探究入侵檢測技術在計算機網絡安全中的應用

徐夢萍

關鍵詞：計算機網絡安全；入侵檢測技術；應用

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2022）36-0075-03

計算機網絡技術的發展與應用對于我國社會經濟的發展有很大的促進作用，提高了個人以及企業的工作、生產效率，但同時也帶來了嚴重的網絡安全問題，如病毒入侵、黑客攻擊等多種網絡安全事故頻頻發生。網絡安全問題不僅嚴重影響著個人以及企業的經濟效益，更嚴重擾亂網絡運行環境，破壞網絡運行秩序。隨著科技的進步，各種入侵技術也在不斷更新，傳統的網絡安全防護技術，難以抵御當前網絡新病毒的惡意入侵，很難滿足當代社會發展需求，為進一步保證網絡的正常運行，更好地實現安全與穩定，因此，必須完善計算機網絡安全的入侵檢測技術[1]。

1 入侵檢測技術簡介

入侵檢測技術主要應用于對網絡系統的檢測，監督其運行過程中的異常數據和行為，其中包括軟硬件系統設備。其原理在于對于有效數據信息進行篩選和分析，并分析這些數據是否影響到網絡正常運行，進而判斷是否存在攻擊行為，當檢測到不安全行為時，則會做出相應的保護措施。其檢測原理如圖1 所示。

入侵檢測在進行攻擊行為的處理過程中，一般需要經過三個過程：①對網絡中的數據和信息進行采集；②對所采集的信息進行全面分析和整理；③通過分析結果做出適當的響應，并反饋響應的處理結果，即發出相應的報警或阻止行為，以保證網絡系統的正常運行。通常情況下，入侵檢測威脅主要從以下幾方面進行考慮。其中，外部滲透方面，主要是由于部分用戶未經過授權對各種數據出現調用的情況發生；內部滲透方面，主要為合法用戶對未授權數據進行使用的現象；濫用則是合法用戶對數據和信息的不合理使用的情況。入侵檢測技術的工作流程如圖2所示。

2 入侵檢測技術的分類

2.1 立足于網絡的入侵檢測技術

立足于網絡的入侵檢測技術能夠對網絡運行過程中的非法軟件和程序進行檢測，并將檢測狀態和檢測分析結果進行實時報告，從而最大限度減少網絡攻擊情況的發生。這種檢測技術能夠對計算機系統的多個網絡安全節點進行監督和檢測，不僅安裝方便，而且檢測效果較好。當檢測到有非法入侵或可能影響網絡安全的程序或操作時，便會進行及時的處理，能夠有效提升網絡安全檢測的效率，維護網絡環境的安全性能。由此可見，立足于網絡的入侵檢測技術具有檢測速率高、安裝成本低、安裝便捷等優點。

2.2 立足于主機的入侵檢測技術

立足于主機的入侵檢測技術就是對主機進行檢測，根據主機的故障情況以及運行速率等方面的信息來判斷是否遭受非法攻擊。在進行檢測的過程中，該檢測系統能夠對計算機的使用狀況進行全面，實時、科學地檢測監控，使得非法入侵或威脅計算機系統安全的行為或操作能夠被及時檢測出來，并能夠在主機發生故障時進行及時報警，并實施合理的防范措施，以此來保證計算機系統運行的安全性。此種檢測技術能夠為后續整個系統的建成提供基礎和便利，從而提高系統檢測效率[2]。

2.3 立足于行為的入侵檢測技術

立足于行為的入侵檢測技術，在計算機網絡安全方面發揮著至關重要的作用，通過對文件數量等問題進行檢測，及時發現各個計算機硬件的異常情況，而且當發現計算機硬件遭受攻擊或存在潛在威脅時，會及時實施合理的檢測方案，促進計算機硬件的穩定性，提高運行環境的整體安全性能。

3 系統入侵檢測技術在計算機網絡安全方面的具體表現

3.1 部分入侵數據有效收集

在技術使用中，最為重要的一個環節在于各種信息的有效收集，為保障網絡安全的穩定性，各項設備的有效運行，需要對以下幾方面著重把控：①侵入信息的真實詳情；②網絡運行過程中有效信息的掌握；③文件內容的變化信息；④系統以及網絡記錄信息。以上四個信息源的全部信息，都是入侵檢測技術使用中所必須關注，屬于重要的數據基礎，在端口測試工程中必須著重注意對相關信息的獲取。為計算機網絡運行創造一個穩定的環境，有很多檢測對象在技術使用中需要檢測次級再進行確認，以避免不良數據頻頻在互聯網中流竄的概率，減少因網絡環境混亂造成不必要的損失。因此，對于整個檢測流程，對于數據源信息進行充分比較，從而對異常數據和問題信息加以深度發掘，并施以正確的處理策略，以提升數據采集的效果與品質。

3.2 已收信息分析

相對于傳統TCP/IP網絡，網絡探測引擎在入侵探測方法中具有關鍵的作用。由于網絡探測引擎相當于傳感器，因此其探測在互聯網上流動的數據包的主要方式為旁路監控。匹配模式法和異常發現法為所收數據的兩類統計分析法。利用上述二類方法，對所有非正常進入計算機系統中的數據進行簡要統計分析，以發現其違反安全要求的情況，并及時將數據傳送給中央控制中心發布警報，從而達到專門性、智能性、可用性的入侵檢查，以維護計算機網絡信息系統和數據資料的安全性。

3.3 網絡信息響應

在為網絡創造一個良好穩定環境的基礎上，通過入侵檢測技術有利于更好地保證計算機免受入侵的危害，做出正確的處理。首先，需要將信號傳遞至控制臺，對其給出相應的預警，利用電子郵件等形式與主管安全工作的管理者進行有效聯系，保證之間的良好溝通，對于重要信息及時進行傳達，如實時呼叫的方式，降低損害；其次，采用筆錄的方式，尤其是對于現場的一些重要情況及時記錄下來，進行不斷分析，在現有的基礎上，更好地掌握此項技術，減少安全隱患；最后，對于安全問題，及時采取措施，通過應答的方式，以及指定用戶應答的嚴格程序，保障整個計算機網絡的安全。

3.4 對入侵的反擊

防火墻技術在處理周邊威脅方面，可以較好地發揮作用，但是在內部網絡中卻并不能實現更有效的控制。其問題在于，攻擊行為能夠通過網絡協議隧道，在進入時會采取躲避行為，通過各種方式必過防火墻的阻擋，從而嚴重威脅到計算機的網絡安全，基于此，需要加強防范措施，將入侵檢測系統與防火墻進行有效連接，加強二者的聯系性，以充分地發揮雙方的最大長處，從而構建成一個綜合防護體系。可從下述幾個角度進行分析：①在發送過程中需要對侵入檢測系統的端口進行控制，讓網絡防火墻技術加入進來，二者也能夠彼此溝通；②防火墻配備有過濾機制，在其功能發揮作用時，需要將其分組進行檢測，在發現有可疑數據后要及時加以辨別，并且進行刪除；③防火墻的過濾機制能夠對數據進行篩選，并且通過入侵監測技術對所涉及的信息進行檢測，對于檢測當中有不合理的地方，需要將其錄入入侵信息樣本數據庫，同時做出適當的報警反應并告知用戶，用戶實施適當的防護，進而達到數據安全的綜合防護效果[3]。

4 基于入侵檢測技術的參數優化

4.1 粒子群算法尋優思想

現階段的入侵檢測技術往往存在數據收集難度高、網絡運行時間長等問題，此類問題將直接影響到網絡負荷，易產生信息冗余現場，從而降低檢測效率、影響檢測精確度。而通過粒子群算法便能夠有效解決此問題。粒子群算法的結構更加簡單，在系統中進行深入搜索，而且更容易獲取最佳參數。在應用粒子群算法過程中，往往會定義種群中每個成員為粒子，每個粒子表示不同的可行解，并在此范圍內存在最優解[4]。通過尋找的過程將粒子的函數進行調節，并促使每個粒子的更新，完成位置和速度的不斷迭代，利用此過程促進最優解的產生。

4.2 粒子群算法流程與改進

通過對粒子群算法尋優思想的運用，便能夠有效地識別并檢測網絡系統運行過程中的異常現象，并根據數據分析結果制定相應的措施，促進網絡運行環境的安全性的提升。應用粒子群算法尋優技能能夠有效提高檢測速度，但是在參數選定方面的智能化程度明顯不足，這就需要相關技術人員首先設定算法中的參數，并根據網絡實際運行需求進行算法優化。在獲取最優解過程中，若種群數量大，則很容易獲取到最優解，但此時需要消耗較長的時間，這就需要根據實際的規模選擇適量的粒子。然后根據粒子數量設定尋找速度，并根據所收集到的信息進行全面的分析，進而判斷網絡系統中存在的具有安全隱患的行為，對此行為加以分析，確定是否存在攻擊性，進而保證網絡運行安全[5]。在進行算法位置與速度確定過程中，可以設定其隨機搜索方式，并將搜索范圍擴大，提高入侵檢測的精度。在蟻群算法的基礎之上，通過網格搜索算法獲得最合理的搜索速度和位置，將可能的組合應用到檢測模型中，并進行綜合分析，進而得到優化后的速度和位置，不僅提高了檢測的精度，更縮短了檢測的時間。

5 基于Snort 入侵檢測系統的設計與實現

5.1 網絡入侵檢測層

網絡入侵檢測層，其又稱為傳感器層，其通過傳感器對被截獲的報文實施入侵檢測，其中，傳感器由信息采集端口和控制接口構成，Capture端口不涉及IP 地址，將其設定為混合狀態，并接收所有報文。而管理端口也必須和數據庫層進行直接性地通信，并將其傳送入侵報警數據中。

5.2 數據庫服務層

因為網絡入侵檢測層的端口將向傳感器發出入侵告警數據保存到數據信息庫中，并對數據庫中的相關信息實施檢索。管理接口傳感器有效鏈接到數據庫，并啟動安全防火墻等接口，從而避免安全策略和網絡防火墻碰撞。

5.3 數據分析控制層

在數據分析控制層顯示數據，圖形化顯示需借助圖形類庫的實現，控制功能具有較為理想的全面性，在管理方面也會更加便捷。使用IE、GoogleChrome等瀏覽器，使用者能夠基于瀏覽器實現瀏覽管理功能。

5.4 軟件配置與安裝

對于WinPcap而言，其軟件配置與安裝較簡便。C：＼Snort目錄下應放置編譯完成的Snort，接著將snortrules復制粘貼于C：＼Snort目錄中。適當修改snor tu?les，并于C：＼Snort＼lib目錄下設置規則庫的位置等，此外創建一個新文件夾，將其命名為snort_dynami?crules，對其放置動態規則。之后輸入C：＼Snort＼bin>snort.exe_W，并發送命令，從而驗證安裝工作是否已經成功完成。在這一系統中，數據庫采用的是MySQL，其具有多重優勢，安裝時選擇常規方法，依照提示進行操作便可，為了便利考慮，可以將用戶密碼設定為Snort。

5.5 系統實現配置

首先，系統采用BASE登錄方式，當Snort的入侵檢測端口安裝完畢后，實時監測數據；然后，向MySQL 數據庫經數據庫系統的輸出端口發送攻擊日志；之后數據庫接口利用數據分析控制臺進行加以讀寫，并表現在BASE上。其主要展示出每天新增的告警事件數量、當前告警事件數量、攻擊源IP地址等相關信息，為此項技術的更好的應用提供有利基礎，以方便網絡安全工作的順利開展，同時還可以查看特定的告警事件信息。

6 結束語

綜上所述，為了網絡信息的安全可靠性，需要充分應用入侵檢測技術，提高入侵檢測的技術水平對當代社會發展有著重要的意義。在未來發展中，將入侵檢測技術與數據挖掘技術進行深度融合，使其能夠充分運用于真實場景中，相關研究人員需繼續對IDS進行研究，從而保證工作中展現出更為突出的效能，發揮此項技術的最大價值。