計算機網絡入侵檢測技術探討

摘要：介紹了計算機網絡入侵檢測技術的概念、功能和檢測方法，描述了目前采用的入侵檢測技術。

關鍵詞：入侵檢測異常檢測誤用檢測

在網絡技術日新月異的今天，代寫論文基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet，全社會信息共享已逐步成為現實。然而，近年來，網上黑客的攻擊活動正以每年10倍的速度增長。因此，保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。

1 防火墻

目前防范網絡攻擊最常用的方法是構建防火墻。

防火墻作為一種邊界安全的手段，在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問，通過監視、限制、更改通過網絡的數據流，一方面盡可能屏蔽內部網的拓撲結構，另一方面對內屏蔽外部危險站點，以防范外對內的非法訪問。然而，防火墻存在明顯的局限性。

入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時無法阻止入侵者的攻擊。

防火墻不能阻止來自內部的襲擊。調查發現，50％的攻擊都將來自于網絡內部。

由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。代寫畢業論文 而這一點，對于層出不窮的網絡攻擊技術來說是至關重要的。

因此，在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要，網絡的防衛必須采用一種縱深的、多樣化的手段。

由于傳統防火墻存在缺陷，引發了入侵檢測IDS(Intrusion Detection System)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補充，在不影響網絡性能的情況下，通過對網絡的監測，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高信息安全基礎結構的完整性，提供對內部攻擊、外部攻擊和誤操作的實時保護。現在，入侵檢測已經成為網絡安全中一個重要的研究方向，在各種不同的網絡環境中發揮重要作用。

2 檢測技術

入侵檢測為網絡安全提供實時檢測及攻擊行為檢測，并采取相應的防護手段。例如，實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制；攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者，進一步加強信息系統的安全力度。入侵檢測的步驟如下：

收集系統、網絡、數據及用戶活動的狀態和行為的信息

入侵檢測一般采用分布式結構，在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息，一方面擴大檢測范圍，另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面：系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。

根據收集到的信息進行分析

常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。

統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述，統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時，就有可能發生入侵行為。該方法的難點是閾值的選擇，閾值太小可能產生錯誤的入侵報告，閾值太大可能漏報一些入侵事件。

完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3 分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測，查出系統的入侵者或合法用戶對系統資源的濫用和誤用。代寫工作總結 根據不同的檢測方法，將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。

3．1 異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統或用戶的\"正常\"行為特征輪廓，通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測，是一種間接的方法。

常用的具體方法有：統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。

采用異常檢測的關鍵問題有如下兩個方面：

特征量的選擇。在建立系統或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準確地體現系統或用戶的行為特征，又能使模型最優化，即以最少的特征量就能涵蓋系統或用戶的行為特征。

參考閾值的選定。由于異常檢測是以正常的特征輪廓作為比較的參考基準，因此，參考閾值的選定是非常關鍵的。

閾值設定得過大，那漏警率會很高；閾值設定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。

由此可見，異常檢測技術難點是\"正常\"行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統或用戶的特征輪廓，這樣所需的計算量很大，對系統的處理性能要求很高。

3．2 誤用檢測

又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。首先，代寫留學生論文 對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據已經定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為，是一種直接的方法。

常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。

誤用檢測是根據攻擊簽名來判斷入侵的，根據對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關系，就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助，而且對即將發生的入侵也有預警作用。

誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較，從中發現違背安全策略的行為。由于只需要收集相關的數據，這樣系統的負擔明顯減少。該方法類似于病毒檢測系統，其檢測的準確率和效率都比較高。但是它也存在一些缺點。

3．2．1 不能檢測未知的入侵行為

由于其檢測機理是對已知的入侵方法進行模式提取，對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。

3．2．2 與系統的相關性很強

對于不同實現機制的操作系統，由于攻擊的方法不盡相同，很難定義出統一的模式庫。另外，誤用檢測技術也難以檢測出內部人員的入侵行為。

目前，由于誤用檢測技術比較成熟，多數的商業產品都主要是基于誤用檢測模型的。不過，為了增強檢測功能，不少產品也加入了異常檢測的方法。

參考文獻

[1]吳新民．兩種典型的入侵檢測方法研究[J]．計算機工程與應用，2002；38(10)：181-183.

[2]羅妍，李仲麟，陳憲．入侵檢測系統模型的比較[J]．計算機應用，2001；21(6)：29～31.

[3]李渙洲．網絡安全與入侵檢測技術[J]．四川師范大學學報．2001；24(3)：426-428.

[4]張慧敏，何軍，黃厚寬．入侵檢測系統[J]．計算機應用研究，2001；18(9)：38-41.

[5]蔣建春，馮登國．網絡入侵檢測原理與技術[M]．北京：國防工業出版社，2001.

[6]粱曉誠．入侵檢測方法研究[J]．桂林工學院學報，2000；20(7)：303- 306.