陳曉安

（齊魯理工學(xué)院，山東濟(jì)南，250200）

0 引言

隨著車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能和自動化技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)環(huán)境迅速改變，網(wǎng)絡(luò)數(shù)據(jù)逐步增多，在我國不斷推進(jìn)計算機(jī)網(wǎng)絡(luò)信息化和智能化發(fā)展進(jìn)程的過程中，計算機(jī)網(wǎng)絡(luò)體系在國民經(jīng)濟(jì)發(fā)展和人們?nèi)粘Ｉ钪械膽?yīng)用已逐步拓寬，計算機(jī)系統(tǒng)也從單純的傳統(tǒng)模式下獨立主機(jī)系統(tǒng)發(fā)展成為相互連接、相互影響的復(fù)雜的開放式系統(tǒng)。計算機(jī)網(wǎng)絡(luò)技術(shù)在不斷發(fā)展過程中，為社會經(jīng)濟(jì)發(fā)展和提升日常生活便捷度做出了應(yīng)有貢獻(xiàn)。在此背景下，對計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)的探討與研究，能夠提高計算機(jī)網(wǎng)絡(luò)安全和信息技術(shù)處理水平，因此，本文對計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)的探討和分析，也就具備重要理論意義和現(xiàn)實價值。

1 入侵檢測技術(shù)原理

在計算機(jī)網(wǎng)絡(luò)正常運行的過程中，計算機(jī)網(wǎng)絡(luò)的一組數(shù)據(jù)符號呈現(xiàn)出某一特質(zhì)，而當(dāng)計算機(jī)網(wǎng)絡(luò)被外在攻擊者攻擊后，該組數(shù)據(jù)往往會留下部分痕跡，該類痕跡和計算機(jī)網(wǎng)絡(luò)正常運行時產(chǎn)生的數(shù)據(jù)混合，計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)則是對該類數(shù)據(jù)進(jìn)行檢測，在一組數(shù)據(jù)中找到攻擊者攻擊行為造成的混合數(shù)據(jù)，通過觀察數(shù)據(jù)是否有被入侵的痕跡發(fā)現(xiàn)計算機(jī)是否被入侵。當(dāng)數(shù)據(jù)組存在被入侵的痕跡時，報警顯示計算機(jī)網(wǎng)絡(luò)體系存在被入侵行為。根據(jù)該原理，計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)主要分為數(shù)據(jù)獲取和檢測技術(shù)兩大部分。利用兩部分的相互配合查明計算機(jī)網(wǎng)絡(luò)是否被外在攻擊者攻擊。

通常情況下，計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測的數(shù)據(jù)是計算機(jī)網(wǎng)絡(luò)正常運行時產(chǎn)生的諸多數(shù)據(jù)對象，而計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)主要研究該組數(shù)據(jù)中可能反映外在攻擊者入侵事件發(fā)生和檢測技術(shù)在分析該類數(shù)據(jù)時的適用性，以達(dá)到高效的檢測效果。根據(jù)計算機(jī)網(wǎng)絡(luò)入侵檢測發(fā)生的具體時間，可將其分為實時入侵檢測和事后入侵檢測兩大類，網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理如圖1 所示。

圖1 網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理圖

2 入侵檢測系統(tǒng)框架模型

計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)利用計算機(jī)互聯(lián)網(wǎng)小組工作中部分安全事件報警的標(biāo)準(zhǔn)格式，在規(guī)范計算機(jī)網(wǎng)絡(luò)術(shù)語使用的前提下，為計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)輸出的安全事故的信息多樣性提供更多可能，其整個入侵檢測系統(tǒng)框架模型如圖2 所示。由圖可知，計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)反映了計算機(jī)網(wǎng)絡(luò)入侵檢測的功能要求和邏輯關(guān)系，而在網(wǎng)絡(luò)架構(gòu)實現(xiàn)過程中負(fù)責(zé)的功能各有不同，往往依賴于計算機(jī)網(wǎng)絡(luò)系統(tǒng)負(fù)擔(dān)任務(wù)和所處的工作環(huán)境。因此，計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)往往包括傳感器、分析器和管理器等獨立設(shè)備，利用設(shè)備中的不同功能完成計算機(jī)網(wǎng)絡(luò)入侵檢測過程中的信息收集、數(shù)據(jù)分析和事件響應(yīng)三大步驟。

圖2 入侵檢測系統(tǒng)框架模型

3 入侵檢測系統(tǒng)結(jié)構(gòu)

3.1 基于主機(jī)入侵檢測系統(tǒng)

計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)中，基于主機(jī)的入侵檢測系統(tǒng)主要通過計算機(jī)網(wǎng)絡(luò)系統(tǒng)日志、應(yīng)用程序日志等記錄文件的數(shù)據(jù)語言，通過比較該類記錄文件的記錄信息與外在攻擊者發(fā)生攻擊行為后呈現(xiàn)的痕跡，直接探究兩者之間的匹配性，當(dāng)兩者之間匹配程度較高時，基于主機(jī)的計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)向計算機(jī)系統(tǒng)管理員發(fā)出入侵報警信號并采取相應(yīng)防護(hù)措施。此時，基于主機(jī)的計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠更精確地判斷計算機(jī)網(wǎng)絡(luò)入侵時間，并對入侵事件作出立即反映。同時，該入侵檢測系統(tǒng)還可針對計算機(jī)網(wǎng)絡(luò)不同操作系統(tǒng)特點，判別計算機(jī)應(yīng)用層的入侵。在此過程中，由于計算機(jī)網(wǎng)絡(luò)審計數(shù)據(jù)是通過收集計算機(jī)系統(tǒng)用戶行為數(shù)據(jù)而對比審查的檢測方法，因此，必須保證計算機(jī)網(wǎng)絡(luò)系統(tǒng)的審計數(shù)據(jù)不被修改。但當(dāng)計算機(jī)網(wǎng)絡(luò)遭到外在攻擊時，該類審計數(shù)據(jù)很可能被修改，也就要求基于主機(jī)的入侵檢測系統(tǒng)必須滿足時效性要求，必須能在外在攻擊完全控制計算機(jī)系統(tǒng)并更改計算機(jī)審計數(shù)據(jù)前，完成對計算機(jī)審計數(shù)據(jù)的分析、報警。

3.2 基于網(wǎng)絡(luò)入侵檢測系統(tǒng)

計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)中，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)放置于計算機(jī)網(wǎng)絡(luò)層，使用計算機(jī)原始網(wǎng)絡(luò)報表文件為數(shù)據(jù)源對外在攻擊者攻擊行為痕跡進(jìn)行分析。通常情況下，利用計算機(jī)網(wǎng)絡(luò)適配器實現(xiàn)對計算機(jī)入侵檢測系統(tǒng)的實時監(jiān)控和實時分析，通過計算機(jī)網(wǎng)絡(luò)體系的數(shù)據(jù)傳輸功能，當(dāng)適配器監(jiān)測到計算機(jī)網(wǎng)絡(luò)存在外在攻擊者攻擊行為時，計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)相應(yīng)模塊通過數(shù)據(jù)傳輸、報警以及連接中斷等方式，對外在攻擊者攻擊行為作出反應(yīng)。此時計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)采集模塊則按照相應(yīng)規(guī)則從計算機(jī)網(wǎng)絡(luò)層獲取與安全事件相關(guān)的數(shù)據(jù)包，將其傳遞給基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)進(jìn)行深入分析，并進(jìn)一步將分析結(jié)果傳送給計算機(jī)管理層和資源配置模塊，根據(jù)分析結(jié)果以更有效的方式通知計算機(jī)網(wǎng)絡(luò)管理員，從而采取有效防護(hù)措施。

3.3 基于主機(jī)檢測的分布式入侵檢測系統(tǒng)

計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)中，基于主機(jī)檢測的分布式入侵檢測系統(tǒng)主要分為主機(jī)探測器和入侵管理控制器兩大部分?；谥鳈C(jī)檢測的分布式入侵檢測系統(tǒng)，能夠有效保護(hù)計算機(jī)網(wǎng)絡(luò)的關(guān)鍵服務(wù)器和其他具備敏感信息的系統(tǒng)元件，利用主機(jī)的系統(tǒng)資源調(diào)節(jié)功能和調(diào)用功能，判斷計算機(jī)主機(jī)系統(tǒng)是否遵循安全運行規(guī)則。在計算機(jī)實際運行過程中，主機(jī)探測器大多利用安全代理模式直接安裝于被保護(hù)的主機(jī)系統(tǒng)上，通過防火墻和網(wǎng)絡(luò)編輯開孔等方式，對計算機(jī)系統(tǒng)管理控制臺進(jìn)行遠(yuǎn)程實時監(jiān)管。該類集中式的控制方式，能夠有效對計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行狀態(tài)監(jiān)控、狀態(tài)管理和檢測模塊的軟件更新與控制，大幅度提高基于主機(jī)監(jiān)測的分布式入侵檢測系統(tǒng)的安全性和可行性。

3.4 基于網(wǎng)絡(luò)檢測的分布式入侵檢測系統(tǒng)

計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)中，基于網(wǎng)絡(luò)檢測的分布式入侵檢測系統(tǒng)有效彌補(bǔ)了基于主機(jī)檢測的分布式入侵檢測系統(tǒng)只能保障計算機(jī)主機(jī)安全性的弊端，能對其他附加攻擊方法進(jìn)行高效管理和檢測?；诰W(wǎng)絡(luò)檢測的分布式入侵檢測系統(tǒng)主要分為網(wǎng)絡(luò)探測器和管理控制器，利用網(wǎng)絡(luò)探測器在計算機(jī)網(wǎng)絡(luò)區(qū)域收集數(shù)據(jù)信息，利用異常對比和誤用兩種方式對收集到的數(shù)據(jù)信息進(jìn)行深度分析，當(dāng)發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)信息存在攻擊或異常網(wǎng)絡(luò)行為時，立即向計算機(jī)管理控制器發(fā)送警報信息。

4 網(wǎng)絡(luò)入侵檢測系統(tǒng)的多模式匹配算法

4.1 算法分析

目前，計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)中對模式匹配算法的分析主要集中于字符串模式匹配算法的研究和探討。不論是在語言翻譯、拼寫檢查中，還是在數(shù)字檢查或搜索引擎中，字符串模式匹配都是其重要研究內(nèi)容。在計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)中，對數(shù)據(jù)包的捕獲、預(yù)處理以及對攻擊檢測痕跡的對比分析，都依賴于字符串模式的確定和實現(xiàn)。也就是說，計算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)，在一定程度上可看作對計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)包這一重要數(shù)據(jù)源的對比和分析，能通過對計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)包中外在攻擊行為的入侵檢測方式，判別計算機(jī)網(wǎng)絡(luò)體系是否存在被攻擊行為。在計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)中，在使用模式匹配算法時，需解決數(shù)據(jù)包提取質(zhì)量提升、模式匹配或模式刪除、模式增量匹配以及完全匹配等問題。

4.2 改進(jìn)的多模式匹配算法

在計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)模式匹配算法應(yīng)用過程中，模式匹配算法的滑動機(jī)理與函數(shù)往往具備較大局限性，且存在計算機(jī)網(wǎng)絡(luò)體系中的指針回溯問題?；诖颂岢隽烁倪M(jìn)的多模式匹配算法，解決計算機(jī)網(wǎng)絡(luò)入侵檢測過程中存在的諸多問題。該算法主要利用計算機(jī)網(wǎng)絡(luò)模式串中某字符與與文本串中的字符匹配失敗時，匹配失敗的字符是否出現(xiàn)于模式串中為考慮標(biāo)準(zhǔn)，當(dāng)匹配失敗的字符出現(xiàn)在模式串中時，根據(jù)多模式匹配算法向后滑過一段時間和一段距離。當(dāng)匹配失敗的字符不出現(xiàn)于模式串中時，則需對待匹配的字符串中的下個字符進(jìn)行模式串的匹配，以此實現(xiàn)計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)中滑動函數(shù)的創(chuàng)建，有效簡化計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)判斷過程，使計算機(jī)網(wǎng)絡(luò)檢測匹配效率得到進(jìn)一步提高。

5 結(jié)語

計算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)作為計算機(jī)典型的數(shù)據(jù)處理系統(tǒng)，通過對大量數(shù)據(jù)信息的對比分析，判斷計算機(jī)網(wǎng)絡(luò)是否受到外在攻擊者的攻擊。在具體的計算機(jī)網(wǎng)絡(luò)入侵檢測中，利用計算機(jī)網(wǎng)絡(luò)系統(tǒng)主體行為以及各安全事件的分類系統(tǒng)，判別計算機(jī)系統(tǒng)是否存在惡意攻擊行為并對存在問題進(jìn)行解決。