計算機網絡入侵檢測技術

摘 要：本文通過目前網絡安全常用的防御措施分析，引出入侵檢測技術在實現過程和發展上都將是未來網絡安全中主流，它為網絡安全提供了一種更為可靠的安全技術。

關鍵詞：網絡威脅；入侵檢測；防火墻；口令；技術

中圖分類號：G434 文獻標識碼：A 文章編號：1002-7661（2012）03-160-01

隨著Internet的高速發展，越來越多企業、教育、政府部門以及個人都習慣用網絡傳遞信息、共享資源，然而，網絡信息資源的安全性和保密性同樣也受到嚴重影響。

據美國FBI統計，美國每年因網絡安全造成的損失高達75億美元，據Ernst和Young報告，由于信息安全被竊或濫用，幾乎80%的大型企業遭受損失。

除了外部入侵之外，內部人員的濫用和泄密也不可忽視。據統計，全球80%以上的入侵都來自內部。不太自律的員工對網絡資源無節制的濫用以及他們惡意的竊取行為對企業可能造成巨大的損失。約70% 以上的網絡信息主管因信息泄露而蒙受損失。在人們常用的一些網絡防御措施沒有及時跟進情況下，網絡入侵行為給政府和企業所造成的損失還將不斷的增加。因此，網絡入侵攻擊的防范技術研究，對未來計算機網絡的建設與應用具有重要意義。

一、傳統的網絡防御措施

1、防火墻

（1）防火墻的技術特點

防火墻技術是通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全的手段。其主要功能是控制對網絡的非法訪問，通過監視、限制、更改通過網絡的數據流，一方面盡可能屏蔽內部網的拓撲結構，另一方面對內屏蔽外部危險站點，以防范外部對內的非法訪問。

但是，防火墻包過濾技術本身對網絡的保護功能是有局限的。包過濾邏輯的靜態設置也使得它對需要動態指定TCP端口號的應用協議的應用受到限制。并且由于路由器內部資源的限制，通常路由器對所發現的非法數據包僅是刪除而已，并不作報告，從而不具有安全保障系統所要求的可審核性。

2、 口令驗證系統

它通常采用各種先進技術，對網絡事務中所涉及到的各方進行身份鑒別，防止身份欺詐，保證事務參與各方身份的真實性，從而保證系統和數據的安全以及授權訪問者的合法權益。

但口令泄露是口令認證系統面臨的最大威脅。主要存在：網絡竊聽、截取、重放、字典攻擊、窮舉攻擊"、偽造服務器攻擊、口令泄露等一系列問題。

3、虛擬專用網VPN

VPN通過Internet為遠程訪問創建安全的連接管道環境，使用它就可以為一臺機器分配2個IP地址，一個用于Internet，另一個用于虛擬網。然而VPN也有其明顯的弱點，雖然管道本身經過驗證和加密處理是安全的，但是管道的兩端卻是開放的，這就可能造成入侵者從一個被安裝了后門的家庭用戶機器上大搖大擺地遛進安全管道、不被檢查地訪問內部網。

二、網絡入侵檢測系統

1、入侵檢測系統的由來及發展過程

種種網絡安全問題的產生，網絡安全措施的不利，引發了入侵檢測IDS(Intrusion Detection System)的研究和開發。

從20世紀80年代人們已經展開了對入侵檢測技術的研究，發展至今已有30年的歷程。

現在，入侵檢測已經成為網絡安全中重要的研究方向，在各種不同的網絡環境中發揮重要作用。

2、 入侵檢測技術的特點

入侵檢測是通過監視各種操作，分析、審計各種數據和現象來實時檢測入侵行為的過程，它是一種積極的和動態的安全防御技術。入侵檢測被認為是繼防火墻之后的第二道安全閘門，是對防火墻設備的合理補充，提高了信息安全基礎結構的完整性，提供對內部攻擊、外部攻擊和誤操作的實時保護。它能識別針對計算機或網絡資源的惡意企圖和行為，并對此做出防護和報警反應。入侵檢測的內容涵蓋了授權的和非授權的各種入侵行為。

對一個成功的入侵檢測技術系統來講，它不但可使系統管理員時刻了解網絡系統（包括程序、文件和硬件設備等）的任何變更，還能給網絡安全策略的制訂提供指南。

3、目前入侵檢測技術的種類

（1）基于行為的入侵檢測技術

主要依靠統計的方法來實現對入侵行為的檢測。例如:在某一段時間內登錄某臺主機失敗次數。在很短時間內重復發生登錄某臺主機口令出錯的次數等。符合這個模型的網絡行為即視為正常，不符合的即視為入侵行為。

這種入侵檢測檢測技術的缺點主要在于模型的建立非常困難，而且該入侵檢測技術會造成誤報等。

（2） 基于知識的入侵檢測技術

基于知識的入侵檢測技術主要通過應用已有的知識對入侵行為的標志進行識別，從而判斷網絡中是否有入侵行為的發生。

基于知識的入侵檢側技術具有較高的準確度，但是它的缺點就是在于對系統的性能要求高，而且只能檢測到目前已知的攻擊方法，對于未知的攻擊方法沒有檢測能力。

（3）基于時間線的入侵檢測技術

時間線是在時間次序上對網絡入侵行為進行分析的工具。它分為三個部分:入侵前期、入侵時間零點和入侵后處理，各個部分又分成若干子部分。基于時間線的入侵防御研究是通過對各種網絡安全技術分析，分析上它們在時間線上所處的位置，從而從宏觀把握各項安全技術的作用范圍及相互之間的關系。

目前入侵檢測技術研究的重點轉移到了無監督的異常檢測技術上，這種技術有一個基本的假設，就是正常數據和異常數據有定性的不同，這樣才可以將它們區分開來，例如通過一般的分析，可以知道拒絕服務攻擊的數據在屬性取值和模式上與正常的數據有很大的不同，所以可以利用無需指導的異常檢測技術來有效地檢測并主動拒絕攻擊。

目前的各項安全技術都存在一些缺點，今后，推動入侵檢測技術的發展大致可有三個方向：寬帶高速網絡的實時入侵檢測技術；大規模分布式入侵檢測技術；智能化入侵檢測技術。