入侵檢測技術在計算機網絡安全維護中的應用

舒豫 楊林

（宜春市公安局科技信息通信支隊 江西省宜春市 336000）

最近幾年，伴隨著公安工作科信息化建設的持續深入，計算機網絡技術在公安工作領域得到了越發廣泛的應用，推動公安事業穩定發展的同時，對公安系統的信息安全提出了更加嚴格的要求。入侵檢測技術能夠為計算機網絡提供相應的保護，將其應用到計算機網絡安全維護中，能夠切實提高網絡的安全性。

1 入侵檢測技術概述

入侵檢測技術是以保障計算機系統安全而設置的一種計算機技術，能夠發現并報告計算機系統中出現的未經授權現象或者異常狀況，能夠幫助工作人員對計算機網絡中存在的，違法相關安全策略的行為進行檢測。入侵檢測技術實現的方法有很多，如基于專家系統的入侵檢測、基于神經網絡的入侵檢測等，一般情況下，入侵檢測都是通過執行相關任務的方式來實現，具體包括：

（1）對計算機用戶的行為以及計算機系統的活動進行全面監視和分析；

（2）對計算機系統的構造和存在的薄弱環節進行審計；

（3）對已知進攻活動模式進行識別和反映，并且相關相關人員發出報警信息；

（4）對計算機系統的異常行為模式進行統計和分析；

（5）對重要系統以及相關數據文件的完整性進行評估；

（6）對計算機操作系統進行相應的審計跟蹤管理，準確識別用戶在操作系統過程中存在的違反安全策略的行為。

入侵檢測技術模型可以分成兩種：一種是異常檢測模型（AnomalyDetection），主要是對計算機系統本身行為與可接受行為之間存在的偏差進行檢測。若能夠對每一項可接受行為進行定義，則對應的不可接受行為就是入侵。在異常檢測模型中，需要先對正常操作應該具備的特征進行總結，形成相應的用戶輪廓，一旦發現用戶活動和正常行為產生重大偏離，則認為出現了入侵。這種檢測模型的漏報率較低，但是誤報率高，在實際應用中，并不需要針對每一種入侵行為進行定義，因此能夠比較有效的監測未知入侵；另一種是誤用檢測模型（MisuseDetection），該模型主要是檢測計算機行為和已知不可接受行為之間的匹配度，若對所有不可接受行為進行定義，則每一種能夠與之匹配的行為都會引發告警。通過對非正常操作行為特征的收集，可以建立起相應的特征數據庫，一旦檢測到用戶行為或者系統行為與特征數據庫中的記錄匹配，則會自動認定該行為為入侵。誤用檢測模型的誤報率低，不過漏報率高，在面對已知類型的攻擊時，能夠精準詳細地報告出攻擊類型，但是在面對未知攻擊時，效果十分有限，同時想要保證模型的應用效果，需要不斷對特征數據庫進行更新。

2 計算機網絡入侵的形式

2.1 病毒入侵

病毒入侵是互聯網中最為常見的入侵形式，主要表現在瀏覽器入侵，病毒會隱藏在部分瀏覽器網頁或者應用中，當用戶訪問時，會在系統中植入病毒，以相應的程序指令或者代碼為依據，記錄、復制或者修改、刪除系統文件的內容，使得計算機運行出現錯誤，威脅計算機的使用安全。

2.2 防火墻入侵

防火墻本身是計算機網絡中最為常見的防御形式本身的防御性很強，但是在實際應用中也存在一定的缺陷和問題，導致用戶在訪問外部網絡的過程中，可能遭遇病毒或者黑客的入侵問題。

2.3 身份入侵

在計算機網絡運行中，網絡服務的獲取一般需要用戶發送相應的指令，由防火墻對用戶身份進行識別后，設置對應的訪問權限。而部分黑客可能會偽造用戶身份對網絡進行訪問，借助用戶的身份甚至管理員身份來獲取較高的權限，對系統數據進行盜取、更改或者刪除，嚴重威脅網絡安全。

2.4 拒絕服務攻擊

拒絕服務攻擊會對網絡帶寬或者網絡設備的內存產生占用，繼而導致系統停止響應甚至崩潰。拒絕服務攻擊的方式有兩種，一種是對系統內部的資源進行破壞，影響用戶的使用，如破壞或者摧毀信息，刪除文件，對磁盤進行格式化等；另一種是消耗資源或者過載系統服務，導致其他用戶無法使用該服務。這兩種情況多是用戶錯誤或者程序錯誤導致，并不是針對性攻擊，真正針對計算機網絡的拒絕服務攻擊包括了消息流攻擊、服務過載攻擊、SYN Flooding攻擊以及Mailbomb 攻擊等。

3 公安計算機網絡存在的安全問題

3.1 移動存儲管理不當

當前，公安部門對于移動存儲介質的管理不到位，公安民警尤其是很多基層民警在工作中，經常會出現將同一個移動存儲介質在公安內網和互聯網之間共用，進行數據下載或者傳輸，這種情況下，很容易將互聯網中的病毒和木馬程序代入到公安內網中。同時，也有部分公安機關工作人員缺乏信息安全意識，在一些存儲有機密信息的移動存儲介質損壞后，將其送到外部的維修機構進行維修，甚至存在著隨意出借涉密信息移動存儲介質的行為，嚴重影響了計算機網絡信息安全。

3.2 系統賬號管理不嚴

對系統賬號進行嚴格管理，可以避免計算機網絡信息竊取泄密風險，不過從目前來看，公安部門計算機網絡信息保密管理中，一般只是強調對涉密文件的內容保密，缺乏對用戶賬號的嚴格管理，雖然上級公安部門對公安內網信息的查詢、數據錄入等環節引入了數據證書，但是其并沒有能夠取得理想的效果，部分基層民警沒有認識到其重要性，而且為了方便記憶，沒有對數據證書的密碼進行更改，在部門內部共同使用初始密碼，安全性大大降低。

3.3 技術保障投入不足

計算機網絡信息安全涉及硬件和軟件兩個層次的內容，對于硬件而言，因為資金投入不足，不少基層公安部門的計算機系統中并沒有安裝存儲介質消磁、防電磁輻射屏蔽等專業設施，對于一些出現故障的設備，公安機關也無法自行處理，需要送到外部維修機構進行維修，容易出現信息泄露風險；對于軟件而言，公安內網中使用的計算機沒有配置最新的殺毒軟件和防火墻，在面對病毒和木馬程序的入侵時，無法起到預期的防護效果。

4 入侵檢測技術在計算機網絡安全維護中的應用

4.1 明確技術應用流程

從目前來看，因為計算機網絡安全維護工作以往采用的都是被動式的維護方式，在出現問題后才去進行分析和解決，入侵檢測技術在工作中應用的時間很短，因此很多時候，只是借助單一的數據收集和整理來確定是否存在有網絡入侵行為并對其進行解決，以提高系統的完整性和安全性。結合當前的實際情況，計算機網絡中依然存在很多安全漏洞，為了對這些問題進行解決，在將入侵檢測技術引入到計算機網絡安全維護環節的同時，也應該做好相應的知識庫建設，針對系統操作歷史行為進行分析，收集入侵操作的特定行為模式，對照其他相關因素實施入侵檢測分析，提出具體明確的網絡安全策略。入侵檢測技術應用流程如圖1 所示。從技術人員的角度，在開展網絡安全維護的過程中，可以利用入侵檢測分析引擎來對系統和用戶的行為進行檢測，將檢測結果和相應的安全策略對比，判斷是否存在有入侵行為。如果不存在，會重復行為分析-策略對比這一循環，為計算機網絡的運行安全提供良好支撐。在實際操作中，還必須針對檢測到的入侵信息進行準確記錄，及時提醒管理人員進行處理，最大限度地保障系統安全。

4.2 關注技術應用要點

4.2.1 做好信息收集

在針對相關信息進行收集的過程中，應該對數據源進行分析，保證數據收集的全面性和有效性，并對數據進行分類處理，從中選擇計算機網絡的日志數據以及系統文件變化數據，將其作為入侵檢測的重要依據。考慮到數據信息的類型多種多樣，技術人員在對入侵檢測技術進行應用時，應該做好IDS 代理的合理設置，進一步提升信息采集的效率和效果，搭配集線器來強化網段連接。網絡接入環節，可以利用交換機芯片接口進行調試，一些重要數據輸入輸出接口還需要設置入侵檢測裝置，以保證數據收集的有效性。對于網絡中存在的關鍵節點，需要對照具體的檢測目標，確定好入侵檢測的范圍。從實際操作的角度，技術人員可以選擇相應的孤立點挖掘算法，從海量數據信息中，提取出不常見的數據信息，對這些信息進行單獨處理，為入侵檢測引擎的穩定高效運行提供良好支撐。

4.2.2 做好信息分析

計算機網絡數據傳輸采用的多是TCP/IP 協議，這種傳輸控制系統十分復雜，同時也要求技術人員能夠掌握，這樣在應用協議的過程中，能夠及時發現數據傳輸問題，對問題進行分析和解決，確保數據可以安全地抵達目標地點。對于技術人員而言，在監測網絡數據包的過程中，必須對入侵監測引擎的作用進行明確，必要時對數據旁路進行監聽，這樣可以在第一時間發現系統中存在的異常數據，并且發出警示信息，提醒網絡安全維護人員進行處理。而在針對數據信息進行分析時，比較常用的方式和手段，包括異常發現、模式匹配等，其能夠幫助工作人員發現網絡中存在的安全隱患，確保其及時對異常數據進行分析和處理。在實踐環節，入侵檢測信號的處理非常關鍵，處理前需要對監測數據進行處理，將之存入系統日志文件，以免處理過程中錯誤的修改正常數據。

4.2.3 做好信息響應

在做好必要的網絡入侵檢測工作滯后，要求IDS 代理可以及時響應。計算機網絡中設置IDS 的主要目的，是檢測本地網段，依照相應的數據分析結果，對網絡系統中存在異常的數據包進行查找和分析，找出網絡入侵行為并對其進行處理。而從系統能夠做出的響應分析，信息響應包含了網絡引擎通知及告警，例如，可以向控制中心發出告警信息，通過電子郵件等方式，向負責人發送網絡安全警告。通過實時通話的方式，信息響應也可以引導控制中心在第一時間查看告警信息，做好現場記錄工作，利用安全事件和會話過程記錄來確保計算機網絡安全維護工作的順利實施。從實際操作的角度，入侵檢測就似乎的應用，的確能夠發現計算機網絡中存在的異常數據和異常行為，但是在信息響應方面，依然需要提前做好入侵程序的編寫，保證程序和安全策略逐一對應，為計算機網絡安全維護提供可靠的技術支撐。

4.2.4 做好安全隔離

在計算機網絡安全穩定運行中，防火墻能夠有效的阻止外部入侵行為，在配合入侵檢測技術的情況下，能夠實現對網絡風險的有效防范。以此為基礎，可以啟動防火墻來控制網絡層和應用層訪問，將雙方優勢充分發揮出來。在實際操作中，入侵檢測技術的應用還應該依照約定好的規則，做好必要的開放接口設計工作，通過這樣的方式，可以在約定規則的影響下，實現防火墻和入侵檢測裝置之間的信息交流與傳遞，確保端口設置的合理性。防火墻可以對照制定好的相關規則，就入侵檢測系統傳輸的數據包進行分析，從中剔除無法滿足相應授權要求的數據，并且基于濾除后的數據包，構建入侵信息樣本數據庫，對一些不符合規則的數據信息，需要發出警示響應，引導用戶采取有效的防護措施來切實保障網絡數據信息安全。

5 結語

總而言之，信息化時代背景下，計算機網絡安全維護工作非常重要，對于公安部門而言，需要對潛在的網絡風險有清晰的認識，明確計算機網絡安全管理中存在的各種問題，將入侵檢測技術應用到計算機網絡安全維護工作中，把控好系統數據信息，確保有價值的信息能夠被順利接入到系統中，規避非法入侵問題。以入侵檢測技術為支撐，網絡防火墻可以將自身的功能充分發揮出來，增強計算機整體的安全性，實現網絡技術在公安機關的合理應用。