關鍵詞： 計算機網(wǎng)絡安全 入侵檢測技術 隔離機制 智能檢測

入侵檢測并非一項技術，而是一類技術的總稱，是指通過對行為、安全日志、審計數(shù)據(jù)或其他網(wǎng)絡上可以獲得的信息進行分析、辨識等操作，檢測到對系統(tǒng)的闖入或闖入的企圖，并加以技術處理。軟件和硬件結合后的入侵檢測系統(tǒng)（Intrusion Detection System），是目前計算機系統(tǒng)防御入侵的主要屏障。我國以《中華人民共和國網(wǎng)絡安全法》等規(guī)范計算機網(wǎng)絡安全管理工作，也明確支持、鼓勵入侵檢測技術發(fā)展[1]。

1 計算機網(wǎng)絡安全與入侵檢測技術概述

廣義上的計算機網(wǎng)絡安全包括信息安全、軟硬件安全等，狹義上的計算機網(wǎng)絡安全則專指網(wǎng)絡層面的信息安全、數(shù)據(jù)安全，文章取其狹義進行研究。隨著互聯(lián)網(wǎng)、計算機、智能終端、通信技術的發(fā)展和普及，各類網(wǎng)絡用戶數(shù)量大大增加，我國網(wǎng)民總數(shù)已經(jīng)超過8.2 億人（截至2021 年底），如此龐大的用戶群體也滋生出嚴峻的網(wǎng)絡安全問題[2]。

入侵檢測技術可以在一定程度上應對網(wǎng)絡安全威脅，保證計算機與用戶信息、數(shù)據(jù)的安全[3]。當前，常用的防御系統(tǒng)工作技術包括基于專家系統(tǒng)的入侵檢測技術、基于神經(jīng)網(wǎng)絡的入侵檢測技術等。

2 計算機網(wǎng)絡安全入侵檢測技術的不足

2.1 反應速度偏慢

當前計算機網(wǎng)絡安全入侵檢測技術的不足之一，是反應速度較慢。從特點上看，嘗試侵入計算機系統(tǒng)的威脅多是一瞬間造成感染，如潛伏在互聯(lián)網(wǎng)資源池中的病毒，在網(wǎng)絡連接完成的一瞬間（不區(qū)分有線和無線）就可以造成病毒的復制和感染，而計算機往往需要在感染產(chǎn)生后才能做出反應，一些性能不佳、防護能力較差的計算機，甚至需要在病毒造成負面影響、破壞產(chǎn)生后才能做出反應，這將導致用戶資料、信息的安全性面臨威脅[4]。

2.2 工作存在滯后性

因為很多木馬病毒、網(wǎng)絡威脅和破壞的表現(xiàn)形式是多樣的，黑客也會在攻擊手段被持續(xù)攔截后轉而尋求新技術侵入計算機，這些變化往往不能在早期被入侵檢測到，可能造成破壞，也有可能被防火墻、防護軟件隔離在外網(wǎng)和計算機之間，潛伏于計算機中，當計算機出現(xiàn)漏洞時，其仍有可能對計算機進行攻擊[5]。

2.3 不能辨識加密文件

與顯性攻擊不同，很多嘗試破壞計算機系統(tǒng)、竊取資料的入侵行為具有很強的隱蔽性，部分木馬病毒、植入性程序，可能以加密文件的形式存在，這些風險文件可能被隔離在計算機系統(tǒng)之外，也可能無法被辨識從而進入計算機，當人員完成文件解密后再對計算機進行攻擊[6]。

3 計算機網(wǎng)絡安全入侵檢測技術的優(yōu)化思路

3.1 采用聯(lián)合作業(yè)機制

計算機網(wǎng)絡安全入侵檢測技術的優(yōu)化，可以嘗試多技術手段的聯(lián)用?？稍诠ぷ髦袊L試對基于專家系統(tǒng)的入侵檢測技術、基于神經(jīng)網(wǎng)絡的入侵檢測技術、智能檢測技術等進行部分融合。例如：基于神經(jīng)網(wǎng)絡的入侵檢測技術和智能檢測技術的聯(lián)用，前者以分布廣泛的神經(jīng)元提升攔截工作的覆蓋率，后者提升了攔截的準確性，能夠改善計算機網(wǎng)絡安全入侵檢測技術的工作能力，保證計算機網(wǎng)絡安全。

3.2 加強特異性分析

未來的計算機網(wǎng)絡安全入侵檢測技術可嘗試加強特異性分析，根據(jù)特異性分析結果確定防御機制、提升入侵檢測成果。以木馬攻擊為例，所有木馬在短時間內(nèi)的表現(xiàn)都是相似的，只要其滿足特異性表現(xiàn)標準或接近特異性表現(xiàn)標準，即可組織攔截和處理，降低其侵入計算機的可能性，體改系統(tǒng)對安全風險特異性的識別能力。

3.3 采用臨時隔離機制

加密文件識別的難度在于加密系統(tǒng)為其提供了一層缺乏特異性表現(xiàn)的保護層，而計算機防御系統(tǒng)往往不能透過保護層進行內(nèi)部信息的研究、分析，包括目前常用的基于專家系統(tǒng)的入侵檢測技術、基于神經(jīng)網(wǎng)絡的入侵檢測技術在內(nèi)。未來工作中可設定臨時性的應急處理機制，對于各類存在安全隱患的加密文件，均進行臨時隔離，將其隔離在外網(wǎng)和計算機系統(tǒng)之間，由人員進行分析、處理，無安全隱患可允許其傳輸至計算機，反之則進行粉碎處理。

4 計算機網(wǎng)絡安全入侵檢測技術應用

4.1 系統(tǒng)架構

為了解計算機網(wǎng)絡安全入侵檢測技術優(yōu)化思路的價值，在系統(tǒng)架構的建設中采用了聯(lián)合作業(yè)機制，以神經(jīng)網(wǎng)絡檢測和智能檢測并用的機制作為基礎，另強調(diào)提升特異性分析能力，并應用臨時隔離機制。系統(tǒng)的基本架構與其工作原理具體如圖1 所示。

對本架構進行分析，可發(fā)現(xiàn)系統(tǒng)主要分為4 個部分：一是廣泛分布的執(zhí)行終端，即神經(jīng)元；二是智能檢測結構；三是診斷處理終端；四是輔助終端。其中，神經(jīng)元的數(shù)目共為n 個，可根據(jù)被保護計算機的具體情況確定其數(shù)目，原則上盡可能增加神經(jīng)元數(shù)目以提升其保護能力；為提升系統(tǒng)作業(yè)速率，僅設計一層神經(jīng)網(wǎng)絡，即執(zhí)行層。來自各處的威脅，在就近檢測原則下，會由最近的神經(jīng)元進行感知。智能檢測結構主要對神經(jīng)元檢測的入侵威脅（或疑似威脅）進行診斷，此結構為本系統(tǒng)的關鍵。診斷處理終端包括警報器、日志生成模塊等，主要記錄、警報檢測結果，對可以確定的威脅進行粉碎，對疑似威脅進行隔離。輔助終端包括計算機、可視化設備等，負責對日志進行加工處理，并進一步反哺智能檢測終端工作。這4 個部分以默認程序進行操控，借助PLC 邏輯控制實現(xiàn)大型計算機內(nèi)程序的邏輯管理，普通計算機則以默認程序進行管理。

4.2 工作原理

根據(jù)圖1 所示的工作系統(tǒng)可知，其主要工作原理包括神經(jīng)元感知、智能診斷檢測兩個方面。其中，神經(jīng)元感知原理較為簡單，是對神經(jīng)網(wǎng)絡入侵檢測技術的部分提取和簡化，主要發(fā)揮其廣泛分布神經(jīng)元檢測范圍較大、靈敏性高的優(yōu)勢，而在僅設置一層神經(jīng)網(wǎng)絡的情況下，相關異?？杀豢焖賯鬏斨悄軝z測區(qū)域，以此保證處理工作的效率，這也對智能檢測模塊的工作提出了較高要求。擬通過降維訓練的方式提升此模塊工作的靈敏性，所選維度為入侵威脅的特異性，如各類流動于網(wǎng)絡中的木馬病毒，其特異性包括可自動運行、非完整程序、可遠程操控、可自動恢復、可開啟特殊端口這幾個方面。

分別以A、F、G、H、J 代表作為5 個維度的特異性代稱。在設定智能終端工作程序時，可廣泛收集各類木馬病毒的基本信息，了解其特異性分布態(tài)勢，數(shù)據(jù)樣本越多，特異性的表現(xiàn)越明顯，分別以A0、F0、G0、H0、J0 代表上述5 個維度的最終分析結果，將其代入計算機信息庫中形成記憶，據(jù)此對智能檢測結果進行訓練，只以上述5 個維度作為訓練目標并設定工作方法。實際工作中，大部分木馬病毒可能不具備上述5個特異性表現(xiàn)，只滿足1～4 個特異性表現(xiàn)，此類木馬病毒在嘗試侵入計算機時，被神經(jīng)元感知，并提供給智能檢測模塊，智能檢測模塊對木馬病毒的特異性表現(xiàn)進行分析，并匹配信息庫。

假定入侵木馬（或疑似木馬）特異性表現(xiàn)為“[A1、F2、G-3、H2、J0]”。

可知其在5 個維度中，一個維度[J0]信息與記憶庫信息完全相同，一個[A1]與信息庫信息高度相似，另外這3 個維度信息也有一定的相似性，此時不能完全明確的將其認定為“木馬”，可予以隔離并發(fā)出警報、生成日志和大數(shù)據(jù)資料，由人員進行人工分析。

如果入侵木馬（或疑似木馬）特異性表現(xiàn)為“[A0、F1、G0、H0、J0]或[A0、F0、G0、H0、J0]”。

可知其5 個維度中至少4 個維度滿足木馬病毒的特異性表現(xiàn)，此時可認定其屬于木馬程序，可直接予以粉碎，并生成日志和大數(shù)據(jù)資料、發(fā)出警報，由人員進行進一步處理。

原則上強調(diào)收集有關木馬病毒或其他入侵威脅在網(wǎng)絡層面的特異性表現(xiàn)，將其分為若干具有代表性的維度信息，再對計算機智能檢測結構進行降維訓練（即各類具有代表性的維度信息）。使其能夠在具體工作中根據(jù)入侵風險的特異性表現(xiàn)，快速完成與信息庫記憶信息的對照、計算，評估入侵風險的特異性與信息記憶特異性的相似性，根據(jù)結果進行風險隔離或粉碎處理。所有信息均同步生成處理日志，并對確定風險的特異性表現(xiàn)進行收集，生成大數(shù)據(jù)后繼續(xù)代入本系統(tǒng)中豐富訓練樣本，以此提升智能檢測結構工作的準確性。

4.3 模擬實驗

按照圖1 所示模式及其工作原理，建立一個模擬實驗通過調(diào)整計算機參數(shù)的方式模擬網(wǎng)絡攻擊，評估新系統(tǒng)在計算機網(wǎng)絡安全入侵檢測方面的能力以及存在的不足。實驗主要分為兩個部分：一是對照部分，以市場提供的兩款商業(yè)軟件作為對照，分別為神經(jīng)網(wǎng)絡入侵檢測軟件、專家系統(tǒng)入侵檢測軟件，前者為CiscoSystemsSnort，后者為Abelssoft HackCheck；二是新系統(tǒng)分析部分，按照圖1 模式以及對應技術建立防御系統(tǒng)。為對比3 個系統(tǒng)應對網(wǎng)絡安全入侵的能力，實驗共進行了以下3 組。

第一組：神經(jīng)網(wǎng)絡入侵檢測實驗（使用Cisco SystemsSnort系統(tǒng)）。以虛擬內(nèi)存4 GB、磁盤空間400 GB的計算機作為實驗母體，通過計算機的參數(shù)調(diào)整，模擬1 500 次木馬攻擊，采用150 倍模擬速率（模擬1 min 相當于實際工作150 min，下同），觀察系統(tǒng)攔截木馬攻擊的次數(shù)、準確率以及反應時間。

第二組：專家系統(tǒng)入侵檢測實驗（使用AbelssoftHackCheck 系統(tǒng)）。以虛擬內(nèi)存4 GB、磁盤空間400 GB的計算機作為實驗母體，通過計算機的參數(shù)調(diào)整，模擬1 500 次木馬攻擊，采用150 倍模擬速率，觀察系統(tǒng)攔截木馬攻擊的次數(shù)、準確率以及反應時間。

第三組：新系統(tǒng)入侵檢測實驗。以虛擬內(nèi)存4GB、磁盤空間400 GB 的計算機作為實驗母體，通過計算機參數(shù)調(diào)整，模擬1 500 次木馬攻擊，采用150 倍模擬速率，觀察系統(tǒng)攔截木馬攻擊的次數(shù)、準確率以及反應時間。

4.4 模擬實驗結果分析

對3 組實驗生成的原始數(shù)據(jù)進行收集，并加以統(tǒng)計，所獲結果如表1 所示。

從表1 的結果可知，以Cisco SystemsSnort 軟件支持的神經(jīng)網(wǎng)絡入侵檢測技術，完成1 457 次攔截，有效攔截1 450 次，準確率為99.52%，對入侵行為的反應時間為平均0.27 s。以Abelssoft HackCheck 軟件支持的專家系統(tǒng)入侵檢測技術，完成1 470 次攔截，有效攔截1 470 次，準確率為99.32%，對入侵行為的反應時間為平均0.35 s。以新設模擬軟件支持的入侵檢測技術，完成1 496 次攔截，有效攔截1 495 次，準確率為99.93%，對入侵行為的反應時間為平均0.09 s。對3 組實驗進行對比，可發(fā)現(xiàn)神經(jīng)網(wǎng)絡入侵檢測技術對入侵行為的反應時間中等，準確率也處于中等水平，但攔截總次數(shù)最少。專家系統(tǒng)入侵檢測技術下，對入侵行為的反應時間最長，攔截次數(shù)居于中等水平，但準確率最差。以新設模擬軟件進行計算機網(wǎng)絡安全入侵檢測，攔截次數(shù)、準確率均最高，且反應時間最少。

進一步分析發(fā)現(xiàn)，以Cisco SystemsSnort 軟件支持的神經(jīng)網(wǎng)絡入侵檢測技術設有多個神經(jīng)網(wǎng)絡層，有效地提升了其攔截次數(shù)、犧牲了一定的反應時間作為檢測代價。而以Abelssoft HackCheck 軟件支持的專家系統(tǒng)入侵檢測技術，采用層次反饋的形式，能夠完成對風險的較多攔截，時間消耗也最長，因此在檢測系統(tǒng)分布層次上稍遜，故而準確率不能得到最大保證。而新設模擬軟件僅設置一個神經(jīng)網(wǎng)絡層，因此反應速度較快，且采用特異性智能分析的模式，能夠對疑似攻擊進行隔離，因此攔截的次數(shù)最多。此外，新系統(tǒng)能夠不斷記憶木馬攻擊情況，進一步收集特異性信息，完成信息庫，從而使其處理的準確率得到提升。

以Cisco SystemsSnort 軟件支持的神經(jīng)網(wǎng)絡入侵檢測技術，其優(yōu)勢在于覆蓋面廣，能夠以穩(wěn)定的多層作業(yè)技術完成入侵攔截，提升木馬入侵等異常問題攔截的準確性，以Abelssoft HackCheck 軟件支持的專家系統(tǒng)入侵檢測技術，其優(yōu)勢在于通過不斷地進行反饋分析，提升攔截總次數(shù)、問題覆蓋效果。新系統(tǒng)的優(yōu)勢則在于，簡化了工作流程，優(yōu)化了作業(yè)的綜合性，從而提升了入侵處理效率和效果。其劣勢在于，以計算機建立模擬實驗，沒有考慮其他因素對系統(tǒng)的影響，如單薄的系統(tǒng)架構很容易產(chǎn)生自我漏洞，從而使其本身成為木馬攻擊的薄弱點。同時，新系統(tǒng)的建立引入了多項技術，包括神經(jīng)網(wǎng)絡技術和智能技術、降維訓練等，在實驗室理論條件下可以實現(xiàn)，但在具體工作中依然需要通過集成技術和PLC 邏輯控制技術提供保障，是否能夠廣泛適用于所有網(wǎng)絡保護工作，依然是未知的。最后，新系統(tǒng)依然不能有效進行加密文件的處理，只能采用臨時隔離的方式予以應對，此類文件依然需要人工分析和應對，仍有待研究和優(yōu)化。

5 結語

綜上所述，計算機網(wǎng)絡安全入侵檢測技術有助于保證計算機安全，避免信息丟。目前，計算機網(wǎng)絡安全入侵檢測技術的不足包括反應速度偏慢、存在滯后性、不能辨識加密文件等方面，其優(yōu)化可著眼于建設聯(lián)合作業(yè)機制、加強特異性分析、采用臨時隔離機制等。在具體應用計算機網(wǎng)絡安全入侵檢測技術時，強調(diào)為其搭建作業(yè)框架，明確作業(yè)方法，以提升計算機網(wǎng)絡安全入侵檢測技術的應用效果與保護能力。