徐夢萍

關(guān)鍵詞：計算機網(wǎng)絡(luò)安全；入侵檢測技術(shù)；應(yīng)用

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2022）36-0075-03

計算機網(wǎng)絡(luò)技術(shù)的發(fā)展與應(yīng)用對于我國社會經(jīng)濟的發(fā)展有很大的促進作用，提高了個人以及企業(yè)的工作、生產(chǎn)效率，但同時也帶來了嚴重的網(wǎng)絡(luò)安全問題，如病毒入侵、黑客攻擊等多種網(wǎng)絡(luò)安全事故頻頻發(fā)生。網(wǎng)絡(luò)安全問題不僅嚴重影響著個人以及企業(yè)的經(jīng)濟效益，更嚴重擾亂網(wǎng)絡(luò)運行環(huán)境，破壞網(wǎng)絡(luò)運行秩序。隨著科技的進步，各種入侵技術(shù)也在不斷更新，傳統(tǒng)的網(wǎng)絡(luò)安全防護技術(shù)，難以抵御當前網(wǎng)絡(luò)新病毒的惡意入侵，很難滿足當代社會發(fā)展需求，為進一步保證網(wǎng)絡(luò)的正常運行，更好地實現(xiàn)安全與穩(wěn)定，因此，必須完善計算機網(wǎng)絡(luò)安全的入侵檢測技術(shù)[1]。

1 入侵檢測技術(shù)簡介

入侵檢測技術(shù)主要應(yīng)用于對網(wǎng)絡(luò)系統(tǒng)的檢測，監(jiān)督其運行過程中的異常數(shù)據(jù)和行為，其中包括軟硬件系統(tǒng)設(shè)備。其原理在于對于有效數(shù)據(jù)信息進行篩選和分析，并分析這些數(shù)據(jù)是否影響到網(wǎng)絡(luò)正常運行，進而判斷是否存在攻擊行為，當檢測到不安全行為時，則會做出相應(yīng)的保護措施。其檢測原理如圖1 所示。

入侵檢測在進行攻擊行為的處理過程中，一般需要經(jīng)過三個過程：①對網(wǎng)絡(luò)中的數(shù)據(jù)和信息進行采集；②對所采集的信息進行全面分析和整理；③通過分析結(jié)果做出適當?shù)捻憫?yīng)，并反饋響應(yīng)的處理結(jié)果，即發(fā)出相應(yīng)的報警或阻止行為，以保證網(wǎng)絡(luò)系統(tǒng)的正常運行。通常情況下，入侵檢測威脅主要從以下幾方面進行考慮。其中，外部滲透方面，主要是由于部分用戶未經(jīng)過授權(quán)對各種數(shù)據(jù)出現(xiàn)調(diào)用的情況發(fā)生；內(nèi)部滲透方面，主要為合法用戶對未授權(quán)數(shù)據(jù)進行使用的現(xiàn)象；濫用則是合法用戶對數(shù)據(jù)和信息的不合理使用的情況。入侵檢測技術(shù)的工作流程如圖2所示。

2 入侵檢測技術(shù)的分類

2.1 立足于網(wǎng)絡(luò)的入侵檢測技術(shù)

立足于網(wǎng)絡(luò)的入侵檢測技術(shù)能夠?qū)W(wǎng)絡(luò)運行過程中的非法軟件和程序進行檢測，并將檢測狀態(tài)和檢測分析結(jié)果進行實時報告，從而最大限度減少網(wǎng)絡(luò)攻擊情況的發(fā)生。這種檢測技術(shù)能夠?qū)τ嬎銠C系統(tǒng)的多個網(wǎng)絡(luò)安全節(jié)點進行監(jiān)督和檢測，不僅安裝方便，而且檢測效果較好。當檢測到有非法入侵或可能影響網(wǎng)絡(luò)安全的程序或操作時，便會進行及時的處理，能夠有效提升網(wǎng)絡(luò)安全檢測的效率，維護網(wǎng)絡(luò)環(huán)境的安全性能。由此可見，立足于網(wǎng)絡(luò)的入侵檢測技術(shù)具有檢測速率高、安裝成本低、安裝便捷等優(yōu)點。

2.2 立足于主機的入侵檢測技術(shù)

立足于主機的入侵檢測技術(shù)就是對主機進行檢測，根據(jù)主機的故障情況以及運行速率等方面的信息來判斷是否遭受非法攻擊。在進行檢測的過程中，該檢測系統(tǒng)能夠?qū)τ嬎銠C的使用狀況進行全面，實時、科學(xué)地檢測監(jiān)控，使得非法入侵或威脅計算機系統(tǒng)安全的行為或操作能夠被及時檢測出來，并能夠在主機發(fā)生故障時進行及時報警，并實施合理的防范措施，以此來保證計算機系統(tǒng)運行的安全性。此種檢測技術(shù)能夠為后續(xù)整個系統(tǒng)的建成提供基礎(chǔ)和便利，從而提高系統(tǒng)檢測效率[2]。

2.3 立足于行為的入侵檢測技術(shù)

立足于行為的入侵檢測技術(shù)，在計算機網(wǎng)絡(luò)安全方面發(fā)揮著至關(guān)重要的作用，通過對文件數(shù)量等問題進行檢測，及時發(fā)現(xiàn)各個計算機硬件的異常情況，而且當發(fā)現(xiàn)計算機硬件遭受攻擊或存在潛在威脅時，會及時實施合理的檢測方案，促進計算機硬件的穩(wěn)定性，提高運行環(huán)境的整體安全性能。

3 系統(tǒng)入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全方面的具體表現(xiàn)

3.1 部分入侵數(shù)據(jù)有效收集

在技術(shù)使用中，最為重要的一個環(huán)節(jié)在于各種信息的有效收集，為保障網(wǎng)絡(luò)安全的穩(wěn)定性，各項設(shè)備的有效運行，需要對以下幾方面著重把控：①侵入信息的真實詳情；②網(wǎng)絡(luò)運行過程中有效信息的掌握；③文件內(nèi)容的變化信息；④系統(tǒng)以及網(wǎng)絡(luò)記錄信息。以上四個信息源的全部信息，都是入侵檢測技術(shù)使用中所必須關(guān)注，屬于重要的數(shù)據(jù)基礎(chǔ)，在端口測試工程中必須著重注意對相關(guān)信息的獲取。為計算機網(wǎng)絡(luò)運行創(chuàng)造一個穩(wěn)定的環(huán)境，有很多檢測對象在技術(shù)使用中需要檢測次級再進行確認，以避免不良數(shù)據(jù)頻頻在互聯(lián)網(wǎng)中流竄的概率，減少因網(wǎng)絡(luò)環(huán)境混亂造成不必要的損失。因此，對于整個檢測流程，對于數(shù)據(jù)源信息進行充分比較，從而對異常數(shù)據(jù)和問題信息加以深度發(fā)掘，并施以正確的處理策略，以提升數(shù)據(jù)采集的效果與品質(zhì)。

3.2 已收信息分析

相對于傳統(tǒng)TCP/IP網(wǎng)絡(luò)，網(wǎng)絡(luò)探測引擎在入侵探測方法中具有關(guān)鍵的作用。由于網(wǎng)絡(luò)探測引擎相當于傳感器，因此其探測在互聯(lián)網(wǎng)上流動的數(shù)據(jù)包的主要方式為旁路監(jiān)控。匹配模式法和異常發(fā)現(xiàn)法為所收數(shù)據(jù)的兩類統(tǒng)計分析法。利用上述二類方法，對所有非正常進入計算機系統(tǒng)中的數(shù)據(jù)進行簡要統(tǒng)計分析，以發(fā)現(xiàn)其違反安全要求的情況，并及時將數(shù)據(jù)傳送給中央控制中心發(fā)布警報，從而達到專門性、智能性、可用性的入侵檢查，以維護計算機網(wǎng)絡(luò)信息系統(tǒng)和數(shù)據(jù)資料的安全性。

3.3 網(wǎng)絡(luò)信息響應(yīng)

在為網(wǎng)絡(luò)創(chuàng)造一個良好穩(wěn)定環(huán)境的基礎(chǔ)上，通過入侵檢測技術(shù)有利于更好地保證計算機免受入侵的危害，做出正確的處理。首先，需要將信號傳遞至控制臺，對其給出相應(yīng)的預(yù)警，利用電子郵件等形式與主管安全工作的管理者進行有效聯(lián)系，保證之間的良好溝通，對于重要信息及時進行傳達，如實時呼叫的方式，降低損害；其次，采用筆錄的方式，尤其是對于現(xiàn)場的一些重要情況及時記錄下來，進行不斷分析，在現(xiàn)有的基礎(chǔ)上，更好地掌握此項技術(shù)，減少安全隱患；最后，對于安全問題，及時采取措施，通過應(yīng)答的方式，以及指定用戶應(yīng)答的嚴格程序，保障整個計算機網(wǎng)絡(luò)的安全。

3.4 對入侵的反擊

防火墻技術(shù)在處理周邊威脅方面，可以較好地發(fā)揮作用，但是在內(nèi)部網(wǎng)絡(luò)中卻并不能實現(xiàn)更有效的控制。其問題在于，攻擊行為能夠通過網(wǎng)絡(luò)協(xié)議隧道，在進入時會采取躲避行為，通過各種方式必過防火墻的阻擋，從而嚴重威脅到計算機的網(wǎng)絡(luò)安全，基于此，需要加強防范措施，將入侵檢測系統(tǒng)與防火墻進行有效連接，加強二者的聯(lián)系性，以充分地發(fā)揮雙方的最大長處，從而構(gòu)建成一個綜合防護體系?？蓮南率鰩讉€角度進行分析：①在發(fā)送過程中需要對侵入檢測系統(tǒng)的端口進行控制，讓網(wǎng)絡(luò)防火墻技術(shù)加入進來，二者也能夠彼此溝通；②防火墻配備有過濾機制，在其功能發(fā)揮作用時，需要將其分組進行檢測，在發(fā)現(xiàn)有可疑數(shù)據(jù)后要及時加以辨別，并且進行刪除；③防火墻的過濾機制能夠?qū)?shù)據(jù)進行篩選，并且通過入侵監(jiān)測技術(shù)對所涉及的信息進行檢測，對于檢測當中有不合理的地方，需要將其錄入入侵信息樣本數(shù)據(jù)庫，同時做出適當?shù)膱缶磻?yīng)并告知用戶，用戶實施適當?shù)姆雷o，進而達到數(shù)據(jù)安全的綜合防護效果[3]。

4 基于入侵檢測技術(shù)的參數(shù)優(yōu)化

4.1 粒子群算法尋優(yōu)思想

現(xiàn)階段的入侵檢測技術(shù)往往存在數(shù)據(jù)收集難度高、網(wǎng)絡(luò)運行時間長等問題，此類問題將直接影響到網(wǎng)絡(luò)負荷，易產(chǎn)生信息冗余現(xiàn)場，從而降低檢測效率、影響檢測精確度。而通過粒子群算法便能夠有效解決此問題。粒子群算法的結(jié)構(gòu)更加簡單，在系統(tǒng)中進行深入搜索，而且更容易獲取最佳參數(shù)。在應(yīng)用粒子群算法過程中，往往會定義種群中每個成員為粒子，每個粒子表示不同的可行解，并在此范圍內(nèi)存在最優(yōu)解[4]。通過尋找的過程將粒子的函數(shù)進行調(diào)節(jié)，并促使每個粒子的更新，完成位置和速度的不斷迭代，利用此過程促進最優(yōu)解的產(chǎn)生。

4.2 粒子群算法流程與改進

通過對粒子群算法尋優(yōu)思想的運用，便能夠有效地識別并檢測網(wǎng)絡(luò)系統(tǒng)運行過程中的異?，F(xiàn)象，并根據(jù)數(shù)據(jù)分析結(jié)果制定相應(yīng)的措施，促進網(wǎng)絡(luò)運行環(huán)境的安全性的提升。應(yīng)用粒子群算法尋優(yōu)技能能夠有效提高檢測速度，但是在參數(shù)選定方面的智能化程度明顯不足，這就需要相關(guān)技術(shù)人員首先設(shè)定算法中的參數(shù)，并根據(jù)網(wǎng)絡(luò)實際運行需求進行算法優(yōu)化。在獲取最優(yōu)解過程中，若種群數(shù)量大，則很容易獲取到最優(yōu)解，但此時需要消耗較長的時間，這就需要根據(jù)實際的規(guī)模選擇適量的粒子。然后根據(jù)粒子數(shù)量設(shè)定尋找速度，并根據(jù)所收集到的信息進行全面的分析，進而判斷網(wǎng)絡(luò)系統(tǒng)中存在的具有安全隱患的行為，對此行為加以分析，確定是否存在攻擊性，進而保證網(wǎng)絡(luò)運行安全[5]。在進行算法位置與速度確定過程中，可以設(shè)定其隨機搜索方式，并將搜索范圍擴大，提高入侵檢測的精度。在蟻群算法的基礎(chǔ)之上，通過網(wǎng)格搜索算法獲得最合理的搜索速度和位置，將可能的組合應(yīng)用到檢測模型中，并進行綜合分析，進而得到優(yōu)化后的速度和位置，不僅提高了檢測的精度，更縮短了檢測的時間。

5 基于Snort 入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)

5.1 網(wǎng)絡(luò)入侵檢測層

網(wǎng)絡(luò)入侵檢測層，其又稱為傳感器層，其通過傳感器對被截獲的報文實施入侵檢測，其中，傳感器由信息采集端口和控制接口構(gòu)成，Capture端口不涉及IP 地址，將其設(shè)定為混合狀態(tài)，并接收所有報文。而管理端口也必須和數(shù)據(jù)庫層進行直接性地通信，并將其傳送入侵報警數(shù)據(jù)中。

5.2 數(shù)據(jù)庫服務(wù)層

因為網(wǎng)絡(luò)入侵檢測層的端口將向傳感器發(fā)出入侵告警數(shù)據(jù)保存到數(shù)據(jù)信息庫中，并對數(shù)據(jù)庫中的相關(guān)信息實施檢索。管理接口傳感器有效鏈接到數(shù)據(jù)庫，并啟動安全防火墻等接口，從而避免安全策略和網(wǎng)絡(luò)防火墻碰撞。

5.3 數(shù)據(jù)分析控制層

在數(shù)據(jù)分析控制層顯示數(shù)據(jù)，圖形化顯示需借助圖形類庫的實現(xiàn)，控制功能具有較為理想的全面性，在管理方面也會更加便捷。使用IE、GoogleChrome等瀏覽器，使用者能夠基于瀏覽器實現(xiàn)瀏覽管理功能。

5.4 軟件配置與安裝

對于WinPcap而言，其軟件配置與安裝較簡便。C：＼Snort目錄下應(yīng)放置編譯完成的Snort，接著將snortrules復(fù)制粘貼于C：＼Snort目錄中。適當修改snor tu?les，并于C：＼Snort＼lib目錄下設(shè)置規(guī)則庫的位置等，此外創(chuàng)建一個新文件夾，將其命名為snort_dynami?crules，對其放置動態(tài)規(guī)則。之后輸入C：＼Snort＼bin>snort.exe_W，并發(fā)送命令，從而驗證安裝工作是否已經(jīng)成功完成。在這一系統(tǒng)中，數(shù)據(jù)庫采用的是MySQL，其具有多重優(yōu)勢，安裝時選擇常規(guī)方法，依照提示進行操作便可，為了便利考慮，可以將用戶密碼設(shè)定為Snort。

5.5 系統(tǒng)實現(xiàn)配置

首先，系統(tǒng)采用BASE登錄方式，當Snort的入侵檢測端口安裝完畢后，實時監(jiān)測數(shù)據(jù)；然后，向MySQL 數(shù)據(jù)庫經(jīng)數(shù)據(jù)庫系統(tǒng)的輸出端口發(fā)送攻擊日志；之后數(shù)據(jù)庫接口利用數(shù)據(jù)分析控制臺進行加以讀寫，并表現(xiàn)在BASE上。其主要展示出每天新增的告警事件數(shù)量、當前告警事件數(shù)量、攻擊源IP地址等相關(guān)信息，為此項技術(shù)的更好的應(yīng)用提供有利基礎(chǔ)，以方便網(wǎng)絡(luò)安全工作的順利開展，同時還可以查看特定的告警事件信息。

6 結(jié)束語

綜上所述，為了網(wǎng)絡(luò)信息的安全可靠性，需要充分應(yīng)用入侵檢測技術(shù)，提高入侵檢測的技術(shù)水平對當代社會發(fā)展有著重要的意義。在未來發(fā)展中，將入侵檢測技術(shù)與數(shù)據(jù)挖掘技術(shù)進行深度融合，使其能夠充分運用于真實場景中，相關(guān)研究人員需繼續(xù)對IDS進行研究，從而保證工作中展現(xiàn)出更為突出的效能，發(fā)揮此項技術(shù)的最大價值。