tǒng)的工作原理并無太大差異，在入侵檢測系統(tǒng)工作時(shí)系統(tǒng)通常會(huì)將網(wǎng)絡(luò)接口設(shè)置成混雜模式，在些模式下收集到的數(shù)據(jù)會(huì)與庫中的包數(shù)據(jù)進(jìn)行對(duì)比，甄別出可疑的訪問數(shù)據(jù)之后再對(duì)目前計(jì)算機(jī)網(wǎng)絡(luò)的安全性進(jìn)行對(duì)比，從而檢測出哪些數(shù)據(jù)是具有攻擊性的，哪些數(shù)據(jù)是有害的。

網(wǎng)絡(luò)入侵檢測系統(tǒng)是由Agent、Console和Manager三個(gè)部分構(gòu)成，每個(gè)部分各司其職，Agent用于對(duì)訪問數(shù)據(jù)的采集，Console主要是負(fù)責(zé)對(duì)工作狀態(tài)和收集的數(shù)據(jù)進(jìn)行分析，檢測機(jī)制主要在此部分生效，Agent收集到的數(shù)據(jù)經(jīng)Console分析之后，可以分析出哪些是攻擊性訪問，哪些是正常訪問。Manager則是根據(jù)分析的結(jié)果執(zhí)行最后的安全防御手段，屬于執(zhí)行部分。

3.3 入侵檢測系統(tǒng)對(duì)于攻擊行為的響應(yīng)手段

對(duì)于已經(jīng)發(fā)現(xiàn)的網(wǎng)絡(luò)入侵行為，為了保證用戶計(jì)算機(jī)的正常使用，通常都會(huì)根據(jù)攻擊性訪問的類型采取一系列相關(guān)的響應(yīng)措施。具體的表現(xiàn)為：生成相應(yīng)的網(wǎng)絡(luò)日志，對(duì)攻擊性訪問及時(shí)發(fā)出警告，告知惡意訪問的類型和破壞等級(jí)以便于管理員或者相關(guān)的安全維護(hù)人員及時(shí)的根據(jù)報(bào)告的內(nèi)容做出正確的響應(yīng)。對(duì)于破壞性較大的訪問行為，入侵檢測系統(tǒng)也會(huì)采取中斷進(jìn)程的方式來阻止惡意訪問的進(jìn)一步破壞。當(dāng)然管理員也可以自定義入侵檢測系統(tǒng)的響應(yīng)措施，對(duì)于一些過激的響應(yīng)手段管理員可以通過自定義的方式來降低入侵檢測系統(tǒng)的響應(yīng)等級(jí)。

3.4 入侵檢測系統(tǒng)在網(wǎng)絡(luò)安全維護(hù)上的具體應(yīng)用

不管是防火墻系統(tǒng)還是入侵檢測系統(tǒng)，其最終的目的都是保護(hù)計(jì)算機(jī)在使用過程中的安全性，計(jì)算機(jī)的安全性就目的來說主要是包括數(shù)據(jù)安全性和網(wǎng)絡(luò)支付安全性?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)是維護(hù)網(wǎng)絡(luò)使用安全的基礎(chǔ)手段，比如：在使用網(wǎng)上銀行時(shí)，入侵檢測系統(tǒng)會(huì)根據(jù)當(dāng)前的網(wǎng)絡(luò)環(huán)境和系統(tǒng)進(jìn)程來識(shí)別支付環(huán)境是否安全，具體表現(xiàn)為首先檢測當(dāng)前進(jìn)程中有無惡意運(yùn)行的不安全程序，如果有則警告用戶停止使用的網(wǎng)絡(luò)支付;其次是檢測支付網(wǎng)址是否存在釣魚風(fēng)險(xiǎn)，如果有，則及時(shí)發(fā)出危險(xiǎn)警告。在數(shù)據(jù)安全傳輸方面，入侵檢測通常是為了數(shù)據(jù)傳輸過程中的安全性和有完整性，市面上很多病毒和木馬都會(huì)截取用戶的傳輸數(shù)據(jù)，尤其是諸如校園網(wǎng)等內(nèi)網(wǎng)系統(tǒng)，外來訪問入侵很容易造成數(shù)據(jù)傳輸上的安全性問題。在處理這些問題時(shí)，入侵檢測系統(tǒng)會(huì)發(fā)揮出巨大的作用。除此之外，政府部門以及電力部門對(duì)于網(wǎng)絡(luò)安全的要求更高，為了對(duì)其安全性進(jìn)行維護(hù)，入侵檢測系統(tǒng)會(huì)不斷監(jiān)測當(dāng)時(shí)的網(wǎng)絡(luò)狀態(tài)和計(jì)算機(jī)的運(yùn)行狀態(tài)，以保證可以及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)入侵。

4 入侵檢測對(duì)主機(jī)入侵的保護(hù)

除去網(wǎng)絡(luò)入侵檢測，入侵檢測另一個(gè)重要應(yīng)用則是用于主機(jī)入侵的保護(hù)。與網(wǎng)絡(luò)入侵不同的是，主機(jī)入侵的破壞性更強(qiáng)，后果更加嚴(yán)重。對(duì)于主機(jī)的入侵通常是伴隨著木馬程序的植入，后果嚴(yán)重時(shí)可以更直接導(dǎo)致主機(jī)無法正常使用，所以對(duì)于主機(jī)的入侵保護(hù)也是非常重要的一個(gè)方面。

4.1 主機(jī)入侵的主要保護(hù)手段

對(duì)于主機(jī)入侵的保護(hù)通常是入侵檢測系統(tǒng)通常分析主機(jī)運(yùn)行日志或者是對(duì)主機(jī)的進(jìn)程實(shí)時(shí)監(jiān)控分析后發(fā)現(xiàn)入侵威脅，在持續(xù)的評(píng)估之后向管理員發(fā)出入侵警告。管理員在接收到異常信息之后根據(jù)入侵檢測系統(tǒng)的分析結(jié)果來針對(duì)性的處理。在此過程中，入侵檢測系統(tǒng)會(huì)對(duì)主機(jī)日志進(jìn)行收集和記錄，并保證日志信息的安全性和完整性。一些較為智能和高級(jí)的非常進(jìn)程很有可能會(huì)直接攔截入侵檢測系統(tǒng)發(fā)生的警告或者是對(duì)保存的日志的進(jìn)行篡改和破壞，所以對(duì)于日志的安全性保護(hù)非常重要。管理員根據(jù)日志的具體內(nèi)容來決定是否中斷惡意進(jìn)程或者徹底粉碎相關(guān)文件，入侵檢測系統(tǒng)在特定情況下也會(huì)執(zhí)行這一操作。

4.2 基于主機(jī)的入侵檢測應(yīng)用

計(jì)算機(jī)安全保護(hù)系統(tǒng)有多種，其最終的目的都是為了保護(hù)計(jì)算機(jī)使用的安全性。在主機(jī)的保護(hù)中，最常用的是防火墻系統(tǒng)，防火墻系統(tǒng)可以阻止外來渠道對(duì)于主機(jī)的惡意訪問，在進(jìn)入到新時(shí)代之后，主機(jī)的安全性主要涉及用戶的個(gè)人信息安全和網(wǎng)絡(luò)支付安全。在銀行計(jì)算機(jī)系統(tǒng)中，對(duì)于主機(jī)的安全性達(dá)到了很高的要求，由于銀行一般是使用的專用網(wǎng)絡(luò)，想要通過網(wǎng)絡(luò)來實(shí)現(xiàn)對(duì)于銀行系統(tǒng)的入侵有著很高的難度。隨著第三方支付系統(tǒng)和網(wǎng)上銀行系統(tǒng)的廣泛使用，支付安全成為備受關(guān)注的話題。在網(wǎng)上支付的使用過程中，其原理依然是與銀行系統(tǒng)發(fā)生資金往來，這種交易采用的是記賬的方式，為了保障客戶資料的安全性和完整性，銀行系統(tǒng)的主機(jī)入侵檢測是必不可少的，入侵檢測系統(tǒng)可以起到很好的監(jiān)測和攔截作用。盡管目前的政府機(jī)關(guān)和銀行在主機(jī)安全保護(hù)上都采用最為先進(jìn)的入侵檢測手段，但仍然不可避免地存在一些可被不法分子利用的漏洞，具有破壞性的外來攻擊往往會(huì)直接繞過防火墻系統(tǒng)實(shí)現(xiàn)對(duì)于主機(jī)的訪問，在這種情況下用戶的數(shù)據(jù)很容易被竊取。

入侵檢測的目的在于保護(hù)計(jì)算機(jī)系統(tǒng)的安全，在政府部門中很多的數(shù)據(jù)都是機(jī)密性的，一旦發(fā)生被竊取的情況就很可以威脅到普通民眾的安全，給外界造成一定的影響，所以良好的入侵檢測系統(tǒng)可以為主機(jī)的保護(hù)提供多一層保障。

5 入侵檢測系統(tǒng)存在的問題

入侵檢測技術(shù)的發(fā)展已經(jīng)經(jīng)歷了數(shù)十個(gè)年頭，但是入侵技術(shù)和保護(hù)技術(shù)都是在同時(shí)發(fā)展的，入侵檢測技術(shù)只有不斷升級(jí)換代才能發(fā)揮其應(yīng)有的作用。就目前來說，入侵檢測技術(shù)是用于彌補(bǔ)防火墻系統(tǒng)在技術(shù)上不足，實(shí)現(xiàn)對(duì)于主機(jī)狀態(tài)和網(wǎng)絡(luò)狀態(tài)的實(shí)時(shí)監(jiān)測，以保證計(jì)算機(jī)的使用運(yùn)行安全。但是與防火墻系統(tǒng)相同的是，入侵檢測系統(tǒng)同樣有著多方面的不足之處，具體表現(xiàn)為以下幾個(gè)方面。

1）檢測條件有局限性

入侵檢測技術(shù)對(duì)于變化網(wǎng)絡(luò)的適應(yīng)能力較弱，通常來說只有處于同一個(gè)網(wǎng)段的數(shù)據(jù)包可以被檢測到，如果網(wǎng)絡(luò)環(huán)境是不斷變化的，那么檢測能力將會(huì)大打折扣，甚至出現(xiàn)無法正常檢測的情況。另外，入侵檢測如果使用傳感器進(jìn)行檢測就會(huì)很大幅度的提高其使用成本，導(dǎo)致運(yùn)營負(fù)擔(dān)加重，間接降低了營利機(jī)構(gòu)在市場中的核心競爭力。

2）技術(shù)單一

目前入侵檢測技術(shù)仍然存在有很多的不足之處，從技術(shù)角度上來說其檢測手段較為單一，很容易讓不法分子針對(duì)性的繞過檢測。入侵檢測技術(shù)一般是通常特定的算法進(jìn)行網(wǎng)絡(luò)環(huán)境主機(jī)運(yùn)行情況的檢測，自我學(xué)習(xí)能力差。在大數(shù)據(jù)技術(shù)相對(duì)來說還沒有十分成熟的今天，想要通過入侵檢測技術(shù)來實(shí)現(xiàn)對(duì)非法訪問的全面性攔截顯得有些不現(xiàn)實(shí)。

3）加重網(wǎng)絡(luò)負(fù)荷

在收集數(shù)據(jù)階段，入侵檢測系統(tǒng)是通常不斷的抓取網(wǎng)絡(luò)連接過程中的數(shù)據(jù)包來實(shí)現(xiàn)的，這一抓取數(shù)據(jù)包的行為不可避免的會(huì)影響到網(wǎng)絡(luò)的質(zhì)量，會(huì)在一定程度上影響到網(wǎng)絡(luò)的系統(tǒng)性能。尤其是在訪問量和數(shù)據(jù)傳輸量較大時(shí)，會(huì)引起網(wǎng)絡(luò)較大的延遲甚至是造成網(wǎng)絡(luò)的不可使用。

4）不能檢測經(jīng)過加密的信息

隨著黑客的技術(shù)越來越高，利用加密信息的攻擊方式已經(jīng)越來越常見。但是，現(xiàn)階段的入侵檢測技術(shù)并不能檢測被加密的信息，所以讓惡意攻擊有機(jī)可乘。

隨著黑客技術(shù)的進(jìn)步，很多黑客在攻擊每一個(gè)主機(jī)或者網(wǎng)絡(luò)地址時(shí)都會(huì)將數(shù)據(jù)進(jìn)行加密，就目前的入侵檢測技術(shù)來說，對(duì)于加密的攻擊行為是無法檢測到的。

6 計(jì)算機(jī)的安全維護(hù)重點(diǎn)

計(jì)算機(jī)的安全維護(hù)可以分為硬件安全維護(hù)和軟件安全維護(hù)兩個(gè)方面，在使用計(jì)算機(jī)的過程中，對(duì)于重要的數(shù)據(jù)要養(yǎng)成備份的好習(xí)慣，同時(shí)也注意保護(hù)計(jì)算機(jī)硬件不受破壞。在軟件方面，防火墻系統(tǒng)的入侵檢測系統(tǒng)是必不可少的兩個(gè)方面。經(jīng)過調(diào)查發(fā)現(xiàn)，由于防火墻系統(tǒng)會(huì)對(duì)游戲運(yùn)行網(wǎng)絡(luò)產(chǎn)生一定的影響，所以很多熱愛游戲的用戶都會(huì)選擇將防火墻系統(tǒng)關(guān)閉，從安全性角度來說這種做法是不可取的。

7 結(jié)束語

計(jì)算機(jī)網(wǎng)絡(luò)的普及極大地方便了我們生活，但也使得安全性問題對(duì)人們的生活產(chǎn)生了一定的影響，入侵檢測技術(shù)和防火墻技術(shù)是維護(hù)計(jì)算機(jī)安全必不可少的手段?？茖W(xué)合理的使用入侵檢測系統(tǒng)和防火墻系統(tǒng)可以及時(shí)的發(fā)現(xiàn)外來入侵，便于使用人員和管理人員采取必要的保護(hù)措施。盡管入侵檢測技術(shù)仍然存在不足之處，但是隨著技術(shù)的發(fā)展這些不足之處相信會(huì)得到進(jìn)一步的解決，盡最大的能力來保護(hù)網(wǎng)絡(luò)環(huán)境安全和計(jì)算機(jī)安全。

參考文獻(xiàn)：

[1] 徐東升.入侵檢測技術(shù)在風(fēng)力發(fā)電工控網(wǎng)絡(luò)中的應(yīng)用研究[D].阜新：遼寧工程技術(shù)大學(xué)，2019.

[2] 潘德虎.計(jì)算機(jī)網(wǎng)絡(luò)安全的入侵檢測技術(shù)分析[J].電子世界，2019（1）：26-27.

[3] 艾爽，楊曉茜.入侵檢測技術(shù)在計(jì)算機(jī)數(shù)據(jù)庫的應(yīng)用研究[J].科學(xué)技術(shù)創(chuàng)新，2018（36）：61-62.

[4] 于昕陽.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)入侵檢測中免疫機(jī)制的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（2）：23-23，25.

[5] 范亦涵，王魯.網(wǎng)絡(luò)信息安全技術(shù)研究[J].科技廣場，2015（3）：107-110.

【通聯(lián)編輯：李雅琪】