互聯網入侵檢測技術初探

符小明

摘 要：隨著互聯網信息技術的高速發展，入侵檢測技術也隨著網絡技術的高速發展而日新月異，互聯網遭受的入侵風險日漸凸顯，維護網絡信息安全也成為社會穩定和國家安全的一個重點、難點問題，這個問題亟待解決。以往的防范策略對安全高度敏感的部門工作需要已經顯得力不從心。計算機信息網絡入侵檢測技術可以作為網絡的傳統防御的有效補充，在網絡安全中起到舉足輕重的作用。

關鍵詞：入侵檢測；異常檢測；閾值；技術分類

隨著互聯網的高速發展，為了資源共享及迅速獲取前沿信

息。各級政府機構、各類單位及個人都加入Internet中，全球信息共享的雛形已經初步形成。網絡的高速發展，互聯網中黑客的攻擊活動也以每年10倍的速度激增。所以，在網絡信息技術高度發展的今天，如何有效地保證計算機系統、信息網絡系統以及信息基礎設施的安全已成為我們現階段研究的重點工作。

一、網絡防火墻

防范計算機網絡攻擊最常用的方法是構建網絡防火墻。

防火墻指的是一個由軟件系統和硬件設備有效組合而成，在專用網與公共網之間、內外網之間的界面構建的一道安全防御“門”，是一種保證網絡安全的有效措施。防火墻由計算機硬件和軟件系統結合使用，這樣防火墻就可以在Internet與Intranet之間構建安全“門”，進而達到非法用戶不能侵入內部網的目的，并通過限制、監視、更改通過網絡的數據流，盡可能防范對內網的非法訪問與入侵。

二、網絡防火墻的局限性

1.防火墻對不經過防火墻的攻擊無計可施

如果用戶允許從受保護的內部網絡向外撥號連接，這樣就給一些非法用戶甚至是黑客制造了與Internet的直接連接的機會和條件。另外，防火墻對于網絡內部的攻擊或是病毒威脅也顯得力不從心。

2.任何防火墻都可能在不經意間留下“敞開的后門”

由于防火墻的局限性，一般不能提供實時有效的入侵檢測防御。所以，單純在網絡入口處部署防火墻是不能在源頭上確保網絡信息安全的。在信息技術高度發達的今天，對網絡安全要求極高的敏感企業或單位，防火墻已經顯得十分蒼白無力，計算機信息網絡的防衛技術必須采用一種縱深的、多樣化的手段。

由于防火墻存在著某些方面的致命缺陷，入侵檢測在這時候就顯得十分重要，入侵檢測作為防火墻后面的一道安全“門”，是防火墻的有效補充，入侵檢測技術的使用，有效地提高了網絡的安全性能。隨著網絡的高度發展，入侵檢測技術越來越凸顯出重要性。現階段，入侵檢測已經成為網絡安全中一個重要的研究方向，并在不同的網絡環境中發揮著重要作用。

三、入侵檢測

入侵檢測是對互聯網數據傳輸進行實時檢測與監視，發現可疑或異常傳輸時發出警報及警告，并立即采取主動防御，避免非法數據的傳輸或無授權訪問。入侵檢測技術區別于其他的網絡設備的主要表現是：入侵檢測是一種積極被動的安全防護技術。入侵檢測有三種類型：基于網絡型、基于主機型、基于代理型等。

從20世紀90年代至今，各網絡公司陸續開發出一些入侵檢測的網絡產品，這其中比較有代表性的是ISS公司的Realsecure，NAI公司的Cybercop和Cisco公司的NetRanger。

四、入侵檢測技術分類

入侵檢測技術系統分為兩種：特征檢測與異常檢測。

1.特征檢測

特征檢測：將入侵者活動特征當做一種特定模式來表示，入

侵檢測系統會自動檢測該活動是否符合這個特定的模式。假如符合這個特定模式，系統將自動啟動入侵檢測系統進行有效攔截處理，由此來防止非法訪問。但是，這類技術也有其致命的弱點，它只對特定模式的入侵起到作用，對于新的入侵卻是無能為力。入侵檢測的關鍵在于如何設計特定模式防御“入侵”活動，這類活動又不會將正常的通訊活動包含進來。

2.異常檢測

異常檢測在基于行為基礎上的檢測。異常檢測其中一個重要的基本前提是：將通訊過程中所有的入侵行為都當做異常處理。并由此建立系統或是用戶的“正常”行為特征輪廓，將信息通訊之間的主體活動情況與“活動簡檔”作為比較，當主體活動違反統計規律時，入侵檢測系統認定該活動可能是“入侵”行為。通過比較當前系統或用戶的具體行為是否不在正常的行為特征輪廓內來判斷是否發生入侵行為，此方法不依賴于是否表現出具體行為來進行檢測。

五、入侵檢測閾值

一個領域或一個系統的界限稱為閾，其數值稱為閾值，異常檢測是以正常的網絡特征輪廓作為比較的參考閾值來進行異常檢測，所以，如何選定閾值是十分關鍵的。如果閾值設定較大，漏警率就會提高；閾值設定較小，虛警率就會上升。適中的閾值選擇是決定檢測方法準確率的關鍵因素。

參考文獻：

樂瑞卿.計算機數據庫入侵檢測技術的探討[J].硅谷，2011（22）.

（作者單位 海南職業技術學院）

編輯 王振德