基于計算機網絡的入侵檢測與防御探討

任劍洪

摘 要：計算機網絡安全的重要技術手段是入侵檢測與防御系統，隨著互聯網技術的飛速發展，計算機網絡的入侵檢測與防御系統同樣需要快速發展。本文首先分析了當前計算機網絡安全隱患的主要來源，其次對入侵檢測技術的發展趨勢進行討論，最后對網絡安全技術和解決方案進行了研究與探討。

關鍵詞：計算機網絡；入侵檢測；防御

0.引言

隨著計算機網絡技術的迅速發展，計算機網絡逐漸成為人們日常生活與工作的重要組成部分，但是計算機網絡安全問題卻成了網絡發展的阻礙，很多計算機網絡的攻擊和犯罪正日益猖獗。入侵檢測系統能有效地發現網絡中的非法訪問行為，但是隨著網絡流量的不斷增大，給入侵檢測系統提出了十分嚴峻的挑戰。入侵檢測系統作為主動防御系統的最后一道防線，能夠監控網絡或計算機系統的動態行為特征，采取主動防御的措施來抵御入侵的發生。

1.計算機網絡安全隱患的主要來源

來源一，計算機本身的缺陷[1]。例如操作系統的漏洞，應用程序中的缺陷等，這些漏洞給黑客的入侵攻擊提供了十分大的便利，比如常見的緩沖區溢出攻擊。

來源二，目前廣泛應用的TCP/IP通信協議族自身在安全設計方面的缺陷。此協議在創立時沒有考慮網絡信息傳輸的安全性要求，因此給一些黑客的入侵攻擊提供了可能性。

來源三，主機系統或網絡系統的配置不當及計算機使用者無意間造成的系統安全漏洞。

2.入侵檢測技術的發展趨勢

近年來，計算機網絡的入侵無論從手段上還是規模上都發生了很大的變化，這些變化主要體現在以下幾個方面：

①入侵綜合化和復雜化[2]。黑客在入侵時通常會同時使用多種入侵手段，并能在入侵攻擊的初期隱藏其真實目的。

②入侵技術的分布化。最近幾年網絡入侵攻擊行為的一個重要特點是分布式入侵和網絡協同攻擊，這一攻擊相對于單一的個人網絡攻擊手段具有非常明顯的攻擊有效性和破壞性，同時針對入侵檢測系統的攻擊也越來越多。

③入侵主體間接化。入侵的主體通過技術手段掩蓋了攻擊主題的主機位置和源地址，導致受攻擊方無法直接確定攻擊者。

④入侵攻擊的規模擴大化。隨著信息戰時代的到來，個人網絡攻擊與入侵的行為正逐步發展為有組織有規模的網絡戰。

⑤入侵的容忍技術。目前大多的入侵檢測技術主要針對已知的攻擊類型，對未知的攻擊卻無法全部發現，入侵檢測系統的性能還有待提高。如何保持系統在受到攻擊和入侵時依然能提供服務就顯得十分重要，因此入侵容忍技術和理論的研究已經成為入侵檢測研究的一個重要命題。

⑥與其他網絡安全技術相結合。結合防火墻系統、安全電子交易SET等全新的網絡安全與電子商務技術，提供完整的網絡安全保障。

3.網絡安全技術和解決方案

一，安全路由器實現簡單的基于端口、地址和網絡服務的過濾功能，從而禁止特定的網絡服務和地址通過路由器的請求。

二，信息加密認證通過加密技術使通過網絡傳輸或儲存在計算機內的數據成為所有非授權人無法理解的信息，從而保證信息的安全。

三，授權與身份驗證系統通過密碼技術實現用戶身份鑒別、訪問控制、授權和抗抵賴功能。

四，防火墻系統實現基于端口、地址和網絡服務的過濾功能，禁止未授權的網絡服務和地址的通過防火墻請求，并通過應用代理和地址轉換隱蔽內部網絡地址和結構，隔絕未授權訪問。

4.網絡安全防御系統設計的原則

一，最小特權原則[3]。任何對象應只具備對其需要完成指定任務的特權，避免暴露在侵襲之下，以減少因入侵所造成的損失。

二，縱深防御原則。計算機網絡的安全不能只靠單一的安全機制，必須要多層安全機制，避免成為網絡中的“單失效點”。

三，阻塞點原則。理想的網絡安全防御系統應是互聯網中的安全控制點，稱為“阻塞點”，能簡化網絡的安全管理，方便對網絡通信進行監控及審計。

四，最薄弱鏈接原則。安全鏈的強度在于其最薄弱鏈接，這是安全保護的基本原則，解決方法在于保持安全鏈的均衡性。

五，失效保護狀態原則。網絡安全防護系統失效模式應該是“失效一安全”型。

六，防御多樣化原則。如縱深防御可以得到額外的安全保護一樣，防御多樣化也可以通過使用不同類型的系統得到額外的安全保護。

5.結語

總而言之，隨著計算機網絡技術的發展，如今的計算機網絡已經深入到了人們生活、工作的方方面面，所以計算機的網絡安全也顯得越來越重要。目前，我國信息化建設的步伐正在逐漸加大，對計算機網絡的依賴也在逐漸加深，計算機網絡的安全防御系統成為了信息化建設的重要方面。現有成熟的IDS系統、病毒檢測技術、防火墻系統等是網絡防御的主要組成部分，但這些防御手段在某些方面都存在著一些缺陷，防御性能不能滿意現有的防護要求。因此，入侵檢測系統需要經過不斷發展和完善，推出多樣化的網絡防御的手段和設施，實施綜合的網絡防護。

參考文獻

[1]魏欣杰，馬建峰，楊秀金等.入侵檢測原理及應用[J].信息安全與通信保密，2011，15（21）：11-12.

[2]龔儉，董慶，陸展等.網絡安全監測實現模型[J].小型微型計算機系統，2012，12（38）：27-28.

[3] 劉衍珩，田大新，余雪崗等.基于分布式學習的大規模網絡入侵檢測算法[J]軟件學報，2012，19（14）：19-20.