網絡安全入侵檢測技術研究

何小景

海南師范大學，海南海口 571158

1 網絡安全入侵檢測系統內涵

網絡安全入侵檢測包含入侵防御與入侵檢測兩類系統，其中前者依據某一特定安全策略監控系統與網絡的實時運行狀態，并盡可能在非法入侵攻擊程序實施攻擊行為之前便準確發掘其企圖目標，進而切實提升計算機網絡系統各項價值化資源的保密性與完整性。現代化科學技術的迅猛發展令針對網絡安全的攻擊技術水平也實現了逐步提升，越來越多的網絡安全系統漏洞被不斷發現，而傳統應用的防火墻與入侵檢測技術在應對該類富于變化的安全問題中顯得力不從心，因此防御入侵系統逐步形成，其可通過檢測與深度感知流經數據流量剔除惡意報文、良好阻隔其攻擊并限制報文濫用現象的發生，有效保護了網絡帶寬資源。入侵防御及檢測系統的顯著區別體現在入侵檢測僅單純具備報警作用，而無法對網絡入侵行為作出有效防御。而位于防火墻硬件設備與網絡之間的入侵防御體系則會在檢測發掘惡意攻擊后對各類開始擴散的攻擊進行有效阻止。同時兩者對攻擊的檢測方式也有所不同，防御入侵系統實施對入網數據包的周密檢查，在核準該數據包明確用途基礎上再進行是否批準其進入網絡的科學判斷。

2 科學應用入侵檢測技術維護計算機網絡系統安全

在計算機網絡系統中檢測入侵形式既包含硬件手段同時也包含軟件方式，兩者具有相同工作流程，其通過設置網絡接口為混雜模式進而便于實時監控全部該網段流經的數據，對其作出判斷分析，并與數據庫內包含的預定義攻擊特征展開比較，進而準確識別有害數據包攻擊并做出及時響應，全面記錄操作日志。

2.1 網絡安全入侵檢測結構

網絡安全入侵檢測結構包含三部分，即console、agent與manager，其中前者作用在于對代理處數據信息進行有效的收集并將受到攻擊信息予以顯示，發送找到的相關數據與攻擊信息于管理器中。agent發揮對網段中各類數據包的監視作用，同時也具有抓住攻擊信息，發送相關數據至管理器作用，而manager主體作用在于對配置警告攻擊信息進行響應并執行控制臺整體發布的相關命令，最終將代理攻擊警告輸送于控制臺。

2.2 網絡安全入侵檢測運行模式

網絡系統中入侵檢測操作運行首先應位于各網段進行多個代理入侵檢測的部署，并依據網絡不同結構，適應性選擇不同的連接代理形式。倘若連接網段方式為總線集線器，那么只要連接集線器內某一端口與代理即可，倘若連接代理形式為以太網交換機，由于其無法進行媒介共享，因此我們可應用交換機芯片調試端口令其與入侵檢測體系連接，也可將其放置于關鍵數據流出入口，進而幾乎全部獲取關鍵性信息數據。倘若檢測入侵系統發覺到惡意攻擊的特征信息，則其會采用多重響應方式，例如記錄日志、發送郵件、通報管理員、切斷會話、查殺進程、啟動觸發器執行預設命令、創建報告、消除用戶賬號等。而攻擊特征庫的升級則可利用自動或手動形式在相應站點中將特征文件予以下載，同時基于控制臺令其實時添加于特征庫。網絡管理工作人員則可依據單位現行應用與資源狀況基于檢測入侵系統特征庫進行攻擊特征自定義，進而實施安全保護職能。

2.3 對網絡系統主機實施入侵檢測

一般來講針對網絡系統主機進行入侵檢測會將控制點設置在系統重要性主機中，進而便于對該主機進行系統日志審計，并合理判斷分析實時網絡連接信息，倘若在檢測階段發現了可疑狀況則入侵檢測系統便會采取有針對性措施進行有效防御。在對網絡操作系統以及用戶操作行為實施全程監控階段，入侵檢測技術可實施對系統的整體評估，核查其應用狀況以及數據相對完整性，并通過全新創建監控安全策略、及時更新實施主動維護。我們可利用入侵檢測系統對各類沒有通過授權行為展開檢測并及時發出報警，還可利用其預設功能執行響應措施，收集所有記錄日志進行安全保護并為后續操作管理備用。當然基于主機應用入侵檢測技術系統可對其實施全面細致的安全保護，但同時其在網絡系統中實施的全面部署需要投入較高成本，且會占用到被保護對象主機的一定處理資源，因此對主機系統綜合性能具有一定要求。

2.4 基于異常狀況的入侵檢測技術

基于異常狀況的入侵檢測技術主要通過對正常狀況行為規律的分析總結日志信息，其目標針對使用資源狀況或操作者行為的偏離程度進行入侵檢測。其應用方式為首先對應正常活動建立用戶或系統正常輪廓，在入侵檢測活動階段檢測異常程序會對當前活動產生輪廓并令其與正常輪廓進行比較，當發覺兩者存在顯著偏離現象時便可判斷為入侵行為。該異常檢測技術相對來講與系統無關，具有較強的通用性，其顯著優勢在于能夠檢測發現系統前期從未發現的攻擊方式，同時其包含一定的誤檢率，且管理配置具有相對復雜性。應用該檢測技術關鍵環節在于如何建立正常應用模式并實施對用戶行為與當前系統的科學比較，進而判斷分析出其偏離正常模式程度。因此在該層面我們應持續深入研究，發展神經網絡、貝葉斯推理、數據挖掘異常入侵檢測技術，依據用戶歷史行為合理生成記錄集，有效更新批處理記錄審計方式為自動響應、實時監測方式，進而科學控制系統誤報入侵行為現象。

3 結論

總之，網絡安全入侵檢測技術的應用研究尚處于發展階段，始終存在不足缺陷或弊端問題，因此我們只有面對不斷更新的入侵、竊取、盜用等不安全網絡攻擊行為創新設計理念、更新研究思路，創設高可靠性、實用性網絡安全入侵檢測系統技術，才能切實提升計算機網絡系統綜合安全性能，進而真正創設優質、高效、可靠、安全的信息化網絡環境。

[1]胥瓊丹.入侵檢測技術在計算機網絡安全維護中的應用[J].電腦知識與技術，2010(11).

[2]劉明.試析計算機網絡入便檢測技術及其安全防范[J].計算機與網絡，2011(1).