探析計算機網絡安全的入侵檢測技術

鹿鳴

（陜西國防工業職業技術學院，陜西西安，710300）

1 入侵檢測技術

第一，入侵檢測技術的概念。計算機的運行前提是網絡安全環境，當計算機受到惡意攻擊、操作失誤等不安全因素時，可能會出現計算機程序運行異常、數據丟失等現象。而計算機網絡的入侵檢測技術就是指當受到不安全因素時能夠有效的隔離、刪除潛在的病毒及惡意攻擊代碼，進而提高計算機網絡系統抵御外來攻擊能力的相關技術。其能夠及時檢測出計算機網絡出現的安全問題,及時告知防火墻系統與其結合輔助抵抗入侵，總體上講，入侵檢測技術的應用能夠彌補計算機防火墻技術工作中存在的不足問題。

第二，入侵檢測技術的原理。入侵檢測技術通過監聽、識別、記錄、分析系統及用戶行為，將異常行為及問題向相關程序發出預警。計算機網絡的入侵檢測系統工作前會對其安全模式進行識別、掃描，在入侵檢測系統工作中可發揮有效的監聽、記錄作用，不斷的積累所監聽記錄到的信息，達到一定量時系統會對其數據進行自動分析，并與安全模式進行對比，進而可識別出可能存在的安全風險，并對異常問題發出預警。

2 入侵檢測技術的類型及存在問題

第一，異常檢測技術。異常檢測技術是一種基于行為進行檢測的方法，其通過付使用者使用的資源、行為進行分析，在通過與設置可保證計算機正常運行系統的硬盤空間、內存利用率等數據進行比較，根據與正常數據的偏離情況做出判斷。異常檢測技術觀察的對象不是已知的入侵行為，而是對計算機運行中出現的異常狀況（常見的有外部闖入、內部滲透、資源應用不恰當）進行監測分析。

異常檢測技術的檢測依據是網絡界定參考閾值及特征量，在其應用前要對保證網絡安全正常行為的界定范圍、行為特點進行了解，在根據實際情況分析差別，因此網絡特征量、界定參考閾值的選擇是很關鍵的，確保代表性、價值性存在的同時要防止冗余特征量的發生；在界定參考閾值時要注意范圍大小的合理性，提網絡入侵檢測結果的準確性。

異常入侵檢測技術對檢測系統的要求較高，其需具備強大的處理功能，但是在使用中仍然存在著許多問題：首先是如何有效通過數據來表示用戶的正常行為的同時降低獲取、處理數據的難度，通過不斷對系統、用戶的行為進行改變可保證正常模式的時效性，因此其需要持續更新。但是當處在持續更新中，用戶行為突然發生改變時會增加誤報問題的發生，降低了監測結果的準確性。其次存在問題較多的是網絡界定參考閾值的合理確定，當設定值過高時，其會增加漏報問題的發生，當設定值過低時，其會增加誤報問題的發生，導致不能全面的描述系統中所有用戶的行為，加上用戶頻繁的發生動態改變時，導致出現的系統誤報率較高。最后是體現在檢測時間上，其檢測方法的時間較長，且無法保證系統在訓練中的正常運行。當系統處于訓練狀態時，其通過對用戶模型的不斷更新來使入侵行為轉變成為正常行為，當其設定為正常模式時其會對降低對異常行為監測的準確性。

第二，誤用入侵檢測技術。誤用入侵檢測技術是收集可干擾計算機正常運行的不安全因素，在出現入侵情況后將其與已收集的情況、行為進行分析，當入侵的情況與參照的情況相匹配時，可判斷計算機網絡受到安全入侵行為，反之不匹配時則在判斷計算機網絡處在安全的環境中，因此可以看出檢測結果、技術的準確性受到構造模式的影響。

誤用入侵檢測技術分為基于鍵盤監控、條件概率、狀態遷移分析的入侵檢測，其優勢是能夠依據入侵特點來構建模式庫，并對入侵特點進行發現、收集，實現檢測入侵行為的同時避免計算器網絡受到同樣的入侵攻擊。但是在實際誤用入侵檢測技術的應用中仍然存在著不足之處，首先是該種檢測技術只能檢測已知的入侵行為，受到入侵模式庫的局限而不能檢測未知攻擊，同時也不能檢測已知攻擊形式的變化。其次是誤用入侵檢測技術的實施前提是具備完善的入侵模式庫，及時更新出現的新入侵方法，因此其維護的工作量也較大。

3 計算機網絡安全的入侵檢測技術的應用及意見

第一，收集信息工作。在實際工作前應該完成入侵檢測技術的信息收集工作，通常包括系統、網絡日志中的數據、文件中改變的數據、應用程序執行時產生的數據、物理形式侵入的數據,其包含的四個數據源是入侵檢測技術在進行端口調試中要收集的內容。為了保證計算機系統的安全，在收集數據源時需要對檢測對象進行反復確認,確保收集的數據源中無異常信息的出現。

第二，分析并處理信息工作。入侵檢測系統收集完信息數據后就需要進行數據的分析、處理工作，在實際工作中多應用模式匹配模式、異常情況分析模式，識別、處理存在問題及安全隱患的數據源，并向信息管理器傳達處理后的結果,管理器進行最后的分析。信息的分析、處理具有規范化、標準化的特征,可妥善處理計算機網絡中存在的安全問題,網絡技術對問題進行自行分析后并傳達給控制器，進而可入侵檢測技術的智能化、專業化，保證計算器網絡的安全性。在信息數據處理問題的過程中,對信號的讀取、解析通常均是單一性質的,但是在入侵檢測技術中的處理中，有異常問題的信息數據會在系統中及時告知,將處在實時監控下的異常信息以日志的形式被記錄,直至存在的問題被入侵檢測系統處理排除。

第三，響應信息及應用于防火墻系統技術。響應信息是指入侵檢測系統對異常信息及行為作出的合理化反應，其會依據信息實時變化的狀態來查看會話記錄，并將信息上報給控制臺來對異常的信息進行優化處理。防火墻技術是計算機中多用的一種應用層、網絡層的控制技術，通過應用防火墻技術能夠有效保護用戶電腦中的數據資源。在通常的情況下，網絡入侵進行的攻擊行均會被防火墻所阻擋。但是隨著科學技術的不斷進步，網絡入侵技術也在不斷的升級,應用傳統、單一的防火墻技術已經不能滿足計算機用戶的實際需求,因此在后期入侵檢測技術的應用中應當將其入侵檢測技術、防火墻技術進行實踐結合，確保防火墻發揮過濾機制的同時發揮人侵檢測技術清除攻擊性數據的能力。

第四，優化入侵檢測技術，加深與其他新興技術的融合。舉例來說，大數據時代背景下，云計算、分布式計算、數據挖掘等智能化的計算、處理方式出現，將云計算技術與網絡入侵檢測技術結合可節約空間、降低檢測成本；將分布式計算技術與網絡入侵檢測技術結合可分解復雜的問題，提高檢測的全面性。

4 結語

隨著信息化網絡技術的不斷進步，大數據在我國各個領域中發揮重要的作用,在給人們帶給改變的同時計算機網絡安全問題也日益突出，因此深化入侵檢測技術的研究及技術，可有效保證數據庫中信息的安全性，進而促進我給計算機網絡事業的長期發展。