網絡入侵檢測與防治技術

高云

摘 要 在信息化和網絡化時代，網絡安全問題變得越來越重要，已經成為影響計算機技術發展的主要因素，受到了人們的廣泛關注。在網絡環境復雜程度不斷提高的背景下，傳統防火墻技術、數據加密技術等安全防護技術，已經無法滿足網絡安全需求，網絡信息安全面臨著較大的威脅，而網絡入侵檢測技術的出現與應用，是對傳統網絡安全防護技術的補充，有效增強了網絡系統的運行安全性，在促進計算機技術健康、穩定發展方面發揮著重要作用。

【關鍵詞】網絡入侵檢測 實現過程 防治技術

計算機網絡技術的迅速發展，改變了人們的生活生產方式，既為人們帶來了眾多便利，又提高了科技向生產力的轉化效率，已經滲透到了各個行業和領域。但是，在計算機網絡技術的實際應用過程中，網絡安全容易受到眾多因素的影響，如黑客攻擊、病毒入侵、操作失誤等，不利于網絡技術應用優勢的充分發揮，所以就需要加大對網絡安全防護技術的研究力度，不斷開發新的網絡安全保障系統，提高計算機網絡運行的安全系數。

1 網絡入侵檢測概念及重要作用

網絡入侵檢測是指通過對計算機運行情況進行時時監控，及時發覺入侵行為，并做出相應的反應動作，進而來保證網絡安全。網絡入侵檢測的本質是一種安全管理技術，將其應用于計算機網絡中，可以對不同系統源的重要節點信息進行收集分析，包括網絡行為、安全日志、審計數據及外部信息等，以此作為依據，判斷計算機是否處于穩定運行狀態，并識別其中是否存在被攻擊現象，在作出自動反應后生成檢測記錄和檢測報告。

網絡入侵檢測技術對于提高計算機運行的安全性具有重要意義。網絡入侵檢測系統相當于計算機的第二道安全閘門，補充完善了防火墻安全防護技術缺陷，在對計算機運行動態情況進行檢測的同時，不會對網絡性能造成影響。同時，當網絡系統出現變更調整時，可以快速將變更信息及時、準確、全面的傳遞給網絡安全管理人員，盡快實現網絡系統漏洞的修補，為網絡安全防護方案的制定提供可靠依據。

2 網絡入侵檢測的分類

根據網絡入侵檢測依據的不同，可以將其分為誤用檢測和異常檢測兩種。

2.1 誤用檢測

誤用檢測是以攻擊簽名作為主要依據，通過對網絡入侵行為進行假定，將其表示為具體的網絡語言，實現攻擊簽名與入侵行為特點的相照應，來判斷是否存在網絡入侵現象。保證攻擊簽名的準確性是確保誤用檢測有效性的首要前提，并且在對入侵行為進行網絡語言設定時，必須將非入侵行為排除在外，才能對是否存在網絡入侵現象進行準確判斷。以攻擊簽名為基礎的網絡入侵誤用檢測，可以對網絡入侵行為的特點、發生條件、排列關系等要素進行總結歸納，以此作為理論依據，對網絡入侵行為進行預防。采用誤用檢測方法，可以有效提升網絡安全性，但是該檢測方法也存在一定的局限性，無法對未知的網絡入侵行為進行準確檢測。

2.2 異常檢測

異常檢測是一種以網絡網絡特征量和參考閾值為主要依據的網絡入侵檢測方法，在應用方法的時候，先對網絡行為的正常安全范圍進行界定，明確其行為特點，然后將用戶行為和計算機實際運行情況與之進行比較，分析兩者之間的差異性，來判斷是否發生網絡入侵現象。網絡行為特征量的選擇和參考閾值的界定，是異常檢測方法中的關鍵問題，在選擇網絡行為特征量的時候，既要保證其價值性和代表性，又要避免出現冗余特征量；在設定參考閾值的時候，應該保證閾值范圍的合理性，避免閾值過大或者過小，提高網絡入侵檢測的準確率。相比于誤用檢測方法，異常檢測可以對未知網絡入侵行為進行準確檢測，但是要求檢測系統具有較強的處理性能，并且可以進行實時更新。

3 網絡入侵檢測防治技術

經過長期的研究與實踐應用，現階段已經形成了多種網絡入侵檢測防治技術，其中應用比較廣泛的主要包括以下幾種類型。

3.1 基于主機的入侵檢測防治技術

基于主機的入侵檢測防治技術，在計算機網絡中的應用是比較早的，在判斷是否存在網絡入侵現象時，所使用的參考數據主要是計算機系統的審計、跟蹤日志，對其進行分析之后生成報告，將具體網絡行為表示出來。在利用該項網絡入侵技術時，可根據主機數量而定，如果主機數量較少，則不需要增加專門的硬件平臺，技術成本較低，同時，能夠明確區分每個主機，對存在于主機系統中的網絡入侵行為進行集中檢測，并且可以根據網絡協議，及時發現網絡入侵跡象。

3.2 基于網絡的入侵檢測防治技術

以網絡為基礎發展而來的入侵檢測技術，是利用嗅探器等專業工具軟件，來監聽網絡傳輸流量，對截獲、采集得到的網絡數據進行分析，結合已知網絡入侵行為特征或者正常網絡行為特征，來判斷是否出現網絡入侵現象。同時，還可以通過在重要網絡節點上安裝入侵檢測工具，便可以對數據包載荷進行分析，準確識別網絡入侵行為，并做出防御反應。該網絡入侵檢測防治技術具有適用性強、配置簡單、檢測類型多等優點，不必從操作系統中獲取數據源，但是無法實現對主機系統的入侵檢測，只能夠進行網段檢測，很難保證網絡入侵檢測的精準性。

3.3 分布式網絡入侵防治技術

隨著網絡入侵檢測防治技術的不斷發展，以分布式結構為基礎形成的入侵檢測防治技術應用越來越廣泛，有效提高了入侵檢測系統的協調性，解決了傳統入侵檢測防治技術在異構系統和大規模網絡中應用的局限性。分布式網絡入侵防治技術是基于主機和網絡的入侵檢測防治技術的融合，即主機上采用主機入侵檢測，重要網絡節點上采用網絡入侵檢測，然后利用所得網絡數據的分析結果，判斷是否出現網絡入侵行為，進而采取相應的預防措施，提高網絡安全系數。

4 結束語

網絡入侵檢測技術是網絡安全防護技術發展的必然產物，在加強網絡安全防護力度、提高網絡安全系數方面發揮著越來越重要的作用，對構建更加健康、穩定、安全的網絡環境意義重大。隨著對網絡入侵檢測與防治技術研究力度的不斷增強，出現了更多形式的技術，網絡入侵檢測與防治技術變得更加完善和成熟，具有更加廣闊的應用空間和應用前景。

參考文獻

[1]劉恩軍.網絡入侵檢測技術的研究[J].齊齊哈爾大學學報（自然科學版），2013（04）：52-55.

[2]莫新菊.入侵檢測技術在計算機網絡安全中的應用研究[J].計算機光盤軟件與應用，2012（18）：68-69.

[3]楊菲.入侵檢測技術在網絡安全中的應用[J].數字化用戶，2013（03）：49-50.

作者單位

鄭州鐵路公安局鄭州公安處網絡安全保衛支隊 河南省鄭州市 450000