李麗姝

關(guān)鍵詞 入侵檢測技術(shù) 計(jì)算機(jī)網(wǎng)絡(luò)安全 應(yīng)用

1引言

在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)方面，系統(tǒng)存在的漏洞比較多，而且網(wǎng)絡(luò)協(xié)議也相對比較薄弱，很容易遭受到入侵，從而使得系統(tǒng)或者用戶的數(shù)據(jù)信息安全受到嚴(yán)重威脅。通過對入侵檢測技術(shù)的應(yīng)用，可以有效阻擋病毒和入侵，提升計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。所以，強(qiáng)化入侵檢測技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用研究，成為目前展開網(wǎng)絡(luò)安全維護(hù)工作的重中之重[1] 。

2計(jì)算機(jī)網(wǎng)絡(luò)入侵的形式

網(wǎng)絡(luò)入侵主要指的是應(yīng)用十分熟練的編寫、調(diào)試計(jì)算機(jī)程序的能力以及技巧獲取未經(jīng)允許或者是未經(jīng)授權(quán)的文件，抑或是訪問未授權(quán)的網(wǎng)絡(luò)等。一般情況下，入侵便是進(jìn)入某一計(jì)算機(jī)內(nèi)部網(wǎng)的行為。

2.1病毒入侵

對于計(jì)算機(jī)程序來說，病毒是可以進(jìn)行自我復(fù)制的程序，其主要通過拒絕服務(wù)或者破壞數(shù)據(jù)信息的完整性，進(jìn)而達(dá)到對特定系統(tǒng)、特定目標(biāo)進(jìn)行破壞的目的。病毒本身具有較高的傳染性、快速的繁殖性以及強(qiáng)大的隱蔽性、寄生性、潛伏性等特性。而且，現(xiàn)階段病毒主要是通過計(jì)算機(jī)網(wǎng)絡(luò)的電子郵件、瀏覽器以及文件下載等方式，對系統(tǒng)進(jìn)行入侵。

2.2身份入侵

一般情況下，計(jì)算機(jī)網(wǎng)絡(luò)所提供的服務(wù)需要確認(rèn)用戶身份，進(jìn)而為使用者提供相對應(yīng)的上網(wǎng)瀏覽權(quán)利。而利用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行詐騙，甚至通過信息竊取的方法冒充合法使用者進(jìn)入互聯(lián)網(wǎng)是一種十分常見的互聯(lián)網(wǎng)侵入方法。除此以外，利用口令、漏洞等信息也可以入侵互聯(lián)網(wǎng)。身份侵入主要是指入侵者通過對網(wǎng)絡(luò)進(jìn)行大量的檢測，以尋找其中存在的漏洞。甚至是通過對網(wǎng)絡(luò)系統(tǒng)中獲得使用權(quán)限的賬戶以及對網(wǎng)絡(luò)系統(tǒng)中所提供的業(yè)務(wù)接口進(jìn)行掃描，以此發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中所存在的漏洞，進(jìn)而盜取用戶的真實(shí)用戶名或者口令。入侵者能夠利用公開協(xié)議和工具，對計(jì)算機(jī)主機(jī)操作系統(tǒng)中一些有用的信息，實(shí)施非法獲取甚至修改系統(tǒng)等活動。

2.3拒絕服務(wù)入侵

拒絕服務(wù)入侵簡稱DoS（DenialofService），該入侵行為主要是將一部分序列、報(bào)文等發(fā)送到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，從而使得整個(gè)網(wǎng)絡(luò)服務(wù)器都被大量的要求回復(fù)的信息所霸占，進(jìn)而使大量的網(wǎng)絡(luò)資源、寬帶等被消耗，最終導(dǎo)致正在運(yùn)行的網(wǎng)絡(luò)或者系統(tǒng)不堪重負(fù)，出現(xiàn)癱瘓或者停止使用正常網(wǎng)絡(luò)服務(wù)的情況，嚴(yán)重時(shí)甚至?xí)霈F(xiàn)死機(jī)、沒有任何反應(yīng)等一系列現(xiàn)象[2] 。

2.4通過防火墻進(jìn)行入侵

一般情況下，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的防火墻具有較強(qiáng)的抗攻擊性，很難被攻破。但是，某些防火墻在設(shè)計(jì)和使用過程中存在一定的缺陷，因此不能始終有效抵擋攻擊，進(jìn)而使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或用戶的防火墻被攻破。

在互聯(lián)網(wǎng)發(fā)展和網(wǎng)絡(luò)信息技術(shù)日益成熟的今天，直接入侵和非法繞過防火墻的侵入行為已經(jīng)使計(jì)算機(jī)安全在每時(shí)每刻都面臨著考驗(yàn)。例如，入侵者在對地址進(jìn)行欺騙的同時(shí)，還可以對TCP 進(jìn)行入侵。

3入侵檢測技術(shù)概述

入侵檢測技術(shù)主要是指根據(jù)計(jì)算機(jī)系統(tǒng)的安全性所設(shè)定的一項(xiàng)計(jì)算機(jī)技術(shù)，這項(xiàng)技術(shù)手段通常能夠檢測到計(jì)算機(jī)系統(tǒng)存在的一些根本沒有進(jìn)行授權(quán)的現(xiàn)象，甚至是某些設(shè)備存在異常情況，這樣便可以高效配合計(jì)算機(jī)系統(tǒng)設(shè)計(jì)人員對計(jì)算機(jī)網(wǎng)絡(luò)中帶有違規(guī)、安全等特性的各類情況進(jìn)行更加合理的檢查。在開展入侵檢測關(guān)鍵技術(shù)研發(fā)工作時(shí)出現(xiàn)了很多方法，包括基于專家系統(tǒng)的入侵檢測、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測等。一般情況下，入侵檢測技術(shù)采用實(shí)施有關(guān)任務(wù)的模型得以實(shí)現(xiàn)。

入侵測試技術(shù)模型可分成兩類：一類為異常測試模式，其主要面對的是計(jì)算機(jī)本身所實(shí)施的行為及其與可接受行為間所產(chǎn)生的差異做出適當(dāng)?shù)臏y量。假如可以對任何一種可接受行為進(jìn)行界定，那么與其所對應(yīng)的任何不接受行為便是入侵行為。

在使用異常檢查模型的過程中，首先需要對各種正常操作中所存在的特點(diǎn)進(jìn)行總結(jié)，從而形成一定的規(guī)范架構(gòu)，如此才可以在發(fā)現(xiàn)用戶活動和正常動作間形成的巨大差異之際，確保計(jì)算機(jī)網(wǎng)絡(luò)遭到侵犯。該檢測模式對侵入的漏報(bào)概率相當(dāng)?shù)?，不過其誤報(bào)概率也相當(dāng)高。并且，在計(jì)算機(jī)安全應(yīng)用的工作流程中，基本上不需要對每一個(gè)侵入行為都給出具體的界定，所以異常監(jiān)測模式一般可以有效監(jiān)測未知入侵。

另一類是誤用監(jiān)測模式，其主要通過對計(jì)算機(jī)的正常行為和無法接受行為加以匹配。一旦賦予了任何無法接受的行為相應(yīng)的定義，則對于任何一個(gè)能夠與其進(jìn)行對應(yīng)的行為都會產(chǎn)生相應(yīng)的警告。而通過對各種非正常行為所產(chǎn)生的特性加以搜集，便能夠逐漸形成相關(guān)的具有特征屬性的數(shù)據(jù)庫。當(dāng)偵測到用戶或者是計(jì)算機(jī)系統(tǒng)行為時(shí)，便會主動地與具有特征屬性的數(shù)據(jù)庫加以對應(yīng)，由此進(jìn)一步確定該行為是否屬于入侵行為。誤用檢測模型對入侵的誤報(bào)率較低，但是其漏報(bào)率非常高。不僅如此，在面對未知的攻擊時(shí)，其所發(fā)揮的效果有限，如果想要確保模型的應(yīng)用效果，那么便需要不斷對特征屬性的數(shù)據(jù)庫進(jìn)行更新。

4入侵檢測技術(shù)存在的問題

第一，入侵檢測技術(shù)具有一定的局限性。由于網(wǎng)絡(luò)侵入檢測系統(tǒng)所面對的對象是在與其進(jìn)行直接聯(lián)系的交換網(wǎng)段中進(jìn)行傳輸，并提供了相對應(yīng)的檢測范圍，但并非整個(gè)網(wǎng)段，所以如果計(jì)算機(jī)的內(nèi)聯(lián)網(wǎng)環(huán)境中只有交換以太網(wǎng)，那么侵入檢測技術(shù)的檢測范圍便存在一定的局限。而一旦增加安裝的設(shè)備數(shù)量，則相對應(yīng)的系統(tǒng)成本便會提高。

第二，現(xiàn)階段網(wǎng)絡(luò)入侵檢測系統(tǒng)所采用的基本上是具有特征屬性的檢測手段，雖然對于一些運(yùn)用普通手段進(jìn)行入侵檢測的效果十分明顯，但是對于一些比較復(fù)雜、計(jì)算量較大以及分析時(shí)間較長的入侵檢測的效果則不明顯。

第三，入侵檢測技術(shù)在對一部分特定的數(shù)據(jù)包進(jìn)行監(jiān)測、監(jiān)聽時(shí)會產(chǎn)生大量的分析數(shù)據(jù)，從而使得其性能下降或者不穩(wěn)定，而對一部分單位內(nèi)部文件共享情況的監(jiān)測、監(jiān)聽是比較普遍的現(xiàn)象，這種情況下的監(jiān)測、監(jiān)聽對于有效的授權(quán)訪問機(jī)制是比較缺乏的。相反，對于內(nèi)部不設(shè)防的情況卻比較普遍。

第四，在使用入侵檢測技術(shù)對會計(jì)活動進(jìn)行處理的過程中，檢測的結(jié)果相對準(zhǔn)確，主要是因?yàn)楝F(xiàn)階段通過加密通道進(jìn)行入侵的行為比較少。但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，這類問題也會變得突出。

5入侵檢測技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用

5.1明確入侵檢測技術(shù)的應(yīng)用流程

計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)工作基本上采用的是被動維護(hù)模式，即通常是在出現(xiàn)問題之后再進(jìn)行分析、解決。而入侵檢測技術(shù)在進(jìn)行工作的過程中所消耗的時(shí)間較少，同時(shí)入侵檢測技術(shù)在大部分情況下只需要對單一數(shù)據(jù)進(jìn)行收集和整理，便可以確定計(jì)算機(jī)網(wǎng)絡(luò)是否出現(xiàn)被入侵的行為，并對其進(jìn)行解決。在此基礎(chǔ)上，有效提升了系統(tǒng)的安全性、完整性。除此之外，還可以與實(shí)際情況進(jìn)行有機(jī)結(jié)合，將入侵檢測技術(shù)引入計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)過程中時(shí)，需要建立完善的知識庫，并對計(jì)算機(jī)系統(tǒng)的歷史操作行為進(jìn)行分析，同時(shí)收集入侵操作的特定行為模式，根據(jù)有關(guān)因素再進(jìn)行入侵檢測分析，進(jìn)而給出明確且具體、有效的網(wǎng)絡(luò)安全對策。

計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)技術(shù)人員在進(jìn)行相關(guān)工作時(shí)，能夠利用侵入偵測技術(shù)對用戶或者系統(tǒng)做出檢查，并利用檢查結(jié)果和安全策略做出比較，由此判斷用戶和系統(tǒng)是否出現(xiàn)被侵犯的情況。一旦測試結(jié)論是不存在，就必須再進(jìn)行重復(fù)分析對比，為計(jì)算機(jī)網(wǎng)絡(luò)安全的工作打下強(qiáng)有力的理論基礎(chǔ)。在實(shí)際的操作過程中，工作人員還必須對所檢測到的入侵情況做出正確、準(zhǔn)確的信息記錄，并及時(shí)告知管理人員對其采取措施，盡可能確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和用戶的安全。

5.2入侵檢測技術(shù)的應(yīng)用要點(diǎn)

首先，需要做好信息收集工作。因?yàn)閿?shù)據(jù)信息的類型很多，所以技術(shù)人員在采集信息時(shí)必須保證數(shù)據(jù)的全面性、有效性以及完整性。同時(shí)，在對數(shù)據(jù)信息進(jìn)行分類時(shí)，必須選擇計(jì)算機(jī)網(wǎng)絡(luò)的日志數(shù)據(jù)或者系統(tǒng)文件變化數(shù)據(jù)，因?yàn)橹挥羞@一類數(shù)據(jù)才能成為入侵檢查的主要依據(jù)。除此以外，技術(shù)人員在使用入侵偵測技術(shù)時(shí)必須對IDS 代理進(jìn)行科學(xué)合理的設(shè)定，以有效提升數(shù)據(jù)信號的采集效率與采集效果。而當(dāng)計(jì)算機(jī)在同時(shí)進(jìn)行連接環(huán)節(jié)時(shí)，還可采用與交換機(jī)芯片連接的模式完成相關(guān)調(diào)試。同時(shí)，對一些較為關(guān)鍵的數(shù)據(jù)進(jìn)行輸入與輸出時(shí)，必須配置適當(dāng)?shù)娜肭謧蓽y設(shè)備，為數(shù)據(jù)采集的時(shí)效性提供保證。在計(jì)算機(jī)網(wǎng)絡(luò)工作流程中，往往具有特定的關(guān)鍵點(diǎn)，因此需要與具體的監(jiān)測目標(biāo)加以比較，并以此判斷入侵檢測的有效范圍等。在實(shí)際操作中，技術(shù)人員可使用孤立點(diǎn)挖掘算法，在大量的數(shù)據(jù)信息庫中甄選出不常用的數(shù)據(jù)信息，并對這些數(shù)據(jù)信息加以處理，從而進(jìn)一步為入侵檢測技術(shù)的高效應(yīng)用奠定良好的基礎(chǔ)[3] 。

其次，做好數(shù)據(jù)信息的分析工作。因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)傳輸采用的是TCP / IP 的協(xié)議，所以要求科技人員熟練掌握并使用這個(gè)協(xié)議。唯有如此，科學(xué)家才可以在數(shù)據(jù)發(fā)生問題之時(shí)，及時(shí)正確地對問題做出分析、處理，為數(shù)據(jù)的正確傳送提供保證。對技術(shù)人員而言，在對互聯(lián)網(wǎng)數(shù)據(jù)包實(shí)施檢測、監(jiān)控的過程中，必須明確入侵偵測引擎的主要功能，同時(shí)在必要時(shí)對數(shù)據(jù)旁路監(jiān)控采取相應(yīng)措施，如此才能在第一時(shí)間了解計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的異常，并對系統(tǒng)和使用者發(fā)出警告，同時(shí)指導(dǎo)安全保障技術(shù)人員有效解決問題。技術(shù)人員在對數(shù)據(jù)信息進(jìn)行分類處理時(shí)，往往采取的是與異常發(fā)現(xiàn)模式相匹配等方法，利用這些技術(shù)可以找到網(wǎng)絡(luò)中出現(xiàn)的異常情況，從而及時(shí)正確地對異常數(shù)據(jù)信息進(jìn)行分類和處理。

再次，做好信息響應(yīng)工作。在計(jì)算機(jī)網(wǎng)絡(luò)中設(shè)置IDS 系統(tǒng)，主要針對本地網(wǎng)段進(jìn)行檢測，并根據(jù)數(shù)據(jù)對其進(jìn)行分析，同時(shí)查找和分析其中存在異常的數(shù)據(jù)信息，從而進(jìn)行正確處理。網(wǎng)絡(luò)系統(tǒng)可以做出信息響應(yīng)工作，主要包含網(wǎng)絡(luò)的引擎通知以及警告，如向控制中心、負(fù)責(zé)人通過電子郵件和實(shí)時(shí)通話等形式發(fā)出的警告信息。這樣便可以使控制中心的工作人員在第一時(shí)間掌握情況，并進(jìn)行現(xiàn)場數(shù)據(jù)信息的錄入工作，為保障計(jì)算機(jī)安全打下基礎(chǔ)。從實(shí)際操作方面來看，主要利用指定程序終止攻擊鏈接。所以，盡管技術(shù)人員能夠利用對等入侵檢測技術(shù)手段發(fā)現(xiàn)異常數(shù)據(jù)和行為，不過仍須提前編譯攻擊程序，并保證程序內(nèi)容可以和安全策略進(jìn)行一一對應(yīng)，以此為計(jì)算機(jī)安全打下堅(jiān)實(shí)基礎(chǔ)[4] 。

6結(jié)語

在網(wǎng)絡(luò)信息技術(shù)快速發(fā)展的背景之下，計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)工作變得越來越重要。但是由于現(xiàn)階段的入侵檢測技術(shù)依舊存在一定的不足，進(jìn)而使得大部分單位在解決與網(wǎng)絡(luò)入侵有關(guān)的問題時(shí)，通常都會采用主機(jī)與網(wǎng)絡(luò)有機(jī)結(jié)合的入侵檢測系統(tǒng)。當(dāng)然，入侵檢測技術(shù)也在隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展而不斷變化，進(jìn)而使得關(guān)于數(shù)據(jù)信息、神經(jīng)網(wǎng)絡(luò)等一系列異常行為的入侵檢測技術(shù)也逐漸成熟和完善。與此同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)用戶要想提升網(wǎng)絡(luò)系統(tǒng)的安全性、可靠性，不僅需要應(yīng)用可靠、成熟的技術(shù)，還需要對其進(jìn)行維護(hù)以及管理。