計算機網絡安全入侵檢測技術研究分析

關鍵詞： 計算機網絡安全 入侵檢測技術 隔離機制 智能檢測

入侵檢測并非一項技術，而是一類技術的總稱，是指通過對行為、安全日志、審計數據或其他網絡上可以獲得的信息進行分析、辨識等操作，檢測到對系統的闖入或闖入的企圖，并加以技術處理。軟件和硬件結合后的入侵檢測系統（Intrusion Detection System），是目前計算機系統防御入侵的主要屏障。我國以《中華人民共和國網絡安全法》等規范計算機網絡安全管理工作，也明確支持、鼓勵入侵檢測技術發展[1]。

1 計算機網絡安全與入侵檢測技術概述

廣義上的計算機網絡安全包括信息安全、軟硬件安全等，狹義上的計算機網絡安全則專指網絡層面的信息安全、數據安全，文章取其狹義進行研究。隨著互聯網、計算機、智能終端、通信技術的發展和普及，各類網絡用戶數量大大增加，我國網民總數已經超過8.2 億人（截至2021 年底），如此龐大的用戶群體也滋生出嚴峻的網絡安全問題[2]。

入侵檢測技術可以在一定程度上應對網絡安全威脅，保證計算機與用戶信息、數據的安全[3]。當前，常用的防御系統工作技術包括基于專家系統的入侵檢測技術、基于神經網絡的入侵檢測技術等。

2 計算機網絡安全入侵檢測技術的不足

2.1 反應速度偏慢

當前計算機網絡安全入侵檢測技術的不足之一，是反應速度較慢。從特點上看，嘗試侵入計算機系統的威脅多是一瞬間造成感染，如潛伏在互聯網資源池中的病毒，在網絡連接完成的一瞬間（不區分有線和無線）就可以造成病毒的復制和感染，而計算機往往需要在感染產生后才能做出反應，一些性能不佳、防護能力較差的計算機，甚至需要在病毒造成負面影響、破壞產生后才能做出反應，這將導致用戶資料、信息的安全性面臨威脅[4]。

2.2 工作存在滯后性

因為很多木馬病毒、網絡威脅和破壞的表現形式是多樣的，黑客也會在攻擊手段被持續攔截后轉而尋求新技術侵入計算機，這些變化往往不能在早期被入侵檢測到，可能造成破壞，也有可能被防火墻、防護軟件隔離在外網和計算機之間，潛伏于計算機中，當計算機出現漏洞時，其仍有可能對計算機進行攻擊[5]。

2.3 不能辨識加密文件

與顯性攻擊不同，很多嘗試破壞計算機系統、竊取資料的入侵行為具有很強的隱蔽性，部分木馬病毒、植入性程序，可能以加密文件的形式存在，這些風險文件可能被隔離在計算機系統之外，也可能無法被辨識從而進入計算機，當人員完成文件解密后再對計算機進行攻擊[6]。

3 計算機網絡安全入侵檢測技術的優化思路

3.1 采用聯合作業機制

計算機網絡安全入侵檢測技術的優化，可以嘗試多技術手段的聯用。可在工作中嘗試對基于專家系統的入侵檢測技術、基于神經網絡的入侵檢測技術、智能檢測技術等進行部分融合。例如：基于神經網絡的入侵檢測技術和智能檢測技術的聯用，前者以分布廣泛的神經元提升攔截工作的覆蓋率，后者提升了攔截的準確性，能夠改善計算機網絡安全入侵檢測技術的工作能力，保證計算機網絡安全。

3.2 加強特異性分析

未來的計算機網絡安全入侵檢測技術可嘗試加強特異性分析，根據特異性分析結果確定防御機制、提升入侵檢測成果。以木馬攻擊為例，所有木馬在短時間內的表現都是相似的，只要其滿足特異性表現標準或接近特異性表現標準，即可組織攔截和處理，降低其侵入計算機的可能性，體改系統對安全風險特異性的識別能力。

3.3 采用臨時隔離機制

加密文件識別的難度在于加密系統為其提供了一層缺乏特異性表現的保護層，而計算機防御系統往往不能透過保護層進行內部信息的研究、分析，包括目前常用的基于專家系統的入侵檢測技術、基于神經網絡的入侵檢測技術在內。未來工作中可設定臨時性的應急處理機制，對于各類存在安全隱患的加密文件，均進行臨時隔離，將其隔離在外網和計算機系統之間，由人員進行分析、處理，無安全隱患可允許其傳輸至計算機，反之則進行粉碎處理。

4 計算機網絡安全入侵檢測技術應用

4.1 系統架構

為了解計算機網絡安全入侵檢測技術優化思路的價值，在系統架構的建設中采用了聯合作業機制，以神經網絡檢測和智能檢測并用的機制作為基礎，另強調提升特異性分析能力，并應用臨時隔離機制。系統的基本架構與其工作原理具體如圖1 所示。

對本架構進行分析，可發現系統主要分為4 個部分：一是廣泛分布的執行終端，即神經元；二是智能檢測結構；三是診斷處理終端；四是輔助終端。其中，神經元的數目共為n 個，可根據被保護計算機的具體情況確定其數目，原則上盡可能增加神經元數目以提升其保護能力；為提升系統作業速率，僅設計一層神經網絡，即執行層。來自各處的威脅，在就近檢測原則下，會由最近的神經元進行感知。智能檢測結構主要對神經元檢測的入侵威脅（或疑似威脅）進行診斷，此結構為本系統的關鍵。診斷處理終端包括警報器、日志生成模塊等，主要記錄、警報檢測結果，對可以確定的威脅進行粉碎，對疑似威脅進行隔離。輔助終端包括計算機、可視化設備等，負責對日志進行加工處理，并進一步反哺智能檢測終端工作。這4 個部分以默認程序進行操控，借助PLC 邏輯控制實現大型計算機內程序的邏輯管理，普通計算機則以默認程序進行管理。

4.2 工作原理

根據圖1 所示的工作系統可知，其主要工作原理包括神經元感知、智能診斷檢測兩個方面。其中，神經元感知原理較為簡單，是對神經網絡入侵檢測技術的部分提取和簡化，主要發揮其廣泛分布神經元檢測范圍較大、靈敏性高的優勢，而在僅設置一層神經網絡的情況下，相關異常可被快速傳輸智能檢測區域，以此保證處理工作的效率，這也對智能檢測模塊的工作提出了較高要求。擬通過降維訓練的方式提升此模塊工作的靈敏性，所選維度為入侵威脅的特異性，如各類流動于網絡中的木馬病毒，其特異性包括可自動運行、非完整程序、可遠程操控、可自動恢復、可開啟特殊端口這幾個方面。

分別以A、F、G、H、J 代表作為5 個維度的特異性代稱。在設定智能終端工作程序時，可廣泛收集各類木馬病毒的基本信息，了解其特異性分布態勢，數據樣本越多，特異性的表現越明顯，分別以A0、F0、G0、H0、J0 代表上述5 個維度的最終分析結果，將其代入計算機信息庫中形成記憶，據此對智能檢測結果進行訓練，只以上述5 個維度作為訓練目標并設定工作方法。實際工作中，大部分木馬病毒可能不具備上述5個特異性表現，只滿足1～4 個特異性表現，此類木馬病毒在嘗試侵入計算機時，被神經元感知，并提供給智能檢測模塊，智能檢測模塊對木馬病毒的特異性表現進行分析，并匹配信息庫。

假定入侵木馬（或疑似木馬）特異性表現為“[A1、F2、G-3、H2、J0]”。

可知其在5 個維度中，一個維度[J0]信息與記憶庫信息完全相同，一個[A1]與信息庫信息高度相似，另外這3 個維度信息也有一定的相似性，此時不能完全明確的將其認定為“木馬”，可予以隔離并發出警報、生成日志和大數據資料，由人員進行人工分析。

如果入侵木馬（或疑似木馬）特異性表現為“[A0、F1、G0、H0、J0]或[A0、F0、G0、H0、J0]”。

可知其5 個維度中至少4 個維度滿足木馬病毒的特異性表現，此時可認定其屬于木馬程序，可直接予以粉碎，并生成日志和大數據資料、發出警報，由人員進行進一步處理。

原則上強調收集有關木馬病毒或其他入侵威脅在網絡層面的特異性表現，將其分為若干具有代表性的維度信息，再對計算機智能檢測結構進行降維訓練（即各類具有代表性的維度信息）。使其能夠在具體工作中根據入侵風險的特異性表現，快速完成與信息庫記憶信息的對照、計算，評估入侵風險的特異性與信息記憶特異性的相似性，根據結果進行風險隔離或粉碎處理。所有信息均同步生成處理日志，并對確定風險的特異性表現進行收集，生成大數據后繼續代入本系統中豐富訓練樣本，以此提升智能檢測結構工作的準確性。

4.3 模擬實驗

按照圖1 所示模式及其工作原理，建立一個模擬實驗通過調整計算機參數的方式模擬網絡攻擊，評估新系統在計算機網絡安全入侵檢測方面的能力以及存在的不足。實驗主要分為兩個部分：一是對照部分，以市場提供的兩款商業軟件作為對照，分別為神經網絡入侵檢測軟件、專家系統入侵檢測軟件，前者為CiscoSystemsSnort，后者為Abelssoft HackCheck；二是新系統分析部分，按照圖1 模式以及對應技術建立防御系統。為對比3 個系統應對網絡安全入侵的能力，實驗共進行了以下3 組。

第一組：神經網絡入侵檢測實驗（使用Cisco SystemsSnort系統）。以虛擬內存4 GB、磁盤空間400 GB的計算機作為實驗母體，通過計算機的參數調整，模擬1 500 次木馬攻擊，采用150 倍模擬速率（模擬1 min 相當于實際工作150 min，下同），觀察系統攔截木馬攻擊的次數、準確率以及反應時間。

第二組：專家系統入侵檢測實驗（使用AbelssoftHackCheck 系統）。以虛擬內存4 GB、磁盤空間400 GB的計算機作為實驗母體，通過計算機的參數調整，模擬1 500 次木馬攻擊，采用150 倍模擬速率，觀察系統攔截木馬攻擊的次數、準確率以及反應時間。

第三組：新系統入侵檢測實驗。以虛擬內存4GB、磁盤空間400 GB 的計算機作為實驗母體，通過計算機參數調整，模擬1 500 次木馬攻擊，采用150 倍模擬速率，觀察系統攔截木馬攻擊的次數、準確率以及反應時間。

4.4 模擬實驗結果分析

對3 組實驗生成的原始數據進行收集，并加以統計，所獲結果如表1 所示。

從表1 的結果可知，以Cisco SystemsSnort 軟件支持的神經網絡入侵檢測技術，完成1 457 次攔截，有效攔截1 450 次，準確率為99.52%，對入侵行為的反應時間為平均0.27 s。以Abelssoft HackCheck 軟件支持的專家系統入侵檢測技術，完成1 470 次攔截，有效攔截1 470 次，準確率為99.32%，對入侵行為的反應時間為平均0.35 s。以新設模擬軟件支持的入侵檢測技術，完成1 496 次攔截，有效攔截1 495 次，準確率為99.93%，對入侵行為的反應時間為平均0.09 s。對3 組實驗進行對比，可發現神經網絡入侵檢測技術對入侵行為的反應時間中等，準確率也處于中等水平，但攔截總次數最少。專家系統入侵檢測技術下，對入侵行為的反應時間最長，攔截次數居于中等水平，但準確率最差。以新設模擬軟件進行計算機網絡安全入侵檢測，攔截次數、準確率均最高，且反應時間最少。

進一步分析發現，以Cisco SystemsSnort 軟件支持的神經網絡入侵檢測技術設有多個神經網絡層，有效地提升了其攔截次數、犧牲了一定的反應時間作為檢測代價。而以Abelssoft HackCheck 軟件支持的專家系統入侵檢測技術，采用層次反饋的形式，能夠完成對風險的較多攔截，時間消耗也最長，因此在檢測系統分布層次上稍遜，故而準確率不能得到最大保證。而新設模擬軟件僅設置一個神經網絡層，因此反應速度較快，且采用特異性智能分析的模式，能夠對疑似攻擊進行隔離，因此攔截的次數最多。此外，新系統能夠不斷記憶木馬攻擊情況，進一步收集特異性信息，完成信息庫，從而使其處理的準確率得到提升。

以Cisco SystemsSnort 軟件支持的神經網絡入侵檢測技術，其優勢在于覆蓋面廣，能夠以穩定的多層作業技術完成入侵攔截，提升木馬入侵等異常問題攔截的準確性，以Abelssoft HackCheck 軟件支持的專家系統入侵檢測技術，其優勢在于通過不斷地進行反饋分析，提升攔截總次數、問題覆蓋效果。新系統的優勢則在于，簡化了工作流程，優化了作業的綜合性，從而提升了入侵處理效率和效果。其劣勢在于，以計算機建立模擬實驗，沒有考慮其他因素對系統的影響，如單薄的系統架構很容易產生自我漏洞，從而使其本身成為木馬攻擊的薄弱點。同時，新系統的建立引入了多項技術，包括神經網絡技術和智能技術、降維訓練等，在實驗室理論條件下可以實現，但在具體工作中依然需要通過集成技術和PLC 邏輯控制技術提供保障，是否能夠廣泛適用于所有網絡保護工作，依然是未知的。最后，新系統依然不能有效進行加密文件的處理，只能采用臨時隔離的方式予以應對，此類文件依然需要人工分析和應對，仍有待研究和優化。

5 結語

綜上所述，計算機網絡安全入侵檢測技術有助于保證計算機安全，避免信息丟。目前，計算機網絡安全入侵檢測技術的不足包括反應速度偏慢、存在滯后性、不能辨識加密文件等方面，其優化可著眼于建設聯合作業機制、加強特異性分析、采用臨時隔離機制等。在具體應用計算機網絡安全入侵檢測技術時，強調為其搭建作業框架，明確作業方法，以提升計算機網絡安全入侵檢測技術的應用效果與保護能力。