計算機網(wǎng)絡(luò)入侵檢測技術(shù)

摘 要：本文通過目前網(wǎng)絡(luò)安全常用的防御措施分析，引出入侵檢測技術(shù)在實現(xiàn)過程和發(fā)展上都將是未來網(wǎng)絡(luò)安全中主流，它為網(wǎng)絡(luò)安全提供了一種更為可靠的安全技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)威脅；入侵檢測；防火墻；口令；技術(shù)

中圖分類號：G434 文獻標識碼：A 文章編號：1002-7661（2012）03-160-01

隨著Internet的高速發(fā)展，越來越多企業(yè)、教育、政府部門以及個人都習慣用網(wǎng)絡(luò)傳遞信息、共享資源，然而，網(wǎng)絡(luò)信息資源的安全性和保密性同樣也受到嚴重影響。

據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)安全造成的損失高達75億美元，據(jù)Ernst和Young報告，由于信息安全被竊或濫用，幾乎80%的大型企業(yè)遭受損失。

除了外部入侵之外，內(nèi)部人員的濫用和泄密也不可忽視。據(jù)統(tǒng)計，全球80%以上的入侵都來自內(nèi)部。不太自律的員工對網(wǎng)絡(luò)資源無節(jié)制的濫用以及他們惡意的竊取行為對企業(yè)可能造成巨大的損失。約70% 以上的網(wǎng)絡(luò)信息主管因信息泄露而蒙受損失。在人們常用的一些網(wǎng)絡(luò)防御措施沒有及時跟進情況下，網(wǎng)絡(luò)入侵行為給政府和企業(yè)所造成的損失還將不斷的增加。因此，網(wǎng)絡(luò)入侵攻擊的防范技術(shù)研究，對未來計算機網(wǎng)絡(luò)的建設(shè)與應(yīng)用具有重要意義。

一、傳統(tǒng)的網(wǎng)絡(luò)防御措施

1、防火墻

（1）防火墻的技術(shù)特點

防火墻技術(shù)是通過對網(wǎng)絡(luò)作拓撲結(jié)構(gòu)和服務(wù)類型上的隔離來加強網(wǎng)絡(luò)安全的手段。其主要功能是控制對網(wǎng)絡(luò)的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險站點，以防范外部對內(nèi)的非法訪問。

但是，防火墻包過濾技術(shù)本身對網(wǎng)絡(luò)的保護功能是有局限的。包過濾邏輯的靜態(tài)設(shè)置也使得它對需要動態(tài)指定TCP端口號的應(yīng)用協(xié)議的應(yīng)用受到限制。并且由于路由器內(nèi)部資源的限制，通常路由器對所發(fā)現(xiàn)的非法數(shù)據(jù)包僅是刪除而已，并不作報告，從而不具有安全保障系統(tǒng)所要求的可審核性。

2、 口令驗證系統(tǒng)

它通常采用各種先進技術(shù)，對網(wǎng)絡(luò)事務(wù)中所涉及到的各方進行身份鑒別，防止身份欺詐，保證事務(wù)參與各方身份的真實性，從而保證系統(tǒng)和數(shù)據(jù)的安全以及授權(quán)訪問者的合法權(quán)益。

但口令泄露是口令認證系統(tǒng)面臨的最大威脅。主要存在：網(wǎng)絡(luò)竊聽、截取、重放、字典攻擊、窮舉攻擊"、偽造服務(wù)器攻擊、口令泄露等一系列問題。

3、虛擬專用網(wǎng)VPN

VPN通過Internet為遠程訪問創(chuàng)建安全的連接管道環(huán)境，使用它就可以為一臺機器分配2個IP地址，一個用于Internet，另一個用于虛擬網(wǎng)。然而VPN也有其明顯的弱點，雖然管道本身經(jīng)過驗證和加密處理是安全的，但是管道的兩端卻是開放的，這就可能造成入侵者從一個被安裝了后門的家庭用戶機器上大搖大擺地遛進安全管道、不被檢查地訪問內(nèi)部網(wǎng)。

二、網(wǎng)絡(luò)入侵檢測系統(tǒng)

1、入侵檢測系統(tǒng)的由來及發(fā)展過程

種種網(wǎng)絡(luò)安全問題的產(chǎn)生，網(wǎng)絡(luò)安全措施的不利，引發(fā)了入侵檢測IDS(Intrusion Detection System)的研究和開發(fā)。

從20世紀80年代人們已經(jīng)展開了對入侵檢測技術(shù)的研究，發(fā)展至今已有30年的歷程。

現(xiàn)在，入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中重要的研究方向，在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。

2、 入侵檢測技術(shù)的特點

入侵檢測是通過監(jiān)視各種操作，分析、審計各種數(shù)據(jù)和現(xiàn)象來實時檢測入侵行為的過程，它是一種積極的和動態(tài)的安全防御技術(shù)。入侵檢測被認為是繼防火墻之后的第二道安全閘門，是對防火墻設(shè)備的合理補充，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。它能識別針對計算機或網(wǎng)絡(luò)資源的惡意企圖和行為，并對此做出防護和報警反應(yīng)。入侵檢測的內(nèi)容涵蓋了授權(quán)的和非授權(quán)的各種入侵行為。

對一個成功的入侵檢測技術(shù)系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。

3、目前入侵檢測技術(shù)的種類

（1）基于行為的入侵檢測技術(shù)

主要依靠統(tǒng)計的方法來實現(xiàn)對入侵行為的檢測。例如:在某一段時間內(nèi)登錄某臺主機失敗次數(shù)。在很短時間內(nèi)重復發(fā)生登錄某臺主機口令出錯的次數(shù)等。符合這個模型的網(wǎng)絡(luò)行為即視為正常，不符合的即視為入侵行為。

這種入侵檢測檢測技術(shù)的缺點主要在于模型的建立非常困難，而且該入侵檢測技術(shù)會造成誤報等。

（2） 基于知識的入侵檢測技術(shù)

基于知識的入侵檢測技術(shù)主要通過應(yīng)用已有的知識對入侵行為的標志進行識別，從而判斷網(wǎng)絡(luò)中是否有入侵行為的發(fā)生。

基于知識的入侵檢側(cè)技術(shù)具有較高的準確度，但是它的缺點就是在于對系統(tǒng)的性能要求高，而且只能檢測到目前已知的攻擊方法，對于未知的攻擊方法沒有檢測能力。

（3）基于時間線的入侵檢測技術(shù)

時間線是在時間次序上對網(wǎng)絡(luò)入侵行為進行分析的工具。它分為三個部分:入侵前期、入侵時間零點和入侵后處理，各個部分又分成若干子部分。基于時間線的入侵防御研究是通過對各種網(wǎng)絡(luò)安全技術(shù)分析，分析上它們在時間線上所處的位置，從而從宏觀把握各項安全技術(shù)的作用范圍及相互之間的關(guān)系。

目前入侵檢測技術(shù)研究的重點轉(zhuǎn)移到了無監(jiān)督的異常檢測技術(shù)上，這種技術(shù)有一個基本的假設(shè)，就是正常數(shù)據(jù)和異常數(shù)據(jù)有定性的不同，這樣才可以將它們區(qū)分開來，例如通過一般的分析，可以知道拒絕服務(wù)攻擊的數(shù)據(jù)在屬性取值和模式上與正常的數(shù)據(jù)有很大的不同，所以可以利用無需指導的異常檢測技術(shù)來有效地檢測并主動拒絕攻擊。

目前的各項安全技術(shù)都存在一些缺點，今后，推動入侵檢測技術(shù)的發(fā)展大致可有三個方向：寬帶高速網(wǎng)絡(luò)的實時入侵檢測技術(shù)；大規(guī)模分布式入侵檢測技術(shù)；智能化入侵檢測技術(shù)。