網(wǎng)絡(luò)安全和入侵檢測技術(shù)研究

◆凌天斌

?

網(wǎng)絡(luò)安全和入侵檢測技術(shù)研究

◆凌天斌

(解放軍外國語學院 河南 471003)

我國近年來計算機網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，人們生活以及各行各業(yè)在工作中都能用到計算機，那么這樣一來，計算機網(wǎng)絡(luò)安全就非常重要了，以往為了保證網(wǎng)絡(luò)的安全性，一般使用網(wǎng)絡(luò)防護技術(shù)對來對計算機網(wǎng)絡(luò)進行保護，比如防火墻、病毒防護技術(shù)等，但是使用這種防護技術(shù)只能被動的對網(wǎng)絡(luò)進行防護而無法檢測網(wǎng)絡(luò)的安全性能，僅僅只能防護已經(jīng)不能滿足網(wǎng)絡(luò)安全的需求，如今計算機廣泛應(yīng)用于人們的生活以及工作中，網(wǎng)絡(luò)日益復雜，保護網(wǎng)絡(luò)的安全性，除了防護系統(tǒng)之外還要主動對網(wǎng)絡(luò)進行入侵檢測。本文將主要針對入侵檢測技術(shù)來對網(wǎng)絡(luò)安全中入侵檢測技術(shù)的應(yīng)用進行分析。

網(wǎng)絡(luò)安全，入侵檢測技術(shù)，應(yīng)用

0 引言

隨著計算機的廣泛應(yīng)用，在這個高度發(fā)達的信息時代，網(wǎng)絡(luò)是信息傳遞的基礎(chǔ)，它作為人們之間交流的工具有著不可替代的作用，推動了國家的經(jīng)濟發(fā)展，網(wǎng)絡(luò)的應(yīng)用改變了人們傳統(tǒng)的生活方式，對國家在政治、軍事、經(jīng)濟方面的政策決定非常重要。信息網(wǎng)絡(luò)的各種特點，比如開放化、國際化、社會化等，使國家之間的傳統(tǒng)戰(zhàn)爭變?yōu)樾畔?zhàn)，國家之間關(guān)于信息的獲取、使用以及信息的控制等的戰(zhàn)爭愈演愈烈，“信息邊疆”一直在延伸。而這些信息的獲取都源自于網(wǎng)絡(luò)，所以網(wǎng)絡(luò)信息的安全現(xiàn)在關(guān)系著國家系統(tǒng)的安全，保證著社會的正常發(fā)展，對于我們個體而言也是保護著我們的隱私及一些其他利益。

1 入侵檢測的含義以及檢測手段

入侵檢測是現(xiàn)在網(wǎng)絡(luò)系統(tǒng)進行安全審核的一個重要的環(huán)節(jié)，入侵檢測系統(tǒng)是一種對計算機網(wǎng)絡(luò)系統(tǒng)被非法入侵或出現(xiàn)的異常現(xiàn)象時及時進行捕捉的網(wǎng)絡(luò)檢測技術(shù)，一般主要通過網(wǎng)絡(luò)行為、對數(shù)據(jù)進行審計和分析安全策略日志來管理網(wǎng)絡(luò)安全系統(tǒng)，入侵檢測技術(shù)可以在異常因子攻擊計算機之前進行高效的預(yù)知與攔截，對內(nèi)部保護、外部防御等進行有效保護，在對計算機網(wǎng)絡(luò)進行保護的時候具有更強的主動性[1]。入侵檢測技術(shù)具有三種防護手段：（1）模式匹配，模式匹配主要檢測分析計算機的數(shù)據(jù)，對網(wǎng)絡(luò)攻擊特征進行確認；（2）異常檢測，異常檢測是對網(wǎng)絡(luò)歷史數(shù)據(jù)進行收集，并在這個過程中確定網(wǎng)絡(luò)正常數(shù)據(jù)檔案，對實時活動和歷史活動檔案進行比較，判斷活動是否正常，是否是病毒入侵；（3）完整性分析，完整性分析對網(wǎng)絡(luò)中的文件和目錄進行檢測，檢查是否正常，完整性分析具有一個非常大的優(yōu)勢，每一個入侵的地方完整性分析都可以檢測出來。

2 入侵檢測技術(shù)使用要點

入侵檢測技術(shù)具有很強的網(wǎng)絡(luò)安全檢測性能，但是想要充分發(fā)揮該技術(shù)的作用，對網(wǎng)絡(luò)安全問題有效解決，就要對入侵檢測技術(shù)的要點非常了解，在使用時根據(jù)其要點對網(wǎng)絡(luò)安全進行有效檢測。

2.1實時檢測與控制

在利用網(wǎng)絡(luò)檢測技術(shù)實時入侵檢測網(wǎng)絡(luò)時，一旦發(fā)現(xiàn)異常攻擊行為或者攻擊企圖，就要及時對入侵者的位置進行鎖定，并對其攻擊行為進行破壞，避免后期網(wǎng)絡(luò)攻擊行為再次出現(xiàn)，有效解除攻擊危機。

2.2根據(jù)情況合理檢測

在使用網(wǎng)絡(luò)入侵檢測技術(shù)來對網(wǎng)絡(luò)進行檢測的時候，要根據(jù)網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)連接主機數(shù)量以及連接計算機類型等進行了解，根據(jù)具體情況對入侵檢測技術(shù)進行科學的設(shè)計，以達到技術(shù)的有效實施，達到保護計算機網(wǎng)絡(luò)的安全的目的[2]。

2.3入侵檢測技術(shù)的擴展

計算機網(wǎng)絡(luò)安全中，不同的攻擊行為有著不同的破壞程度，為了能夠有效對各種攻擊行為產(chǎn)生預(yù)防作用，要對入侵檢測技術(shù)進行擴展，使之在網(wǎng)絡(luò)安全保護中，能夠有效防御各種危險因素產(chǎn)生的破壞。

3 入侵檢測技術(shù)在網(wǎng)絡(luò)安全維護中的應(yīng)用

3.1對信息進行收集

在入侵檢測當中，數(shù)據(jù)有著非常重要的作用，對檢測有著舉足輕重的影響。數(shù)據(jù)源大致可分為四種：程序執(zhí)行中不想要出現(xiàn)的行為、物理形態(tài)的入侵、有關(guān)系統(tǒng)和網(wǎng)絡(luò)日志的文件、文件以及目錄中不想要的改變。信息采集的時候要把單個或多個IDS代理布置在每個網(wǎng)段上，不同的網(wǎng)絡(luò)構(gòu)成導致有不同的數(shù)據(jù)收集連接方式，如若用集線器連接網(wǎng)段，那么交換機上一般都會有端口在芯片上，可以把網(wǎng)絡(luò)從端口接入，把入侵檢測系統(tǒng)安置在較重要的數(shù)據(jù)必須經(jīng)過的出入口也是可以的，基本上得到的數(shù)據(jù)很全面[3]。除此之外，如果分布在網(wǎng)絡(luò)中的信息具有不同關(guān)鍵點，對這些信息進行采集的時候，要根據(jù)收集信息目標擴大檢測范圍，檢測中欠缺環(huán)節(jié)可能會出現(xiàn)相同地方檢測不到異?，F(xiàn)象，這就需要在采集信息中注意并記錄不同目標擁有的不同特點，以此，來作為系統(tǒng)判斷是否屬于異?，F(xiàn)象的依據(jù)。

3.2對收集到的信息進行分析

收集到的信息要對信息數(shù)據(jù)進行分析，通過分析，發(fā)現(xiàn)是否具有異?；顒右约爱惓；顒拥奶攸c，并把它發(fā)送給管理器，工作人員要清楚了解各種系統(tǒng)漏洞以及網(wǎng)絡(luò)規(guī)定，從而對網(wǎng)絡(luò)安全措施以及網(wǎng)絡(luò)安全信息庫進行完善，之后再創(chuàng)建各種檢測模型，使計算機能夠進行模擬分析并把分析結(jié)果自動編制成警示語發(fā)給管理控制中心，此外，IP/TCP網(wǎng)絡(luò)中，網(wǎng)絡(luò)探測引擎在檢測技術(shù)中也有著舉足輕重的地位，我們可以把網(wǎng)絡(luò)探測引擎看成一個傳感器，它主要是通過旁路監(jiān)聽的方式來檢測數(shù)據(jù)包，并最終對檢測到的異常編制成警告語發(fā)送到控制中心。

3.3信息有關(guān)響應(yīng)

IDS的作用就是有入侵情況能夠及時做出一定的反應(yīng)，它有一定的工作過程：對數(shù)據(jù)做出最起碼的分析，對本地網(wǎng)段進行檢測，搜索出隱藏在數(shù)據(jù)包中的危險因素，最后對危險因素做出相應(yīng)反應(yīng)，這種反應(yīng)主要是警告或者網(wǎng)絡(luò)引擎通知，如給網(wǎng)絡(luò)安全負責人發(fā)送Email或者SNMP strap、對控制臺提出警示消息等等。記錄現(xiàn)場，對整個的事件進行詳細記錄，可采取事件日志形式，采取一定行為進行安全響應(yīng)，如執(zhí)行指定用戶的的響應(yīng)程序等。

3.4入侵檢測技術(shù)與防火墻的結(jié)合

防火墻技術(shù)相對而言算是比較成熟了，它能很好的對多種入侵行為進行有效的防御，對控制網(wǎng)絡(luò)層以及應(yīng)用層的訪問起到了非常大的作用，但是防火墻的缺點是無法較好地監(jiān)視并控制內(nèi)部網(wǎng)絡(luò)，那么這樣就容易產(chǎn)生入侵者利用協(xié)議隧道來繞開防火墻進行入侵，這樣就對網(wǎng)絡(luò)安全造成了很大的威脅，所以，防火墻的防御能力雖強，但是也并不能完全阻擋入侵行為[4]。防火墻和入侵檢測技術(shù)的結(jié)合，能夠發(fā)揮雙方不同的優(yōu)勢，從而對網(wǎng)絡(luò)安全進行保護，二者結(jié)合的工作流程是這樣的：首先，防火墻或者入侵檢測系統(tǒng)這兩者中的其中一個為另一個開放一個接口，二者信息交流之前約定并設(shè)計信息交流端口，然后遵守約定規(guī)則進行信息交流；其次，防火墻需要檢測經(jīng)過的數(shù)據(jù)包，將經(jīng)過的數(shù)據(jù)包進行分析對比，對沒有經(jīng)過授權(quán)或者不符合規(guī)定的數(shù)據(jù)包過濾掉；最后，入侵檢測技術(shù)來對繞過防火墻的入侵行為進行逮捕，利用建立完善的信息數(shù)據(jù)庫，對不符合規(guī)則的入侵行為進行警告，從而達到網(wǎng)絡(luò)安全的有效防護。

4 結(jié)束語

網(wǎng)絡(luò)廣泛的使用使得網(wǎng)絡(luò)攻擊行為增多，網(wǎng)絡(luò)安全問題也變越來越嚴峻，如果沒辦法及時解決問題，將會造成網(wǎng)絡(luò)的癱瘓，從而影響人們的正常生活和正常工作，也會帶來很大的損失，為了避免網(wǎng)絡(luò)安全問題產(chǎn)生的影響，應(yīng)當正確設(shè)計入侵檢測技術(shù)來對網(wǎng)絡(luò)安全進行防護，構(gòu)建科學的網(wǎng)絡(luò)安全防護系統(tǒng)，實時對網(wǎng)絡(luò)安全與否進行檢測，避免系統(tǒng)內(nèi)部出現(xiàn)攻擊情況，同時對主動防御進行加強，將網(wǎng)絡(luò)入侵檢測技術(shù)合理的應(yīng)用在網(wǎng)絡(luò)安全檢測中，從而對網(wǎng)絡(luò)的安全運行進行保護。

[1]袁沛沛.網(wǎng)絡(luò)安全入侵檢測技術(shù)[D].西安建筑科技大學，2008.

[2]王瑤.基于Agent的分布式入侵檢測系統(tǒng)的研究及實現(xiàn)[D].昆明理工大學，2002.

[3]范晨.IPv4/IPv6過渡階段網(wǎng)絡(luò)安全工具的實現(xiàn)與研究[D].山東科技大學，2003.

[4]胡佳明.網(wǎng)絡(luò)安全中混合型入侵檢測系統(tǒng)設(shè)計[D].浙江大學，2006.