入侵檢測(cè)系統(tǒng)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的設(shè)計(jì)與應(yīng)用

摘 要：入侵檢測(cè)系統(tǒng)是近年來迅速發(fā)展起來的技術(shù)，以往的網(wǎng)絡(luò)入侵檢測(cè)對(duì)于復(fù)雜的數(shù)據(jù)和外部的供給，不能對(duì)其特征進(jìn)行有效識(shí)別，導(dǎo)致檢測(cè)的準(zhǔn)確性比較低。為了保證網(wǎng)絡(luò)的安全，結(jié)合實(shí)際工作，將現(xiàn)代技術(shù)應(yīng)用到網(wǎng)絡(luò)入侵檢測(cè)當(dāng)中，取得了很好的效果。文章對(duì)網(wǎng)絡(luò)入侵檢測(cè)框架模型、入侵系統(tǒng)結(jié)構(gòu)和網(wǎng)絡(luò)入侵檢測(cè)方法進(jìn)行了詳細(xì)的研究。

關(guān)鍵詞：入侵檢測(cè)系統(tǒng)；網(wǎng)絡(luò)入侵；網(wǎng)絡(luò)安全

隨著現(xiàn)代計(jì)算機(jī)技術(shù)的快速發(fā)展，當(dāng)前網(wǎng)絡(luò)安全成為一個(gè)焦點(diǎn)話題，這也使網(wǎng)絡(luò)入侵技術(shù)成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的研究重點(diǎn)。入侵檢測(cè)具體指的是監(jiān)視或者在可能的情況下，阻止入侵或者是試圖入侵系統(tǒng)資源的努力。目前，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在工作的過程中不像路由器以及防火墻作為關(guān)鍵設(shè)備工作，可以指出網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)發(fā)展的關(guān)鍵路徑。網(wǎng)絡(luò)入侵系統(tǒng)在工作的過程中即使出現(xiàn)了故障也并不會(huì)影響正常的工作，因此使用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的風(fēng)險(xiǎn)相比于主機(jī)入侵檢測(cè)系統(tǒng)會(huì)更小。

1 入侵檢測(cè)系統(tǒng)框架模型

互聯(lián)網(wǎng)工作小組的入侵檢測(cè)小組，在1996年就已經(jīng)開發(fā)了安全事件報(bào)警的標(biāo)準(zhǔn)格式，即入侵檢測(cè)交換格式。入侵檢測(cè)工作小組制定的這一格式對(duì)部分術(shù)語的使用進(jìn)行了比較嚴(yán)格的規(guī)范，并且為了能夠適應(yīng)入侵檢測(cè)系統(tǒng)所輸出的安全事件信息的多樣性，這一模型在客觀上能夠滿足入侵檢測(cè)系統(tǒng)各種功能要求和邏輯結(jié)構(gòu)。這樣可以確保入侵檢測(cè)系統(tǒng)在形式上可以有不同的特點(diǎn)。在進(jìn)行系統(tǒng)設(shè)計(jì)的過程當(dāng)中根據(jù)系統(tǒng)所承擔(dān)的具體任務(wù)以及其工作環(huán)境的不同，在進(jìn)行搭建時(shí)可以選擇獨(dú)立的傳感器、管理器等設(shè)備，其功能的實(shí)現(xiàn)也可以是一個(gè)設(shè)備當(dāng)中所具有的不同的功能。入侵檢測(cè)系統(tǒng)在工作中，具體可以劃分為3步，信息收集、數(shù)據(jù)分析、事件響應(yīng)。其中信息收集包括系統(tǒng)以及網(wǎng)絡(luò)；數(shù)據(jù)分析的主要任務(wù)是將收集到的有關(guān)數(shù)據(jù)信息發(fā)送到檢測(cè)引擎，檢測(cè)引擎會(huì)通過模式匹配、統(tǒng)計(jì)分析、完整性分析3種手段對(duì)于收集的信息進(jìn)行客觀分析；在系統(tǒng)工作的過程中，檢測(cè)到一個(gè)任務(wù)時(shí)會(huì)主動(dòng)將報(bào)警發(fā)送到系統(tǒng)當(dāng)中的管理器，管理器能夠根據(jù)預(yù)先設(shè)計(jì)好的安全政策進(jìn)行定義，對(duì)接收到的報(bào)警內(nèi)容進(jìn)行回應(yīng)，并提出相關(guān)檢疫。

2 入侵檢測(cè)系統(tǒng)結(jié)構(gòu)

2.1 基于主機(jī)的入侵檢測(cè)系統(tǒng)

這一入侵系統(tǒng)在具體工作的過程當(dāng)中，需要以應(yīng)用程序日志等相關(guān)的審計(jì)記錄文件作為重要數(shù)據(jù)來源。通過對(duì)這些文件中的記錄和共計(jì)簽名進(jìn)行比較，確定其是否可以進(jìn)行匹配。如果比較得到結(jié)果是匹配的，這時(shí)檢測(cè)系統(tǒng)就主動(dòng)將管理人員發(fā)出警報(bào)并采取措施防止系統(tǒng)被入侵。從整體上看，以主機(jī)作為基礎(chǔ)的IDS可以客觀、準(zhǔn)確地反應(yīng)入侵行為，并可以針對(duì)入侵進(jìn)行及時(shí)反應(yīng)。此外，在具體工作的當(dāng)中這一系統(tǒng)還可以根據(jù)操作系統(tǒng)不同的特征來判斷應(yīng)用層入侵事件。在這一系統(tǒng)當(dāng)中涉及數(shù)據(jù)是手機(jī)用戶行為信息的主要方法，因此，這一系統(tǒng)在工作的過程中為了確保判斷工作的準(zhǔn)確性，不能使系統(tǒng)當(dāng)中審計(jì)數(shù)據(jù)被隨意修改。但是，如果系統(tǒng)在工作的過程中受到外來的攻擊，這些審計(jì)數(shù)據(jù)可能會(huì)被篡改，為此主機(jī)入侵檢測(cè)需要具備一個(gè)實(shí)時(shí)性條件：入侵檢測(cè)系統(tǒng)在具體工作的過程中需要在系統(tǒng)完全被控制之前完成對(duì)相關(guān)數(shù)據(jù)的審計(jì)分析、報(bào)警并主動(dòng)采取相應(yīng)的對(duì)策制止入侵。這一系統(tǒng)在具體應(yīng)用的過程中主要的優(yōu)勢(shì)在于能夠?qū)撛诘墓灿?jì)行為進(jìn)行分析，并可以知道系統(tǒng)入侵者具體做了哪些事情。當(dāng)然這一系統(tǒng)也有不少缺點(diǎn)，其中之一是這一系統(tǒng)是安裝在需要保護(hù)的設(shè)備上的，這樣其在工作的過程中無疑就使應(yīng)用使用效率極大地降低。此外，在設(shè)備上安裝這一系統(tǒng)也容易帶來其他安全問題，這主要是因?yàn)樵诎惭b了這一入侵系統(tǒng)之后，管理員本部允許的訪問權(quán)限被擴(kuò)大了。

2.2 以網(wǎng)絡(luò)為基礎(chǔ)的入侵檢測(cè)系統(tǒng)

該系統(tǒng)需要被安裝在需要保護(hù)的網(wǎng)絡(luò)上，并以網(wǎng)絡(luò)中原始的數(shù)據(jù)作為分析工作的基礎(chǔ)。在具體應(yīng)用中一般會(huì)選擇一個(gè)使用的網(wǎng)絡(luò)適配器對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行監(jiān)視和分析。網(wǎng)絡(luò)在工作中，如果收到了外來的攻擊，這時(shí)的檢測(cè)系統(tǒng)能夠及時(shí)獲取入侵信息并及時(shí)做出應(yīng)對(duì)。以網(wǎng)絡(luò)作為基礎(chǔ)的入侵檢測(cè)系統(tǒng)從整體上主要是由過濾器、網(wǎng)絡(luò)接口引擎和探測(cè)器構(gòu)成的。在具體工作當(dāng)中根據(jù)制定的規(guī)則獲取與安全事件有關(guān)的數(shù)據(jù)包，之后將其傳送到分析模塊進(jìn)行分析；入侵分析模塊可以根據(jù)采集到的數(shù)據(jù)包結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行分析，并最后將分析得到的結(jié)果傳給管理和配置模塊；系統(tǒng)中的管理和配置模塊的主要工作是管理其他模塊的配置工作，并且將系統(tǒng)經(jīng)過分析得到的結(jié)果傳遞給管理工作人員。這一入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)集中在：能夠分析哪些是來自于外界的入侵以及哪些行為是超過權(quán)限的訪問。當(dāng)前，HIDS不會(huì)在業(yè)務(wù)系統(tǒng)當(dāng)中的主機(jī)安裝額外軟件，這樣不會(huì)影響機(jī)器的CPU、I/O設(shè)備、磁盤的使用，這樣不會(huì)影響到系統(tǒng)性能。這一系統(tǒng)的主要缺點(diǎn)表現(xiàn)在：系統(tǒng)在入侵檢查時(shí)只可以檢查與其相連的網(wǎng)絡(luò)通信，對(duì)不同的網(wǎng)絡(luò)不能進(jìn)行檢測(cè)，在使用交換以太網(wǎng)的環(huán)境當(dāng)中會(huì)出現(xiàn)檢測(cè)范圍的局限，如果多安裝檢測(cè)系統(tǒng)則會(huì)使預(yù)算大大提高。

2.3 基于主機(jī)的分布檢測(cè)系統(tǒng)

該入侵檢測(cè)系統(tǒng)主要由探測(cè)器和管理控制器兩個(gè)部分組成。其中HDIDS主要用來保護(hù)關(guān)鍵服務(wù)器，HDIDS有敏感信息系統(tǒng)，通過利用主機(jī)的系統(tǒng)資源、審計(jì)日志等相關(guān)的信息，能夠客觀地判斷出主機(jī)系統(tǒng)在運(yùn)行的過程當(dāng)中是否遵照了安全規(guī)則。在具體工作中，這一系統(tǒng)的探測(cè)器能夠以安全代理的方法安裝在主機(jī)系統(tǒng)上，可以通過網(wǎng)絡(luò)便捷安全開孔方法和防火墻遠(yuǎn)程控制系統(tǒng)管理控制臺(tái)。這是集中的控制方式，它可以對(duì)主機(jī)狀態(tài)管理及監(jiān)控，并且可以及時(shí)更新檢測(cè)模塊的軟件，這就有效加強(qiáng)入侵檢測(cè)系統(tǒng)安全，使其擴(kuò)張的能力更強(qiáng)大。

3 網(wǎng)絡(luò)入侵檢測(cè)方法分析

對(duì)數(shù)據(jù)進(jìn)行可觀的分析是保證網(wǎng)絡(luò)安全的前提，可以提前得知網(wǎng)絡(luò)是否遭受到入侵。在網(wǎng)絡(luò)入侵檢測(cè)工作當(dāng)中檢測(cè)率是現(xiàn)代人們關(guān)注的焦點(diǎn)，因此在網(wǎng)絡(luò)入侵分析工作當(dāng)中使用不同的技術(shù)，其所得到的結(jié)果也是不同的。因此，在進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)中，需要根據(jù)具體的工作環(huán)境和檢測(cè)靈活選用入侵技術(shù)，這樣才能達(dá)到更好的檢測(cè)效果。從當(dāng)前入侵檢測(cè)所使用的技術(shù)來看，具體可以分為采用異常檢測(cè)系統(tǒng)和無用檢測(cè)系統(tǒng)。

神經(jīng)網(wǎng)絡(luò)檢測(cè)法主要是訓(xùn)練神經(jīng)網(wǎng)絡(luò)連續(xù)的信息單元，其中信息單元具體指的是命令。在網(wǎng)絡(luò)當(dāng)中通過輸入曾經(jīng)是用戶當(dāng)前輸入的命令和已經(jīng)執(zhí)行過的N個(gè)命令；用戶指定的命令被神經(jīng)適用以來確定用戶的下一個(gè)命令。在工作的過程當(dāng)中如果被訓(xùn)練成為預(yù)測(cè)用戶輸入命令序列的集合，這樣就可以使神經(jīng)網(wǎng)絡(luò)容易構(gòu)建成用戶的輪廓框架。如果在使用這個(gè)神經(jīng)網(wǎng)絡(luò)很難客觀上反映出用戶的之后的命令時(shí)，那么表明用戶行為和其輪廓框架的偏離，這時(shí)就會(huì)出現(xiàn)異常事件，并將其作為異常入侵檢測(cè)。

4 結(jié)語

文章在研究的過程中分析了在計(jì)算機(jī)網(wǎng)絡(luò)安全中建立入侵檢測(cè)系統(tǒng)的重要性，并詳細(xì)地介紹了入侵檢測(cè)系統(tǒng)的整體結(jié)構(gòu)，之后分為4個(gè)部分對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行了分析，最后指出了入侵檢測(cè)系統(tǒng)所使用到的方法。隨著現(xiàn)代科學(xué)技術(shù)的快速發(fā)展，近年來，神經(jīng)網(wǎng)絡(luò)、專家系統(tǒng)以及遺傳算法在入侵檢測(cè)領(lǐng)域的研究，也為入侵檢測(cè)系統(tǒng)的進(jìn)一步發(fā)展提供了廣闊的前景。

作者簡介：王鵬（1980— ），男，陜西咸陽，講師；研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用。

[參考文獻(xiàn)]

[1]牛承珍.關(guān)于入侵檢測(cè)技術(shù)及其應(yīng)用的研究[J].軟件導(dǎo)刊，2010（1）：137-139.

[2]胥瓊丹.入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2010（36）：10293-10294.

[3]吳卉男.計(jì)算機(jī)網(wǎng)絡(luò)安全中入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)[J].通訊世界，2016（1）：182.

[4]傅明麗.網(wǎng)絡(luò)安全中混合型入侵檢測(cè)系統(tǒng)設(shè)計(jì)[J].通訊世界，2016（1）：226-227.

Abstract： Intrusion detection system is developed rapidly in recent years. The previous network intrusion detection can not effectively identify the characteristic for complex data and external supply， resulting the detection accuracy is relatively low. In order to ensure the security of the network， combined with the actual work， modern technology will be applied to the network intrusion detection， which has achieved very good results. This paper studied the network intrusion detection framework model， intrusion system and method of network intrusion detection are in detail.

Key words： intrusion detection system； network intrusion； network security