入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究

◆張 楊

（四川師范大學(xué) 四川 610068）

入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究

◆張 楊

（四川師范大學(xué) 四川 610068）

現(xiàn)如今，計(jì)算機(jī)技術(shù)在各行業(yè)的應(yīng)用很廣泛，有許多重要的業(yè)務(wù)信息是直接通過計(jì)算機(jī)進(jìn)行信息傳遞和儲(chǔ)存的。在這個(gè)過程中，如果有人惡意對(duì)業(yè)務(wù)信息進(jìn)行攔截或者篡改，則業(yè)務(wù)信息就沒有了價(jià)值，嚴(yán)重情況下，會(huì)使企業(yè)經(jīng)營不良，直至倒閉。所以網(wǎng)絡(luò)安全技術(shù)人員要加強(qiáng)對(duì)入侵檢測(cè)技術(shù)的研究，技高一籌，有效防范和解決信息安全風(fēng)險(xiǎn)隱患。

入侵檢測(cè)；網(wǎng)絡(luò)安全；信息安全

0 引言

入侵檢測(cè)技術(shù)發(fā)揮功效，主要借助入侵檢測(cè)系統(tǒng)。目前的入侵檢測(cè)技術(shù)還是存在一定缺陷的，對(duì)網(wǎng)絡(luò)安全維護(hù)作用是有限的，在使用中，應(yīng)針對(duì)漏洞采取應(yīng)對(duì)措施。本文主要針對(duì)入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用進(jìn)行研究。

1 入侵檢測(cè)系統(tǒng)的分類

入侵檢測(cè)系統(tǒng)是針對(duì)網(wǎng)絡(luò)入侵技術(shù)而出現(xiàn)的，主要有兩種，分別是檢測(cè)、防御[1]。檢測(cè)系統(tǒng)就是對(duì)計(jì)算機(jī)所有的軟硬件中的信息進(jìn)行維護(hù)與監(jiān)控，能隨時(shí)對(duì)系統(tǒng)是否出現(xiàn)病毒進(jìn)行檢查，并在用戶下載可疑軟件時(shí)，給出相關(guān)的提醒，并能在入侵者發(fā)起攻擊時(shí)，給其發(fā)出警告，并對(duì)用戶發(fā)出警報(bào)。這種入侵檢測(cè)系統(tǒng)在計(jì)算機(jī)中的應(yīng)用，使系統(tǒng)能正常運(yùn)行，不會(huì)出現(xiàn)癱瘓問題，信息的交流傳遞與保存也能得到保障。但是這種系統(tǒng)受網(wǎng)絡(luò)總系統(tǒng)的限制，如果總系統(tǒng)出現(xiàn)紕漏，這種檢測(cè)技術(shù)阻攔入侵者的力度就會(huì)降低，即使和計(jì)算機(jī)的防火墻技術(shù)共同發(fā)揮作用，信息系統(tǒng)的運(yùn)行依舊會(huì)處于不安全狀態(tài)。入侵防御系統(tǒng)因此產(chǎn)生，經(jīng)這種系統(tǒng)掃描的信息數(shù)據(jù)塊，都會(huì)被納入到其監(jiān)控范圍中，能對(duì)其安全狀態(tài)進(jìn)行深度掃描與檢測(cè)，并準(zhǔn)確判斷其安全狀態(tài)，在完整的信息數(shù)據(jù)塊進(jìn)行交流傳遞時(shí)，發(fā)揮功能，保持信息的完整性。在有害的信息數(shù)據(jù)塊攻擊網(wǎng)絡(luò)時(shí)，它能對(duì)整個(gè)網(wǎng)絡(luò)起到保護(hù)作用，并將其阻擋在系統(tǒng)之外，使其不會(huì)破壞系統(tǒng)，使系統(tǒng)保持正常運(yùn)行。

這兩種系統(tǒng)雖然都能對(duì)計(jì)算機(jī)系統(tǒng)起到保護(hù)作用，但是二者的側(cè)重點(diǎn)是不同的。入侵檢測(cè)系統(tǒng)側(cè)重點(diǎn)在檢測(cè)，防御系統(tǒng)側(cè)重點(diǎn)是在檢測(cè)后對(duì)其進(jìn)行防御。前者是不具備防御功能的，主要靠用戶及時(shí)發(fā)現(xiàn)，及時(shí)阻擋入侵，但是有很多用戶的計(jì)算機(jī)技術(shù)水平是有限的，阻擋不住入侵者的腳步[2]。后者具有自主性，能自行判斷信息是否安全，自行啟動(dòng)防御系統(tǒng)，適用防御技術(shù)，能最大程度上保障信息安全。

2 入侵檢測(cè)技術(shù)存在的問題

主要有五方面：

（1）入侵檢測(cè)系統(tǒng)發(fā)揮作用的范圍是有限的，只是對(duì)與之相接的網(wǎng)段通信的安全發(fā)揮檢測(cè)作用，在整個(gè)計(jì)算機(jī)系統(tǒng)中，如果監(jiān)測(cè)系統(tǒng)作用范圍外的網(wǎng)段出現(xiàn)漏洞，則會(huì)成為眾矢之的，給攻擊者可乘之機(jī)。要解決這種問題，就得使計(jì)算機(jī)整個(gè)系統(tǒng)處于檢測(cè)系統(tǒng)監(jiān)測(cè)范圍內(nèi)，這就需要借助傳感器。傳感器的作用范圍是有限的，只能增加其數(shù)量，來將整個(gè)系統(tǒng)囊括在傳感范圍內(nèi)。信息安全是得到了保證，相應(yīng)的成本就失控了[3]。

（2）入侵檢測(cè)方法有好幾種，比較常用的就是特征檢測(cè)法，這種方法價(jià)值是有限的，即使發(fā)揮全部作用，也不能阻擋技術(shù)高超的入侵者的攻擊。

（3）某些特定的數(shù)據(jù)包處于入侵檢測(cè)系統(tǒng)作用范圍內(nèi)時(shí)，會(huì)隨著檢測(cè)系統(tǒng)對(duì)相關(guān)信息數(shù)據(jù)的檢測(cè)掃描，會(huì)產(chǎn)生分析數(shù)據(jù)，這些數(shù)據(jù)是檢測(cè)系統(tǒng)進(jìn)行信息安全狀態(tài)判定的重要依據(jù)，但是這種數(shù)據(jù)多了，積累起來，會(huì)占用系統(tǒng)的分析空間，進(jìn)而使系統(tǒng)不能保持原來的性能和工作狀態(tài)，系統(tǒng)檢測(cè)功能發(fā)揮程度會(huì)降低。

（4）一些重要的信息數(shù)據(jù)塊在傳遞的過程中，不管是文字信息轉(zhuǎn)化的數(shù)據(jù)還是語音及視頻轉(zhuǎn)換的數(shù)據(jù)，檢測(cè)系統(tǒng)不能百分百保證傳遞安全。相關(guān)人員還要對(duì)這其中的加密技術(shù)進(jìn)行研究，使信息在加密通道傳遞時(shí)，能處于安全狀態(tài)。

（5）檢測(cè)系統(tǒng)的檢測(cè)作用有效，防御功能為零，如果不能將其與防火墻結(jié)合到一起，只依賴用戶防御，效果是低下的，所以要將其的檢測(cè)功能與防火墻的防御技術(shù)結(jié)合在一起，其作用以及作用時(shí)間雖然有限，但能阻擋比較低級(jí)的攻擊，所以還要加快入侵防御系統(tǒng)的研究與使用。

計(jì)算機(jī)入侵防御技術(shù)正在日臻完善中，相關(guān)部門集合多種力量，以防御技術(shù)比入侵技術(shù)技高一籌為目標(biāo)，共同對(duì)其加強(qiáng)研究，防御技術(shù)研究終會(huì)有突破的。

3 入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

3.1 基于網(wǎng)絡(luò)的入侵檢測(cè)

基于網(wǎng)絡(luò)的入侵檢測(cè)主要通過對(duì)軟硬件的信息安全狀態(tài)進(jìn)行檢測(cè)，作用對(duì)象分別是軟硬件，分別對(duì)應(yīng)相關(guān)的入侵檢測(cè)。雖然作用對(duì)象不同，但是檢測(cè)的步驟及原理是有共同之處的。它們?cè)诠ぷ鲿r(shí)，通過以混雜模式為主的網(wǎng)絡(luò)接口，對(duì)所有的報(bào)文進(jìn)行處理，使其通過感應(yīng)系統(tǒng)，進(jìn)入入侵分析引擎中，這種引擎中的相關(guān)構(gòu)造會(huì)對(duì)所有的信息數(shù)據(jù)進(jìn)行分析，判斷其是否處于安全狀態(tài)的依據(jù)是規(guī)則庫中的攻擊信息特征，只要進(jìn)行分析的信息有一點(diǎn)符合攻擊信息，系統(tǒng)的相關(guān)構(gòu)造就是將該信息傳遞到管理或配置構(gòu)造，由這種構(gòu)造發(fā)出攻擊信號(hào)，響應(yīng)模塊在接收到這種信息后，會(huì)給用戶發(fā)出警報(bào)。這一系列的工作流程都是在短時(shí)間內(nèi)發(fā)生的，只有每個(gè)環(huán)節(jié)的信息處理速度快，才能在第一時(shí)間攔截住攻擊信息[4]?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)如圖1所示。

圖1 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

3.2 對(duì)于主機(jī)的入侵檢測(cè)

基于主機(jī)的入侵檢測(cè)在網(wǎng)絡(luò)安全維護(hù)中也起著很重要的作用，這種檢測(cè)的對(duì)象主要側(cè)重于主機(jī)，主機(jī)的安全性會(huì)關(guān)系到系統(tǒng)運(yùn)行以及網(wǎng)絡(luò)連接狀況，所以主機(jī)檢測(cè)主要以這兩項(xiàng)內(nèi)容進(jìn)行檢查，前者主要檢查的是系統(tǒng)審計(jì)日志，后者是網(wǎng)絡(luò)實(shí)時(shí)連接信息，如果這兩者的信息安全狀態(tài)都符合要求，則證明主機(jī)是安全的。對(duì)主機(jī)進(jìn)行實(shí)時(shí)檢測(cè)，可以使操作系統(tǒng)免于癱瘓，使用戶在進(jìn)行下載或接收惡意報(bào)文時(shí)，能及時(shí)給予提醒。會(huì)使其他系統(tǒng)保持正常運(yùn)行狀態(tài)，使信息在處理的過程中，一直保持完整狀態(tài)。計(jì)算機(jī)網(wǎng)絡(luò)有時(shí)會(huì)成為有害信息或病毒的侵入點(diǎn)，主機(jī)檢測(cè)可以使網(wǎng)絡(luò)防御功能加強(qiáng)，從而使信息安全得到保障。在網(wǎng)絡(luò)中有一些操作自動(dòng)性非常強(qiáng)，超過用戶的反應(yīng)速度，最終導(dǎo)致病毒成功入侵網(wǎng)絡(luò)系統(tǒng)，主機(jī)檢測(cè)就可以避免這個(gè)問題，它會(huì)攔截并發(fā)出紅色預(yù)警，并自動(dòng)采取阻攔措施[5]。另外，在對(duì)系統(tǒng)日志進(jìn)行審查的過程中，同時(shí)會(huì)在相關(guān)位置保存所有日志，作為備份。主機(jī)檢測(cè)系統(tǒng)功能是很多，但作用范圍是受到限制的，與其他的檢測(cè)方式一樣，也是通過增加輔助設(shè)備，才能覆蓋整個(gè)系統(tǒng)，這樣做有利有弊，會(huì)增加成本，抑制主機(jī)入侵檢測(cè)系統(tǒng)功能發(fā)揮，但作用范圍會(huì)變大，相關(guān)人員要權(quán)衡利弊。基于主機(jī)的入侵檢測(cè)系統(tǒng)如圖2所示。

圖2 基于主機(jī)的入侵檢測(cè)系統(tǒng)

3.3 入侵檢測(cè)技術(shù)的體系結(jié)構(gòu)

主要指的是基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)的體系結(jié)構(gòu)，其組成部分在運(yùn)行時(shí)，要按照統(tǒng)一的工作流程來執(zhí)行檢測(cè)命令。體系結(jié)構(gòu)主要有三部分組成，分別是Agent、Console、Manager，這三部分在信息處理過程中是協(xié)作關(guān)系，各司其職，共同將惡意信息找出來。按照操作流程，Agent在信息收集監(jiān)控過程中，將普通信息過濾出去，留下可以信息傳遞到相關(guān)的管理或配置器中。Console和Agent作用差不多，也是對(duì)信息進(jìn)行處理，將有害信息以及判斷依據(jù)傳遞到管理或配置器中。Mananger可以譯為管理者，主要對(duì)攻擊信息作出最終的處理，命令警報(bào)系統(tǒng)發(fā)出警報(bào)。

3.4 入侵檢測(cè)技術(shù)的工作模式

由于計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)作用范圍的局限性，要使所有信息都處于檢測(cè)監(jiān)控中，需要對(duì)不同網(wǎng)絡(luò)結(jié)構(gòu)的信息設(shè)置不同的入侵檢測(cè)代理，輔助主體的入侵檢測(cè)系統(tǒng)將信息集中起來處理。檢測(cè)代理不同之處主要體現(xiàn)在連接方式上，連接方式有幾種，如總線式的集線器、太網(wǎng)交換機(jī)等。集線器本身具有媒體共享的條件，即與代理進(jìn)行有線連接的端口，如此，代理就能處于工作模式中，使對(duì)應(yīng)部分的信息處于監(jiān)控中。交換機(jī)要想發(fā)揮信息監(jiān)控功能，先要將交換機(jī)的核心芯片與調(diào)試端口結(jié)合起來，共同發(fā)揮作用，將組合體置于能獲得關(guān)鍵信息的地方，實(shí)驗(yàn)證明，這種信息監(jiān)控方式是有效的[6]。

4 結(jié)語

入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用也會(huì)越來越廣泛，其檢測(cè)技術(shù)也會(huì)日臻完善，以應(yīng)對(duì)日益成熟的入侵攻擊技術(shù)，相關(guān)部門應(yīng)該加大對(duì)入侵檢測(cè)技術(shù)的研究資金投入力度，使檢測(cè)防御技術(shù)能勝任網(wǎng)絡(luò)安全維護(hù)工作。?

[1]楊瑞.入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究[J].數(shù)字技術(shù)與應(yīng)用，2016.

[2]劉成.試論入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.

[3]樊瑞桃.入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].內(nèi)蒙古科技與經(jīng)濟(jì)，2012.

[4]莫新菊.入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012.

[5]王艷華，馬志強(qiáng)，臧露.入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用與研究[J].信息技術(shù)，2010.

[6]彭文靈，張忠明.入侵檢測(cè)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究[J].贛南師范學(xué)院學(xué)報(bào)，2013.