網絡入侵檢測技術探析

吳玉強，田素誠

（南京森林警察學院，江蘇 南京 210023）

網絡入侵檢測技術探析

吳玉強，田素誠

（南京森林警察學院，江蘇 南京 210023）

隨著現代化科技信息技術的到來，計算機網絡技術在各個行業中的應用越來越廣泛，而網絡安全的保護措施就顯得極其重要.網絡安全性傳統提高的方式通常是施加病毒防護技術、加密技術和防火墻技術等網絡安全檢測技術，這些技術只能進行被動防護，無法達到網絡安全的要求.在現代化科技信息背景下，應對網絡入侵檢測技術科學合理的應用，實時進行網絡系統的入侵檢測，能夠使網絡安全程度得到很大的提升.因此，對于網絡入侵檢測技術的科學合理的應用顯得極其重要.本文對網絡入侵檢測技術和防治要點進行分析，探討如何有效的提高網絡安全程度.

網絡入侵；檢測技術；分析探討

在現代化科技信息技術的時代背景下，全球經濟得到了很大的發展，信息產業的發展也得到了很大的推動.當今社會的主要生產力基本已經更換成計算機智能化工具，社會的發展腳步在計算機網絡的推進下不斷加快，各類技術產業的產物得以盛行.然而在各個行業領域加強應用計算機產業技術手段時，各類網絡安全問題也不斷浮出水面.加強對網絡入侵檢測技術的應用能夠使用戶使用權益在一定程度上得到安全保障，在此趨勢下，網絡入侵檢測技術的發展也得到了很大的推動，對網絡入侵檢測技術的研究、創新，能夠對計算機網絡的使用提供安全保障，推動社會經濟的穩定發展.

1 網絡入侵檢測技術的重要性

網絡入侵檢測指的是實時監控計算機的運行情況，對入侵行為及時了解并采取相對的防治措施，為網絡安全提供保障.安全管理技術是網絡入侵檢測的本質，在計算機網絡中應用能夠收集分析不同系統源的重要節點信息，例如安全日志、外部信息、網絡行為和審計數據等，并根據這些信息對計算機運行狀態是否穩定進行判斷，對被攻擊現象是否存在進行識別，并在自動反應后將檢測記錄和報告生成.

網絡入侵檢測系統等同于保護計算機安全的第二道閘門，對于計算機運行安全性的提高有著重要的意義，能夠將防火墻等安全防護措施存在的技術缺陷補充完善[1]，并且在檢測計算機運行動態的過程中不會使網絡性能受到任何影響.網絡入侵檢測技術能夠在網絡系統發生更改變換時，及時的將更全面、更準確的更改變換信息提供給網絡安全管理人員，便于對網絡系統漏洞的及時補充，并提供合理有效的依據便于制定網絡安全防護方案.

2 網絡入侵檢測技術分類

在網絡入侵檢測中使用較為普遍的技術可分為兩種類型：異常入侵檢測和誤用入侵檢測.異常入侵檢測是實時監控使用者所用計算機對資源的利用情況和所在網絡中存在的異常行為，并將檢測的行為根據一定的描述方式分類，將網絡行為的正常和入侵區分開，然后按照分析結果考慮是否采取安全防護相關措施；誤用入侵檢測是對網絡行為借助已經系統、軟件的弱點攻擊方法進行入侵檢測，將不利于使用者的不當行為篩選出，并采取安全防護相關措施為使用者提供安全保障.

2.1 異常檢測

異常入侵檢測也可以稱作基于行為的檢測，該方法是分析使用者對資源的使用情況和行為，并根據是否與正常偏離的情況對入侵行為進行判斷.異常檢測中，所觀察的并非已知行為入侵，而應是出現在通信中的異常狀況.該異常狀況通常分成內部滲透、外部闖入和資源使用不恰當.異常入侵檢測主要是根據網絡參考閾值和網絡特征量進行檢測，在使用該方法前，首先要界定正常的網絡安全行為范圍，了解行為特點，然后根據計算機實際運行狀況分析用戶行為，對兩者的差別進行分析，從而對網絡入侵行為的發生進行判斷.在異常檢測方法中，選擇特征量和界定參考閾值極其重要，在對特征量進行選擇時[2]，不僅要確保代表性和價值性的存在，同時還要防止冗余特征量的出現；而對參考閾值進行界定時，必須確保界定范圍的合理性，防止出現過大或過小的情況，以免影響網絡入侵檢測結果的精確性.和誤用入侵檢測技術不同，異常入侵檢測能夠準確的對為止入侵行為進行檢測，但是對檢測系統要求具備較強的處理功能，同時能夠實時進行更新.然而在異常檢測技術中有以下幾個問題存在：

（1）對用戶的正常行為如何有效進行表示，也就是說通過哪些數據對用戶行為進行有效反應，而且還能很容易獲取、處理這些數據.在不斷改變的系統、用戶的行為下，正常模式擁有了時效性，必須持續進行更新，而出現突發改變的用戶行為時，很可能出現誤報的情況.

（2）無法確定合理的閾值會造成很多問題.設定值較高會有漏報的情況出現，而設定值偏低會出現誤報的情況.由于無法全面的對系統內所有用戶行為進行描述，因此在眾多用戶經常出現行為動態改變時，會出現較高的系統誤報率.

（3）訓練異常檢測方法的時間普遍較長，并且系統在訓練時無法正常運行，被入侵者了解到處于訓練的系統，便能通過對用戶模型的逐步更新將入侵行為轉變為正常行為從而建立正常模式.異常檢測判定標準缺乏精確性以及較高的誤檢率，導致該技術方法的研究得不到很大的改善.

2.2 誤用入侵檢測技術

誤用入侵檢測技術是將入侵情況對比已知入侵情況和入侵行為并進行分析，如果入侵行為能夠和參照行為匹配說明該網絡中有誤用入侵行為存在，如果無法匹配則說明該網絡中沒有誤用入侵行為的存在.由此可見，檢測結果的準確性與檢測技術能否準確構造模式有著緊密的聯系.誤用入侵檢測技術通常可以分為基于鍵盤監控的入侵檢測、基于條件概率的入侵檢測和基于狀態遷移分析的入侵檢測等，這幾種技術都擁有相同的核心思想，不同在建立模式的方法、手段.但是在誤用入侵檢測技術中，有以下幾個問題存在：

（1）由于該技術只能對已知入侵行為進行檢測，局限于入侵模式庫，無法針對未知攻擊進行檢測，對于已知攻擊的形式變化也無法檢測.

（2）使用誤用入侵檢測技術進行檢測，要求入侵模式庫必須完備，針對于新入侵方法的大量出現，必須不斷對入侵模式庫進行及時更新，維護的工作量很大.

3 網絡入侵檢測防治技術

3.1 基于主機的入侵檢測防治技術

在計算機網絡中進行網絡安全保護的方法中，以主機為發展基礎的入侵檢測防治技術的應用屬于較早的存在.該方法在對網絡是否存在入侵現象時，通常是以計算機系統的測評和跟蹤日志作為參考數據，并通過分析以報告的形式表示出網絡具體行為.在使用該技術時，按照主機的數量而定，主機數量不多時，無需添加專門的硬件平臺，沒有較高的技術成本，而且對每個主機都能明確的區分，可以集中檢測在主機系統中存在的網絡入侵行為，并參考網絡協議能對網絡入侵情況及時發現.

3.2 基于網絡的入侵檢測防治技術

以網絡為發展基礎的入侵檢測防治技術，是通過專業工具軟件如嗅探器等，對網絡傳輸流量進行監控，并分析截獲采集后的網絡數據，與網絡正常行為特征或是網絡入侵已知行為特征作比較，對網絡是否出現入侵現象進行判斷.同時，也能夠將入侵檢測工具安裝在網絡重要節點上，有利于分析數據包載荷，提高對網絡入侵行為識別的準確性[3]，并采取相應的防備措施.該方法包含高實用性、多種檢測類型以及配置簡單等優點，不需要在操作系統中采集數據源，不過該方法對主機系統的入侵檢測無法實現，僅僅能對網段進行檢測，無法確保網絡入侵檢測結果的準確性.

3.3 分布式網絡入侵防治技術

通過對網絡入侵檢測防治技術的不斷研究、創新，以分布式結構為基礎的網絡入侵防治技術也得到了廣泛應用，使對系統入侵檢測的協調性得到了良好的提高，并將傳統的入侵檢測防治技術存在于大規模網絡和異構系統中的局限性解決.分布式網絡入侵是融合了基于主機與網絡入侵檢測防治技術的方法，使用主機入侵檢測技術對主機進行檢測，利用網絡入侵檢測對網絡重要節點進行檢測，隨后根據分析網絡數據的結果，對網絡中是否存在入侵行為進行判斷，并實施對應的方法進行防治，有效提高網絡使用的安全.

4 網絡入侵檢測技術要點

根據以上入侵檢測技術的分析，可以得知在網絡安全防護中應用網絡入侵檢測技術能夠有效的對網絡安全進行保護，解決網絡中存在的安全問題.而在使用這些技術的過程中，必須對各類檢測技術的要點進行科學合理的應用.

4.1 注意實時性的體現

在對網絡進行入侵檢測時，發現存在入侵攻擊或有攻擊企圖時，必須對入侵者進行及時追蹤，并對入侵者給予破壞，以免網絡在后續中再次發生被攻擊的情況.

4.2 注意適用性的體現

必須對網絡的環境、主機的數量以及計算機系統的類型的信息進行詳細了解，并根據這些信息采用合理有效的網絡入侵檢測技術[4]，便于該技術在對計算機網絡進行檢測中能夠充分發揮出技術的作用，有效提高入侵檢測結果的準確性，確保網絡的運行安全.

4.3 注意可擴展性的體現

由于對網絡進行攻擊的行為存在多樣性，因此計算機網絡受到的破環也存在區別.便于對各種網絡攻擊行為進行有效的防御，應注意對網絡入侵檢測系統的擴展，提高檢測防治力度.

5 結語

網絡入侵檢測技術是根據實時采集到的計算機主機和網絡中的關鍵信息并進行分析，從而對是否出現合法用戶對資源的濫用或非法用戶入侵的行為進行判斷，并采取對應措施進行處理.該方法是以傳統的網絡安全防治技術為基礎，結合檢測技術開展的主動防御，將以往網絡安全事故被動處理的方式轉變為對網絡入侵行為的提前防治和自動處理，并將有效證據提供于對入侵者法律責任的追究.隨著對網絡安全防護技術的重視，對網絡入侵檢測技術的研究不斷加大，這對于網絡環境的安全、穩定和健康的構建有著重大的意義.而由于加大了網絡入侵檢測防治技術的研究力度，該檢測防治技術也得到了改進、完善，同時更多形式、種類的檢測防治技術不斷出現，使網絡環境的安全得到了很大的提升，為網絡使用者提供了網絡安全的保障.

〔1〕黃少文.網絡入侵檢測技術的要點[J].電子技術與軟件工程，2016(22)：228.

〔2〕郝炳潔.入侵檢測技術在網絡安全中的應用[J].信息系統工程，2016(10)：72.

〔3〕韓樹軍.計算機網絡安全的入侵檢測技術探析[J].現代商業，2016(14)：181-182.

〔4〕王宇祥.入侵檢測技術在計算機網絡安全維護中運用探討[J].網絡安全技術與應用，2016(04)：22，24.

TP393.08

A

1673-260X（2017）09-0020-02

2017-06-06

中央高校基本科研業務費專項資金項目（LGYB201605）